專利名稱:數(shù)據(jù)庫內(nèi)核入侵隱藏用戶的探測方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù)領(lǐng)域�����。具體涉及數(shù)據(jù)庫系統(tǒng)的內(nèi)核入隱藏用戶的探測�,特別是一種提高數(shù)據(jù)庫系統(tǒng)安全的新型掃描檢測方法及其系統(tǒng)。
背景技術(shù):
當(dāng)前的數(shù)據(jù)庫安全風(fēng)險(xiǎn)掃描軟件主要檢測數(shù)據(jù)庫系統(tǒng)配置風(fēng)險(xiǎn)和數(shù)據(jù)庫軟件本身的安全漏洞����。數(shù)據(jù)庫配置風(fēng)險(xiǎn)就是各種權(quán)限的分配不當(dāng)以及用戶管理不當(dāng)、弱口令等����,比如某個(gè)危險(xiǎn)的存儲過程執(zhí)行權(quán)限分配給了公共角色��,公共角色的成員就可能利用這個(gè)存儲過程來進(jìn)行提權(quán)操作�����。這類風(fēng)險(xiǎn)可以通過用戶正確配置數(shù)據(jù)庫來消除�����。數(shù)據(jù)庫軟件本身的安全漏洞是指數(shù)據(jù)庫開發(fā)廠商在軟件開發(fā)過程中由于考慮不周使軟件產(chǎn)生了安全漏洞���,例如各種緩沖區(qū)溢出漏洞、系統(tǒng)對象SQL注入漏洞�。這類漏洞只能靠升級數(shù)據(jù)庫或給數(shù)據(jù)庫 打補(bǔ)丁來解決。但是當(dāng)前的數(shù)據(jù)庫安全風(fēng)險(xiǎn)掃描軟件無法檢測黑客入侵對數(shù)據(jù)庫造成的損害�����,黑客入侵?jǐn)?shù)據(jù)庫后往往會通過篡改內(nèi)核對象隱藏一些數(shù)據(jù)庫對象�,比如隱藏黑客自己創(chuàng)建的具有DBA權(quán)限的用戶,利用這些隱藏的用戶黑客就可以隱蔽的登錄到數(shù)據(jù)庫執(zhí)行一些非法操作�����,而不被數(shù)據(jù)庫管理員察覺。這類風(fēng)險(xiǎn)更隱蔽�����,危害更大�。如果發(fā)現(xiàn)有隱藏的數(shù)據(jù)庫用戶���,基本可以斷定數(shù)據(jù)庫已經(jīng)被入侵了�,并且一些內(nèi)核對象已經(jīng)被篡改���,需要管理員及時(shí)修復(fù)數(shù)據(jù)庫�。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是�����,克服現(xiàn)有技術(shù)中的不足��,提供一種數(shù)據(jù)庫內(nèi)核入侵隱藏用戶的探測方法及系統(tǒng)����。為解決技術(shù)問題,本發(fā)明的解決方案是提供一種數(shù)據(jù)庫內(nèi)核入侵隱藏用戶的探測方法����,是通過正常途徑獲取數(shù)據(jù)庫用戶列表�,用底層方法獲取數(shù)據(jù)庫用戶列表��;所述正常途徑獲取數(shù)據(jù)庫用戶列表���,包括以下步驟(I)連接數(shù)據(jù)庫��;(2)通過數(shù)據(jù)庫提供的視圖或命令得到對應(yīng)的用戶列表�;所述用底層方法獲取數(shù)據(jù)庫用戶列表���,包括以下步驟(I)連接數(shù)據(jù)庫����;(2)訪問底層系統(tǒng)表或二進(jìn)制文件�;(3)獲取對應(yīng)的用戶列表;將正常途徑獲取的用戶列表和用底層方法獲取的用戶列表進(jìn)行對比�����,找出正常途徑獲取不到的數(shù)據(jù)庫用戶列表��,即為隱藏的用戶列表��;然后生成掃描報(bào)告,將隱藏的用戶列表提供給使用探測系統(tǒng)的用戶�����。本發(fā)明中�����,所述數(shù)據(jù)庫用戶是指登錄數(shù)據(jù)庫系統(tǒng)的用戶帳號�,所述數(shù)據(jù)庫用戶列表是指該用戶賬號的列表��。進(jìn)一步地�,本發(fā)明還提供了一種用于實(shí)現(xiàn)前述方法的數(shù)據(jù)庫內(nèi)核入侵隱藏用戶的探測系統(tǒng),該系統(tǒng)包括用于通過正常途徑獲取數(shù)據(jù)庫用戶列表的掃描模塊���、用于通過底層方法獲取數(shù)據(jù)庫用戶列表的底層探測模塊�����,以及用于將兩個(gè)用戶列表進(jìn)行對比并得出隱藏用戶的對比模塊��;所述掃描模塊連接至數(shù)據(jù)庫����,所述底層探測模塊連至數(shù)據(jù)庫或數(shù)據(jù)庫所在服務(wù)器;所述對比模塊與掃描模塊和底層探測模塊相連�����。本發(fā)明的有益效果在于本發(fā)明對比正常途徑獲取數(shù)據(jù)庫用戶列表和底層方法獲取數(shù)據(jù)庫用戶列表�,能夠 發(fā)現(xiàn)數(shù)據(jù)庫入侵后被黑客隱藏的數(shù)據(jù)庫用戶,并提供詳細(xì)的掃描報(bào)告��,使數(shù)據(jù)庫管理員能及時(shí)修復(fù)數(shù)據(jù)庫排除數(shù)據(jù)庫安全隱患�����。
圖I是數(shù)據(jù)庫內(nèi)核入侵隱藏用戶探測系統(tǒng)工作原理圖�����。圖2是數(shù)據(jù)庫內(nèi)核入侵隱藏用戶探測系統(tǒng)掃描探測過程工作流程圖��。
具體實(shí)施例方式首先需要說明的是���,本發(fā)明涉及數(shù)據(jù)庫技術(shù)��,是計(jì)算機(jī)技術(shù)在信息安全技術(shù)領(lǐng)域的一種應(yīng)用�����。在本發(fā)明的實(shí)現(xiàn)過程中�����,會涉及到多個(gè)軟件功能模塊的應(yīng)用��。申請人認(rèn)為�����,如在仔細(xì)閱讀申請文件���、準(zhǔn)確理解本發(fā)明的實(shí)現(xiàn)原理和發(fā)明目的以后�,在結(jié)合現(xiàn)有公知技術(shù)的情況下���,本領(lǐng)域技術(shù)人員完全可以運(yùn)用其掌握的軟件編程技能實(shí)現(xiàn)本發(fā)明。前述軟件功能模塊包括但不限于掃描模塊����、底層探測模塊、對比模塊等�,凡本發(fā)明申請文件提及的均屬此范疇,申請人不再一一列舉。本發(fā)明中數(shù)據(jù)庫內(nèi)核入侵隱藏用戶的探測系統(tǒng)包括用于通過正常途徑獲取數(shù)據(jù)庫用戶列表的掃描模塊����、用于通過底層方法獲取數(shù)據(jù)庫用戶列表的底層探測模塊,以及用于將兩個(gè)用戶列表進(jìn)行對比并得出隱藏用戶的對比模塊�����;所述掃描模塊連接至數(shù)據(jù)庫��,所述底層探測模塊連至數(shù)據(jù)庫或數(shù)據(jù)庫所在服務(wù)器����;所述對比模塊與掃描模塊和底層探測模塊相連。本發(fā)明的實(shí)現(xiàn)原理是首先通過正常途徑訪問數(shù)據(jù)庫����,獲取數(shù)據(jù)庫對應(yīng)的用戶列表,然后通過底層探測模塊獲取數(shù)據(jù)庫的實(shí)際用戶列表���,最后有對比模塊對比兩個(gè)用戶列表找出隱藏的用戶����,如發(fā)現(xiàn)有隱藏用戶��,就在掃描報(bào)告里列出被隱藏用戶的清單,并提出修補(bǔ)建議�。以下是數(shù)據(jù)庫內(nèi)核入侵隱藏對象探測系統(tǒng)典型的實(shí)施案例假設(shè)要對一個(gè)0RACLE10G數(shù)據(jù)庫進(jìn)行內(nèi)核入侵隱藏?cái)?shù)據(jù)庫用戶探測。首先要模擬黑客對數(shù)據(jù)庫系統(tǒng)內(nèi)核對象進(jìn)行入侵篡改(I)用sys用戶登錄數(shù)據(jù)庫�����。(2)創(chuàng)建用戶名為’ HACKER’的DBA權(quán)限的用戶�。(3)對ALL_USERS和DBA_USERS視圖進(jìn)行更改,在視圖代碼后面加上and
u.name! = ’ HACKER’��。然后使用數(shù)據(jù)庫內(nèi)核入侵隱藏對象探測方法進(jìn)行探測
(1訪問oracle數(shù)據(jù)庫的ALL_USERS和DBA_USERS視圖�,通過正常途徑獲取用戶列表.(2)然后訪問數(shù)據(jù)庫的底層系統(tǒng)表sys. USER$,獲取數(shù)據(jù)庫真實(shí)的用戶列表��。(3)對比兩個(gè)用戶列表��,會發(fā)現(xiàn)通過正常途徑獲取的用戶里不存在HACKER用戶����,而比通過訪問底層系統(tǒng)表發(fā)現(xiàn)有HACKER用戶���,HACKER用戶就是被隱藏的用戶���,黑客通過篡改了 ALL_USERS或DBA_USERS視圖隱藏了該用戶。生成掃描報(bào)告,將被隱藏的對象列表修復(fù)建議提供給使用探測系統(tǒng)的用戶�����。掃描和對比完成后�,根據(jù)掃描報(bào)告就可以發(fā)現(xiàn)數(shù)據(jù)庫有哪些隱藏的用戶,數(shù)據(jù)庫管理員根據(jù)該報(bào)告刪除或監(jiān)控隱藏的用戶����,并修復(fù)相應(yīng)被篡改數(shù)據(jù)庫內(nèi)核對象。
權(quán)利要求
1.一種數(shù)據(jù)庫內(nèi)核入侵隱藏用戶的探測方法�����,其特征在于�,包括通過正常途徑獲取數(shù)據(jù)庫用戶列表,用底層方法獲取數(shù)據(jù)庫用戶列表�; 所述正常途徑獲取數(shù)據(jù)庫用戶列表,包括以下步驟 (1)連接數(shù)據(jù)庫����; (2)通過數(shù)據(jù)庫提供的視圖或命令得到對應(yīng)的用戶列表; 所述用底層方法獲取數(shù)據(jù)庫用戶列表����,包括以下步驟 (1)連接數(shù)據(jù)庫��; (2)訪問底層系統(tǒng)表或二進(jìn)制文件����; (3)獲取對應(yīng)的用戶列表����; 將正常途徑獲取的用戶列表和用底層方法獲取的用戶列表進(jìn)行對比,找出正常途徑獲取不到的數(shù)據(jù)庫用戶列表��,即為隱藏的用戶列表���;然后生成掃描報(bào)告��,將隱藏的用戶列表提供給使用探測系統(tǒng)的用戶���。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于����,所述數(shù)據(jù)庫用戶是指登錄數(shù)據(jù)庫系統(tǒng)的用戶帳號,所述數(shù)據(jù)庫用戶列表是指該用戶賬號的列表��。
3.一種用于實(shí)現(xiàn)權(quán)利要求I所述方法的數(shù)據(jù)庫內(nèi)核入侵隱藏用戶的探測系統(tǒng)��,其特征在于�����,該系統(tǒng)包括 用于通過正常途徑獲取數(shù)據(jù)庫用戶列表的掃描模塊����、用于通過底層方法獲取數(shù)據(jù)庫用戶列表的底層探測模塊,以及用于將兩個(gè)用戶列表進(jìn)行對比并得出隱藏用戶的對比模塊���; 所述掃描模塊連接至數(shù)據(jù)庫��,所述底層探測模塊連至數(shù)據(jù)庫或數(shù)據(jù)庫所在服務(wù)器�����;所述對比模塊與掃描模塊和底層探測模塊相連����。
全文摘要
本發(fā)明涉及信息安全技術(shù)領(lǐng)域���,旨在提供一種數(shù)據(jù)庫內(nèi)核入侵隱藏用戶的探測方法及系統(tǒng)�。該方法是通過正常途徑獲取數(shù)據(jù)庫用戶列表��,用底層方法獲取數(shù)據(jù)庫用戶列表;將正常途徑獲取的用戶列表和用底層方法獲取的用戶列表進(jìn)行對比�,找出正常途徑獲取不到的數(shù)據(jù)庫用戶列表,即為隱藏的用戶列表�����;然后生成掃描報(bào)告�����,將隱藏的用戶列表提供給使用探測系統(tǒng)的用戶�。本發(fā)明對比正常途徑獲取數(shù)據(jù)庫用戶列表和底層方法獲取數(shù)據(jù)庫用戶列表,能夠發(fā)現(xiàn)數(shù)據(jù)庫入侵后被黑客隱藏的數(shù)據(jù)庫用戶��,并提供詳細(xì)的掃描報(bào)告����,使數(shù)據(jù)庫管理員能及時(shí)修復(fù)數(shù)據(jù)庫排除數(shù)據(jù)庫安全隱患。
文檔編號G06F21/60GK102867062SQ20121035907
公開日2013年1月9日 申請日期2012年9月24日 優(yōu)先權(quán)日2012年9月24日
發(fā)明者范淵, 楊永清, 劉海衛(wèi) 申請人:杭州安恒信息技術(shù)有限公司