本发明专利技术提出了一种实现审计防火墙探针SDK的方法及系统,涉及信息安全技术领域。通过依次创建代理接口对JDBC驱动接口进行继承,实现对JDBC驱动的全面代理。然后通过调用策略读取接口定期从策略配置文件中读取策略信息并加载到JAVA堆中进行缓存。最后调用审计接口,以根据策略信息对通过代理接口获取的SQL信息进行审计,得到审计结果发送给日志系统进行存储,实现审计防火墙功能。从而,在应用服务器上部署审计防护墙探针后,可通过探针采集到应用系统的SQL信息,并依据配置的策略信息对SQL访问进行告警、阻断等操作。从而无需做复杂的协议解析,即可对SQL进行审计并实现防火墙功能,更加简单、准确、高效。高效。高效。
【技术实现步骤摘要】
一种实现审计防火墙探针SDK的方法及系统
[0001]本专利技术涉及信息安全
,具体而言,涉及一种实现审计防火墙探针SDK的方法及系统。
技术介绍
[0002]防火墙(Firewall)是一个或一组组件构成的系统,它在网络连接的通道上执行访问控制策略,其功能的本质特征是隔离内外网络和对进出信息流实施访问控制,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外,以保护网络资源。
[0003]防火墙功能通常在链路层和网络层上实现。而在进行安全审计时,需要先捕获数据包,然后对数据包进行协议栈式的解析与还原,例如进行IP分片重组、TCP乱序重组等,从而对异常行为进行诊断、告警甚至阻断。但是这都是基于对数据进行了复杂的协议解析后实现的,过程繁复,对开发人员要求较高。
技术实现思路
[0004]本专利技术的目的在于提供一种实现审计防火墙探针SDK的方法及系统,通过在应用服务器上部署审计防护墙探针,通过探针采集到应用系统的SQL信息,并依据配置的策略信息对SQL访问进行告警、阻断等操作。从而无需做复杂的协议解析,即可对SQL进行审计并实现防火墙功能,更加简单、准确、高效。
[0005]本专利技术的实施例是这样实现的:
[0006]第一方面,本申请实施例提供一种实现审计防火墙探针SDK的方法,其包括:
[0007]创建审计防火墙探针工程,在工程下依次创建代理接口对Java运行环境的基础类库中的JDBC驱动接口进行继承,实现对JDBC接口的全面代理;
[0008]在代理接口类下创建实现策略读取接口,以定期从策略配置文件中读取策略信息并加载到JAVA堆中进行缓存;
[0009]在代理接口类下创建实现审计接口,根据上述策略信息对通过代理接口获取到的SQL信息进行审计,得到审计结果并发送给日志系统进行存储。
[0010]基于第一方面,在本专利技术的一些实施例中,上述代理接口包括获取连接接口、预编译接口、获取预编译对象接口、与执行SQL操作相关的接口以及结果集接口。
[0011]基于第一方面,在本专利技术的一些实施例中,上述在代理接口类下创建实现审计接口,根据上述策略信息对通过代理接口获取到的SQL信息进行审计,得到审计结果并发送给日志系统进行存储的步骤包括:
[0012]在代理接口类下创建实现审计接口,并获取用户当前执行的SQL语句信息;
[0013]在审计接口下调用策略匹配接口,将SQL语句信息与缓存的策略信息进行匹配并执行对应的动作,得到审计结果;
[0014]调用日志发送接口,将审计的SQL语句信息和对应的审计结果发送到指定的日志
系统中。
[0015]基于第一方面,在本专利技术的一些实施例中,上述在审计接口下调用策略匹配接口,将SQL语句信息与缓存的策略信息进行匹配并执行对应的动作,得到审计结果的步骤包括:
[0016]在审计接口下调用SQL元数据接口,获取SQL语句信息对应的元数据;
[0017]调用策略匹配接口,根据元数据匹配到SQL语句对应的策略表;
[0018]根据策略表中的策略信息对SQL语句进行判断,并执行策略对应的动作,得到审计结果。
[0019]基于第一方面,在本专利技术的一些实施例中,还包括:
[0020]将审计防火墙探针部署到应用服务器上,并进行相应配置,以对用户的异常访问行为进行告警和阻断。
[0021]基于第一方面,在本专利技术的一些实施例中,上述将审计防火墙探针部署到应用服务器上的步骤包括:
[0022]根据网络拓扑特性和网络节点的流量特性,,从网络节点中选取出关键节点;
[0023]在关键节点的应用服务器上分别部署审计防火墙探针。
[0024]基于第一方面,在本专利技术的一些实施例中,还包括:
[0025]对关键节点的应用服务器中的数据源配置信息进行对应修改,以利用审计防火墙探针实现对JDBC驱动的全面代理。
[0026]第二方面,本申请实施例提供一种实现审计防火墙探针SDK的系统,其包括:
[0027]驱动代理模块,用于对Java运行环境的基础类库中的JDBC驱动接口进行继承,实现对JDBC接口的全面代理;
[0028]策略读取模块,用于定期从策略配置文件中读取策略信息并加载到JAVA堆中进行缓存;
[0029]审计模块,用于根据上述策略信息对通过代理接口获取到的SQL信息进行审计,得到审计结果并发送给日志系统进行存储。
[0030]第三方面,本申请实施例提供一种电子设备,其包括存储器,用于存储一个或多个程序;处理器。当上述一个或多个程序被上述处理器执行时,实现如上述第一方面中任一项上述的方法。
[0031]第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述第一方面中任一项上述的方法。
[0032]相对于现有技术,本专利技术的实施例至少具有如下优点或有益效果:
[0033]本申请实施例提供一种实现审计防火墙探针SDK的方法及系统。首先,创建审计防火墙探针工程,在工程下依次创建代理接口对Java运行环境的基础类库中的JDBC驱动接口进行继承,实现对JDBC接口的全面代理。然后,在代理接口类下创建实现策略读取接口,以定期从策略配置文件中读取策略信息并加载到JAVA堆中进行缓存。最后,在代理接口类下创建实现审计接口,根据上述策略信息对通过代理接口获取到的SQL信息进行审计,得到审计结果并发送给日志系统进行存储。使用时,通过在应用服务器上部署审计防护墙探针,通过探针采集到应用系统的SQL信息,并依据配置的策略信息对SQL访问进行告警、阻断等操作。从而无需做复杂的协议解析,即可对SQL进行审计并实现防火墙功能,更加简单、准确、高效。
附图说明
[0034]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0035]图1为本专利技术提供的一种实现审计防火墙探针SDK的方法一实施例的流程框图;
[0036]图2为审计防火墙探针SDK的应用示意图;
[0037]图3为本专利技术提供的一种实现审计防火墙探针SDK的系统的结构框图;
[0038]图4为本专利技术实施例提供的一种电子设备的结构框图。
[0039]图标:1、存储器;2、处理器;3、通信接口;11、驱动代理模块;12、策略读取模块;13、审计模块。
具体实施方式
[0040]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种实现审计防火墙探针SDK的方法,其特征在于,包括:创建审计防火墙探针工程,在工程下依次创建代理接口对Java运行环境的基础类库中的JDBC驱动接口进行继承,实现对JDBC接口的全面代理;在代理接口类下创建实现策略读取接口,以定期从策略配置文件中读取策略信息并加载到JAVA堆中进行缓存;在代理接口类下创建实现审计接口,根据所述策略信息对通过代理接口获取到的SQL信息进行审计,得到审计结果并发送给日志系统进行存储。2.如权利要求1所述的一种实现审计防火墙探针SDK的方法,其特征在于,所述代理接口包括获取连接接口、预编译接口、获取预编译对象接口、与执行SQL操作相关的接口以及结果集接口。3.如权利要求1所述的一种实现审计防火墙探针SDK的方法,其特征在于,所述在代理接口类下创建实现审计接口,根据所述策略信息对通过代理接口获取到的SQL信息进行审计,得到审计结果并发送给日志系统进行存储的步骤包括:在代理接口类下创建实现审计接口,并获取用户当前执行的SQL语句信息;在审计接口下调用策略匹配接口,将SQL语句信息与缓存的策略信息进行匹配并执行对应的动作,得到审计结果;调用日志发送接口,将审计的SQL语句信息和对应的审计结果发送到指定的日志系统中。4.如权利要求3所述的一种实现审计防火墙探针SDK的方法,其特征在于,所述在审计接口下调用策略匹配接口,将SQL语句信息与缓存的策略信息进行匹配并执行对应的动作,得到审计结果的步骤包括:在审计接口下调用SQL元数据接口,获取SQL语句信息对应的元数据;调用策略匹配接口,根据元数据匹配到SQL语句对应的策略表;根据策略表...
【专利技术属性】
技术研发人员:唐更新,王晓峰,宋辉,赵卫国,
申请(专利权)人:北京中安星云软件技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。