基于流量监测的数据库安全审计系统

2016-02-07 06:06◆林
网络安全技术与应用 2016年12期
关键词:数据库安全监听旁路

◆林 迅

(福富软件 福建 350001)

基于流量监测的数据库安全审计系统

◆林 迅

(福富软件 福建 350001)

本文针对Oracle数据库设计和实现了一种基于流量监测的安全审计系统,该系统采用旁路部署监听流量的方式,对被审计数据库不产生任何影响。本文主要介绍了基于Libpcap函数库实现网络数据包捕获与过滤,网络协议分析,数据库协议解析,用户操作信息提取等技术实现。

TNS协议;Libpcap;审计

0 引言

Oracle数据库面临的安全威胁分类两类:外部攻击和内部违规。外部攻击主要是指黑客利用互联网,通过Oracle客户端非法侵入数据库系统。由于Oracle数据库本身不提供对网络用户的审计记录功能,该类攻击在事后无法取证。内部违规是指内部人员越权操作Oracle数据库,由于Oracle数据库无法识别哪个网络用户冒充使用该账户,这类操作事后依然无法取证。因此,要提高Oracle数据库的安全保障,可以对协议层进行解析和研究,通过对流量的审计分析,在一定程度来解决数据库所面临的外部和内部的安全威胁。

1 TNS协议分析

Oracle数据库审计系统由流量采集模块、审计策略、报表展示等几个模块组成的。其中流量采集模块,采用的旁路监听的方式,捕获用户访问数据库的报文。捕获数据包的模块是基于Libpcap开发包,Libpcap是一个平台独立的网络数据捕获开发包,它是一个高层的编程接口,隐藏了操作系统的细节,可以捕获网络上的数据包[1]。Oracle数据库默认监听端口是1521,Oracle数据库客户端和服务端使用TNS协议进行通信,该协议是Net8协议体系的基础网络协议[2]。TNS协议在OSI七层模型中属于应用层,该协议对外不完全公开,每一版TNS协议都有差别。本系统通过对Oracle 11g数据库的TNS协议进行解析,完成从TNS协议包中提取操作行为和用户名的功能。TNS协议的结构表1所示。其中,Length是包的长度有包括包头8个字节,Type是数据包的类型,如表2所示。

表1 TNS协议包结构

表2 Type数据包类型

Oracle数据库客户端发起连接,服务端返回四种状态:接受、拒绝、重新发送、重定向连接【3】。若服务器返回拒绝本次连接结束;若服务器返回重新发送、重定向连接客户端重新发起连接;若服务器返回接受,客户端进入验证过程,验证失败服务器结束连接,验证成功客户端可以进行数据库操作,服务器响应用户的操作,如果发送了EOF,服务端将会主动关闭连接,整个过程结束。针对Oracle客户端建立连接查询的过程进行拆解,如图1所示[4]一个典型TNS登录会话过程。

图1 TNS会话

对TNS会话过程抓包分析,除报文采用的Oracle的机密机制对数据库进行加密之外,其它类型的报文都是采用TCP/IP协议的明文进行传输,包含源ip、目标ip、端口、服务标识sid、数据库账号、操作指令select、update、结束标识等信息。

由于TNS会话过程,大多采用明文进行传输,因此从TNS数据包中可以提取用户操作信息的方法,如表3所示[5]。

表3 TNS报文提取用户操作信息

针对TNS报文的分析方法,可以用编码实现对报文的解析,从TNS报文中提取用户操作的信息,满足对数据库安全审计系统的数据采集来源。

2 结束语

本文实现了基于流量监测的数据库安全审计,系统能实时记录用户对数据库的操作行为。文章涉及系统部署方式、网络抓包、TNS协议解析、用户操作信息提取等技术实现。本文以旁路监听的方式部署审计系统,对被审计数据库不产生任何影响,有效解决独立审计的问题,但是要完善数据库审计,不仅仅局限于旁路模式,还应该具有更多的混合审计模式相结合,可以更加灵活的满足不同业务的需求。

[1]Riverbed Technology.The WinPcap manual and tutoria l for WinPcap[EB/OL].[2013-04-20].http://www.winpcap.or g/docs/default.htm.

[2]Oracle Corporation.Architecture of Oracle Net Servies. Oraclegi Net Services Administrator’s Guide Release2(9.2):P artNumber A96580-02.

[3]TNS数据传输协议-进阶篇.http://blog.csdn.net/loydi a/article/details/51861534.

[4]Rick Wong.Oracle Net8 Administrator’s Guide Relea se 8.0.December,1997:Part No.A58230-01.

[5]杨磊,毕红军.基于旁路监听的数据库安全审计.计算机工程与应用,2015.

猜你喜欢
数据库安全监听旁路
旁路放风效果理论计算
英国风真无线监听耳机新贵 Cambridge Audio(剑桥)Melomania Touch
不停跳冠状动脉旁路移植术治疗非ST段抬高型心肌梗死效果分析
千元监听风格Hi-Fi箱新选择 Summer audio A-401
冠状动脉旁路移植术后早期心脏康复对预后的影响
管理信息系统中数据库安全实现方法
浅谈高速公路数据库安全审计
网络监听的防范措施
高职院校计算机网络安全研究与分析
高职院校计算机网络安全研究与分析