CN103473353A - 面向Web安全的数据库安全防护方法和系统 - Google Patents

面向Web安全的数据库安全防护方法和系统 Download PDF

Info

Publication number
CN103473353A
CN103473353A CN2013104427016A CN201310442701A CN103473353A CN 103473353 A CN103473353 A CN 103473353A CN 2013104427016 A CN2013104427016 A CN 2013104427016A CN 201310442701 A CN201310442701 A CN 201310442701A CN 103473353 A CN103473353 A CN 103473353A
Authority
CN
China
Prior art keywords
database
fire wall
web
web server
statement
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2013104427016A
Other languages
English (en)
Other versions
CN103473353B (zh
Inventor
邹福泰
付毓飞
章思宇
易平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Jiaotong University
Original Assignee
Shanghai Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Jiaotong University filed Critical Shanghai Jiaotong University
Priority to CN201310442701.6A priority Critical patent/CN103473353B/zh
Publication of CN103473353A publication Critical patent/CN103473353A/zh
Application granted granted Critical
Publication of CN103473353B publication Critical patent/CN103473353B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种面向Web的数据库安全防护方法和系统,在Web服务器和数据库之间部署有数据库防火墙,对发送给数据库的查询请求和从数据库返回的查询结果进行智能处理,并在系统环境部署中提供安全防护机制,仅仅开放单一端口进行连接。本发明利用防火墙模块通过对输入请求和输出结果的多重处理,保障了数据库的安全,同时通过Web服务器端独特的环境部署方式为数据库添加了安全保证。

Description

面向Web安全的数据库安全防护方法和系统
技术领域
本发明涉及信息安全技术领域,尤其涉及一种面向Web安全的数据库安全防护方法和系统。
背景技术
数据库(Database)是按照数据结构来组织、存储和管理数据的仓库,它产生于距今五十年前,随着信息技术和市场的发展,特别是二十世纪九十年代以后,数据管理不再仅仅是存储和管理数据,而转变成用户所需要的各种数据管理的方式。数据库有很多种类型,从最简单的存储有各种数据的表格到能够进行海量数据存储的大型数据库系统都在各个方面得到了广泛的应用。但随之而来产生了数据库的安全问题。数据库系统作为信息的聚合体,是计算机信息系统的核心部件,其安全性至关重要。
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况,需要构造巧妙的SQL语句,从而成功获取想要的数据。如何为数据库提供安全防护,成为目前亟需解决的问题。
因此,本领域的技术人员致力于开发一种面向Web的数据库安全防护方法和系统,通过多重保护,为数据库提供全方位的安全。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是提供一种面向Web的数据库安全防护方法和系统,在服务器端提高数据库安全性,在Web端被攻击之后,也同样保证数据库的安全。
为实现上述目的,本发明提供了一种面向Web的数据库安全防护方法,包含如下步骤:
(1)Web服务器将数据库查询的请求发送给数据库防火墙;
(2)所述数据库防火墙经过智能处理后,递交所述数据库查询到数据库或者直接拦截;
(3)所述数据库防火墙得到来自所述数据库的返回结果,经过智能处理后返回给所述Web服务器。
在本发明的较佳实施方式中,所述步骤(2)中所述数据库防火墙的智能处理步骤如下:
(2-1)对所述数据库查询语句规格化处理;
(2-2)与所述数据库防火墙的白名单中的语句进行匹配,如果匹配上,则转步骤(2-3),如果没有匹配上,则转步骤(2-4);
(2-3)直接递交给数据库,等待返回结果;
(2-4)所述查询语句是否涉及了网站的敏感表,如果含有,那么拦截查询;没有涉及所述敏感表,则所述查询请求语句是否包含渗透攻击的关键词,如果有,作为攻击语句进行拦截,如果没有,视为这条请求正常,放行通过,递交给所述数据库。
在本发明的另一较佳实施方式中,所述白名单是通过所述Web服务器正常运行状况下产生的数据库日志提取而来。
在本发明的较佳实施方式中,所述步骤(3)中所述数据库防火墙的智能处理步骤如下:
(3-1)判断所述数据库返回结果是否包含敏感信息,如果包含所述敏感信息,所述数据库防火墙会依据网站管理员给定的条目阈值对输出结果作处理;
(3-2)如果所述输出结果在所述阈值以内,视为正常,递交给所述Web服务器,如果所述输出结果超过阈值,认为有攻击者试图发起拖库攻击,直接拦截。
在本发明的另一较佳实施方式中,所述敏感信息包括身份证号和密码。
一种面向Web安全的数据库安全防护系统,包括Web服务器、数据库防火墙和数据库,所述Web服务器将接收到的数据库查询请求发送给所述数据库防火墙,所述数据库库防火墙对所述数据查询请求进行智能处理后,递交所述数据库查询到数据库或者直接拦截,其特征在于,所述Web服务器连接开放单一端口的所述数据库防火墙,所述数据库防火墙连接开放单一端口的所述数据库。
在本发明的较佳实施方式中,所述数据库防火墙的智能处理包括白名单过滤、敏感表比对、渗透语句防御和输出结果审核。
本发明提供的面向Web安全的数据库安全防护方法和系统,在数据库遭遇安全威胁的时候,数据库防火墙会智能依据处理流程拦截带有攻击性的查询语句,避免了敏感信息的外泄。同时,如果因为管理员的考虑不够周全,对攻击语句的拦截有所遗漏,防火墙还可以在输出结果的时候继续调整结果。通过多重保护,为数据库提供全方位的安全。再者,Web服务器端的环境部署还保证了Web端被入侵时,防火墙能继续工作,从而继续为数据库提供安全保证。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的一个较佳实施例的服务器环境部署;
图2是发明的一个较佳实施例的防护系统工作流程;
图3是发明的一个较佳实施例的数据防火墙对查询请求处理的工作流程;
图4是发明的一个较佳实施例的数据防火墙对数据库输出结果处理的工作流程。
具体实施方式
如图1所示,一种数据库安全防护系统,在Web服务器和数据库之间部署有数据库防火墙,对发送给数据库的查询请求和从数据库返回的查询结果进行智能处理,包括白名单过滤、敏感表比对、渗透语句防御和输出结果审核等处理,为数据库的安全访问提供保证。并且在系统环境部署中提供安全防护机制,即Web服务器连接开放单一端口的数据库防火墙,数据库防火墙连接开放单一端口的数据库。单一端口开放的设计保证了Web端被入侵时,防火墙能继续工作,从而继续为数据库提供安全保证。
防护系统的工作流程如图2所示,Web服务器将数据库查询的请求发送给数据库防火墙。防火墙经过智能处理之后,递交查询或者直接拦截。如果防火墙得到了来自数据库的返回结果,再一次处理,然后才返回给Web服务器。
数据防火墙对查询请求处理的工作流程如图3所示,具体步骤为:
(1)对数据库查询语句规格化处理;
(2)与数据库防火墙的白名单中的语句进行匹配,白名单是通过Web服务器正常运行状况下产生的数据库日志提取而来。如果匹配上,则转步骤(3),如果没有匹配上,则转步骤(4);
(3)直接递交给数据库,等待返回结果;
(4)进一步关注所述查询语句是否涉及了网站的敏感表,如果含有,那么拦截查询,系统将不在白名单中却涉及敏感表的查询作为攻击语句处理;如果所述查询请求没有涉及所述敏感表,继续关注所述查询请求语句是否包含渗透攻击的一些关键词,如果有,作为攻击语句进行拦截,如果没有,视为这条请求正常,放行通过,递交给所述数据库。
数据防火墙对数据库输出结果处理的工作流程如图4所示,其步骤如下:
(1)判断数据库返回结果是否包含敏感信息,比如身份证号,密码等;如果包含敏感信息,数据库防火墙会依据网站管理员给定的条目阈值对输出结果作处理;
(2)如果输出结果在所述阈值以内,视为正常,递交给所述Web服务器;如果输出结果超过阈值,认为有攻击者试图发起拖库攻击,直接拦截。
本发明通过防火墙模块通过对输入请求和输出结果的多重处理,保障了数据库的安全。而Web服务器端独特的单一端口连接环境部署方式更是为数据库添加了有力的安全保证。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。

Claims (7)

1.一种面向Web的数据库安全防护方法,其特征在于,包含如下步骤:
(1)Web服务器将数据库查询的请求发送给数据库防火墙;
(2)所述数据库防火墙经过智能处理后,递交所述数据库查询到数据库或者直接拦截;
(3)所述数据库防火墙得到来自所述数据库的返回结果,经过智能处理后返回给所述Web服务器。
2.如权利要求1所述的面向Web的数据库安全防护方法,其中,所述步骤(2)中所述数据库防火墙的智能处理步骤如下:
(2-1)对所述数据库查询语句规格化处理;
(2-2)与所述数据库防火墙的白名单中的语句进行匹配,如果匹配上,则转步骤(2-3),如果没有匹配上,则转步骤(2-4);
(2-3)直接递交给数据库,等待返回结果;
(2-4)所述查询语句是否涉及了网站的敏感表,如果含有,那么拦截查询;没有涉及所述敏感表,则所述查询请求语句是否包含渗透攻击的关键词,如果有,作为攻击语句进行拦截,如果没有,视为这条请求正常,放行通过,递交给所述数据库。
3.如权利要求2所述的面向Web的数据库安全防护方法,其中,所述白名单是通过所述Web服务器正常运行状况下产生的数据库日志提取而来。
4.如权利要求1所述的面向Web的数据库安全防护方法,其中,所述步骤(3)中所述数据库防火墙的智能处理步骤如下:
(3-1)判断所述数据库返回结果是否包含敏感信息,如果包含所述敏感信息,所述数据库防火墙会依据网站管理员给定的条目阈值对输出结果作处理;
(3-2)如果所述输出结果在所述阈值以内,视为正常,递交给所述Web服务器,如果所述输出结果超过阈值,认为有攻击者试图发起拖库攻击,直接拦截。
5.如权利要求4所述的面向Web的数据库安全防护方法,其中,所述敏感信息包括身份证号和密码。
6.一种面向Web安全的数据库安全防护系统,包括Web服务器、数据库防火墙和数据库,所述Web服务器将接收到的数据库查询请求发送给所述数据库防火墙,所述数据库库防火墙对所述数据查询请求进行智能处理后,递交所述数据库查询到数据库或者直接拦截,其特征在于,所述Web服务器连接开放单一端口的所述数据库防火墙,所述数据库防火墙连接开放单一端口的所述数据库。
7.如权利要求6所述的面向Web的数据库安全防护方法,其中,所述数据库防火墙的智能处理包括白名单过滤、敏感表比对、渗透语句防御和输出结果审核。
CN201310442701.6A 2013-09-25 2013-09-25 面向Web安全的数据库安全防护方法和系统 Expired - Fee Related CN103473353B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310442701.6A CN103473353B (zh) 2013-09-25 2013-09-25 面向Web安全的数据库安全防护方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310442701.6A CN103473353B (zh) 2013-09-25 2013-09-25 面向Web安全的数据库安全防护方法和系统

Publications (2)

Publication Number Publication Date
CN103473353A true CN103473353A (zh) 2013-12-25
CN103473353B CN103473353B (zh) 2017-02-08

Family

ID=49798201

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310442701.6A Expired - Fee Related CN103473353B (zh) 2013-09-25 2013-09-25 面向Web安全的数据库安全防护方法和系统

Country Status (1)

Country Link
CN (1) CN103473353B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105763534A (zh) * 2016-01-21 2016-07-13 厦门市三驾马车网络科技有限公司 一种内容陷阱检测web系统数据库信息泄露的方法
CN105786821A (zh) * 2014-12-19 2016-07-20 北京神州泰岳信息安全技术有限公司 数据库审计方法及装置
CN106330860A (zh) * 2016-08-08 2017-01-11 西安工程大学 一种安全访问数据库的安全接口及其交易流程
CN106445936A (zh) * 2015-08-05 2017-02-22 中国移动通信集团福建有限公司 一种数据处理方法及设备
CN107194276A (zh) * 2017-05-03 2017-09-22 上海上讯信息技术股份有限公司 数据库动态脱敏方法及设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101388763A (zh) * 2007-09-12 2009-03-18 北京启明星辰信息技术有限公司 一种支持多种数据库类型的sql注入攻击检测系统
CN101515931A (zh) * 2009-03-24 2009-08-26 北京理工大学 一种基于代理方式的数据库安全增强方法
CN202652255U (zh) * 2012-05-25 2013-01-02 中国电力科学研究院 一种sql注入安全防护系统
US20130133059A1 (en) * 2010-08-02 2013-05-23 Green Sql Ltd Reverse proxy database system and method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101388763A (zh) * 2007-09-12 2009-03-18 北京启明星辰信息技术有限公司 一种支持多种数据库类型的sql注入攻击检测系统
CN101515931A (zh) * 2009-03-24 2009-08-26 北京理工大学 一种基于代理方式的数据库安全增强方法
US20130133059A1 (en) * 2010-08-02 2013-05-23 Green Sql Ltd Reverse proxy database system and method
CN202652255U (zh) * 2012-05-25 2013-01-02 中国电力科学研究院 一种sql注入安全防护系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
HARDMAN: "数据库防火墙", 《HTTP://BAIKE.BAIDU.COM/HISTORY/%E6%95%B0%E6%8D%AE%E5%BA%93%E9%98%B2%E7%81%AB%E5%A2%99/48836634》 *
牛春梅: "基于异常检测的web应用数据库防火墙系统研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105786821A (zh) * 2014-12-19 2016-07-20 北京神州泰岳信息安全技术有限公司 数据库审计方法及装置
CN106445936A (zh) * 2015-08-05 2017-02-22 中国移动通信集团福建有限公司 一种数据处理方法及设备
CN105763534A (zh) * 2016-01-21 2016-07-13 厦门市三驾马车网络科技有限公司 一种内容陷阱检测web系统数据库信息泄露的方法
CN106330860A (zh) * 2016-08-08 2017-01-11 西安工程大学 一种安全访问数据库的安全接口及其交易流程
CN107194276A (zh) * 2017-05-03 2017-09-22 上海上讯信息技术股份有限公司 数据库动态脱敏方法及设备

Also Published As

Publication number Publication date
CN103473353B (zh) 2017-02-08

Similar Documents

Publication Publication Date Title
Hossain et al. Combating dependence explosion in forensic analysis using alternative tag propagation semantics
Tajpour et al. SQL injection detection and prevention tools assessment
Liu et al. SQLProb: a proxy-based architecture towards preventing SQL injection attacks
US10404744B2 (en) Database query injection detection and prevention
CN103473501B (zh) 一种基于云安全的恶意软件追踪方法
US8225402B1 (en) Anomaly-based detection of SQL injection attacks
Balasundaram et al. An efficient technique for detection and prevention of SQL injection attack using ASCII based string matching
CN103744802A (zh) Sql注入攻击的识别方法及装置
CN103473353A (zh) 面向Web安全的数据库安全防护方法和系统
Ghafarian A hybrid method for detection and prevention of SQL injection attacks
US10043004B2 (en) Method of correlating static and dynamic application security testing results for a web and mobile application
CN102567546B (zh) 一种sql注入检测方法及装置
Tajpour et al. Web application security by sql injection detectiontools
US20160246965A1 (en) Method of Correlating Static and Dynamic Application Security Testing Results for a Web Application
CN103218561B (zh) 一种保护浏览器的防篡改方法和装置
CN109413046A (zh) 一种网络防护方法、系统及终端设备
Poudyal et al. Malware analytics: Review of data mining, machine learning and big data perspectives
Shrivastava et al. SQL injection attacks: Technique and prevention mechanism
US20170134408A1 (en) Standard metadata model for analyzing events with fraud, attack, or any other malicious background
Gonzalez et al. Database SQL injection security problem handling with examples
Chaki et al. A Survey on SQL Injection Prevention Methods
Bu et al. Security Checking of Trigger-Action-Programming Smart Home Integrations
Asha et al. Preventing sql injection attacks
Doroudian et al. Database intrusion detection system for detecting malicious behaviors in transaction and inter-transaction levels
Kharche et al. Preventing SQL Injection attack using pattern matching algorithm

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20170208

CF01 Termination of patent right due to non-payment of annual fee