SQLServer數(shù)據(jù)庫安全監(jiān)控系統(tǒng)的實(shí)現(xiàn)

來源:投稿網(wǎng) 時間:2022-08-18 23:52:06

數(shù)據(jù)庫監(jiān)控信息獲取策略的研究內(nèi)容包括：數(shù)據(jù)庫威脅源、威脅特征、數(shù)據(jù)庫審計事件、數(shù)據(jù)庫運(yùn)行性能指標(biāo)等。通過對數(shù)據(jù)庫威脅的研究，建立數(shù)據(jù)庫威脅知識庫，了解數(shù)據(jù)庫攻擊手段。攻擊特征。檢測信息源，然后制定監(jiān)控信息獲取策略，以確保數(shù)據(jù)庫監(jiān)控信息獲取的完整性和可靠性。本文討論了SQLServer數(shù)據(jù)庫安全監(jiān)控系統(tǒng)的實(shí)現(xiàn)。

1.系統(tǒng)整體結(jié)構(gòu)。

本文將從水平、垂直和切向重新設(shè)計數(shù)據(jù)庫安全監(jiān)控系統(tǒng)，改善原系統(tǒng)結(jié)構(gòu)設(shè)計的不足，分析其不同的劃分結(jié)果。

1.橫向結(jié)構(gòu)。

從水平的角度來看，系統(tǒng)根據(jù)信息獲取系統(tǒng)。分析系統(tǒng)。控制臺系統(tǒng)根據(jù)不同的功能重新劃分了系統(tǒng)模塊結(jié)構(gòu)，并添加了實(shí)時狀態(tài)查詢模塊，增加了數(shù)據(jù)庫安全監(jiān)控系統(tǒng)安全威脅分析的數(shù)據(jù)源。水平結(jié)構(gòu)如圖1所示：

a)信息獲取子系統(tǒng)。

b)分析機(jī)器系統(tǒng)。

C)控制臺系統(tǒng)。

信息獲取子系統(tǒng)位于整個系統(tǒng)的底部，是系統(tǒng)運(yùn)行的基礎(chǔ)。采用主機(jī)獲取的方式，實(shí)時獲取數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)信息，獲取主機(jī)和網(wǎng)絡(luò)通信會話軌跡，二次過濾獲取的數(shù)據(jù)，減少模塊之間傳輸?shù)臄?shù)據(jù)總量，減少上模塊的數(shù)據(jù)分析時間，然后通過指定的數(shù)據(jù)傳輸渠道將數(shù)據(jù)發(fā)送到上分析機(jī)系統(tǒng)進(jìn)行進(jìn)一步處理。

作為整個系統(tǒng)的中間層，分析機(jī)器系統(tǒng)的作用是進(jìn)一步處理從底層接收到的原始數(shù)據(jù)記錄。主要是根據(jù)規(guī)則庫中現(xiàn)有的規(guī)則，通過該層中包含的分析模塊對收集到的原始數(shù)據(jù)進(jìn)行匹配分析，區(qū)分正常授權(quán)訪問和非法入侵，并將分析結(jié)果存儲在日志數(shù)據(jù)庫中。報警危險操作。

控制臺系統(tǒng)作為人機(jī)交互接口，為用戶管理。控制。配置系統(tǒng)和查詢?nèi)肭钟涗浱峁┎僮鹘缑妗Ｋ?fù)責(zé)控制。管理信息獲取子系統(tǒng)和分析機(jī)器系統(tǒng)，生成安全規(guī)則，接收。存儲報警和日志信息，查詢和統(tǒng)計報警和日志信息，進(jìn)一步分析和處理報警事件，并有一個開放的報警理平臺。

2.縱向結(jié)構(gòu)。

從縱向的角度來看，與原系統(tǒng)不同的是，新的數(shù)據(jù)庫安全監(jiān)控系統(tǒng)在對象開發(fā)和構(gòu)件開發(fā)技術(shù)的基礎(chǔ)上，引入了新的服務(wù)框架理念，實(shí)現(xiàn)了獲取和分析、通信和業(yè)務(wù)的分離。其縱向結(jié)構(gòu)如圖2所示：

在整個系統(tǒng)中，TCP/IP層，即物理網(wǎng)絡(luò)層，作為底層存在于系統(tǒng)中，在其上構(gòu)建的通信托管層涵蓋了系統(tǒng)的所有通信工作，是整個系統(tǒng)的總線，支持異步通信和遺忘映射。在此基礎(chǔ)上，業(yè)務(wù)托管層可視為所有業(yè)務(wù)的容器和管理平臺，其中最重要的功能是提供信息注冊，實(shí)現(xiàn)信息生產(chǎn)者與信息消費(fèi)者之間的溝通。在業(yè)務(wù)托管層的邊緣，信息網(wǎng)關(guān)負(fù)責(zé)將業(yè)務(wù)數(shù)據(jù)按照標(biāo)準(zhǔn)協(xié)議轉(zhuǎn)換為其他格式的數(shù)據(jù)，以實(shí)現(xiàn)與其他系統(tǒng)（包括安全設(shè)備）的連接。頂層是具體的業(yè)務(wù)模塊，其作用是信息生產(chǎn)者和信息消費(fèi)者，其中信息獲取可視為信息生產(chǎn)者，分析是信息消費(fèi)者，響應(yīng)是信息的第二消費(fèi)者，也是最終消費(fèi)者。

傳統(tǒng)的AAR框架和面向服務(wù)理念的結(jié)合，使這四個層次相對獨(dú)立，相互實(shí)現(xiàn)，由于托管平臺已經(jīng)形成，因此基于平臺響應(yīng)業(yè)務(wù)插件的開發(fā)將變得非常方便，從而實(shí)現(xiàn)服務(wù)和構(gòu)件開發(fā)的核心理念。

同時，實(shí)現(xiàn)了系統(tǒng)的分布式結(jié)構(gòu)設(shè)計、集中控制和多層管理。整個系統(tǒng)由檢測系統(tǒng)、分析系統(tǒng)和控制系統(tǒng)組成。每個子系統(tǒng)都采用層次化設(shè)計，分層實(shí)現(xiàn)業(yè)務(wù)邏輯和通信管理。一個控制系統(tǒng)可以管理多個分析系統(tǒng)，一個分析系統(tǒng)還可以支持多達(dá)50個不同系統(tǒng)平臺的檢測系統(tǒng)。

3.切向結(jié)構(gòu)。

如果從部分觀察系統(tǒng)，新系統(tǒng)的關(guān)鍵背景將變得更加清晰。這兩個關(guān)鍵背景包括：數(shù)據(jù)和命令，并實(shí)現(xiàn)了相互內(nèi)部之間的高聚合。松動和災(zāi)難的結(jié)合提高了模塊的獨(dú)立性。這里的數(shù)據(jù)是狹義的數(shù)據(jù)，主要包括信息生產(chǎn)者向信息消費(fèi)者提供的信息，而命令是響應(yīng)模塊來配置獲取和分析模塊。維護(hù)管理傳輸?shù)男畔ⅰ?shù)據(jù)（包括報警數(shù)據(jù)和實(shí)時信息）始終是自下而上的，從監(jiān)控數(shù)據(jù)庫中收集，通過IAS、AES，最后到達(dá)MTS。命令（控制）始終自上而下，部分命令由MTS發(fā)起（由于用戶操作或系統(tǒng)維護(hù)的需要）通過AES，最后到達(dá)IAS；另一部分由AE發(fā)起（由于系統(tǒng)維護(hù)的需要）到達(dá)IAS。

2.系統(tǒng)工作原理。

該系統(tǒng)是一個基于主機(jī)檢測的實(shí)時自動攻擊識別和響應(yīng)系統(tǒng)，在需要保護(hù)內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)中運(yùn)行。通過主機(jī)監(jiān)控獲取用戶的數(shù)據(jù)庫操作信息。在內(nèi)置攻擊特征數(shù)據(jù)庫的幫助下，識別違反用戶定義的安全規(guī)則，并進(jìn)行應(yīng)用級攻擊檢查。尋找攻擊模式和其他非法活動時，可以做出以下反應(yīng)：控制臺警告。記錄攻擊事件。實(shí)時阻斷網(wǎng)絡(luò)連接，并根據(jù)需要擴(kuò)展系統(tǒng)，實(shí)現(xiàn)與防火墻等其他安全設(shè)備的聯(lián)動。

信息獲取.分析機(jī)與控制臺三個子系統(tǒng)之間的交互主要包括以下幾個方面：

1.實(shí)現(xiàn)主機(jī)報警。探頭啟動后，將自動監(jiān)控探頭所在主機(jī)的數(shù)據(jù)庫，獲取與數(shù)據(jù)庫操作相關(guān)的信息，包括數(shù)據(jù)庫操作的SQL語句。登錄用戶名。數(shù)據(jù)庫主機(jī)名稱。當(dāng)前系統(tǒng)用戶。操作結(jié)果(成功或失敗)等信息，并將信息格式化發(fā)送給分析機(jī)。分析機(jī)通過自己的信息規(guī)則分析系統(tǒng)，將對數(shù)據(jù)庫安全有害的操作分開，并向控制臺發(fā)送報警。接收到報警信息后，控制臺管理員發(fā)出阻止攻擊源IP地址的命令。阻斷命令由分析機(jī)轉(zhuǎn)發(fā)給探頭部分，探頭部分調(diào)用系統(tǒng)本身的API函數(shù)，實(shí)現(xiàn)指定IP地址的攔截操作，有效保護(hù)數(shù)據(jù)庫安全，避免被攻擊的可能性。

2.發(fā)布命令。控制臺控制分析機(jī)和探頭，維護(hù)和更新它們，并通過查詢獲得探頭和分析機(jī)的運(yùn)行狀態(tài)。命令由控制臺發(fā)出后，通過分析機(jī)或信息獲取部分傳達(dá)給分析機(jī)或信息獲取部分，然后通過分析機(jī)和信息獲取部分的響應(yīng)模塊實(shí)現(xiàn)命令。控制臺發(fā)布的所有命令均通過指定端口傳輸，分析機(jī)和信息獲取系統(tǒng)的命令回復(fù)也通過同一端口傳輸。

3.數(shù)據(jù)傳輸。探頭。分析機(jī)和控制臺通過指定的端口傳輸數(shù)據(jù)。所有發(fā)送的數(shù)據(jù)均以固定格式統(tǒng)一格式處理。