1.一种数据库虚拟补丁防护方法,其特征在于,包括:
接收数据库厂商发布的补丁信息;
对打补丁前后的数据库进行机器指令逆向分析,将可执行文件中的二进制机器指令,通过逆向还原为汇编语言代码;
对汇编语言代码进行分析,将整个程序表示为不同的函数和函数之间相互调用关系,将一个二进制文件就转换为一张有向图,通过分析得到二进制文件反汇编后的调用关系和函数控制流图,通过计算控制流图中基本块数量、跳转边数以及调用其它函数个数,并生成该函数的签名,该函数的签名对应基本块数量、跳转边数以及调用其它函数个数;
根据函数签名对函数作为配对,根据配对函数和非配对函数,通过对非配对函数进行检查,定位引发安全漏洞的代码;
基于漏洞信息以及定位的引发安全漏洞的代码产生有效的攻击图,进行虚拟补丁防护规则构建。
2.如权利要求1所述的数据库虚拟补丁防护方法,其特征在于,根据函数签名选取相同或相似的函数作为配对的条件包括:满足条件(1),同时满足条件(2)或条件(3):
将数据库打补丁前后分别进行二进制逆向后,再分块,形成n个函数,打补丁前的分块结果为函数集合,打补丁后的分块结果为函数集合;
条件(1):存在第一函数属于打补丁前的函数集合,存在第二函数属于打补丁后的函数集合,且第一函数与第二函数签名相同;
条件(2):条件(1)中打补丁前的函数集合中,不存在第一函数外的其他函数签名与第二函数签名相同;
条件(3):条件(1)中打补丁后的函数集合中,不存在第二函数外的其他函数签名与第一函数签名相同;;
满足条件(1),同时满足条件(2)或条件(3)的函数为配对函数,通过对非配对函数进行检查,定位引发安全漏洞的代码。
3.如权利要求1所述的数据库虚拟补丁防护方法,其特征在于,基于漏洞信息产生有效的攻击图,进行虚拟补丁防护规则构建包括:
以开放漏洞数据库以及根据定位的引发安全漏洞的代码得到的漏洞信息为基础建立漏洞知识库;
将数据库的目标环境信息进行预处理,将环境信息按照谓词名称、属性进行分类,形成多个子目标环境项;
将目标环境存储在一个树形数据结构中;
根据目标环境将漏洞知识库中的攻击模式实例化为攻击图。
4.如权利要求1所述的数据库虚拟补丁防护方法,其特征在于,该树形数据结构包含4层节点:根节点、主机地址节点、谓词名称节点以及属性节点。