CN108629201A - 一种对数据库非法操作进行阻断的方法 - Google Patents

一种对数据库非法操作进行阻断的方法 Download PDF

Info

Publication number
CN108629201A
CN108629201A CN201810370396.7A CN201810370396A CN108629201A CN 108629201 A CN108629201 A CN 108629201A CN 201810370396 A CN201810370396 A CN 201810370396A CN 108629201 A CN108629201 A CN 108629201A
Authority
CN
China
Prior art keywords
database
user
mac
illegal operation
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810370396.7A
Other languages
English (en)
Inventor
杨健
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Huaruan Goldencis Software Co Ltd
Original Assignee
Shandong Huaruan Goldencis Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Huaruan Goldencis Software Co Ltd filed Critical Shandong Huaruan Goldencis Software Co Ltd
Priority to CN201810370396.7A priority Critical patent/CN108629201A/zh
Publication of CN108629201A publication Critical patent/CN108629201A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

一种对数据库非法操作进行阻断的方法,基于IP地址、MAC地址、用户、应用程序等对访问者进行身份认证,形成多重认证,可以弥补单一口令验证方式安全性的不足。用户身份验证通过后,也可以实时检测用户对数据库进行的非法操作,并阻断其非法操作行为,同时详细的记录非法操作发生的时间、来源IP、来源MAC、用户名、访问SQL等信息。通过桥接方式部署在数据库服务器和应用服务器之间,可以屏蔽直接对数据库访问的通道,防止数据库隐通道对数据库的攻击。

Description

一种对数据库非法操作进行阻断的方法
技术领域
本发明涉及计算机安全领域,具体涉及一种对数据库非法操作进行阻断的方法。
背景技术
随着计算机技术和网络技术的发展,数据库的应用十分广泛,深入到各个领域,成为各单位处理数据的重要工具。在众多的数据库系统中,Oracle数据库以其强大的功能,有效的安全性和完整性控制、分布式数据处理模式等特点而被众多企业和部门所采用。作为一种大型数据库系统,Oracle数据库主要用在处理大批量数据和网络运用中。由于Oracle数据库系统被广泛应用,因而数据库的安全性问题也变得尤为重要。数据库的数据安全以及防止其被非法用户入侵,成为数据库运用中最常见的安全性问题。虽然数据库系统都有各自的安全机制来保护数据,大部分也都是通过验证用户名密码和设定权限,限制对数据库数据的随意存取。但是,只要有不法人员存在,任何安全系统都不是绝对安全的,总会受到有意的攻击和破坏。以Oracle数据库为例,Oracle提供的审计功能缺乏有效的分析工具使用。面对海量数据时,DBA虽然能自己去分析审计数据,但这样并不容易发现攻击、非法访问和操作等方面的安全问题。
发明内容
本发明为了克服以上技术的不足,提供了一种对不符合认证规则或进行非法操作的访问者直接阻止访问行为的对数据库非法操作进行阻断的方法。
本发明克服其技术问题所采用的技术方案是:
一种对数据库非法操作进行阻断的方法,包括如下步骤:
a)设定可访问数据库的客户端的IP及MAC的白名单和黑名单、可访问数据库的用户和用户权限以及可访问数据库的应用程序的策略;
b)通过桥接部署方式捕获客户端与Oracle数据库服务器的数据流,获取到TNS协议数据包;
c)根据已知的TNS协议结构解析获取到的数据包,从TNS协议数据包的Connect类型数据包中获取访问数据库的IP地址和MAC地址,从TNS协议数据包连接部分的后续数据交互部分获取数据库的用户、应用程序。客户端主机名称信息;
d)判断获取的访问数据库中的IP地址和MAC地址是否存在再步骤a)中设定的IP和MAC的黑名单策略中,如果存在则直接给访问数据库的客户端返回TNS协议的Refuse类型数据包,如果不存在,则执行步骤e);
e)从TNS协议数据包的DATA类型的数据包中查找0x035e和0x1169标识的数据包,过滤出执行的SQL语句,提取出具体的操作类型和操作的结构名称信息;
f)通过步骤a)设定的可访问数据库的客户端的IP及MAC的白名单和黑名单、可访问数据库的用户和用户权限以及可访问数据库的应用程序的策略对步骤e)中获取的操作类型及结构名称信息进行匹配,如果检测到对某结构进行了非法访问和异常操作时,直接将此数据包丢弃,并记录操作发生的时间、来源IP、MAC、用户名、操作代码信息。
进一步的,步骤e)中提取的具体的操作类型为select操作、delete操作、alter操作及insert操作。
进一步的,步骤e)中提取的操作的结构名称信息为table信息、view信息及procedure信息。
本发明的有益效果是:基于IP地址、MAC地址、用户、应用程序等对访问者进行身份认证,形成多重认证,可以弥补单一口令验证方式安全性的不足。用户身份验证通过后,也可以实时检测用户对数据库进行的非法操作,并阻断其非法操作行为,同时详细的记录非法操作发生的时间、来源IP、来源MAC、用户名、访问SQL等信息。通过桥接方式部署在数据库服务器和应用服务器之间,可以屏蔽直接对数据库访问的通道,防止数据库隐通道对数据库的攻击。
具体实施方式
下面对本发明做进一步说明。
一种对数据库非法操作进行阻断的方法,包括如下步骤:
a)设定可访问数据库的客户端的IP及MAC的白名单和黑名单、可访问数据库的用户和用户权限以及可访问数据库的应用程序的策略;
b)通过桥接部署方式捕获客户端与Oracle数据库服务器的数据流,获取到TNS协议数据包;
c)根据已知的TNS协议结构解析获取到的数据包,从TNS协议数据包的Connect类型数据包中获取访问数据库的IP地址和MAC地址,从TNS协议数据包连接部分的后续数据交互部分获取数据库的用户、应用程序。客户端主机名称信息;
d)判断获取的访问数据库中的IP地址和MAC地址是否存在再步骤a)中设定的IP和MAC的黑名单策略中,如果存在则直接给访问数据库的客户端返回TNS协议的Refuse类型数据包,如果不存在,则执行步骤e);
e)从TNS协议数据包的DATA类型的数据包中查找0x035e和0x1169标识的数据包,过滤出执行的SQL语句,提取出具体的操作类型和操作的结构名称信息;
f)通过步骤a)设定的可访问数据库的客户端的IP及MAC的白名单和黑名单、可访问数据库的用户和用户权限以及可访问数据库的应用程序的策略对步骤e)中获取的操作类型及结构名称信息进行匹配,如果检测到对某结构进行了非法访问和异常操作时,直接将此数据包丢弃,并记录操作发生的时间、来源IP、MAC、用户名、操作代码信息。
基于IP地址、MAC地址、用户、应用程序等对访问者进行身份认证,形成多重认证,可以弥补单一口令验证方式安全性的不足。用户身份验证通过后,也可以实时检测用户对数据库进行的非法操作,并阻断其非法操作行为,同时详细的记录非法操作发生的时间、来源IP、来源MAC、用户名、访问SQL等信息。通过桥接方式部署在数据库服务器和应用服务器之间,可以屏蔽直接对数据库访问的通道,防止数据库隐通道对数据库的攻击。
优选的,步骤e)中提取的具体的操作类型为select操作、delete操作、alter操作及insert操作。
优选的,步骤e)中提取的操作的结构名称信息为table信息、view信息及procedure信息。

Claims (4)

1.一种对数据库非法操作进行阻断的方法,其特征在于,包括如下步骤:
a)设定可访问数据库的客户端的IP及MAC的白名单和黑名单、可访问数据库的用户和用户权限以及可访问数据库的应用程序的策略;
b)通过桥接部署方式捕获客户端与Oracle数据库服务器的数据流,获取到TNS协议数据包;
c)根据已知的TNS协议结构解析获取到的数据包,从TNS协议数据包的Connect类型数据包中获取访问数据库的IP地址和MAC地址,从TNS协议数据包连接部分的后续数据交互部分获取数据库的用户、应用程序。
2.客户端主机名称信息;
d)判断获取的访问数据库中的IP地址和MAC地址是否存在再步骤a)中设定的IP和MAC的黑名单策略中,如果存在则直接给访问数据库的客户端返回TNS协议的Refuse类型数据包,如果不存在,则执行步骤e);
e)从TNS协议数据包的DATA类型的数据包中查找0x035e和0x1169标识的数据包,过滤出执行的SQL语句,提取出具体的操作类型和操作的结构名称信息;
f)通过步骤a)设定的可访问数据库的客户端的IP及MAC的白名单和黑名单、可访问数据库的用户和用户权限以及可访问数据库的应用程序的策略对步骤e)中获取的操作类型及结构名称信息进行匹配,如果检测到对某结构进行了非法访问和异常操作时,直接将此数据包丢弃,并记录操作发生的时间、来源IP、MAC、用户名、操作代码信息。
3.根据权利要求1所述的对数据库非法操作进行阻断的方法,其特征在于:步骤e)中提取的具体的操作类型为select操作、delete操作、alter操作及insert操作。
4.根据权利要求1所述的对数据库非法操作进行阻断的方法,其特征在于:步骤e)中提取的操作的结构名称信息为table信息、view信息及procedure信息。
CN201810370396.7A 2018-04-24 2018-04-24 一种对数据库非法操作进行阻断的方法 Pending CN108629201A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810370396.7A CN108629201A (zh) 2018-04-24 2018-04-24 一种对数据库非法操作进行阻断的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810370396.7A CN108629201A (zh) 2018-04-24 2018-04-24 一种对数据库非法操作进行阻断的方法

Publications (1)

Publication Number Publication Date
CN108629201A true CN108629201A (zh) 2018-10-09

Family

ID=63694191

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810370396.7A Pending CN108629201A (zh) 2018-04-24 2018-04-24 一种对数据库非法操作进行阻断的方法

Country Status (1)

Country Link
CN (1) CN108629201A (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109992940A (zh) * 2019-03-29 2019-07-09 北京金山云网络技术有限公司 身份验证方法、装置、系统及身份校验服务器
CN110933087A (zh) * 2019-12-02 2020-03-27 紫光云技术有限公司 一种基于数据桥接的敏感信息安全传输方法
CN112187763A (zh) * 2020-09-22 2021-01-05 北京景安云信科技有限公司 使用安全网关对OracleTNS协议SQL执行进行审计和阻断方法和系统
CN112241551A (zh) * 2020-09-30 2021-01-19 航天信息股份有限公司 一种面向数据库访问的用户行为管控方法及系统
CN112861119A (zh) * 2019-11-27 2021-05-28 郭东林 一种防御黑客对数据库慢速撞库或爆破攻击的方法及系统
CN113783861A (zh) * 2021-09-01 2021-12-10 国网湖北省电力有限公司信息通信公司 一种基于边缘计算的信息安全控制方法、装置及存储介质
CN114531304A (zh) * 2022-04-24 2022-05-24 北京安华金和科技有限公司 一种基于数据包的会话处理方法和系统

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020156738A1 (en) * 2001-02-26 2002-10-24 Thomas Irmler "Pay as you go " database system
US20040025050A1 (en) * 2002-07-31 2004-02-05 International Business Machines Corporation Mixed address database tool
CN101388010A (zh) * 2007-09-12 2009-03-18 北京启明星辰信息技术有限公司 一种Oracle数据库审计方法及系统
CN101630351A (zh) * 2009-06-04 2010-01-20 中国人民解放军理工大学指挥自动化学院 利用进程注入及TNS协议解析增强Oracle数据库服务器安全的方法
CN101739422A (zh) * 2008-11-05 2010-06-16 深圳市守望网络技术有限公司 基于数据库协议代理的前置式数据库访问控制方法和系统
CN102722667A (zh) * 2012-03-07 2012-10-10 甘肃省电力公司信息通信公司 基于虚拟数据库和虚拟补丁的数据库安全防护系统和方法
CN102801714A (zh) * 2012-07-26 2012-11-28 杭州电子科技大学 旁路式解析和还原tns协议中sql命令的方法
CN103118360A (zh) * 2012-12-21 2013-05-22 成都科来软件有限公司 一种阻断无线移动终端的系统
CN104063473A (zh) * 2014-06-30 2014-09-24 江苏华大天益电力科技有限公司 一种数据库审计监测系统及其方法
CN106302498A (zh) * 2016-08-25 2017-01-04 杭州汉领信息科技有限公司 一种基于登录参数的数据库准入防火墙系统
CN107038208A (zh) * 2017-02-20 2017-08-11 北京交通大学 解析和还原tns协议314版本中sql命令和参数的方法
CN107239710A (zh) * 2016-03-29 2017-10-10 北京明略软件系统有限公司 一种数据库权限实现方法和系统
CN107403106A (zh) * 2017-07-18 2017-11-28 北京计算机技术及应用研究所 基于终端用户的数据库细粒度访问控制方法

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020156738A1 (en) * 2001-02-26 2002-10-24 Thomas Irmler "Pay as you go " database system
US20040025050A1 (en) * 2002-07-31 2004-02-05 International Business Machines Corporation Mixed address database tool
CN101388010A (zh) * 2007-09-12 2009-03-18 北京启明星辰信息技术有限公司 一种Oracle数据库审计方法及系统
CN101739422A (zh) * 2008-11-05 2010-06-16 深圳市守望网络技术有限公司 基于数据库协议代理的前置式数据库访问控制方法和系统
CN101630351A (zh) * 2009-06-04 2010-01-20 中国人民解放军理工大学指挥自动化学院 利用进程注入及TNS协议解析增强Oracle数据库服务器安全的方法
CN102722667A (zh) * 2012-03-07 2012-10-10 甘肃省电力公司信息通信公司 基于虚拟数据库和虚拟补丁的数据库安全防护系统和方法
CN102801714A (zh) * 2012-07-26 2012-11-28 杭州电子科技大学 旁路式解析和还原tns协议中sql命令的方法
CN103118360A (zh) * 2012-12-21 2013-05-22 成都科来软件有限公司 一种阻断无线移动终端的系统
CN104063473A (zh) * 2014-06-30 2014-09-24 江苏华大天益电力科技有限公司 一种数据库审计监测系统及其方法
CN107239710A (zh) * 2016-03-29 2017-10-10 北京明略软件系统有限公司 一种数据库权限实现方法和系统
CN106302498A (zh) * 2016-08-25 2017-01-04 杭州汉领信息科技有限公司 一种基于登录参数的数据库准入防火墙系统
CN107038208A (zh) * 2017-02-20 2017-08-11 北京交通大学 解析和还原tns协议314版本中sql命令和参数的方法
CN107403106A (zh) * 2017-07-18 2017-11-28 北京计算机技术及应用研究所 基于终端用户的数据库细粒度访问控制方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109992940A (zh) * 2019-03-29 2019-07-09 北京金山云网络技术有限公司 身份验证方法、装置、系统及身份校验服务器
CN112861119A (zh) * 2019-11-27 2021-05-28 郭东林 一种防御黑客对数据库慢速撞库或爆破攻击的方法及系统
CN110933087A (zh) * 2019-12-02 2020-03-27 紫光云技术有限公司 一种基于数据桥接的敏感信息安全传输方法
CN112187763A (zh) * 2020-09-22 2021-01-05 北京景安云信科技有限公司 使用安全网关对OracleTNS协议SQL执行进行审计和阻断方法和系统
CN112241551A (zh) * 2020-09-30 2021-01-19 航天信息股份有限公司 一种面向数据库访问的用户行为管控方法及系统
CN113783861A (zh) * 2021-09-01 2021-12-10 国网湖北省电力有限公司信息通信公司 一种基于边缘计算的信息安全控制方法、装置及存储介质
CN114531304A (zh) * 2022-04-24 2022-05-24 北京安华金和科技有限公司 一种基于数据包的会话处理方法和系统

Similar Documents

Publication Publication Date Title
CN108629201A (zh) 一种对数据库非法操作进行阻断的方法
CN107251513B (zh) 用于恶意代码检测的准确保证的系统及方法
US10587647B1 (en) Technique for malware detection capability comparison of network security devices
CN103842965B (zh) 恶意软件分析系统
CN109347830B (zh) 一种网络动态防御系统及方法
CN109587174B (zh) 用于网络防护的协同防御方法和系统
CN106650436B (zh) 一种基于局域网的安全检测方法和装置
CN104426906A (zh) 识别计算机网络内的恶意设备
CN104135474B (zh) 基于主机出入度的网络异常行为检测方法
KR101951730B1 (ko) 지능형 지속위협 환경에서의 통합 보안 시스템
CN114157457A (zh) 一种网络数据信息安全用的权限申请及监控方法
Suo et al. Research on the application of honeypot technology in intrusion detection system
Deng et al. Lexical analysis for the webshell attacks
CN117527297A (zh) 一种基于域名的网络安全检测系统
JP2008250728A (ja) 情報漏洩監視システムおよび情報漏洩監視方法
Seo et al. Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling
Zhao et al. Network security model based on active defense and passive defense hybrid strategy
KR20100078738A (ko) 웹 애플리케이션 서버에서의 보안 시스템 및 보안 방법
Dadkhah et al. Alert correlation through a multi components architecture
CN113518067A (zh) 一种基于原始报文的安全分析方法
KR20210141198A (ko) 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템
CN110399141A (zh) 一种集成多应用的移动终端平台方案
KR20100067383A (ko) 서버 보안 시스템 및 서버 보안 방법
Ying et al. Anteater: Malware Injection Detection with Program Network Traffic Behavior
CN112637217B (zh) 基于诱饵生成的云计算系统的主动防御方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20181009