CN110647771B - 一种mysql数据库存储完整性校验保护方法及装置 - Google Patents
一种mysql数据库存储完整性校验保护方法及装置 Download PDFInfo
- Publication number
- CN110647771B CN110647771B CN201910854451.4A CN201910854451A CN110647771B CN 110647771 B CN110647771 B CN 110647771B CN 201910854451 A CN201910854451 A CN 201910854451A CN 110647771 B CN110647771 B CN 110647771B
- Authority
- CN
- China
- Prior art keywords
- mysql database
- visitor
- port number
- white list
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
- G06F11/1464—Management of the backup or restore process for networked environments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种mysql数据库存储完整性校验保护方法及装置,该方法包括:1)实时查看当前与mysql数据库建立连接的访问者的网络连接信息,根据网络连接信息,判断是否是非法连接,若是,断开连接或告警提示;2)实时监视mysql数据库的binlog日志,获取最近日志更新内容,根据最近日志更新内容获取操作mysql数据库的访问者的网络连接信息,根据网络连接信息,判断是否是非法连接,若是,告警提示或直接进行备份还原。该装置包括处理器和存储器,处理器用于执行存储在存储器中的指令以实现上述校验保护方法。本发明能够高效地检测出数据库被篡改的数据,并能够准确地进行处理来良好保护mysql数据库的存储完整性。
Description
技术领域
本发明属于计算机信息安全技术领域,具体涉及一种mysql数据库存储完整性校验保护方法及装置。
背景技术
数据库的存储完整性检测及保护是数据库信息安全的核心点。特别是mysql数据库,mysql数据库多用于智能变电站中,一次黑客攻击都会给整个电网甚至整个国家带来巨大的损失。基于此网络安全防护便显得越加的重要。因此,mysql数据库的存储完整性检测及保护是电网网络安全防护至关重要的部分。然而,现有技术中大都是对mysql数据库的配置安全性进行监控,而对mysql数据库的存储完整性检测方法缺少研究,因此,急需一种mysql数据库存储完整性校验保护方法及装置,抵御黑客攻击,保证mysql数据库存储完整性,提高其网络安全性。
发明内容
本发明提供了一种mysql数据库存储完整性校验保护方法及装置,以提高mysql数据库的网络安全性。
为解决上述技术问题,本发明的mysql数据库存储完整性校验保护方法包括以下步骤:
1)实时查看当前与mysql数据库建立连接的访问者的网络连接信息,根据访问者的网络连接信息,判断其是否是非法连接,若是非法连接,断开连接或告警提示;
2)实时监视mysql数据库的binlog日志,获取最近日志更新内容,根据最近日志更新内容获取操作mysql数据库的访问者的网络连接信息,根据访问者的网络连接信息,判断其是否是非法连接,若是非法连接,告警提示或直接将当前mysql数据库替换为mysql数据库的最新备份。
本发明的有益效果是:本文发明的mysql数据库存储完整性校验保护方法能够高效地检测出数据库被篡改的数据,并能够准确地进行处理来良好保护mysql数据库的存储完整性,提高了mysql数据库抵御黑客攻击的能力,提高其网络安全性,而且为其在变电站监控***中应用提供了良好支撑。
为了提高校验保护的准确性,按照以下方法判断是否是非法连接:获取与mysql数据库建立连接的访问者的端口号,判断该端口号是否在mysql端口白名单中,若该端口号不在mysql端口白名单中,则认为是非法连接。
为了提高校验保护的灵活性,若告警提示后,选择不断开连接,则直接将该访问者的端口号加入可信端口白名单或提示是否将该访问者的端口号加入可信端口白名单中。
为了进一步提高校验保护的灵活性和可靠性,判断出是非法连接,在进行告警提示或直接将当前mysql数据库替换为mysql数据库的最新备份之前,还需判断访问者的端口号是否在可信端口白名单中,若不在可信端口白名单中,则告警提示或直接将当前mysql数据库替换为mysql数据库的最新备份。
为了提高校验保护可靠性,若告警提示后,选择断开连接,查看该访问者的端口号是否在可信端口号白名单中,如果在,则从可信端口白名单中删除。
为了提高校验保护的准确性和可靠性,事先配置允许与mysql数据库建立连接的访问者的进程白名单,若当前正在运行的访问者的连接ID位于进程白名单中,获取其打开的端口号,建立mysql端口号白名单。
为了提高校验保护的准确性和可靠性,获取访问者的连接ID,查询端口号与链接ID的映射集,从而获取访问者的端口号。
为提高mysql数据库的网络安全性,本发明的mysql数据库存储完整性校验保护装置包括处理器和存储器,所述处理器用于执行存储在存储器中的指令以实现mysql数据库存储完整性校验保护方法,该方法包括以下步骤:
1)实时查看当前与mysql数据库建立连接的访问者的网络连接信息,根据访问者的网络连接信息,判断其是否是非法连接,若是非法连接,断开连接或告警提示;
2)实时监视mysql数据库的binlog日志,获取最近日志更新内容,根据最近日志更新内容获取操作mysql数据库的访问者的网络连接信息,根据访问者的网络连接信息,判断其是否是非法连接,若是非法连接,告警提示或直接将当前mysql数据库替换为mysql数据库的最新备份。
本文发明的mysql数据库存储完整性校验保护装置能够高效地检测出数据库被篡改的数据,并能够准确地进行处理来良好保护mysql数据库的存储完整性,提高了mysql数据库抵御黑客攻击的能力,提高其网络安全性,而且为其在变电站监控***中应用提供了良好支撑。
为了提高校验保护的准确性,所述处理器用于执行存储在存储器中的以下指令:按照以下方法判断是否是非法连接:获取与mysql数据库建立连接的访问者的端口号,判断该端口号是否在mysql端口白名单中,若该端口号不在mysql端口白名单中,则认为是非法连接。
为了提高校验保护的灵活性,所述处理器用于执行存储在存储器中的以下指令:若告警提示后,选择不断开连接,则直接将该访问者的端口号加入可信端口白名单或提示是否将该访问者的端口号加入可信端口白名单中。
为了进一步提高校验保护的灵活性和可靠性,所述处理器用于执行存储在存储器中的以下指令:判断出是非法连接,在进行告警提示或直接将当前mysql数据库替换为mysql数据库的最新备份之前,还需判断访问者的端口号是否在可信端口白名单中,若不在可信端口白名单中,则告警提示或直接将当前mysql数据库替换为mysql数据库的最新备份。
为了提高校验保护可靠性,所述处理器用于执行存储在存储器中的以下指令:若告警提示后,选择断开连接,查看该访问者的端口号是否在可信端口号白名单中,如果在,则从可信端口白名单中删除。
为了提高校验保护的准确性和可靠性,所述处理器用于执行存储在存储器中的以下指令:事先配置允许与mysql数据库建立连接的访问者的进程白名单,若当前正在运行的访问者的连接ID位于进程白名单中,获取其打开的端口号,建立mysql端口号白名单。
为了提高校验保护的准确性和可靠性,所述处理器用于执行存储在存储器中的以下指令:获取访问者的连接ID,查询端口号与链接ID的映射集,从而获取访问者的端口号。
附图说明
图1为本发明mysql数据库存储完整性校验保护方法流程图;
图2本发明使用第三方工具篡改数据库图;
图3本发明mysql数据库存储完整性校验图;
图4本发明mysql数据库还原备份图。
具体实施方式
下面结合附图,对本发明的技术方案作进一步详细说明。
本发明mysql数据库存储完整性校验保护方法的实施例。
本发明的mysql数据库存储完整性校验保护方法,如图1所示,包括以下步骤:
1)实时查看当前与mysql数据库建立连接的访问者的网络连接信息,根据访问者的网络连接信息,判断其是否是非法连接,若是非法连接,断开连接或或告警提示;
2)实时监视mysql数据库的binlog日志,获取最近日志更新内容,根据最近日志更新内容获取操作mysql数据库的访问者的网络连接信息,根据访问者的网络连接信息,判断其是否是非法连接,若是非法连接,告警提示或直接将当前mysql数据库替换为mysql数据库的最新备份。
上述步骤1)和步骤2)一般是同时进行的,若仅进行步骤1),有可能存在漏洞,从而导致非法访问者篡改数据库信息,因而可以通过步骤2)进行弥补,因而本发明的方法大大的提高了数据库的存储安全性。
判断非法连接的具体方法为:获取与mysql数据库建立连接的访问者的端口号,判断该端口号是否在mysql端口白名单中,若该端口号不在mysql端口白名单中,则认为是非法连接。其中,mysql端口白名单可以通过以下方式建立:通过应用配置,事先建立一张允许与mysql数据库建立连接的访问者的进程白名单,当该访问者与mysql数据库建立连接时,获取其进程打开的端口号,然后将该端口号加入mysql端口白名单,从而建立了mysql端口白名单。其中,访问者端口号可以通过以下方式获取:实时监视与mysql数据库建立连接的访问者的端口号,建立其连接ID与端口号之间的映射集,那么当有访问者连接数据库时,就可以根据其连接ID获取其端口号。
上述给出了一种判断非法连接的最优方法,当然也可以通过其他的方式进行判断,如查看当前已经登录数据库的访问者的网络连接信息,获取与数据库建立网络连接的访问者的所有进程信息,判断这些进程信息是否符合预先设定的进程访问规则,若不符合,则判断为非法连接。
本发明还可以设置可信端口白名单,可信端口白名单并非是事先设置的,而是当***判断出访问者不在mysql端口白名单中,告警提示用户为非法连接时,而用户因实际应用需要而允许访问mysql数据库,此时可以将这样的访问者加入可信端口白名单中。但是,位于可信端口白名单中的访问者只是临时具有访问mysql数据库的权限,其再次访问mysql数据库时,依然需要判断是否合法,若用户此次选择断开连接,那么就将其从可信端口白名单中删除,进一步,也可将其从mysql数据库的连接ID与端口号映射集中删除存入历史映射集中。所以可信端口白名单是动态更新的。
步骤2)中实时监视的是mysql数据库的binlog日志,binlog日志是mysql数据库的二进制日志,用于记录用户对数据库操作的SQL语句(除了数据查询语句)信息。步骤2)中对于对数据库进行了操作(如修改、删除等)而不在mysql端口白名单中的访问者会认为其为非法连接,但是若该访问者是用户当前认可的连接的话,此时不应当告警提示或备份还原。因此,可以在***判断出其为非法连接后,进一步判断访问者是否位于可信端口白名单中,若也不在可信端口白名单中,则进行告警提示是否进行备份还原操作,或者直接进行备份还原操作,否则不进行告警提示或备份还原。步骤2)中的提及的备份数据库是实时备份的。该方式避免了将用户允许的连接操作视为非法操作,提高了监控的灵活性与可靠性。
本发明mysql数据库存储完整性校验保护装置的实施例。
本发明的mysql数据库存储完整性校验保护装置包括处理器和存储器,处理器用于执行存储在存储器中的指令以实现mysql数据库存储完整性校验保护方法。mysql数据库存储完整性校验保护方法的具体内容见上述方法实施例,这里不再详细阐述。
如图2给出了一种使用第三方工具篡改数据库的具体例子,如图2所示,使用第三方工具修改被保护的mysql数据库,将其中一个值修改之后并保存。如图3存储完整性校验图所示,存储完整性校验保护装置检查出被篡改的数据,并进行告警和操作提示。如图4数据库还原备份图所示,选择还原数据库选项之后,数据库被还原到最新备份。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (7)
1.一种mysql数据库存储完整性校验保护方法,其特征在于,该方法包括以下步骤:
1)实时查看当前与mysql数据库建立连接的访问者的网络连接信息,根据访问者的网络连接信息,判断其是否是非法连接,按照以下方法判断是否是非法连接:获取与mysql数据库建立连接的访问者的端口号,判断该端口号是否在事先建立的mysql端口白名单中,若该端口号不在mysql端口白名单中,则认为是非法连接;
若是非法连接,告警提示,若告警提示后,选择不断开连接,则直接将该访问者的端口号加入可信端口白名单或提示是否将该访问者的端口号加入可信端口白名单中;位于可信端口白名单中的访问者只具有临时访问mysql数据库的权限,再次访问mysql数据库时,依然需要判断访问者的合法性;
2)实时监视mysql数据库的binlog日志,获取最近日志更新内容,根据最近日志更新内容获取操作mysql数据库的访问者的网络连接信息,根据访问者的网络连接信息,判断其是否是非法连接,若是非法连接,判断访问者的端口号是否在可信端口白名单中,若不在可信端口白名单中,告警提示或直接将当前mysql数据库替换为mysql数据库的最新备份。
2.根据权利要求1所述的mysql数据库存储完整性校验保护方法,其特征在于,步骤1)中,若告警提示后,选择断开连接,查看该访问者的端口号是否在可信端口号白名单中,如果在,则从可信端口白名单中删除。
3.根据权利要求1所述的mysql数据库存储完整性校验保护方法,其特征在于,事先配置允许与mysql数据库建立连接的访问者的进程白名单,若当前正在运行的访问者的连接ID位于进程白名单中,获取其打开的端口号,建立mysql端口号白名单。
4.根据权利要求1所述的mysql数据库存储完整性校验保护方法,其特征在于,获取访问者的连接ID,查询端口号与连 接ID的映射集,从而获取访问者的端口号。
5.一种mysql数据库存储完整性校验保护装置,其特征在于,该装置包括处理器和存储器,所述处理器用于执行存储在存储器中的指令以实现如权利要求1~2任一项所述的mysql数据库存储完整性校验保护方法。
6.根据权利要求5所述的mysql数据库存储完整性校验保护装置,其特征在于,所述处理器还用于执行存储在存储器中的以下指令:事先配置允许与mysql数据库建立连接的访问者的进程白名单,若当前正在运行的访问者的连接ID位于进程白名单中,获取其打开的端口号,建立mysql端口号白名单。
7.根据权利要求5所述的mysql数据库存储完整性校验保护装置,其特征在于,所述处理器还用于执行存储在存储器中的以下指令:获取访问者的连接ID,查询端口号与连 接ID的映射集,从而获取访问者的端口号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910854451.4A CN110647771B (zh) | 2019-09-10 | 2019-09-10 | 一种mysql数据库存储完整性校验保护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910854451.4A CN110647771B (zh) | 2019-09-10 | 2019-09-10 | 一种mysql数据库存储完整性校验保护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110647771A CN110647771A (zh) | 2020-01-03 |
| CN110647771B true CN110647771B (zh) | 2021-11-16 |
Family
ID=69010300
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910854451.4A Active CN110647771B (zh) | 2019-09-10 | 2019-09-10 | 一种mysql数据库存储完整性校验保护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110647771B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114579967B (zh) * | 2022-03-16 | 2022-09-23 | 北京珞安科技有限责任公司 | 一种程序白名单的快速构建方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103176987A (zh) * | 2011-12-21 | 2013-06-26 | 中国电信股份有限公司 | 一种数据库访问控制方法和装置 |
| CN107360178A (zh) * | 2017-07-31 | 2017-11-17 | 郑州云海信息技术有限公司 | 一种使用白名单控制网络访问的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016000019A1 (en) * | 2014-06-30 | 2016-01-07 | Jagonal Pty Ltd | System and method for rendering buildings in three dimensions |
-
2019
- 2019-09-10 CN CN201910854451.4A patent/CN110647771B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103176987A (zh) * | 2011-12-21 | 2013-06-26 | 中国电信股份有限公司 | 一种数据库访问控制方法和装置 |
| CN107360178A (zh) * | 2017-07-31 | 2017-11-17 | 郑州云海信息技术有限公司 | 一种使用白名单控制网络访问的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110647771A (zh) | 2020-01-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106775716B (zh) | 一种基于度量机制的可信plc启动方法 | |
| CN112187792A (zh) | 一种基于互联网的网络信息安全防护*** | |
| CN110011848B (zh) | 一种移动运维审计*** | |
| CN110063042B (zh) | 一种数据库故障的响应方法及其终端 | |
| CN104951708A (zh) | 一种文件度量和保护的方法及装置 | |
| CN112231702B (zh) | 应用保护方法、装置、设备及介质 | |
| CN109815697B (zh) | 误报行为处理方法及装置 | |
| CN113132318A (zh) | 面向配电自动化***主站信息安全的主动防御方法及*** | |
| CN110647771B (zh) | 一种mysql数据库存储完整性校验保护方法及装置 | |
| CN108229162B (zh) | 一种云平台虚拟机完整性校验的实现方法 | |
| CN109784051B (zh) | 信息安全防护方法、装置及设备 | |
| CN114969712A (zh) | 一种基于lsm框架的可信程序动态度量方法及装置 | |
| CN110443039A (zh) | 插件安全性的检测方法、装置以及电子设备 | |
| CN112422527B (zh) | 变电站电力监控***的威胁评估***、方法和装置 | |
| CN111767300B (zh) | 一种电力数据内外网穿透的动态脱敏方法及装置 | |
| CN117032831A (zh) | 一种可信dcs上位机***、其启动方法及软件启动方法 | |
| CN109933351A (zh) | 一种修复和升级Linux***的方法与装置 | |
| CN112464176B (zh) | 一种权限管理方法、装置、电子设备及存储介质 | |
| WO2019056545A1 (zh) | 测试机自动化管理方法、装置、设备及存储介质 | |
| CN113987435A (zh) | 非法提权检测方法、装置、电子设备及存储介质 | |
| CN102739690B (zh) | 一种数据安全交换进程监管方法及*** | |
| CN115118509B (zh) | 变电站二次设备调试文件权限检测方法及安全管控装置 | |
| CN114978737B (zh) | 一种多普勒天气雷达数据的综合管理*** | |
| CN117093404B (zh) | 可信动态度量过程中不可信进程自恢复方法、***及设备 | |
| CN116909838B (zh) | 一种异常日志上报方法、***、终端设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |