專利名稱:數(shù)據(jù)庫內(nèi)容深度還原方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息審計(jì)技術(shù)領(lǐng)域��,具體涉及ー種數(shù)據(jù)庫內(nèi)容深度還原方法�。
背景技術(shù):
數(shù)據(jù)庫是任何商業(yè)和公共安全中最具有戰(zhàn)略性的資產(chǎn),通常都保存著重要的商業(yè)伙伴和客戶信息����,這些信息需要被保護(hù)起來,以防止競爭者和其他非法者獲取�����,互聯(lián)網(wǎng)的急速發(fā)展使得企業(yè)數(shù)據(jù)庫信息的價(jià)值及可訪問性得到了提升����,同時(shí),也致使數(shù)據(jù)庫信息資產(chǎn)面臨嚴(yán)峻的挑戰(zhàn)�����,安全面臨著諸多問題����,由于計(jì)算機(jī)軟硬件故障、黑客入侵����、病毒侵害等原因會(huì)導(dǎo)致數(shù)據(jù)庫系統(tǒng)不能正常運(yùn)轉(zhuǎn)���、數(shù)據(jù)丟失等,然而更高的風(fēng)險(xiǎn)來源于企業(yè)內(nèi)部�����,企業(yè)內(nèi)部人員非法訪問�����、惡意篡改等操作��,給數(shù)據(jù)庫系統(tǒng)帶來的威脅更是災(zāi)難性的�����,隨著企業(yè)的不斷成長����,對(duì)數(shù)據(jù)庫的審計(jì)也成了企業(yè)內(nèi)控的重中之重�����。
伴隨著數(shù)據(jù)庫信息價(jià)值以及可訪問性提升,使得數(shù)據(jù)庫面對(duì)來自內(nèi)部和外部的安全風(fēng)險(xiǎn)大大增加�����,如違規(guī)越權(quán)操作��、惡意入侵導(dǎo)致機(jī)密信息竊取泄漏����,但事后卻無法有效追溯和審計(jì)。近年來���,有關(guān)數(shù)據(jù)庫的安全事故可謂層出不窮��,諸如銀行內(nèi)部數(shù)據(jù)信息泄露造成的賬戶資金失密�����、信用卡信息被盜用導(dǎo)致的信用卡偽造���、企業(yè)內(nèi)部機(jī)密數(shù)據(jù)泄露引起的競爭力下降,這些情況無不說明了實(shí)施數(shù)據(jù)庫安全審計(jì)的必要�。概括起來主要表現(xiàn)在以下三個(gè)層面
管理層面主要表現(xiàn)為人員的職責(zé)、流程有待完善�,內(nèi)部員エ的日常操作有待規(guī)范���,第三方維護(hù)人員的操作監(jiān)控失效等等,致使安全事件發(fā)生時(shí)���,無法追溯并定位真實(shí)的操作者�。技術(shù)層面現(xiàn)有的數(shù)據(jù)庫內(nèi)部操作不明���,無法通過外部的任何安全工具(比如防火墻��、IDS�、IPS等)來阻止內(nèi)部用戶的惡意操作����、濫用資源和泄露企業(yè)機(jī)密信息等行為�����。審計(jì)層面現(xiàn)有的依賴于數(shù)據(jù)庫日志文件的審計(jì)方法�,存在諸多的弊端,比如數(shù)據(jù)庫審計(jì)功能的開啟會(huì)影響數(shù)據(jù)庫本身的性能��、數(shù)據(jù)庫日志文件本身存在被篡改的風(fēng)險(xiǎn)����,難于體現(xiàn)審計(jì)信息的真實(shí)性����。
發(fā)明內(nèi)容
本發(fā)明所解決的技術(shù)問題是提供ー種數(shù)據(jù)庫內(nèi)容深度還原方法����,以克服數(shù)據(jù)庫重要信息被隨意改動(dòng),而且沒有證據(jù)的問題�。為解決上述的技術(shù)問題,本發(fā)明采取的技術(shù)方案
ー種數(shù)據(jù)庫內(nèi)容深度還原方法����,其特殊之處在于所述的還原方法通過以下步驟實(shí)
現(xiàn)
(I)、預(yù)處理階段
將網(wǎng)卡設(shè)置為混雜模式���,通過Libpcap進(jìn)行循環(huán)抓包����,Libpcap采用零拷貝技術(shù)把用戶內(nèi)存映射到內(nèi)核中���,抓取到的數(shù)據(jù)包通過鏈路層解碼�����、協(xié)議層處理和流重組����,將還原好的流寫入文件,如果該條四元組鏈接30秒內(nèi)沒有新數(shù)據(jù)�,則寫入流文件結(jié)束,并且關(guān)閉該流文件�����,通知協(xié)議解析模塊��,還原流文件已經(jīng)生成�����,可以讀取流文件��,分析每ー行數(shù)據(jù)���,獲取是否有數(shù)據(jù)庫操作語句,如果30秒內(nèi)有新數(shù)據(jù)����,先判斷是否該四元組建立過文件����,如果建立過文件��,就將這些數(shù)據(jù)追加到已經(jīng)建立文件的后面�,如果沒有建立文件,新建立文件����;
(2)、匹配階段
預(yù)處理結(jié)束后���,通知協(xié)議解析模塊��,該進(jìn)程讀取創(chuàng)建好的數(shù)據(jù)庫操作流文件��,一行一行的讀取文件�����,調(diào)用kmt算法��,解析該行中的真實(shí)數(shù)據(jù)庫操作�����。上述的步驟(I)預(yù)處理階段還可以采用pfring進(jìn)行抓包����。與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果 本發(fā)明可以真實(shí)還原數(shù)據(jù)庫操作過程����,可有效監(jiān)控?cái)?shù)據(jù)庫訪問行為,準(zhǔn)確掌握數(shù)據(jù)庫系統(tǒng)的安全狀態(tài)��,及時(shí)發(fā)現(xiàn)違反數(shù)據(jù)庫安全策略的事件并實(shí)時(shí)告警��、記錄�����,便于進(jìn)行安全事件定位分析�����,事后追查取證����,從而保障數(shù)據(jù)庫安全,數(shù)據(jù)庫內(nèi)容被完全還原之后�,還可以在現(xiàn)有基礎(chǔ)上分析是否有違規(guī)關(guān)鍵詞。
圖I為本發(fā)明的流程圖��。
具體實(shí)施例方式下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明進(jìn)行詳細(xì)說明���。參見圖1����,發(fā)明通過以下步驟實(shí)現(xiàn)
(I)�����、預(yù)處理階段
將網(wǎng)卡設(shè)置為混雜模式���,通過Libpcap進(jìn)行循環(huán)抓包�,Libpcap采用零拷貝技術(shù)把用戶內(nèi)存映射到內(nèi)核中�,抓取到的數(shù)據(jù)包通過鏈路層解碼、協(xié)議層處理和流重組�����,將還原好的流寫入文件��,如果該條四元組鏈接30秒內(nèi)沒有新數(shù)據(jù),則寫入流文件結(jié)束�����,并且關(guān)閉該流文件�,通知協(xié)議解析模塊,還原流文件已經(jīng)生成��,可以讀取流文件���,分析每ー行數(shù)據(jù)��,獲取是否有數(shù)據(jù)庫操作語句�����,如果30秒內(nèi)有新數(shù)據(jù)�����,先判斷是否該四元組建立過文件�,如果建立過文件��,就將這些數(shù)據(jù)追加到已經(jīng)建立文件的后面����,如果沒有建立文件,新建立文件����。本發(fā)明還可以采用pfring進(jìn)行抓包。(2)����、匹配階段
預(yù)處理結(jié)束后,通知協(xié)議分析進(jìn)程��,該進(jìn)程讀取創(chuàng)建好的數(shù)據(jù)庫操作流文件�����,一行一行的讀取文件�����,調(diào)用kmt算法���,解析該行中的真實(shí)數(shù)據(jù)庫操作�����。kmt算法是在該行中查找是否有例如“select drop delete create commit alter truncate insert update rollback/����,等關(guān)鍵sql命令,如果有上述關(guān)鍵sql命令,則認(rèn)為該行中有sql語句,關(guān)鍵詞不僅支持上述命令,也支持用戶輸入�。下面MYSQL數(shù)據(jù)庫為例,具體說明�。MYSQL訪問數(shù)據(jù)庫通過Libpcap抓包組流后,產(chǎn)生流文件內(nèi)容如下表
權(quán)利要求
1.ー種數(shù)據(jù)庫內(nèi)容深度還原方法��,其特征在于所述的還原方法通過以下步驟實(shí)現(xiàn) (1)�、預(yù)處理階段 將網(wǎng)卡設(shè)置為混雜模式,通過Libpcap進(jìn)行循環(huán)抓包��,Libpcap采用零拷貝技術(shù)把用戶內(nèi)存映射到內(nèi)核中��,抓取到的數(shù)據(jù)包通過鏈路層解碼�、協(xié)議層處理和流重組,將還原好的流寫入文件����,如果該條四元組鏈接30秒內(nèi)沒有新數(shù)據(jù),則寫入流文件結(jié)束�����,并且關(guān)閉該流文件,通知協(xié)議解析模塊�,還原流文件已經(jīng)生成,可以讀取流文件�����,分析每ー行數(shù)據(jù)��,獲取是否有數(shù)據(jù)庫操作語句�,如果30秒內(nèi)有新數(shù)據(jù)��,先判斷是否該四元組建立過文件��,如果建立過文件��,就將這些數(shù)據(jù)追加到已經(jīng)建立文件的后面��,如果沒有建立文件�����,新建立文件�����; (2)、匹配階段 預(yù)處理結(jié)束后���,通知協(xié)議解析模塊�,該進(jìn)程讀取創(chuàng)建好的數(shù)據(jù)庫操作流文件���,一行一行的讀取文件��,調(diào)用kmt算法���,解析該行中的真實(shí)數(shù)據(jù)庫操作。
2.根據(jù)權(quán)利要求I所述的數(shù)據(jù)庫內(nèi)容深度還原方法���,其特征在于所述的步驟(I)預(yù)處理階段還可以采用Pfring進(jìn)行抓包�����。
全文摘要
本發(fā)明涉及一種數(shù)據(jù)庫內(nèi)容深度還原方法�����。本發(fā)明的還原方法通過以下步驟實(shí)現(xiàn)(1)�、預(yù)處理階段�;(2)����、匹配階段預(yù)處理結(jié)束后�,通知協(xié)議解析模塊,該進(jìn)程讀取創(chuàng)建好的數(shù)據(jù)庫操作流文件��,一行一行的讀取文件���,調(diào)用kmt算法,解析該行中的真實(shí)數(shù)據(jù)庫操作�����。本發(fā)明可以真實(shí)還原數(shù)據(jù)庫操作過程�����,可有效監(jiān)控?cái)?shù)據(jù)庫訪問行為����,準(zhǔn)確掌握數(shù)據(jù)庫系統(tǒng)的安全狀態(tài),及時(shí)發(fā)現(xiàn)違反數(shù)據(jù)庫安全策略的事件并實(shí)時(shí)告警����、記錄��,便于進(jìn)行安全事件定位分析�����,事后追查取證����,從而保障數(shù)據(jù)庫安全����,數(shù)據(jù)庫內(nèi)容被完全還原之后,還可以在現(xiàn)有基礎(chǔ)上分析是否有違規(guī)關(guān)鍵詞����。
文檔編號(hào)G06F21/00GK102693298SQ20121015280
公開日2012年9月26日 申請(qǐng)日期2012年5月17日 優(yōu)先權(quán)日2012年5月17日
發(fā)明者何建鋒, 周靜, 陳曉兵 申請(qǐng)人:西安交大捷普網(wǎng)絡(luò)科技有限公司