[发明专利]一种面向实时数据库的独立透明型安全审计保护的方法

权利要求书

1.一种面向实时数据库的独立透明型安全审计保护的方法，其特征在于，该方法包括：

独立透明型安全审计保护的加载和卸载方法；

把安全审计功能分为两部分，将其中最直接影响实时数据库服务性能也是比较核心的访问控制和日志信息采集独立出来作为侦听器，将剩余比较耗时的功能如配置管理、日志文件读写、日志分析、界面支持等作为管理控制中心，采用分离式部署提高安全审计整体性能并实现配置管理的统一；

通过划分安全区实现基于角色的权限管理，在此基础上结合特殊的二维权限表实现高效的访问控制；

粗细粒度结合的策略，基于接口导出序号的规则配置方式，根据配置信息，对访问控制和审计进行配置或修改配置，对于没有新配置的默认采用上一次的配置；

分阶段设计不同的日志格式，通过位操作快速生成由两个32位整数组成的原始日志信息；利用线程间消息传递方法将原始的日志信息发送给预处理线程，线程接收到原始日志信息后，进行初步封装形成预处理的日志记录；得到预处理的日志记录后，一方面进行报警判断，另一方面将其继续解析生成人员可识别的日志记录，并使用归并排序将所有日志记录按时间进行排序；

引入缓冲池并对其进行有效管理，将排好序的日志记录存入缓冲池中，通过快操作提高写日志文件的速度。为日志记录创建B-树索引，提高日志的查询效率。

2.根据权利要求1所述的方法，其特征在于，以实时数据库导出给应用系统的接口为切入点使得安全审计不依赖于具体的实时数据库。需要加载时，启动管理控制中心，使能侦听器；需要卸载时，只需关闭管理控制中心即可；通过为需要控制的接口提供对应的安全保护函数，在安全审计加载后，使用HOOK技术安全保护函数地址替换应用系统进程中对应接口的地址，为实时数据库增加安全审计功能。

具体根据接口的导出序号查找接口在映像导入地址表中的位置，使用HOOK IAT技术完成地址替换工作。查找接口在导入地址表中的位置还有另一种方法：首先根据接口的名字，使用Kernel32提供的GetProcAddress获得接口的导入地址，然后在导入地址表中一一比较，直到在表中找到为止。很显然，这种方法效率极其低下，故弃用。使用的HOOK IAT实际属于HOOK API技术中的一种，另一种是直接将接口函数首地址的头五个字节内容改为机器码形式的跳转指令，跳转地址即为安全保护函数的地址。这两种技术相比，HOOK IAT效率最高，所以采用它。

3.根据权利要求2所述的方法，其特征在于，所述接口对应的安全保护函数的构造过程为：根据对应的接口，可以在安全保护函数中直接确定一些已知信息，如用户要做的操作、事件类型、对象类型等；分析系统调用栈的结构，使用汇编指令mov eax，dword ptr[ebp+n]和mov dword ptr[pParam]，eax从系统调用栈中一一获取接口的参数信息；判断是否开启访问控制开关，如果开启根据已获得的参数信息查询用户的二维权限表，进行快速权限校验，校验通过调用原接口，提供实时数据库服务，否则拒绝调用，如果没有开启直接调用原接口；判断是否开启审计开关，如果开启，将参数中的对象信息、操作信息以及接口执行结果等通过与、或位运算形成两个32位的整数类型的原始日志记录数据，并作为消息发送给日志预处理线程。

4.根据权利要求1所述的方法，其特征在于，所述借助划分安全区实现基于角色的权限管理进一步包括：

角色是建立在系统中划分的安全区之上，角色和某个或某些安全区对应，它描述了拥有该角色的用户可以对安全区内点所做的操作；安全区是认为划分的若干区域，具体可以根据对象逻辑功能进行划分也可以根据对象所在物理区域如对象所属工段、车间进行划分等；采用基于角色的权限管理方式，系统安全员可以给用户赋予相应的角色使用户具有特定的访问权限，当有对象需要保护时，根据保护要求建立一个安全区，将他们安全区中。用户访问这些受保护对象时，会进行安全区校验并以此来限制用户对这些对象的操作。