基于流量监测的数据库安全审计系统

2016-02-07 06:06◆林迅

网络安全技术与应用 2016年12期

关键词：数据库安全监听旁路

◆林迅

（福富软件福建 350001）

基于流量监测的数据库安全审计系统

◆林迅

（福富软件福建 350001）

本文针对Oracle数据库设计和实现了一种基于流量监测的安全审计系统，该系统采用旁路部署监听流量的方式，对被审计数据库不产生任何影响。本文主要介绍了基于Libpcap函数库实现网络数据包捕获与过滤，网络协议分析，数据库协议解析，用户操作信息提取等技术实现。

TNS协议；Libpcap；审计

0 引言

Oracle数据库面临的安全威胁分类两类：外部攻击和内部违规。外部攻击主要是指黑客利用互联网，通过Oracle客户端非法侵入数据库系统。由于Oracle数据库本身不提供对网络用户的审计记录功能，该类攻击在事后无法取证。内部违规是指内部人员越权操作Oracle数据库，由于Oracle数据库无法识别哪个网络用户冒充使用该账户，这类操作事后依然无法取证。因此，要提高Oracle数据库的安全保障，可以对协议层进行解析和研究，通过对流量的审计分析，在一定程度来解决数据库所面临的外部和内部的安全威胁。

1 TNS协议分析

Oracle数据库审计系统由流量采集模块、审计策略、报表展示等几个模块组成的。其中流量采集模块，采用的旁路监听的方式，捕获用户访问数据库的报文。捕获数据包的模块是基于Libpcap开发包，Libpcap是一个平台独立的网络数据捕获开发包，它是一个高层的编程接口，隐藏了操作系统的细节，可以捕获网络上的数据包[1]。Oracle数据库默认监听端口是1521，Oracle数据库客户端和服务端使用TNS协议进行通信，该协议是Net8协议体系的基础网络协议[2]。TNS协议在OSI七层模型中属于应用层，该协议对外不完全公开，每一版TNS协议都有差别。本系统通过对Oracle 11g数据库的TNS协议进行解析，完成从TNS协议包中提取操作行为和用户名的功能。TNS协议的结构表1所示。其中，Length是包的长度有包括包头8个字节，Type是数据包的类型，如表2所示。

表1 TNS协议包结构

表2 Type数据包类型

Oracle数据库客户端发起连接，服务端返回四种状态：接受、拒绝、重新发送、重定向连接【3】。若服务器返回拒绝本次连接结束；若服务器返回重新发送、重定向连接客户端重新发起连接；若服务器返回接受，客户端进入验证过程，验证失败服务器结束连接，验证成功客户端可以进行数据库操作，服务器响应用户的操作，如果发送了EOF，服务端将会主动关闭连接，整个过程结束。针对Oracle客户端建立连接查询的过程进行拆解，如图1所示[4]一个典型TNS登录会话过程。

图1 TNS会话

对TNS会话过程抓包分析，除报文采用的Oracle的机密机制对数据库进行加密之外，其它类型的报文都是采用TCP/IP协议的明文进行传输，包含源ip、目标ip、端口、服务标识sid、数据库账号、操作指令select、update、结束标识等信息。

由于TNS会话过程，大多采用明文进行传输，因此从TNS数据包中可以提取用户操作信息的方法，如表3所示[5]。

表3 TNS报文提取用户操作信息

针对TNS报文的分析方法，可以用编码实现对报文的解析，从TNS报文中提取用户操作的信息，满足对数据库安全审计系统的数据采集来源。

2 结束语

本文实现了基于流量监测的数据库安全审计，系统能实时记录用户对数据库的操作行为。文章涉及系统部署方式、网络抓包、TNS协议解析、用户操作信息提取等技术实现。本文以旁路监听的方式部署审计系统，对被审计数据库不产生任何影响，有效解决独立审计的问题，但是要完善数据库审计，不仅仅局限于旁路模式，还应该具有更多的混合审计模式相结合，可以更加灵活的满足不同业务的需求。

[1]Riverbed Technology.The WinPcap manual and tutoria l for WinPcap[EB/OL].[2013-04-20].http：//www.winpcap.or g/docs/default.htm.

[2]Oracle Corporation.Architecture of Oracle Net Servies. Oraclegi Net Services Administrator’s Guide Release2（9.2）：P artNumber A96580-02.

[3]TNS数据传输协议-进阶篇.http：//blog.csdn.net/loydi a/article/details/51861534.

[4]Rick Wong.Oracle Net8 Administrator’s Guide Relea se 8.0.December，1997：Part No.A58230-01.

[5]杨磊，毕红军.基于旁路监听的数据库安全审计.计算机工程与应用，2015.