一种从服务器访问资源的方法技术

本发明专利技术提供了一种从服务器访问资源的方法，该方法包括:对多层信息平台的数据库访问操作的模式进行统计学习和参数匹配，基于匹配结果识别的数据访问路径，得到最终访问者的信息。本发明专利技术提升了识别方法在复杂系统环境下的准确性，提高了参数比较的精确性。

【技术实现步骤摘要】
一种从服务器访问资源的方法
本专利技术涉及信息系统，特别涉及一种从服务器访问资源的方法。
技术介绍
随着医疗行业对以医疗质量为核心信息系统的依赖性日益增强，数据库等核心信息资产的安全问题越来越受到企业的关注。在此背景下，各种面向应用层的数据库安全解决方案开始得到应用。这些解决方案的普遍模式是:首先采集每一个数据访问活动的发起者(信息源)及其操作特征，然后识别和重现每一个独立信息源在一定时间窗内的活动序列即访问路径，以进行深入的行为分析和异常发现。对于这些安全方案而言，识别出每一个单独数据库操作的源信息(包括用户识别信息，终端识别信息等)，进而重建其访问路径，是正确应用行为分析模块的关键。但是另一方面，当前的医疗管理信息系统大多采用多层信息架构，往往在一个系统中，会包含多层中间件或中间层应用系统。在此情况下，当访问操作从用户端发起后，需要流经多个异构系统，以层级代理方式被多次重装和转换后，最终进入数据库系统处理队列。比如，在采用B/S架构的企业资源规划(ERP)系统中，用户虽然以自身账号登录Web系统(如Servlet等)并执行业务操作，但最终的数据库访问请求是由该Web系统生成并提交给数据库。因此，数据库系统所记录的轨迹信息中所体现的发起者源信息往往只是指向某一中间层系统，而非其最初始访问点，导致数据库安全解决方案无法正确分析。针对这一问题，主流厂商引入了专门的嵌入式监控模块，扩展了底层数据通信协议，但这些方案只适用于企业内部所有相关系统都来自同一厂商，或者与之兼容的情况。而对于大多数企业，若想应用该方案，只能对其现有各系统进行重构，其成本和时间往往难以承受。因此，针对相关技术中所存在的上述问题，目前尚未提出有效的解决方案。
技术实现思路
为解决上述现有技术所存在的问题，本专利技术提出了一种从服务器访问资源的方法，用于多层信息平台，包括:接收用户对多层信息平台的数据库访问操作；对所述数据库访问操作的模式进行统计学习和参数匹配；基于参数匹配结果识别的数据访问路径，得到最终访问者的信息。优选地，所述数据库访问操作包括以下步骤:用户使用终端系统通过应用程序界面向中间层应用系统提交业务操作命令，向指定URL发送HTTP封包，用户请求来源信息被记录在业务请求数据封包中，将该业务请求标记为变量r；中间层应用系统的对应应用接口收到业务请求r，分析其中的请求来源标识，验证合法性，当验证通过后，系统调用中间件完成相关计算并生成一条或多条数据库访问命令并依次发送给数据库系统，每条数据库访问命令标识为变量q；数据库系统在收到命令q后，将其排入队列直至执行完毕，得到执行结果fq，返回给中间层应用接口；中间层应用接口在得到数据库命令执行结果fq后，将与此次业务操作有关的全部数据库访问命令依次发送给数据库系统，或将根据返回结果进一步生成的新的数据库访问命令发送给数据库系统，直至全部执行完毕，将最终业务操作结果fr返回给初始用户。本专利技术相比现有技术，具有以下优点:使用改进的时间窗和请求匹配，作为统计学习的重要规则，还提供了专门针对数据操作命令类型和单个请求来源数据操作参数的统计学习匹配功能，从而提升了识别方法在复杂系统环境下的准确性；兼顾了中间应用层保存并提交参数的情况；以相关性计算替代简单的等值比对，提高了参数比较的精确性。附图说明图1是根据本专利技术实施例的从服务器访问资源的方法的流程图。具体实施方式下文与图示本专利技术原理的附图一起提供对本专利技术一个或者多个实施例的详细描述。结合这样的实施例描述本专利技术，但是本专利技术不限于任何实施例。本专利技术的范围仅由权利要求书限定，并且本专利技术涵盖诸多替代，修改和等同物。在下文描述中阐述诸多具体细节以便提供对本专利技术的透彻理解。出于示例的目的而提供这些细节，并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本专利技术。图1是根据本专利技术实施例的从服务器访问资源的方法流程图。本专利技术的一方面提供了一种从服务器访问资源的方法，用于识别数据访问路径，使基于多层次异构平台的企业应用系统中，数据库服务器能够准确识别出数据操作的真实来源。该方法的主要环节包括:(1)基于时间序列的统计学习过程，具体包括命令模式的抽取与匹配，业务应用请求与数据库操作请求的参数匹配及服务器端参数序列匹配。(2)基于匹配模板的数据访问路径识别，实现数据库日志和安防系统对最终访问者的追踪操作。首先，在多层信息系统架构下，一次典型的数据库访问操作可以分解为以下步骤:(1)用户使用自己的终端系统，通过应用程序界面，向中间层应用系统提交业务操作命令，比如向指定URL发送HTTP封包。在此步骤中，真实请求来源信息被记录在业务请求数据封包中，本专利技术将该业务请求标识为变量r。(2)中间层应用系统的对应“应用接口”(即该系统中完成特定业务功能的子模块)收到业务请求r，分析其中的请求来源标识以验证合法性。验证通过后，系统将调用若干中间件或类似模块，完成相关计算并生成一条或多条数据库访问命令并依次发送给数据库系统。本专利技术用变量q表示每条数据库访问命令。(3)数据库系统在收到命令q后，将其排入队列直至执行完毕，得到执行结果fq，将其返回给中间层应用接口。(4)中间层应用系统在得到数据库命令执行结果fq后，根据业务逻辑要求，在需要时继续重复步骤(2)和步骤(3)，将与此次业务操作有关的全部数据库访问命令(或根据返回结果进一步生成的新的数据库访问命令)依次发送给数据库系统，直至全部执行完毕，将最终业务操作结果fr返回给初始用户。这些数据库访问命令被称作由业务请求r触发。统计学习过程本专利技术提出的数据访问路径识别方案，首先需要对多层信息架构中的日常数据库访问模式进行统计学习。其统计学习过程包含4个方面:(1)样本数据采集；(2)中间层应用系统数据库命令模式识别；(3)业务请求集合R与数据库操作命令集合Q的操作参数匹配；(4)对仅存储于服务器端的用户参数进行序列匹配。1.样本数据采集数据访问路径识别方法的训练样本主要来自于各层系统的日志文件，包括以下不间断日志信息:(1)业务请求数据(来自于各中间层业务系统日志)，表示为业务请求集合R＝{r1，…，rn}，其中每单条业务请求记录ri中须包含前一发起者的地址信息，发起用户账号(针对第1层中间应用系统)，业务操作参数(将被转化为数据库操作参数)，请求发起时间及目标应用接口的标识。(2)数据库命令记录(来自于数据库系统日志)，表示为数据库操作命令集合Q＝{q1，…，qm}，其中每单条操作命令记录须包含目标数据库名称，SQL或其它类型的操作命令字符串以及命令提交时间等。操作命令字符串由专门语法解析模块分解为命令模式cj和操作参数向量pi两部分。(3)数据库操作结果反馈集合Fq＝{fq1，…，fqm}，其中每个结果反馈信息fqi均对应于相应的数据库操作命令qi∈Q。对于大多数常见数据库系统的通信协议数据结构，二者间对应关系可以通过侦听封包中的端口号和命令流水号(sequenceID)准确判断。(4)中间层系统业务操作结果反馈集合Fr＝{fr1，…，frn}，其中每个反馈记录fri均对应到单个业务请求ri。一般而言，通过记录比较各请求和反馈数据封包的会话ID(sessionID)和应用接口标识，能够准确识别出二者间的对应关系。2.命本文档来自技高网...

【技术保护点】
一种从服务器访问资源的方法，用于多层信息平台，其特征在于，包括:接收用户对多层信息平台的数据库访问操作；对所述数据库访问操作的模式进行统计学习和参数匹配；基于参数匹配结果识别的数据访问路径，得到最终访问者的信息。

【技术特征摘要】
1.一种从服务器访问资源的方法，用于在多层信息平台中识别数据访问路径，其特征在于，包括:对多层信息平台的数据库访问操作的模式进行统计学习和参数匹配，基于匹配结果识别的数据访问路径，得到最终访问者的信息；所述数据库访问操作包括以下步骤:用户使用终端系统通过应用程序界面向中间层应用系统提交业务操作命令，向指定URL发送HTTP封包，用户请求来源信息被记录在业务请求数据封包中，将该业务请求标记为变量r；中间层应用系统的对应应用接口收到业务请求r，分析其中的请求来源标识，验证合法性，当验证通过后，系统调用中间件完成相关计算并生成一条或多条数据库访问命令并依次发送给数据库系统，每条数据库访问命令标识为变量q；数据库系统在收到命令q后，将其排入队列直至执行完毕，得到执行结果fq，返回给中间层应用接口；中间层应用接口在得到数据库命令执行结果fq后，将与此次业务操作有关的全部数据库访问命令依次发送给数据库系统，或将根据返回结果进一步生成的新的数据库访问命令发送给数据库系统，直至全部执行完毕，将最终业务操作结果fr返回给初始用户；所述统计学习包含对中间层应用系统数据库的命令模式识别，并且所述命令模式识别进一步包括：在对特定数据库操作命令追踪时，首先匹配出各个命令模式与每个应用接口之间的对应关系，以将候选范围缩小到针对该应用接口的业务请求，首先，对于每个操作命令...

【专利技术属性】
技术研发人员：余哲旭，赵大全，
申请(专利权)人：成都维远艾珏信息技术有限公司，
类型：发明
国别省市：四川;51