[发明专利]一种防御黑客对数据库慢速撞库或爆破攻击的方法及系统

权利要求书

1.一种防御黑客对数据库慢速撞库或爆破攻击的方法，其特征在于：所述方法包括如下步骤：

S1、开启并设置数据库日志，开启数据库日志审计功能，且能被当前系统用户调取；

S2、使用管理员账号登入数据库，分别建立IP锁定表与禁止用户登入表，所述IP锁定表与禁止用户登入表含有字段；

S3、分析并提取数据库日志文件，使用数据库语言读取并分析日志，通过抓取日志中的字段生成临时表，并根据规则更新IP锁定表与禁止用户登录表；

S4、编写存储过程，所述编写存储过程包括声明变量、设置表格式、获取IP函数、设置阀值、update更新表操作、逻辑判断与计算、用户登入失败的更新、邮件警报内容及格式设定、smg弹窗动作脚本内容以及上班时间发送报警规则；

S5、检查当前登录IP与用户是否存在数据库表login.DisableIP、login_Disableuser中，如果存在该表中则禁止登录，反之则允许登录。

2.如权利要求1所述防御黑客对数据库慢速撞库或爆破攻击的方法，其特征在于：步骤S2中所述字段包括IP锁定表字段和禁止用户登录表字段，所述IP锁定表字段包括IP、创建日期、是否锁定、最后登录日期；禁止用户登录表字段包括用户ID、创建日期、是否锁定以及最后登录日期。

3.如权利要求1所述防御黑客对数据库慢速撞库或爆破攻击的方法，其特征在于：所述存储过程设有存储过程逻辑规则，所述存储过程逻辑规则包括：

定义变量24小时：在声明变量、开始时间的同时设置区间为24小时；

出错5次阀值锁定：IP登录在24小时内失败5次，则插入IP锁定表，锁定当前登录的IP；

出错1000次锁定：从前端用户登录日志中提取最近24小时相应登录出错的用户，累计阀值达到1000次，则将用户更新至用户黑名单中；

邮件及短信报警：用于提前定义并设置好规则，包括设置好邮件的标题、发送的内容及格式、相关发件人地址、收件人地址，其中邮件的内容信息直接从数据库中抓取；

更新表：将满足条件的异常IP与数据库用户进行更新至login_Disableuser以及login_DisableIP，此处更新的表即为黑名单IP和用户；

上班时间设置：用于防止非上班时间有黑客入侵或其他异常用户登录，之所以设置为非工作时间，是出于上班时间有相关人员值守，主体语句为

If not(Datepart(Hour,getdate())≥8and DATEPART(Hour,getdate())≤17begin。

4.一种防御黑客对数据库慢速撞库或爆破攻击的系统，其特征在于：所述系统包括登录信息模块以及登录调用触发器，其中，

所述登录信息模块通过数据存储过程转换，将符合条件的IP信息与用户信息保存至数据表中，生成黑名单明细；

所述登录调用触发器用于检查当前的IP与用户是否存在相关的黑名单中，

用户通过登录信息模块登录到数据库时，数据库开启并设置数据库日志，通过存储过程转换生成数据库临时表，根据存储过程逻辑规则生成并保存符合条件的IP与用户表；用户在登录数据库后，系统会通过登录调用触发器查询存储过程生成的IP与用户表，通过检查匹配当前的IP与用户是否存在相关的黑名单中，如果在黑名单中则禁止登录，如果不在黑名单中则登录成功。

5.如权利要求4所述的防御黑客对数据库慢速撞库或爆破攻击的系统，其特征在于：所述用户登录到数据库包括用户输入登录指令，Sqlserver开始验证以及登录调用触发器开始验证，将验证结果写入数据库登录日志中并生成登录日志。

6.如权利要求4所述的防御黑客对数据库慢速撞库或爆破攻击的系统，其特征在于：所述存储过程包括用户登录数据库之后，系统通过日志工具读取数据库登录日志，按照存储逻辑规则生成临时表，所述临时表经过存储逻辑规则更新为正式表。

7.如权利要求4所述的防御黑客对数据库慢速撞库或爆破攻击的系统，其特征在于：所述系统调用登录触发器的过程包括所述系统根据用户登录行为检查正式表并记录登录结果。

8.如权利要求7所述的防御黑客对数据库慢速撞库或爆破攻击的系统，其特征在于：所述记录登录结果包括当检查匹配当前的IP与用户存在黑名单中，则禁止登录，如果不在黑名单中则登录成功，对应将对用户显示登录失败，失败时间触发后，系统自动向管理员发送报警邮件或信息。