天融信安全审计探寻Web服务器背后的真正访问者

ZDNET安全频道 08月13日 综合消息：随着“云”时代的到来，人们的部分数据开始逐渐存放到“云”中，即把数据存放到了“云”服务的数据库中，“云”用户一般会通过客户端或代理去获取存放在“云”中的数据，如提供“云”服务的Web界面、QQ、迅雷等;“云”提供给用户很大的便利，但复杂的网络环境给了黑客可利用的入侵接口。

当用户通过Web界面去读取“云”服务中的数据时，Web服务器需要调用数据库中的数据，产生的HTTP事件与数据库事件被网络中部署的审计产品审计到，而普通的安全审计产品审计到的是Web服务器去调用数据库产生数据库事件，无法审计到隐藏在Web服务器背后的真正访问者，这样就存在了一个不安全的因素，对审计产品来说也是一个审计难题。

基于以上难题，国内领先的安全厂商“天融信”推出的TA-NET/DB安全审计产品3.1.002版本中提供了业务关联功能，通过把原始访问者、Web服务器、数据库服务器三者之间的行为关联起来，达到能审计出数据库事件的真实源用户、并能直接追溯到引起数据库事件的原始事件的效果。

下图描绘了天融信TA-NET/DB审计产品业务关联功能如何审计上述攻击：

在开启并配置了业务关联功能后，TA-NET/DB审计产品会根据业务关联配置过滤出需要处理的数据，从而进行事件关联。

当访问者登录应用服务器成功后，对Web服务器进行操作、Web服务器去调用数据库中的数据时产生数据库事件和HTTP事件，TA-NET/DB审计产品根据业务关联配置确定这两个事件是否存在关联，如果存在关联则把访问者登录信息、原始HTTP事件ID关联到数据库事件中并进行发布，这样网络审计员就可看出数据库事件的原始访问者信息。

目前天融信TA-NET/DB安全审计产品3.1.002版本中提供的业务关联功能关联成功率已能达到95%以上，属于较高水准。

为了达到更加精确的关联效果，TA-NET/DB审计产品还提供了业务关联自学习功能和严格匹配功能，业务关联在此基础上的关联精确度达到了95%以上，有效解决了关联精确度的问题。在自学习功能中，业务关联基于历史事件挖掘出哪些HTTP事件会引起数据库事件，从而建立关联规则，网络审计员确认并启用学习到的关联规则之后，TA-NET/DB审计产品会根据自学习规则进行关联处理。

在基于业务关联的数据库审计结果中，网络审计员可直观的看到访问数据库的原始访问者信息，如发现异常可直接追溯到原始应用事件、找出攻击者的攻击手段、发现系统漏洞从而进行弥补;并可根据业务关联结果添加潜在危害分析报警规则，若特定时间内某用户产生过多的数据库事件时则进行报警，以此审计潜在的数据库攻击。

天融信TA-NET/DB审计产品业务关联功能在性能、精确度方面已能满足用户的使用，但在大数据时代即将到来之际，还需要在处理速度、关联精确度、兼容不同客户环境方面继续提高，以提供给客户更加稳定、精确的业务关联功能，真正完善客户的安全审计。