数据库入侵检测技术.ppt

* 但该机制也存在明显的缺陷： (1)只考虑了属性结构的稳定性，未考虑查询结构的稳定性； (2)只在内容上分析了用户对数据库访问，没有在时间上给予分析； (3)审计粒度过细，会严重降低的性能。 * SQL 注入检测可以分为在攻击前检查是否有SQL 注入漏洞和运行中检查是否遭 到了SQL 注入两种情况。对于第一种情况，可采用类似本文的SQL 注入检测软件工 具来进行检测或进行手工的检测；对于第二种情况，由于SQL 注入有一定的隐蔽性， 一般要查看系统的日志文件来判断。 * * * * * * * * 数据库入侵检测技术 SQL注入检测可以分为在攻击前检查是否有SQL注入漏洞和运行中检查是否遭到了SQL注入两种情况。 针对第一种情况，可采用基于关键字的SQL注入检测软件工具来进行检测或进行手工的检测； 针对第二种情况，由于SQL注入有一定的隐蔽性，一般要查看系统的日志文件来判断。 * 数据库入侵检测技术 基于关键字匹配的SQL注入攻击检测 从SQL语句语法结构出发，对SQL注入语句进行分析，并通过关键字对每种语法结构进行识别，提取出每种句式对应的关键字； 整理的关键字列表 * 数据库入侵检测技术 基于关键字匹配的SQL注入攻击检测 1，3，9 号关键字出现时可判定存在SQL注入行为。1号关键字表示SQL的字符串终结符，会产生一条包含网站服务器所使用数据库信息的错误；3号关键字表示SQL的注释符，可以注释掉后面的SQL语句，使得攻击者绕过身份验证获取数据库操作权限；9号关键字表示一个SQL语句的结束和另一个SQL语句的开始，会产生包含数据库信息的错误。这三个关键字不会出现在正常URL链接里，因此可以判定出现这三个关键字的URL来源方一定存在SQL注入行为。 其他关键字伴随1，3，9号关键字出现，且出现在“？”之后，则可判定存在其他关键字导致的SQL注入URL 链接中“？”后面开始是数据，涉及到数据库操作，因此要格外防范；其他关键字伴随1，3，9号关键字出现时，会被系统记录在案，作为后面入侵数据包危险级别分级依据；同时这些记录也是系统管理员安全分析的重要参考数据。 * 数据库入侵检测技术 基于关键词匹配的SQL注入攻击检测 使用网络数据包捕获模块捕获数据包； 在 TCP 包解析的过程中，过滤 HTTP 协议的 POST 包和 GET 包； 在这样的数据包字段中“POST”或“GET”字段和“HTP/1.1”字段之间的内容即为 URL 链接，获取该链接； 采取关键字匹配的方法来检测该URL连接是否包含SQL注入信息。如包含，则表示该数据包存在 SQL 注入； 对 SQL 注入侵包列表中的数据包信息进行进一步的统计和分析形成 SQL注入统计和分析表，统计是基于统一 IP 对的（即源 IP 和目的 IP 相同），在表中记录了入侵 IP 对的入侵次数，包含各个关键字的数据包的出现的个数，特别地，根据关键字造成的危害程度，设置了入侵级别 。 * 小结 数据库安全威胁：口令入侵、特权提升、漏洞入侵、SQL注入攻击、窃取备份 数据库安全机制：用户标识和鉴别、访问控制、数据库加密、数据库审计、备份与恢复 数据库入侵检测的研究现状及基于关键字的SQL注入攻击检测 * * * * 数据库系统一般都会为用户维护一个口令文档，并且口令文档是加密的。 * * server.mapPath(.mdb) 用搜索server.mapPath(.mdb)，可以得到很多采用access作为数据库的网站的数据库文件，如果没有采用md5加密的话，连管理员密码在内的所有信息都会暴露。 其实解决这个问题的方法也不复杂，最有效的方法之一就是隐藏这段语句，利用调用其他文件的方法来实现调用数据库。?首先需要建立一个内容为〈％ connstr=“DBQ=“+server.mappath(“data/data.mdb”)+”；DefaultDir=；DRIVER={Microsoft Access Driver (*.mdb)}；”?set conn=server.createobject(“ADODB.CONNECTION”)?conn.open connstr %的ASP文件。比如把这个文件命名为dbconn.asp。这样只要在需要调用数据库的ASP文件中加入!--#include file=“dbconn.asp”--就可以实现数据库的调用。如此，便实现了调用语段的隐藏，解决了被他人利用搜索引擎得到网站数据库的问题。? * * * * * * 数据库在操作系统中是以文件的形式管理，所以攻击者可以直接利用操作系统的漏洞窃取数据库文件，或者篡改数据库文件内容。 * 一般来说，一个良好的数据库加密系统应该满足以下基本要求： 1.支持各种粒度加密 2.良好的