[发明专利]数据库内核入侵隐藏触发器的探测方法及系统

说明书

技术领域

本发明涉及信息安全技术领域。具体涉及数据库系统的内核入隐藏触发器的探测，特别是一种提高数据库系统安全的新型扫描检测方法及其系统。

背景技术

当前的数据库安全风险扫描软件主要检测数据库系统配置风险和数据库软件本身的安全漏洞。数据库配置风险就是各种权限的分配不当以及用户管理不当、弱口令等，比如某个危险的存储过程执行权限分配给了公共角色，公共角色的成员就可能利用这个存储过程来进行提权操作。这类风险可以通过用户正确配置数据库来消除。数据库软件本身的安全漏洞是指数据库开发厂商在软件开发过程中由于考虑不周使软件产生了安全漏洞，例如各种缓冲区溢出漏洞、系统对象SQL注入漏洞。这类漏洞只能靠升级数据库或给数据库打补丁来解决。

但是当前的数据库安全风险扫描软件无法检测黑客入侵对数据库造成的损害，黑客入侵数据库后往往会通过篡改内核对象隐藏一些数据库对象，比如隐藏黑客自己创建的触发器，利用这些隐藏触发器，黑客就可以隐蔽的收集信息，而不被数据库管理员发现。这类风险更隐蔽，危害更大。如果发现有隐藏的数据库触发器，基本可以断定数据库已经被入侵了，并且一些内核对象已经被篡改，需要管理员及时修复数据库。

发明内容

本发明要解决的技术问题是，克服现有技术中的不足，提供一种数据库内核入侵隐藏触发器的探测方法及系统。

为解决技术问题，本发明的解决方案是：

提供一种数据库内核入侵隐藏触发器探测方法，是通过正常途径获取数据库触发器列表，用底层方法获取的数据库触发器列表； 

所述正常途径获取数据库触发器列表，包括以下步骤：

（1）连接数据库；

（2）通过数据库提供的视图或命令得到对应的触发器列表；

所述用底层方法获取数据库触发器列表，包括以下步骤：

（1）连接数据库；

（2）访问底层系统表或二进制文件；

（3）获取对应的触发器列表；

将正常途径获取的触发器列表和用底层方法获取的触发器列表进行对比，找出正常途径获取不到的数据库触发器列表，即为隐藏的触发器列表；然后生成扫描报告，将隐藏的触发器列表提供给用户。

本发明中，所述数据库触发器是指当数据库某一特定事件(比如INSERT)发生时能自动执行的一段代码。

进一步地，本发明还提供了一种实现前述方法的数据库内核入侵隐藏触发器的探测系统，该系统包括：用于通过正常途径获取数据库触发器列表的扫描模块、用于通过底层方法获取数据库触发器列表的底层探测模块，以及用于将两个触发器列表进行对比并得出隐藏触发器的对比模块；所述扫描模块连接至数据库，所述底层探测模块连至数据库或数据库所在服务器；所述对比模块与扫描模块和底层探测模块相连。

本发明的有益效果在于：

本发明对比正常途径获取数据库触发器列表和底层方法获取数据库触发器列表，能够发现数据库入侵后被黑客隐藏的数据库触发器，并提供详细的扫描报告，使数据库管理员能及时修复数据库排除数据库安全隐患。

附图说明

图1是数据库内核入侵隐藏触发器探测系统工作原理图。

图2是数据库内核入侵隐藏触发器探测系统扫描探测过程工作流程图。

具体实施方式

首先需要说明的是，本发明涉及数据库技术，是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中，会涉及到多个软件功能模块的应用。申请人认为，如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后，在结合现有公知技术的情况下，本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。前述软件功能模块包括但不限于：扫描模块、底层探测模块、对比模块等，凡本发明申请文件提及的均属此范畴，申请人不再一一列举。

本发明中数据库内核入侵隐藏触发器的探测系统，包括：用于通过正常途径获取数据库触发器列表的扫描模块、用于通过底层方法获取数据库触发器列表的底层探测模块，以及用于将两个触发器列表进行对比并得出隐藏触发器的对比模块；所述扫描模块连接至数据库，所述底层探测模块连至数据库或数据库所在服务器；所述对比模块与扫描模块和底层探测模块相连。

本发明的实现原理是：

首先通过正常途径访问数据库，获取数据库对应触发器的列表，然后通过底层探测模块获取数据库的实际触发器列表，最后有对比模块对比两个触发器列表找出隐藏的对象，如发现有隐藏触发器，就在扫描报告里列出被隐藏触发器的清单，并提出修补建议。