本發明公開了一種基于協議指紋的數據庫入侵檢測方法，包括：S1、獲取網絡數據；S2、對網絡數據進行網絡層數據解析；S3、將數據包信息格式和內容與協議指紋庫中協議指紋比對分析，對獲取到該網絡數據中的應用層數據包進行解析，從而獲取SQL語句的信息；S4、按照SQL語句的結構和語法，對解析到的數據內容還原SQL語句和用戶數據；S5、根據預存的攻擊特征和關聯規則，采用特征匹配分析還原SQL語句和SQL語句參數；S6、根據分析結果，判斷是否存在攻擊特征，并對檢測到的攻擊特征進行響應。

技術領域

本發明屬于網絡安全技術領域，特別是一種基于協議指紋的數據庫入侵檢測方法。

背景技術

當前在數據庫安全防護方面，人們提出了如訪問控制、數據加密、安全審計等數據庫安全機制，能有效預防和阻止非法行為的發生。但是這些安全機制均缺乏對用戶行為進行定位分析的功能不能滿足網絡環境中對數據庫安全的需要。而數據庫入侵檢測能夠深入數據庫訪問包中的用戶數據對用戶行為進行細粒度分析，通過分析用戶向數據庫提交的SQL語句、操作、參數等信息，能夠很好地分析用戶對數據庫的操作行為。

現有的針對主機入侵檢測、網絡入侵檢測的方法較多，但專門針對數據庫入侵檢測的研究還較少，本發明主要解決以下幾個問題：

通過協議指紋實現對各類數據庫訪問協議的精確解析。

通過詞法、語法分析準確還原用戶數據庫信息。

通過關聯分析實現對數據庫入侵攻擊的細粒度檢測。

在闡述本發明前，先介紹發明中涉及到的相關概念和定義：

圖1所示為數據庫訪問數據包結構圖，如圖1所示，數據庫訪問包結構：數據庫訪問協議定義了數據庫客戶端和服務器間的通信語言，如會話連接/斷開、用戶登錄/退出、安全認證、操作信息請求/回應等。用戶訪問數據庫通過專有數據庫訪問協議進行通信。數據庫訪問協議負責處理所有數據傳送細節。數據庫訪問協議包括TNS(Transport NetworkSubstrate)、TDS(Tabular Data Stream)、DRDA(Distributed Relational DatabaseArchitecture)等協議。

協議指紋：描述了協議系統在運行過程中，網絡交互數據流在結構、內容等各個方面的特征。協議指紋能夠唯一確定一種協議。

攻擊特征庫：攻擊特征庫是一系列描述數據庫入侵檢測相關信息的數據字典的集合，這些集合完備的定義了數據庫入侵檢測的數據特征信息。

關聯規則庫：關聯規則庫是一系列用戶根據業務和實際需求配置、定義的違規業務信息的集合。

發明內容

本發明公開了一種基于協議指紋的數據庫入侵檢測方法，用于解決上述現有技術的問題。

本發明一種基于協議指紋的數據庫入侵檢測方法，其中，包括：S 1、獲取網絡數據；S2、對網絡數據進行網絡層數據解析；S3、將數據包信息格式和內容與協議指紋庫中協議指紋的格式特征、內容特征進行比對分析，找到信息格式和內容特征一致的協議指紋，并通過協議指紋確定數據庫訪問協議，同時利用數據庫訪問協議對獲取到該網絡數據中的應用層數據包進行解析，從而獲取SQL語句的信息；S4、按照SQL語句的結構和語法，對解析到的數據內容還原SQL語句和用戶數據；S5、根據預存的攻擊特征和關聯規則，采用特征匹配分析還原SQL語句和SQL語句參數；S6、根據分析結果，判斷是否存在攻擊特征，并對檢測到的攻擊特征進行響應。

根據本發明的基于協議指紋的數據庫入侵檢測方法的一實施例，其中，在獲取該網絡數據后，還對該網絡數據進行異常檢查和報文重組。