[发明专利]一种防御黑客对数据库慢速撞库或爆破攻击的方法及系统

说明书

本发明提供了一种防御黑客对数据库慢速撞库或爆破攻击的方法及系统，包括登录信息模块以及登录调用触发器，通过开启并设置数据库日志，开启数据库日志审计功能，且能被当前系统用户调取；使用管理员账号登入数据库，分别建立IP锁定表与禁止用户登入表，所述IP锁定表与禁止用户登入表含有字段；分析并提取数据库日志文件，使用数据库语言读取并分析日志，通过抓取日志中的字段生成临时表，并根据规则更新IP锁定表与禁止用户登录表；编写存储过程，检查当前登录IP与用户是否存在数据库表login.DisableIP、login_Disableuser中，如果存在该表中则禁止登录，反之则允许登录，本发明对登录的数据库用户及登录IP的合法性确认，防止数据库被非法爆破及攻击。

技术领域

本发明涉及软件程序技术领域，尤其是涉及一种防御黑客对数据库慢速撞库或爆破攻击的方法及系统。

背景技术

随着互联网的不断发展，各种黑客攻击事件不断，而数据库服务器一直是各国黑客攻击的重点对象。在中国广大中小企业，不论是SQL Server、Oracle、 My SQL数据库，默认的最高管理员用户sa、system、sys、root。这些管理员账号由于多种原因一直未及时修改或重命名，而默认的管理员账号拥有数据库最高权限，从而成为黑客爆破的首选。

传统的防火墙JunIPer、启明星辰等无IPS与WAF模块，根本无法抵御数据库爆破攻击。而现在下一代防火墙(深信服、Checkpoint)，虽然有IPS、漏洞防护模块及功能，但只能抵御高速(60次/秒)以上爆破攻击。面对低速或匀速攻击，以及不断更换IP的攻击根本无法识别并拦截。因为该行为与正常业务登录高度相似，而数据库本身只做身份验证，缺乏有效防护措施及手段。此时，数据库直接暴露在黑客面前，任其爆破及猜测。

传统的数据库登录日志，只有出现相关错误信息时，DBA(数据库管理员) 才查看具体细节。其中登录信息中包含相关IP、连接用户、连接日期，能否将这些零散的登录信息整理、提炼并生成相关的数据，作为登陆的一个验证凭证，尤其是短时间内频繁出错的IP与用户，通过编写存储过程与脚本将短时间内频繁登录数据库错误的用户与IP搜集并整理，生成相关记录，并作为第二次身份验证的关卡与凭证。

而黑客与非法用户对数据库的爆破攻击，必将在短时间内出现多次用户与密码登录失败。而相关的信息会被数据库登录日志记录。而我们的第二层关卡保护程序是通过提炼登陆日志而成。从而这些非法的黑客连接会被数据保护程序第二层身份关卡识别并拦截。因而对黑客的登录IP限制其连接数据库，对非法的用户进行锁定，最终有效保护数据库，防止数据泄漏。

基于上述一系列的问题，遂有以下技术方案的产生。

发明内容

本发明的目的在于提供一种防御黑客对数据库慢速撞库或爆破攻击的方法及系统，弥补传统病毒防御系统空白的数据库安全防护程序，对登录的数据库用户及登录IP的合法性确认，防止数据库被非法爆破及攻击。

为实现上述目的，本发明提供了以下技术方案：

本发明提供的一种防御黑客对数据库慢速撞库或爆破攻击的方法，所述方法包括如下步骤：

S1、开启并设置数据库日志，开启数据库日志审计功能，且能被当前系统用户调取；

S2、使用管理员账号登入数据库，分别建立IP锁定表与禁止用户登入表，所述IP锁定表与禁止用户登入表含有字段；

S3、分析并提取数据库日志文件，使用数据库语言读取并分析日志，通过抓取日志中的字段生成临时表，并根据规则更新IP锁定表与禁止用户登录表；

S4、编写存储过程，所述编写存储过程包括声明变量、设置表格式、获取 IP函数、设置阀值、update更新表操作、逻辑判断与计算、用户登入失败的更新、邮件警报内容及格式设定、smg弹窗动作脚本内容以及上班时间发送报警规则；