(19)国家知识产权局
(12)发明 专利申请
(10)申请公布号
(43)申请公布日
(21)申请 号 202210811101.1
(22)申请日 2022.07.11
(71)申请人 湖南匡安网络技 术有限公司
地址 410006 湖南省长 沙市芙蓉区湘湖街
道和光路102号
(72)发明人 李肯立 杨圣洪 张显 蔡宇辉
杨志邦 余思洋 唐伟 段明星
吕婷
(74)专利代理 机构 武汉臻诚专利代理事务所
(普通合伙) 42233
专利代理师 宋业斌
(51)Int.Cl.
H04L 9/40(2022.01)
H04L 41/069(2022.01)
H04L 43/04(2022.01)H04L 67/14(2022.01)
H04L 67/141(2022.01)
G06F 16/25(2019.01)
(54)发明名称
一种用于堡垒机的数据库高危指令审核方
法和系统
(57)摘要
本发明公开了一种用于堡垒机的数据库高
危指令审核方法, 包括: 客户端配置用于运维数
据库服务器的高危指令集, 并向堡垒机发送连接
请求, 堡垒机在接收到来自客户端的连接请求后
为客户端分配监听端口号, 把端口号发给客户
端, 并开启MySQLAgent程序, 以监听来自客户端
的连接请求, 客户端向堡垒机发送高危指令集,
堡垒机在接收到来自客户端的高危指令集后建
立对应的配置文件并进行保存, 客户端在接收到
用户输入的MySQL 登录指令后发起与堡垒机的连
接请求, 堡垒机在监听到来自客户端的连接请求
后与数据库服务器 建立连接。 本发 明能够解决现
有数据库高危指令审批操作由于在远程服务器
安装对应的控制端, 导致操作不安全, 并会造成
整个服务器被破坏的技 术问题。
权利要求书3页 说明书9页 附图2页
CN 115242473 A
2022.10.25
CN 115242473 A
1.一种用于堡 垒机的数据库高危指令审核方法, 其特 征在于, 包括以下步骤:
(1)客户端配置用于运维数据库服 务器的高危指令集, 并向堡 垒机发送连接请求;
(2)堡垒机在接收到来自客户端的连接请求后为客户端分配监听端口号, 把端口号发
给客户端, 并开启MySQ LAgent程序, 以监听来自客户端的连接请求;
(3)客户端向堡 垒机发送高危指令集;
(4)堡垒机在接收到来自客户端的高危指令集后建立对应的配置文件并进行保存。
(5)客户端在接收到用户输入的MySQ L登录指令后发起与堡 垒机的连接请求;
(6)堡垒机在监听到来自客户端的连接请求后与数据库服 务器建立连接;
(7)客户端输入运维指令, 以通过堡 垒机对数据库服 务器进行运维操作;
(8)堡垒机拦截客户端输入的运维指令, 并根据步骤(4)建立的配置文件判断该运维指
令的类型;
(9)堡垒机根据步骤(8)确定的运维指令的类型对该运维指令进行对应的操作。
(10)堡垒机在对数据库服务器的运维操作结束时关闭MySQLAgent程序和监控转发程
序, 建立MySQ L客户端的运维结束时间信息, 并将该运维结束时间信息发送到堡 垒机。
2.根据权利要求1所述的用于堡 垒机的数据库高危指令审核方法, 其特 征在于,
客户端通过堡 垒机与数据库服 务器连接;
客户端包括 运维客户端系统以及MySQ L客户端;
堡垒机包括Pytho n转发程序、 监控转发程序、 MySQ LAgent程序、 以日志数据库;
数据库服 务器上设置有MySQ L服务器。
3.根据权利要求1或2所述的用于堡垒机的数据库高危指令审核方法, 其特征在于, 步
骤(2)包括以下子步骤:
(2‑1)堡垒机中的Python转发程序 监听到来自客户端的连接请求后与 堡垒机中的监控
转发程序建立连接, 并将该 连接请求 转发到监控转发程序;
(2‑2)堡垒机中的监控转发程序在接收到连接请求后为堡垒机的MySQLAgent程序动态
分配监听端口号(如4006), 并将该监听端口号发送到堡垒机中的Python转发程序, 同时开
启一个进程 运行堡垒机中的MySQ LAgent程序;
(2‑3)堡垒机中的MySQ LAgent程序开始监听客户端中的MySQ L客户端的连接请求。
4.根据权利要求1至3中任意一项所述的用于堡垒机的数据库高危指令审核方法, 其特
征在于, 指令的类型包括告警类指令、 超时或拒绝后阻断指令、 超时或拒绝后断开会话指
令、 阻断类指令、 以及断开会话类指令 。
5.根据权利要求 4所述的用于堡 垒机的数据库高危指令审核方法, 其特 征在于,
步骤(5)包括以下子步骤:
(5‑1)客户端中的运维客户端系统调用并开启MySQ L客户端;
(5‑2)客户端中的MySQL客户端在接收到用户输入的MySQL登录指令后, 发起与堡垒机
中的MySQ LAgent程序的连接请求。
步骤(6)包括以下子步骤:
(6‑1)堡垒机中的MySQLAgent程序在监听到来自客户端的连接请求后建立与客户端中
MySQL客户端的连接;
(6‑2)堡垒机中的MySQLAgent程序根据客户端中MySQL客户端的连接请求建立与运维权 利 要 求 书 1/3 页
2
CN 115242473 A
2数据库服务器的连接, 以实现对来自MySQL客户端的指令和数据库服务器的响应信息进行
转发操作。
6.根据权利要求 4所述的用于堡 垒机的数据库高危指令审核方法, 其特 征在于,
如果运维指令为告警类指令, 则步骤(9)具体为: 堡垒机中的MySQL Agent程序将该运
维指令转 发到数据库服务器中的MySQL服务器, M ySQL服务器执行该运 维指令并将执行结果
返回给堡垒机中的MySQLAgent程序; 堡垒机中的MySQLAgent程序拦截数据库服务器中的
MySQL服务器的响应结果, 并在执行结果后面加上告警信息, 将添加了告警信息的执行结果
转发到客户端中的M ySQL客户端, 同时构 造日志信息, 并将其写回给堡垒机中的Python转发
程序, 最后堡垒机中的Python转发程序在接收到该日志信息并解析后, 将其写入日志数据
库保存。
如果运维指令为阻断类指令, 则步骤(9)具体为: 堡垒机中的MySQL Agent程序直接阻
断该运维指令的转发操作, 然后根据MySQL服务器到MySQL客户端的MySQL协议报文格式伪
造一条警告报文信息, 然后 将伪造的警告报文信息转 发给MySQL客户端显示, 同时构 造一条
日志信息写回给堡垒机中的Python转发程序, 堡垒机中的Python转发程序在接收到日志信
息并解析后, 将其写入日志数据库保存。
7.根据权利要求4所述的用于堡垒机的数据库高危指令审核方法, 其特征在于, 如果运
维指令为超时或拒绝后断开会话指令, 则步骤(9)具体为: 堡垒机中的MySQLAgent程序根据
MySQL客户端到MySQL服务器的MySQL协议报文格式构造一条带有quit命令的数据包, 然后
使用伪造的带有quit命令的数据包替换该运 维指令所在的数据包, 并将其转 发给数据库服
务器中的MySQL服务器, 实现客户端中的MySQL客户端与数据库服务器中的MySQL服务器断
开会话连接, 最后, 构造一条日志信息写回给堡垒机中的Python转发程序, 堡垒机中的
Python转发程序在接收到该日志信息并解析后, 将其写入日志数据库保存。
8.根据权利要求 4所述的用于堡 垒机的数据库高危指令审核方法, 其特 征在于,
如果运维指令为超时或拒绝后阻断指令, 则步骤( 9)具体为, 如果运维指令为审批类
(阻断)指令, 则 堡垒机中的MySQLAgent程序构造指令审批请求信息, 将其通过Python转发
程序发送到运维客户端系统进 行实时审批操作, 并等待接收来自运 维客户端系统的审批结
果; 如果审批结果为通过, 则堡垒机中的MySQLA gent程序将该运维指令转发到数据库服务
器中的MySQL服务器, MySQL服务器执行该运维指令并返回指令执行结果, 堡垒机中的
MySQLAgent程序在接收到指令执 行结果后将其 转发到客户端中的MySQ L客户端显示;
若审批结果为不通过或审批超时, 则堡垒机中的MySQLAgent程序将该运维指令转发给
MySQL服务器, 同时堡垒机中的MySQLAgent程序根据MySQL服务器到MySQL客户端的MySQL协
议报文格式伪造一条警告报文信息, 然后再将伪造的警告报文信息转发给客户端中的
MySQL客户端显示, 同时另外构造一条日志信息写回给堡垒机中的Python转发程序, 堡垒机
中的Pytho n转发程序接收到该日志信息并解析后, 将其写入日志数据库保存。
如果运维指令为超时或拒绝后断开会话指令, 则步骤(9)具体为: 堡垒机中的
MySQLAgent程序构造指令审 批请求信息, 通过Python转发程序发送到运维客户端系统进行
实时的审批操作, 并等待接收来自运 维客户端系统的审批结果; 如果审批结果为通过, 则堡
垒机中的MySQLAgent程序将该运维指令准到数据库服务器中的MySQL服务器, MySQL服务器
执行运维指令并返回指 令执行结果, 堡垒机中的M ySQLAgent 程序接收指 令执行结果并转发权 利 要 求 书 2/3 页
3
CN 115242473 A
3
专利 一种用于堡垒机的数据库高危指令审核方法和系统
文档预览
中文文档
15 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共15页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 SC 于 2024-02-24 01:02:09上传分享