本发明专利技术适用于计算机领域,提供了一种数据库审计方法、装置、WEB服务器、数据库审计系统和存储介质,该数据库审计方法包括:拦截用户端向WEB服务器发起的登录请求;获取对应的用户账户信息,以及获取或生成与用户账户信息关联的唯一性标识;拦截用户端与WEB服务器之间包含唯一性标识的第一业务流量,获取第一业务流量中针对目标数据库的交互事件信息;基于唯一性标识与用户账户信息的关联关系,将交互事件信息与用户账户信息进行关联,并将关联信息上传至数据库审计服务器。上述方案将唯一性标识与各项操作行为进行关联记录,通过流量拦截的方式获取信息,实现了精准的三层关联审计,实现了轻量化部署,在高并发的环境下仍能正常地进行三层关联审计。
【技术实现步骤摘要】
一种数据库审计方法、装置、WEB服务器、数据库审计系统和存储介质
本专利技术属于计算机领域,尤其涉及一种数据库审计方法、装置、WEB服务器、数据库审计系统和存储介质。
技术介绍
近年来,国内外企业生产、经营、财务数据泄露事件频频爆发,各行业对此也提高了针对企业数据保护的安全意识,计划完善数据安全体系,管理监控公司、业务等方面的数据库安全,目前纷纷在拓展一系列数据安全相关保障产品。传统的软件架构大多采用二层架构,应用层直接到数据库。在信息化发展越来越迅速的今天,二层架构可维护性低并且高耦合已经无法满足业务需求。而三层架构提高了信息系统的效率,具有高内聚,低耦合的特点,目前已经被广泛应用于目前的软件架构设计上,但是其审计难度也大大增加。三层架构导致信息割裂,一般数据库审计设备只能审计到WEB服务器的信息,无法准确定位到“业务端”访问应用系统的身份信息。软件的三层架构一般包括两头的客户端与数据库端,以及中间的WEB服务器端、中间件和复杂的WEB服务器组件;这三层架构之间并没有穿透,因此通常只知道前端某个WEB服务器在进行操作,但不知道具体是谁在从操作。为了解决该问题,行业内提供了较多解决方案,例如采用基于DCOM(MicrosoftDistributedComponentObjectModel,分布式组件对象模型)的三层关联审计,但是,这种方式在进行业务量高并发时均不能起到有效作用,关联的精确性较低。
技术实现思路
本专利技术实施例的目的在于提供一种数据库审计方法,旨在解决目前的三层关联审计方法在业务量高并发时关联的精确性较低的问题。本专利技术实施例是这样实现的,一种数据库审计方法,包括:拦截用户端向WEB服务器发起的登录请求;获取对应的用户账户信息,以及获取或生成与所述用户账户信息关联的唯一性标识;拦截所述用户端与所述WEB服务器之间包含所述唯一性标识的第一业务流量,获取所述第一业务流量中针对目标数据库的交互事件信息;基于所述唯一性标识与所述用户账户信息的关联关系,将所述交互事件信息与所述用户账户信息进行关联,并将关联信息上传至数据库审计服务器。本专利技术实施例还提供一种数据库审计装置,包括:第一拦截单元,用于拦截用户端向WEB服务器发起的登录请求;第一信息获取单元,用于获取对应的用户账户信息,以及获取或生成与所述用户账户信息关联的唯一性标识;第二拦截单元,用于拦截所述用户端与所述WEB服务器之间包含所述唯一性标识的第一业务流量,获取所述第一业务流量中针对目标数据库的交互事件信息;以及关联与上传单元,用于基于所述唯一性标识与所述用户账户信息的关联关系,将所述交互事件信息与所述用户账户信息进行关联,并将关联信息上传至数据库审计服务器。本专利技术实施例还提供一种WEB服务器,包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行所述数据库审计方法的步骤。本专利技术实施例还提供一种数据库审计系统,包括:所述WEB服务器;与所述WEB服务器通信连接的用户端;与所述WEB服务器通信连接的数据库服务器;以及与所述WEB服务器通信连接的数据库审计服务器。本专利技术实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行所述数据库审计方法的步骤。本专利技术实施例提供的一种数据库审计方法,其通过数据拦截的方式来获取用户账户信息、业务流量、交互行为事件,并将这些信息通过唯一性标识进行关联,从而将用户端的各项操作行为进行了精准追踪;其中通过流量拦截的方式可以获取到用户的所有的访问内容、数据操作内容等,并天然地实现了从用户端到WEB服务器/中间件,再到数据库的三层关联,无需再将用户对WEB服务器、数据库的操作行为通过各种手段或者算法与数据库审计日志进行关联,实现了轻量化部署,在高并发的环境下还能正常地进行三层关联审计;并且,这种方式确保了三层关联审计的准确性,只要数据的拦截、获取不遗漏,其审计准确率几乎达到了百分之百。附图说明图1为本专利技术实施例提供的数据库审计方法的应用环境图;图2为本专利技术实施例提供的数据库审计方法的流程图;图3为本专利技术实施例提供的数据库审计装置的结构框图;图4为一个实施例中计算机设备的内部结构框图;图5为本专利技术实施例提供的数据库审计系统的结构框图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。可以理解,本申请所使用的术语“第一”、“第二”等可在本文中用于描述各种元件,但除非特别说明,这些元件不受这些术语限制。这些术语仅用于将第一个元件与另一个元件区分。举例来说,在不脱离本申请的范围的情况下,可以将第一xx脚本称为第二xx脚本,且类似地,可将第二xx脚本称为第一xx脚本。图1为本专利技术实施例提供的数据库设计方法的应用环境图,在该应用环境中,包括用户终端110、WEB服务器120、数据库服务器130,以及数据库审计服务器140。其中,WEB服务器120、数据库服务器130、数据库审计服务器140可以是独立的物理服务器或终端,也可以是多个物理服务器构成的服务器集群,可以是提供云服务器、云数据库、云存储和CDN等基础云计算服务的云服务器。用户终端110可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。用户终端110与WEB服务器120之间、WEB服务器120与数据库服务器130之间、WEB服务器120与审计服务器之间均可以通过网络进行连接,本专利技术在此不做限制。为了简明起见,图1中示出的用户终端、WEB服务器、数据库服务器、数据库审计服务器均为1个,其数量可能小于一个实际数据库系统中各部件/模块的数量,但这并不影响所述数据库审计方法的清楚、充分公开,也不应理解为对本方法的实际应用架构的限制。在一种实施例中,涉及一种三层架构的网络应用系统,具体包括:部署于用户终端110上的用户端应用程序(或称用户端),部署于WEB服务器上的功能/服务组件、中间件,以及部署于数据库服务器130上的目标数据库。在一种情况中,所述数据库审计方法可通过部署于WEB服务器上的一些功能组件/模块/插件来配合实现,比如Agent模块(流量代理模块),其受控于部署于数据库审计服务器上的AgentManager模块(流量代理模块管理中心)。如图2所示,在一个实施例中,提出了一种数据库审计方法,本实施例主要以该方法应用于上述图1中的WEB服务器120来举例说明。具体的所述数据库审计方法,具体可以包括以下步骤:步骤S202,拦截用户端向WEB服务器发起的登录请求。在本实施例的一种情况中,所述数据审计方法是借助于部本文档来自技高网...
【技术保护点】
1.一种数据库审计方法,其特征在于,包括:/n拦截用户端向WEB服务器发起的登录请求;/n获取对应的用户账户信息,以及获取或生成与所述用户账户信息关联的唯一性标识;/n拦截所述用户端与所述WEB服务器之间包含所述唯一性标识的第一业务流量,获取所述第一业务流量中针对目标数据库的交互事件信息;/n基于所述唯一性标识与所述用户账户信息的关联关系,将所述交互事件信息与所述用户账户信息进行关联,并将关联信息上传至数据库审计服务器。/n
【技术特征摘要】
1.一种数据库审计方法,其特征在于,包括:
拦截用户端向WEB服务器发起的登录请求;
获取对应的用户账户信息,以及获取或生成与所述用户账户信息关联的唯一性标识;
拦截所述用户端与所述WEB服务器之间包含所述唯一性标识的第一业务流量,获取所述第一业务流量中针对目标数据库的交互事件信息;
基于所述唯一性标识与所述用户账户信息的关联关系,将所述交互事件信息与所述用户账户信息进行关联,并将关联信息上传至数据库审计服务器。
2.如权利要求1所述的数据库审计方法,其特征在于,所述获取对应的用户账户信息,包括:
从指定位置获取所述用户账户信息;或者
检测所述用户账户信息的存放位置,并从检测到的存放位置获取所述用户账户信息。
3.如权利要求1所述的数据库审计方法,其特征在于,所述获取或生成与所述用户账户信息关联的唯一性标识,包括:
从指定位置获取所述唯一性标识;或者检测所述唯一性标识的存放位置,并从检测到的存放位置获取所述唯一性标识;或者获取所述WEB服务器为所述用户端重新配置的唯一性标识;或者基于预设规则生成所述唯一性标识,并返回给所述用户端;
记录所述唯一性标识与所述用户账户信息的关联关系,并将所述关联关系上传至所述数据库审计服务器。
4.如权利要求1所述的数据库审计方法,其特征在于,
所述拦截所述用户端与所述WEB服务器之间包含所述唯一性标识的业务流量,获取所述业务流量中针对目标数据库的交互事件信息,包括:
拦截所述WEB服务器与所述用户端的传输接口的业务流量;
基于所述唯一性标识筛选出所述第一业务流量;
获取所述第一业务流量中的流量请求信息;
将所述流量请求信息添加为所述交互事件信息。
5.如权利要求4所述的数据库审计方法,其特征在于,所述获取所述第一业务流量中的流量请求信息,包括:
从所述第一业务流量中获取超文本传输协议数据;
筛选出包含Request类型字段的超文本传输协议数据,将其确定为流量请求信息。
6.如权利要求4所述的数据库审计方法,其特征在于,所述拦截所述WEB服务器与所述用户端的传输接口的业务流量,之后还包括:
获取与所述流量请求信息对应的返回结果信息和/或SQL语句信息;
将所述返回结果信息和/或所述SQL语句信息添加为所述交互事件信息。
7.如权利要求6所述的数据库审计方法,其特征在于,所述基于所述唯一性标识与所述用户账户信息的关联关系,将所述交互事件信息与所述用户账户信息进行关联,并将关联信息上传至数据库审计服务器,包括:
在拦截到所述流量请求信息时,基于所述唯一性标识与所述用户账户信息的关联关系,将所述流量请求信息与所述用户账户信息进行关联,将对应的关联信息记录为第一日志;
若拦截到与所述流量请求对应的所述返回结果信息和/或所述SQL语句信息时,将所...
【专利技术属性】
技术研发人员:程星星,
申请(专利权)人:程星星,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。