石蒙蒙

【摘要】數據庫防火墻系統(tǒng)，是一種基于數據庫協(xié)議分析與控制技術的數據庫安全防護系統(tǒng)，本文通過分析歷年的涉及到的數據庫防火墻的專利申請技術，從靜態(tài)防御技術、動態(tài)防御技術兩個方面對數據庫防火墻的專利技術進行統(tǒng)計分析。

【關鍵字】DBFirewall 數據庫防火墻 WEB服務器 SQL注入攻擊

一、引言

數據庫防火墻系統(tǒng)，是一種基于數據庫協(xié)議分析與控制技術的數據庫安全防護系統(tǒng)，其被部署于應用服務器和數據庫之間，是針對關系型數據庫保護需求應運而生的一種數據庫安全主動防御技術，主要應用于以數據庫為基礎的經濟、金融、醫(yī)療等領域。

數據庫防火墻本質上是一種介于應用程序和數據庫之間的代理服務器，應用程序連接到數據庫防火墻并像正常連接到數據庫那樣發(fā)送查詢，數據庫防火墻分析預期的查詢，如果認為是安全的，就將它傳遞給數據庫服務器加以執(zhí)行，反之，如果認為是惡意的，就阻止運行該查詢。數據庫防火墻通過SQL協(xié)議分析，根據預定義的禁止和許可策略讓合法的SQL操作通過，阻止非法違規(guī)操作，形成數據庫的外圍防御圈，實現(xiàn)SQL危險操作的主動預防、實時審計。

二、數據庫防火墻技術專利的主要分類與應用分析

數據庫防火墻采用網絡防火墻中的包過濾技術，主要在過濾規(guī)則上進行改進?；谏鲜鲆?guī)則策略，數據庫防火墻技術可以具有以下分支：靜態(tài)防御技術、動態(tài)防御技術，其中對動態(tài)防御技術進行細分，又主要具有以下分支：基于統(tǒng)計分析的動態(tài)防御技術、基于語義分析的動態(tài)防御技術。

2.1靜態(tài)防御技術

數據庫防火墻模型中的簡單的規(guī)則匹配屬于靜態(tài)防御技術，基于此類規(guī)則的數據庫防火墻模型提供的防護程度相比網絡防火墻有所提升，由于靜態(tài)防御技術屬于數據庫防火墻中的基本防御技術，因此涉及到此方面的專利文獻非常多，例如專利文獻CN101370008A、CN101425937A、CN101448007A、CN102104601A等都是基于規(guī)則匹配的方式進行防御。但是基于規(guī)則的配置及使用都極為不便，基于靜態(tài)防御的方法也并不是“智能的”和“動態(tài)的”，只能檢測到允許或者組織特定規(guī)則的數據包，因此基于靜態(tài)防御的數據庫防火墻的防護能力有限。

2.2動態(tài)防御技術

動態(tài)防御技術通過對基于規(guī)則匹配的靜態(tài)防御技術加以改進，通過采用經驗值累加的統(tǒng)計分析、語義分析等智能分析的技術，對數據庫防火墻的攻擊進行識別，從而達到捕獲SQL注入攻擊和提高防火墻防御能力的目的。

2.2.1基于統(tǒng)計分析的動態(tài)防御技術

基于統(tǒng)計分析的動態(tài)防御技術中，常見的統(tǒng)計方式為統(tǒng)計攻擊行為次數和攻擊行為的經驗值。基于經驗值的行為分析是對基于規(guī)則匹配的改進，對不同的特征指定權值，對每一個操作計算風險值，即從異常的行為中提取出具有代表性的特征來作為識別異常行為的標識。如對于某一操作分別取出操作主體、操作客體、操作類型以及操作結果的經驗值，將四項相乘得到此操作的風險值。

例如，申請人為IBM，公開號為US2008/0172347A1的專利申請，其公開了一種使用專家系統(tǒng)來決定是否變更防火墻配置的方法，所述專家系統(tǒng)接受與防火墻相關的信息包所在的信息流，專家系統(tǒng)預先定義信息流數據的風險值。專家系統(tǒng)使用確定的風險值來決定與信息包相關的總的風險值。最后，專家系統(tǒng)產生基于總的風險值的建議措施，如根據信息流中的規(guī)則集允許或者禁止所述信息流。

2.2.2基于語義分析的動態(tài)防御技術

基于語義分析的動態(tài)防御技術是指通過進行對攻擊語句語義分析，即通過進一步的拆解SQL語句，分析語句的直接的含義分析得到潛在的SQL攻擊的技術，該技術可以有效的避免被人精心構造的SQL語句對于數據庫的攻擊。

例如，申請人為北京啟明星辰信息技術股份有限公司，公開號為CN101901219A的專利申請，其公開了一種數據庫注入攻擊檢測方法及系統(tǒng)，該方法包括：通過對數據庫歷史訪問記錄進行自學習，對所述歷史訪問記錄進行自學習的步驟：設置所述歷史訪問記錄；對所述歷史訪問記錄中的每條記錄進行SQL語句解析，提取SQL模板；建立所述訪問行為模式庫，接收數據庫實時訪問；根據訪問行為模式庫，判斷實時訪問是否為注入攻擊，獲得判斷結果。

三、結束語

目前所采用的數據庫防火墻技術，基于規(guī)則匹配的靜態(tài)防御技術是最基本的防御技術，而基于智能分析的動態(tài)防御技術通過基于經驗值分析和語義分析等方式，通過對數據庫防火墻的攻擊語句加以識別和分析，從而達到捕獲SQL注入攻擊的目的。在大數據時代的今天，具有由靜態(tài)防御技術發(fā)展到動態(tài)防御技術的趨勢，動態(tài)防御技術仍然有很大的發(fā)展空間。