基于数据库防火墙的专利技术综述

【摘要】数据库防火墙系统，是一种基于数据库协议分析与控制技术的数据库安全防护系统，本文通过分析历年的涉及到的数据库防火墙的专利申请技术，从静态防御技术、动态防御技术两个方面对数据库防火墙的专利技术进行统计分析。

【关键字】DBFirewall 数据库防火墙 WEB服务器 SQL注入攻击

一、引言

数据库防火墙系统，是一种基于数据库协议分析与控制技术的数据库安全防护系统，其被部署于应用服务器和数据库之间，是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术，主要应用于以数据库为基础的经济、金融、医疗等领域。

数据库防火墙本质上是一种介于应用程序和数据库之间的服务器，应用程序连接到数据库防火墙并像正常连接到数据库那样发送查询，数据库防火墙分析预期的查询，如果认为是安全的，就将它传递给数据库服务器加以执行，反之，如果认为是恶意的，就阻止运行该查询。数据库防火墙通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻止非法违规操作，形成数据库的防御圈，实现SQL危险操作的主动预防、实时审计。

二、数据库防火墙技术专利的主要分类与应用分析

数据库防火墙采用网络防火墙中的包过滤技术，主要在过滤规则上进行改进。基于上述规则策略，数据库防火墙技术可以具有以下分支：静态防御技术、动态防御技术，其中对动态防御技术进行细分，又主要具有以下分支：基于统计分析的动态防御技术、基于语义分析的动态防御技术。

2.1静态防御技术

数据库防火墙模型中的简单的规则匹配属于静态防御技术，基于此类规则的数据库防火墙模型提供的防护程度相比网络防火墙有所提升，由于静态防御技术属于数据库防火墙中的基本防御技术，因此涉及到此方面的专利文献非常多，例如专利文献CN101370008A、CN101425937A、CN101448007A、CN102104601A等都是基于规则匹配的方式进行防御。但是基于规则的配置及使用都极为不便，基于静态防御的方法也并不是“智能的”和“动态的”，只能检测到允许或者组织特定规则的数据包，因此基于静态防御的数据库防火墙的防护能力有限。

2.2动态防御技术

动态防御技术通过对基于规则匹配的静态防御技术加以改进，通过采用经验值累加的统计分析、语义分析等智能分析的技术，对数据库防火墙的攻击进行识别，从而达到捕获SQL注入攻击和提高防火墙防御能力的目的。

2.2.1基于统计分析的动态防御技术

基于统计分析的动态防御技术中，常见的统计方式为统计攻击行为次数和攻击行为的经验值。基于经验值的行为分析是对基于规则匹配的改进，对不同的特征指定权值，对每一个操作计算风险值，即从异常的行为中提取出具有代表性的特征来作为识别异常行为的标识。如对于某一操作分别取出操作主体、操作客体、操作类型以及操作结果的经验值，将四项相乘得到此操作的风险值。

例如，申请人为IBM，公开号为US2008/0172347A1的专利申请，其公开了一种使用专家系统来决定是否变更防火墙配置的方法，所述专家系统接受与防火墙相关的信息包所在的信息流，专家系统预先定义信息流数据的风险值。专家系统使用确定的风险值来决定与信息包相关的总的风险值。最后，专家系统产生基于总的风险值的建议措施，如根据信息流中的规则集允许或者禁止所述信息流。

2.2.2基于语义分析的动态防御技术

基于语义分析的动态防御技术是指通过进行对攻击语句语义分析，即通过进一步的拆解SQL语句，分析语句的直接的含义分析得到潜在的SQL攻击的技术，该技术可以有效的避免被人精心构造的SQL语句对于数据库的攻击。

例如，申请人为北京启明星辰信息技术股份有限公司，公开号为CN101901219A的专利申请，其公开了一种数据库注入攻击检测方法及系统，该方法包括：通过对数据库历史访问记录进行自学习，对所述历史访问记录进行自学习的步骤：设置所述历史访问记录；对所述历史访问记录中的每条记录进行SQL语句解析，提取SQL模板；建立所述访问行为模式库，接收数据库实时访问；根据访问行为模式库，判断实时访问是否为注入攻击，获得判断结果。

三、结束语

目前所采用的数据库防火墙技术，基于规则匹配的静态防御技术是最基本的防御技术，而基于智能分析的动态防御技术通过基于经验值分析和语义分析等方式，通过对数据库防火墙的攻击语句加以识别和分析，从而达到捕获SQL注入攻击的目的。在大数据时代的今天，具有由静态防御技术发展到动态防御技术的趋势，动态防御技术仍然有很大的发展空间。