CN102722667B - 基于虚拟数据库和虚拟补丁的数据库安全防护系统和方法 - Google Patents
基于虚拟数据库和虚拟补丁的数据库安全防护系统和方法 Download PDFInfo
- Publication number
- CN102722667B CN102722667B CN201210166441.XA CN201210166441A CN102722667B CN 102722667 B CN102722667 B CN 102722667B CN 201210166441 A CN201210166441 A CN 201210166441A CN 102722667 B CN102722667 B CN 102722667B
- Authority
- CN
- China
- Prior art keywords
- server
- data base
- database
- virtual data
- sql statement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供了一种基于虚拟数据库和虚拟补丁的数据库安全防护系统和方法,采用服务映射的方式建立虚拟数据库服务器将真实数据库服务器隐藏,同时融合二次认证和二次权限检查技术,实时处理到达虚拟数据库服务器的网络请求数据包,从而以达到安装数据库补丁的同等安全效果。本发明包括服务映射和二次认证及二次权限检查两种关键技术,所有合法且正常的安全访问可以顺利通过映射后的虚拟数据库服务器,从真实数据库服务器当中获得相关数据;而对于大部分的非授权访问及明显的攻击行为,虚拟数据库服务器中的相关过滤机制会将此类请求进行阻断,从而保证了真实数据库服务器的安全运行以及数据库中敏感数据的安全性。
Description
技术领域
本发明属于信息安全领域,具体涉及一种基于虚拟数据库和虚拟补丁的数据库安全防护系统和方法。
背景技术
随着计算机技术的飞速发展,数据库的应用十分广泛。数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要。然而由于数据库本身安全性不足等原因,攻击者可能通过非正常途径来访问数据库,甚至实施缓冲区溢出或SQL注入来攻击数据库,从而造成敏感信息的泄漏,危害数据安全以及信息系统的安全。
为保障数据库以及信息系统的安全,各企业和单位采取了许多防护措施,但绝大多数的防护措施和方法只能进行地址、端口、协议等网络层过滤,无法有效抵御针对数据库系统应用层的攻击,例如SQL注入及缓冲区溢出攻击等。
对于数据库本身安全性不足所带来的诸如缓冲区溢出攻击等安全问题,理论上通常可以通过安装数据库相应的补丁来进行修补。但是,由于数据库服务器本身的复杂性及应用的重要性,而且补丁本身对生产数据库存在安全威胁,再加上数据库管理员(DBA)很难承担更新补丁后的繁重测试工作,使得众多的数据库管理员(DBA)即便知道了数据库存在某种安全隐患,也不会贸然地停止数据库服务器来安装相应补丁。而且,在实际的使用过程当中,往往需要保证数据库服务器提供的服务的连续及稳定性,不允许停止数据库服务器和随意更改数据库的相关补丁及配置情况。这就为黑客利用这些漏洞进一步进行攻击提供了一条通路。
此外,当数据库服务器直接与用户和应用服务器连接并提供数据服务时,极易遭受各种各样的攻击;数据库系统本身存在的隐通道,也很容易被攻击者利用。数据库服务器通常采用默认的端口,比如Oracle的1521端口。攻击者可以轻易的扫描这些端口,根据服务器的回复信息获得数据库以及操作系统的类型,进而进行更深层次的攻击。
发明内容
为克服上述缺陷,本发明提供了一种基于虚拟数据库和虚拟补丁的数据库安全防护方法和系统,通过数据库服务映射技术将真实数据库服务器隐藏起来,隔离数据库客户端和其他应用程序对数据库服务器的直接访问;同时,在映射后的虚拟数据库服务器中采用基于SQL语句的二次认证及基于IP和用户名的二次权限检查机制来对SQL请求进行进一步合法性验证,严格控制到达真实数据库服务器的数据请求。
为实现上述目的,本发明提供一种基于虚拟数据库和虚拟补丁的数据库安全防护系统,其包括数据库服务器和与其进行数据通信的应用服务器;其改进之处在于,所述安全防护系统包括设置在所述数据库服务器和应用服务器之间的虚拟数据库服务器。
本发明提供的优选技术方案中,所述虚拟数据库服务器设置有知识库,所述知识库包括:缓冲区溢出及SQL注入两种攻击模式的SQL语句。
本发明提供的第二优选技术方案中,所述数据库服务器将提供的服务映射到所述虚拟数据库服务器的IP地址以及相应的空闲端口地址中。
本发明提供的第三优选技术方案中,所述虚拟数据库服务器包括:服务映射模块,用于接收所述应用服务器的连接请求;授权策略模块,对连接数据库的用户、执行SQL语句的操作类型、操作对象和查询条件等的合法性预先进行配置和定义;TNS协议解析模块,根据TNS协议对所述应用服务器的连接及访问请求进行解析,得到请求发送的IP地址、连接的数据库名、用户名和SQL语句;SQL解析模块,对SQL语句进行语法及词法分析,得出SQL语句的操作类型、操作对象和查询条件;二次认证及二次权限检查模块,检查IP和用户名是否属于已在虚拟数据库服务器中配置的合法组合,判断SQL语句所使用的数据库组件或函数是否为知识库中列出的缓冲区溢出及SQL注入两种攻击模式的语句,并根据配置,对不合法访问进行断开连接的操作;所述服务映射模块、所述授权策略模块、所述TNS协议解析模块、所述SQL解析模块和所述二次认证及二次权限检查模块依次连接。
本发明提供的第四优选技术方案中,提供一种基于虚拟数据库和虚拟补丁的数据库安全防护方法,其改进之处在于,所述方法包括如下步骤:
(1).在所述应用服务器与所述数据库服务器中间搭建所述虚拟数据库服务器;
(2).所述数据库服务器将提供的服务映射到所述虚拟数据库服务器中;
(3).所述应用服务器向所述虚拟数据库服务器发出请求以调用所述数据库服务器的服务。
本发明提供的第五优选技术方案中,在所述步骤2中,将所述数据库服务器所提供的各个服务映射到所述虚拟数据库服务器的IP地址以及相应的空闲端口中。
本发明提供的第六优选技术方案中,所述步骤3包括如下步骤:
(3‐1).所述应用服务器发出连接请求;
(3‐2).所述虚拟数据库服务器接受所述应用服务器发出的连接请求,并判断连接的IP是否合法,若结果否定,则关闭连接,否则根据服务的映射关系建立所述虚拟数据库服务器与所述数据库服务器的连接;
(3‐3).对接收到的客户端请求数据包进行TNS协议解析,从中获取访问的数据库名、用户名和SQL语句;
(3‐4).检查IP和用户名是否属于已在所述虚拟数据库服务器中配置的合法组合,非法则关闭连接,否则接受SQL语句;
(3‐5).分析SQL语句的语法及词法,得出SQL语句的操作类型、操作对象和查询条件;
(3‐6).通过预读取配置的授权策略模块,对SQL语句的操作类型、操作对象和查询条件进行访问权限检查,判断访问权限是否合法,对不合法访问进行断开连接的操作,否则进入步骤3‐7;
(3‐7).判断SQL语句所使用的数据库组件或函数是否为知识库中列出的缓冲区溢出及SQL注入两种攻击模式的语句,若结果为是则过滤该SQL语句,否则允许该SQL语句传递给所述数据库服务器。
本发明提供的第七优选技术方案中,在所述步骤3‐5中,所述SQL语句的操作类型包括:增加、删除、修改和查询;操作对象包括:表名、视图名和存储过程名。
与现有技术比,本发明提供的一种基于虚拟数据库和虚拟补丁的数据库安全防护系统和方法,可在不安装数据库补丁及修改相应配置情况的前提下达到打补丁的同等防护效果,而且提供了一种新的修补思路,通过数据库服务映射技术将真实数据库服务器隐藏起来,隔离数据库客户端和其他应用程序对数据库服务器的直接访问;同时,在映射后的虚拟数据库服务器中采用基于SQL语句的二次认证及基于IP+用户名的二次权限检查机制来对SQL请求进行进一步合法性验证,将提交参数中的超长字符串和带明显攻击意图的SQL语句等充分过滤,严格控制到达真实数据库服务器的数据请求,使攻击者无法伪造连接到真实数据库服务器进行直接的攻击;再者,由于虚拟数据库服务器提供的是独立的权限管理,即便攻击者通过其他方式成功将自己的角色提高到数据库管理员(DBA)仍然只能获得受限的权限,而不能获取DBA的真正特权,从而达到有效保护数据库安全的目的。
附图说明
图1为虚拟数据库服务器在网络当中的部署图。
图2为虚拟数据库服务器建立服务映射并对外提供服务的示意图。
图3为搭建虚拟数据库服务器后SQL请求处理流程图。
具体实施方式
在图1中,虚拟数据库服务器的部署位置在应用服务器与数据库服务器之间,也就是说,数据库服务器与虚拟数据库服务器之间采用串行连接方式,任何到达数据库服务器的SQL请求都必须先通过虚拟数据库服务器进行筛选处理,其目的在于让虚拟数据库对外提供数据服务,以此种方式将真实服务器充分隐藏。
在图2中,虚拟数据库服务器部署完毕后,将数据库服务器所提供的服务映射到虚拟数据库服务器的IP地址以及所指定的空闲端口,这样就在虚拟数据库服务器中建立起了一个到数据库服务器的映射关系,虚拟数据库中可以同时建立多个类似的映射关系,分别映射到多个不同的数据库服务器,应用服务器及客户端连接到虚拟数据库服务器中指定映射时,虚拟数据库服务器将进行验证,合法IP来源的请求才会被转发到映射关系所对应的真实数据库服务器,其功能类似于IP防火墙。
在图3中,当应用服务器有连接请求时,虚拟数据库服务器的服务映射模块接收请求,并调用授权策略模块进行IP验证,如果该IP在虚拟服务器中被预先配置为非法IP来源,则虚拟数据库服务器关闭该连接请求;否则,如果是合法IP来源,则虚拟数据库服务器进一步创建与真实数据库服务器之间的连接,同时对接收到的应用服务器请求数据包进行TNS协议解析,从连接串中获取访问的数据库名、用户名、SQL语句等信息,然后检查IP和用户名是否属于已在虚拟数据库服务器中配置的合法组合,非法则关闭连接,合法则继续放行;将传入的SQL语句进一步进行语法及词法分析,获取当前语句操作的数据库、模式、表、使用的数据库组件或函数以及传入的参数等信息,并通过预读取在虚拟数据库服务器中配置的授权策略,对传入的用户、数据库、模式、表进行权限检查,并根据配置,对不合法访问进行阻断、断开连接等操作;对于合法的访问,再进一步判断所使用的数据库组件或函数等是否为知识库中列出的有缺陷的对象以及传入的参数是否为不合法的超长字符串等,对已发布的数据库补丁所涉及到的问题进行充分过滤。只有在二次认证和二次权限检查后依然确认合法的请求才最终转发给真实的数据库服务器。
需要声明的是,本发明内容及具体实施方式意在证明本发明所提供技术方案的实际应用,不应解释为对本发明保护范围的限定。本领域技术人员在本发明的精神和原理启发下,可作各种修改、等同替换、或改进。但这些变更或修改均在申请待批的保护范围内。
Claims (2)
1.一种基于虚拟数据库和虚拟补丁的数据库安全防护系统,其包括数据库服务器和与其进行数据通信的应用服务器;其特征在于,所述安全防护系统包括设置在所述数据库服务器和应用服务器之间的虚拟数据库服务器;
所述虚拟数据库服务器设置有知识库,所述知识库包括:缓冲区溢出及SQL注入两种攻击模式的SQL语句;
所述数据库服务器将提供的服务映射到所述虚拟数据库服务器的IP地址以及相应的空闲端口地址中;
所述虚拟数据库服务器包括:服务映射模块,用于接收所述应用服务器的连接请求;授权策略模块,对连接数据库的用户、执行SQL语句的操作类型、操作对象和查询条件的合法性预先进行配置和定义;TNS协议解析模块,根据TNS协议对所述应用服务器的连接及访问请求进行解析,得到请求发送的IP地址、连接的数据库名、用户名和SQL语句;SQL解析模块,对SQL语句进行语法及词法分析,得出SQL语句的操作类型、操作对象和查询条件;二次认证及二次权限检查模块,检查IP和用户名是否属于已在虚拟数据库服务器中配置的合法组合,判断SQL语句所使用的数据库组件或函数是否为知识库中列出的缓冲区溢出及SQL注入两种攻击模式的语句,并根据配置,对不合法访问进行断开连接的操作;所述服务映射模块、所述授权策略模块、所述TNS协议解析模块、所述SQL解析模块和所述二次认证及二次权限检查模块依次连接。
2.根据权利要求1所述的数据库安全防护系统的基于虚拟数据库和虚拟补丁的数据库安全防护方法,其特征在于,所述方法包括如下步骤:
(1).在所述应用服务器与所述数据库服务器中间搭建所述虚拟数据库服务器;
(2).所述数据库服务器将提供的服务映射到所述虚拟数据库服务器中;即将所述数据库服务器所提供的各个服务映射到所述虚拟数据库服务器的IP地址以及相应的空闲端口中;
(3).所述应用服务器向所述虚拟数据库服务器发出请求以调用所述数据库服务器的服务;
包括如下步骤:
(3‐1).所述应用服务器发出连接请求;
(3‐2).所述虚拟数据库服务器接受所述应用服务器发出的连接请求,并判断连接的IP是否合法,若结果否定,则关闭连接,否则根据服务的映射关系建立所述虚拟数据库服务器与所述数据库服务器的连接;
(3‐3).对接收到的客户端请求数据包进行TNS协议解析,从中获取访问的数据库名、用户名和SQL语句;
(3‐4).检查IP和用户名是否属于已在所述虚拟数据库服务器中配置的合法组合,非法则关闭连接,否则接受SQL语句;
(3‐5).分析SQL语句的语法及词法,得出SQL语句的操作类型、操作对象和查询条件;所述SQL语句的操作类型包括:增加、删除、修改和查询;操作对象包括:表、视图和存储过程;
(3‐6).通过预读取配置的授权策略模块,对SQL语句的操作类型、操作对象和查询条件进行访问权限检查,判断访问权限是否合法,对不合法访问进行断开连接的操作,否则进入步骤3‐7;
(3‐7).判断SQL语句所使用的数据库组件或函数是否为知识库中列出的缓冲区溢出及SQL注入两种攻击模式的语句,若结果为是则过滤该SQL语句,否则允许该SQL语句传递给所述数据库服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210166441.XA CN102722667B (zh) | 2012-03-07 | 2012-05-25 | 基于虚拟数据库和虚拟补丁的数据库安全防护系统和方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210057260.3 | 2012-03-07 | ||
| CN201210057260 | 2012-03-07 | ||
| CN201210166441.XA CN102722667B (zh) | 2012-03-07 | 2012-05-25 | 基于虚拟数据库和虚拟补丁的数据库安全防护系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102722667A CN102722667A (zh) | 2012-10-10 |
| CN102722667B true CN102722667B (zh) | 2015-12-02 |
Family
ID=46948424
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210166441.XA Active CN102722667B (zh) | 2012-03-07 | 2012-05-25 | 基于虚拟数据库和虚拟补丁的数据库安全防护系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102722667B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105893376A (zh) * | 2014-12-05 | 2016-08-24 | 广西大学 | 数据库访问监管方法 |
| CN107220259A (zh) * | 2016-03-22 | 2017-09-29 | 北京京东尚科信息技术有限公司 | 一种数据库扩展系统、设备和用于扩展数据库的方法 |
| US10171487B2 (en) | 2017-02-15 | 2019-01-01 | International Business Machines Corporation | Generating a virtual database to test data security of a real database |
| CN106899690B (zh) * | 2017-03-16 | 2019-10-25 | 福建星瑞格软件有限公司 | 数据库连线与保护综合管理系统 |
| CN107992771B (zh) * | 2017-12-20 | 2019-01-22 | 北京明朝万达科技股份有限公司 | 一种数据脱敏方法和装置 |
| CN108537062B (zh) * | 2018-04-24 | 2022-03-22 | 山东华软金盾软件股份有限公司 | 一种数据库数据动态加密的方法 |
| CN108629201A (zh) * | 2018-04-24 | 2018-10-09 | 山东华软金盾软件股份有限公司 | 一种对数据库非法操作进行阻断的方法 |
| CN109766686A (zh) * | 2018-04-25 | 2019-05-17 | 新华三大数据技术有限公司 | 权限管理 |
| CN109409113B (zh) * | 2018-10-25 | 2020-10-02 | 国家电网有限公司 | 一种电网数据安全防护方法和分布式电网数据安全防护系统 |
| CN111092910B (zh) * | 2019-12-30 | 2022-11-22 | 深信服科技股份有限公司 | 数据库安全访问方法、装置、设备、系统及可读存储介质 |
| CN111935194B (zh) * | 2020-10-13 | 2020-12-25 | 南京云信达科技有限公司 | 一种数据拦截方法及装置 |
| CN112395304B (zh) * | 2020-10-30 | 2024-01-02 | 迅鳐成都科技有限公司 | 基于数据行为模拟的数据安全计算方法、系统及存储介质 |
| CN113014571B (zh) * | 2021-02-22 | 2022-03-25 | 腾讯科技(深圳)有限公司 | 一种访问请求处理的方法、装置及存储介质 |
| CN113094385B (zh) * | 2021-03-10 | 2024-04-30 | 广州中国科学院软件应用技术研究所 | 一种基于软件定义开放工具集的数据共享融合平台及方法 |
| CN113065161A (zh) * | 2021-04-21 | 2021-07-02 | 湖南快乐阳光互动娱乐传媒有限公司 | 针对Redis数据库的安全控制方法及装置 |
| CN114531266A (zh) * | 2021-12-03 | 2022-05-24 | 国网浙江省电力有限公司嘉兴供电公司 | 一种基于中间数据库的配电网数据防护系统及其方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1858738A (zh) * | 2006-02-15 | 2006-11-08 | 华为技术有限公司 | 访问数据库的方法及装置 |
| CN101515931A (zh) * | 2009-03-24 | 2009-08-26 | 北京理工大学 | 一种基于代理方式的数据库安全增强方法 |
| CN101917423A (zh) * | 2010-08-05 | 2010-12-15 | 上海酷族信息技术有限公司 | 数据库安全防范的操作方法 |
| CN102185859A (zh) * | 2011-05-09 | 2011-09-14 | 北京艾普优计算机系统有限公司 | 计算机系统和数据交互方法 |
-
2012
- 2012-05-25 CN CN201210166441.XA patent/CN102722667B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1858738A (zh) * | 2006-02-15 | 2006-11-08 | 华为技术有限公司 | 访问数据库的方法及装置 |
| CN101515931A (zh) * | 2009-03-24 | 2009-08-26 | 北京理工大学 | 一种基于代理方式的数据库安全增强方法 |
| CN101917423A (zh) * | 2010-08-05 | 2010-12-15 | 上海酷族信息技术有限公司 | 数据库安全防范的操作方法 |
| CN102185859A (zh) * | 2011-05-09 | 2011-09-14 | 北京艾普优计算机系统有限公司 | 计算机系统和数据交互方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102722667A (zh) | 2012-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102722667B (zh) | 基于虚拟数据库和虚拟补丁的数据库安全防护系统和方法 | |
| CN103179130B (zh) | 一种信息系统内网安全统一管理平台及管理方法 | |
| CN102724189B (zh) | 一种控制用户url访问的方法及装置 | |
| EP2866411A1 (en) | Method and system for detecting unauthorized access to and use of network resources with targeted analytics | |
| CN103428211B (zh) | 基于交换机的网络认证系统及其认证方法 | |
| CN104348914B (zh) | 一种防篡改系统文件同步系统及其方法 | |
| CN101714927B (zh) | 内网安全综合管理的网络接入控制方法 | |
| CN104158767B (zh) | 一种网络准入装置及方法 | |
| CN101355459B (zh) | 一种基于可信协议的网络监控方法 | |
| CN103297437A (zh) | 一种移动智能终端安全访问服务器的方法 | |
| CN105847300B (zh) | 企业网络边界设备拓扑结构的可视化方法及装置 | |
| CN103441864A (zh) | 一种终端设备违规外联的监测方法 | |
| Song et al. | DS‐ARP: A New Detection Scheme for ARP Spoofing Attacks Based on Routing Trace for Ubiquitous Environments | |
| CN101022360A (zh) | 一种基于ieee 802.1x协议的局域网安全管理方法 | |
| CN105610839A (zh) | 一种终端接入网络的控制方法及装置 | |
| CN108200073B (zh) | 一种敏感数据安全保护系统 | |
| CN103618613A (zh) | 网络接入控制系统 | |
| KR101039092B1 (ko) | IPv6 네트워크 내 호스트 보호 및 격리방법 | |
| CN102316115A (zh) | 一种面向横向联网的安全访问控制方法 | |
| KR100832804B1 (ko) | 프로파일링 기반 데이터베이스 보안 시스템 및 방법 | |
| WO2007138068A1 (en) | A type of management method and device for network equipment | |
| CN110290153A (zh) | 一种防火墙的端口管理策略自动下发方法及装置 | |
| CN101739422B (zh) | 基于数据库协议代理的前置式数据库访问控制方法和系统 | |
| CN103491054A (zh) | Sam准入系统 | |
| CN107659582A (zh) | 一种有效应对apt攻击的纵深防御系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20171204 Address after: Qilihe District of Gansu city in Lanzhou Province, 730050 West East Road No. 629 Co-patentee after: China Electric Power Research Institute Patentee after: Information Communication Company, Gansu Electric Power Co., Ltd. Co-patentee after: State Grid Smart Grid Institute Address before: Qilihe District of Gansu city in Lanzhou Province, 730050 West East Road No. 629 Co-patentee before: China Electric Power Research Institute Patentee before: Information Communication Company, Gansu Electric Power Co., Ltd. |
|
| TR01 | Transfer of patent right | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Qilihe District of Gansu city in Lanzhou Province, 730050 West East Road No. 629 Co-patentee after: China Electric Science Research Institute Co., Ltd. Patentee after: Information Communication Company, Gansu Electric Power Co., Ltd. Co-patentee after: Global energy Internet Institute, Inc. Address before: Qilihe District of Gansu city in Lanzhou Province, 730050 West East Road No. 629 Co-patentee before: China Electric Power Research Institute Patentee before: Information Communication Company, Gansu Electric Power Co., Ltd. Co-patentee before: State Grid Smart Grid Institute |
|
| CP01 | Change in the name or title of a patent holder |