SQL Server数据库安全监控系统的设计与实现(2)
2014-01-20 01:57
导读:该系统是一种基于主机探测的实时自动攻击识别和响应系统,运行于有敏感数据需要保护内部网络中。通过采取主机监控的方式,获取用户的数据库操作信
该系统是一种基于主机探测的实时自动攻击识别和响应系统,运行于有敏感数据需要保护内部网络中。通过采取主机监控的方式,获取用户的数据库操作信息。借助于自身内置的攻击特征数据库,识别违反用户定义的安全规则,进行应用级攻击检查。在寻找到攻击模式和其他违规活动时,可以进行如下反应:控制台告警、记录攻击事件、实时阻断网络连接,同时还可以根据需要对系统进行扩展,实现与防火墙等其他安全设备的联动。
信息获取、分析机以及控制台三个子系统三者之间的交互主要包括以下几个方面:
1、主机报警实现。探头启动之后,将自动实现对于探头所在主机数据库的监控,获取与数据库操作有关的信息,包括数据库操作的SQL语句、登陆的用户名、数据库主机名称、当前系统用户、操作结果(成功或者失败)等信息,并将信息格式化发送到分析机,分析机通过自身的信息规则分析系统,从这些信息当中分离出对数据库安全有危害的操作,并向控制台发送报警,控制台在接受到报警信息之后,由管理员发出对攻击源IP地址行阻断的命令。所发出的阻断命令由分析机转发给探头部分,由探头部分调用系统自身API函数,实现对于指定IP地址的拦截操作,从而有效的实现了对于数据库安全的保护,避免了被进犯的可能。
2、命令的下发。控制台对分析机以及探头进行控制,对它们进行维护更新,并通过查询的方式,获取探头以及分析机的运行状态。命令由控制台发出后,向分析机或者经分析机向信息获取部分传达,再分别由分析机以及信息获取部分的响应模块对命令加以实现。其中控制台所有下达的命令通过指定的端口进行传递,同时分析机以及信息获取系统的命令回复也是由同一端口向上传达。
(科教范文网http://fw.nseac.com)
3、数据的传送。探头、分析机以及控制台三者之间通过指定的端口进行数据的传送,所有发送的数据都进行了统一的格式化处理,以固定的格式进行传递。
参考文献:
1、马应章.SQL标准发展概述[J].计算机应用与软件,2003,11:28-32。
2、谷震离,杜根远.SQLserver数据库应用程序中数据库安全性研究[J].计算机工程与设计,2007,28(15):3717一3719。
3、金烨,曹珍富.一个新的用于移动代理的签名方案[J].计算机工程,2006,32(2),149一150。
