SQL Server數據庫安全監控系統的設計與實(shí)現

【論文關(guān)鍵詞】SQLserver 數據庫 安全監控系統
【論文摘要】數據庫監控信息獲取策略的研究?jì)热莅�括：數據庫威脅來(lái)源、威脅特征、數據庫審計事件、數據庫運行性能指標等。通過(guò)對數據庫所受威脅的研究，建立數據庫威脅知識庫，可以了解數據庫攻擊手段、攻擊特征、檢測信息源，進(jìn)而制定監控信息獲取策略，保證數據庫監控信息獲取的完備性與可靠性。本文探討了SQL?Server數據庫安全監控系統的實(shí)現。 　　
　　一、系統整體結構
　　下面本文將分別從橫向、縱向以及切向對數據庫安全監控系統進(jìn)行了結構上的再設計，改善了原有系統結構設計上的不足之處，并對其不同的劃分結果進(jìn)行分析。
　　1、橫向結構
　　從橫向看，該系統按照信息獲取系統、分析機系統、控制臺系統按照功能不同進(jìn)行了重新的系統模塊結構的劃分，并補充了實(shí)時(shí)狀態(tài)查詢(xún)模塊，增加了數據庫安全監控系統安全威脅分析的數據來(lái)源，其橫向結構如圖1所示：
　　a）信息獲取子系統
　　b）分析機子系統
　　c）控制臺子系統
　　其中信息獲取子系統位于整個(gè)系統的底層，是系統運行的基礎所在。它采用主機獲取的方式，對數據庫服務(wù)器進(jìn)行實(shí)時(shí)的數據信息獲取，獲取主機以及網(wǎng)絡(luò )通訊會(huì )話(huà)軌跡，并對獲取的數據進(jìn)行二次過(guò)濾，以減少模塊之間傳輸的數據總量，減輕上層模塊的數據分析時(shí)間，再將數據通過(guò)指定數據傳送通道發(fā)送到上層分析機子系統，做進(jìn)一步的處理。
　　分析機子系統作為整個(gè)系統的中間層，其作用在于對從底層接收到的原始數據記錄進(jìn)行進(jìn)一步的處理。主要是通過(guò)該層所包含的分析模塊對采集到的原始數據，按照既存于規則庫中的規則，進(jìn)行模式匹配分析，將正常授權訪(fǎng)問(wèn)與非法入侵行為區分開(kāi)，并把分析的結果存儲到日志數據庫中。對于危害操作進(jìn)行報警。
　　控制臺子系統作為人機交互的接口，為用戶(hù)管理、控制、配置系統并查詢(xún)入侵記錄提供操作界面。它負責控制、管理信息獲取子系統和分析機子系統，生成安全規則，接收、存儲報警和日志信息；對報警及日志信息進(jìn)行查詢(xún)統計；對報警事件做進(jìn)一步分析處理，并且有開(kāi)放的報警接口支持更高層次的安全管理平臺。
　　2、縱向結構
　　從縱向看，與原有系統不同之處在于，新的數據庫安全監控系統在采用獲取一分析一響應的體系結構，構建面向對象開(kāi)發(fā)和面向構件開(kāi)發(fā)的技術(shù)基礎上，新引入了面向服務(wù)框架思想，實(shí)現了獲取與分析的分離，通信與業(yè)務(wù)的分離。其縱向結構如圖2所示：
　　在整個(gè)系統中TCP/IP層，即物理網(wǎng)絡(luò )層，作為底層存在于系統中，在其上構筑的通信托管層則總攬了系統的全部通信工作，是整個(gè)系統的總線(xiàn)，支持異步通訊和斷忘映傳。在這之上的業(yè)務(wù)托管層可視做所有業(yè)務(wù)的容器和管理平臺，其中最重要的功能則是提供信息注冊，以實(shí)現信息生產(chǎn)者和信息消費者之間的溝通。在業(yè)務(wù)托管層的邊緣是信息網(wǎng)關(guān)，負責將業(yè)務(wù)數據按照標準協(xié)議轉化成其他格式數據，以實(shí)現和其他系統（包括安全設備）之間的互聯(lián)、級聯(lián)。最上層的是具體的業(yè)務(wù)模塊，它們的角色分別為信息生產(chǎn)者和信息消費者，其中信息獲取可視做信息生產(chǎn)者，而分析則是信息消費者，響應是信息的二次消費者，也是最終消費者。
　　傳統的AAR框架與面向服務(wù)思想的結合，使得這四個(gè)層次相對獨立，互相之間實(shí)現了松禍合，并且因為托管平臺也己成形，那么基于這一平臺的響應業(yè)務(wù)插件的開(kāi)發(fā)將會(huì )變得非常便捷，從而實(shí)現了面向服務(wù)和面向構件開(kāi)發(fā)的核心理念隨需而變。
　　同時(shí)也實(shí)現了系統的分布式結構設計，集中控制與多層管理。整個(gè)系統由檢測系統、分析系統、控制系統組成，每個(gè)子系統都采用層次化設計，業(yè)務(wù)邏輯與通訊管理分層實(shí)現。一個(gè)控制系統可以管理多個(gè)分析系統，一個(gè)分析系統還可以同時(shí)支持多達五十個(gè)不同系統平臺的檢測系統。

　　3、切向結構
　　若從切面來(lái)觀(guān)察該系統，新系統的關(guān)鍵脈絡(luò )變得更加清晰明了，兩條關(guān)鍵脈絡(luò )包括：數據和命令，而且互相內部之間實(shí)現了高聚合、松禍合，提高了模塊的獨立化。這里的數據為狹義數據，主要包括了信息生產(chǎn)者向信息消費者提供的信息，而命令則是響應模塊對于獲取和分析模塊進(jìn)行配置、維護、管理所傳送的信息。數據（包括報警數據和實(shí)時(shí)信息）始終是自下而上的，從被監控數據庫采集出來(lái)，途經(jīng)IAS，AES，最后到達MTS。而命令（控制）始終是自上而下的，其中一部分命令由MTS發(fā)起（因用戶(hù)的操作發(fā)起或系統維護需要發(fā)起）途經(jīng)AES，最后到達IAS；另一部分由AE發(fā)起（因系統維護需要發(fā)起）到達IAS。
　　二、系統工作原理  
　　該系統是一種基于主機探測的實(shí)時(shí)自動(dòng)攻擊識別和響應系統，運行于有敏感數據需要保護內部網(wǎng)絡(luò )中。通過(guò)采取主機監控的方式，獲取用戶(hù)的數據庫操作信息。借助于自身內置的攻擊特征數據庫，識別違反用戶(hù)定義的安全規則，進(jìn)行應用級攻擊檢查。在尋找到攻擊模式和其他違規活動(dòng)時(shí)，可以進(jìn)行如下反應：控制臺告警、記錄攻擊事件、實(shí)時(shí)阻斷網(wǎng)絡(luò )連接，同時(shí)還可以根據需要對系統進(jìn)行擴展，實(shí)現與防火墻等其他安全設備的聯(lián)動(dòng)。
　　信息獲取、分析機以及控制臺三個(gè)子系統三者之間的交互主要包括以下幾個(gè)方面：
　　1、主機報警實(shí)現。探頭啟動(dòng)之后，將自動(dòng)實(shí)現對于探頭所在主機數據庫的監控，獲取與數據庫操作有關(guān)的信息，包括數據庫操作的SQL語(yǔ)句、登陸的用戶(hù)名、數據庫主機名稱(chēng)、當前系統用戶(hù)、操作結果（成功或者失�。┑刃畔�，并將信息格式化發(fā)送到分析機，分析機通過(guò)自身的信息規則分析系統，從這些信息當中分離出對數據庫安全有危害的操作，并向控制臺發(fā)送報警，控制臺在接受到報警信息之后，由管理員發(fā)出對攻擊源IP地址行阻斷的命令。所發(fā)出的阻斷命令由分析機轉發(fā)給探頭部分，由探頭部分調用系統自身API函數，實(shí)現對于指定IP地址的攔截操作，從而有效的實(shí)現了對于數據庫安全的保護，避免了被進(jìn)犯的可能。
　　2、命令的下發(fā)�？刂婆_對分析機以及探頭進(jìn)行控制，對它們進(jìn)行維護更新，并通過(guò)查詢(xún)的方式，獲取探頭以及分析機的運行狀態(tài)。命令由控制臺發(fā)出后，向分析機或者經(jīng)分析機向信息獲取部分傳達，再分別由分析機以及信息獲取部分的響應模塊對命令加以實(shí)現。其中控制臺所有下達的命令通過(guò)指定的端口進(jìn)行傳遞，同時(shí)分析機以及信息獲取系統的命令回復也是由同一端口向上傳達。
　　3、數據的傳送。探頭、分析機以及控制臺三者之間通過(guò)指定的端口進(jìn)行數據的傳送，所有發(fā)送的數據都進(jìn)行了統一的格式化處理，以固定的格式進(jìn)行傳遞。
　　參考文獻：
　　1、馬應章.SQL標準發(fā)展概述[J].計算機應用與軟件，2003，11：28-32。
　　2、谷震離，杜根遠.SQLserver數據庫應用程序中數據庫安全性研究[J].計算機工程與設計，2007，28（15）：3717一3719。
　　3、金燁，曹珍富.一個(gè)新的用于移動(dòng)代理的簽名方案[J].計算機工程，2006，32（2），149一150。

【SQL Server數據庫安全監控系統的設計與實(shí)現】相關(guān)文章：

開(kāi)發(fā)基于SQL SERVER 的C/S數據庫應用系統?03-18

網(wǎng)絡(luò )購物系統的設計與實(shí)現ASP+SQL03-08

SQL Server的系統表及其應用研究03-06

新聞網(wǎng)系統設計與實(shí)現ASP+SQL11-23

家庭理財系統的設計與實(shí)現VB+SQL03-08

短信輔助辦公系統的設計與實(shí)現JSP+SQL11-23

排課系統的實(shí)現Delphi+SQL11-23

WEB索引數據庫的設計和實(shí)現SQL+VC++03-30

移動(dòng)網(wǎng)絡(luò )監控系統的設計與實(shí)現03-05