本发明专利技术公开了一种旁路式数据库访问侦听与还原方法,在数据库用户和数据库服务器间的网络上连接一个数据库审计系统,所述数据库审计系统对数据库用户访问数据库服务器服务端口的数据进行过滤、旁路式侦听处理,并对侦听得到的信息进行解析还原处理后确定用户访问数据库的全部内容。本发明专利技术提供的方法不影响数据库性能、记录信息完整且日志安全的数据库。(*该技术在2021年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术涉及一种数据库访问侦听与还原的方法,尤其涉及一种。
技术介绍
在大多数应用系统中,数据库是整个系统的核心,一旦数据库遭到破坏,可能会导致整个系统的瘫痪。除去对数据库主机的网络层和操作系统的威胁(这些通常通过防火墙,入侵检测和审计产品来防范),数据库系统平台本身面临很多威胁,如机密数据被窃取、非授权数据库操作、提供虚假数据、身份冒用等。通常,数据库中提供日志的功能,但是这些日志存在以下的缺陷a、将消耗数据库主机的性能。日志功能将消耗大量CPU和硬盘资源,并且比较难以选择记录的内容,要么对某个方面全部记录,要么没有记录。这样的日志往往很快会充满硬盘。b、信息不完全。操作系统提供的日志往往缺乏网络层的信息(如IP,MAC地址等),而且难以区分真正的用户(应为大多数系统中不同用户采用的是同一数据库应户ID),无法追溯到发起源,很难在查案中实用。c、日志功能容易被绕过。非法用户可能更改数据库中的一些参数,使得日志关闭,或者使得数据库只记录简单数据,也可以使得系统某个卷写满使得日志文件无法增大。d、日志容易被黑客篡改。当内部非法用户或者黑客获取机器的高级控制权,就可以删除整个日志甚至篡改日志,迷惑案件侦破人员或者栽赃他人。在目前,网络已经成为各个应用系统不可缺少的因素,所以目前绝大多数的数据库是在网络环境下使用的,单机版的数据库目前已经很少使用。经过统计,目前在网络数据库中,使用得最多得是以下几种方式a、Client/Server方式。这是最传统和典型的数据库系统应用模式。大部分的分布式设据库都支持这种应用方式,在一个内部网络环境中,这种方式具有效率高,专业性强的特点,因此有少数系统的应用是基于这种模型开发的。b、Browser/WEB Server/DBServer方式。这种模式是Internet/Intranet的技术普及之后兴起的一种方式,这种方式不需要客户端安装客户端软件,采用通用浏览器就可以实现数据库应用,比较易于管理和实现,是新兴的系统普遍采用的方式。c、采用中间件方式在大系统中,为了提高系统的效率或者使用冗余数据库等应用,采用中间件方式的数据库应用模式逐渐被推广。这种结构安全性比较高,扩展型好,易维护。一个应用系统无论是用Client/Server,browser/WEB/DB Server模式还是使用中间件的模式,一般用户使用的操作工具是特殊Client软件或者通用Browser。但是内部的一些破坏性的用户可能使用一些数据库客户端工具(如Oracle中的sqlnet或者通过远程登录直接操作数据库中的数据。这种威胁对应用系统是致命的,用户可能篡改数据或者破坏整个系统。
技术实现思路
本专利技术的目的是提供一种不影响数据库性能、记录信息完整且日志安全的数据库访问侦听与还原的方法。本专利技术的目的是这样实现的,在数据库用户和数据库服务器间的网络上连接一个数据库审计系统,所述数据库审计系统对数据库用户访问数据库服务器服务端口的数据进行过滤、旁路式侦听处理,并对侦听得到的信息进行解析还原处理后确定用户访问数据库的全部内容。所述数据库审计系统包括有带有两块网卡的网探设备、审计中心软件、审计管理软件;所述审计中心软件进行数据收集,所述审计管理软件对审计中心软件收集的数据进行管理,并设置规则发送到网探设备上对侦听还原进行控制。数据库审计系统对数据库用户访问数据库服务器服务端口的数据进行过滤,即对非针对数据库服务器的访问数据不进行侦听,对数据库服务器的非数据库服务端口的访问数据、数据库服务器返回的部分信息、数据库为解释用户指令成为数据库服务器可接受指令中生成的指令不进行解析还原。所述旁路式侦听包括对数据库用户登录操作过程的侦听和对数据库用户访问操作过程的侦听。所述对数据库用户登录操作过程的侦听包括以下步骤a、将数据库用户发送的登录请求数据包中的数据库协议协议头和协议的数据类型记录在数据包的连接表中; b、将数据库服务器发送的接受请求数据包中的登录连接的协议版本、属性特征字记录在数据包的连接表中;c、将通讯协议协商数据包中的协议类型、基本操作类型和数据库用户信息记录在数据包的连接表中。d、将登录信息的协议类型、基本操作类型、功能类型和数据库登录用户名记录在数据包的连接表中。所述对数据库用户访问操作过程的侦听包括以下步骤a、根据访问操作数据包的协议类型、基本操作类型、功能类型确定访问操作的数据结构;b、根据访问操作的数据结构取得用户数据访问语句;c、将访问操作数据包中的SQL语句送入SQL语法分析程序进行语法分析得到该语句涉及到的数据库表和数据库操作类型;d、根据管理设置和传递来的用户设置,对数据库表和数据库类型进行规则匹配。e、根据规则响应进行不同处理,如果规则响应为阻断则进入步骤f,如果规则响应为报警和记录则进入步骤g,如果规则响应为忽略则进入步骤h;f、网探设备发送阻断包对该连接进行阻断,并同时发送到审计中心软件;g、将根据内部通信协议重组的带有访问信息的数据包发送到审计中心软件;h、将该连接的所有包放行,不进行审计记录和报警。所述侦听得到的信息包括数据库服务器和用户的网卡MAC地址、数据库服务器IP地址、访问用户用于与数据库交互时提供的主机信息、通讯协议版本、数据库登录名和操作语句。所述对侦听得到的信息进行解析还原处理是通过解析连接表中的数据库服务连接字段来实现,包括以下步骤a、对侦听得到的数据包进行协议分析,得到数据库连接协议信息;b、根据协议信息对数据包的数据内容进行分析,若数据类型为连接请求时则得到其连接的主机信息,若数据类型为用户登录请求则得到其连接的用户信息,若数据类型为用户数据访问请求则得到数据访问语句;c、将分析得到的数据内容写入连接表;d、整理连接表信息,确定数据库访问的全部内容。所述数据库服务连接字段为每一条用户维持一张连接表,所述数据库服务连接字段包括连接号、通信协议和数据库用户名。所述还原过程的步骤a包括以下步骤 a、从以太网数据包4得到网卡地址,除去以太网数据包4的包头;b、从IP数据包5的包头中得到IP地址信息,除去IP数据包5的包头;c、从TCP数据包6的包头中得到TCP的端口号,除去TCP数据包6的包头;d、从TCP数据包6中分析得到包括有数据长度、数据类型和特征字的协议信由于采用了上述方法,本专利技术具有如下的优点a、数据库性能无影响。通过内部嵌入的方式进行数据库访问的控制给数据库性能带来很大的影响。尤其在业务繁忙的情况下,内部数据库审计占用大量资源,给数据库正常的业务服务带来严重干扰。旁路式数据库访问侦听与还原技术则对数据库性能无任何影响。可以保障数据库业务的正常运作。b、信息记录完整。旁路式数据库访问侦听与还原技术可以记录下全面的信息。该技术可以通过侦听获取远程访问用户的计算机系统信息,访问时的IP地址和访问时用的计算机的网卡MAC地址等。弥补了嵌入式数据库访问控制的信息不足。对数据库访问的操作过程,旁路式访问侦听与还原技术也可以完整记录下来。c、日志安全。旁路式数据库访问侦听与还原技术使隔离提供业务服务的网络和提供安全服务的网络成为可能。嵌入式访问控制不能保证自身数据和日志的安全,同时更难保护数据库数据的安全。而旁路式数据库访问侦听与还原技术通过网络隔离,可以保本文档来自技高网...
【技术保护点】
一种旁路式数据库访问侦听与还原的方法,其特征在于,在数据库用户和数据库服务器间的网络上连接一个数据库审计系统,所述数据库审计系统对数据库用户访问数据库服务器服务端口的数据进行过滤、旁路式侦听处理,并对侦听得到的信息进行解析还原处理后确定用户访问数据库的全部内容。
【技术特征摘要】
【专利技术属性】
技术研发人员:张世永,黄伟,吴珺,
申请(专利权)人:上海复旦光华信息科技股份有限公司,
类型:发明
国别省市:31[中国|上海]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。