[发明专利]基于数据库活动与Web访问关联性分析的网站数据安全系统

说明书

技术领域

本发明的技术领域是计算机安全领域的网站安全防护和数据安全防护领域。

背景技术

随着互联网应用的高速发展，各种Web网站以几何级数的速度高速增长，但层出不穷的黑客攻击/DDOS攻击对Web网站的可用性和安全性造成了巨大的威胁。目前主流的安全防护包括多种类的系统：入侵检测系统，Web应用防火墙，远程安全扫描等。所有这些系统/服务都重在解决一个问题：及时发现并阻止攻击和可疑行为。尽管各家厂商都宣称此类防护已足够安全，而现实状况是总会有不断涌现的新漏洞/新攻击方式能逃过这些系统的检测和保护，也就是说，对使用这些安全防护系统的客户来讲，他无法确知我的网站究竟是否已经被攻击或被侵入了。同时，据全球权威机构调查结果，网站管理者最关心的其实是其核心数据的安全，就是说即使攻击得逞，也不能导致数据的泄漏，被篡改或是被损坏，这是安全防护领域最希望100％保障的最大问题。本发明就是应用业界前沿的数据库活动监控技术(Database Activity Monitoring)，将Web请求与响应，对应的数据库访问及返回结果，共同进行关联并作启发式分析(Heuristic Profiling)，发现可疑的数据泄漏/篡改行为，彻底解决网站数据安全防护难题。

顾名思义，数据库活动监控技术，就是通过特殊的工具和技术，对客户端发起的SQL语句进行智能的分析和审计，以发现可疑的数据访问行为。近年来该技术已日趋成熟，可实时捕获和记录多种类型，多个实例的数据库上的SQL活动。但因为单独的SQL活动审计并不能有效地区分对网站核心数据的正常和非正常访问，因此本发明首创地将用户访问Web网站产生的请求/响应关键信息，与对应的SQL活动进行关联性分析并作统计性分类，从而确保所有非正常访问和异常活动能被及时发现。举个典型案例，用户可访问某个URL查询本人过去一个月内的交易数据，而若本发明系统发现有某次该URL的访问尝试查询他人的交易数据，或是本人过去一年内的数据，或是返回了记录数量和字段明显不同于以往的结果集，即可判定为非正常访问。

发明内容

本发明建立了一套基于数据库活动与Web访问关联性分析的Web网站数据安全防护系统，它包括以下三个逻辑上的组件：

与网站应用层部署在同一逻辑层的数据采集组件(该组件也可集成传统的Web入侵检测与防护引擎)，它又分为两个子模块：Web请求/响应监控模块和数据库活动监控模块；

单独部署的关联引擎与管理中心组件，负责收集，聚集，规整化(normalize)，分类(categorization)或是聚类(clustering)以及关联(correlate)采集组件上传的数据，并生成启发式的或管理员按需设置的审计规则，同时应用这些规则对实时的流量进行检测，在发现可疑行为时及时报警并通知防护引擎自动采取保护措施；

第三个是相对独立的数据安全备份组件，可按照策略定时备份网站的核心数据，以确保数据安全的最后一环，在数据被损坏后能快速恢复。

以下将针对前两个组件中本发明首创内容进行阐述：

数据采集组件：将首先过滤掉无需监控的静态内容访问请求，以及经关联引擎启发式分析后确认无数据安全隐患的Web请求，然后将在网络层截获的信息以及直接从Web服务(如Apache/Tomcat)上的日志中获取的信息记录并上传至关联引擎。用于关联的元信息包括：Web请求与响应(请求URL，请求者的用户ID/会话ID，请求参数，请求处理对应的Action方法名/入口函数/线程ID等标识信息，响应内容的结构/大小，响应中的敏感数据块抽样内容等)，数据库活动(SQL请求与返回结果)。其中如何将每个Web请求与其引发的数据库操作对应起来，是后续关联分析的关键。本发明提出一种首创方法，是在Web服务器(如Apache/Tomcat)上加载插件模块，针对主流的基于J2EE/PHP等构建的Web网站应用层，截获其将URL请求转发给某个后台处理入口的标识性信息，同时记录下该处理线程在整个处理期间所有调用的SQL操作。而基于上述信息，就可以将某个Web请求与其引发的数据库操作及结果集完全对应起来。