本发明专利技术涉及信息安全技术领域,旨在提供一种数据库内核入侵隐藏触发器的探测方法及系统。该方法是通过正常途径获取数据库触发器列表,用底层方法获取的数据库触发器列表;将正常途径获取的触发器列表和用底层方法获取的触发器列表进行对比,找出正常途径获取不到的数据库触发器列表,即为隐藏的触发器列表;然后生成扫描报告,将隐藏的触发器列表提供给用户。本发明专利技术对比正常途径获取数据库触发器列表和底层方法获取数据库触发器列表,能够发现数据库入侵后被黑客隐藏的数据库触发器,并提供详细的扫描报告,使数据库管理员能及时修复数据库排除数据库安全隐患。
【技术实现步骤摘要】
本专利技术涉及信息安全
具体涉及数据库系统的内核入隐藏触发器的探测,特别是一种提高数据库系统安全的新型扫描检测方法及其系统。
技术介绍
当前的数据库安全风险扫描软件主要检测数据库系统配置风险和数据库软件本身的安全漏洞。数据库配置风险就是各种权限的分配不当以及用户管理不当、弱口令等,比如某个危险的存储过程执行权限分配给了公共角色,公共角色的成员就可能利用这个存储过程来进行提权操作。这类风险可以通过用户正确配置数据库来消除。数据库软件本身的安全漏洞是指数据库开发厂商在软件开发过程中由于考虑不周使软件产生了安全漏洞,例如各种缓冲区溢出漏洞、系统对象SQL注入漏洞。这类漏洞只能靠升级数据库或给数据库打补丁来解决。 但是当前的数据库安全风险扫描软件无法检测黑客入侵对数据库造成的损害,黑客入侵数据库后往往会通过篡改内核对象隐藏一些数据库对象,比如隐藏黑客自己创建的触发器,利用这些隐藏触发器,黑客就可以隐蔽的收集信息,而不被数据库管理员发现。这类风险更隐蔽,危害更大。如果发现有隐藏的数据库触发器,基本可以断定数据库已经被入侵了,并且一些内核对象已经被篡改,需要管理员及时修复数据库。
技术实现思路
本专利技术要解决的技术问题是,克服现有技术中的不足,提供一种数据库内核入侵隐藏触发器的探测方法及系统。为解决技术问题,本专利技术的解决方案是提供一种数据库内核入侵隐藏触发器探测方法,是通过正常途径获取数据库触发器列表,用底层方法获取的数据库触发器列表;所述正常途径获取数据库触发器列表,包括以下步骤(I)连接数据库;(2)通过数据库提供的视图或命令得到对应的触发器列表;所述用底层方法获取数据库触发器列表,包括以下步骤(I)连接数据库;(2)访问底层系统表或二进制文件;(3)获取对应的触发器列表;将正常途径获取的触发器列表和用底层方法获取的触发器列表进行对比,找出正常途径获取不到的数据库触发器列表,即为隐藏的触发器列表;然后生成扫描报告,将隐藏的触发器列表提供给用户。本专利技术中,所述数据库触发器是指当数据库某一特定事件(比如INSERT)发生时能自动执行的一段代码。进一步地,本专利技术还提供了一种实现前述方法的数据库内核入侵隐藏触发器的探测系统,该系统包括用于通过正常途径获取数据库触发器列表的扫描模块、用于通过底层方法获取数据库触发器列表的底层探测模块,以及用于将两个触发器列表进行对比并得出隐藏触发器的对比模块;所述扫描模块连接至数据库,所述底层探测模块连至数据库或数据库所在服务器;所述对比模块与扫描模块和底层探测模块相连。本专利技术的有益效果在于本专利技术对比正常途径获取数据库触发器列表和底层方法获取数据库触发器列表,能够发现数据库入侵后被黑客隐藏的数据库触发器,并提供详细的扫描报告 ,使数据库管理员能及时修复数据库排除数据库安全隐患。附图说明图I是数据库内核入侵隐藏触发器探测系统工作原理图。图2是数据库内核入侵隐藏触发器探测系统扫描探测过程工作流程图。具体实施例方式首先需要说明的是,本专利技术涉及数据库技术,是计算机技术在信息安全
的一种应用。在本专利技术的实现过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、准确理解本专利技术的实现原理和专利技术目的以后,在结合现有公知技术的情况下,本领域技术人员完全可以运用其掌握的软件编程技能实现本专利技术。前述软件功能模块包括但不限于扫描模块、底层探测模块、对比模块等,凡本专利技术申请文件提及的均属此范畴,申请人不再一一列举。本专利技术中数据库内核入侵隐藏触发器的探测系统,包括用于通过正常途径获取数据库触发器列表的扫描模块、用于通过底层方法获取数据库触发器列表的底层探测模块,以及用于将两个触发器列表进行对比并得出隐藏触发器的对比模块;所述扫描模块连接至数据库,所述底层探测模块连至数据库或数据库所在服务器;所述对比模块与扫描模块和底层探测模块相连。本专利技术的实现原理是首先通过正常途径访问数据库,获取数据库对应触发器的列表,然后通过底层探测模块获取数据库的实际触发器列表,最后有对比模块对比两个触发器列表找出隐藏的对象,如发现有隐藏触发器,就在扫描报告里列出被隐藏触发器的清单,并提出修补建议。以下是数据库内核入侵隐藏触发器探测系统典型的实施案例假设要对一个0RACLE10G数据库进行内核入侵隐藏数据库触发器探测。首先要模拟黑客对数据库系统内核对象进行入侵篡改(I)用sys用户登录数据库。(2)创建名称为’ HACKER_TRIGGER’的触发器。(3)对ALL_TRIGGER和DBA_TRIGGER视图进行更改,在视图代码中加上andtrigobj. name!=’ HACKER_TRIGGER’。然后使用数据库内核入侵隐藏对象探测方法进行探测(I)访问oracle数据库的ALL_TRIGGER和DBA_TRIGGER视图,通过正常途径获取触发器列表.(2)然后访问数据库的底层系统表sys. 013」$和sys. trigger$,获取数据库真实的触发器列表。(3)对比两个触发器列表,会发现通过正常途径获取的触发器里不存在HACKER_TRIGGER,而比通过访问底层系统表发现有HACKER_TRIGGER触发器,名称为HACKER_ TRIGGER的触发器就是被隐藏的触发器,黑客通过篡改了 ALL_TRIGGER或DBA_TRIGGER视图隐藏了该触发器。生成扫描报告,将被隐藏的触发器列表和修复建议提供给当前用户。扫描和对比完成后,根据扫描报告就可以发现数据库有哪些隐藏的触发器,数据库管理员根据该报告删除或监控隐藏的触发器,并修复相应被篡改数据库内核对象。权利要求1.一种数据库内核入侵隐藏触发器的探测方法,其特征在于,包括通过正常途径获取数据库触发器列表,用底层方法获取的数据库触发器列表; 所述正常途径获取数据库触发器列表,包括以下步骤 (1)连接数据库; (2)通过数据库提供的视图或命令得到对应的触发器列表; 所述用底层方法获取数据库触发器列表,包括以下步骤 (1)连接数据库; (2)访问底层系统表或二进制文件; (3)获取对应的触发器列表; 将正常途径获取的触发器列表和用底层方法获取的触发器列表进行对比,找出正常途径获取不到的数据库触发器列表,即为隐藏的触发器列表;然后生成扫描报告,将隐藏的触发器列表提供给用户。2.根据权利要求1所述的方法,其特征在于,所述述数据库触发器是指当数据库某一特定事件发生时能自动执行的一段代码。3.一种用于实现权利要求1所述方法的数据库内核入侵隐藏触发器的探测系统,其特征在于,该系统包括 用于通过正常途径获取数据库触发器列表的扫描模块、用于通过底层方法获取数据库触发器列表的底层探测模块,以及用于将两个触发器列表进行对比并得出隐藏触发器的对比丰旲块; 所述扫描模块连接至数据库,所述底层探测模块连至数据库或数据库所在服务器;所述对比模块与扫描模块和底层探测模块相连。全文摘要本专利技术涉及信息安全
,旨在提供一种数据库内核入侵隐藏触发器的探测方法及系统。该方法是通过正常途径获取数据库触发器列表,用底层方法获取的数据库触发器列表;将正常途径获取的触发器列表和用底层方法获取的触发器列表进行对比,找出正常途径获取不到的数据库触发器列表,即为隐藏的触发器本文档来自技高网...
【技术保护点】
一种数据库内核入侵隐藏触发器的探测方法,其特征在于,包括:通过正常途径获取数据库触发器列表,用底层方法获取的数据库触发器列表;?所述正常途径获取数据库触发器列表,包括以下步骤:(1)连接数据库;(2)通过数据库提供的视图或命令得到对应的触发器列表;所述用底层方法获取数据库触发器列表,包括以下步骤:(1)连接数据库;(2)访问底层系统表或二进制文件;(3)获取对应的触发器列表;将正常途径获取的触发器列表和用底层方法获取的触发器列表进行对比,找出正常途径获取不到的数据库触发器列表,即为隐藏的触发器列表;然后生成扫描报告,将隐藏的触发器列表提供给用户。
【技术特征摘要】
【专利技术属性】
技术研发人员:范渊,杨永清,刘海卫,
申请(专利权)人:杭州安恒信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。