本发明专利技术公开了一种基于数据库安全的远程防暴力破解方法,首先向管理中心注册,接收数据库安全策略,并自动检查当前数据库环境,获取数据库访问端口等信息,然后捕获所有远程IP与本地数据库端口之间有关账户校验的出站/入站通信数据包,最后对捕获的通信数据包进行分析,并根据捕获的信息执行对应的安全策略。该方法允许数据库安全管理人员能够自主制定安全策略,包括账户的合法性检测制定、账户锁定次数阀值、账户锁定时间,账户解锁方式多元化,使数据库账户的防暴力破解技术更加灵活适用。本发明专利技术通过添加了黑白名单功能,并结合相关安全策略,使数据库账户防暴力破解技术更加安全。
【技术实现步骤摘要】
一种基于数据库安全的远程防暴力破解方法
本专利技术涉及互联网安全领域,具体涉及一种基于数据库安全的远程防暴力破解方法。
技术介绍
随着计算机互联网技术的发展以及大数据时代的到来,各种数据信息系统的应用也越来也广泛。而数据库作为业务平台信息技术的基础核心,承载着数据信息的记录、存取、交互等的分析管理功能,逐渐成为国家公共安全单位以及企业组织等中最为重要的具有战略性的资产。数据库的安全稳定运行也直接决定着业务系统能否正常使用。并且平台的数据库中往往储存着等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业经济损失,重则影响企业形象,甚至行业、社会安全。可见,数据库的安全至关重要。数据库安全威胁主要涉及两个方面,一是内部方面的员工或管理运维员的权限的滥用,身份认证不足,违规操作等。二是来自外部的安全威胁,如数据库的平台漏洞,通信协议漏洞,SQL注入等。而当前网络不法黑客们根据数据库内外安全威胁对重要数据信息进行窃取时,最常见的便是采用远程暴力破解的攻击方式,通过账号密码库对或某些规律对数据库的账号密码进行暴力破解,进而获取权限,窃取、修改重要数据。
技术实现思路
为解决当前网络环境下最为流行的这种暴力破解的攻击模式,本申请提出了一种基于数据库安全的远程防暴力破解方法,通过下述技术方案实现:一种基于数据库安全的远程防暴力破解方法,包括如下步骤:S1、获取注册用户信息,并接收系统安全策略;S2、检测当前数据库环境,获取数据库访问端口信息;S3、设置IP地址黑白名单,捕获远程IP地址与数据库访问端口间的账号校验数据包;S4、分析捕获的校验数据包,提取有效数据信息并执行安全策略,其中有效数据信息包括IP地址、账户名和返回值。本方案的有益效果是,本方案添加了黑白名单功能,并结合相关安全策略,使数据库账户防暴力破解技术更加安全,同时允许数据库安全管理人员能够自主制定安全策略,账户解锁方式多元化,使数据库账户的防暴力破解技术更加灵活适用。进一步的,所述安全策略包括:数据库帐户类型、数据库帐户锁定阈值、数据库帐户锁定时间、数据库帐户重置计数器计数时间和解锁方式。上述进一步方案的有益效果是,建立了一整套从登录自动统计、自动锁定、自动解锁、自动重置的安全防护流程;保障了整个防护过程的完整性。进一步的,所述数据库帐户类型包括合法帐户和非法帐户,其中:合法帐户为账户名称位于数据库用户列表中的帐户;非法帐户为帐户名称不在数据库用户列表中的帐户。上述进一步方案的有益效果是,明确定义了数据库账户类型的概念,同时囊括了合法账户和非法账户。进一步的,所述数据库帐户锁定阈值为所述合法帐户或者非法帐户在数据库帐户重置计数器时间之内连续登陆失败次数的上限。上述进一步方案的有益效果是,将非数据库用户也纳入账户登录失败统计序列,有效杜绝了采用不同用户可反复尝试登录数据库的弊端。进一步的,所述数据库帐户锁定时间为远程IP地址触发安全策略且超过帐户锁定阈值后的锁定时间。上述进一步方案的有益效果是,明确定义了锁定数据库账户的前提条件,既要出发安全策略,同时还必须超过锁定阈值;同时定义了锁定时间段的范围,从触发安全策略被锁定,直到锁定时间到期自动解锁。进一步的,所述数据库重置计数器时间为远程IP地址触发安全策略且在设定时间内未超过账户锁定阈值时,清空失败登录次数的时间。上述进一步方案的有益效果是,明确定义了账户登录失败次数的重置时间和重置范围。进一步的,所述解锁方式包括自动解锁和手动解锁,其中:自动解锁为当远程IP地址锁定超过数据库预设锁定时间之后自动解锁;手动解锁为注册用户将被锁定IP地址上传至策略中心,由人工解锁。上述进一步方案的有益效果是,为用户提供了到期自动解锁和人工手动解锁两种解锁方式,增强了产品面对不同业务场景的适应能力。进一步的,所述校验数据包包括当前登录账户的IP地址、账户名以及返回值。上述进一步方案的有益效果是,严格定义了校验数据包的采集信息范围,从源IP地址、账户名、返回值三个层面,详细界定了账户锁定的关键因素,避免了误锁情况的发生。进一步的,所述执行安全策略的方法为:当检测到IP地址位于IP黑名单时,通过级防火墙拒绝此IP地址访问数据库;当检测到IP地址位于IP白名单时,该IP的所有登录失败行为均不会被记录;当IP地址不处于黑白名单时,则记录登录数据库的账户名和返回值;当检测到返回值为登录失败时,为该远程IP的相应账户创建登录失败记录,包括账户名称、登录失败时间、登录失败次数;若在重置计数器时间范围内,该远程IP的对应账户登录失败次数未超过账户锁定阈值,则清空该账户对应的登录失败次数记录;若在重置计数器时间范围内,该远程IP的对应账户登录失败次数超过账户锁定阈值,则客户端程序将自动锁定该IP地址,拒绝该IP地址对数据库的网络访问;登录成功或解锁成功的IP,将自动清空该IP相关的登录失败计数器。上述进一步方案的有益效果是,添加了黑白名单功能,并结合相关安全策略,使数据库账户防暴力破解技术更加安全。附图说明此处所说明的附图用来提供对本专利技术实施例的进一步理解,构成本申请的一部分,并不构成对本专利技术实施例的限定。在附图中:图1为本专利技术基于数据库安全的远程防暴力破解方法流程图。具体实施方式在下文中,可在本专利技术的各种实施例中使用的术语“包括”或“可包括”指示所专利技术的功能、操作或元件的存在,并且不限制一个或更多个功能、操作或元件的增加。此外,如在本专利技术的各种实施例中所使用,术语“包括”、“具有”及其同源词仅意在表示特定特征、数字、步骤、操作、元件、组件或前述项的组合,并且不应被理解为首先排除一个或更多个其它特征、数字、步骤、操作、元件、组件或前述项的组合的存在或增加一个或更多个特征、数字、步骤、操作、元件、组件或前述项的组合的可能性。在本专利技术的各种实施例中,表述“或”或“A或/和B中的至少一个”包括同时列出的文字的任何组合或所有组合。例如,表述“A或B”或“A或/和B中的至少一个”可包括A、可包括B或可包括A和B二者。在本专利技术的各种实施例中使用的表述(诸如“第一”、“第二”等)可修饰在各种实施例中的各种组成元件,不过可不限制相应组成元件。例如,以上表述并不限制所述元件的顺序和/或重要性。以上表述仅用于将一个元件与其它元件区别开的目的。例如,第一用户装置和第二用户装置指示不同用户装置,尽管二者都是用户装置。例如,在不脱离本专利技术的各种实施例的范围的情况下,第一元件可被称为第二元件,同样地,第二元件也可被称为第一元件。应注意到:如果描述将一个组成元件“连接”到另一组成元件,则可将第一组成元件直接连接到第二组成元件,并且可在第一组成元件和第二组成元件之间“连接”第三组成元件。相反地,当将一个组成元件“直接连接”到另一组成元件时,可理解为在第一组成元件本文档来自技高网...
【技术保护点】
1.一种基于数据库安全的远程防暴力破解方法,其特征在于,包括如下步骤:/nS1、获取注册用户信息,并接收系统安全策略;/nS2、检测当前数据库环境,获取数据库访问端口信息;/nS3、设置IP地址黑白名单,捕获远程IP地址与数据库访问端口间的账号校验数据包;/nS4、分析捕获的校验数据包,提取有效数据信息并执行安全策略,其中有效数据信息包括IP地址、账户名和返回值。/n
【技术特征摘要】
1.一种基于数据库安全的远程防暴力破解方法,其特征在于,包括如下步骤:
S1、获取注册用户信息,并接收系统安全策略;
S2、检测当前数据库环境,获取数据库访问端口信息;
S3、设置IP地址黑白名单,捕获远程IP地址与数据库访问端口间的账号校验数据包;
S4、分析捕获的校验数据包,提取有效数据信息并执行安全策略,其中有效数据信息包括IP地址、账户名和返回值。
2.根据权利要求1所述的一种基于数据库安全的远程防暴力破解方法,其特征在于,所述安全策略包括:数据库帐户类型、数据库帐户锁定阈值、数据库帐户锁定时间、数据库帐户重置计数器计数时间和解锁方式。
3.根据权利要求2所述的一种基于数据库安全的远程防暴力破解方法,其特征在于,所述数据库帐户类型包括合法帐户和非法帐户,其中:
合法帐户为账户为位于数据库用户列表中的帐户;
非法帐户为帐户为不在数据库用户列表中的帐户。
4.根据权利要求3所述的一种基于数据库安全的远程防暴力破解方法,其特征在于,所述数据库帐户锁定阈值为所述合法帐户或者非法帐户在数据库帐户重置计数器时间之内连续登陆失败次数的上限。
5.根据权利要求4所述的一种基于数据库安全的远程防暴力破解方法,其特征在于,所述数据库帐户锁定时间为远程IP地址触发安全策略且超过帐户锁定阈值后的锁定时间。
6.根据权利要求5所述的一种基于数据库安全的远程防暴力破解方法,其特征在于,所述数据库重置...
【专利技术属性】
技术研发人员:王晓娜,任鹏龙,邹自果,
申请(专利权)人:北京中软华泰信息技术有限责任公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。