[发明专利]一种数据库命令行过滤、阻断审计方法和装置

说明书

本发明提出一种数据库命令行过滤、阻断审计方法和装置。该方法和装置包括：审计引擎将数据库操作事件送入专用的结构化查询语言SQL语句解析模块；对数据库事件的SQL语句操作进行实时捕获、识别、分类；并将SQL语句的关键信息数据包发送至检测模块；检测模块将SQL语句的关键信息数据包与审计策略生成模块中预定义的阻断策略相比较；检出SQL语句的关键信息数据包中的非法关键信息和合法关键信息；将非法关键信息发送至数据包修改模块进行修改，将合法关键信息发送至数据包转发模块进行转发；非法关键信息修改为合法关键信息后被发送至数据包转发模块进行转发。通过本发明能够保证对于特定的SQL语句的阻断，而不会断开整个链接。

技术领域

本发明涉及信息安全技术领域的数据库防火墙业务，尤其涉及一种数据库命令行过滤、阻断审计方法和装置。

背景技术

现有边界防御安全产品和解决方案均采用被动防御技术，无法从根本上解决各组织数据库数据所面临的安全威胁和风险，解决数据库数据安全需要专用的数据库安全设备从根本上解决数据安全问题。由此数据库防火墙这一种数据库安全主动防御技术应运而生，该系统部署于应用服务器和数据库之间，用户必须通过该系统才能对数据库进行访问或管理。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界防护的外部数据攻击、来自于内部的高权限用户的数据窃取、破坏、损坏的等，从数据库SQL语句精细化控制的技术层面，提供一种主动安全防御措施，并且，结合独立于数据库的安全访问控制规则，帮助用户应对来自内部和外部的数据安全威胁。

针对数据库防火墙的中的从数据库SQL语句精细化控制的技术，主要包含SQL语句的精准解析以及接触后的告警或阻断处理。专利(公开号为：CN103778185A)“一种用于数据库审计系统的SQL语句解析方法和系统”提供了根据SQL语句中关键的信息进行了审计，但没有包含会话中资源账号，客户端主机，数据库名等重要信息，且没能对于非法操作进行阻断。另外，在现有的一些数据库审计方法中，对于危险的SQL语句进行了阻断，但关闭了会话，导致用户的其他合法的SQL语句也无法执行，因此，现在亟需一种既能对非法操作进行阻断，又能不中断会话链接的数据库审计方法。

发明内容

为了解决上述问题，本发明提出了一种数据库命令行过滤、阻断审计方法和装置，能够保证对于特定的结构化查询语言SQL语句的阻断，而不会断开整个链接。

为了达到上述目的，本发明提出了一种数据库命令行过滤、阻断审计方法，该方法包括：

审计引擎将数据库事件的数据库操作事件送入专用的结构化查询语言SQL语句解析模块。

SQL语句解析模块对数据库事件的SQL语句操作进行实时捕获、识别、分类；并将SQL语句的关键信息数据包发送至检测模块。

检测模块将SQL语句的关键信息数据包与审计策略生成模块中预定义的阻断策略相比较；检出SQL语句的关键信息数据包中的非法关键信息和合法关键信息。

检测模块将非法关键信息发送至数据包修改模块进行修改，并将合法关键信息发送至数据包转发模块进行转发。

数据包修改模块将非法关键信息修改为合法关键信息后发送至数据包转发模块进行转发。

优选地，数据包修改模块对非法关键信息进行修改是指：数据包修改模块根据先前协议解析记录的数据包中SQL语句的起始位置，修改SQL语句的一个或多个字段，构造出新的数据包。

优选地，SQL语句解析模块对所述数据库事件的SQL语句操作进行实时捕获、识别、分类是通过对数据库访问的高层内容进行细粒度的权限控制和过滤实现的。

优选地，SQL语句的关键信息数据包包括以下信息：SQL语句字段中的表名，目标列名，条件列名，条件列值，实例名。