本發(fā)明提出一種數(shù)據(jù)庫(kù)命令行過(guò)濾、阻斷審計(jì)方法和裝置。該方法和裝置包括：審計(jì)引擎將數(shù)據(jù)庫(kù)操作事件送入專(zhuān)用的結(jié)構(gòu)化查詢語(yǔ)言SQL語(yǔ)句解析模塊；對(duì)數(shù)據(jù)庫(kù)事件的SQL語(yǔ)句操作進(jìn)行實(shí)時(shí)捕獲、識(shí)別、分類(lèi)；并將SQL語(yǔ)句的關(guān)鍵信息數(shù)據(jù)包發(fā)送至檢測(cè)模塊；檢測(cè)模塊將SQL語(yǔ)句的關(guān)鍵信息數(shù)據(jù)包與審計(jì)策略生成模塊中預(yù)定義的阻斷策略相比較；檢出SQL語(yǔ)句的關(guān)鍵信息數(shù)據(jù)包中的非法關(guān)鍵信息和合法關(guān)鍵信息；將非法關(guān)鍵信息發(fā)送至數(shù)據(jù)包修改模塊進(jìn)行修改，將合法關(guān)鍵信息發(fā)送至數(shù)據(jù)包轉(zhuǎn)發(fā)模塊進(jìn)行轉(zhuǎn)發(fā)；非法關(guān)鍵信息修改為合法關(guān)鍵信息后被發(fā)送至數(shù)據(jù)包轉(zhuǎn)發(fā)模塊進(jìn)行轉(zhuǎn)發(fā)。通過(guò)本發(fā)明能夠保證對(duì)于特定的SQL語(yǔ)句的阻斷，而不會(huì)斷開(kāi)整個(gè)鏈接。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域的數(shù)據(jù)庫(kù)防火墻業(yè)務(wù)，尤其涉及一種數(shù)據(jù)庫(kù)命令行過(guò)濾、阻斷審計(jì)方法和裝置。

背景技術(shù)

現(xiàn)有邊界防御安全產(chǎn)品和解決方案均采用被動(dòng)防御技術(shù)，無(wú)法從根本上解決各組織數(shù)據(jù)庫(kù)數(shù)據(jù)所面臨的安全威脅和風(fēng)險(xiǎn)，解決數(shù)據(jù)庫(kù)數(shù)據(jù)安全需要專(zhuān)用的數(shù)據(jù)庫(kù)安全設(shè)備從根本上解決數(shù)據(jù)安全問(wèn)題。由此數(shù)據(jù)庫(kù)防火墻這一種數(shù)據(jù)庫(kù)安全主動(dòng)防御技術(shù)應(yīng)運(yùn)而生，該系統(tǒng)部署于應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)之間，用戶必須通過(guò)該系統(tǒng)才能對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn)或管理。數(shù)據(jù)庫(kù)防火墻所采用的主動(dòng)防御技術(shù)能夠主動(dòng)實(shí)時(shí)監(jiān)控、識(shí)別、告警、阻擋繞過(guò)企業(yè)網(wǎng)絡(luò)邊界防護(hù)的外部數(shù)據(jù)攻擊、來(lái)自于內(nèi)部的高權(quán)限用戶的數(shù)據(jù)竊取、破壞、損壞的等，從數(shù)據(jù)庫(kù)SQL語(yǔ)句精細(xì)化控制的技術(shù)層面，提供一種主動(dòng)安全防御措施，并且，結(jié)合獨(dú)立于數(shù)據(jù)庫(kù)的安全訪問(wèn)控制規(guī)則，幫助用戶應(yīng)對(duì)來(lái)自內(nèi)部和外部的數(shù)據(jù)安全威脅。

針對(duì)數(shù)據(jù)庫(kù)防火墻的中的從數(shù)據(jù)庫(kù)SQL語(yǔ)句精細(xì)化控制的技術(shù)，主要包含SQL語(yǔ)句的精準(zhǔn)解析以及接觸后的告警或阻斷處理。專(zhuān)利(公開(kāi)號(hào)為：CN103778185A)“一種用于數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的SQL語(yǔ)句解析方法和系統(tǒng)”提供了根據(jù)SQL語(yǔ)句中關(guān)鍵的信息進(jìn)行了審計(jì)，但沒(méi)有包含會(huì)話中資源賬號(hào)，客戶端主機(jī)，數(shù)據(jù)庫(kù)名等重要信息，且沒(méi)能對(duì)于非法操作進(jìn)行阻斷。另外，在現(xiàn)有的一些數(shù)據(jù)庫(kù)審計(jì)方法中，對(duì)于危險(xiǎn)的SQL語(yǔ)句進(jìn)行了阻斷，但關(guān)閉了會(huì)話，導(dǎo)致用戶的其他合法的SQL語(yǔ)句也無(wú)法執(zhí)行，因此，現(xiàn)在亟需一種既能對(duì)非法操作進(jìn)行阻斷，又能不中斷會(huì)話鏈接的數(shù)據(jù)庫(kù)審計(jì)方法。

發(fā)明內(nèi)容

為了解決上述問(wèn)題，本發(fā)明提出了一種數(shù)據(jù)庫(kù)命令行過(guò)濾、阻斷審計(jì)方法和裝置，能夠保證對(duì)于特定的結(jié)構(gòu)化查詢語(yǔ)言SQL語(yǔ)句的阻斷，而不會(huì)斷開(kāi)整個(gè)鏈接。

為了達(dá)到上述目的，本發(fā)明提出了一種數(shù)據(jù)庫(kù)命令行過(guò)濾、阻斷審計(jì)方法，該方法包括：

審計(jì)引擎將數(shù)據(jù)庫(kù)事件的數(shù)據(jù)庫(kù)操作事件送入專(zhuān)用的結(jié)構(gòu)化查詢語(yǔ)言SQL語(yǔ)句解析模塊。

SQL語(yǔ)句解析模塊對(duì)數(shù)據(jù)庫(kù)事件的SQL語(yǔ)句操作進(jìn)行實(shí)時(shí)捕獲、識(shí)別、分類(lèi)；并將SQL語(yǔ)句的關(guān)鍵信息數(shù)據(jù)包發(fā)送至檢測(cè)模塊。

檢測(cè)模塊將SQL語(yǔ)句的關(guān)鍵信息數(shù)據(jù)包與審計(jì)策略生成模塊中預(yù)定義的阻斷策略相比較；檢出SQL語(yǔ)句的關(guān)鍵信息數(shù)據(jù)包中的非法關(guān)鍵信息和合法關(guān)鍵信息。

檢測(cè)模塊將非法關(guān)鍵信息發(fā)送至數(shù)據(jù)包修改模塊進(jìn)行修改，并將合法關(guān)鍵信息發(fā)送至數(shù)據(jù)包轉(zhuǎn)發(fā)模塊進(jìn)行轉(zhuǎn)發(fā)。

數(shù)據(jù)包修改模塊將非法關(guān)鍵信息修改為合法關(guān)鍵信息后發(fā)送至數(shù)據(jù)包轉(zhuǎn)發(fā)模塊進(jìn)行轉(zhuǎn)發(fā)。

優(yōu)選地，數(shù)據(jù)包修改模塊對(duì)非法關(guān)鍵信息進(jìn)行修改是指：數(shù)據(jù)包修改模塊根據(jù)先前協(xié)議解析記錄的數(shù)據(jù)包中SQL語(yǔ)句的起始位置，修改SQL語(yǔ)句的一個(gè)或多個(gè)字段，構(gòu)造出新的數(shù)據(jù)包。

優(yōu)選地，SQL語(yǔ)句解析模塊對(duì)所述數(shù)據(jù)庫(kù)事件的SQL語(yǔ)句操作進(jìn)行實(shí)時(shí)捕獲、識(shí)別、分類(lèi)是通過(guò)對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的高層內(nèi)容進(jìn)行細(xì)粒度的權(quán)限控制和過(guò)濾實(shí)現(xiàn)的。

優(yōu)選地，SQL語(yǔ)句的關(guān)鍵信息數(shù)據(jù)包包括以下信息：SQL語(yǔ)句字段中的表名，目標(biāo)列名，條件列名，條件列值，實(shí)例名。