CN102880702A - 数据库内核入侵隐藏触发器的探测方法及系统 - Google Patents
数据库内核入侵隐藏触发器的探测方法及系统 Download PDFInfo
- Publication number
- CN102880702A CN102880702A CN2012103590497A CN201210359049A CN102880702A CN 102880702 A CN102880702 A CN 102880702A CN 2012103590497 A CN2012103590497 A CN 2012103590497A CN 201210359049 A CN201210359049 A CN 201210359049A CN 102880702 A CN102880702 A CN 102880702A
- Authority
- CN
- China
- Prior art keywords
- database
- trigger
- triggers
- list
- tabulation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及信息安全技术领域,旨在提供一种数据库内核入侵隐藏触发器的探测方法及系统。该方法是通过正常途径获取数据库触发器列表,用底层方法获取的数据库触发器列表;将正常途径获取的触发器列表和用底层方法获取的触发器列表进行对比,找出正常途径获取不到的数据库触发器列表,即为隐藏的触发器列表;然后生成扫描报告,将隐藏的触发器列表提供给用户。本发明对比正常途径获取数据库触发器列表和底层方法获取数据库触发器列表,能够发现数据库入侵后被黑客隐藏的数据库触发器,并提供详细的扫描报告,使数据库管理员能及时修复数据库排除数据库安全隐患。
Description
技术领域
本发明涉及信息安全技术领域。具体涉及数据库系统的内核入隐藏触发器的探测,特别是一种提高数据库系统安全的新型扫描检测方法及其系统。
背景技术
当前的数据库安全风险扫描软件主要检测数据库系统配置风险和数据库软件本身的安全漏洞。数据库配置风险就是各种权限的分配不当以及用户管理不当、弱口令等,比如某个危险的存储过程执行权限分配给了公共角色,公共角色的成员就可能利用这个存储过程来进行提权操作。这类风险可以通过用户正确配置数据库来消除。数据库软件本身的安全漏洞是指数据库开发厂商在软件开发过程中由于考虑不周使软件产生了安全漏洞,例如各种缓冲区溢出漏洞、系统对象SQL注入漏洞。这类漏洞只能靠升级数据库或给数据库打补丁来解决。
但是当前的数据库安全风险扫描软件无法检测黑客入侵对数据库造成的损害,黑客入侵数据库后往往会通过篡改内核对象隐藏一些数据库对象,比如隐藏黑客自己创建的触发器,利用这些隐藏触发器,黑客就可以隐蔽的收集信息,而不被数据库管理员发现。这类风险更隐蔽,危害更大。如果发现有隐藏的数据库触发器,基本可以断定数据库已经被入侵了,并且一些内核对象已经被篡改,需要管理员及时修复数据库。
发明内容
本发明要解决的技术问题是,克服现有技术中的不足,提供一种数据库内核入侵隐藏触发器的探测方法及系统。
为解决技术问题,本发明的解决方案是:
提供一种数据库内核入侵隐藏触发器探测方法,是通过正常途径获取数据库触发器列表,用底层方法获取的数据库触发器列表;
所述正常途径获取数据库触发器列表,包括以下步骤:
(1)连接数据库;
(2)通过数据库提供的视图或命令得到对应的触发器列表;
所述用底层方法获取数据库触发器列表,包括以下步骤:
(1)连接数据库;
(2)访问底层系统表或二进制文件;
(3)获取对应的触发器列表;
将正常途径获取的触发器列表和用底层方法获取的触发器列表进行对比,找出正常途径获取不到的数据库触发器列表,即为隐藏的触发器列表;然后生成扫描报告,将隐藏的触发器列表提供给用户。
本发明中,所述数据库触发器是指当数据库某一特定事件(比如INSERT)发生时能自动执行的一段代码。
进一步地,本发明还提供了一种实现前述方法的数据库内核入侵隐藏触发器的探测系统,该系统包括:用于通过正常途径获取数据库触发器列表的扫描模块、用于通过底层方法获取数据库触发器列表的底层探测模块,以及用于将两个触发器列表进行对比并得出隐藏触发器的对比模块;所述扫描模块连接至数据库,所述底层探测模块连至数据库或数据库所在服务器;所述对比模块与扫描模块和底层探测模块相连。
本发明的有益效果在于:
本发明对比正常途径获取数据库触发器列表和底层方法获取数据库触发器列表,能够发现数据库入侵后被黑客隐藏的数据库触发器,并提供详细的扫描报告,使数据库管理员能及时修复数据库排除数据库安全隐患。
附图说明
图1是数据库内核入侵隐藏触发器探测系统工作原理图。
图2是数据库内核入侵隐藏触发器探测系统扫描探测过程工作流程图。
具体实施方式
首先需要说明的是,本发明涉及数据库技术,是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后,在结合现有公知技术的情况下,本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。前述软件功能模块包括但不限于:扫描模块、底层探测模块、对比模块等,凡本发明申请文件提及的均属此范畴,申请人不再一一列举。
本发明中数据库内核入侵隐藏触发器的探测系统,包括:用于通过正常途径获取数据库触发器列表的扫描模块、用于通过底层方法获取数据库触发器列表的底层探测模块,以及用于将两个触发器列表进行对比并得出隐藏触发器的对比模块;所述扫描模块连接至数据库,所述底层探测模块连至数据库或数据库所在服务器;所述对比模块与扫描模块和底层探测模块相连。
本发明的实现原理是:
首先通过正常途径访问数据库,获取数据库对应触发器的列表,然后通过底层探测模块获取数据库的实际触发器列表,最后有对比模块对比两个触发器列表找出隐藏的对象,如发现有隐藏触发器,就在扫描报告里列出被隐藏触发器的清单,并提出修补建议。
以下是数据库内核入侵隐藏触发器探测系统典型的实施案例:
假设要对一个ORACLE10G数据库进行内核入侵隐藏数据库触发器探测。
首先要模拟黑客对数据库系统内核对象进行入侵篡改:
(1)用sys用户登录数据库。
(2)创建名称为’HACKER_TRIGGER’的触发器。
(3)对ALL_TRIGGER和DBA_TRIGGER视图进行更改,在视图代码中加上and trigobj.name!=’HACKER_TRIGGER’。
然后使用数据库内核入侵隐藏对象探测方法进行探测:
(1)访问oracle数据库的ALL_TRIGGER和DBA_TRIGGER视图,通过正常途径获取触发器列表.
(2)然后访问数据库的底层系统表sys.obj$和sys.trigger$,获取数据库真实的触发器列表。
(3)对比两个触发器列表,会发现通过正常途径获取的触发器里不存在HACKER_TRIGGER,而比通过访问底层系统表发现有HACKER_TRIGGER触发器,名称为HACKER_TRIGGER的触发器就是被隐藏的触发器,黑客通过篡改了ALL_TRIGGER或DBA_TRIGGER视图隐藏了该触发器。生成扫描报告,将被隐藏的触发器列表和修复建议提供给当前用户。
扫描和对比完成后,根据扫描报告就可以发现数据库有哪些隐藏的触发器,数据库管理员根据该报告删除或监控隐藏的触发器,并修复相应被篡改数据库内核对象。
Claims (3)
1.一种数据库内核入侵隐藏触发器的探测方法,其特征在于,包括:通过正常途径获取数据库触发器列表,用底层方法获取的数据库触发器列表;
所述正常途径获取数据库触发器列表,包括以下步骤:
(1)连接数据库;
(2)通过数据库提供的视图或命令得到对应的触发器列表;
所述用底层方法获取数据库触发器列表,包括以下步骤:
(1)连接数据库;
(2)访问底层系统表或二进制文件;
(3)获取对应的触发器列表;
将正常途径获取的触发器列表和用底层方法获取的触发器列表进行对比,找出正常途径获取不到的数据库触发器列表,即为隐藏的触发器列表;然后生成扫描报告,将隐藏的触发器列表提供给用户。
2.根据权利要求1所述的方法,其特征在于,所述述数据库触发器是指当数据库某一特定事件发生时能自动执行的一段代码。
3.一种用于实现权利要求1所述方法的数据库内核入侵隐藏触发器的探测系统,其特征在于,该系统包括:
用于通过正常途径获取数据库触发器列表的扫描模块、用于通过底层方法获取数据库触发器列表的底层探测模块,以及用于将两个触发器列表进行对比并得出隐藏触发器的对比模块;
所述扫描模块连接至数据库,所述底层探测模块连至数据库或数据库所在服务器;所述对比模块与扫描模块和底层探测模块相连。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210359049.7A CN102880702B (zh) | 2012-09-24 | 2012-09-24 | 数据库内核入侵隐藏触发器的探测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210359049.7A CN102880702B (zh) | 2012-09-24 | 2012-09-24 | 数据库内核入侵隐藏触发器的探测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102880702A true CN102880702A (zh) | 2013-01-16 |
| CN102880702B CN102880702B (zh) | 2015-03-11 |
Family
ID=47482028
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210359049.7A Active CN102880702B (zh) | 2012-09-24 | 2012-09-24 | 数据库内核入侵隐藏触发器的探测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102880702B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106599683A (zh) * | 2015-10-16 | 2017-04-26 | 华为技术有限公司 | 一种确定隐藏的内核模块的方法、装置及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004326337A (ja) * | 2003-04-23 | 2004-11-18 | Mitsubishi Electric Corp | コード解析プログラム、コード解析自動化プログラム及び自動コード解析システム |
| CN101242279A (zh) * | 2008-03-07 | 2008-08-13 | 北京邮电大学 | 用于web系统的自动化渗透性测试系统和方法 |
| CN101894230A (zh) * | 2010-07-14 | 2010-11-24 | 国网电力科学研究院 | 一种基于静态和动态分析技术的主机系统安全评估方法 |
| CN102156832B (zh) * | 2011-03-25 | 2012-09-05 | 天津大学 | 一种Firefox扩展的安全缺陷检测方法 |
-
2012
- 2012-09-24 CN CN201210359049.7A patent/CN102880702B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004326337A (ja) * | 2003-04-23 | 2004-11-18 | Mitsubishi Electric Corp | コード解析プログラム、コード解析自動化プログラム及び自動コード解析システム |
| CN101242279A (zh) * | 2008-03-07 | 2008-08-13 | 北京邮电大学 | 用于web系统的自动化渗透性测试系统和方法 |
| CN101894230A (zh) * | 2010-07-14 | 2010-11-24 | 国网电力科学研究院 | 一种基于静态和动态分析技术的主机系统安全评估方法 |
| CN102156832B (zh) * | 2011-03-25 | 2012-09-05 | 天津大学 | 一种Firefox扩展的安全缺陷检测方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106599683A (zh) * | 2015-10-16 | 2017-04-26 | 华为技术有限公司 | 一种确定隐藏的内核模块的方法、装置及设备 |
| CN106599683B (zh) * | 2015-10-16 | 2019-10-22 | 华为技术有限公司 | 一种确定隐藏的内核模块的方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102880702B (zh) | 2015-03-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102521536B (zh) | 数据库内核对象入侵检测方法及系统 | |
| US8091127B2 (en) | Heuristic malware detection | |
| CN101213555B (zh) | 用于处理恶意软件的方法和装置 | |
| CN103699844B (zh) | 安全保护系统及方法 | |
| CN104484617A (zh) | 一种基于多策略融合的数据库访问控制方法 | |
| CN102541729A (zh) | 软件安全漏洞检测装置和方法 | |
| CN111181918B (zh) | 基于ttp的高风险资产发现和网络攻击溯源方法 | |
| CN104063669A (zh) | 一种实时监测文件完整性的方法 | |
| CN110807187B (zh) | 一种基于区块链的网络市场违法信息存证方法及平台端 | |
| CN106951743A (zh) | 一种软件代码侵权检测方法 | |
| KR102304231B1 (ko) | 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템 및 그 방법 | |
| CN102880701A (zh) | 数据库内核入侵隐藏对象的探测方法及系统 | |
| CN102880702B (zh) | 数据库内核入侵隐藏触发器的探测方法及系统 | |
| KR102338998B1 (ko) | 로그 무결성 검사 및 이를 통한 로그 위변조 행위 증빙 시스템 및 그 방법 | |
| CN102867062B (zh) | 数据库内核入侵隐藏用户的探测方法及系统 | |
| Ellison et al. | Software supply chain risk management: From products to systems of systems | |
| GB2604771A (en) | Event log tamper resistance | |
| Rajguru et al. | Database tamper detection and analysis | |
| Liu et al. | Poster: Fingerprinting the publicly available sandboxes | |
| CN117040927B (zh) | 一种密码服务监控系统及方法 | |
| CN114978766B (zh) | 基于大数据的隐私安全保护方法、装置、设备及介质 | |
| CN103294973A (zh) | 一种解决计算机被盗的方法 | |
| CN107423581B (zh) | 软件的保护方法和装置 | |
| CN114266437A (zh) | 一种面向中小企业的数据安全运营服务的系统和方法 | |
| Lehrfeld | Insider Risk: Finding Sensitive Files in the Enterprise Using a PC's Master File Table. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Zhejiang Zhongcai Building No. 68 Binjiang District road Hangzhou City, Zhejiang Province, the 310051 and 15 layer Patentee after: Hangzhou Annan information technology Limited by Share Ltd Address before: Zhejiang Zhongcai Building No. 68 Binjiang District road Hangzhou City, Zhejiang Province, the 310051 and 15 layer Patentee before: Dbappsecurity Co.,ltd. |