本發(fā)明屬于數(shù)據(jù)庫安全領(lǐng)域，是一種數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)方法。

背景技術(shù)：

數(shù)據(jù)庫系統(tǒng)是信息系統(tǒng)中的基礎(chǔ)平臺，許多政府機(jī)構(gòu)、軍事部門、企業(yè)公司的關(guān)鍵業(yè)務(wù)系統(tǒng)都存儲數(shù)據(jù)庫中，如果數(shù)據(jù)庫安全無法保證，其上的應(yīng)用系統(tǒng)也會被非法訪問或破壞。盡管目前成熟的商用數(shù)據(jù)庫管理系都具有諸如身份認(rèn)證、訪問控制、審計(jì)等安全功能，為數(shù)據(jù)庫安全提供了一定的安全保障，但是在數(shù)據(jù)庫安全方面還存在以下問題：

1.數(shù)據(jù)庫漏洞呈現(xiàn)不斷增多態(tài)勢。隨著用戶對數(shù)據(jù)庫管理系統(tǒng)功能需求的提升，數(shù)據(jù)庫管理系統(tǒng)的規(guī)模變得越來越龐大，數(shù)據(jù)庫管理系統(tǒng)出現(xiàn)安全漏洞的風(fēng)險(xiǎn)在不斷增加，如對這些漏洞置之不理，數(shù)據(jù)庫面臨核心數(shù)據(jù)被泄漏的風(fēng)險(xiǎn)。

2.草率升級數(shù)據(jù)庫可能導(dǎo)致應(yīng)用異常。數(shù)據(jù)庫升級、打補(bǔ)丁需要數(shù)據(jù)庫管理員、應(yīng)用系統(tǒng)管理員等多方的協(xié)作，若未充分考慮數(shù)據(jù)庫升級、打補(bǔ)丁過程中可能導(dǎo)致的系統(tǒng)變化，則數(shù)據(jù)庫系統(tǒng)升級后有可能導(dǎo)致應(yīng)用無法正常使用。

3.數(shù)據(jù)庫補(bǔ)丁無法防止預(yù)設(shè)后門?！袄忡R門”事件暴露出了國外商用數(shù)據(jù)庫系統(tǒng)存在的嚴(yán)重安全隱患，國外數(shù)據(jù)庫廠商、情報(bào)部門可以利用數(shù)據(jù)庫管理系統(tǒng)自身的后門，對數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行監(jiān)視和竊取，數(shù)據(jù)庫系統(tǒng)設(shè)計(jì)過程中預(yù)置了后門，附屬其上的安全保密機(jī)制便形同虛設(shè)。

因此，數(shù)據(jù)庫管理員面臨著這樣的困境：數(shù)據(jù)庫漏洞非補(bǔ)不可，補(bǔ)漏洞又面臨影響應(yīng)用的風(fēng)險(xiǎn)，但無論怎樣都無法從根本上防范數(shù)據(jù) 庫后門的無奈局面。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于提供一種數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)方法，用于解決上述現(xiàn)有技術(shù)的問題。

本發(fā)明的數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)方法，其中，包括：接收數(shù)據(jù)庫廠商發(fā)布的補(bǔ)丁信息；對打補(bǔ)丁前后的數(shù)據(jù)庫進(jìn)行機(jī)器指令逆向分析，將可執(zhí)行文件中的二進(jìn)制機(jī)器指令，通過逆向還原為匯編語言代碼；對匯編語言代碼進(jìn)行分析，將整個程序表示為不同的函數(shù)和函數(shù)之間相互調(diào)用關(guān)系，將一個二進(jìn)制文件就轉(zhuǎn)換為一張有向圖，通過分析得到二進(jìn)制文件反匯編后的調(diào)用關(guān)系和函數(shù)控制流圖，通過計(jì)算控制流圖中基本塊數(shù)量、跳轉(zhuǎn)邊數(shù)以及調(diào)用其它函數(shù)個數(shù)，并生成該函數(shù)的簽名，該函數(shù)的簽名對應(yīng)基本塊數(shù)量、跳轉(zhuǎn)邊數(shù)以及調(diào)用其它函數(shù)個數(shù)；根據(jù)函數(shù)簽名對函數(shù)作為配對，根據(jù)配對函數(shù)和非配對函數(shù)，通過對非配對函數(shù)進(jìn)行檢查，定位引發(fā)安全漏洞的代碼；基于漏洞信息以及定位的引發(fā)安全漏洞的代碼產(chǎn)生有效的攻擊圖，進(jìn)行虛擬補(bǔ)丁防護(hù)規(guī)則構(gòu)建。

根據(jù)本發(fā)明的數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)方法的一實(shí)施例，其中，根據(jù)函數(shù)簽名選取相同或相似的函數(shù)作為配對的條件包括：滿足條件(1)，同時滿足條件(2)或條件(3)：將數(shù)據(jù)庫打補(bǔ)丁前后分別進(jìn)行二進(jìn)制逆向后，再分塊，形成n個函數(shù)，打補(bǔ)丁前的分塊結(jié)果為函數(shù)集合，打補(bǔ)丁后的分塊結(jié)果為函數(shù)集合；條件(1)：存在第一函數(shù)屬于打補(bǔ)丁前的函數(shù)集合，存在第二函數(shù)屬于打補(bǔ)丁后的函數(shù)集合，且第一函數(shù)與第二函數(shù)簽名相同；條件(2)：條件(1)中打補(bǔ)丁前的函數(shù)集合中，不存在第一函數(shù)外的其他函數(shù)簽名與第二函數(shù)簽名相同；條件(3)：條件(1)中打補(bǔ)丁后的函數(shù)集合中，不存在第二函數(shù)外的其他函數(shù)簽名與第一函數(shù)簽名相同；；滿足條件(1)，同時滿足條件(2) 或條件(3)的函數(shù)為配對函數(shù)，通過對非配對函數(shù)進(jìn)行檢查，定位引發(fā)安全漏洞的代碼。

根據(jù)本發(fā)明的數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)方法的一實(shí)施例，其中，基于漏洞信息產(chǎn)生有效的攻擊圖，進(jìn)行虛擬補(bǔ)丁防護(hù)規(guī)則構(gòu)建包括：以開放漏洞數(shù)據(jù)庫以及根據(jù)定位的引發(fā)安全漏洞的代碼得到的漏洞信息為基礎(chǔ)建立漏洞知識庫；將數(shù)據(jù)庫的目標(biāo)環(huán)境信息進(jìn)行預(yù)處理，將環(huán)境信息按照謂詞名稱、屬性進(jìn)行分類，形成多個子目標(biāo)環(huán)境項(xiàng)；將目標(biāo)環(huán)境存儲在一個樹形數(shù)據(jù)結(jié)構(gòu)中；根據(jù)目標(biāo)環(huán)境將漏洞知識庫中的攻擊模式實(shí)例化為攻擊圖。

根據(jù)本發(fā)明的數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)方法的一實(shí)施例，其中，該樹形數(shù)據(jù)結(jié)構(gòu)包含4層節(jié)點(diǎn)：根節(jié)點(diǎn)、主機(jī)地址節(jié)點(diǎn)、謂詞名稱節(jié)點(diǎn)以及屬性節(jié)點(diǎn)。

綜上，本發(fā)明為解決數(shù)據(jù)庫防護(hù)中的漏洞管理修復(fù)過程所面臨的各種問題，提出了一種數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)方法具有以下優(yōu)點(diǎn)：

1.能夠以CVE發(fā)布的數(shù)據(jù)庫漏洞、數(shù)據(jù)庫廠商發(fā)布的官方補(bǔ)丁信息為依據(jù)，分析漏洞的產(chǎn)生機(jī)理，掌握漏洞利用機(jī)制并還原對應(yīng)的攻擊模式；

2.能夠?qū)袈窂竭M(jìn)行建模，并且實(shí)現(xiàn)了將數(shù)據(jù)庫訪問行為模式與模型的快速匹配；

3.能夠根據(jù)預(yù)設(shè)規(guī)則，對特定的行為模式進(jìn)行阻斷，達(dá)到防止數(shù)據(jù)庫被攻擊的效果。

附圖說明

圖1所示為本發(fā)明數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)模塊圖；

圖2所示為數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)模塊工作流程圖；

圖3所示為打補(bǔ)丁前后的數(shù)據(jù)庫的對比分析流程圖；

圖4所示為數(shù)據(jù)庫的函數(shù)結(jié)構(gòu)圖；

圖5所示為函數(shù)的子函數(shù)控制流圖；

圖6所示為攻擊建模的流程圖；

圖7所示為目標(biāo)環(huán)境信息的數(shù)據(jù)結(jié)構(gòu)圖。

具體實(shí)施方式

為使本發(fā)明的目的、內(nèi)容、和優(yōu)點(diǎn)更加清楚，下面結(jié)合附圖和實(shí)施例，對本發(fā)明的具體實(shí)施方式作進(jìn)一步詳細(xì)描述。

圖1所示為本發(fā)明數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)模塊圖，如圖1所示，數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)模塊包括：協(xié)議解析模塊1、訪問行為過濾模塊2、請求轉(zhuǎn)發(fā)模塊3、規(guī)則庫4、攻擊分析模塊5、規(guī)則錄入模塊6、攻擊分析模塊7、補(bǔ)丁分析模塊8以及配置管理模塊9。

參考圖1，協(xié)議解析模塊1用于進(jìn)行數(shù)據(jù)庫服務(wù)器映射以及數(shù)據(jù)庫協(xié)議解析等。訪問行為過濾模塊2用于進(jìn)行對訪問請求中的SQL語句還原，并基于規(guī)則庫的特征規(guī)則，對數(shù)據(jù)庫訪問請求進(jìn)行過濾，屏蔽針對數(shù)據(jù)庫漏洞的攻擊行為及用戶定義的異常和誤用行為。請求轉(zhuǎn)發(fā)模塊3用于進(jìn)行訪問請求重組和轉(zhuǎn)發(fā)等功能。補(bǔ)丁分析模塊8用于以數(shù)據(jù)庫廠商發(fā)布的補(bǔ)丁信息為輸入，定位補(bǔ)丁對應(yīng)的數(shù)據(jù)庫缺陷代碼。攻擊分析模塊7用于基于權(quán)威漏洞庫發(fā)布的漏洞信息或補(bǔ)丁分析的結(jié)果，分析缺陷代碼的利用方式，獲得對應(yīng)的攻擊模式，并抽象成訪問控制規(guī)則錄入規(guī)則庫4。規(guī)則錄入模塊6用于根據(jù)需求，將用戶自定義訪問規(guī)則錄入規(guī)則庫4。配置管理模塊9用于對數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)模塊的運(yùn)行參數(shù)進(jìn)行配置，記錄設(shè)備運(yùn)行日志及審計(jì)日志信息。規(guī)則庫4用于存放各類漏洞利用模式、攻擊模式以及異常模式等規(guī)則信息。

圖2所示為數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)模塊工作流程圖，參考圖1以及圖2，數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)方法主要包括：

1.將數(shù)據(jù)庫廠商發(fā)布的補(bǔ)丁信息輸入數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)模塊；

2.通過補(bǔ)丁對比分析方法，對補(bǔ)丁信息進(jìn)行分析，定位補(bǔ)丁對應(yīng)的漏洞機(jī)制；

3.根據(jù)分析得到的漏洞機(jī)制或由CVE等直接發(fā)布的漏洞還原攻擊方式，并進(jìn)行攻擊建模；

4.根據(jù)攻擊路徑模型生成數(shù)據(jù)庫防護(hù)規(guī)則，對目標(biāo)數(shù)據(jù)庫進(jìn)行防護(hù)。

圖3所示為打補(bǔ)丁前后的數(shù)據(jù)庫的對比分析流程圖，圖4所示為數(shù)據(jù)庫的函數(shù)結(jié)構(gòu)圖，圖5所示為函數(shù)的子函數(shù)控制流圖，對于本發(fā)明數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)方法具體的實(shí)施利，包括：

接收數(shù)據(jù)庫廠商發(fā)布的補(bǔ)丁信息11；

對打補(bǔ)丁前后的數(shù)據(jù)庫14進(jìn)行機(jī)器指令逆向分析，將可執(zhí)行文件中的二進(jìn)制機(jī)器指令，通過逆向還原為匯編語言代碼；

對匯編代碼進(jìn)行分析，將整個程序表示為不同的函數(shù)和函數(shù)之間相互調(diào)用關(guān)系，將一個二進(jìn)制文件就轉(zhuǎn)換為一張有向圖，如圖3所示；通過分析得到二進(jìn)制文件反匯編后的調(diào)用關(guān)系和函數(shù)控制流圖，如圖4所示；通過計(jì)算控制流圖中基本塊數(shù)量，每個基本塊為一函數(shù)的子函數(shù)例如函數(shù)A中的基本塊a-g的數(shù)量為6，如圖4所示；跳轉(zhuǎn)邊數(shù)，即各子函數(shù)之間調(diào)用關(guān)系之和，例如基本塊a-g之間共存在7個調(diào)用關(guān)系，如圖4所示；以及調(diào)用其它函數(shù)個數(shù)，例如函數(shù)A中所調(diào)用的不屬于函數(shù)A的函數(shù)的數(shù)量。并生成該函數(shù)的簽名?？梢允褂靡粋€三維向量S(i)＝(αi,βi,γi)作為函數(shù)簽名，其中，αi,表示對應(yīng)控制流圖中的基本塊數(shù)；βi表示對應(yīng)控制流圖中的邊數(shù)，單個函數(shù)調(diào)用和被調(diào)用的次數(shù)；γi表示該調(diào)用其它函數(shù)個數(shù)。

根據(jù)函數(shù)簽名選取可能相同或相似的函數(shù)作為配對，依次對各匹配的函數(shù)對進(jìn)行內(nèi)部的基本塊比對，確定函數(shù)相似度。本發(fā)明中判斷函數(shù)ai、bj具有唯一相同簽名是指同時滿足條件(1)，并滿足條件(2)或條件(3)：

將數(shù)據(jù)庫打補(bǔ)丁前后分別進(jìn)行二進(jìn)制逆向后，再分塊，形成n個函數(shù)，打補(bǔ)丁前的分塊結(jié)果為函數(shù)集合(a1….an)，打補(bǔ)丁后的分塊 結(jié)果為函數(shù)集合(b1…..bn)。

條件(1)：存在函數(shù)ai和bj分別歸屬補(bǔ)丁前后2個函數(shù)集合，且兩者簽名相同；

條件(2)：存在函數(shù)ai所在的函數(shù)集合中，不存在其他函數(shù)簽名與bj簽名相同；

條件(3)：存在函數(shù)bj所在的函數(shù)集合中，不存在其他函數(shù)簽名與ai簽名相同。

補(bǔ)丁前后的二進(jìn)制可執(zhí)行文件在比對之后，可分為兩類：具有唯一相同簽名配對函數(shù)和非配對函數(shù)，通過對非配對函數(shù)進(jìn)行檢查，即可定位引發(fā)安全漏洞的代碼，并對非配對函數(shù)進(jìn)行脆弱性表注。

補(bǔ)丁比對方法是通過對比打補(bǔ)丁前后可執(zhí)行文件之間的區(qū)別，迅速定位缺陷代碼，以便于漏洞機(jī)制分析及攻擊路徑還原。由于受到編譯器優(yōu)化、邏輯地址等各個方面的影響，對數(shù)據(jù)庫補(bǔ)丁進(jìn)行字節(jié)比對，或?qū)Ψ磪R編出來的匯編代碼進(jìn)行簡單的文本比對，都無法獲得很好的效果。為解決該問題，采用結(jié)構(gòu)化對比方式，通過提取反匯編代碼中的函數(shù)簽名，以匯編函數(shù)為基本研究單位開展比對工作。

本發(fā)明的補(bǔ)丁對比技術(shù)基本思路是：提取補(bǔ)丁前后可數(shù)據(jù)庫中函數(shù)的標(biāo)志性特征信息作為函數(shù)簽名，并對函數(shù)簽名進(jìn)行比較；具有唯一相同簽名的函數(shù)在配對后，被認(rèn)為是相同的。

方法實(shí)質(zhì)是將整個數(shù)據(jù)庫視為一個圖，將函數(shù)作為二進(jìn)制文件的一個“子圖”，將整個二進(jìn)制文件就轉(zhuǎn)化為一個結(jié)構(gòu)圖，兩個二進(jìn)制文件的比對也就轉(zhuǎn)化為兩個圖之間的比較，比較兩個函數(shù)之間的簽名。二進(jìn)制文件的結(jié)構(gòu)化比對方法從結(jié)構(gòu)層面考慮文件內(nèi)容，兩段相同代碼生成的文件在文本內(nèi)容可能不同的情況下，其結(jié)構(gòu)通常會保持一致。

圖6所示為攻擊建模的流程圖，參考圖1以及圖6，根據(jù)分析得到的漏洞機(jī)制或由CVE等直接發(fā)布的漏洞還原攻擊方式，并進(jìn)行攻擊建 模，包括：

基于漏洞信息12產(chǎn)生有效的攻擊圖，進(jìn)而虛擬補(bǔ)丁防護(hù)規(guī)則構(gòu)建，可以采用基于邏輯的方式對漏洞進(jìn)行建模和分析并生成攻擊圖，進(jìn)而實(shí)現(xiàn)對攻擊模式的獲取。

利用攻擊圖方法進(jìn)行漏洞利用模式分析能夠清晰描繪攻擊者的攻擊軌跡，便于理解以及相關(guān)防護(hù)規(guī)則制定，但是由于數(shù)據(jù)庫涉及攻擊面非常廣泛，一般攻擊圖構(gòu)建方法容易陷入狀態(tài)爆炸的問題。為解決該問題，可以采用的攻擊圖分析中增加了目標(biāo)環(huán)境預(yù)處理技術(shù)，減少對非不要、不可達(dá)攻擊目標(biāo)環(huán)境屬性的搜索，大幅提升了攻擊圖分析性能。攻擊圖引擎，結(jié)合攻擊數(shù)據(jù)庫，對目標(biāo)環(huán)境信息數(shù)據(jù)結(jié)構(gòu)進(jìn)行遍歷，尋找以一起點(diǎn)非法達(dá)到另一節(jié)點(diǎn)。

圖7所示為目標(biāo)環(huán)境信息數(shù)據(jù)結(jié)構(gòu)圖，參考圖7，目標(biāo)環(huán)境信息數(shù)據(jù)結(jié)構(gòu)攻擊建模包括：

1.構(gòu)建知識庫。以CVE等權(quán)威機(jī)構(gòu)發(fā)布的開放漏洞數(shù)據(jù)庫以及由數(shù)據(jù)庫廠商發(fā)布的補(bǔ)丁信息分析得到的漏洞信息為基礎(chǔ)建立漏洞知識庫，漏洞知識庫為攻擊圖生成提供推理規(guī)則。

2.目標(biāo)環(huán)境預(yù)處理。將數(shù)據(jù)庫相關(guān)的主機(jī)信息、服務(wù)信息、配置信息等目標(biāo)環(huán)境信息進(jìn)行預(yù)處理，將環(huán)境信息按照謂詞名稱(提供的服務(wù)類型)、屬性進(jìn)行分類，形成若干子目標(biāo)環(huán)境項(xiàng)。本發(fā)明采用的目標(biāo)環(huán)境預(yù)處理算法將目標(biāo)環(huán)境存儲在一個樹形數(shù)據(jù)結(jié)構(gòu)中，如圖7所示該樹包含4層節(jié)點(diǎn)：根節(jié)點(diǎn)、主機(jī)地址節(jié)點(diǎn)、謂詞名稱節(jié)點(diǎn)、屬性節(jié)點(diǎn)。

目標(biāo)環(huán)境于預(yù)處理算法描述如下：

Input：存儲目標(biāo)環(huán)境中屬性的Tree；目標(biāo)環(huán)境集合中的初始屬性f

Output：插入屬性f后的Tree

I＝IPValue(f)；

P＝PredicateName(f)；

If Node(I)S-Nodes(Tree.Root)Then

S-Nodes(Tree.Root)＝S-Nodes(Tree.Root)∪{Node(I)}；

S-Nodes(Node(I))＝S-Nodes(Node(I))∪{Node(P)}；

S-Nodes(Node(P))＝{Node(f)}；

Else If Node(P)S-Nodes(Node(I))Then

S-Nodes(Node(I))＝S-Nodes(Node(I))∪{Node(P)}；

S-Nodes(Node(P))＝{Node(f)}；

Else If Node(f)S-Nodes(Node(P))Then

S-Nodes(Node(P))＝S-Nodes(Node(P))∪{Node(f)}；

Return Tree

該算法的輸入時存儲目標(biāo)環(huán)境屬性的Tree和目標(biāo)環(huán)境集合中的初始屬性f，輸出為插入屬性f后的Tree，該算法的作用是將屬性f以合適的位置插入樹Tree中。算法首先判斷屬性f的HostID類型的參數(shù)值是否等于Tree的根節(jié)點(diǎn)的某個后繼節(jié)點(diǎn)的標(biāo)識(即第二層節(jié)點(diǎn)的標(biāo)識)，如不存在，則生成具有該屬性f的HostID類型的參數(shù)值標(biāo)識的節(jié)點(diǎn)i，作為根節(jié)點(diǎn)的后繼節(jié)點(diǎn)，然后生成具有該屬性f的謂詞名稱標(biāo)識節(jié)點(diǎn)j，作為節(jié)點(diǎn)i的后繼節(jié)點(diǎn)，然后將該屬性f作為節(jié)點(diǎn)j的后繼節(jié)點(diǎn)；如果該屬性f的HostID類型的參數(shù)等于Tree的根節(jié)點(diǎn)的某個后繼節(jié)點(diǎn)k的標(biāo)識，那么在判斷屬性f的謂詞名稱是否等于節(jié)點(diǎn)k的某個后繼節(jié)點(diǎn)的標(biāo)識，如果不存在，則生成具有該屬性f的謂詞名稱標(biāo)識的節(jié)點(diǎn)m，作為節(jié)點(diǎn)k的后繼節(jié)點(diǎn)，如果存在這樣的后繼節(jié)點(diǎn)n，那么就將該屬性f作為節(jié)點(diǎn)n的后繼節(jié)點(diǎn)。

3.構(gòu)造攻擊圖。將目標(biāo)環(huán)境和漏洞知識庫輸入攻擊圖構(gòu)造引擎，根據(jù)目標(biāo)環(huán)境將漏洞知識庫中的攻擊模式實(shí)例化為攻擊圖。

綜上，本發(fā)明的數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)方法，能夠以CVE等發(fā)布的官方數(shù)據(jù)庫漏洞信息及數(shù)據(jù)庫廠商發(fā)布的補(bǔ)丁信息為依據(jù)生成虛擬 補(bǔ)丁，虛擬補(bǔ)丁無需在數(shù)據(jù)庫端進(jìn)行部署，只需要以透明方式部署于串接在待防護(hù)的數(shù)據(jù)庫服務(wù)器之前飛數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)模塊上，即可實(shí)現(xiàn)對數(shù)據(jù)庫訪問行為的監(jiān)測，發(fā)現(xiàn)并阻斷利用數(shù)據(jù)庫漏洞、后門或利用管理員特權(quán)非法獲取數(shù)據(jù)庫信息的行為，實(shí)現(xiàn)對數(shù)據(jù)庫零改動條件下對數(shù)據(jù)庫漏洞、后門的封堵。

本發(fā)明主要實(shí)現(xiàn)的效果包括：

1.能夠以CVE發(fā)布的數(shù)據(jù)庫漏洞、數(shù)據(jù)庫廠商發(fā)布的官方補(bǔ)丁信息為依據(jù)，分析漏洞的產(chǎn)生機(jī)理，掌握漏洞利用機(jī)制并還原對應(yīng)的攻擊模式；

2.能夠?qū)袈窂竭M(jìn)行建模，并且實(shí)現(xiàn)了將數(shù)據(jù)庫訪問行為模式與模型的快速匹配；

3.能夠根據(jù)預(yù)設(shè)規(guī)則，對特定的行為模式進(jìn)行阻斷，達(dá)到防止數(shù)據(jù)庫被攻擊的效果。

以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式，應(yīng)當(dāng)指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明技術(shù)原理的前提下，還可以做出若干改進(jìn)和變形，這些改進(jìn)和變形也應(yīng)視為本發(fā)明的保護(hù)范圍。