本發(fā)明提供了一種擬態(tài)防御架構(gòu)的高性能數(shù)據(jù)訪問系統(tǒng)及方法，包括：SQL攻擊檢測模塊：為了檢測擬態(tài)無法防御的非旁路SQL攻擊，集成SQL注入檢測算法，一旦檢測到該語句包含SQL注入，則丟棄該語句；SQL請求處理模塊：對SQL請求進(jìn)行處理，采用讀寫分離技術(shù)，減輕單個節(jié)點(diǎn)的訪問壓力；數(shù)據(jù)庫請求處理模塊：使用數(shù)據(jù)庫切片技術(shù)，通過后續(xù)增加節(jié)點(diǎn)來滿足應(yīng)用需求。本發(fā)明通過將n個數(shù)據(jù)庫集群簡化為1個數(shù)據(jù)庫集群，去除了后臺數(shù)據(jù)庫的冗余性。本發(fā)明能夠高效實(shí)現(xiàn)各異構(gòu)執(zhí)行體的數(shù)據(jù)請求合路，解決高并發(fā)訪問問題。且中間件增加了防御機(jī)制來彌補(bǔ)數(shù)據(jù)庫集群個數(shù)帶來的安全性能降低。

技術(shù)領(lǐng)域

本發(fā)明涉及擬態(tài)防御技術(shù)領(lǐng)域，具體地，涉及擬態(tài)防御架構(gòu)的高性能數(shù)據(jù)訪問系統(tǒng)及方法。

背景技術(shù)

擬態(tài)防御技術(shù)：是具有內(nèi)生安全特性的信息系統(tǒng)或控制裝置的一種體制機(jī)制，是在動態(tài)異構(gòu)冗余(DHR)架構(gòu)上設(shè)計目標(biāo)系統(tǒng)本征功能，并在導(dǎo)入基于擬態(tài)偽裝策略的裁決機(jī)制、策略調(diào)度機(jī)制、負(fù)反饋控制機(jī)制和多維動態(tài)重構(gòu)機(jī)制后獲得的一種融合式防御功能。

動態(tài)異構(gòu)冗余架構(gòu)：該架構(gòu)是一種由等價的異構(gòu)執(zhí)行體、輸入代理、輸出代理、裁決策略、反饋控制器、和調(diào)度器構(gòu)成的閉環(huán)迭代式多維動態(tài)重構(gòu)魯棒控制結(jié)構(gòu)。是擬態(tài)防御技術(shù)的核心架構(gòu)，能夠有效應(yīng)對未知漏洞、后門帶來的安全威脅。

A、分布式事務(wù)模型：分布式事務(wù)是指是指事務(wù)的參與者、支持事務(wù)的服務(wù)器、資源服務(wù)器以及事務(wù)管理器分別位于不同的分布式系統(tǒng)的不同節(jié)點(diǎn)之上。X/Open組織提出了一個分布式事務(wù)規(guī)范XA，定義了分布式處理模型X/Open DTP、，該模型包含了三個組件應(yīng)用程序AP、資源管理器RM和事務(wù)管理器TM，它們之間的關(guān)系如下圖所示。在這三個組件中，AP和TM、RM通信，TM和RM之間可以互相通信。DTP模型里面定義了XA接口，TM和RM通過XA接口進(jìn)行雙向的通信。

B、讀寫分離：數(shù)據(jù)庫的操作主要是增、刪、改、查四種操作，讓主數(shù)據(jù)庫(master)處理增加、修改、刪除三種“寫”操作，而從數(shù)據(jù)庫(slave)處理查詢“讀”操作，然后利用主從復(fù)制來同步主數(shù)據(jù)庫和從數(shù)據(jù)庫之間的數(shù)據(jù)。如圖2是一個常見的應(yīng)用使用讀寫分離的場景，這樣可以把讀操作分?jǐn)偟礁鱾€節(jié)點(diǎn)上，而寫操作依舊在主節(jié)點(diǎn)上進(jìn)行，就可減少主節(jié)點(diǎn)I/O操作帶來的壓力，以此來增加數(shù)據(jù)庫系統(tǒng)的穩(wěn)定性。比如在MySQL中，MySQL proxy一般會被用作讀寫分離的中間層，主要出于客戶端和后端數(shù)據(jù)庫集群之間，可以實(shí)現(xiàn)創(chuàng)建新命令、負(fù)載均衡、故障分析、過濾、修改查詢等功能。

C、CAP理論：CAP理論最早是由Eric Brewer在2000年提出，主要是說明了分布式事務(wù)的現(xiàn)實(shí)情況。CAP理論如圖3所示，包含了一致性、可用性、分區(qū)容錯性。一致性指的是所有的節(jié)點(diǎn)在同一時間讀取的數(shù)據(jù)是一樣的。可用性指的是不論成功與否，每個請求一定可以得到一個反饋。分區(qū)容錯性表示即使在系統(tǒng)中有部分信息丟失或其他異常問題，系統(tǒng)仍可以繼續(xù)正常運(yùn)行。但是在分布式系統(tǒng)中，最多只能同時提升兩種性能。這是因?yàn)閳A的總面積是不變的，是需要靠犧牲另一種性能來提升一種或兩種性能。

D、數(shù)據(jù)庫切片：數(shù)據(jù)庫切片有兩種方式，分別為水平切片和垂直切片。水平切片是以表內(nèi)的行為單位，將表內(nèi)數(shù)據(jù)拆分到不同節(jié)點(diǎn)上，常用于減輕單庫、單表的壓力。處理一張數(shù)據(jù)量過大的表并且表內(nèi)數(shù)據(jù)還會動態(tài)增長時，就可以用水平切片的方式，為其綁定一個分片規(guī)則，將數(shù)據(jù)拆分到多個數(shù)據(jù)節(jié)點(diǎn)上。常用的水平切片分片規(guī)則包括按字段真實(shí)值取值，按字段范圍取值，按字段哈希取值。垂直切片是以表為基本單位劃分到不同數(shù)據(jù)庫中，一個數(shù)據(jù)節(jié)點(diǎn)上存放不同的表。垂直切片是一種相對簡單的切片方式，應(yīng)用于庫內(nèi)表數(shù)量過多的場景。將同一業(yè)務(wù)中的數(shù)據(jù)表聚合到一個節(jié)點(diǎn)上，對于業(yè)務(wù)邏輯清晰且耦合度低的應(yīng)用程序來說影響很小。

發(fā)明內(nèi)容

針對現(xiàn)有技術(shù)中的缺陷，本發(fā)明的目的是提供一種擬態(tài)防御架構(gòu)的高性能數(shù)據(jù)訪問系統(tǒng)及方法。

根據(jù)本發(fā)明提供的一種擬態(tài)防御架構(gòu)的高性能數(shù)據(jù)訪問系統(tǒng)，包括：