数据库防泄露协议识别方法及装置的制造方法【
技术领域:
】[0001]本发明涉及信息安全领域,具体而言,涉及一种数据库防泄露协议识别方法及装置。【
背景技术:
】[0002]数据库是一种用于存载和管理数据信息的主要手段。通常,在数据库中集中存放着大量数据,且被众多用户共享。一旦存储于数据库中的数据被泄露或者被破坏,将使业务瘫痪、造成经济损失,甚至危及国家安全。因此,需要采取适当的保护措施对数据库中的数据的进行防护。[0003]事实证明,数据加密是保证数据安全,防止数据泄露的一种主要方法。欧美国家提供了一些用于数据加密的产品,但这些产品因各种已知和未知的原因无法保证其信息安全。而国内的数据库防护手段主要通过数据库安全审计技术实现,这种技术虽然可以在一定程度上防止类似外部黑客攻击导致的数据泄露但对于例如数据库管理员、业务人员或外包工程技术人员等具备数据库管理与使用权限的内部人员的数据泄露却无法彻底预防与控制。[0004]目前,在信息安全领域,数据加密技术主要包括全数据加密、字段级数据加密等加密技术,这些技术均存在一定缺陷与不足。[0005]1、全数据加密技术的主要问题在于,现有的全数据加密技术通常会造成数据库性能急剧下降。而随着云计算、大数据、物联网、移动互联网等新兴IT技术的广泛应用,数据量呈的爆发式增长,全量数据加密技术已无法适应数据库的应用发展和安全需求。[0006]2、敏感字段级数据加密技术的主要问题在于,在对敏感字段进行加密后,如果进行例如:数据联合(Union)、连接计算(Join)、汇总(Summary)、条件(Where)查询等操作时,数据处理会因加密而出现问题。[0007]3、在对数据进行加密后,业务应用访问加密数据时存在权限识别问题。[0008]4、通用性差,现有的数据加密技术,在对数据进行加密处理后,支持的数据库类型和操作有限的问题。[0009]针对上述的问题,目前尚未提出有效的解决方案。【
发明内容】[0010]本发明实施例提供了一种数据库防泄露协议识别方法及装置,以至少解决由于无法对IP报文所属的协议类型进行自动识别,导致的数据加密技术通用性差的技术问题。[0011]根据本发明实施例的一个方面,提供了一种数据库防泄露协议识别方法,包括:按照预先设置的识别规则,提取用于访问数据库的IP报文的协议指纹;将协议指纹与预先设置的至少一个协议指纹集合进行匹配,确定IP报文的协议类型;获取与协议类型对应的验证规则集合;将验证规则集合中的各条协议验证规则与IP报文进行匹配,验证IP报文的协议类型。[0012]根据本发明实施例的另一方面,还提供了一种数据库防泄露协议识别装置,包括:提取模块,用于按照预先设置的识别规则,提取用于访问数据库的IP报文的协议指纹;匹配模块,用于将协议指纹与预先设置的至少一个协议指纹集合进行匹配,确定IP报文的协议类型;第一获取模块,用于获取与协议类型对应的验证规则集合;验证模块,用于将验证规则集合中的各条协议验证规则与IP报文进行匹配,验证IP报文的协议类型。[0013]在本发明实施例中,采用按照预先设置的识别规则,提取用于访问数据库的IP报文的协议指纹;将协议指纹与预先设置的至少一个协议指纹集合进行匹配,确定IP报文的协议类型;获取与协议类型对应的验证规则集合;将验证规则集合中的各条协议验证规则与IP报文进行匹配,验证IP报文的协议类型的方式,从而实现了在网络协议通信的初期,通过对IP报文中提取的协议指纹进行自动识别,并确定该IP报文所属的协议类型。并进一步采用验证规则集合验证上述识别结果的正确性的技术效果,进而解决了由于无法对IP报文所属的协议类型进行自动识别,导致的数据加密技术通用性差的技术问题。【附图说明】[0014]此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:[0015]图1是根据本发明实施例的一种可选的数据库防泄露协议识别方法的流程图;[0016]图2是根据本发明实施例结合实际应用的一种可选的数据库防泄露协议识别方法的流程图;[0017]图3是根据本发明实施例的一种可选的数据库防泄露协议识别方法的流程图;[0018]图4是根据本发明实施例的一种可选的包含用户特征唯一码的AIP数据结构示意图;[0019]图5是根据本发明实施例的一种可选的层状授权认证模型的结构示意图;[0020]图6是根据本发明实施例的一种可选的用户唯一特征码结构示意图;[0021]图7是根据本发明实施例的一种可选的特征提取及数据库防泄露协议识别的流程示意图;[0022]图8是本发明实施例中的TDS协议的固定包头格式的示意图;[0023]图9是本发明实施例中的MSRPC协议的固定包头格式的示意图;[0024]图10是根据本发明实施例的一种可选的SQL协议指纹的验证规则集合;[0025]图11是根据本发明实施例的一种可选的TDS协议指纹的验证规则集合;[0026]图12是根据本发明实施例的一种基于并行DistributedHashtable协议指纹匹配的流程示意图;[0027]图13是根据本发明实施例的一种基于并行DistributedHashtable协议指纹匹配示意图;[0028]图14是根据本发明实施例的一种基于并行DistributedHashtable协议指纹匹配示意图;[0029]图15是根据本发明实施例的一种可选的并行Bloom过滤器组的数据流窗口示意图;[0030]图16是根据本发明实施例的一种可选的数据库防泄露协议识别装置的示意图;[0031]图17是根据本发明实施例的一种可选的数据库防泄露协议识别装置的示意图;[0032]图18是根据本发明实施例的一种可选的数据库防泄露协议识别装置的示意图;[0033]图19是根据本发明实施例的一种可选的数据库防泄露协议识别装置的示意图;以及[0034]图20是根据本发明实施例的一种可选的数据库防泄露协议识别装置的示意图。【具体实施方式】[0035]为了使本
技术领域:
的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。[0036]需要说明的是,本发明的说明书和权利要求书及上述附图中的术语"第一"、"第二"等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语"包括"和"具有"以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。[0037]根据本发明实施例,提供了一种数据库防泄露协议识别方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。[0038]图1是根据本发明实施例的数据库防泄露协议识别方法的流程图,如图1所示,该方法包括如下步骤:[0039]步骤S22,按照预先设置的识别规则,提取用于访问数据库的IP报文的协议指纹;[0040]步骤S24,将协议指纹与预先设置的至少一个协议指纹集合进行匹配,确定IP报文的协议类型;[0041]步骤S26,获取与协议类型对应的验证规则集合;[0042]步骤S28,将验证规则集合中的各条协议验证规则与IP报文进行匹配,验证IP报文的协议类型。[0043]具体的,在上述步骤S22至步骤S28中,首先通过提取IP报文中的协议指纹,并利用多模式匹配算法将协议指纹与预先设置的协议指纹集合中的各个协议指纹样本进匹配,从而初步确定IP报文所述的协议类型。然后,利用与初步确定的协议类型对应的验证规则集合中的各条协议验证规则,对IP报文进行匹配。当IP报文与该验证规则集合中的各条协议验证规则进行匹配时,最终确定IP报文的协议类型。[0044]在实际应用当中,如图2所示,在用于SQL业务访问的IP报文中,包含业务应用本体特征(即操作指令)和数据库认证信息(即报文属性)。首先采用CPI(ContentPacketInspection,数据包内容检测和分析技术)技术,从IP报文中获取附加的用户特征码信息(例如:用户特征唯一码、业务中间件IP地址,业务中间件主机MAC地址等)以及数据库认证信息(用户名称和密码等),然后从层状授权认证模型库中提取预先定义的协议指纹集合和验证规则集合中的各条协议验证规则进行数据匹配,从而确认SQL访问的合法性。其中,用户特征唯一码是通过系统在封装IP报文时,为当前用户生成的特征唯一码,可以采用属性密码算法,利用访问的目标端口、目标IP地址以及用户标识(如:源手机号、源MAC地址、源IP地址等)对用户特征唯一码继续动态生成。[0045]通过上述步骤,可以实现在网络协议通信的初期,通过对IP报文中提取的协议指纹进行自动识别,并确定该IP报文所属的协议类型。并进一步采用验证规则集合中的各条协议验证规则验证上述识别结果的正确性。从而解决了现有技术中,由于无法对IP报文所属的协议类型进行自动识别,导致的数据加密技术通用性差的问题。[0046]作为一种可选的实施方式,在实际应用当中,在利用多模式匹配算法将协议指纹与预先设置的协议指纹集合中的各个协议指纹样本进匹配之前,先按协议指纹偏移对所有协议指纹进行分类,并分别建立哈希表。其中,对于每一类协议指纹,可以从IP报文的载荷相应偏移处开始,依次对前i(1,2,3···i)个字节进行哈希处理,同时检查哈希表子链。当在子链非空情况下对子当前第1页1 2 3 4 5