加急见刊

SQLServer数据库安全监控系统的实现

来源:投稿网 时间:2022-08-18 23:52:06

数据库监控信息获取策略的研究内容包括:数据库威胁源、威胁特征、数据库审计事件、数据库运行性能指标等。通过对数据库威胁的研究,建立数据库威胁知识库,了解数据库攻击手段。攻击特征。检测信息源,然后制定监控信息获取策略,以确保数据库监控信息获取的完整性和可靠性。本文讨论了SQLServer数据库安全监控系统的实现。

1.系统整体结构。

本文将从水平、垂直和切向重新设计数据库安全监控系统,改善原系统结构设计的不足,分析其不同的划分结果。

1.横向结构。

从水平的角度来看,系统根据信息获取系统。分析系统。控制台系统根据不同的功能重新划分了系统模块结构,并添加了实时状态查询模块,增加了数据库安全监控系统安全威胁分析的数据源。水平结构如图1所示:

a)信息获取子系统。

b)分析机器系统。

C)控制台系统。

信息获取子系统位于整个系统的底部,是系统运行的基础。采用主机获取的方式,实时获取数据库服务器的数据信息,获取主机和网络通信会话轨迹,二次过滤获取的数据,减少模块之间传输的数据总量,减少上模块的数据分析时间,然后通过指定的数据传输渠道将数据发送到上分析机系统进行进一步处理。

作为整个系统的中间层,分析机器系统的作用是进一步处理从底层接收到的原始数据记录。主要是根据规则库中现有的规则,通过该层中包含的分析模块对收集到的原始数据进行匹配分析,区分正常授权访问和非法入侵,并将分析结果存储在日志数据库中。报警危险操作。

控制台系统作为人机交互接口,为用户管理。控制。配置系统和查询入侵记录提供操作界面。它负责控制。管理信息获取子系统和分析机器系统,生成安全规则,接收。存储报警和日志信息,查询和统计报警和日志信息,进一步分析和处理报警事件,并有一个开放的报警理平台。

2.纵向结构。

从纵向的角度来看,与原系统不同的是,新的数据库安全监控系统在对象开发和构件开发技术的基础上,引入了新的服务框架理念,实现了获取和分析、通信和业务的分离。其纵向结构如图2所示:

在整个系统中,TCP/IP层,即物理网络层,作为底层存在于系统中,在其上构建的通信托管层涵盖了系统的所有通信工作,是整个系统的总线,支持异步通信和遗忘映射。在此基础上,业务托管层可视为所有业务的容器和管理平台,其中最重要的功能是提供信息注册,实现信息生产者与信息消费者之间的沟通。在业务托管层的边缘,信息网关负责将业务数据按照标准协议转换为其他格式的数据,以实现与其他系统(包括安全设备)的连接。顶层是具体的业务模块,其作用是信息生产者和信息消费者,其中信息获取可视为信息生产者,分析是信息消费者,响应是信息的第二消费者,也是最终消费者。

传统的AAR框架和面向服务理念的结合,使这四个层次相对独立,相互实现,由于托管平台已经形成,因此基于平台响应业务插件的开发将变得非常方便,从而实现服务和构件开发的核心理念。

同时,实现了系统的分布式结构设计、集中控制和多层管理。整个系统由检测系统、分析系统和控制系统组成。每个子系统都采用层次化设计,分层实现业务逻辑和通信管理。一个控制系统可以管理多个分析系统,一个分析系统还可以支持多达50个不同系统平台的检测系统。

3.切向结构。

如果从部分观察系统,新系统的关键背景将变得更加清晰。这两个关键背景包括:数据和命令,并实现了相互内部之间的高聚合。松动和灾难的结合提高了模块的独立性。这里的数据是狭义的数据,主要包括信息生产者向信息消费者提供的信息,而命令是响应模块来配置获取和分析模块。维护管理传输的信息。数据(包括报警数据和实时信息)始终是自下而上的,从监控数据库中收集,通过IAS、AES,最后到达MTS。命令(控制)始终自上而下,部分命令由MTS发起(由于用户操作或系统维护的需要)通过AES,最后到达IAS;另一部分由AE发起(由于系统维护的需要)到达IAS。

2.系统工作原理。

该系统是一个基于主机检测的实时自动攻击识别和响应系统,在需要保护内部网络的敏感数据中运行。通过主机监控获取用户的数据库操作信息。在内置攻击特征数据库的帮助下,识别违反用户定义的安全规则,并进行应用级攻击检查。寻找攻击模式和其他非法活动时,可以做出以下反应:控制台警告。记录攻击事件。实时阻断网络连接,并根据需要扩展系统,实现与防火墙等其他安全设备的联动。

信息获取.分析机与控制台三个子系统之间的交互主要包括以下几个方面:

1.实现主机报警。探头启动后,将自动监控探头所在主机的数据库,获取与数据库操作相关的信息,包括数据库操作的SQL语句。登录用户名。数据库主机名称。当前系统用户。操作结果(成功或失败)等信息,并将信息格式化发送给分析机。分析机通过自己的信息规则分析系统,将对数据库安全有害的操作分开,并向控制台发送报警。接收到报警信息后,控制台管理员发出阻止攻击源IP地址的命令。阻断命令由分析机转发给探头部分,探头部分调用系统本身的API函数,实现指定IP地址的拦截操作,有效保护数据库安全,避免被攻击的可能性。

2.发布命令。控制台控制分析机和探头,维护和更新它们,并通过查询获得探头和分析机的运行状态。命令由控制台发出后,通过分析机或信息获取部分传达给分析机或信息获取部分,然后通过分析机和信息获取部分的响应模块实现命令。控制台发布的所有命令均通过指定端口传输,分析机和信息获取系统的命令回复也通过同一端口传输。

3.数据传输。探头。分析机和控制台通过指定的端口传输数据。所有发送的数据均以固定格式统一格式处理。