CN1170229C - 基于sql语句的旁路式访问控制系统 - Google Patents
基于sql语句的旁路式访问控制系统 Download PDFInfo
- Publication number
- CN1170229C CN1170229C CNB011323388A CN01132338A CN1170229C CN 1170229 C CN1170229 C CN 1170229C CN B011323388 A CNB011323388 A CN B011323388A CN 01132338 A CN01132338 A CN 01132338A CN 1170229 C CN1170229 C CN 1170229C
- Authority
- CN
- China
- Prior art keywords
- database
- data
- access
- access control
- audit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于SQL语句的旁路式访问控制系统,该系统包括探头/阻断器,分析中心,审计记录库,控制台四个模块,该旁路式访问控制系统将访问数据库的SQL语句进行分析、整理、归类,解决了使连接数据库、登陆数据库、操作数据库、进行数据库描述操作各个数据库访问环节与用户需求相对应的安全控制问题。
Description
技术领域
本系统涉及一种网络数据库的监测和安全的控制技术,尤其是一种基于SQL语句的旁路式数据库访问控制系统。
背景技术
数据库组织形式的数据由于其共享性、独立性、一致性、完整性和可访问控制性而成为计算机存储数据的主要形式,数据库系统和其他软件一样也需要安全保护。因为数据库中存放着大量数据,由用户共享,每个用户的责任和权限各不相同;数据库中数据冗余度小,数据库一旦给破坏,原来存储的数值就被破坏;数据库一般支持多个用户同时进行存取,数据完整性的破坏将可能带来非常严重的后果。
数据库安全是指防止利用软、硬件技术对数据的非授权访问、修改和破坏,它涉及到许多方面的问题,比如不同级别的安全控制问题。一般操作系统对数据库文件没有特殊的保护措施,数据库安全必须通过数据库管理系统等其他安全保护措施来实现。因此必须限制用户,针对不同级别用户进行数据库访问控制,使每个用户只能访问与自己权限相对应的数据,而不是整个数据库的数据,禁止用户访问非授权数据,并严格控制用户修改数据库中的数据,以免无意或恶意修改数据导致的不良后果。
数据库访问控制限制了访问者和执行程序可以进行的操作,这样通过数据库访问控制可以防止安全漏洞隐患。数据库访问控制的目的就是要用户只能进行经过授权的有关数据库操作。
已有的数据库访问控制一般由数据库产品自身提供。现今比较成熟的数据库访问控制有两种类型:自主访问控制(Discretionary Access Control,DAC)和强制访问控制(Mandatory Access Control,MAC)。还有现在正在完善阶段的基于角色的访问控制机制(Role Based Access Control,RBAC),RBAC的思想核心是安全授权(permission)和角色(role)相联系,用户首先要成为相应角色的成员,才能获得该角色对应的权限。这简化了授权管理,角色可以根据组织中不同的工作创建,然后根据用户的责任和资格分配角色。用户可以进行角色转换,而随着新应用和新系统的增加,角色可以分配更多的权限,也可以根据需要撤销相应的权限。实际应用多数数据库是基于DAC和MAC,或将两种机制结合。DAC把访问决定权留给了产生信息的信息主,MAC则要求所有用户遵守由数据库管理员建立的规则。
但是以上这些数据库访问控制机制仍然存在以下缺陷:
①正因为DAC允许使用者在没有系统管理员干涉的情况下对他们所控制的对象进行权限修改,这就使得DAC容易受到攻击;比如攻击者可能通过间接途径复制或篡改机密数据;
②攻击产生后,由于多个用户可能使用同一用户名和口令登录,即使攻击者在不同的地方登录,也很难准确定位;
③完全的自主访问控制并不能提供较细的访问控制粒度,因此通常与强制访问控制等其他机制相结合,以提供更细致的控制粒度;
④访问控制的安全性依赖于访问控制表的数据完整性。数据库管理员和有特定访问权限的用户可以有选择的、动态的把访问权限授予其他用户。并在需要的时候,收回这种权利。用户注册时,会经由数据库管理员或数据库拥有者批准,分配口令,并授予用户访问相应系统资源的权利。如果攻击者获得非法授权,修改了相关用户信息,在他登录时,系统只根据数据库存储的访问控制表等信息进行核对,即使控制表信息已经被篡改也无法知道,更无法进行中断连接操作,从而阻止攻击者进一步的破坏性操作。
⑤数据库内部审计会占用数据库本身的资源,只有在其是最简便、最快速、最少干扰的收集所需信息的方法的前提下,它的功效才能体现的出来。而它收集的信息以及可以采取的措施也十分有限。
因此,依靠单单靠数据库本身的访问控制机制并不能有效保证数据安全问题,即使防火墙也不能有效防止来自企业内部人员对数据的破坏和篡改等安全隐患问题,而网络内部的人员对于自己的网络更加熟悉,而且有一定的权限,进行入侵或破坏更加容易得手。因此访问控制必须与其他安全措施,比如认证、审计等安全机制协同工作。安全数据库审计可以对信息系统进行全面的安全保障和维护。安全数据库审计是针对数据库入侵、违规及与安全有关重要活动进行监控、识别、记录、报警、响应的安全产品,它是能够提供更高应用层次、更高智能的安全手段。
发明内容
本发明的目的是提出一种基于SQL语句的旁路式访问控制系统,可以应用于数据库审计系统,可以用子已有的不同数据库产品,不论该数据库产品使用的数据库访问控制机制是自主访问控制机制DAC,强制访问控制机制MAC,还是引入了角色管理,或是将DAC与MAC结合,该系统以物理上独立于数据库的方式,实施网络上数据库访问控制监控,为数据库访问控制提供了更可靠的保障。
本发明的目的是这样实现的:
所述旁路式访问控制系统包括探头/阻断器,分析中心,审计记录库,控制台四个模块,该旁路式访问控制系统将访问数据库的SQL语句进行分析、整理、归类,以达到对连接数据库、登录数据库、操作数据库进行数据库描述操作各个数据库访问环节进行与用户需求相对应的控制。
上述四个模块间的数据传送关系为探头/阻断器与分析中心数据交互,分心中心与审计记录库数据交互,审计记录库与控制台数据交互,控制台单向向探头/阻断器传送数据。
在旁路式访问控制系统中,探头/阻断器的数据处理分为四个部分,TCP/IP协议分析部分,数据库具体协议分析与还原部分,访问控制筛选,内部通讯部分。
前述的分析中心将所述的特定格式的数据包解包,并根据安全配置规则判断所述数据包信息,必要时利用所述审计记录库中的访问记录表历史信息进行上下文联合分析,将数据以报警或非报警记录保存在所述审计记录库中。
上述审计记录库负责记录数据库访问发起的连接时间、数据库访问的连接标志号、数据库访问的连接顺序号,数据库访问的数据库用户登录名、数据库访问的用户和数据库的网卡地址、IP地址和端口号、数据库访问的语句类型、数据库访问的语句、数据库访问违反的规则号等数据。
前所述控制台对所述的数据库访问进行规则设置,并对规则设置规定不同的响应方式,可查看到所述审计记录库中存放的数据。
所述规则设置可以对数据库登录用户名、数据库访问语句操作类型、数据库客户端IP地址、数据库访问所涉及数据表、数据库访问语句关键字这些对象进行。
前述不同的响应方式包括,报警、记录、中断和忽略。
通过以上方案,在不加重数据库负担,不占用数据库资源,不改变网络物理结构的条件下,实现了对数据库访问的有效审核、安全控制,对每个连接的每次数据库操作,对每条操作命令,都在更细致的粒度上进行数据库安全访问控制。
由于访问控制功能实现是在探头内实现,即使数据库本身的安全受到威胁,并不影响独立的探头分析器和分析中心访问控制智能分析模块的已有配置。即便数据库内已经被修改,仍能对访问进行有效的阻断和控制。
探头内的访问控制分析器大大减轻了海量数据给分析中心带来的负担,提高了审计系统反应速度,为阻断器及时阻断可疑或非法操作节省了宝贵的时间。
分析中心的智能分析系统由于利用用户和数据库数据记录的历史信息进行上下文联合分析,因此可以有效防止自主访问控制的弱点。而且基于SQL的旁路访问控制系统可以重组、归类访问控制行为,因此通过对某用户一段时间内的序列操作进行分析,可以进行联合判断,有机会在用户对数据库进行破坏性攻击之前就将该次连接断开。
附图说明
图1基于SQL语句的旁路式访问控制系统工作流程图
具体实施方式
下面结合实施例进一步说明本发明。
参照图1,百兆网探设备(探头/阻断器)3配有两块百兆网卡,其中网卡一无IP地址,并设置为混杂模式听取网络中的数据包。网卡二与NT服务器相连。
NT服务器上装有作为分析中心4的审计中心软件和作为控制台5的数据管理软件,并装有一MS SQL SERVER数据库作为审计记录库6进行审计数据存取。
当数据库用户1对ORACLE数据库服务器2进行访问时,百兆网探网探设备3从网卡一听到其发送的数据包,百兆网探设备3将对数据包进行连接匹配,寻找该连接的连接表,当该数据包为连接发起包时,网探设备3将根据该数据包建立新的连接表,如果没有原始表则建立新的连接表,对数据库的后续操作信息也会存储在该连接表中。所述连接表为所述探头/阻断器中已有的用来存储TCP/IP包的IP地址和端口等信息,比如连接发起的时间,数据库用户名,登录的客户机信息,和被访问的数据库主机信息、数据库和数据库用户协商采用的协议信息,以及连接的日志文件的历史资料表格。
数据库用户1发送一连接信息包,当网探设备3得到该数据包时,将对该包数据进行分析。从该数据包中,探头通过解析ORACLE数据库协议TNS协议头可得到其TNS数据类型为,其中包括TNS协议客户端软件使用的TNS版本,和这次连接将采用的一些属性,如连接包大小、最大可接受数据长度等。在服务器2回应包中,我们可以获知服务器是否接受该请求,如果接受则可以得到连接实际采用的TNS版本和实际采用的属性特征字。我们将这些属性记录在连接表中以方便后面的数据包的分析。
在建立连接表后,数据库用户1将自己可接受的所有软件版本信息传送给服务器2,服务器2将根据自己可使用的软件版本选择双方可接受的软件版本进行连接。在网探设备3得到该数据包中,可以得到该TNS协议类型,数据库用户1与服务器2进行协议协商,并获得主机信息保存在连接表中。
在协议协商后,数据库用户开始发送自己的登录信息给数据库服务器2。网探设备3可根据其TNS类型,基本操作类型,功能类型判断其类型并根据其实际数据包结构得到数据库登录用户名,并记录该信息于连接表。
在用户登录信息得到数据库服务器2的确认并返回成功后,数据库用户1可以开始一系列数据库访问操作。其操作的数据结构可根据其TNS协议中的三个类型得到,即TNS类型,基本操作类型,功能类型。根据所述类型,网探设备3进行数据包的解析,可从数据包中得到SQL语句。
对所述SQL分析后,得到该语句涉及到的数据库表和数据库操作类型,在对其进行简单规则匹配。判断是否为立即阻断类型或忽略类型,如果为阻断类型则立刻进行阻断,并把阻断结果传送至审计记录库6记录下来。其余类型的数据库操作信息均转换为系统内部通讯格式,传送至分析中心4。
分析中心4对网探设备3传送来的数据进行解包,并根据分析中心4的规则配置进行规则匹配或上下文联合分析。如果该数据包满足分析中心4设置的某条规则,分析中心4将向网探设备3发出不同的处理命令。如匹配结果规则响应为阻断,分析中心4则向网探设备3发出阻断命令,分析中心4同时将该次处理过程及结果发送到审计数据库6进行记录;如果为报警,则根据设定的方式进行报警;如果为忽略,则将该连接的所有数据包放行,不进行审计记录和报警。控制台5将从审计记录库6中取得最新的数据并进行显示。控制台5还可以进行历史记录的查询和报警方式的设置。
用户可以从控制台5中看到ORACLE数据库2和访问用户的网卡地址、IP地址和该连接的端口信息,可以看到该连接匹配的规则名称和该规则响应措施。其他信息如数据库访问连接发起时间,数据库访问用户登录名和数据库访问匹配规则的语句都将直接显示在报警信息中,从报警信息的详细内容中用户还可以查看到该连接匹配规则后做的操作。
Claims (3)
1.一种基于SQL语句的旁路式访问控制系统,其特征在于,所述旁路式访问控制系统包括探头/阻断器,分析中心,审计记录库,控制台四个模块,所述旁路式访问控制系统将访问数据库的SQL语句进行分析、整理、归类,以达到对连接数据库、登录数据库、操作数据库的各个数据库访问环节进行与用户需求相对应的控制;
所述四个模块间的数据传送关系为探头/阻断器与分析中心数据交互,分心中心与审计记录库数据交互,审计记录库与控制台数据交互,控制台单向向探头/阻断器传送数据;
所述旁路式访问控制系统中的探头/阻断器包含一个访问控制分析器,其数据处理分为四个部分,TCP/IP协议分析部分,数据库具体协议分析与还原部分,简单初步访问分析部分,内部通讯部分;
所述分析中心将所述的特定格式的数据包解包,并根据安全配置规则判断所述数据包信息,必要时利用所述审计记录库中的访问记录表历史信息进行上下文联合分析,将数据以报警或非报警分类,同时向探头/阻断器发出报警或非报警指令,并将数据分析记录保存在所述审计记录库中;
所述审计记录库负责记录数据库访问发起的连接时间、数据库访问的连接标志号、数据库访问的连接顺序号,数据库访问的数据库用户登录名、数据库访问的用户和数据库的网卡地址、IP地址和端口号、数据库访问的语句类型、数据库访问的语句、数据库访问违反的规则号这些数据;
所述控制台对所述的数据库访问进行规则设置,并对所述的规则设置规定不同的响应方式,查看所述审计记录库中存放的数据。
2.如权利要求1所述的旁路式访问控制系统,其特征在于,所述规则设置可以对数据库登录用户名、数据库访问语句操作类型、数据库客户端IP地址、数据库访问所涉及数据表、数据库访问语句关键字这些对象进行。
3.如权利要求1所述的旁路式访问控制系统,其特征在于,所述不同的响应方式包括,报警、记录、中断和忽略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB011323388A CN1170229C (zh) | 2001-11-29 | 2001-11-29 | 基于sql语句的旁路式访问控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB011323388A CN1170229C (zh) | 2001-11-29 | 2001-11-29 | 基于sql语句的旁路式访问控制系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1352428A CN1352428A (zh) | 2002-06-05 |
| CN1170229C true CN1170229C (zh) | 2004-10-06 |
Family
ID=4671370
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB011323388A Expired - Fee Related CN1170229C (zh) | 2001-11-29 | 2001-11-29 | 基于sql语句的旁路式访问控制系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1170229C (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1329852C (zh) * | 2003-09-09 | 2007-08-01 | 华为技术有限公司 | 一种实现数据库访问的方法 |
| CN100403308C (zh) * | 2005-10-31 | 2008-07-16 | 北京神舟航天软件技术有限公司 | 基于sql负载挖掘的物理数据库自动设计方法 |
| US7831621B1 (en) | 2007-09-27 | 2010-11-09 | Crossroads Systems, Inc. | System and method for summarizing and reporting impact of database statements |
| CN101217537B (zh) * | 2007-12-28 | 2011-04-20 | 董韶瑜 | 一种网络攻击的防范方法 |
| CN101739422B (zh) * | 2008-11-05 | 2013-12-18 | 深圳迪贝守望信息技术有限公司 | 基于数据库协议代理的前置式数据库访问控制方法和系统 |
| CN101930434A (zh) * | 2009-06-19 | 2010-12-29 | 深圳市守望网络技术有限公司 | 基于小区安防模式的数据库访问安全防范方法和系统 |
| CN102801714B (zh) * | 2012-07-26 | 2015-03-11 | 杭州电子科技大学 | 旁路式解析和还原tns协议中sql命令的方法 |
| CN103269343B (zh) * | 2013-05-21 | 2017-08-25 | 福建畅云安鼎信息科技有限公司 | 业务数据安全管控平台 |
| CN105635046B (zh) * | 2014-10-28 | 2019-05-17 | 北京启明星辰信息安全技术有限公司 | 一种数据库命令行过滤、阻断审计方法和装置 |
| CN113377615B (zh) * | 2021-06-08 | 2022-11-08 | 上海天旦网络科技发展有限公司 | 一种旁路的数据库监控方法及系统 |
-
2001
- 2001-11-29 CN CNB011323388A patent/CN1170229C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1352428A (zh) | 2002-06-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114978584B (zh) | 基于单位单元的网络安全防护安全方法及系统 | |
| US6070244A (en) | Computer network security management system | |
| CN104063473B (zh) | 一种数据库审计监测系统及其方法 | |
| US6134664A (en) | Method and system for reducing the volume of audit data and normalizing the audit data received from heterogeneous sources | |
| EP1315065B1 (en) | Method for intrusion detection in a database system | |
| Lunt | Automated audit trail analysis and intrusion detection: A survey | |
| Ngo Higgins | Corporate system security: towards an integrated management approach | |
| CN113032710A (zh) | 一种综合审计监管系统 | |
| US20050071643A1 (en) | Method of and system for enterprise information asset protection through insider attack specification, monitoring and mitigation | |
| CN102195991A (zh) | 一种终端安全管理、认证方法及系统 | |
| JP2005526311A (ja) | データベースシステムを監視するための方法および装置 | |
| CN108416225A (zh) | 数据审计方法、装置、计算机设备和存储介质 | |
| CN111224988A (zh) | 一种网络安全信息过滤方法 | |
| CA2553601A1 (en) | Managed distribution of digital assets | |
| CN103413088A (zh) | 一种计算机文档操作安全审计系统 | |
| CN1170229C (zh) | 基于sql语句的旁路式访问控制系统 | |
| Shulman et al. | Top ten database security threats | |
| CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
| US20030131261A1 (en) | Second storage system equipped with security system and a method of controlling the second storage system | |
| Agbakwuru et al. | SQL Injection Attack on Web Base Application: Vulnerability Assessments and Detection Technique | |
| CN108600178A (zh) | 一种征信数据的安全保障方法及系统、征信平台 | |
| CN108388664A (zh) | 语句片段的整合方法、装置、计算机设备和存储介质 | |
| Anderson et al. | Insider attack and real-time data mining of user behavior | |
| CN1179515C (zh) | 记录及反制黑客的网络安全系统及方法 | |
| CN106941497B (zh) | 基于信息化平台数据的安全处理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20041006 Termination date: 20131129 |