墨菲定律视角下的数据库入侵防御

串联模式部署在业务系统与数据库中间，通过流量协议解码对所有SQL语句进行语法解析，审核基于TCP/IP五元组(来往地址、端口与协议)、准入控制因素和数据库操作行为的安全策略，结合自主动态建模学习的白名单规则，能够准确识别恶意数据库指令，及时阻断会话或准确拦截恶意操作语句。串联模式部署最大风险在于不能出现误判，否则影响正常语句通过，此必需要系统的SQL语句解析能力足够精确，并且能够建立非常完善的行为模型，在发现危险语句时，能够在不中断会话的情况下，精准拦截风险语句，且不影响正常访问请求。因此，若想数据库入侵防御系统发挥最佳效果，必须串联在数据库的前端，可以物理串联(透明桥接)或逻辑串联(反向代理)。

旁路部署模式，目前常用方式是通过发送RESET指令进行强行会话重置，此部署方式在较低流量情况下效果最佳。如在业务系统大并发情况下，每秒钟SQL交易量万条以上，这种旁路识别阻断有可能出现无法阻断情况，且会出现延迟。有可能因为延迟，阻断请求发送在SQL语句执行之后，那么反倒影响了正常业务请求。所以在高并发大流量场景下，如果要实现实时精准阻断拦截效果，就要求数据库入侵防御系统具有超高端的处理性能。

至于串联部署还是旁路部署更为合适，需要匹配相应的业务系统场景。数据库入侵防御系统最终奥义是它的防御效果，即对风险语句的精准阻断能力，从墨菲定律对比分析，旁路部署有阻断请求的可能性则必然会发生。而串联存在影响业务访问的担忧，那它始终都会发生，而正视这种风险，让我们对数据库入侵防御系统的精准阻断能力有更高要求，尽可能将这种风险降到最低。

2. 数据库入侵防御系统串联实时同步阻断与异步阻断之争

相对数据库入侵防御系统的串并联之争来讲，串联实现同步阻断与异步阻断更为细分了，市面上存在两类串联的数据库入侵防御系统;

一类就是以IBM Guardium为代表的本地代理引擎在线监听异步阻断，当有危险语句通过代理到DBMS时，代理会将内容信息副本发至分析中心，由中心判断是否违法或触犯入侵防御规则，进而给代理程序发出阻断指令，很显然这种部署的好处是不局限与数据库的网络环境，ip可达即可，而坏处就更明显了，那就是agent与Center通信期间，sql访问是放行的，也就是如果在前面几个包就出现了致命攻击语句，那么这次攻击就会被有效执行，即防御体系被有效绕过。

另一类就是以国内厂商汉领信息为代表的串联实时同步阻断，当有危险语句通过串联数据库入侵防御系统时，入侵防御系统若监测到风险语句，立马阻断;无风险的语句放行，这种模式及立马分析立马判断。也很显然，这种部署模式的好处是小概率事件或预谋已久的直接攻击语句也会被实时阻断;而坏处也非常明显，那就是处理效率，如果数据库入侵防御系统处理效率不行，那就会出现排队等待的状态，业务的连续性就造成了影响。关键就是要把握这个平衡点，至少要达到无感知，这个点的取舍就取决于各个数据库安全厂商处理sql语句的算法能力了。

结束语：

墨菲定律并不复杂，将它应用到数据库入侵防御领域，揭示了在数据库安全中不能忽视的小概率风险事件，要正视墨菲定律转为积极响应，应充分理解墨菲定律，抵制 “数据库层层保护不存在风险”、“别人都是这样做”、“数据库入侵防御系统并联不会误阻断” 等错误认识，牢记只要存在风险隐患，就有事件可能，事件迟早会发生，我们应当杜绝习惯性认知，积极主动应对数据库安全风险。

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!