一种基于数据库安全的远程防暴力破解方法

技术领域

本发明涉及互联网安全领域，具体涉及一种基于数据库安全的远程防暴力破解方法。

背景技术

随着计算机互联网技术的发展以及大数据时代的到来，各种数据信息系统的应用也越来也广泛。而数据库作为业务平台信息技术的基础核心，承载着数据信息的记录、存取、交互等的分析管理功能，逐渐成为国家公共安全单位以及企业组织等中最为重要的具有战略性的资产。数据库的安全稳定运行也直接决定着业务系统能否正常使用。并且平台的数据库中往往储存着等极其重要和敏感的信息。这些信息一旦被篡改或者泄露，轻则造成企业经济损失，重则影响企业形象，甚至行业、社会安全。可见，数据库的安全至关重要。

数据库安全威胁主要涉及两个方面，一是内部方面的员工或管理运维员的权限的滥用，身份认证不足，违规操作等。二是来自外部的安全威胁，如数据库的平台漏洞，通信协议漏洞，SQL注入等。而当前网络不法黑客们根据数据库内外安全威胁对重要数据信息进行窃取时，最常见的便是采用远程暴力破解的攻击方式，通过账号密码库对或某些规律对数据库的账号密码进行暴力破解，进而获取权限，窃取、修改重要数据。

发明内容

为解决当前网络环境下最为流行的这种暴力破解的攻击模式，本申请提出了一种基于数据库安全的远程防暴力破解方法，通过下述技术方案实现：

一种基于数据库安全的远程防暴力破解方法，包括如下步骤：

S1、获取注册用户信息，并接收系统安全策略；

S2、检测当前数据库环境，获取数据库访问端口信息；

S3、设置IP地址黑白名单，捕获远程IP地址与数据库访问端口间的账号校验数据包；

S4、分析捕获的校验数据包，提取有效数据信息并执行安全策略，其中有效数据信息包括IP地址、账户名和返回值。

本方案的有益效果是，本方案添加了黑白名单功能，并结合相关安全策略，使数据库账户防暴力破解技术更加安全，同时允许数据库安全管理人员能够自主制定安全策略，账户解锁方式多元化，使数据库账户的防暴力破解技术更加灵活适用。

进一步的，所述安全策略包括：数据库帐户类型、数据库帐户锁定阈值、数据库帐户锁定时间、数据库帐户重置计数器计数时间和解锁方式。

上述进一步方案的有益效果是，建立了一整套从登录自动统计、自动锁定、自动解锁、自动重置的安全防护流程；保障了整个防护过程的完整性。

进一步的，所述数据库帐户类型包括合法帐户和非法帐户，其中：

合法帐户为账户名称位于数据库用户列表中的帐户；

非法帐户为帐户名称不在数据库用户列表中的帐户。

上述进一步方案的有益效果是，明确定义了数据库账户类型的概念，同时囊括了合法账户和非法账户。

进一步的，所述数据库帐户锁定阈值为所述合法帐户或者非法帐户在数据库帐户重置计数器时间之内连续登陆失败次数的上限。

上述进一步方案的有益效果是，将非数据库用户也纳入账户登录失败统计序列，有效杜绝了采用不同用户可反复尝试登录数据库的弊端。

进一步的，所述数据库帐户锁定时间为远程IP地址触发安全策略且超过帐户锁定阈值后的锁定时间。

上述进一步方案的有益效果是，明确定义了锁定数据库账户的前提条件，既要出发安全策略，同时还必须超过锁定阈值；同时定义了锁定时间段的范围，从触发安全策略被锁定，直到锁定时间到期自动解锁。

进一步的，所述数据库重置计数器时间为远程IP地址触发安全策略且在设定时间内未超过账户锁定阈值时，清空失败登录次数的时间。

上述进一步方案的有益效果是，明确定义了账户登录失败次数的重置时间和重置范围。

进一步的，所述解锁方式包括自动解锁和手动解锁，其中：

自动解锁为当远程IP地址锁定超过数据库预设锁定时间之后自动解锁；

手动解锁为注册用户将被锁定IP地址上传至策略中心，由人工解锁。

上述进一步方案的有益效果是，为用户提供了到期自动解锁和人工手动解锁两种解锁方式，增强了产品面对不同业务场景的适应能力。

进一步的，所述校验数据包包括当前登录账户的IP地址、账户名以及返回值。

上述进一步方案的有益效果是，严格定义了校验数据包的采集信息范围，从源IP地址、账户名、返回值三个层面，详细界定了账户锁定的关键因素，避免了误锁情况的发生。

进一步的，所述执行安全策略的方法为：

当检测到IP地址位于IP黑名单时，通过级防火墙拒绝此IP地址访问数据库；当检测到IP地址位于IP白名单时，该IP的所有登录失败行为均不会被记录；当IP地址不处于黑白名单时，则记录登录数据库的账户名和返回值；

当检测到返回值为登录失败时，为该远程IP的相应账户创建登录失败记录，包括账户名称、登录失败时间、登录失败次数；

若在重置计数器时间范围内，该远程IP的对应账户登录失败次数未超过账户锁定阈值，则清空该账户对应的登录失败次数记录；

若在重置计数器时间范围内，该远程IP的对应账户登录失败次数超过账户锁定阈值，则客户端程序将自动锁定该IP地址，拒绝该IP地址对数据库的网络访问；

登录成功或解锁成功的IP，将自动清空该IP相关的登录失败计数器。

上述进一步方案的有益效果是，添加了黑白名单功能，并结合相关安全策略，使数据库账户防暴力破解技术更加安全。

附图说明

此处所说明的附图用来提供对本发明实施例的进一步理解，构成本申请的一部分，并不构成对本发明实施例的限定。在附图中：

图1为本发明基于数据库安全的远程防暴力破解方法流程图。

具体实施方式

在下文中，可在本发明的各种实施例中使用的术语“包括”或“可包括”指示所发明的功能、操作或元件的存在，并且不限制一个或更多个功能、操作或元件的增加。此外，如在本发明的各种实施例中所使用，术语“包括”、“具有”及其同源词仅意在表示特定特征、数字、步骤、操作、元件、组件或前述项的组合，并且不应被理解为首先排除一个或更多个其它特征、数字、步骤、操作、元件、组件或前述项的组合的存在或增加一个或更多个特征、数字、步骤、操作、元件、组件或前述项的组合的可能性。

在本发明的各种实施例中，表述“或”或“A或/和B中的至少一个”包括同时列出的文字的任何组合或所有组合。例如，表述“A或B”或“A或/和B中的至少一个”可包括A、可包括B或可包括A和B二者。

在本发明的各种实施例中使用的表述(诸如“第一”、“第二”等)可修饰在各种实施例中的各种组成元件，不过可不限制相应组成元件。例如，以上表述并不限制所述元件的顺序和/或重要性。以上表述仅用于将一个元件与其它元件区别开的目的。例如，第一用户装置和第二用户装置指示不同用户装置，尽管二者都是用户装置。例如，在不脱离本发明的各种实施例的范围的情况下，第一元件可被称为第二元件，同样地，第二元件也可被称为第一元件。

应注意到：如果描述将一个组成元件“连接”到另一组成元件，则可将第一组成元件直接连接到第二组成元件，并且可在第一组成元件和第二组成元件之间“连接”第三组成元件。相反地，当将一个组成元件“直接连接”到另一组成元件时，可理解为在第一组成元件和第二组成元件之间不存在第三组成元件。

在本发明的各种实施例中使用的术语仅用于描述特定实施例的目的并且并非意在限制本发明的各种实施例。如在此所使用，单数形式意在也包括复数形式，除非上下文清楚地另有指示。除非另有限定，否则在这里使用的所有术语(包括技术术语和科学术语)具有与本发明的各种实施例所属领域普通技术人员通常理解的含义相同的含义。所述术语(诸如在一般使用的词典中限定的术语)将被解释为具有与在相关技术领域中的语境含义相同的含义并且将不被解释为具有理想化的含义或过于正式的含义，除非在本发明的各种实施例中被清楚地限定。

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施例和附图，对本发明作进一步的详细说明，本发明的示意性实施方式及其说明仅用于解释本发明，并不作为对本发明的限定。

实施例1

一种基于数据库安全的远程防暴力破解方法，如图1所示，包括如下步骤：

S1、获取注册用户信息，并接收系统安全策略；

管理中心制定防暴力破解安全策略，并下发至客户端，策略内容包括：数据库账户锁定阈值、数据库账户锁定时间、数据库账户重置计数器时间、解锁方式，具体而言，

数据库账户锁定阈值：将数据库分为合法账户和非法账户两种，并分别为两种账户配置账户锁定阈值；

合法账户：账户名称位于数据库用户列表中；

非法账户：账户名称不在数据库用户列表中；

账户锁定阈值：当合法账户或非法账户，在规定的重置计数器时间范围内，连续登录失败超过一定次数后，发起该访问的远程IP地址即被锁定，拒绝再次登录数据库；这个次数就是锁定阈值；

数据库锁定时间：当某个远程IP地址触发安全策略，且次数超过账户锁定阈值后，该IP地址即被锁定一段时间，该时间段内拒绝登录数据库；

数据库重置计数器时间：当某个远程IP地址触发安全策略后，客户端会自动为该IP记录登录失败次数，但是如果在规定时间内，该IP登录失败未超过锁定阈值，则到达重置计数器时间后，之前记录的登录失败次数自动清空；

解锁方式：分为自动解锁和手动解锁两种，

自动解锁：当远程IP被锁定时间超过数据库锁定时间后自动解锁；该IP可以再次尝试登录；

手动解锁：客户端将该IP上传至策略中心，并由策略中心的管理员手动进行解锁。

S2、检测当前数据库环境，获取数据库访问端口信息；

在本实施例里，客户端安装完成后，向管理中心注册，接收数据库安全策略，并自动检查当前数据库环境，获取数据库访问端口等信息，客户端具备抓解包及内核级防火墙功能，且负责对违反防暴力破解策略的远程IP执行锁定策略。

S3、设置IP地址黑白名单，捕获远程IP地址与数据库访问端口间的账号校验数据包；

在本实施例里，IP黑白名单包括黑名单和白名单两种，

IP黑名单：此列表内的IP地址，默认拒绝登录目标数据库；

IP白名单：此列表内的IP地址，允许登录目标数据库，且即使登录失败，也不会触发数据库防暴力破解安全策略。

客户端程序对捕获的通信数据包进行分析，提取其中的IP地址、账户名、返回值。

S4、分析捕获的校验数据包，提取有效数据信息并执行安全策略，其中有效数据信息包括IP地址、账户名和返回值。

通过所获取的IP地址、账户名和返回值，由客户端执行安全策略，具体的策略方式包括：

当检测到IP地址位于IP黑名单时，通过自带的内核级防火墙，拒绝此IP地址访问数据库；

当检测到IP地址位于IP白名单时，该IP的所有登录失败行为均不会被记录；

当IP地址不处于黑白名单时，主动记录登录数据库的账户名和返回值；

当检测到返回值为登录失败时，自动为该远程IP的相应账户创建登录失败记录，包括账户名称、登录失败时间、登录失败次数；

如果在重置计数器时间范围内，该远程IP的对应账户登录失败次数未超过账户锁定阈值，则清空该账户对应的登录失败次数记录；

如果在重置计数器时间范围内，该远程IP的对应账户登录失败次数超过账户锁定阈值，则客户端程序将自动锁定该IP地址，拒绝该IP地址对数据库的网络访问；如果是自动解锁，则该IP地址不会上传策略中心，到达锁定时间后，自动解锁；如果是手动解锁，则该IP地址会被上传至策略中心，等待管理员手动解锁，期间该IP将一直处于锁定状态；

登录成功或解锁成功的IP，将自动清空该IP相关的登录失败计数器；

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。