OneProxy :: 实时统计IP级别访问数据,根据特征识别出危险的应用程序。

在OneProxy中可以调整一些安全设置禁用系统库访问、或者开启IP/SQL白名单来保障数据库的安全,这些措施可以有效地识别和防止黑客直接操作数据库。但数据库层和OnePorxy层都无法拦截应用的API被劫持类的攻击,不能直接起到保护应用安全的功能,但是否什么事情也做不了呢?那也不尽然,在性能统计信息中已经展示过根据客户端IP维度的访问信息,可以根据数据来识别出某类风险,比如执行的查询次数、或返回的记录数远超过历史平均值。

mysql> list ipstats;
+-----------+------+------+------+-------+-------+--------+--------+......
| ADDRESS   | CONN | AUTH | FAIL | QUERY | ERROR | DBTIME | DBROWS |
+-----------+------+------+------+-------+-------+--------+--------+......
| 127.0.0.1 |    6 |    6 |    0 |  5670 |     0 |    240 |    331 |
+-----------+------+------+------+-------+-------+--------+--------+......
1 row in set (0.00 sec)

在OneProxy里还实时统计了额外的两个数据,第一个是按客户端IP维度统计的SQL性能数据,相当于可以分析每一个客户端执行SQL的情况,在一个比较稳定的系统中,每天执行的SQL绝对数量也许会有较大的变化,但不同SQL之间的比例则应当会比较恒定。一般情况下,只有应用重新发布时相对比例才会有较大的变化,或者应用API被劫持了也会引起相对比例的变化,因此可以通过分析SQL比重的变化,结合应用发布的历史,来准确地识别出可能有安全风险的应用程序。

mysql> list ipsqlstats;
+-----------+------------+------+------+------+--------+--------......
| IP        | SQLHASH    | EXEC | FAIL | ELAP | AVGELA | MAXELA 
+-----------+------------+------+------+------+--------+--------......
| 127.0.0.1 | 1561995348 |    3 |    0 |    4 |      1 |      2 
| 127.0.0.1 | 2747735807 |    3 |    0 |   24 |      8 |     15 
| 127.0.0.1 | 4204898673 |    2 |    1 |  172 |     86 |    107 
+-----------+------------+------+------+------+--------+--------......
3 rows in set (0.00 sec)

第二个是按IP维度统计的表级访问数据,相当于可以分析每一个客户端访问不同表的情况,包括增删改查四类操作的次数和记录数。同样在一个比较稳定的系统中,不同表的访问比例也应当会相对恒定。一般情况下,只有应用重新发布时相对比例才会有较大的变化,或者应用API被劫持了也会引起相对比例的变化,因此可以通过分析不同表访问比重的变化,结合应用发布的历史,来准确地识别出可能有安全风险的应用程序。

mysql> list iptabstats;
+-----------+---------+--------+--------+--------+--------+......
| IP        | TABLE   | INSERT | INSROW | INSTIM | UPDATE |
+-----------+---------+--------+--------+--------+--------+......
| 127.0.0.1 | t_split |      0 |      0 |      0 |      0 |
| 127.0.0.1 | t_test  |      0 |      0 |      0 |      0 |
+-----------+---------+--------+--------+--------+--------+......
2 rows in set (0.00 sec)

在道高一尺魔高一丈的安全风险面前,黑客早已经学会潜入、等待和隐藏自己,也许只有这样的访问特征分析,可以找出他们的行踪,进行及时防范。如果你有更好的主意,可以与我们联系,让我们一起为安全努力。