- 相關推薦
SQL Server數據庫安全監控系統的設計與實現
【論文關鍵詞】SQLserver 數據庫 安全監控系統
【論文摘要】數據庫監控信息獲取策略的研究內容包括:數據庫威脅來源、威脅特征、數據庫審計事件、數據庫運行性能指標等。通過對數據庫所受威脅的研究,建立數據庫威脅知識庫,可以了解數據庫攻擊手段、攻擊特征、檢測信息源,進而制定監控信息獲取策略,保證數據庫監控信息獲取的完備性與可靠性。本文探討了SQL?Server數據庫安全監控系統的實現。
一、系統整體結構
下面本文將分別從橫向、縱向以及切向對數據庫安全監控系統進行了結構上的再設計,改善了原有系統結構設計上的不足之處,并對其不同的劃分結果進行分析。
1、橫向結構
從橫向看,該系統按照信息獲取系統、分析機系統、控制臺系統按照功能不同進行了重新的系統模塊結構的劃分,并補充了實時狀態查詢模塊,增加了數據庫安全監控系統安全威脅分析的數據來源,其橫向結構如圖1所示:
a)信息獲取子系統
b)分析機子系統
c)控制臺子系統
其中信息獲取子系統位于整個系統的底層,是系統運行的基礎所在。它采用主機獲取的方式,對數據庫服務器進行實時的數據信息獲取,獲取主機以及網絡通訊會話軌跡,并對獲取的數據進行二次過濾,以減少模塊之間傳輸的數據總量,減輕上層模塊的數據分析時間,再將數據通過指定數據傳送通道發送到上層分析機子系統,做進一步的處理。
分析機子系統作為整個系統的中間層,其作用在于對從底層接收到的原始數據記錄進行進一步的處理。主要是通過該層所包含的分析模塊對采集到的原始數據,按照既存于規則庫中的規則,進行模式匹配分析,將正常授權訪問與非法入侵行為區分開,并把分析的結果存儲到日志數據庫中。對于危害操作進行報警。
控制臺子系統作為人機交互的接口,為用戶管理、控制、配置系統并查詢入侵記錄提供操作界面。它負責控制、管理信息獲取子系統和分析機子系統,生成安全規則,接收、存儲報警和日志信息;對報警及日志信息進行查詢統計;對報警事件做進一步分析處理,并且有開放的報警接口支持更高層次的安全管理平臺。
2、縱向結構
從縱向看,與原有系統不同之處在于,新的數據庫安全監控系統在采用獲取一分析一響應的體系結構,構建面向對象開發和面向構件開發的技術基礎上,新引入了面向服務框架思想,實現了獲取與分析的分離,通信與業務的分離。其縱向結構如圖2所示:
在整個系統中TCP/IP層,即物理網絡層,作為底層存在于系統中,在其上構筑的通信托管層則總攬了系統的全部通信工作,是整個系統的總線,支持異步通訊和斷忘映傳。在這之上的業務托管層可視做所有業務的容器和管理平臺,其中最重要的功能則是提供信息注冊,以實現信息生產者和信息消費者之間的溝通。在業務托管層的邊緣是信息網關,負責將業務數據按照標準協議轉化成其他格式數據,以實現和其他系統(包括安全設備)之間的互聯、級聯。最上層的是具體的業務模塊,它們的角色分別為信息生產者和信息消費者,其中信息獲取可視做信息生產者,而分析則是信息消費者,響應是信息的二次消費者,也是最終消費者。
傳統的AAR框架與面向服務思想的結合,使得這四個層次相對獨立,互相之間實現了松禍合,并且因為托管平臺也己成形,那么基于這一平臺的響應業務插件的開發將會變得非常便捷,從而實現了面向服務和面向構件開發的核心理念隨需而變。
同時也實現了系統的分布式結構設計,集中控制與多層管理。整個系統由檢測系統、分析系統、控制系統組成,每個子系統都采用層次化設計,業務邏輯與通訊管理分層實現。一個控制系統可以管理多個分析系統,一個分析系統還可以同時支持多達五十個不同系統平臺的檢測系統。
3、切向結構
若從切面來觀察該系統,新系統的關鍵脈絡變得更加清晰明了,兩條關鍵脈絡包括:數據和命令,而且互相內部之間實現了高聚合、松禍合,提高了模塊的獨立化。這里的數據為狹義數據,主要包括了信息生產者向信息消費者提供的信息,而命令則是響應模塊對于獲取和分析模塊進行配置、維護、管理所傳送的信息。數據(包括報警數據和實時信息)始終是自下而上的,從被監控數據庫采集出來,途經IAS,AES,最后到達MTS。而命令(控制)始終是自上而下的,其中一部分命令由MTS發起(因用戶的操作發起或系統維護需要發起)途經AES,最后到達IAS;另一部分由AE發起(因系統維護需要發起)到達IAS。
二、系統工作原理
該系統是一種基于主機探測的實時自動攻擊識別和響應系統,運行于有敏感數據需要保護內部網絡中。通過采取主機監控的方式,獲取用戶的數據庫操作信息。借助于自身內置的攻擊特征數據庫,識別違反用戶定義的安全規則,進行應用級攻擊檢查。在尋找到攻擊模式和其他違規活動時,可以進行如下反應:控制臺告警、記錄攻擊事件、實時阻斷網絡連接,同時還可以根據需要對系統進行擴展,實現與防火墻等其他安全設備的聯動。
信息獲取、分析機以及控制臺三個子系統三者之間的交互主要包括以下幾個方面:
1、主機報警實現。探頭啟動之后,將自動實現對于探頭所在主機數據庫的監控,獲取與數據庫操作有關的信息,包括數據庫操作的SQL語句、登陸的用戶名、數據庫主機名稱、當前系統用戶、操作結果(成功或者失敗)等信息,并將信息格式化發送到分析機,分析機通過自身的信息規則分析系統,從這些信息當中分離出對數據庫安全有危害的操作,并向控制臺發送報警,控制臺在接受到報警信息之后,由管理員發出對攻擊源IP地址行阻斷的命令。所發出的阻斷命令由分析機轉發給探頭部分,由探頭部分調用系統自身API函數,實現對于指定IP地址的攔截操作,從而有效的實現了對于數據庫安全的保護,避免了被進犯的可能。
2、命令的下發。控制臺對分析機以及探頭進行控制,對它們進行維護更新,并通過查詢的方式,獲取探頭以及分析機的運行狀態。命令由控制臺發出后,向分析機或者經分析機向信息獲取部分傳達,再分別由分析機以及信息獲取部分的響應模塊對命令加以實現。其中控制臺所有下達的命令通過指定的端口進行傳遞,同時分析機以及信息獲取系統的命令回復也是由同一端口向上傳達。
3、數據的傳送。探頭、分析機以及控制臺三者之間通過指定的端口進行數據的傳送,所有發送的數據都進行了統一的格式化處理,以固定的格式進行傳遞。
參考文獻:
1、馬應章.SQL標準發展概述[J].計算機應用與軟件,2003,11:28-32。
2、谷震離,杜根遠.SQLserver數據庫應用程序中數據庫安全性研究[J].計算機工程與設計,2007,28(15):3717一3719。
3、金燁,曹珍富.一個新的用于移動代理的簽名方案[J].計算機工程,2006,32(2),149一150。
【SQL Server數據庫安全監控系統的設計與實現】相關文章:
開發基于SQL SERVER 的C/S數據庫應用系統?03-18
網絡購物系統的設計與實現ASP+SQL03-08
SQL Server的系統表及其應用研究03-06
新聞網系統設計與實現ASP+SQL11-23
家庭理財系統的設計與實現VB+SQL03-08
排課系統的實現Delphi+SQL11-23
移動網絡監控系統的設計與實現03-05