SQL injection attack (SQLIA) is among the most common security threats to web-based services that are deployed on cloud. By exploiting web software vulnerabilities, SQL injection attackers can run arbitrary malicious code on target databases to acquire or compromise sensitive data. Although web application firewalls (WAFs) are offered by most cloud service providers, tenants are reluctant to pay for them, since there are few approaches that can report accurate SQLIA statistics for their deployed services. Traditional WAFs focus on blocking suspicious SQL requests. Few of them can accurately decide whether an attack is really harmful and quickly answer how severe the attack is. To raise the tenants’ awareness of the seriousness of SQLIAs, in this paper, we introduce a novel traffic-based SQLIA detection and vulnerability analysis framework named DIAVA, which can proactively send warnings to tenants promptly. By analyzing the bidirectional network traffic of SQL operations and applying our proposed multilevel regular expression model, DIAVA can accurately identify successful SQLIAs among all the suspects. Meanwhile, the severity of such SQLIAs and the vulnerabilities of the corresponding leaked data can be quickly evaluated by DIAVA based on its GPU-based dictionary attack analysis engine. Experimental results show that DIAVA not only outperforms state-of-the-art WAFs in detecting SQLAs from the perspectives of precision and recall, but also enables real-time vulnerability evaluation of leaked data caused by SQL injection.

中文翻译：

---

DIAVA：一种基于流量的框架，用于检测 SQL 注入攻击和泄漏数据的漏洞分析

SQL 注入攻击 (SQLIA) 是对部署在云上的基于 Web 的服务最常见的安全威胁之一。SQL注入攻击者可以通过利用Web软件漏洞在目标数据库上运行任意恶意代码来获取或破坏敏感数据。尽管大多数云服务提供商都提供 Web 应用程序防火墙 (WAF)，但租户不愿意为它们付费，因为很少有方法可以为其部署的服务报告准确的 SQLIA 统计信息。传统的 WAF 专注于阻止可疑的 SQL 请求。他们中很少有人能够准确判断攻击是否真的有害，并快速回答攻击的严重程度。为了提高租户对 SQLIA 严重性的认识，在本文中，我们引入了一种新的基于流量的 SQLIA 检测和漏洞分析框架 DIAVA，它可以主动向租户及时发送警告。通过分析 SQL 操作的双向网络流量并应用我们提出的多级正则表达式模型，DIAVA 可以准确地识别所有嫌疑人中成功的 SQLIA。同时，DIAVA基于其基于GPU的字典攻击分析引擎，可以快速评估此类SQLIA的严重性和相应泄露数据的漏洞。实验结果表明，DIAVA 不仅在检测 SQLA 的精度和召回率方面优于最先进的 WAF，而且可以对 SQL 注入导致的泄漏数据进行实时漏洞评估。通过分析 SQL 操作的双向网络流量并应用我们提出的多级正则表达式模型，DIAVA 可以准确地识别所有嫌疑人中成功的 SQLIA。同时，DIAVA基于其基于GPU的字典攻击分析引擎，可以快速评估此类SQLIA的严重性和相应泄露数据的漏洞。实验结果表明，DIAVA 不仅在检测 SQLA 的精度和召回率方面优于最先进的 WAF，而且可以对 SQL 注入导致的泄漏数据进行实时漏洞评估。通过分析 SQL 操作的双向网络流量并应用我们提出的多级正则表达式模型，DIAVA 可以准确地识别所有嫌疑人中成功的 SQLIA。同时，DIAVA基于其基于GPU的字典攻击分析引擎，可以快速评估此类SQLIA的严重性和相应泄露数据的漏洞。实验结果表明，DIAVA 不仅在检测 SQLA 的精度和召回率方面优于最先进的 WAF，而且可以对 SQL 注入导致的泄漏数据进行实时漏洞评估。DIAVA 基于其基于 GPU 的字典攻击分析引擎，可以快速评估此类 SQLIA 的严重性以及相应泄露数据的漏洞。实验结果表明，DIAVA 不仅在检测 SQLA 的精度和召回率方面优于最先进的 WAF，而且可以对 SQL 注入导致的泄漏数据进行实时漏洞评估。DIAVA 基于其基于 GPU 的字典攻击分析引擎，可以快速评估此类 SQLIA 的严重性以及相应泄露数据的漏洞。实验结果表明，DIAVA 不仅在检测 SQLA 的精度和召回率方面优于最先进的 WAF，而且可以对 SQL 注入导致的泄漏数据进行实时漏洞评估。