亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

檢測數(shù)據(jù)庫篡改行為的方法及裝置制造方法

文檔序號:6632018閱讀:211來源:國知局
檢測數(shù)據(jù)庫篡改行為的方法及裝置制造方法
【專利摘要】一種檢測數(shù)據(jù)庫篡改行為的方法,包括:接收網(wǎng)絡(luò)訪問請求;識別出數(shù)據(jù)庫訪問請求,提取所述數(shù)據(jù)庫訪問請求中的SQL語句;提取所述SQL語句的指令對象、指令類別和/或指令條件;獲取預(yù)設(shè)的數(shù)據(jù)庫訪問規(guī)則;判斷所述提取得到的指令對象、指令類別和/或指令條件是否與所述數(shù)據(jù)庫訪問規(guī)則匹配,若是,則判定所述網(wǎng)絡(luò)訪問請求為篡改行為。此外,還提供了一種檢測數(shù)據(jù)庫篡改行為的裝置。上述檢測數(shù)據(jù)庫篡改行為的方法及裝置能夠提高安全性。
【專利說明】檢測數(shù)據(jù)庫篡改行為的方法及裝置

【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及終端【技術(shù)領(lǐng)域】,特別是涉及一種檢測數(shù)據(jù)庫篡改行為的方法及裝置。

【背景技術(shù)】
[0002]現(xiàn)在的web防護中,隨著全球信息化進程的推進,網(wǎng)絡(luò)風(fēng)險已經(jīng)成為阻礙信息化進程的一個重要因素,網(wǎng)絡(luò)安全問題成為公眾關(guān)注的焦點。其中數(shù)據(jù)庫安全風(fēng)險尤其受到關(guān)注,因為數(shù)據(jù)庫安全直接關(guān)系到企業(yè)與用戶的信息安全。數(shù)據(jù)庫安全主要涉及:濫用過高權(quán)限、濫用合法權(quán)限、權(quán)限提升、SQL注入、數(shù)據(jù)泄露等。
[0003]現(xiàn)有技術(shù)中,在對這些問題的防御,通常依賴于數(shù)據(jù)庫自身的安全機制,但現(xiàn)有數(shù)據(jù)庫產(chǎn)品只有少量的安全配置方面的功能,并不能滿足與業(yè)務(wù)需求相關(guān)的數(shù)據(jù)庫安全防護的需求,因此造成了現(xiàn)有的數(shù)據(jù)庫安全防護的安全性較低。


【發(fā)明內(nèi)容】

[0004]基于此,有必要提供一種能夠提高安全性的檢測數(shù)據(jù)庫篡改行為的方法。
[0005]一種檢測數(shù)據(jù)庫篡改行為的方法,包括:
[0006]接收網(wǎng)絡(luò)訪問請求;
[0007]識別出數(shù)據(jù)庫訪問請求,提取所述數(shù)據(jù)庫訪問請求中的SQL語句;
[0008]提取所述SQL語句的指令對象、指令類別和/或指令條件;
[0009]獲取預(yù)設(shè)的數(shù)據(jù)庫訪問規(guī)則;
[0010]判斷所述提取得到的指令對象、指令類別和/或指令條件是否與所述數(shù)據(jù)庫訪問規(guī)則匹配,若是,則判定所述網(wǎng)絡(luò)訪問請求為篡改行為。
[0011]在其中一個實施例中,所述識別出數(shù)據(jù)庫訪問請求的步驟為:
[0012]判斷所述網(wǎng)絡(luò)訪問請求是否匹配預(yù)設(shè)的IP地址和/或端口號和/或數(shù)據(jù)庫協(xié)議關(guān)鍵字,若是,則判定所述網(wǎng)絡(luò)訪問請求為數(shù)據(jù)庫訪問請求。
[0013]在其中一個實施例中,所述數(shù)據(jù)庫訪問規(guī)則包含預(yù)設(shè)的正則表達式或關(guān)鍵字符串;
[0014]所述判斷提取得到的指令對象、指令類別和/或指令條件是否與所述數(shù)據(jù)庫訪問規(guī)則匹配的步驟為:
[0015]判斷所述提取得到的指令對象、指令類別和/或指令條件是否與所述正則表達式或關(guān)鍵字符串匹配。
[0016]在其中一個實施例中,所述獲取預(yù)設(shè)的數(shù)據(jù)庫訪問規(guī)則的步驟之前還包括:
[0017]獲取所述數(shù)據(jù)庫訪問請求對應(yīng)的用戶類別;
[0018]所述獲取預(yù)設(shè)的數(shù)據(jù)庫訪問規(guī)則的步驟還包括:
[0019]獲取與所述用戶類別對應(yīng)的數(shù)據(jù)庫訪問規(guī)則。
[0020]在其中一個實施例中,所述判定所述網(wǎng)絡(luò)訪問請求為篡改行為的步驟之后還包括:
[0021]獲取預(yù)設(shè)的告警地址,生成告警信息,將所述告警信息發(fā)送至所述告警地址。
[0022]此外,還有必要提供一種能夠提高安全性的檢測數(shù)據(jù)庫篡改行為的裝置。
[0023]一種檢測數(shù)據(jù)庫篡改行為的裝置,包括:
[0024]請求攔截模塊,用于接收網(wǎng)絡(luò)訪問請求;
[0025]請求識別模塊,用于識別出數(shù)據(jù)庫訪問請求,提取所述數(shù)據(jù)庫訪問請求中的SQL語句;
[0026]指令提取模塊,用于提取所述SQL語句的指令對象、指令類別和/或指令條件;
[0027]規(guī)則獲取模塊,用于獲取預(yù)設(shè)的數(shù)據(jù)庫訪問規(guī)則;
[0028]行為判定模塊,用于判斷所述提取得到的指令對象、指令類別和/或指令條件是否與所述數(shù)據(jù)庫訪問規(guī)則匹配,若是,則判定所述網(wǎng)絡(luò)訪問請求為篡改行為。
[0029]在其中一個實施例中,所述請求識別模塊還用于判斷所述網(wǎng)絡(luò)訪問請求是否匹配預(yù)設(shè)的IP地址和/或端口號和/或數(shù)據(jù)庫協(xié)議關(guān)鍵字,若是,則判定所述網(wǎng)絡(luò)訪問請求為數(shù)據(jù)庫訪問請求。
[0030]在其中一個實施例中,所述數(shù)據(jù)庫訪問規(guī)則包含預(yù)設(shè)的正則表達式或關(guān)鍵字符串;
[0031]所述行為判定模塊還用于判斷所述提取得到的指令對象、指令類別和/或指令條件是否與所述正則表達式或關(guān)鍵字符串匹配。
[0032]在其中一個實施例中,所述規(guī)則獲取模塊還用于獲取所述數(shù)據(jù)庫訪問請求對應(yīng)的用戶類別,獲取與所述用戶類別對應(yīng)的數(shù)據(jù)庫訪問規(guī)則。
[0033]在其中一個實施例中,所述裝置還包括告警模塊,用于獲取預(yù)設(shè)的告警地址,生成告警信息,將所述告警信息發(fā)送至所述告警地址。
[0034]上述檢測數(shù)據(jù)庫篡改行為的方法及裝置中,對數(shù)據(jù)庫訪問請求進行匹配的數(shù)據(jù)庫訪問規(guī)則不限于數(shù)據(jù)庫產(chǎn)品自身所定義的規(guī)則,而是由數(shù)據(jù)庫管理員創(chuàng)建的與實際業(yè)務(wù)相關(guān)的數(shù)據(jù)庫訪問規(guī)則,因此可根據(jù)業(yè)務(wù)的實際需要自定義,使得對篡改行為的檢測更加適配業(yè)務(wù)需求,從而提高了安全性。
[0035]同時該方法及裝置是對網(wǎng)絡(luò)訪問請求進行識別后進行檢測,與數(shù)據(jù)庫服務(wù)器并不關(guān)聯(lián),并不必須安裝在數(shù)據(jù)庫服務(wù)器上,而可將其部署于數(shù)據(jù)庫服務(wù)器前端接收訪問請求的web服務(wù)器或網(wǎng)關(guān)設(shè)備上,因此,更加提高了檢測數(shù)據(jù)庫篡改行為的方法及裝置的適用性。

【專利附圖】

【附圖說明】
[0036]圖1為一個實施例中一種檢測數(shù)據(jù)庫篡改行為的方法的流程圖;
[0037]圖2為一個實施例中一種檢測數(shù)據(jù)庫篡改行為的方裝置的結(jié)構(gòu)示意圖。

【具體實施方式】
[0038]為解決上述安全性不足的問題,特提出了一種檢測數(shù)據(jù)庫篡改行為的方法。該方法完全依賴于計算機程序,該計算機程序可運行于基于馮洛伊曼體系的計算機系統(tǒng)上。該計算機系統(tǒng)可以是數(shù)據(jù)庫服務(wù)器、web服務(wù)器、數(shù)據(jù)庫服務(wù)器前端接收數(shù)據(jù)庫訪問請求的計算機設(shè)備、網(wǎng)關(guān)設(shè)備或具有網(wǎng)關(guān)功能的網(wǎng)絡(luò)設(shè)備等。
[0039]在本實施例中,如圖1所示,該方法包括:
[0040]步驟S102:接收網(wǎng)絡(luò)訪問請求。
[0041]步驟S104:識別出數(shù)據(jù)庫訪問請求,提取數(shù)據(jù)庫訪問請求中的SQL語句。
[0042]在本實施例中,該方法可運行于web服務(wù)器機房的網(wǎng)關(guān)設(shè)備上,web服務(wù)器機房中的web服務(wù)器處于機房內(nèi)的內(nèi)網(wǎng)環(huán)境中,通過該網(wǎng)關(guān)設(shè)備與外部網(wǎng)絡(luò)連接。終端發(fā)起的網(wǎng)絡(luò)訪問請求經(jīng)該網(wǎng)關(guān)設(shè)備轉(zhuǎn)發(fā)后抵達機房內(nèi)的web服務(wù)器。
[0043]在本實施例中,可根據(jù)數(shù)據(jù)庫相關(guān)協(xié)議對網(wǎng)絡(luò)訪問請求進行識別,判斷網(wǎng)絡(luò)訪問請求是否匹配預(yù)設(shè)的IP地址和/或端口號和/或數(shù)據(jù)庫相關(guān)協(xié)議對應(yīng)的數(shù)據(jù)庫協(xié)議關(guān)鍵字,若是,則判定網(wǎng)絡(luò)訪問請求為數(shù)據(jù)庫訪問請求。若網(wǎng)絡(luò)訪問請求為數(shù)據(jù)庫訪問請求,則根據(jù)數(shù)據(jù)庫相關(guān)協(xié)議提取該SQL語句。
[0044]例如,若在web系統(tǒng)中,數(shù)據(jù)庫服務(wù)器的ip地址為192.168.1.10,端口號為3306(以mysql數(shù)據(jù)庫為例),則可將其預(yù)先配置在配置文件中。即管理員可以通過配置目標ip和/或端口,明確指定哪些目標是數(shù)據(jù)庫服務(wù)器。另外,管理員亦可勾選讓數(shù)據(jù)庫篡改檢測系統(tǒng)自行發(fā)現(xiàn)內(nèi)網(wǎng)的數(shù)據(jù)庫服務(wù)器,此時系統(tǒng)將根據(jù)各個數(shù)據(jù)庫協(xié)議特征(如端口或具體的通信特征),識別數(shù)據(jù)庫服務(wù)器。例如管理員指定目標端口 3306是數(shù)據(jù)庫服務(wù)器,系統(tǒng)也檢測到接收的網(wǎng)絡(luò)訪問請求發(fā)送至192.168.1.10主機的3306端口,則可判定為該網(wǎng)絡(luò)訪問請求為數(shù)據(jù)庫訪問請求。
[0045]步驟S106:提取SQL語句的指令對象、指令類別和/或指令條件。
[0046]SQL語句通常包含三要素,即指令對象、指令類別和指令條件。指令對象即為該SQL語句操作的數(shù)據(jù)庫的表或視圖,指令類別即為該SQL語句進行的數(shù)據(jù)庫操作的類型(例如insert、delete、update、select,增刪改查等操作),指令條件即為該SQL語句在執(zhí)行數(shù)據(jù)庫操作指令時的附加條件。
[0047]例如,若提取得到的SQL 語句為:“INSERT INTO shell'('phpcode')VALUESΓ < ? php@eval($_POST["cmd"] ; ? >'),,
[0048]則INSERT即為指令類別,表示的是該SQL語句執(zhí)行的是新增數(shù)據(jù)庫記錄的操作。
[0049]Shell和phpcode即為指令對象,即為該SQL語句的插入操作的對象是Shell數(shù)據(jù)表的phpcode字段。
[0050]' < ? phpOeval ($_P0ST[〃cmd〃] ; ? >'即為該SQL語句操作的附加條件,表示該SQL語句對shell表操作新增的記錄為〈? phpOeval ($_P0ST[〃cmd〃] ; ? >。
[0051]步驟S108:獲取預(yù)設(shè)的數(shù)據(jù)庫訪問規(guī)則。
[0052]步驟S110:判斷提取得到的指令對象、指令類別和/或指令條件是否與數(shù)據(jù)庫訪問規(guī)則匹配,若是,則執(zhí)行步驟S112 ;否則,執(zhí)行步驟S114。
[0053]步驟S112:判定網(wǎng)絡(luò)訪問請求為篡改行為。
[0054]步驟S114:判定網(wǎng)絡(luò)訪問請求不為篡改行為。
[0055]在本實施例中,數(shù)據(jù)庫訪問規(guī)則包含與預(yù)設(shè)的正則表達式或關(guān)鍵字符串。在本實施例中,數(shù)據(jù)庫訪問規(guī)則可以是多條正則表達式或多個關(guān)鍵字符串,由開發(fā)人員預(yù)先定義,也可后期添加和刪除??蔀楣芾砣藛T提供配置界面,展示當(dāng)前設(shè)定的多條數(shù)據(jù)庫訪問規(guī)則,管理人員通過勾選即可配置用于匹配的數(shù)據(jù)庫訪問規(guī)則。
[0056]在本實施例中,判斷提取得到的指令對象、指令類別和/或指令條件是否與所述數(shù)據(jù)庫訪問規(guī)則匹配的步驟可具體為:
[0057]判斷提取得到的指令對象、指令類別和/或指令條件是否與正則表達式或關(guān)鍵字符串匹配。
[0058]如前例中,若數(shù)據(jù)庫訪問規(guī)則中定義了對數(shù)據(jù)庫對象user數(shù)據(jù)表執(zhí)行更新、刪除等操作均為篡改行為,則若提取到的SQL語句的指令對象為user,指令類別為update或delete時,該SQL語句的指令對象和指令類別即與數(shù)據(jù)庫訪問規(guī)則匹配。
[0059]若數(shù)據(jù)庫訪問規(guī)則中對于篡改行為包含有如下定義:
[0060]db_ob ject (指令對象);
[0061]pcre: "/(php |〈\ ? | < % \$) [~>$]*eval (_r) ? [ + \s/*] *\([ + \s/*] * (' r I \$ I \w+\ () /iU〃 (指令條件)
[0062]該規(guī)則表示對于任意數(shù)據(jù)庫表,執(zhí)行的SQL語句中都不能包含php的代碼。
[0063]則對于上述SQL語句:
[0064]INSERT INTO shell'('phpcode')VALUES( ' < ? phpOeval($_P0ST["cmd"] ; ?
y )
[0065]指令對象shell' ('phpcode')與數(shù)據(jù)庫訪問規(guī)則中的db_object項匹配0為正則表達式中的通配符),而'〈? php@eval ($_P0ST[〃cmd〃] ; ? >'則數(shù)據(jù)庫訪問規(guī)則中的pcre項匹配。因此該SQL語句與數(shù)據(jù)庫訪問規(guī)則中定義的篡改行為匹配,其對應(yīng)的數(shù)據(jù)庫訪問請求被判定為篡改行為。
[0066]再例如,可在數(shù)據(jù)庫訪問規(guī)則中預(yù)先定義篡改行為特征為:指令對象為*,指令類別為insert或update,指令條件為符合php、asp和jsp代碼特征的正則表達式,則經(jīng)匹配后,任意插入或更新的SQL語句中,若包含php、asp和jsp代碼,則將被判定為篡改行為。
[0067]再例如,可在數(shù)據(jù)庫訪問規(guī)則中預(yù)先定義篡改行為特征為:指令對象為*,指令類別為*,指令條件為符合恒等操作(例如1 = 1)特征的正則表達式,則經(jīng)匹配后,任意包含恒等式的SQL語句均被判定為篡改行為,從而防止部分不法分子對數(shù)據(jù)庫指令是否正常執(zhí)行進行探測。
[0068]在判定了數(shù)據(jù)庫訪問請求為篡改行為后,則可對該數(shù)據(jù)庫訪問請求進行阻斷操作,不轉(zhuǎn)發(fā)該數(shù)據(jù)庫訪問請求,或?qū)⒃摂?shù)據(jù)庫訪問請求丟棄,不解析相應(yīng)的SQL語句進行執(zhí)行。
[0069]優(yōu)選的,判定網(wǎng)絡(luò)訪問請求為篡改行為的步驟之后還可獲取預(yù)設(shè)的告警地址,生成告警信息,將告警信息發(fā)送至告警地址。
[0070]例如,若網(wǎng)站管理員或數(shù)據(jù)庫管理員預(yù)先配置了郵箱作為告警地址,則判定網(wǎng)絡(luò)訪問請求為篡改行為完成檢測后,可根據(jù)該網(wǎng)絡(luò)訪問請求對應(yīng)的源IP、SQL語句等信息生成告警信息,然后將其通過郵件API發(fā)送至該配置的郵箱。網(wǎng)站管理員或數(shù)據(jù)庫管理員則可通過訪問郵箱查看相應(yīng)的檢測記錄,并可對某些源IP進行限制訪問等操作。
[0071]在一個實施例中,獲取預(yù)設(shè)的數(shù)據(jù)庫訪問規(guī)則的步驟之前還包括:獲取數(shù)據(jù)庫訪問請求對應(yīng)的用戶類別。在本實施例中,獲取預(yù)設(shè)的數(shù)據(jù)庫訪問規(guī)則的步驟還包括:獲取與用戶類別對應(yīng)的數(shù)據(jù)庫訪問規(guī)則。
[0072]用戶類別即為發(fā)起數(shù)據(jù)庫訪問請求的用戶的權(quán)限級別,通??煞譃槠胀ㄓ脩艉凸芾韱T用戶。數(shù)據(jù)庫訪問規(guī)則可預(yù)先針對不同權(quán)限級別的用戶進行設(shè)定。例如,對于指令對象為用戶表,可不限制管理員用戶進行新增和刪除操作,但對于普通用戶的操作則判定為篡改行為。
[0073]在一個實施例中,如圖2所示,一種檢測數(shù)據(jù)庫篡改行為的裝置,包括請求攔截模塊102、請求識別模塊104、指令提取模塊106、規(guī)則獲取模塊108以及行為判定模塊110,其中:
[0074]請求攔截模塊102,用于接收網(wǎng)絡(luò)訪問請求;
[0075]請求識別模塊104,用于識別出數(shù)據(jù)庫訪問請求,提取所述數(shù)據(jù)庫訪問請求中的SQL語句;
[0076]指令提取模塊106,用于提取所述SQL語句的指令對象、指令類別和/或指令條件;
[0077]規(guī)則獲取模塊108,用于獲取預(yù)設(shè)的數(shù)據(jù)庫訪問規(guī)則;
[0078]行為判定模塊110,用于判斷所述提取得到的指令對象、指令類別和/或指令條件是否與所述數(shù)據(jù)庫訪問規(guī)則匹配,若是,則判定所述網(wǎng)絡(luò)訪問請求為篡改行為。
[0079]在本實施例中,請求識別模塊104還用于判斷所述網(wǎng)絡(luò)訪問請求是否匹配預(yù)設(shè)的IP地址和/或端口號和/或數(shù)據(jù)庫協(xié)議關(guān)鍵字,若是,則判定所述網(wǎng)絡(luò)訪問請求為數(shù)據(jù)庫訪問請求。
[0080]在本實施例中,數(shù)據(jù)庫訪問規(guī)則包含預(yù)設(shè)的正則表達式或關(guān)鍵字符串。
[0081]行為判定模塊110還用于判斷所述提取得到的指令對象、指令類別和/或指令條件是否與所述正則表達式或關(guān)鍵字符串匹配。
[0082]在本實施例中,規(guī)則獲取模塊108還用于獲取所述數(shù)據(jù)庫訪問請求對應(yīng)的用戶類另IJ,獲取與所述用戶類別對應(yīng)的數(shù)據(jù)庫訪問規(guī)則。
[0083]在本實施例中,如圖2所示,檢測數(shù)據(jù)庫篡改行為的裝置還包括告警模塊112,用于獲取預(yù)設(shè)的告警地址,生成告警信息,將所述告警信息發(fā)送至所述告警地址。
[0084]上述檢測數(shù)據(jù)庫篡改行為的方法及裝置中,對數(shù)據(jù)庫訪問請求進行匹配的數(shù)據(jù)庫訪問規(guī)則不限于數(shù)據(jù)庫產(chǎn)品自身所定義的規(guī)則,而是由數(shù)據(jù)庫管理員創(chuàng)建的與實際業(yè)務(wù)相關(guān)的數(shù)據(jù)庫訪問規(guī)則,因此可根據(jù)業(yè)務(wù)的實際需要自定義,使得對篡改行為的檢測更加適配業(yè)務(wù)需求,從而提高了安全性。
[0085]同時該方法及裝置是對網(wǎng)絡(luò)訪問請求進行識別后進行檢測,與數(shù)據(jù)庫服務(wù)器并不關(guān)聯(lián),并不必須安裝在數(shù)據(jù)庫服務(wù)器上,而可將其部署于數(shù)據(jù)庫服務(wù)器前端接收訪問請求的web服務(wù)器或網(wǎng)關(guān)設(shè)備上,因此,更加提高了檢測數(shù)據(jù)庫篡改行為的方法及裝置的適用性。
[0086]以上所述實施例僅表達了本發(fā)明的幾種實施方式,其描述較為具體和詳細,但并不能因此而理解為對本發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是,對于本領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進,這些都屬于本發(fā)明的保護范圍。因此,本發(fā)明專利的保護范圍應(yīng)以所附權(quán)利要求為準。
【權(quán)利要求】
1.一種檢測數(shù)據(jù)庫篡改行為的方法,包括: 接收網(wǎng)絡(luò)訪問請求; 識別出數(shù)據(jù)庫訪問請求,提取所述數(shù)據(jù)庫訪問請求中的SQL語句; 提取所述SQL語句的指令對象、指令類別和/或指令條件; 獲取預(yù)設(shè)的數(shù)據(jù)庫訪問規(guī)則; 判斷所述提取得到的指令對象、指令類別和/或指令條件是否與所述數(shù)據(jù)庫訪問規(guī)則匹配,若是,則判定所述網(wǎng)絡(luò)訪問請求為篡改行為。
2.根據(jù)權(quán)利要求1所述的檢測數(shù)據(jù)庫篡改行為的方法,其特征在于,所述識別出數(shù)據(jù)庫訪問請求的步驟為: 判斷所述網(wǎng)絡(luò)訪問請求是否匹配預(yù)設(shè)的IP地址和/或端口號和/或數(shù)據(jù)庫協(xié)議關(guān)鍵字,若是,則判定所述網(wǎng)絡(luò)訪問請求為數(shù)據(jù)庫訪問請求。
3.根據(jù)權(quán)利要求1所述的檢測數(shù)據(jù)庫篡改行為的方法,其特征在于,所述數(shù)據(jù)庫訪問規(guī)則包含預(yù)設(shè)的正則表達式或關(guān)鍵字符串; 所述判斷提取得到的指令對象、指令類別和/或指令條件是否與所述數(shù)據(jù)庫訪問規(guī)則匹配的步驟為: 判斷所述提取得到的指令對象、指令類別和/或指令條件是否與所述正則表達式或關(guān)鍵字符串匹配。
4.根據(jù)權(quán)利要求1所述的檢測數(shù)據(jù)庫篡改行為的方法,其特征在于,所述獲取預(yù)設(shè)的數(shù)據(jù)庫訪問規(guī)則的步驟之前還包括: 獲取所述數(shù)據(jù)庫訪問請求對應(yīng)的用戶類別; 所述獲取預(yù)設(shè)的數(shù)據(jù)庫訪問規(guī)則的步驟還包括: 獲取與所述用戶類別對應(yīng)的數(shù)據(jù)庫訪問規(guī)則。
5.根據(jù)權(quán)利要求1所述的檢測數(shù)據(jù)庫篡改行為的方法,其特征在于,所述判定所述網(wǎng)絡(luò)訪問請求為篡改行為的步驟之后還包括: 獲取預(yù)設(shè)的告警地址,生成告警信息,將所述告警信息發(fā)送至所述告警地址。
6.一種檢測數(shù)據(jù)庫篡改行為的裝置,其特征在于,包括: 請求攔截模塊,用于接收網(wǎng)絡(luò)訪問請求; 請求識別模塊,用于識別出數(shù)據(jù)庫訪問請求,提取所述數(shù)據(jù)庫訪問請求中的SQL語句; 指令提取模塊,用于提取所述SQL語句的指令對象、指令類別和/或指令條件; 規(guī)則獲取模塊,用于獲取預(yù)設(shè)的數(shù)據(jù)庫訪問規(guī)則; 行為判定模塊,用于判斷所述提取得到的指令對象、指令類別和/或指令條件是否與所述數(shù)據(jù)庫訪問規(guī)則匹配,若是,則判定所述網(wǎng)絡(luò)訪問請求為篡改行為。
7.根據(jù)權(quán)利要求6所述的檢測數(shù)據(jù)庫篡改行為的裝置,其特征在于,所述請求識別模塊還用于判斷所述網(wǎng)絡(luò)訪問請求是否匹配預(yù)設(shè)的IP地址和/或端口號和/或數(shù)據(jù)庫協(xié)議關(guān)鍵字,若是,則判定所述網(wǎng)絡(luò)訪問請求為數(shù)據(jù)庫訪問請求。
8.根據(jù)權(quán)利要求6所述的檢測數(shù)據(jù)庫篡改行為的裝置,其特征在于,所述數(shù)據(jù)庫訪問規(guī)則包含預(yù)設(shè)的正則表達式或關(guān)鍵字符串; 所述行為判定模塊還用于判斷所述提取得到的指令對象、指令類別和/或指令條件是否與所述正則表達式或關(guān)鍵字符串匹配。
9.根據(jù)權(quán)利要求6所述的檢測數(shù)據(jù)庫篡改行為的裝置,其特征在于,所述規(guī)則獲取模塊還用于獲取所述數(shù)據(jù)庫訪問請求對應(yīng)的用戶類別,獲取與所述用戶類別對應(yīng)的數(shù)據(jù)庫訪問規(guī)則。
10.根據(jù)權(quán)利要求6所述的檢測數(shù)據(jù)庫篡改行為的裝置,其特征在于,所述裝置還包括告警模塊,用于獲取預(yù)設(shè)的告警地址,生成告警信息,將所述告警信息發(fā)送至所述告警地址。
【文檔編號】G06F21/56GK104361035SQ201410589204
【公開日】2015年2月18日 申請日期:2014年10月27日 優(yōu)先權(quán)日:2014年10月27日
【發(fā)明者】曾加良 申請人:深信服網(wǎng)絡(luò)科技(深圳)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1