CN103473381A - 数据库安全评估方法 - Google Patents

数据库安全评估方法 Download PDF

Info

Publication number
CN103473381A
CN103473381A CN2013104754215A CN201310475421A CN103473381A CN 103473381 A CN103473381 A CN 103473381A CN 2013104754215 A CN2013104754215 A CN 2013104754215A CN 201310475421 A CN201310475421 A CN 201310475421A CN 103473381 A CN103473381 A CN 103473381A
Authority
CN
China
Prior art keywords
database
leak
security
attack
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2013104754215A
Other languages
English (en)
Other versions
CN103473381B (zh
Inventor
陈志德
吴纪芸
许力
黄欣沂
郑金花
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fuzhou Yu Ke Information Technology Co Ltd
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201310475421.5A priority Critical patent/CN103473381B/zh
Priority claimed from CN201310475421.5A external-priority patent/CN103473381B/zh
Publication of CN103473381A publication Critical patent/CN103473381A/zh
Application granted granted Critical
Publication of CN103473381B publication Critical patent/CN103473381B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明涉及一种数据库安全评估方法,属于数据库安全技术领域。该方法中包括以下几个模块:(1)信息收集模块;(2)审计模块;(3)渗透测试模块;(4)痕迹处理模块;(5)评估模块;(6)系统控制模块。该模块采用可编程控制器实现,与其余模块相连接,控制各个模块的运作和数据传输。本发明针对一些商用漏洞扫描工具在实际应用中存在隐藏测试结果的问题,可以提供具有可靠性和安全性的数据库安全评估报告,并强调数据库当前存在的漏洞风险等级,直观地让数据库管理员了解数据库当前面临的安全问题,完善了安全策略,降低了安全风险。

Description

数据库安全评估方法
技术领域
本发明涉及一种数据库安全评估方法,利用扫描到的数据库漏洞对其进行模拟攻击,提供具有安全性和可靠性的评估报告,属于数据库安全技术领域。
背景技术
随着数据库应用的逐渐广泛,数据库安全问题备受关注。现如今,数据库通常存在的漏洞有口令复杂度低、低安全设置级别、启动不必要的数据库功能、数据泄露、缓冲区溢出等。这些安全漏洞和不恰当配置通常会带来严重的后果。
由于现阶段缺乏数据库安全评估工具,漏洞风险等级不断提升,数据库管理员无法及时发现数据库面临的安全问题。渗透测试完全模拟黑客的入侵和攻击手段,利用数据库存在的安全漏洞,在可控制和非破坏性的范围之内,对数据库进行模拟攻击,能够让管理员直观地知道数据库存在的安全漏洞。
一般常用的数据库渗透测试工具有DSQLTools(SQL注入工具)、nbsi3.0(MSS-QL注入工具)、mysqlweak(Mysql数据库弱口令扫描器)、pangolin(数据库注入工具)、db2utils(DB2漏洞利用工具)、oscanner(Oracle扫描工具)、oracle_chec-kpwd_big(Oracle弱口令猜解工具)等,但这些商用的漏洞扫描工具在实际应用中存在隐藏测试结果的问题,若无法对某种漏洞进行测试,无法了解存在漏洞的风险等级,数据库管理员会误以为数据库是安全的,可实际上却存在安全隐患。所以,提供具有可靠性和安全性的评估报告和漏洞风险等级是保证数据库管理员及时了解数据库是否安全的必要基础。 
发明内容
本发明的目的在于利用扫描到的数据库漏洞对其进行非破坏性质的渗透测试,提供最具有安全性和可靠性的评估报告,强调数据库当前存在的漏洞风险等级,及时提醒数据库管理员完善安全策略,降低安全风险。 
为了实现上述目的,本发明的技术方案如下。 
一种数据库安全评估方法,包括以下几个模块:
(1)信息收集模块:主要对目标任务软硬件环境、用户设置、拓扑情况、应用情况有一个基本的了解,为更深入地进行渗透测试提供资料,可以有针对性地制定出渗透测试方案;
利用信息收集模块收集数据库端口扫描,账号扫描,口令、权限结构、版本信息、配置选项等基本信息。通过信息收集,可以基本确定一个数据库的基本信息和它可能存在以及被利用的安全弱点或易被猜解的口令,为进行深层次的渗透提供依据。
(2)审计模块:对数据库进行审计工作,精确地监控所有访问及操作请求;数据库审计模块实时监控数据库活动,将网络与网关相连,监听网络上的数据包,读取包体信息,将包体信息连同捕获的接收时间、发送端IP和接收端IP、库、表、函数等重要信息字段连同SQL操作命令保存至对应的数据库表中,同时记录这些SQL操作是否成功。
(3)渗透测试模块:模拟黑客使用的攻击技术,针对分析出的数据库漏洞进行深入的探测,让管理员知道数据库最脆弱的环节;进行渗透测试的数据库应用系统为MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等。
其中,渗透测试模块包括以下步骤:
步骤一:利用扫描或嗅探技术对目标任务进行测试,若识别出口令为空,则利用SQL Tools工具或手工方式对数据库进行违规操作;若识别出口令为弱,则使用暴力攻击,不断输入枚举的用户名和密码组合,直到可以登录为止,获得口令,进而利用SQL Tools工具或手工方式对数据库进行违规操作。
数据库的违规操作方法包括:
①访问不可能存在的文件或数据;
②窃取无访问权限的数据,破坏数据库的数据完整性;
③实用暴力攻击获取数据库的访问权限,获得控制权;
④增加SQL账户或执行DOS命令。
步骤二:若识别不出空/弱口令,则扫描目标任务看其是否存在安全漏洞,若存在安全漏洞,则利用漏洞进行渗透测试,其中主要的漏洞类型包括:
(3a)权限漏洞:
①权限提升漏洞。在内置函数、SQL操作指令中找到安全漏洞,利用漏洞将普通用户的权限提升为管理员权限,进而可以获取数据库资料,恶意篡改数据等。
②随意授予权限漏洞。利用用户的普通权限对数据库执行自身权限以外的操作。
(3b)安装漏洞:
①安全设置级别低。
②启动不必要的数据库功能。
(3c)产品漏洞:
①拒绝服务攻击漏洞。向目标任务发送少量数据导致其资源被大幅占用,从而拒绝服务。
②缓冲区溢出漏洞:向有限空间的缓冲区拷贝一个过长的字符串,可导致程序瘫痪,造成宕机、重启;或者运行恶意代码,执行任意指令,获得权限。
(4)、痕迹处理模块。清除攻击痕迹,包括清除应用程序日志、安全日志、系统日志;
(5)、评估模块。根据攻击结果,对数据库的安全性进行评估,并生成报告。
攻击服务器根据渗透测试攻击结果的反馈信息,对目标任务是否存在漏洞以及漏洞风险等级多大以文本形式输出,将此文本信息传输给目标任务服务器。评估报告中的漏洞风险等级从低到高可做以下划分:
一级:扫描无漏洞,但这并不代表数据库无漏洞风险;
二级:危害级别轻微的漏洞,例如数据库安全漏洞,此类漏洞比较不容易构成严重后果;
三级:危害级别较小的漏洞,例如可获取非机密性质的文件资料,但不造成严重数据泄露;
四级:危害级别一般的漏洞,例如拒绝服务攻击漏洞、随意授予权限漏洞、空/弱口令漏洞等;
五级:危害级别严重的漏洞,例如缓冲区溢出漏洞、权限提升漏洞、数据严重泄露和篡改。
(6)系统控制模块。该模块采用可编程控制器实现,与其余模块相连接,控制各个模块的运作和数据传输。
该发明的有益效果在于:本发明针对一些商用漏洞扫描工具在实际应用中存在隐藏测试结果的问题,可以提供具有可靠性和安全性的数据库安全评估报告,并强调数据库当前存在的漏洞风险等级,直观地让数据库管理员了解数据库当前面临的安全问题,完善了安全策略,降低了安全风险。
附图说明
图1为本发明实施例中的功能模块连接图;
图2为本发明实施例中信息收集模块的技术示意图;
图3为本发明实施例中渗透测试模块实施流程图。
具体实施方式
下面结合实施例进一步阐述该发明的具体实施方式。
实施例
如图1所示的数据库安全评估方法包括信息收集和分析模块、审计模块、渗透测试模块、痕迹处理模块、评估模块和系统控制模块。系统控制模块采用可编程控制器实现,与其余各模块相连接,控制各个模块的运作和数据传输。
本实施例中,数据库安全评估方法分为以下几个实施步骤:
步骤一:对目标任务进行信息收集,对目标任务软硬件环境、用户设置、拓扑情况、应用情况有一个基本的了解,为更深入地进行渗透测试提供资料,可以有针对性地制定出渗透测试方案;
如图2所示,信息收集采用攻击服务器与远程目标任务的数据库进行数据同步的方法。当启动信息收集应用程序时,即当攻击服务器要接收目标任务的数据库信息时,该服务器向目标任务的服务器端发出HTTP请求,目标任务的服务器与数据库连接,执行SQL请求。接着数据被传送到攻击服务器中,复制到攻击服务器所连接的数据库中。
利用信息收集模块收集数据库端口扫描,账号扫描,口令、权限结构、版本信息、配置选项等基本信息。通过信息收集,可以基本确定一个数据库的基本信息和它可能存在以及被利用的安全弱点或易被猜解的口令,为进行深层次的渗透提供依据。
步骤二:通过弱点对数据库进行审计工作,精确地监控所有访问及操作请求;数据库审计模块实时监控数据库活动,将网络与网关相连,监听网络上的数据包,读取包体信息,将包体信息连同捕获的接收时间、发送端IP和接收端IP、库、表、函数等重要信息字段连同SQL操作命令保存至对应的数据库表中,同时记录这些SQL操作是否成功。
步骤三:模拟黑客使用的攻击技术,针对分析出的数据库漏洞进行渗透测试,让数据库管理员知道数据库最脆弱的环节;进行渗透测试的数据库应用系统为MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等。
如图3所示,渗透测试模块包括以下步骤:
(1)利用扫描或嗅探技术对目标任务进行测试,若识别出口令为空,则利用SQL Tools工具或手工方式对数据库进行违规操作;若识别出口令为弱,则使用暴力攻击,不断输入枚举的用户名和密码组合,直到可以登录为止,获得口令,进而利用SQL Tools工具或手工方式对数据库进行违规操作。
数据库的违规操作方法包括:
①访问不可能存在的文件或数据;
②窃取无访问权限的数据,破坏数据库的数据完整性;
③实用暴力攻击获取数据库的访问权限,获得控制权;
④增加SQL账户或执行DOS命令。
(2)若识别不出空/弱口令,则扫描目标任务看其是否存在安全漏洞,若存在安全漏洞,则利用漏洞进行渗透测试,其中主要的漏洞类型包括:
(2a)权限漏洞:
①权限提升漏洞。在内置函数、SQL操作指令中找到安全漏洞,利用漏洞将普通用户的权限提升为管理员权限,进而可以获取数据库资料,恶意篡改数据等。
②随意授予权限漏洞。利用用户的普通权限对数据库执行自身权限以外的操作。
(2b)安装漏洞:
①安全设置级别低。
②启动不必要的数据库功能。
(2c)产品漏洞:
①拒绝服务攻击漏洞。向目标任务发送少量数据导致其资源被大幅占用,从而拒绝服务。 ②缓冲区溢出漏洞:向有限空间的缓冲区拷贝一个过长的字符串,可导致程序瘫痪,造成宕机、重启;或者运行恶意代码,执行任意指令,获得权限。
步骤四:清除攻击痕迹,包括清除应用程序日志、安全日志、系统日志;
痕迹清除模块采用clearlog.exe工具,方法为:
(1)清除目标任务应用程序日志为clearlogs \ip -app;(2)清除目标任务安全日志为clearlogs \ip -sec;(3)清除目标任务系统日志为clearlogs \ip -sys。
步骤五:根据攻击结果,对数据库的安全性进行评估,并生成报告。
攻击服务器根据渗透测试攻击结果的反馈信息,对目标任务是否存在漏洞以及漏洞风险等级多大以文本形式输出,将此文本信息传输给目标任务服务器。其中,评估报告中的漏洞风险等级从低到高可做以下划分:
一级:扫描无漏洞,但这并不代表数据库无漏洞风险;
二级:危害级别轻微的漏洞,例如数据库安全漏洞,此类漏洞比较不容易构成严重后果;
三级:危害级别较小的漏洞,例如可获取非机密性质的文件资料,但不造成严重数据泄露;
四级:危害级别一般的漏洞,例如拒绝服务攻击漏洞、随意授予权限漏洞、空/弱口令漏洞等;
五级:危害级别严重的漏洞,例如缓冲区溢出漏洞、权限提升漏洞、数据严重泄露和篡改。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。

Claims (9)

1.一种数据库安全评估方法,其特征在于:包括以下几个模块:
(1)信息收集和分析模块:对目标任务软硬件环境、用户设置、拓扑情况、应用情况有一个基本的了解,分析数据库存在的弱点,为更深入地进行渗透测试提供资料,可以有针对性地制定出渗透测试方案;
(2)审计模块:通过弱点对数据库进行审计工作,精确地监控所有访问及操作请求;
(3)渗透测试模块:模拟黑客使用的攻击技术,针对分析出的数据库漏洞进行深入的探测,让管理员知道数据库最脆弱的环节;
(4)痕迹处理模块:清除攻击痕迹,包括清除应用程序日志、安全日志、系统日志;
(5)评估模块:根据攻击结果,对数据库的安全性进行评估,并生成报告;
(6)系统控制模块:该模块采用可编程控制器实现,与其余模块相连接,控制各个模块的运作和数据传输。
2.根据权利要求1所述的数据库安全评估方法,其特征在于:所述信息收集模块用于收集数据库端口扫描,账号扫描,口令、权限结构、版本信息、配置选项等基本信息,以基本确定一个数据库的基本信息和它可能存在以及被利用的安全弱点或易被猜解的口令,为进行深层次的渗透提供依据;信息收集采用攻击服务器与远程目标任务的数据库进行数据同步的方法;当启动信息收集应用程序时,即当攻击服务器要接收目标任务的数据库信息时,该服务器向目标任务的服务器端发出HTTP请求,目标任务的服务器与数据库连接,执行SQL请求,接着数据被传送到攻击服务器中,复制到攻击服务器所连接的数据库中。
3.根据权利要求1所述的数据库安全评估方法,其特征在于:所述数据库审计模块实时监控数据库活动,将网络与网关相连,监听网络上的数据包,读取包体信息,将包体信息连同捕获的接收时间、发送端IP和接收端IP、库、表、函数等重要信息字段连同SQL操作命令保存至对应的数据库表中,同时记录这些SQL操作是否成功。
4.根据权利要求1所述的数据库安全评估方法,其特征在于:所述渗透测试模块包括以下步骤:
步骤一:利用扫描或嗅探技术对目标任务进行测试,若识别出口令为空,则利用攻击工具或手工攻击方式对数据库进行违规操作;若识别出口令为弱,则使用暴力攻击,不断输入枚举的用户名和密码组合,直到可以登录为止,获得口令,进而利用攻击工具或手工攻击方式对数据库进行违规操作;
步骤二:若识别不出空/弱口令,则扫描目标任务看其是否存在安全漏洞,若存在安全漏洞,则利用漏洞进行渗透测试,其中主要的漏洞类型包括:
(1)权限漏洞:包括:①权限提升漏洞:在内置函数、SQL操作指令中找到安全漏洞,利用漏洞将普通用户的权限提升为管理员权限,进而可以获取数据库资料,恶意篡改数据等;②随意授予权限漏洞:利用用户的普通权限对数据库执行自身权限以外的操作;
(2)安装漏洞:包括:①安全设置级别低;②启动不必要的数据库功能;
(3)产品漏洞:包括:①拒绝服务攻击漏洞:向目标任务发送少量数据导致其资源被大幅占用,从而拒绝服务;②缓冲区溢出漏洞:向有限空间的缓冲区拷贝一个过长的字符串,可导致程序瘫痪,造成宕机、重启;或者运行恶意代码,执行任意指令,获得权限。
5.根据权利要求1所述的数据库安全评估方法,其特征在于:所述痕迹清除模块采用clearlog.exe工具,具体方法为:
(1)清除目标任务应用程序日志为clearlogs \ip -app;(2)清除目标任务安全日志为clearlogs \ip -sec;(3)清除目标任务系统日志为clearlogs \ip -sys。
6.根据权利要求4所述的数据库安全评估方法,其特征在于:所述步骤一中,对数据库的违规操作方法包括:①访问不可能存在的文件或数据;②窃取无访问权限的数据,破坏数据库的数据完整性;③实用暴力攻击获取数据库的访问权限,获得控制权;④增加SQL账户或执行DOS命令。
7.根据权利要求4所述的数据库安全评估方法,其特征在于:所述步骤二中,渗透测试的数据库应用系统可以为MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access中的一种,根据攻击结果,对数据库的安全性进行评估,生成报告。
8.根据权利要求2所述的数据库安全评估方法,其特征在于:所述攻击服务器根据渗透测试攻击结果的反馈信息,对目标任务是否存在漏洞以及漏洞风险等级多大以文本形式输出,将此文本信息传输给目标任务服务器。
9.根据权利要求8所述的数据库安全评估方法,其特征在于:所述漏洞风险等级从低到高划分为:
一级:扫描无漏洞;
二级:危害级别轻微的漏洞,例如数据库安装漏洞,此类漏洞比较不容易构成严重后果;
三级:危害级别较小的漏洞,例如可获取非机密性质的文件资料,但不造成严重数据泄露;
四级:危害级别一般的漏洞,例如拒绝服务攻击漏洞、随意授予权限漏洞、空/弱口令漏洞等;
五级:危害级别严重的漏洞,例如缓冲区溢出漏洞、权限提升漏洞、数据严重泄露和篡改等。
CN201310475421.5A 2013-10-13 数据库安全评估方法 Expired - Fee Related CN103473381B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310475421.5A CN103473381B (zh) 2013-10-13 数据库安全评估方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310475421.5A CN103473381B (zh) 2013-10-13 数据库安全评估方法

Publications (2)

Publication Number Publication Date
CN103473381A true CN103473381A (zh) 2013-12-25
CN103473381B CN103473381B (zh) 2018-08-31

Family

ID=

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104751047A (zh) * 2013-12-31 2015-07-01 北京新媒传信科技有限公司 一种弱口令扫描方法和装置
CN105608380A (zh) * 2015-12-21 2016-05-25 内蒙古农业大学 一种基于虚拟机生命周期的云计算安全性评估方法
CN106250768A (zh) * 2016-07-21 2016-12-21 杭州安恒信息技术有限公司 一种数据库对象脚本安全漏洞的行为检测方法
CN107146150A (zh) * 2017-04-12 2017-09-08 国家电网公司 审计对象的审计方法、装置、存储介质及处理器
CN107885995A (zh) * 2017-10-09 2018-04-06 阿里巴巴集团控股有限公司 小程序的安全扫描方法、装置以及电子设备
CN108769022A (zh) * 2018-05-29 2018-11-06 浙江大学 一种用于渗透测试的工业控制系统安全实验平台
CN109325044A (zh) * 2018-09-20 2019-02-12 快云信息科技有限公司 一种数据库的审计日志处理方法及相关装置
CN109871683A (zh) * 2019-01-24 2019-06-11 深圳昂楷科技有限公司 一种数据库防护系统及方法
CN110198252A (zh) * 2019-04-12 2019-09-03 曙光信息产业股份有限公司 数据库安全的评估方法以及装置
CN110457897A (zh) * 2019-07-17 2019-11-15 福建龙田网络科技有限公司 一种基于通信协议与sql语法的数据库安全检测方法
CN110909363A (zh) * 2019-11-25 2020-03-24 中国人寿保险股份有限公司 基于大数据的软件第三方组件漏洞应急响应系统及方法
CN111177765A (zh) * 2020-01-06 2020-05-19 广州知弘科技有限公司 金融大数据处理方法、存储介质和系统
CN111488586A (zh) * 2020-04-17 2020-08-04 北京墨云科技有限公司 一种基于ai的自动化渗透测试系统的后渗透方法
CN112861142A (zh) * 2021-02-22 2021-05-28 北京安华金和科技有限公司 数据库的风险等级确定方法和装置、存储介质及电子装置
CN113505371A (zh) * 2021-08-06 2021-10-15 四川大学 数据库安全风险评估系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1737837A (zh) * 2005-07-26 2006-02-22 北京同方信息安全技术股份有限公司 一种基于面向对象数据库的信息资产评估方法
CN1760863A (zh) * 2005-09-30 2006-04-19 南京大学 基于关系数据库信息技术产品的保护轮廓一致性检查方法
US20130238677A1 (en) * 2010-02-26 2013-09-12 Salesforce.Com, Inc. System, method and computer program product for using a database to access content stored outside of the database
US20130246292A1 (en) * 2012-03-16 2013-09-19 Zane Dick System and method for verified compliance implementation

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1737837A (zh) * 2005-07-26 2006-02-22 北京同方信息安全技术股份有限公司 一种基于面向对象数据库的信息资产评估方法
CN1760863A (zh) * 2005-09-30 2006-04-19 南京大学 基于关系数据库信息技术产品的保护轮廓一致性检查方法
US20130238677A1 (en) * 2010-02-26 2013-09-12 Salesforce.Com, Inc. System, method and computer program product for using a database to access content stored outside of the database
US20130246292A1 (en) * 2012-03-16 2013-09-19 Zane Dick System and method for verified compliance implementation

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张亚维: "数据库安全防护工具实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104751047A (zh) * 2013-12-31 2015-07-01 北京新媒传信科技有限公司 一种弱口令扫描方法和装置
CN105608380A (zh) * 2015-12-21 2016-05-25 内蒙古农业大学 一种基于虚拟机生命周期的云计算安全性评估方法
CN106250768B (zh) * 2016-07-21 2019-02-22 杭州安恒信息技术股份有限公司 一种数据库对象脚本安全漏洞的行为检测方法
CN106250768A (zh) * 2016-07-21 2016-12-21 杭州安恒信息技术有限公司 一种数据库对象脚本安全漏洞的行为检测方法
CN107146150A (zh) * 2017-04-12 2017-09-08 国家电网公司 审计对象的审计方法、装置、存储介质及处理器
CN107885995A (zh) * 2017-10-09 2018-04-06 阿里巴巴集团控股有限公司 小程序的安全扫描方法、装置以及电子设备
US10846402B2 (en) 2017-10-09 2020-11-24 Advanced New Technologies Co., Ltd. Security scanning method and apparatus for mini program, and electronic device
CN108769022A (zh) * 2018-05-29 2018-11-06 浙江大学 一种用于渗透测试的工业控制系统安全实验平台
CN108769022B (zh) * 2018-05-29 2020-05-19 浙江大学 一种用于渗透测试的工业控制系统安全实验系统
CN109325044A (zh) * 2018-09-20 2019-02-12 快云信息科技有限公司 一种数据库的审计日志处理方法及相关装置
CN109871683B (zh) * 2019-01-24 2021-04-27 深圳昂楷科技有限公司 一种数据库防护系统及方法
CN109871683A (zh) * 2019-01-24 2019-06-11 深圳昂楷科技有限公司 一种数据库防护系统及方法
CN110198252A (zh) * 2019-04-12 2019-09-03 曙光信息产业股份有限公司 数据库安全的评估方法以及装置
CN110457897A (zh) * 2019-07-17 2019-11-15 福建龙田网络科技有限公司 一种基于通信协议与sql语法的数据库安全检测方法
CN110909363A (zh) * 2019-11-25 2020-03-24 中国人寿保险股份有限公司 基于大数据的软件第三方组件漏洞应急响应系统及方法
CN111177765A (zh) * 2020-01-06 2020-05-19 广州知弘科技有限公司 金融大数据处理方法、存储介质和系统
CN111488586A (zh) * 2020-04-17 2020-08-04 北京墨云科技有限公司 一种基于ai的自动化渗透测试系统的后渗透方法
CN111488586B (zh) * 2020-04-17 2023-08-11 北京墨云科技有限公司 一种基于ai的自动化渗透测试系统的后渗透方法
CN112861142A (zh) * 2021-02-22 2021-05-28 北京安华金和科技有限公司 数据库的风险等级确定方法和装置、存储介质及电子装置
CN113505371A (zh) * 2021-08-06 2021-10-15 四川大学 数据库安全风险评估系统
CN113505371B (zh) * 2021-08-06 2022-03-15 四川大学 数据库安全风险评估系统

Similar Documents

Publication Publication Date Title
CN106411578B (zh) 一种适应于电力行业的网站监控系统及方法
CN104468267B (zh) 一种配电自动化系统信息安全渗透测试方法
KR101883400B1 (ko) 에이전트리스 방식의 보안취약점 점검 방법 및 시스템
CN101894230B (zh) 一种基于静态和动态分析技术的主机系统安全评估方法
Sandhya et al. Assessment of website security by penetration testing using Wireshark
CN104811449A (zh) 检测撞库攻击方法及系统
CN113315767B (zh) 一种电力物联网设备安全检测系统及方法
CN102104601A (zh) 一种基于渗透技术的web漏洞扫描方法和漏洞扫描器
CN104811447A (zh) 一种基于攻击关联的安全检测方法和系统
KR20090121579A (ko) 서버의 취약점을 점검하기 위한 시스템 및 그 방법
CN105302707B (zh) 应用程序的漏洞检测方法和装置
CN110505116A (zh) 用电信息采集系统及渗透测试方法、装置、可读存储介质
Hink et al. Characterization of cyberattacks aimed at integrated industrial control and enterprise systems: a case study
Yamada et al. RAT-based malicious activities detection on enterprise internal networks
KR20200011702A (ko) 보안관제체계 진단장치 및 보안관제체계 진단방법
Astrida et al. Analysis and evaluation of wireless network security with the penetration testing execution standard (PTES)
CN116318783B (zh) 基于安全指标的网络工控设备安全监测方法及装置
CN112738068B (zh) 一种网络脆弱性扫描方法及装置
KR102401154B1 (ko) 사이버 공격 시뮬레이션 제공 방법 및 시스템
CN103473381A (zh) 数据库安全评估方法
Mayorga et al. Honeypot network configuration through cyberattack patterns
Veijalainen et al. Evaluating the security of a smart door lock system
KR102186212B1 (ko) 공격 분류 맵 제공 장치
CN117834216B (zh) 一种基于解决通信白名单智能化处理方法和系统
WO2014110948A1 (en) Method, device and system for trojan horse interception

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20180725

Address after: 350000 Fujian, Fuzhou, Fuzhou hi tech Zone, Haixin hi tech Industrial Park, 12 floor 1242, block A, long CE building.

Applicant after: Fuzhou Yu Ke Information Technology Co., Ltd.

Address before: 350007 School of mathematics and computer science, Fujian Normal University (Cangshan campus), Fuzhou, Fujian

Applicant before: Chen Zhide

Applicant before: Wu Jiyun

Applicant before: Xu Li

Applicant before: Huang Xinyi

Applicant before: Zheng Jinhua

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20180831

Termination date: 20191013

CF01 Termination of patent right due to non-payment of annual fee