SQLServer數據庫安全監控系統的實現
來源:投稿網 時間:2022-08-18 23:52:06
數據庫監控信息獲取策略的研究內容包括:數據庫威脅源、威脅特征、數據庫審計事件、數據庫運行性能指標等。通過對數據庫威脅的研究,建立數據庫威脅知識庫,了解數據庫攻擊手段。攻擊特征。檢測信息源,然后制定監控信息獲取策略,以確保數據庫監控信息獲取的完整性和可靠性。本文討論了SQLServer數據庫安全監控系統的實現。
1.系統整體結構。
本文將從水平、垂直和切向重新設計數據庫安全監控系統,改善原系統結構設計的不足,分析其不同的劃分結果。
1.橫向結構。
從水平的角度來看,系統根據信息獲取系統。分析系統。控制臺系統根據不同的功能重新劃分了系統模塊結構,并添加了實時狀態查詢模塊,增加了數據庫安全監控系統安全威脅分析的數據源。水平結構如圖1所示:
a)信息獲取子系統。
b)分析機器系統。
C)控制臺系統。
信息獲取子系統位于整個系統的底部,是系統運行的基礎。采用主機獲取的方式,實時獲取數據庫服務器的數據信息,獲取主機和網絡通信會話軌跡,二次過濾獲取的數據,減少模塊之間傳輸的數據總量,減少上模塊的數據分析時間,然后通過指定的數據傳輸渠道將數據發送到上分析機系統進行進一步處理。
作為整個系統的中間層,分析機器系統的作用是進一步處理從底層接收到的原始數據記錄。主要是根據規則庫中現有的規則,通過該層中包含的分析模塊對收集到的原始數據進行匹配分析,區分正常授權訪問和非法入侵,并將分析結果存儲在日志數據庫中。報警危險操作。
控制臺系統作為人機交互接口,為用戶管理。控制。配置系統和查詢入侵記錄提供操作界面。它負責控制。管理信息獲取子系統和分析機器系統,生成安全規則,接收。存儲報警和日志信息,查詢和統計報警和日志信息,進一步分析和處理報警事件,并有一個開放的報警理平臺。
2.縱向結構。
從縱向的角度來看,與原系統不同的是,新的數據庫安全監控系統在對象開發和構件開發技術的基礎上,引入了新的服務框架理念,實現了獲取和分析、通信和業務的分離。其縱向結構如圖2所示:
在整個系統中,TCP/IP層,即物理網絡層,作為底層存在于系統中,在其上構建的通信托管層涵蓋了系統的所有通信工作,是整個系統的總線,支持異步通信和遺忘映射。在此基礎上,業務托管層可視為所有業務的容器和管理平臺,其中最重要的功能是提供信息注冊,實現信息生產者與信息消費者之間的溝通。在業務托管層的邊緣,信息網關負責將業務數據按照標準協議轉換為其他格式的數據,以實現與其他系統(包括安全設備)的連接。頂層是具體的業務模塊,其作用是信息生產者和信息消費者,其中信息獲取可視為信息生產者,分析是信息消費者,響應是信息的第二消費者,也是最終消費者。
傳統的AAR框架和面向服務理念的結合,使這四個層次相對獨立,相互實現,由于托管平臺已經形成,因此基于平臺響應業務插件的開發將變得非常方便,從而實現服務和構件開發的核心理念。
同時,實現了系統的分布式結構設計、集中控制和多層管理。整個系統由檢測系統、分析系統和控制系統組成。每個子系統都采用層次化設計,分層實現業務邏輯和通信管理。一個控制系統可以管理多個分析系統,一個分析系統還可以支持多達50個不同系統平臺的檢測系統。
3.切向結構。
如果從部分觀察系統,新系統的關鍵背景將變得更加清晰。這兩個關鍵背景包括:數據和命令,并實現了相互內部之間的高聚合。松動和災難的結合提高了模塊的獨立性。這里的數據是狹義的數據,主要包括信息生產者向信息消費者提供的信息,而命令是響應模塊來配置獲取和分析模塊。維護管理傳輸的信息。數據(包括報警數據和實時信息)始終是自下而上的,從監控數據庫中收集,通過IAS、AES,最后到達MTS。命令(控制)始終自上而下,部分命令由MTS發起(由于用戶操作或系統維護的需要)通過AES,最后到達IAS;另一部分由AE發起(由于系統維護的需要)到達IAS。
2.系統工作原理。
該系統是一個基于主機檢測的實時自動攻擊識別和響應系統,在需要保護內部網絡的敏感數據中運行。通過主機監控獲取用戶的數據庫操作信息。在內置攻擊特征數據庫的幫助下,識別違反用戶定義的安全規則,并進行應用級攻擊檢查。尋找攻擊模式和其他非法活動時,可以做出以下反應:控制臺警告。記錄攻擊事件。實時阻斷網絡連接,并根據需要擴展系統,實現與防火墻等其他安全設備的聯動。
信息獲取.分析機與控制臺三個子系統之間的交互主要包括以下幾個方面:
1.實現主機報警。探頭啟動后,將自動監控探頭所在主機的數據庫,獲取與數據庫操作相關的信息,包括數據庫操作的SQL語句。登錄用戶名。數據庫主機名稱。當前系統用戶。操作結果(成功或失敗)等信息,并將信息格式化發送給分析機。分析機通過自己的信息規則分析系統,將對數據庫安全有害的操作分開,并向控制臺發送報警。接收到報警信息后,控制臺管理員發出阻止攻擊源IP地址的命令。阻斷命令由分析機轉發給探頭部分,探頭部分調用系統本身的API函數,實現指定IP地址的攔截操作,有效保護數據庫安全,避免被攻擊的可能性。
2.發布命令。控制臺控制分析機和探頭,維護和更新它們,并通過查詢獲得探頭和分析機的運行狀態。命令由控制臺發出后,通過分析機或信息獲取部分傳達給分析機或信息獲取部分,然后通過分析機和信息獲取部分的響應模塊實現命令。控制臺發布的所有命令均通過指定端口傳輸,分析機和信息獲取系統的命令回復也通過同一端口傳輸。
3.數據傳輸。探頭。分析機和控制臺通過指定的端口傳輸數據。所有發送的數據均以固定格式統一格式處理。
