本申请公开了一种数据库安全访问方法、装置、设备、系统及可读存储介质,该方法包括以下步骤:获取标注了用户ID的用户行为数据,以及非法活动对应的非法ID集;将各条用户行为数据转换为用户ID与SQL语句的对应组合;利用非法ID集为各个对应组合添加标签;标签为合法标签或非法标签;创建与具有标签的对应组合匹配的安全策略,并利用安全策略对数据库访问请求进行处理。相较于目前的仅基于防火墙的数据保障机制,本方法可在数据库管理设备上基于安全策略进行访问控制,以保障数据库的数据安全。
Database security access method, device, equipment, system and readable storage medium
【技术实现步骤摘要】
数据库安全访问方法、装置、设备、系统及可读存储介质
本申请涉及数据安全
,特别是涉及一种数据库安全访问方法、装置、设备、系统及可读存储介质。
技术介绍
数据库(Database)是按照数据结构来组织、存储和管理数据的仓库,通常访问数据库的方式包括以下5种:1、应用服务器访问数据库服务器主要为业务交互,一般由用户浏览器或者APP向应用服务器发起访问,应用服务器再向数据库服务器请求访问数据,并将结果返回给用户;2、运维平台访问数据库服务器主要是运维管理的需求,一般由运维人员通过运维管理工具和运维主机向数据库传达运维指令;3、SQL客户端访问数据库主要是数据分析或数据提取,一般由大数据挖掘工具或者数据分析师直接通过客户端的形式进行数据提取。4、数据库备份工作站主要是对数据进行备份以防止数据的丢失,一般都是通过数据库提供的接口进行数据同步。5、子网特指资源子网,主要负责全网的信息处理和数据处理业务,向用户提供数据库的网络资源和网络服务。为了保障数据库安全,目前主要依赖数据库防火墙(DBFirewall)规则验证每一个数据报包的风险特征。数据库防火墙防泄密原理:数据以包(Packet)的形式在网络中进行传输的,数据包分为控制部分和数据部分,从包的结构中,可以得到整个数据流的五元组,DBFirewall可以基于这些信息对数据库进行防护。例如,当来自应用(Application)的数据通过DBFirewall时,DBFirewall会基于设定的规则对该包进行检查,如果检查通过,包会被允许穿过DBFirewall,则Application的数据就能到达Database,反之,则该包会被DBFirewall丢弃(Drop)或返回错误标识以拒绝(reject)该会话。基于防火墙原理,传统的方案以DBFirewall为主,存在以下缺陷:DBFirewall基于规则和数据特征识别活动风险,一般通过检测黑客攻击行为和数据特征作为样本,利用规则和数据特征来识别非法活动会导致特征识别误判,从而造成正常用户无法访问数据库,而本应当拒绝响应的非法请求得到了数据库的响应。综上所述,如何有效地解决数据库安全访问等问题,是目前本领域技术人员急需解决的技术问题。
技术实现思路
本申请的目的是提供一种数据库安全访问方法、装置、设备、系统及可读存储介质,通过联动上网用户行为管理设备和NGAF,对数据库访问请求进行处理,可保障数据库的数据安全。为解决上述技术问题,本申请提供如下技术方案:一种数据库安全访问方法,包括:获取标注了用户ID的用户行为数据,以及非法活动对应的非法ID集;将各条所述用户行为数据转换为用户ID与SQL语句的对应组合;利用所述非法ID集为各个所述对应组合添加标签;所述标签为合法标签或非法标签;创建与具有所述标签的对应组合匹配的安全策略,并利用所述安全策略对数据库访问请求进行处理。优选地,利用所述安全策略对数据库访问请求进行处理,包括:接收并解析所述数据库访问请求,获得目标会话ID和目标SQL语句;利用所述安全策略,确定执行所述目标SQL语句是否合法;若是,则执行所述目标SQL语句;若否,则终止访问。优选地,利用所述安全策略,确定执行所述目标SQL语句是否合法,包括:当所述安全策略包括具有所述合法标签的对应组合时,且在所述白名单中查询到所述目标会话ID与所述目标SQL语句的对应组合时,确定执行所述目标SQL语句合法;所述白名单包括标签为合法的所述对应组合;或,当所述安全策略包括具有所述非法标签的对应组合时,且在所述黑名单中查询到所述目标会话ID与所述目标SQL语句的对应组合时,确定执行所述目标SQL语句非法;所述黑名单为包括标签为非法的所述对应组合。优选地,所述获取标注了用户ID的用户行为数据,包括:接收上网行为管理设备发送所述用户行为数据;其中,所述用户行为数据包括所述上网行为管理设备通过跟踪用户名而获得的应用程序对应各个所述用户ID对应的整个HTTP会话;相应地,所述将各条所述用户行为数据转换为用户ID与SQL语句的对应组合,包括:将会话ID与相应的HTTP会话令牌进行绑定;所述会话ID与所述用户ID具有对应关系;解析确定所述HTTP会话令牌对应的SQL语句,并利用所述会话ID与所述用户ID具有对应关系,获得所述对应组合。优选地,获取非法活动对应的非法ID集,包括:接收防火墙发送的所述非法ID集。优选地,当所述防火墙为NGAF时,所述接收防火墙发送的所述非法ID集,包括:接收所述NGAF在识别单个用户进行的恶意攻击行为而获得的所述非法ID集。一种数据库安全访问装置,包括:参考数据获取模块,用于获取标注了用户ID的用户行为数据,以及非法活动对应的非法ID集;对应组合获取模块,用于将各条所述用户行为数据转换为用户ID与SQL语句的对应组合;标签确定模块,用于利用所述非法ID集为各个所述对应组合添加标签;所述标签为合法标签或非法标签;访问控制模块,用于创建与具有所述标签的对应组合匹配的安全策略,并利用所述安全策略对数据库访问请求进行处理。一种数据库安全访问设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现如上述数据库安全访问方法的步骤。一种数据库安全访问系统,包括:数据库、如上述的数据库安全访问设备、业务系统、上网行为管理设备、客户端和NGAF;在所述业务系统和所述数据库之间部署所述数据库安全访问设备;所述业务系统包括Web应用服务器。一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述数据库安全访问方法的步骤。应用本申请实施例所提供的方法,获取标注了用户ID的用户行为数据,以及非法活动对应的非法ID集;将各条用户行为数据转换为用户ID与SQL语句的对应组合;利用非法ID集为各个对应组合添加标签;标签为合法标签或非法标签;创建与具有标签的对应组合匹配的安全策略,并利用安全策略对数据库访问请求进行处理。获得标注了用户ID的用户行为数据和非法ID集。然后,将用户行为数据转换为用户ID与SQL语句具有一一对应关系的对应组合。然后,利用非法ID集判断每一个对应组合的合法性,并为各个对应组合添加上合法标签或非标签。如此,便可创建出与具有标签的对应组合相匹配的安全策略,并基于该安全策略对数据库访问请求进行处理。相较于目前的仅基于防火墙的数据保障机制,本方法可在数据库管理设备上基于安全策略进行访问控制,以保障数据库的数据安全。相应地,本申请实施例还提供了与上述数据库安全访问方法相对应的数据库安全访问装置、设备、系统和可读存储介质,具有上述技术效果,在此不再赘述。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,本文档来自技高网...
【技术保护点】
1.一种数据库安全访问方法,其特征在于,包括:/n获取标注了用户ID的用户行为数据,以及非法活动对应的非法ID集;/n将各条所述用户行为数据转换为用户ID与SQL语句的对应组合;/n利用所述非法ID集为各个所述对应组合添加标签;所述标签为合法标签或非法标签;/n创建与具有所述标签的对应组合匹配的安全策略,并利用所述安全策略对数据库访问请求进行处理。/n
【技术特征摘要】
1.一种数据库安全访问方法,其特征在于,包括:
获取标注了用户ID的用户行为数据,以及非法活动对应的非法ID集;
将各条所述用户行为数据转换为用户ID与SQL语句的对应组合;
利用所述非法ID集为各个所述对应组合添加标签;所述标签为合法标签或非法标签;
创建与具有所述标签的对应组合匹配的安全策略,并利用所述安全策略对数据库访问请求进行处理。
2.根据权利要求1所述的数据库安全访问方法,其特征在于,利用所述安全策略对数据库访问请求进行处理,包括:
接收并解析所述数据库访问请求,获得目标会话ID和目标SQL语句;
利用所述安全策略,确定执行所述目标SQL语句是否合法;
若是,则执行所述目标SQL语句;若否,则终止访问。
3.根据权利要求2所述的数据库安全访问方法,其特征在于,利用所述安全策略,确定执行所述目标SQL语句是否合法,包括:
当所述安全策略包括具有所述合法标签的对应组合时,且在所述白名单中查询到所述目标会话ID与所述目标SQL语句的对应组合时,确定执行所述目标SQL语句合法;所述白名单包括标签为合法的所述对应组合;
或,当所述安全策略包括具有所述非法标签的对应组合时,且在所述黑名单中查询到所述目标会话ID与所述目标SQL语句的对应组合时,确定执行所述目标SQL语句非法;所述黑名单为包括标签为非法的所述对应组合。
4.根据权利要求1所述的数据库安全访问方法,其特征在于,所述获取标注了用户ID的用户行为数据,包括:
接收上网行为管理设备发送所述用户行为数据;其中,所述用户行为数据包括所述上网行为管理设备通过跟踪用户名而获得的应用程序对应各个所述用户ID对应的整个HTTP会话;
相应地,所述将各条所述用户行为数据转换为用户ID与SQL语句的对应组合,包括:
将会话ID与相应的HTTP会话令牌进行绑定;所述...
【专利技术属性】
技术研发人员:王良河,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。