數(shù)據(jù)庫防泄露協(xié)議識別方法及裝置的制造方法【
技術(shù)領(lǐng)域：
】[0001]本發(fā)明涉及信息安全領(lǐng)域，具體而言，涉及一種數(shù)據(jù)庫防泄露協(xié)議識別方法及裝置?！?br>背景技術(shù)：
】[0002]數(shù)據(jù)庫是一種用于存載和管理數(shù)據(jù)信息的主要手段。通常，在數(shù)據(jù)庫中集中存放著大量數(shù)據(jù)，且被眾多用戶共享。一旦存儲于數(shù)據(jù)庫中的數(shù)據(jù)被泄露或者被破壞，將使業(yè)務癱瘓、造成經(jīng)濟損失，甚至危及國家安全。因此，需要采取適當?shù)谋Ｗo措施對數(shù)據(jù)庫中的數(shù)據(jù)的進行防護。[0003]事實證明，數(shù)據(jù)加密是保證數(shù)據(jù)安全，防止數(shù)據(jù)泄露的一種主要方法。歐美國家提供了一些用于數(shù)據(jù)加密的產(chǎn)品，但這些產(chǎn)品因各種已知和未知的原因無法保證其信息安全。而國內(nèi)的數(shù)據(jù)庫防護手段主要通過數(shù)據(jù)庫安全審計技術(shù)實現(xiàn)，這種技術(shù)雖然可以在一定程度上防止類似外部黑客攻擊導致的數(shù)據(jù)泄露但對于例如數(shù)據(jù)庫管理員、業(yè)務人員或外包工程技術(shù)人員等具備數(shù)據(jù)庫管理與使用權(quán)限的內(nèi)部人員的數(shù)據(jù)泄露卻無法徹底預防與控制。[0004]目前，在信息安全領(lǐng)域，數(shù)據(jù)加密技術(shù)主要包括全數(shù)據(jù)加密、字段級數(shù)據(jù)加密等加密技術(shù)，這些技術(shù)均存在一定缺陷與不足。[0005]1、全數(shù)據(jù)加密技術(shù)的主要問題在于，現(xiàn)有的全數(shù)據(jù)加密技術(shù)通常會造成數(shù)據(jù)庫性能急劇下降。而隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新興IT技術(shù)的廣泛應用，數(shù)據(jù)量呈的爆發(fā)式增長，全量數(shù)據(jù)加密技術(shù)已無法適應數(shù)據(jù)庫的應用發(fā)展和安全需求。[0006]2、敏感字段級數(shù)據(jù)加密技術(shù)的主要問題在于，在對敏感字段進行加密后，如果進行例如:數(shù)據(jù)聯(lián)合(Union)、連接計算(Join)、匯總（Summary)、條件(Where)查詢等操作時，數(shù)據(jù)處理會因加密而出現(xiàn)問題。[0007]3、在對數(shù)據(jù)進行加密后，業(yè)務應用訪問加密數(shù)據(jù)時存在權(quán)限識別問題。[0008]4、通用性差，現(xiàn)有的數(shù)據(jù)加密技術(shù)，在對數(shù)據(jù)進行加密處理后，支持的數(shù)據(jù)庫類型和操作有限的問題。[0009]針對上述的問題，目前尚未提出有效的解決方案?！?br/>發(fā)明內(nèi)容】[0010]本發(fā)明實施例提供了一種數(shù)據(jù)庫防泄露協(xié)議識別方法及裝置，以至少解決由于無法對IP報文所屬的協(xié)議類型進行自動識別，導致的數(shù)據(jù)加密技術(shù)通用性差的技術(shù)問題。[0011]根據(jù)本發(fā)明實施例的一個方面，提供了一種數(shù)據(jù)庫防泄露協(xié)議識別方法，包括:按照預先設(shè)置的識別規(guī)則，提取用于訪問數(shù)據(jù)庫的IP報文的協(xié)議指紋;將協(xié)議指紋與預先設(shè)置的至少一個協(xié)議指紋集合進行匹配，確定IP報文的協(xié)議類型；獲取與協(xié)議類型對應的驗證規(guī)則集合;將驗證規(guī)則集合中的各條協(xié)議驗證規(guī)則與IP報文進行匹配，驗證IP報文的協(xié)議類型。[0012]根據(jù)本發(fā)明實施例的另一方面，還提供了一種數(shù)據(jù)庫防泄露協(xié)議識別裝置，包括：提取模塊，用于按照預先設(shè)置的識別規(guī)則，提取用于訪問數(shù)據(jù)庫的IP報文的協(xié)議指紋;匹配模塊，用于將協(xié)議指紋與預先設(shè)置的至少一個協(xié)議指紋集合進行匹配，確定IP報文的協(xié)議類型；第一獲取模塊，用于獲取與協(xié)議類型對應的驗證規(guī)則集合;驗證模塊，用于將驗證規(guī)則集合中的各條協(xié)議驗證規(guī)則與IP報文進行匹配，驗證IP報文的協(xié)議類型。[0013]在本發(fā)明實施例中，采用按照預先設(shè)置的識別規(guī)則，提取用于訪問數(shù)據(jù)庫的IP報文的協(xié)議指紋;將協(xié)議指紋與預先設(shè)置的至少一個協(xié)議指紋集合進行匹配，確定IP報文的協(xié)議類型；獲取與協(xié)議類型對應的驗證規(guī)則集合;將驗證規(guī)則集合中的各條協(xié)議驗證規(guī)則與IP報文進行匹配，驗證IP報文的協(xié)議類型的方式，從而實現(xiàn)了在網(wǎng)絡協(xié)議通信的初期，通過對IP報文中提取的協(xié)議指紋進行自動識別，并確定該IP報文所屬的協(xié)議類型。并進一步采用驗證規(guī)則集合驗證上述識別結(jié)果的正確性的技術(shù)效果，進而解決了由于無法對IP報文所屬的協(xié)議類型進行自動識別，導致的數(shù)據(jù)加密技術(shù)通用性差的技術(shù)問題?！靖綀D說明】[0014]此處所說明的附圖用來提供對本發(fā)明的進一步理解，構(gòu)成本申請的一部分，本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的不當限定。在附圖中：[0015]圖1是根據(jù)本發(fā)明實施例的一種可選的數(shù)據(jù)庫防泄露協(xié)議識別方法的流程圖；[0016]圖2是根據(jù)本發(fā)明實施例結(jié)合實際應用的一種可選的數(shù)據(jù)庫防泄露協(xié)議識別方法的流程圖；[0017]圖3是根據(jù)本發(fā)明實施例的一種可選的數(shù)據(jù)庫防泄露協(xié)議識別方法的流程圖；[0018]圖4是根據(jù)本發(fā)明實施例的一種可選的包含用戶特征唯一碼的AIP數(shù)據(jù)結(jié)構(gòu)示意圖；[0019]圖5是根據(jù)本發(fā)明實施例的一種可選的層狀授權(quán)認證模型的結(jié)構(gòu)示意圖；[0020]圖6是根據(jù)本發(fā)明實施例的一種可選的用戶唯一特征碼結(jié)構(gòu)示意圖；[0021]圖7是根據(jù)本發(fā)明實施例的一種可選的特征提取及數(shù)據(jù)庫防泄露協(xié)議識別的流程示意圖；[0022]圖8是本發(fā)明實施例中的TDS協(xié)議的固定包頭格式的示意圖；[0023]圖9是本發(fā)明實施例中的MSRPC協(xié)議的固定包頭格式的示意圖；[0024]圖10是根據(jù)本發(fā)明實施例的一種可選的SQL協(xié)議指紋的驗證規(guī)則集合；[0025]圖11是根據(jù)本發(fā)明實施例的一種可選的TDS協(xié)議指紋的驗證規(guī)則集合；[0026]圖12是根據(jù)本發(fā)明實施例的一種基于并行DistributedHashtable協(xié)議指紋匹配的流程示意圖；[0027]圖13是根據(jù)本發(fā)明實施例的一種基于并行DistributedHashtable協(xié)議指紋匹配示意圖；[0028]圖14是根據(jù)本發(fā)明實施例的一種基于并行DistributedHashtable協(xié)議指紋匹配示意圖；[0029]圖15是根據(jù)本發(fā)明實施例的一種可選的并行Bloom過濾器組的數(shù)據(jù)流窗口示意圖；[0030]圖16是根據(jù)本發(fā)明實施例的一種可選的數(shù)據(jù)庫防泄露協(xié)議識別裝置的示意圖；[0031]圖17是根據(jù)本發(fā)明實施例的一種可選的數(shù)據(jù)庫防泄露協(xié)議識別裝置的示意圖；[0032]圖18是根據(jù)本發(fā)明實施例的一種可選的數(shù)據(jù)庫防泄露協(xié)議識別裝置的示意圖；[0033]圖19是根據(jù)本發(fā)明實施例的一種可選的數(shù)據(jù)庫防泄露協(xié)議識別裝置的示意圖；以及[0034]圖20是根據(jù)本發(fā)明實施例的一種可選的數(shù)據(jù)庫防泄露協(xié)議識別裝置的示意圖?！揪唧w實施方式】[0035]為了使本
技術(shù)領(lǐng)域：
的人員更好地理解本發(fā)明方案，下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分的實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都應當屬于本發(fā)明保護的范圍。[0036]需要說明的是，本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語"第一"、"第二"等是用于區(qū)別類似的對象，而不必用于描述特定的順序或先后次序。應該理解這樣使用的數(shù)據(jù)在適當情況下可以互換，以便這里描述的本發(fā)明的實施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤?。此外，術(shù)語"包括"和"具有"以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。[0037]根據(jù)本發(fā)明實施例，提供了一種數(shù)據(jù)庫防泄露協(xié)議識別方法的方法實施例，需要說明的是，在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行，并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。[0038]圖1是根據(jù)本發(fā)明實施例的數(shù)據(jù)庫防泄露協(xié)議識別方法的流程圖，如圖1所示，該方法包括如下步驟：[0039]步驟S22,按照預先設(shè)置的識別規(guī)則，提取用于訪問數(shù)據(jù)庫的IP報文的協(xié)議指紋；[0040]步驟S24,將協(xié)議指紋與預先設(shè)置的至少一個協(xié)議指紋集合進行匹配，確定IP報文的協(xié)議類型；[0041]步驟S26,獲取與協(xié)議類型對應的驗證規(guī)則集合；[0042]步驟S28，將驗證規(guī)則集合中的各條協(xié)議驗證規(guī)則與IP報文進行匹配，驗證IP報文的協(xié)議類型。[0043]具體的，在上述步驟S22至步驟S28中，首先通過提取IP報文中的協(xié)議指紋，并利用多模式匹配算法將協(xié)議指紋與預先設(shè)置的協(xié)議指紋集合中的各個協(xié)議指紋樣本進匹配，從而初步確定IP報文所述的協(xié)議類型。然后，利用與初步確定的協(xié)議類型對應的驗證規(guī)則集合中的各條協(xié)議驗證規(guī)則，對IP報文進行匹配。當IP報文與該驗證規(guī)則集合中的各條協(xié)議驗證規(guī)則進行匹配時，最終確定IP報文的協(xié)議類型。[0044]在實際應用當中，如圖2所示，在用于SQL業(yè)務訪問的IP報文中，包含業(yè)務應用本體特征（即操作指令）和數(shù)據(jù)庫認證信息（即報文屬性）。首先采用CPI(ContentPacketInspection，數(shù)據(jù)包內(nèi)容檢測和分析技術(shù))技術(shù)，從IP報文中獲取附加的用戶特征碼信息(例如：用戶特征唯一碼、業(yè)務中間件IP地址，業(yè)務中間件主機MAC地址等）以及數(shù)據(jù)庫認證信息（用戶名稱和密碼等），然后從層狀授權(quán)認證模型庫中提取預先定義的協(xié)議指紋集合和驗證規(guī)則集合中的各條協(xié)議驗證規(guī)則進行數(shù)據(jù)匹配，從而確認SQL訪問的合法性。其中，用戶特征唯一碼是通過系統(tǒng)在封裝IP報文時，為當前用戶生成的特征唯一碼，可以采用屬性密碼算法，利用訪問的目標端口、目標IP地址以及用戶標識(如:源手機號、源MAC地址、源IP地址等)對用戶特征唯一碼繼續(xù)動態(tài)生成。[0045]通過上述步驟，可以實現(xiàn)在網(wǎng)絡協(xié)議通信的初期，通過對IP報文中提取的協(xié)議指紋進行自動識別，并確定該IP報文所屬的協(xié)議類型。并進一步采用驗證規(guī)則集合中的各條協(xié)議驗證規(guī)則驗證上述識別結(jié)果的正確性。從而解決了現(xiàn)有技術(shù)中，由于無法對IP報文所屬的協(xié)議類型進行自動識別，導致的數(shù)據(jù)加密技術(shù)通用性差的問題。[0046]作為一種可選的實施方式，在實際應用當中，在利用多模式匹配算法將協(xié)議指紋與預先設(shè)置的協(xié)議指紋集合中的各個協(xié)議指紋樣本進匹配之前，先按協(xié)議指紋偏移對所有協(xié)議指紋進行分類，并分別建立哈希表。其中，對于每一類協(xié)議指紋，可以從IP報文的載荷相應偏移處開始，依次對前i(1，2，3···i)個字節(jié)進行哈希處理，同時檢查哈希表子鏈。當在子鏈非空情況下對子當前第1頁1 2 3 4 5