[发明专利]数据库内核对象入侵检测方法及系统

说明书

技术领域

本发明涉及信息安全技术领域。具体涉及数据库系统的内核对象入侵篡改检测，特别是一种提高数据库系统安全的新型扫描检测方法及其系统。

技术背景

当前的数据库安全风险扫描软件主要检测数据库系统配置风险和数据库软件本身的安全漏洞。数据库配置风险就是各种权限的分配不当以及用户管理不当、弱口令等，比如某个危险的存储过程执行权限分配给了公共角色，公共角色的成员就可能利用这个存储过程来进行提权操作。这类风险可以通过用户正确配置数据库来消除。数据库软件本身的安全漏洞是指数据库开发厂商在软件开发过程中由于考虑不周使软件产生了安全漏洞，例如各种缓冲区溢出漏洞、系统对象SQL注入漏洞。这类漏洞只能靠升级数据库或给数据库打补丁来解决。

但是数据库系统除了这两种风险外，还存在另外一种安全风险，就是内核对象被篡改的风险。这类风险更隐蔽，危害更大。内核对象被篡改后，能拦截或更改各类用户对数据库的操作，比如用户表里添加了一条记录，可能往入侵者的地方发送一条相同的记录，这样入侵者就可以拿到用户名和密码等信息。入侵者也能新建一个管理员权限的用户，而且数据库管理员察觉不到该用户的存在。还可以轻易的更改数据库里的信息，也可以给用户返回伪造的信息。

常见的数据库安全风险扫描软件主要检测数据库系统配置风险和数据库软件本身的安全漏洞，无法检测出内核对象被篡改。常用的检测方法是通过SQL语句获取数据库的信息，然后根据返回信息判断是否存在安全风险。例如通过查询系统表，判断某个对象的使用权限是否合理。通过检查数据库系统版本号，判断是否存在数据库软件本身的安全漏洞。但这些检测方法都无从判断内核对象是否被篡改，因为它们没有区别篡改与未篡改的标准。

发明内容

本发明要解决的技术问题是，克服现有技术中的不足，提供一种数据库内核对象入侵检测方法及系统。

为解决技术问题，本发明的解决方案是：

提供一种数据库内核对象入侵检测方法，是在安装数据库软件且初始运行时创建数据库软件的基线特征库，在后续的运行期间对数据库进行扫描和对比；

所述创建基线特征库，包括以下步骤：

(1)安装数据库软件；

(2)连接数据库，通过SQL语句获得版本信息、内核对象名称、内核对象代码、所有人信息；

(3)将内核对象代码通过加密算法生成数字水印；

(4)将版本信息、内核对象名称、所有人信息和数字水印作为数据库软件的基本信息保存于基线特征库中；

所述对用户数据库进行扫描和对比，包括以下步骤：

(1)连接数据库，通过扫描SQL语句获得版本信息、内核对象名称、内核对象代码、所有人信息；

(2)将扫描得到的内核对象代码通过同样的加密算法生成数字水印；

(3)根据获得的版本信息从基线特征库里读取内核对象名称和数字水印；

(4)将扫描得到的内核对象名称、数字水印与基线特征库里的内核对象名称、数字水印逐条对比，查找被篡改的内核对象；如果两者不一致，则说明内核对象被篡改；

(5)生成扫描报告，将被篡改的内核对象列表提供给用户。

本发明中，当所述数据库软件进行版本更新时，根据所述创建基线特征库的步骤，创建新版本数据库的基线特征库。由于数据库有不同版本，内核可能会有变动，因此，要收集数据库系统各个版本下的特征库。

本发明中，所述内核对象代码包括系统视图、系统存储过程、系统函数、触发器和系统包。

本发明中，所述生成数字水印的加密算法是MD5算法。

进一步地，本发明还提供了一种实现前述方法的数据库内核对象入侵检测系统，该系统包括：用于扫描数据库以获得版本信息、内核对象名称、内核对象代码和所有人信息并对内核对象代码通过加密算法生成数字水印的扫描模块；和用于将扫描得到的水印信息和所有人信息与基线特征库中的所有人信息和水印信息进行对比并生成扫描报告的对比模块；所述扫描模块连接至数据库，所述对比模块与基线特征库和扫描模块相连。

本发明的有益效果在于：

本发明基于基线特征库，通过基线特征库对用户数据库进行扫描检测，能够发现被篡改的数据库内核对象，并提供详细的扫描报告，使数据库管理员能及时排除数据库安全隐患。

附图说明

图1是数据库内核对象入侵检测系统工作原理图。

图2是数据库内核对象入侵检测系统创建基线特征库的工作流程图。

图3是数据库内核对象入侵检测系统扫描检测过程工作流程图。