TWI696080B - 基於檢核資料庫日誌檔的資訊安全管控系統及其實施方法 - Google Patents

Abstract

一種基於檢核資料庫日誌檔的資訊安全管控系統及其實施方法，系統包括：一中央管理伺服器、一網站平台、及一網站資料庫；其中，網站資料庫用以儲存網站平台之網頁資訊、及產生一資料庫日誌檔(Log)，資料庫日誌檔儲存有中央管理伺服器所接收的資料庫指令；本發明之關鍵在於，中央管理伺服器可解析資料庫日誌檔之語法結構，進而判斷資料庫日誌檔所儲存的資料庫指令，是否包含一自定義標記資訊(Tag)，若未包含，即判斷資料庫指令為異常，並執行一應變措施。

Description

基於檢核資料庫日誌檔的資訊安全管控系統及其實施方法

一種資訊安全管控系統，可供接收一資料庫指令，該資料庫指令可指向一網站資料庫，該網站資料庫對應於一網站平台(例如電子商務平台)，本發明尤指可藉由檢核該資料庫指令是否包含一自定義標記資訊，進而判斷該資料庫指令是否異常的「基於檢核資料庫日誌檔的資訊安全管控系統及其實施方法」。

隨著資訊科技的發達，網站已成為企業品牌經營、及電子商務平台獲利的重要管道，若網站平台遭到攻擊而淪陷，將可能導致資料遭竊、網站無法提供服務等嚴重後果，而目前最為盛行的網站攻擊行為包括：阻斷服務攻擊(DoS)、分散式阻斷服務攻擊(DDoS攻擊)、資料庫隱碼攻擊(SQL injection)等，依此，針對網站平台設計出資訊安全管控系統的需求由此而生，而當一連線請求端裝置發出一連線請求至一網站平台，該連線請求通常會夾帶一資料庫指令(例如SQL指令)，以存取對應該網站平台的一網站資料庫 的網站資訊，然而，若伺服器未能即時判斷出該資料庫指令為異常指令，將可能導致伺服器遭到入侵，進而造成資料遭到竄改、讓伺服器受控於駭客、甚至讓伺服器遭到癱瘓的後果；若伺服器遭到入侵，資安單位一般可透過「分析資料庫日誌檔(Log)」的方式，比對出異常的資料庫指令、異常時間點、及指令發送端(即該連線請求端裝置)；然而，由於網站資料庫進行交易記錄備份的次數相當頻繁(為了降低交易記錄難以還原至一特定時間點的風險)，故資料庫日誌檔的所占用的資料量非常大，如此一來，資安單位將需要耗費相當多的分析時間，才可能找到發生異常的資料庫指令、及其指令發送端；是以，如何提出一種可減少分析時間、及可有效率地找出異常資料庫指令的「資訊安全管控系統及其實施方法」，乃有待解決之問題。

有鑑於上述問題，本發明人依據多年來從事相關領域研究的經驗，針對資訊安全、及網際網路之技術進行研究；緣此，本發明之目的在於提供一種可減少分析時間、及可有效率地找出異常資料庫指令的「基於檢核資料庫日誌檔的資訊安全管控系統及其實施方法」。

為達上述目的，本發明之基於檢核資料庫日誌檔的資訊安全管控系統，供以接收至少一資料庫指令，包括：一中央管理伺服器、一網站平台及一網站資料庫；其中， 網站資料庫用以儲存網站平台之網頁資訊及產生一資料庫日誌檔，資料庫日誌檔儲存有資料庫指令；中央管理伺服器包含一運算處理模組及一日誌檔識別模組，日誌檔識別模組用以解析資料庫日誌檔之語法結構，以識別出一或多個資料庫指令，再從資料庫指令解析出至少一敘述句資訊，而敘述句資訊可為一程式碼區塊，且各敘述句資訊之間得以不同的字符作為區隔；本發明系統之實施方法之關鍵在於，運算處理模組可針對各敘述句資訊進行解析，以判斷資料庫日誌檔所儲存的資料庫指令，是否包含一自定義標記資訊，若未包含，即判斷資料庫指令為異常，並針對異常的資料庫指令所指向的網站資料庫執行一應變措施，其中，應變措施可為阻斷發出包含資料庫指令之一封包資訊的一連線請求端、或移除包含封包資訊之一應用程式。

為使 貴審查委員得以清楚了解本發明之目的、技術特徵及其實施後之功效，茲以下列說明搭配圖示進行說明，敬請參閱。

1:資訊安全管控系統

11:中央管理伺服器

111:運算處理模組

112:日誌檔識別模組

1121:資料庫指令識別單元

1122:標記資訊識別單元

1123:資料庫來源識別單元

113:資訊安全管控模組

1131:Web應用分析處理單元

1132:特徵分析處理單元

12:網站平台

12':第二網站平台

13:網站資料庫

13':第二網站資料庫

ST1:接收資料庫指令

ST2:解析資料庫日誌檔

ST3:判斷資料庫指令是否包含標記資訊

ST31:判斷資料庫指令並無異常

ST32:判斷發生異常

ST33:判斷資料庫來源

ST4:執行一應變措施

ST4':針對異常的網站資料庫執行一應變措施

第1圖，為本發明之系統架構圖。

第2圖，為本發明之系統實施流程圖。

第3圖，為本發明之第二實施例之系統架構圖。

第4圖，為本發明之第二實施例之系統實施流程圖。

第5圖，為本發明之第三實施例之系統架構圖。

請參閱「第1圖」，圖中所示為本發明之系統架構圖，本發明所揭之資訊安全管控系統1包括：一中央管理伺服器11，一網站平台12、及一網站資料庫13分別與中央管理伺服器11呈資訊連結；其中，所述網站平台12可為一電子商務平台，所述網站資料庫13可為Oracle、或MySQL等架構，其用以儲存網站平台12之網頁資訊、及用以產生一資料庫日誌檔(Log檔)，所述網頁資訊可包含有：HTML、CSS、PHP、JavaScript程式碼、物件資訊(如圖片檔)等，且所述資料庫日誌檔儲存有中央管理伺服器11所接收的至少一資料庫指令，而所述資料庫指令係由一連線請求端裝置(圖中未繪示)所發出，更確切地說，當連線請求端裝置欲連線至網站平台12時，連線請求端裝置會發送一封包資訊給網站資料庫13，由於連線請求端裝置必然會需要讀取網站資料庫13之網頁資訊，故所述封包資訊係包含有至少一資料庫指令，而發送過程中，所述封包資訊會先經過中央管理伺服器11的檢核與辨識流程；所述中央管理伺服器11包含一運算處理模組111、及一日誌檔識別模組112，所述運算處理模組111可為一中央處理器(CPU)，其用以運行中央管理伺服器11及驅動各模組之作動，並具備邏輯運算、暫存運算結果、保存執行指令位置等功能；所述日誌檔識別模組 112用以辨識資料庫日誌檔之語法結構，以解析出至少一敘述句資訊，所述敘述句資訊係指一程式碼區塊，各敘述句資訊之間得以「；」、「{...}」、「/*...*/」、「--」、「[...]」、「\」、「|」等字符(Characters)作為區隔；又，日誌檔識別模組112更包含一資料庫指令識別單元1121、及一標記資訊識別單元1122，所述資料庫指令識別單元1121用以辨識出資料庫日誌檔中的資料庫指令(例如SQL語法)，所述標記資訊識別單元1122用以根據資料庫日誌檔中的資料庫指令，辨識其是否包含至少一自定義標記資訊(Tag)；又，前述建立資訊連結的方式可透過乙太網路、3G、4G LTE、Wi-Fi等資料傳輸協定達成；而所述連線請求端裝置可經由執行一應用程式(App)、或一網頁(Web)而與網站平台12建立資訊連結。

請參閱「第2圖」，圖中所示為本發明之系統實施流程圖，並請搭配參閱「第1圖」，本發明之資訊安全管控系統1之實施流程如下：

(1)接收資料庫指令(步驟ST1)：中央管理伺服器11從一連線請求端裝置(圖中未繪示)接收一封包資訊，所述封包資訊包含至少一資料庫指令，且所述資料庫指令係儲存於一資料庫日誌檔(Log檔)中；其中，所述資料庫指令可包含SQL語法的一資料處理語言(DML)、一資料定義語言(DDL)、及一資料控制語言(DCL)，且所述資料處理語言可包含：CREATE(建立新表格)、ALTER(修改表格結構)、DROP(移除表格)語法，所述資料處理語 言可包含：SELECT(查詢)、UPDATE(變更)、INSERT(新增)、DELETE(刪除)語法；

(2)解析資料庫日誌檔(步驟ST2)：中央管理伺服器11之日誌檔識別模組112，可定時(例如每隔30分鐘)、或不定時地對資料庫日誌檔之語法結構進行解析，首先，日誌檔識別模組112的資料庫指令識別單元1121先辨識出各資料庫指令，再從各資料庫指令中辨識出至少一敘述句資訊，其中，各敘述句資訊可指一程式碼區塊，且各敘述句資訊之間得以「；」、「{、}」、「/*、*/」、「--」、「[...]」、「\」、「|」等字符(Characters)作為區隔，舉例而言，「SELECT "欄位名" FROM "表格名"； 」得以「；」為區隔，判斷其為一敘述句資訊；相對地，日誌檔識別模組112亦得以「SELECT(第一子句)」與「FROM(第二字句)」作為區隔，而判斷其為二個敘述句資訊，惟以上僅為舉例，並不以此為限；

(3)判斷資料庫指令是否包含標記資訊(步驟ST3)：日誌檔識別模組112之標記資訊識別單元1122，接續針對各敘述句資訊進行比對，以判斷資料庫日誌檔所儲存的資料庫指令是否包含一自定義標記資訊(Tag)，若有包含，運算處理模組111則接續執行步驟ST31，若未包含，則接續執行步驟ST32；又，所述自定義標記資訊(Tag)可為一註解資訊(Comment in Code)、一功能函數資訊(Function)、或一語法區塊名稱(Label)；舉例而言，所述註解資訊之形式，可為「 /*自定義註解內容 */ 」、或「 --自定義註解內容 」；所述功能函數資訊則為使用者自行定義之執行內容(例如取得預先定義好之回傳值(Return))；所述語法區塊名稱之形式，可為「 <自定義語法區塊名稱>：：=... 」，其可用來分組與標示冗長語法的程式碼區段；而無論是註解資訊、功能函數資訊、或語法區塊名稱，皆不影響資料庫指令之執行，惟以上僅為舉例，並不以此為限；

(4)判斷資料庫指令並無異常(步驟ST31)：當步驟ST3之判斷結果為「資料庫指令包含自定義標記資訊」，則運算處理模組111即判斷應無發生異常。

(5)判斷發生異常(步驟ST32)：當步驟ST3之判斷結果為「資料庫指令未包含自定義標記資訊」，則運算處理模組111即判斷該資料庫指令為異常，並接續執行步驟ST4。

(6)執行一應變措施(步驟ST4)：承步驟ST32，運算處理模組111針對對應的網站平台12、及網站資料庫13執行一應變措施，而所述應變措施可為：阻斷所述封包資訊之一連線請求端、或移除包含所述封包資訊之一應用程式。

請參閱「第3圖」，圖中所示為本發明之第二實施例之系統架構圖，並請搭配參閱「第1圖」，本發明所揭之資訊安全管控系統1更包括：分別與中央管理伺服器11呈資訊連結的一第二網站平台12’、及一第二網站資料庫13’，第 二網站資料庫13’用以儲存第二網站平台12’之網頁資訊、及產生一第二資料庫日誌檔(Log檔)，所述第二資料庫日誌檔儲存有中央管理伺服器11所接收、且指向第二網站資料庫13’的至少一資料庫指令；又，日誌檔識別模組112更包括一資料庫來源識別單元1123，其用以從所述的各敘述句資訊中，辨識出資料庫指令所指向的一資料庫名稱(DB_NAME，資料型別可為nvarchar)、或一資料庫識別碼(database_id，資料型別可為int)，藉此，運算處理模組111即可針對發生異常的網站資料庫13、或第二網站資料庫13’執行應變措施。

請參閱「第4圖」，圖中所示為本發明之第二實施例之資訊安全管控系統1之實施流程圖，並請搭配參閱「第2圖」及「第3圖」，當第一實施例所揭之步驟ST32執行完畢後，接續執行以下步驟：(1)判斷資料庫來源(步驟ST33)：中央管理伺服器11之資料庫來源識別單元1123從各敘述句資訊中，辨識出資料庫指令所指向的一資料庫名稱、或一資料庫識別碼，執行完畢後，接續執行步驟ST4’，舉例而言，資料庫來源識別單元1123可從「 SELECT * FROM“資料庫名稱”.”表格名稱” 」的資料庫指令中，識別出對應的網站資料庫(13、13’...)，惟以上僅為舉例，並不以此為限；(2)針對異常的網站資料庫執行一應變措施(步驟ST4')：承步驟ST33，運算處理模組111依據資料庫來源識別單元 1123的辨識結果，針對可能發生異常的網站資料庫13、或第二網站資料庫13’執行應變措施。

請參閱「第5圖」，圖中所示為本發明之第三實施例之系統架構圖，並請搭配參閱「第3圖」，本發明所揭之資訊安全管控系統1更包括：與運算處理模組111呈資訊連結的一資訊安全管控模組113，所述資訊安全管控模組113更包含一Web應用分析處理單元1131、及一特徵分析處理單元1132，當運算處理模組111執行應變措施時，Web應用分析處理單元1131、及特徵分析處理單元1132皆可對包含資料庫指令之一封包資訊進行解析，Web應用分析處理單元1131主要用以解析所述封包資訊之一傳輸流量資訊、與一傳輸次數資訊，以判斷所述封包資訊是否吻合於一異常網路行為特徵，特徵分析處理單元1132主要用以比對所述的封包資訊是否吻合於一黑名單資訊、及一異常特徵碼，若有，運算處理模組111所執行之應變措施即進入阻擋/排除威脅階段，即由運算處理模組111阻斷封包資訊之一連線請求端裝置、或移除包含封包資訊之一應用程式；又，所述的封包資訊可包含：一來源位址資訊、一承載資訊(PayLoad)、及一目的位址資訊之其中一種或其組合；且所述的異常特徵碼、及異常網路行為特徵，係儲存於中央管理伺服器11的一攻擊特徵資料庫(圖中未繪示)，所述黑名單資訊則儲存於一黑名單資料庫(圖中未繪示)。

綜上所述，本發明之關鍵在於，中央管理伺服器可定時或不定時地針對各敘述句資訊進行解析，以判斷資料庫日誌檔(Log)所儲存的資料庫指令，是否包含一自定義標記資訊，若未包含，即判斷資料庫指令為異常，並針對可能發生異常的網站資料庫執行一應變措施；再者，本發明之中央管理伺服器亦可根據資料庫指令所指向的一資料庫名稱及一資料庫識別碼，辨識係哪一個網站資料庫發生異常，藉此，即有助於減少資安單位檢核Log檔的分析時間與人力，並有效提升找出異常資料庫指令之效率，進而能即時修補網站資料庫(或稱網站資料庫主機)之系統漏洞，以解決網站平台再次遭到入侵的問題。

唯，以上所述者，僅為本發明之較佳之實施例而已，並非用以限定本發明實施之範圍；任何熟習此技藝者，在不脫離本發明之精神與範圍下所作之均等變化與修飾，皆應涵蓋於本發明之專利範圍內。

綜上所述，本發明係具有「產業利用性」、「新穎性」與「進步性」等專利要件；申請人爰依專利法之規定，向 鈞局提起發明專利之申請。

ST1:接收資料庫指令

ST2:解析資料庫日誌檔

ST3:判斷資料庫指令是否包含標記資訊

ST31:判斷資料庫指令並無異常

ST32:判斷發生異常

ST33:判斷資料庫來源

ST4':針對異常的網站資料庫執行一應變措施

Claims (10)

1. 一種基於檢核資料庫日誌檔的資訊安全管控系統，供以接收至少一資料庫指令，且該資料庫指令儲存於一資料庫日誌檔，該資訊安全管控系統包含：一中央管理伺服器，包含一運算處理模組，一日誌檔識別模組與該運算處理模組呈資訊連結，該日誌檔識別模組用以解析該資料庫日誌檔之語法結構，以識別出該資料庫指令，再由該資料庫指令解析出至少一敘述句資訊，該敘述句資訊為一程式碼區塊，且各該敘述句資訊之間以不同的字符作為區隔；一網站平台及一網站資料庫，分別與該中央管理伺服器呈資訊連結，該網站資料庫用以儲存該網站平台之網頁資訊、及產生該資料庫日誌檔；以及該運算處理模組用以針對各該敘述句資訊進行解析，以判斷該資料庫日誌檔所儲存的該資料庫指令，是否包含一自定義標記資訊，若未包含，即判斷該資料庫指令為異常，並針對異常的該資料庫指令所指向的該網站資料庫，執行一應變措施，該應變措施為阻斷發出包含該資料庫指令之一封包資訊的一連線請求端、或移除包含該封包資訊之一應用程式。
2. 如申請專利範圍第1項所述的基於檢核資料庫日誌檔的資訊安全管控系統，包含與該中央管理伺服器呈資訊連結的一第二網站資料庫，且該日誌檔識別模組包括一資料庫來源辨識單元，用以從各該敘述句資訊辨識出該資料庫指令 所指向的一資料庫名稱、或一資料庫識別碼，以供該運算處理模組針對異常的該網站資料庫、或該第二網站資料庫執行該應變措施。
3. 如申請專利範圍第1項所述的基於檢核資料庫日誌檔的資訊安全管控系統，該中央管理伺服器包括與該運算處理模組呈資訊連結的一資訊安全管控模組，供該運算處理模組執行該應變措施時，解析包含該資料庫指令之一封包資訊、該封包資訊之一傳輸流量資訊與一傳輸次數資訊。
4. 如申請專利範圍第3項所述的基於檢核資料庫日誌檔的資訊安全管控系統，其中，該資訊安全管控模組可供比對該封包資訊是否吻合一黑名單資訊及一異常特徵碼、或比對該封包資訊之該傳輸流量資訊與該傳輸次數資訊是否吻合一異常網路行為特徵。
5. 如申請專利範圍第1項所述的基於檢核資料庫日誌檔的資訊安全管控系統，其中，該自定義標記資訊為該資料庫指令所包含的一註解資訊(Comment)、一功能函數資訊(Function)、及一語法區塊名稱(Label)之其中一種或其組合。
6. 一種資訊安全管控系統之實施方法，包含以下步驟：一接收資料庫指令步驟：一中央管理伺服器接收至少一資料庫指令，且該資料庫指令係儲存於一資料庫日誌檔；一解析資料庫日誌檔步驟：該中央管理伺服器解析該資料庫日誌檔之語法結構，以識別出該資料庫指令，再由該資料庫指令解析出至少一敘述句資訊，該敘述句資訊為 一程式碼區塊，且各該敘述句資訊之間以不同的字符作為區隔；一判斷資料庫指令是否包含標記資訊步驟：該中央管理伺服器針對各該敘述句資訊進行比對，以判斷該資料庫日誌檔所儲存的該資料庫指令是否包含一自定義標記資訊，若未包含，該中央管理伺服器即判斷該資料庫指令為異常；以及一執行應變措施步驟：針對異常的該資料庫指令所指向的一網站資料庫，執行一應變措施，該應變措施為阻斷發出包含該資料庫指令之一封包資訊的一連線請求端、或移除包含該封包資訊之一應用程式。
7. 如申請專利範圍第6項所述的資訊安全管控系統之實施方法，其中，該網站資料庫可為複數個，且該判斷資料庫指令是否包含標記資訊步驟執行完畢後，若該中央管理伺服器判斷該資料庫指令為異常，先執行一判斷資料庫來源步驟：該中央管理伺服器從各該敘述句資訊，辨識出異常的該資料庫指令所指向的一資料庫名稱、或一資料庫識別碼，執行完畢後，再接續執行該執行應變措施步驟。
8. 如申請專利範圍第6項所述的資訊安全管控系統之實施方法，其中，該執行應變措施步驟執行時，該中央管理伺服器所執行之該應變措施，係指針對包含該資料庫指令之一封包資訊、該封包資訊之一傳輸流量資訊與一傳輸次數資訊進行解析。
9. 如申請專利範圍第8項所述的資訊安全管控系統之實施方 法，其中，執行應變措施步驟執行時，當該中央管理伺服器完成解析後，進一步比對該封包資訊是否吻合一黑名單資訊及一異常特徵碼、或比對該封包資訊之該傳輸流量資訊與該傳輸次數資訊是否吻合一異常網路行為特徵。
10. 如申請專利範圍第6項所述的資訊安全管控系統之實施方法，其中，該自定義標記資訊為該資料庫指令所包含的一註解資訊(Comment)、一功能函數資訊(Function)、及一語法區塊名稱(Label)之其中一種或其組合。

Images