攻击防御方法、攻击防御装置、处理器与攻击防御系统与流程

1.本技术涉及计算机安全技术领域，具体而言，涉及一种攻击防御方法、攻击防御装置、计算机可读存储介质、处理器与攻击防御系统。


背景技术：

2.当前，基于web环境的互联网应用越来越广泛。在企业信息化过程中，各种服务都架设在web平台上。而web服务程序的迅速发展也引起了黑客的关注。例如，黑客利用网站操作系统的漏洞，向web服务程序中注入sql攻击代码(即sql注入攻击)和/或xss攻击代码(即xss攻击)以进行攻击，从而得到web服务的控制权限，进而窃取到重要的内部数据。
3.针对上述的问题，现有技术中通常有两种解决方案，一种是在应用开发阶段进行输入确认、输入编码以及输出编码等操作；另一种是使用waf(网站应用级入侵防御系统，web application firewall，简称waf)防御系统。例如，发明专利cn106355094a通过替换web服务器和sql文件解析端的关键字方式进行攻击防御。发明专利cn106503557a在sql中将需查询的数据库字段名进行变换映射，使得攻击者无法猜到字段名，进而无法实现获得数据库关键信息的目标。但上述两件发明均未能解决xss注入攻击的问题。
4.因此，亟需一种能够对xss攻击进行防御的方法。


技术实现要素：

5.本技术的主要目的在于提供一种攻击防御方法、攻击防御装置、计算机可读存储介质、处理器与攻击防御系统，以解决现有技术中难以对xss攻击进行防御的问题。
6.根据本发明实施例的一个方面，提供了一种攻击防御方法，包括：接收由web服务器发送的语法解析规则，所述语法解析规则为所述web服务器在接收到客户端浏览器发送的查询请求的情况下，基于随机生成的所述客户端浏览器的数字证书而生成动态的语法解析规则；至少根据所述语法解析规则和所述查询请求对应的查询语句，生成自定义查询脚本；至少将所述自定义查询脚本发送至目标数据库，使得所述目标数据库根据所述自定义查询脚本进行查询，得到目标查询数据。
7.可选地，至少根据所述语法解析规则和所述查询请求对应的查询语句，生成自定义查询脚本，包括：控制动态查询语法解释器根据语法解析规则，将所述查询语句编译为所述自定义查询脚本，所述动态查询语法解释器为基于语法解析规则，将所述查询语句编译为所述自定义查询脚本的插件。
8.可选地，至少将所述自定义查询脚本发送至目标数据库，使得所述目标数据库根据所述自定义查询脚本进行查询，得到目标查询数据，包括：控制自定义查询脚本解释器，将所述自定义查询脚本编译为标准sql查询语言，所述自定义查询脚本解释器为将所述自定义查询脚本编译为所述标准sql查询语言的插件；将所述标准sql查询语言发送至所述目标数据库，使得所述目标数据库根据所述标准sql查询语言进行查询，得到所述目标查询数据。
9.可选地，在得到所述目标查询数据之后，所述攻击防御方法还包括：接收所述web服务器发送的自定义前端脚本，并至少基于所述数字证书，将所述自定义前端脚本编译为动态语法前端脚本，其中，所述自定义前端脚本为所述web服务器基于所述目标数据库发送的所述目标查询数据进行编译得到的；至少基于所述数字证书，将所述动态语法前端脚本编译为前端展示页面，并将所述前端展示页面显示在所述客户端浏览器上。
10.可选地，至少基于所述数字证书，将所述自定义前端脚本编译为动态语法前端脚本，包括：控制自定义前端脚本解释器根据所述数字证书，将所述自定义前端脚本编译为所述动态语法前端脚本，所述自定义前端脚本解释器为基于所述数字证书，将所述自定义前端脚本编译为所述动态语法前端脚本的插件。
11.可选地，至少基于所述数字证书，将所述动态语法前端脚本编译为前端展示页面，包括：控制动态前端语法解释器至少基于所述数字证书，生成动态前端解析规则；控制所述动态前端语法解释器根据所述动态前端解析规则，将所述动态语法前端脚本编译为所述前端展示页面，所述动态前端语法解释器为基于所述动态前端解析规则，将所述动态语法前端脚本编译为所述前端展示页面的插件。
12.根据本发明实施例的另一方面，还提供了一种攻击防御装置，包括：接收单元，用于接收由web服务器发送的语法解析规则，所述语法解析规则为所述web服务器在接收到客户端浏览器发送的查询请求的情况下，基于随机生成的所述客户端浏览器的数字证书而生成动态的语法解析规则；生成单元，用于至少根据所述语法解析规则和所述查询请求对应的查询语句，生成自定义查询脚本；查询单元，用于至少将所述自定义查询脚本发送至目标数据库，使得所述目标数据库根据所述自定义查询脚本进行查询，得到目标查询数据。
13.根据本发明实施例的又一方面，还提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的程序，其中，所述程序执行任意一种所述的攻击防御方法。
14.根据本发明实施例的再一方面，还提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行任意一种所述的攻击防御方法。
15.根据本发明实施例的一方面，还提供了一种攻击防御系统，包括：攻击防御装置，所述攻击防御装置用于执行任意一种所述的攻击防御方法；web服务器，所述web服务器与所述攻击防御装置通信；目标数据库，所述目标数据库与所述web服务器通信。
16.在本发明实施例中，所述的攻击防御方法中，首先，接收由web服务器发送的基于随机生成的客户端浏览器的数字证书而生成的语法解析规则；然后，基于语法解析规则和查询请求对应的查询语句，对所述查询语句进行编译(也可以称之为解释)，得到自定义查询脚本；最后，至少将自定义查询脚本发送至目标数据库，从而使得目标数据库在接收到自定义查询脚本的情况下，至少根据自定义查询脚本进行查询，得到目标查询数据。在本技术的攻击防御方法中，根据web服务器发送的语法解析规则，对查询语句进行编译，得到自定义查询脚本，即实现了通过语法解析规则，对查询语句进行加密，得到动态的自定义查询脚本，这样保证了得到的自定义查询脚本的安全性较高。由于是基于语法解析规则，对对应的查询语句进行编译，得到自定义查询脚本，这样使得从前端页面的注入的xss攻击代码无法被执行，从而可以避免xss注入攻击，进而解决了现有技术中难以对xss攻击进行防御的问题。
附图说明
17.构成本技术的一部分的说明书附图用来提供对本技术的进一步理解，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
18.图1示出了本技术的一种实施例的攻击防御方法的流程图；
19.图2示出了本技术的一种实施例的查询数据流的示意图；
20.图3示出了本技术的另一种实施例的攻击防御方法的流程图；
21.图4示出了本技术的一种实施例的返回数据流的示意图；
22.图5示出了本技术的一种实施例的攻击防御装置的结构示意图；
23.图6示出了本技术的一种具体实施例的攻击防御方法的流程图。
24.其中，上述附图包括以下附图标记：
25.10、接收单元；20、生成单元；30、查询单元；100、web服务器；200、动态查询语法解释器；300、自定义查询脚本解释器；400、目标数据库；500、客户端浏览器；600、自定义前端脚本解释器；700、动态前端语法解释器；800、动态语法库；900、动态前端语法库；101、ca服务器。
具体实施方式
26.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
27.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范围。
28.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
29.为了便于描述，以下对本技术实施例涉及的部分名词或术语进行说明：
30.waf：通过执行一系列针对http/https的安全策略来专门为web服务程序提供保护的一种防御系统；
31.sql注入攻击：通过提交一段数据库查询代码对数据库进行查询，再根据程序返回的结果，获得一些想得知的数据；
32.xss攻击(跨站脚本攻击)：通过在用户访问的页面中嵌入恶意脚本代码。在用户访问页面时，导致嵌入的恶意脚本代码被执行，从而达到恶意攻击的目的。
33.正如背景技术中所说的，现有技术中难以对xss攻击进行防御，为了解决上述问题，本技术的一种典型的实施方式中，提供了一种攻击防御方法、攻击防御装置、计算机可读存储介质、处理器与攻击防御系统。
34.根据本技术的实施例，提供了一种攻击防御方法。
35.图1是根据本技术实施例的攻击防御方法的流程图。如图1所示，该攻击防御方法包括以下步骤：
36.步骤s101，接收由web服务器发送的语法解析规则，上述语法解析规则为上述web服务器在接收到客户端浏览器发送的查询请求的情况下，基于随机生成的上述客户端浏览器的数字证书而生成动态的语法解析规则；
37.步骤s102，至少根据上述语法解析规则和上述查询请求对应的查询语句，生成自定义查询脚本；
38.步骤s103，至少将上述自定义查询脚本发送至目标数据库，使得上述目标数据库根据上述自定义查询脚本进行查询，得到目标查询数据。
39.上述的攻击防御方法中，首先，接收由web服务器发送的基于随机生成的客户端浏览器的数字证书而生成的语法解析规则；然后，基于语法解析规则和查询请求对应的查询语句，对上述查询语句进行编译(也可以称之为解释)，得到自定义查询脚本；最后，至少将自定义查询脚本发送至目标数据库，从而使得目标数据库在接收到自定义查询脚本的情况下，至少根据自定义查询脚本进行查询，得到目标查询数据。在本技术的攻击防御方法中，根据web服务器发送的语法解析规则，对查询语句进行编译，得到自定义查询脚本，即实现了通过语法解析规则，对查询语句进行加密，得到动态的自定义查询脚本，这样保证了得到的自定义查询脚本的安全性较高。由于是基于语法解析规则，对对应的查询语句进行编译，得到自定义查询脚本，这样使得从前端页面的注入的xss攻击代码无法被执行，从而可以避免xss注入攻击，进而解决了现有技术中难以对xss攻击进行防御的问题。
40.本技术的一种具体的实施例中，数字证书可以为由ca(认证中心，certification authority，简称ca)服务器生成的。上述自定义查询脚本为目标数据库可以识别的自定义查询脚本。
41.在实际的应用过程中，上述web服务器和上述目标数据库可以是相互隔离的。本技术的另一种具体的实施例中，上述目标数据库可以为mysql数据库、sql server数据库、oracle数据库等等。当然，在实际的应用过程中，上述目标数据库并不限于mysql数据库、sql server数据库、oracle数据库，还可以为现有技术中任何一种可行的数据库。在本技术中，并不对上述目标数据库的类型进行限制。
42.本技术的一种具体的实施例中，还可以根据客户端浏览器的数字证书和动态语法库来生成语法解析规则，这样可以较为简单地得到语法解析规则。上述动态语法库可以为一个随时更新，且可以提供若干个语法规则的规则库。
43.具体地，上述目标数据库可以用于存储各种类型的业务数据，在本技术中并不对上述目标数据库存储的数据进行限制。本技术的一种具体的实施例中，上述目标数据库可以用于存储发动机全生命周期的相关业务数据。例如，发动机在生产、装配、使用、维修等多个阶段的业务数据。
44.需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
45.为了较为简单地实现根据语法解析规则，将查询语句编译为自定义查询脚本，本
申请的一种实施例中，至少根据上述语法解析规则和上述查询请求对应的查询语句，生成自定义查询脚本，包括：控制动态查询语法解释器根据语法解析规则，将上述查询语句编译为上述自定义查询脚本，上述动态查询语法解释器为基于语法解析规则，将上述查询语句编译为上述自定义查询脚本的插件。
46.在实际的应用过程中，上述动态查询语法解释器可以根据查询语句对应的语法解析规则，将查询语句编译为自定义查询脚本，即实现了对查询语句进行动态化的加密处理，这样使得前端注入的xss攻击代码无法被执行。由于自定义查询脚本是通过语法解析规则动态地得到的，实现了动态地对目标数据库字段名进行变换映射，从而使得攻击者无法准确地知晓各字段名，进而还可以抵御sql注入的攻击。同时，本技术的攻击防御方法，由于仅仅是通过语法解析规则，将查询语句编译为自定义查询脚本，并不会增加目标数据库的查询难度，保证了目标数据库能够根据自定义查询脚本较为容易地得到目标查询数据，保证了查询的速度较快，从而提高了用户的使用体验。
47.本技术的另一种实施例中，至少将上述自定义查询脚本发送至目标数据库，使得上述目标数据库根据上述自定义查询脚本进行查询，得到目标查询数据，包括：控制自定义查询脚本解释器，将上述自定义查询脚本编译为标准sql查询语言，上述自定义查询脚本解释器为将上述自定义查询脚本编译为上述标准sql查询语言的插件；将上述标准sql查询语言发送至上述目标数据库，使得上述目标数据库根据上述标准sql查询语言进行查询，得到上述目标查询数据。在该实施例中，通过自定义查询脚本解释器，将自定义查询脚本编译为标准sql查询语言，这样保证了可以较为简单地得到标准sql查询语言，同时目标数据通过标准sql查询语法进行查询，这样可以降低目标数据库查询的复杂度，保证了得到的目标查询数据较为准确。
48.本技术的一种具体的实施例中，上述自定义查询脚本解释器可以称之为数据库shell。上述自定义查询脚本解释器可以将自定义查询脚本转换为标准sql查询语言。
49.本技术的一种具体的实施例中，如图2所示，本技术的攻击防御方法在web服务器100和目标数据库400之间分别设置了动态查询语法解释器200和自定义查询脚本解释器300。其中，动态查询语法解释器200可以基于语法解析规则，将查询请求对应的查询语句，编译为自定义查询脚本。自定义查询脚本解释器300可以将自定义查询脚本编译为标准sql查询语言。与现有技术中，目标数据库400直接通过web服务器100发送的查询语句进行查询相比，本方案中基于语法解析规则，对查询语句进行了动态地加密，提高了在查询过程中的安全性，从而可以抵御xss注入攻击和sql注入攻击。
50.本技术的又一种实施例中，如图3所示，在得到上述目标查询数据之后，上述攻击防御方法还包括：接收上述web服务器发送的自定义前端脚本，并至少基于上述数字证书，将上述自定义前端脚本编译为动态语法前端脚本，其中，上述自定义前端脚本为上述web服务器基于上述目标数据库发送的上述目标查询数据进行编译得到的；至少基于上述数字证书，将上述动态语法前端脚本编译为前端展示页面，并将上述前端展示页面显示在上述客户端浏览器上。在该实施例中，web服务器在接收到目标数据库的目标查询数据的情况下，将目标查询数据编译为自定义前端脚本，再基于数字证书，将自定义前端脚本编译为前端展示页面，这样实现了对前端展示页面的动态加密，这样可以进一步地抵御xss注入攻击和sql注入攻击。
51.为了较为简单地得到动态语法前端脚本，本技术的再一种实施例中，至少基于上述数字证书，将上述自定义前端脚本编译为动态语法前端脚本，包括：控制自定义前端脚本解释器根据上述数字证书，将上述自定义前端脚本编译为上述动态语法前端脚本，上述自定义前端脚本解释器为基于上述数字证书，将上述自定义前端脚本编译为上述动态语法前端脚本的插件。
52.具体地，上述的实施例中，上述自定义前端脚本解释器基于数字证书，将目标查询数据编译为动态的自定义前端脚本。
53.本技术的一种实施例中，至少基于上述数字证书，将上述动态语法前端脚本编译为前端展示页面，包括：控制动态前端语法解释器至少基于上述数字证书，生成动态前端解析规则；控制上述动态前端语法解释器根据上述动态前端解析规则，将上述动态语法前端脚本编译为上述前端展示页面，上述动态前端语法解释器为基于上述动态前端解析规则，将上述动态语法前端脚本编译为上述前端展示页面的插件。在该实施例中，动态前端语法解释器根据动态前端解析规则，将动态语法前端脚本编译为前端展示页面，即标准的html和js脚本，这样不仅实现了对目标查询语句的加密处理，还实现了较为准确地在客户端浏览器上展示前端展示页面。
54.本技术的一种具体的实施例中，可以根据数字证书和动态前端语法库，生成动态前端解析规则。其中，上述动态前端语法库为一个可随时更新且可以提供若干个前端语法规则的规则库。
55.本技术的一种具体的实施例中，如图4所示，在web服务器100与客户端浏览器500之间分别设置自定义前端脚本解释器600和动态前端语法解释器700。其中，自定义前端脚本解释器600根据上述数字证书，将web服务器100编译得到的自定义前端脚本再次编译为动态语法前端脚本。动态前端语法解释器700基于数字证书，生成动态前端解析规则，并基于动态前端解析规则，将动态语法前端脚本编译为前端展示页面。即实现了对目标查询数据进行动态地加密，进一步地实现了可以抵御xss注入攻击和sql注入攻击。
56.在实际的应用过程中，为了进一步地提高系统的安全性，上述动态查询语法解释器、上述自定义查询脚本解释器、上述自定义前端脚本解释器以及上述动态前端语法解释器，即可以统称为浏览器插件，可直接作为定制浏览器发布给特定的客户端人员使用。
57.具体地，现有技术中的目标数据库和web服务器中，web服务器直接将sql查询语句发送给目标数据库；客户端浏览器的前端脚本也是直接通过从web服务器获得的js脚本，这样的结构模式是产生sql注入攻击和xss攻击的根源。故本技术中在web服务器和目标数据库之间分别设置了动态查询语法解释器和自定义查询脚本解释器，从而实现了将查询语句编译动态的sql查询语句。在web服务器和客户端浏览器之间分别设置了自定义前端脚本解释器和动态前端语法解释器，从而实现了在将目标查询语句编译动态的前端脚本。本技术的攻击防御方法将应用程序层的查询语句、前端页面的脚本进行了动态化的语法处理，并进行了非对称的混淆、加密和加盐等处理，实现将当前客户端浏览器的任何的查询请求和前端页面脚本全部自定义为动态脚本，避免了攻击者按照现有通用脚本进行攻击的可能性，从而解决了现有技术中难以对xss攻击进行防御的问题。
58.本技术实施例还提供了一种攻击防御装置，需要说明的是，本技术实施例的攻击防御装置可以用于执行本技术实施例所提供的用于攻击防御方法。以下对本技术实施例提
供的攻击防御装置进行介绍。
59.图5是根据本技术实施例的攻击防御装置的结构示意图。如图5所示，该攻击防御装置包括：
60.接收单元10，用于接收由web服务器发送的语法解析规则，上述语法解析规则为上述web服务器在接收到客户端浏览器发送的查询请求的情况下，基于随机生成的上述客户端浏览器的数字证书而生成动态的语法解析规则；
61.生成单元20，用于至少根据上述语法解析规则和上述查询请求对应的查询语句，生成自定义查询脚本；
62.查询单元30，用于至少将上述自定义查询脚本发送至目标数据库，使得上述目标数据库根据上述自定义查询脚本进行查询，得到目标查询数据。
63.上述的攻击防御装置中，接收单元用于接收由web服务器发送的基于随机生成的客户端浏览器的数字证书而生成的语法解析规则；生成单元用于基于语法解析规则和查询请求对应的查询语句，对上述查询语句进行编译(也可以称之为解释)，得到自定义查询脚本；查询单元用于至少将自定义查询脚本发送至目标数据库，从而使得目标数据库在接收到自定义查询脚本的情况下，至少根据自定义查询脚本进行查询，得到目标查询数据。在本技术的攻击防御方法中，根据web服务器发送的语法解析规则，对查询语句进行编译，得到自定义查询脚本，即实现了通过语法解析规则，对查询语句进行加密，得到动态的自定义查询脚本，这样保证了得到的自定义查询脚本的安全性较高。由于是基于语法解析规则，对对应的查询语句进行编译，得到自定义查询脚本，这样使得从前端页面的注入的xss攻击代码无法被执行，从而可以避免xss注入攻击，进而解决了现有技术中难以对xss攻击进行防御的问题。
64.本技术的一种具体的实施例中，数字证书可以为由ca(认证中心，certification authority，简称ca)服务器生成的。上述自定义查询脚本为目标数据库可以识别的自定义查询脚本。
65.在实际的应用过程中，上述web服务器和上述目标数据库可以是相互隔离的。本技术的另一种具体的实施例中，上述目标数据库可以为mysql数据库、sql server数据库、oracle数据库等等。当然，在实际的应用过程中，上述目标数据库并不限于mysql数据库、sql server数据库、oracle数据库，还可以为现有技术中任何一种可行的数据库。在本技术中，并不对上述目标数据库的类型进行限制。
66.本技术的一种具体的实施例中，还可以根据客户端浏览器的数字证书和动态语法库来生成语法解析规则，这样可以较为简单地得到语法解析规则。上述动态语法库可以为一个随时更新，且可以提供若干个语法规则的规则库。
67.具体地，上述目标数据库可以用于存储各种类型的业务数据，在本技术中并不对上述目标数据库存储的数据进行限制。本技术的一种具体的实施例中，上述目标数据库可以用于存储发动机全生命周期的相关业务数据。例如，发动机在生产、装配、使用、维修等多个阶段的业务数据。
68.为了较为简单地实现根据语法解析规则，将查询语句编译为自定义查询脚本，本技术的一种实施例中，生成单元包括编译模块，用于控制动态查询语法解释器根据语法解析规则，将上述查询语句编译为上述自定义查询脚本，上述动态查询语法解释器为基于语
法解析规则，将上述查询语句编译为上述自定义查询脚本的插件。
69.在实际的应用过程中，上述动态查询语法解释器可以根据查询语句对应的语法解析规则，将查询语句编译为自定义查询脚本，即实现了对查询语句进行动态化的加密处理，这样使得前端注入的xss攻击代码无法被执行。由于自定义查询脚本是通过语法解析规则动态地得到的，实现了动态地对目标数据库字段名进行变换映射，从而使得攻击者无法准确地知晓各字段名，进而还可以抵御sql注入的攻击。同时，本技术的攻击防御方法，由于仅仅是通过语法解析规则，将查询语句编译为自定义查询脚本，并不会增加目标数据库的查询难度，保证了目标数据库能够根据自定义查询脚本较为容易地得到目标查询数据，保证了查询的速度较快，从而提高了用户的使用体验。
70.本技术的另一种实施例中，查询单元包括第一控制模块和发送模块，其中，上述第一控制模块用于控制自定义查询脚本解释器，将上述自定义查询脚本编译为标准sql查询语言，上述自定义查询脚本解释器为将上述自定义查询脚本编译为上述标准sql查询语言的插件；上述发送模块用于将上述标准sql查询语言发送至上述目标数据库，使得上述目标数据库根据上述标准sql查询语言进行查询，得到上述目标查询数据。在该实施例中，通过自定义查询脚本解释器，将自定义查询脚本编译为标准sql查询语言，这样保证了可以较为简单地得到标准sql查询语言，同时目标数据通过标准sql查询语法进行查询，这样可以降低目标数据库查询的复杂度，保证了得到的目标查询数据较为准确。
71.本技术的一种具体的实施例中，上述自定义查询脚本解释器可以称之为数据库shell。上述自定义查询脚本解释器可以将自定义查询脚本转换为标准sql查询语言。
72.本技术的一种具体的实施例中，如图2所示，本技术的攻击防御方法在web服务器100和目标数据库400之间分别设置了动态查询语法解释器200和自定义查询脚本解释器300。其中，动态查询语法解释器200可以基于语法解析规则，将查询请求对应的查询语句，编译为自定义查询脚本。自定义查询脚本解释器300可以将自定义查询脚本编译为标准sql查询语言。与现有技术中，目标数据库400直接通过web服务器100发送的查询语句进行查询相比，本方案中基于语法解析规则，对查询语句进行了动态地加密，提高了在查询过程中的安全性，从而可以抵御xss注入攻击和sql注入攻击。
73.本技术的又一种实施例中，上述攻击防御装置还包括接收单元和显示单元，其中，接收单元用于在得到上述目标查询数据之后，接收上述web服务器发送的自定义前端脚本，并至少基于上述数字证书，将上述自定义前端脚本编译为动态语法前端脚本，其中，上述自定义前端脚本为上述web服务器基于上述目标数据库发送的上述目标查询数据进行编译得到的；上述显示单元用于至少基于上述数字证书，将上述动态语法前端脚本编译为前端展示页面，并将上述前端展示页面显示在上述客户端浏览器上。在该实施例中，web服务器在接收到目标数据库的目标查询数据的情况下，将目标查询数据编译为自定义前端脚本，再基于数字证书，将自定义前端脚本编译为前端展示页面，这样实现了对前端展示页面的动态加密，这样可以进一步地抵御xss注入攻击和sql注入攻击。
74.为了较为简单地得到动态语法前端脚本，本技术的再一种实施例中，上述接收单元包括第二控制模块，用于控制自定义前端脚本解释器根据上述数字证书，将上述自定义前端脚本编译为上述动态语法前端脚本，上述自定义前端脚本解释器为基于上述数字证书，将上述自定义前端脚本编译为上述动态语法前端脚本的插件。
75.具体地，上述的实施例中，上述自定义前端脚本解释器基于数字证书，将目标查询数据编译为动态的自定义前端脚本。
76.本技术的一种实施例中，上述显示单元包括第三控制模块和第四控制模块，其中，上述第三控制模块用于控制动态前端语法解释器至少基于上述数字证书，生成动态前端解析规则；上述第四控制模块用于控制上述动态前端语法解释器根据上述动态前端解析规则，将上述动态语法前端脚本编译为上述前端展示页面，上述动态前端语法解释器为基于上述动态前端解析规则，将上述动态语法前端脚本编译为上述前端展示页面的插件。在该实施例中，动态前端语法解释器根据动态前端解析规则，将动态语法前端脚本编译为前端展示页面，即标准的html和js脚本，这样不仅实现了对目标查询语句的加密处理，还实现了较为准确地在客户端浏览器上展示前端展示页面。
77.本技术的一种具体的实施例中，可以根据数字证书和动态前端语法库，生成动态前端解析规则。其中，上述动态前端语法库为一个可随时更新且可以提供若干个前端语法规则的规则库。
78.本技术的一种具体的实施例中，如图4所示，在web服务器100与客户端浏览器500之间分别设置自定义前端脚本解释器600和动态前端语法解释器700。其中，自定义前端脚本解释器600根据上述数字证书，将web服务器100编译得到的自定义前端脚本再次编译为动态语法前端脚本。动态前端语法解释器700基于数字证书，生成动态前端解析规则，并基于动态前端解析规则，将动态语法前端脚本编译为前端展示页面。即实现了对目标查询数据进行动态地加密，进一步地实现了可以抵御xss注入攻击和sql注入攻击。
79.在实际的应用过程中，为了进一步地提高系统的安全性，上述动态查询语法解释器、上述自定义查询脚本解释器、上述自定义前端脚本解释器以及上述动态前端语法解释器，即可以统称为浏览器插件，可直接作为定制浏览器发布给特定的客户端人员使用。
80.具体地，现有技术中的目标数据库和web服务器中，web服务器直接将sql查询语句发送给目标数据库；客户端浏览器的前端脚本也是直接通过从web服务器获得的js脚本，这样的结构模式是产生sql注入攻击和xss攻击的根源。故本技术中在web服务器和目标数据库之间分别设置了动态查询语法解释器和自定义查询脚本解释器，从而实现了将查询语句编译动态的sql查询语句。在web服务器和客户端浏览器之间分别设置了自定义前端脚本解释器和动态前端语法解释器，从而实现了在将目标查询语句编译动态的前端脚本。本技术的攻击防御方法将应用程序层的查询语句、前端页面的脚本进行了动态化的语法处理，并进行了非对称的混淆、加密和加盐等处理，实现将当前客户端浏览器的任何的查询请求和前端页面脚本全部自定义为动态脚本，避免了攻击者按照现有通用脚本进行攻击的可能性，从而解决了现有技术中难以对xss攻击进行防御的问题。
81.上述攻击防御装置包括处理器和存储器，上述接收单元、生成单元和查询单元等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
82.处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来解决现有技术中难以对xss攻击进行防御的问题。
83.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存
储芯片。
84.本发明实施例提供了一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现上述攻击防御方法。
85.本发明实施例提供了一种处理器，上述处理器用于运行程序，其中，上述程序运行时执行上述攻击防御方法。
86.本技术的一种典型的实施例中，还提供了一种攻击防御系统，该攻击防御系统包括攻击防御装置、web服务器和目标数据库。其中，上述攻击防御装置用于执行任意一种上述的攻击防御方法；上述web服务器与上述攻击防御装置通信；上述目标数据库与上述web服务器通信。
87.上述的攻击防御系统包括攻击防御装置，上述攻击防御装置用于执行任意一种上述的攻击防御方法。上述的攻击防御方法中，首先，接收由web服务器发送的基于随机生成的客户端浏览器的数字证书而生成的语法解析规则；然后，基于语法解析规则和查询请求对应的查询语句，对上述查询语句进行编译(也可以称之为解释)，得到自定义查询脚本；最后，至少将自定义查询脚本发送至目标数据库，从而使得目标数据库在接收到自定义查询脚本的情况下，至少根据自定义查询脚本进行查询，得到目标查询数据。在本技术的攻击防御方法中，根据web服务器发送的语法解析规则，对查询语句进行编译，得到自定义查询脚本，即实现了通过语法解析规则，对查询语句进行加密，得到动态的自定义查询脚本，这样保证了得到的自定义查询脚本的安全性较高。由于是基于语法解析规则，对对应的查询语句进行编译，得到自定义查询脚本，这样使得从前端页面的注入的xss攻击代码无法被执行，从而可以避免xss注入攻击，进而解决了现有技术中难以对xss攻击进行防御的问题。
88.本发明实施例提供了一种设备，设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现至少以下步骤：
89.步骤s101，接收由web服务器发送的语法解析规则，上述语法解析规则为上述web服务器在接收到客户端浏览器发送的查询请求的情况下，基于随机生成的上述客户端浏览器的数字证书而生成动态的语法解析规则；
90.步骤s102，至少根据上述语法解析规则和上述查询请求对应的查询语句，生成自定义查询脚本；
91.步骤s103，至少将上述自定义查询脚本发送至目标数据库，使得上述目标数据库根据上述自定义查询脚本进行查询，得到目标查询数据。
92.本文中的设备可以是服务器、pc、pad、手机等。
93.本技术还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有至少如下方法步骤的程序：
94.步骤s101，接收由web服务器发送的语法解析规则，上述语法解析规则为上述web服务器在接收到客户端浏览器发送的查询请求的情况下，基于随机生成的上述客户端浏览器的数字证书而生成动态的语法解析规则；
95.步骤s102，至少根据上述语法解析规则和上述查询请求对应的查询语句，生成自定义查询脚本；
96.步骤s103，至少将上述自定义查询脚本发送至目标数据库，使得上述目标数据库根据上述自定义查询脚本进行查询，得到目标查询数据。
97.为了本领域技术人员能够更加清楚地了解本技术的技术方案，以下将结合具体的实施例来说明本技术的技术方案和技术效果。
98.实施例
99.如图6所示，涉及一种攻击防御方法。具体地，客户端浏览器500将查询请求发送至web服务器100，web服务器100在接收到查询请求的情况下，基于ca服务器101发送的数字证书和动态语法库800生成语法解析规则。动态查询语法解释器200根据语法解析规则，将查询语句编译为自定义查询脚本。自定义查询脚本解释器300，将自定义查询脚本编译为标准sql查询语言，并将标准sql查询语言发送至目标数据库400，使得上述目标数据库400根据自定义查询脚本进行查询，得到目标查询数据。web服务器100将接收到的目标数据库400发送的目标查询数据编译为自定义前端脚本。自定义前端脚本解释器600根据数字证书，将自定义前端脚本编译为动态语法前端脚本。动态前端语法解释器700基于ca服务器101发送的数字证书和动态前端语法库900，生成动态前端解析规则，并根据上述动态前端解析规则，将上述动态语法前端脚本编译为上述前端展示页面，以将前端展示页面显示在客户端浏览器500上。
100.在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
101.在本技术所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如上述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。
102.上述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
103.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
104.上述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例上述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
105.从以上的描述中，可以看出，本技术上述的实施例实现了如下技术效果：
106.1)、本技术的攻击防御方法中，首先，接收由web服务器发送的基于随机生成的客户端浏览器的数字证书而生成的语法解析规则；然后，基于语法解析规则和查询请求对应
的查询语句，对上述查询语句进行编译(也可以称之为解释)，得到自定义查询脚本；最后，至少将自定义查询脚本发送至目标数据库，从而使得目标数据库在接收到自定义查询脚本的情况下，至少根据自定义查询脚本进行查询，得到目标查询数据。在本技术的攻击防御方法中，根据web服务器发送的语法解析规则，对查询语句进行编译，得到自定义查询脚本，即实现了通过语法解析规则，对查询语句进行加密，得到动态的自定义查询脚本，这样保证了得到的自定义查询脚本的安全性较高。由于是基于语法解析规则，对对应的查询语句进行编译，得到自定义查询脚本，这样使得从前端页面的注入的xss攻击代码无法被执行，从而可以避免xss注入攻击，进而解决了现有技术中难以对xss攻击进行防御的问题。
107.2)、本技术攻击防御装置中，接收单元用于接收由web服务器发送的基于随机生成的客户端浏览器的数字证书而生成的语法解析规则；生成单元用于基于语法解析规则和查询请求对应的查询语句，对上述查询语句进行编译(也可以称之为解释)，得到自定义查询脚本；查询单元用于至少将自定义查询脚本发送至目标数据库，从而使得目标数据库在接收到自定义查询脚本的情况下，至少根据自定义查询脚本进行查询，得到目标查询数据。在本技术的攻击防御方法中，根据web服务器发送的语法解析规则，对查询语句进行编译，得到自定义查询脚本，即实现了通过语法解析规则，对查询语句进行加密，得到动态的自定义查询脚本，这样保证了得到的自定义查询脚本的安全性较高。由于是基于语法解析规则，对对应的查询语句进行编译，得到自定义查询脚本，这样使得从前端页面的注入的xss攻击代码无法被执行，从而可以避免xss注入攻击，进而解决了现有技术中难以对xss攻击进行防御的问题。
108.3)、本技术的攻击防御系统包括攻击防御装置，上述攻击防御装置用于执行任意一种上述的攻击防御方法。上述的攻击防御方法中，首先，接收由web服务器发送的基于随机生成的客户端浏览器的数字证书而生成的语法解析规则；然后，基于语法解析规则和查询请求对应的查询语句，对上述查询语句进行编译(也可以称之为解释)，得到自定义查询脚本；最后，至少将自定义查询脚本发送至目标数据库，从而使得目标数据库在接收到自定义查询脚本的情况下，至少根据自定义查询脚本进行查询，得到目标查询数据。在本技术的攻击防御方法中，根据web服务器发送的语法解析规则，对查询语句进行编译，得到自定义查询脚本，即实现了通过语法解析规则，对查询语句进行加密，得到动态的自定义查询脚本，这样保证了得到的自定义查询脚本的安全性较高。由于是基于语法解析规则，对对应的查询语句进行编译，得到自定义查询脚本，这样使得从前端页面的注入的xss攻击代码无法被执行，从而可以避免xss注入攻击，进而解决了现有技术中难以对xss攻击进行防御的问题。
109.以上所述仅为本技术的优选实施例而已，并不用于限制本技术，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。