CN101464889B - 数据库安全监控装置和方法 - Google Patents
数据库安全监控装置和方法 Download PDFInfo
- Publication number
- CN101464889B CN101464889B CN2008102418172A CN200810241817A CN101464889B CN 101464889 B CN101464889 B CN 101464889B CN 2008102418172 A CN2008102418172 A CN 2008102418172A CN 200810241817 A CN200810241817 A CN 200810241817A CN 101464889 B CN101464889 B CN 101464889B
- Authority
- CN
- China
- Prior art keywords
- database
- user
- connection
- client
- connect
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种数据库安全监控装置和方法,包括设置在数据库前端的数据库监控管理模块和设置在用户端的连接申请模块,所述的监控管理模块在数据库运行过程中对已连接用户执行下列步骤:a.数据库监控管理模块按预设的安全参数,定时对数据库连接用户进行扫描,对数据库的所有连接状况进行捕捉;b.将捕捉到的连接用户与上次扫描捕捉到的用户进行比较,找出所有的新的链接,并将该新链接的客户端信息查在已注册用户链表L节点中匹配查找,若该新链接用户的连接状态为“预连接”,则是合法用户,若匹配失败,则将该连接用户断开;c.将本次审核的连接状态参数记录更新,并存储到运行日志文件中。
Description
技术领域
本发明涉及数据库管理,尤其涉及一种数据库安全监控装置和方法。
背景技术
在现有的数据库技术中,数据库管理***只对数据库连接时进行甄别,甄别方式一般采用用户名和密码校验,对成功的连接不再设置合法性的监控和管理。实际数据库运行中,又存在以下数据库被非法访问的可能:
1、开发人员一般习惯性将数据库用户名和密码设置成固定的,黑客很容易通过各种手段获得到数据库用户名和密码,从而进入数据库;
2、开发人员将用户名和密码进行动态设置,但是由于一些数据库管理***提供了和操作***信任的技术,使得黑客可以通过骗取操作***的信任,从而绕过数据库管理***对用户名和密码的检验;
这样,数据库管理***对成功连接运行过程中监控和管理的缺失,使得黑客一旦侵入数据库就会有足够的时间进行破坏性操作。
发明内容
本发明的目的是克服现有技术中对数据库运行中的安全情况进行管理和监控的缺失,容易被人一旦入侵成功有足够的时间进行破坏的技术问题,提供一种可以自定义安全级别的数据库安全监控装置和方法,从而达到加强数据库安全的目的。
本发明提出的数据库安全监装置包括一设置在数据库前端的监控管理模块和设置在用户端的连接申请模块。数据库监控管理模块主要功能是甄别数据库连接用户的合法性以及连接的运行状况,结合已定义的安全级别记录数据库的运行情况并对非法的或超出安全要求的连接强制断开;数据库维护一个客户端注册信息的链表L,每个链表节点N至少包括标识唯一客户端的注册信息和连接标志;连接申请模块功能是向数据库监控管理模块发出连接请求,并发送本客户端的标识信息,以供数据库监控、管理模块甄别连接的合法性和监控、管理到数据库连接是否在安全级别允许范围内。
本发明提出的数据库安全监方法在所述的监控管理模块在审核连接申请过程中,执行下列步骤:
a.连接申请模块,读取客户端注册信息C并将该客户端参数C和已注册客户链表L中的注册信息进行匹配查找,若匹配查找失败,直接返回客户端申请模块“未注册”状态;如匹配成功执行步骤b;
b.找出注册用户的对应节点,提取该节点的数据库连接标志信息,若该节点的数据库连接标志为“未连接”,则将该节点的数据库连接标志位设置为“预连接”,同时返回连接申请模块“预连接”状态;若该节点的数据库连接标志是“预连接”,直接返回给返回连接申请模块“正在处理请等待”状态,以免申请人多次发出请求;
c.客户端收到转发的状态信息后,如是“预连接”状态,直接连接数据库,如是“等待”状态,则放弃多次请求。
所述的监控管理模块在监控数据库安全连接过程中,执行下列步骤:
a.数据库监控管理模块按预设的安全参数,定时对数据库连接用户进行扫描,对数据库的所有连接状况进行捕捉;
b.将捕捉到的连接用户与上次扫描捕捉到的用户进行比较,找出所有的新的链接,并将该新链接的客户端信息查在已注册用户链表L节点中匹配查找,若该新链接用户的连接状态为“预连接”,则是合法用户,若匹配失败,则将该连接用户断开;
c.将本次审核的连接状态参数记录更新,并存储到运行日志文件Log中。
与现有技术相比,本发明提出的数据库安全监控装置和方法通过数据库监控管理模块对数据库运行状况的监控和管理,结合客户端信息注册和连接时的请求设定,能很好地甄别出非法的或超出设定安全范围的到数据库的连接,并及时断开这些连接,从而自动完成对数据库运行状况的监控和管理,很好地补充了当前数据库管理***对数据库运行状况监控、管理的缺失,极大地增强了数据库的安全性。
附图说明
下面结合附图和较佳实施例对本发明进行详细的说明,其中:
图1是本发明硬件的原理框图;
图2是本发明对数据库申请链接的流程图;
图3是本发明对数据库运行进行监控的流程图。
具体实施方式
本发明对数据库安全自动监控和管理的原理如图1所示。本发明提出的数据库监控装置包括一设置在数据库30前端的监控管理模块20和设置在用户端的连接申请模块10。数据库监控管理模块20启动时读取预设的安全参数S和已注册的客户端信息参数r,并维护一个已注册的客户端信息链表L,该链表节点包含已注册的客户端注册信息、数据库连接标志等多项数据。同时数据库监控管理模块20进入定时对数据库运行状态监控管理的模式中,并监听用户端的连接申请。
监控管理模块20在审核连接申请过程中,执行下列步骤:
a.连接申请模块10,读取客户端注册信息C并将该客户端参数C和已注册客户链表L中的注册信息进行匹配查找,若匹配查找失败,直接返回客户端申请模块10“未注册”状态;如匹配成功执行步骤b;
b.找出注册用户的对应节点,提取该节点的数据库连接标志信息,若该节点的数据库连接标志为“未连接”,则将该节点的数据库连接标志位设置为“预连接”,同时返回连接申请模块10“预连接”状态;若该节点的数据库连接标志是“预连接”,直接返回给返回连接申请模块10“正在处理请等待”状态,以免申请人多次发出请求;
c.客户端收到转发的状态信息后,如是“预连接”状态,直接连接数据库,如是“等待”状态,则放弃多次请求。
监控管理模块20在监控数据库安全连接过程中,执行下列步骤:
a.数据库监控管理模块20按预设的安全参数,定时对数据库连接用户进行扫描,对数据库的所有连接状况进行捕捉;
b.将捕捉到的连接用户与上次扫描捕捉到的用户进行比较,找出所有的新的链接,并将该新链接的客户端信息在已注册用户链表L节点中匹配查找,若该新链接用户的连接状态为“预连接”,则是合法用户,若匹配失败,则将该连接用户断开;
c.将本次审核的连接状态参数记录更新,并存储到运行日志文件Log中。
在上述数据库连接申请和运行过程中的监控操作中,数据库监控管理模块20不断地对数据安全级别定义和客户端注册信息进行维护,包括对安全参数S的维护,S至少包含定时扫描时间参数T,***自动对原有的安全参数保存文件F进行更新并保存;对输入客户端注册信息参数r,客户端注册信息参数包含客户端的网卡物理地址、ip地址、机器名称等信息的维护,***自动对原有的客户端注册信息保存文件R进行更新并保存。
在本发明中,所述的数据的安全参数S不限于只包含定时扫描时间,还可以包含其他方面的设置,如:连接数量,“预连接”状态的有效时间,操作允许的类型,操作允许的延时,连接对资源的占用量等数据库连接可以捕捉到的相关参数;同样客户端的注册信息也可以不仅限于包含网卡物理地址、ip地址、机器名等;申请连接的过程的控制也可以根据实际的需要加强控制,如对连接时分配数据库用户权限、动态控制数据库访问凭证等。
在本发明的实施方式中,对数据库连接和监控管理还可以采用以下两个方式实现:
(一)在用户端连接数据库30时加强控制。具体实现可以使启动数据库监控管理模块20屏蔽掉一切到数据库的连接方式,只有数据库监控管理模块20接收到用户申请模块10发出的连接申请后才临时给用户端一个连接方式,并且在用户端连接成功后重新蔽掉一切到数据库的连接方式。
(二)在用户端连接数据库30时,用户端40申请后,必须在有效时间内完成连接,且每次申请只允许一次成功连接。具体实现可以使数据库监控管理模块20维护的已注册的客户端信息链表L的节点还包含一等待时间t数据项,初始化状态下该数据项为0,当把连接标志设置为“预连接”时,也将该数据项设置为t,并在运行过程中对t递减,当t为0时强制将连接状态设置为“断开”;另外,在对所有新连接处理时,按客户端进行分组统计,若同一用户端有大于1的m个新连接,将最近的m-1个连接强制断开。
本发明提出的数据库安全自动监控和管理方法与现有技术相比,具有以下优点:
(一)安全可靠
对数据库运行中的监控和管理,结合客户端注册信息和预设的安全参数,能及时发现非法连接或超出安全允许的连接,并断开这些连接,极大的提高数据库运行中的安全性。
(二)技术容易封装,能很方便地在不同软件中使用
本发明很容易封装成数据库监控管理模块和连接申请模块,且它们开发封装完成后,可以直接布置在任何软件中,接口简单不会给软件的开发带来任何附加工作量。
虽然本发明已参照上述实施方式进行了描述,但本技术领域的普通技术人员应当认识到,上述实施方式仅用来说明本发明,并非用来限定本发明的保护范围,任何在本发明的精神和原则范围之内,所做的任何修饰、等效替换、改进均应包含在本发明的权利保护范围之内。
Claims (4)
1.一种数据库安全监控装置,其特征在于:包括设置在数据库前端的数据库监控管理模块和设置在用户端的连接申请模块;
所述的连接申请模块执行下列步骤:
a.连接申请模块,读取客户端注册信息C并将该客户端注册信息C和已注册客户链表L中的注册信息进行匹配查找,若匹配查找失败,直接返回客户端申请模块“未注册”状态;如匹配成功执行步骤b;
b.找出注册用户的对应节点,提取该节点的数据库连接标志信息,若该节点的数据库连接标志为“未连接”,则将该节点的数据库连接标志位设置为“预连接”,同时返回连接申请模块“预连接”状态;若该节点的数据库连接标志是“预连接”,直接返回给返回连接申请模块“正在处理请等待”状态,以免申请人多次发出请求;
c.客户端收到转发的状态信息后,如是“预连接”状态,直接连接数据库,如是“等待”状态,则放弃多次请求;
所述的监控管理模块在数据库运行过程中对已连接用户执行下列步骤:
a.数据库监控管理模块按预设的安全参数,定时对数据库连接用户进行扫描,对数据库的所有连接状况进行捕捉;
b.将捕捉到的连接用户与上次扫描捕捉到的用户进行比较,找出所有的新的链接,并将该新链接的客户端信息在已注册用户链表L节点中匹配查找,若该新链接用户的连接状态为“预连接”,则是合法用户,若匹配失败,则将该连接用户断开;
c.将本次审核的连接状态参数记录更新,并存储到运行日志文件中。
2.如权利要求1所述的监控装置,其特征在于:所述数据库监控管理模块不断地对数据安全级别和客户端注册信息进行维护,包括对数据库安全参数S的维护,S至少包含一个定时扫描时间T,***自动对原有的安全参数保存文件F进行更新并保存;和输入客户端注册信息参数C,***自动对原有的客户端注册信息保存文件R进行更新并保存。
3.一种数据库安全监控方法,其特征在于:所述的数据库前端设置有数据库监控管理模块,用户端设置有数据库连接申请模块;
所述的连接申请模块执行下列步骤:
a.连接申请模块,读取客户端注册信息C并将该客户端参数C和已注册客户链表L中的注册信息进行匹配查找,若匹配查找失败,直接返回客户端申请模块“未注册”状态;如匹配成功执行步骤b;
b.找出注册用户的对应节点,提取该节点的数据库连接标志信息,若该节点的数据库连接标志为“未连接”,则将该节点的数据库连接标志位设置为“预连接”,同时返回连接申请模块“预连接”状态;若该节点的数据库连接标志是“预连接”,直接返回给返回连接申请模块“正在处理请等待”状态,以免申请人多次发出请求;
c.客户端收到转发的状态信息后,如是“预连接”状态,直接连接数据库,如是“等待”状态,则放弃多次请求。
所述的监控管理模块在数据库运行过程中对已连接用户执行下列步骤:
a.数据库监控管理模块按预设的安全参数,定时对数据库连接用户进行扫描,对数据库的所有连接状况进行捕捉;
b.将捕捉到的连接用户与上次扫描捕捉到的用户进行比较,找出所有的新的链接,并将该新链接的客户端信息查在已注册用户链表L节点中匹配查找,若该新链接用户的连接状态为“预连接”,则是合法用户,若匹配失败,则将该连接用户断开;
c.将本次审核的连接状态参数记录更新,并存储到运行日志文件中。
4.如权利要求3所述的监控方法,其特征在于:所述数据库监控管理模块不断地对数据安全级别和客户端注册信息进行维护,包括对数据库安全参数S的维护,S至少包含一个定时扫描时间T,***自动对原有的安全参数保存文件F进行更新并保存;和输入客户端注册信息参数C,***自动对原有的客户端注册信息保存文件R进行更新并保存。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008102418172A CN101464889B (zh) | 2008-12-23 | 2008-12-23 | 数据库安全监控装置和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008102418172A CN101464889B (zh) | 2008-12-23 | 2008-12-23 | 数据库安全监控装置和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101464889A CN101464889A (zh) | 2009-06-24 |
CN101464889B true CN101464889B (zh) | 2012-06-27 |
Family
ID=40805464
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008102418172A Active CN101464889B (zh) | 2008-12-23 | 2008-12-23 | 数据库安全监控装置和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101464889B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102402517A (zh) * | 2010-09-09 | 2012-04-04 | 北京启明星辰信息技术股份有限公司 | 数据库正常登录模型建立、登录行为异常检测方法及*** |
CN107979653B (zh) * | 2018-01-16 | 2021-02-09 | 北京小米移动软件有限公司 | 负载均衡方法及装置 |
-
2008
- 2008-12-23 CN CN2008102418172A patent/CN101464889B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN101464889A (zh) | 2009-06-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100492991C (zh) | 网元管理的方法、***及网元 | |
CA2434674C (en) | Computer security and management system | |
CN1101021C (zh) | 在局域网络服务器环境中支持分布计算机制的***和方法 | |
CN1858738B (zh) | 访问数据库的方法及装置 | |
CN101350745B (zh) | 一种入侵检测方法及装置 | |
CN1885788B (zh) | 网络安全防护方法及*** | |
CN105391687A (zh) | 一种向中小企业提供信息安全运维服务的***与方法 | |
CN110086825B (zh) | 一种无人机电力巡检数据安全传输***和方法 | |
CN106529282A (zh) | 一种基于信任链的白名单执行***及执行方法 | |
CN101355415B (zh) | 实现网络终端安全接入公共网络的方法和*** | |
CN101582883A (zh) | 通用网络安全管理***及其管理方法 | |
CN104573516A (zh) | 一种基于安全芯片的工控***可信环境管控方法和平台 | |
CN101695022B (zh) | 一种服务质量管理方法及装置 | |
CN104754582A (zh) | 维护byod安全的客户端及方法 | |
CN102882676A (zh) | 物联网设备端安全接入方法及*** | |
CN106850690A (zh) | 一种蜜罐构造方法及*** | |
CN114257413B (zh) | 基于应用容器引擎的反制阻断方法、装置和计算机设备 | |
CN100539499C (zh) | 一种安全的星形局域网计算机*** | |
CN105516091A (zh) | 一种基于sdn控制器的安全流过滤器及过滤方法 | |
CN107317816A (zh) | 一种基于客户端应用程序鉴别的网络访问控制方法 | |
CN108471413B (zh) | 边缘网络安全准入防御***及其方法 | |
CN109565442A (zh) | IoT数据收集***、IoT数据收集方法、管理装置、管理程序、代理装置以及代理程序 | |
CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
CN112015111B (zh) | 基于主动免疫机理的工业控制设备安全防护***和方法 | |
CN101464889B (zh) | 数据库安全监控装置和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |