本發明提供了一種防御黑客對數據庫慢速撞庫或爆破攻擊的方法及系統，包括登錄信息模塊以及登錄調用觸發器，通過開啟并設置數據庫日志，開啟數據庫日志審計功能，且能被當前系統用戶調取；使用管理員賬號登入數據庫，分別建立IP鎖定表與禁止用戶登入表，所述IP鎖定表與禁止用戶登入表含有字段；分析并提取數據庫日志文件，使用數據庫語言讀取并分析日志，通過抓取日志中的字段生成臨時表，并根據規則更新IP鎖定表與禁止用戶登錄表；編寫存儲過程，檢查當前登錄IP與用戶是否存在數據庫表login.DisableIP、login_Disableuser中，如果存在該表中則禁止登錄，反之則允許登錄，本發明對登錄的數據庫用戶及登錄IP的合法性確認，防止數據庫被非法爆破及攻擊。

技術領域

本發明涉及軟件程序技術領域，尤其是涉及一種防御黑客對數據庫慢速撞庫或爆破攻擊的方法及系統。

背景技術

隨著互聯網的不斷發展，各種黑客攻擊事件不斷，而數據庫服務器一直是各國黑客攻擊的重點對象。在中國廣大中小企業，不論是SQL Server、Oracle、 My SQL數據庫，默認的最高管理員用戶sa、system、sys、root。這些管理員賬號由于多種原因一直未及時修改或重命名，而默認的管理員賬號擁有數據庫最高權限，從而成為黑客爆破的首選。

傳統的防火墻JunIPer、啟明星辰等無IPS與WAF模塊，根本無法抵御數據庫爆破攻擊。而現在下一代防火墻(深信服、Checkpoint)，雖然有IPS、漏洞防護模塊及功能，但只能抵御高速(60次/秒)以上爆破攻擊。面對低速或勻速攻擊，以及不斷更換IP的攻擊根本無法識別并攔截。因為該行為與正常業務登錄高度相似，而數據庫本身只做身份驗證，缺乏有效防護措施及手段。此時，數據庫直接暴露在黑客面前，任其爆破及猜測。

傳統的數據庫登錄日志，只有出現相關錯誤信息時，DBA(數據庫管理員) 才查看具體細節。其中登錄信息中包含相關IP、連接用戶、連接日期，能否將這些零散的登錄信息整理、提煉并生成相關的數據，作為登陸的一個驗證憑證，尤其是短時間內頻繁出錯的IP與用戶，通過編寫存儲過程與腳本將短時間內頻繁登錄數據庫錯誤的用戶與IP搜集并整理，生成相關記錄，并作為第二次身份驗證的關卡與憑證。

而黑客與非法用戶對數據庫的爆破攻擊，必將在短時間內出現多次用戶與密碼登錄失敗。而相關的信息會被數據庫登錄日志記錄。而我們的第二層關卡保護程序是通過提煉登陸日志而成。從而這些非法的黑客連接會被數據保護程序第二層身份關卡識別并攔截。因而對黑客的登錄IP限制其連接數據庫，對非法的用戶進行鎖定，最終有效保護數據庫，防止數據泄漏。

基于上述一系列的問題，遂有以下技術方案的產生。

發明內容

本發明的目的在于提供一種防御黑客對數據庫慢速撞庫或爆破攻擊的方法及系統，彌補傳統病毒防御系統空白的數據庫安全防護程序，對登錄的數據庫用戶及登錄IP的合法性確認，防止數據庫被非法爆破及攻擊。

為實現上述目的，本發明提供了以下技術方案：

本發明提供的一種防御黑客對數據庫慢速撞庫或爆破攻擊的方法，所述方法包括如下步驟：

S1、開啟并設置數據庫日志，開啟數據庫日志審計功能，且能被當前系統用戶調取；

S2、使用管理員賬號登入數據庫，分別建立IP鎖定表與禁止用戶登入表，所述IP鎖定表與禁止用戶登入表含有字段；

S3、分析并提取數據庫日志文件，使用數據庫語言讀取并分析日志，通過抓取日志中的字段生成臨時表，并根據規則更新IP鎖定表與禁止用戶登錄表；

S4、編寫存儲過程，所述編寫存儲過程包括聲明變量、設置表格式、獲取 IP函數、設置閥值、update更新表操作、邏輯判斷與計算、用戶登入失敗的更新、郵件警報內容及格式設定、smg彈窗動作腳本內容以及上班時間發送報警規則；