本發明涉及一種實現數據庫操作數據引流的方法及其數據庫防火墻系統。本發明的方法是首先實現一個動態鏈接庫，該動態鏈接庫里實現了與數據庫內部調用到的關鍵IO函數的名稱與參數形式一致的劫持函數；然后，利用所在操作系統平臺提供的相關動態鏈接機制，通過配置，在數據庫進程啟動的時候，預先載入此動態庫，從而實現對數據庫關鍵IO函數的劫持與替換；最后，在目標數據庫運行的時候，數據庫操作產生的數據會經過實現劫持的函數，從而可以實現對數據庫操作數據的獲取，并引流到數據庫防火墻，進行后續的審計、過濾、阻斷等操作。本發明提供一種適用于不同數據庫和不同操作系統平臺的數據庫操作數據引流的方法及其數據庫防火墻系統。

技術領域

本發明涉及信息安全技術領域，特別是一種實現數據庫操作數據引流的方法及其數據庫防火墻系統。

背景技術

信息安全領域中，數據庫防火墻系統對數據庫訪問行為進行監視、危險操作阻斷、操作權限管控、可疑行為審計等處理，是保障數據庫操作安全的重要設備和系統。

數據庫防火墻必須獲取數據庫操作流量以進行處理，因此數據獲取方式是數據庫防火墻系統實現的關鍵之一，會影響其部署模式，使用靈活性，成本等。從數據獲取形式的角度來劃分，現有主流數據庫防火墻基本是通過采用網絡透明的方式，；從網絡鏈路的層次來獲取數據；從部署角度可以細分為兩種方案，描述如下：

一、基于網絡數據包鏡像轉發的旁路監聽部署模式的數據獲取方案，這種方案無法干涉數據庫客戶端到數據庫的通信過程，無法實現操作命令主動攔截、阻斷等過濾操作，功能嚴重受限；

二、基于網絡橋接(代理)模式，串行部署的數據獲取方案，這種方案需要對網絡架構做出一定的調整，對原來網絡拓撲產生影響，部署不便；并且因為串行部署的原因，其性能和可靠性將對數據庫服務造成一定影響；

旁路以及橋接兩種通信數據獲取(部署)方案都有一個重要的缺點，就是它們都從網絡鏈路獲取數據，對網絡架構或者設備有依賴，位于通信鏈路的中間，這導致它們無法處理加密通信數據，應用場景受限。

另外一個重大缺點就是，此兩種模式的數據庫防火墻一般部署在專用硬件設備或專門服務器上，這導致采購和使用成本相對高；使用靈活性差，不適用于當下日趨成為應用部署主流的云應用和云平臺；

為了解決以上問題，需要一種不依賴和不影響網絡拓撲的、適用于加密通信環境的、低成本和高靈活性的、云平臺友好的數據庫防火墻解決方案，而這種解決方案的關鍵是如何用一種新的思路來獲取數據。

發明內容

本發明解決的技術問題在于提供一種實現數據庫操作數據引流的方法及其數據庫防火墻系統；實現一種不依賴和不影響網絡拓撲的、適用于加密通信環境的、低成本和高靈活性的、云平臺友好的數據庫防火墻解決方案。

本發明解決上述技術問題的技術方案是：

所述的方法是通過動態庫預裝載，實現關鍵函數劫持，從而實現對數據庫操作數據引流。

所述的引流是對進出數據庫的數據流量進行引導與轉發；引流處于應用層，是對業務邏輯數據進行的引流；具體包括如下步驟：

步驟1：首先實現包含針對數據庫關鍵IO函數的劫持函數的動態鏈接庫；

步驟2：使用所在平臺提供的動態庫預先鏈接機制，在啟動數據庫進程時讓數據庫預先鏈接含有劫持函數的動態鏈接庫；

步驟3：在數據庫進程啟動后，劫持函數取代原來的關鍵IO函數被數據庫進程調用，所有數據庫IO流量都會通過劫持函數；

步驟4：劫持函數開始對數據庫訪問流量進行引流和導向，通過IPC機制轉發到外部的處理進程，從而實現對數據庫流量的引導；引流方式支持串聯與旁路兩種模式。