定位访问数据库用户主机信息的方法技术

本发明专利技术提供了一种定位访问数据库用户主机信息的方法及装置，包括将获取的网络数据的在数据库安全审计系统中生成数据库审计记录并存入数据库中，获取关联规则配置过程中的应用服务器端的信息，根据应用服务器端得主机地址和端口信息将获取的网络数据按业务协议的解析规则对应用服务器端获取的网络数据进行业务解析，生成业务审计记录，再按照自定义的关联配置规则将数据库审计记录和业务审计记录相关联，从而得到访问数据库用户的主机信息。本发明专利技术能够实现快速定位访问数据库用户的主机信息，通过自定义规则产生相应的信息，减少非法用户对数据的篡改或删除操作，增加数据库系统的安全性。

【技术实现步骤摘要】

本专利技术涉及数据库安全审计
，更为具体地，涉及一种及装置。
技术介绍
数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为，通过对网络数据的分析，实时地、智能地解析对数据库服务器的各种操作，并记入审计数据库中以便日后进行查询、分析、过滤，实现对目标数据库系统的用户操作的监控和审计。它可以监控和审计用户对数据库中的数据库表、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的创建、修改和删除等，分析的内容可以精确到SQL操作语句一级。它还可以根据设置的规则，智能的判断出违规操作数据库的行为，并对违规行为进行记录、报警。由于数据库安全审计系统是以网络旁路的方式工作于数据库主机所在的网络，因此它可以在根本不改变数据库系统的任何设置的情况下对数据库的操作实现跟踪记录、定位，实现数据库的在线监控，在不影响数据库系统自身性能的前提下，实现对数据库的在线监控和保护，及时地发现网络上针对数据库的违规操作行为并进行记录、报警和实时阻断，有效地弥补现有应用业务系统在数据库安全使用上的不足，为数据库系统的安全运行提供有力保障。图8示出了现有数据库安全审计系统网络的部署示意图。如图8所示，现有数据库安全审计系统只监控数据库服务器接入的交换机上数据库操作信息，而现有网络环境中访问数据库通常会采用中间件的方式，假设在应用服务器上，采用中间件的方式访问数据库服务器，数据库安全审计系统在监测数据库操作的同时，只能定位到访问数据库的操作是应用服务器发起的，而无法确定具体是从哪台主机发起的请求。当存在非法的用户，采用SQL注入等方式，造成数据被恶意篡改或删除时，就无法定位具体是由哪台主机发起的。同时这个问题还存在下面这种情况:在内网的环境内，存在一台应用服务器，拥有双网卡，其中一个网卡接在内网的交换机中，另外一个网卡接在另外的交换机上，该交换机用来连接其它网络，当然这台应用服务器通常会关掉大部分端口，只开启必要的服务端口，例如只开启22端口。在这种情况下就会存在一个漏洞，非法用户可以在应用服务器上面安装一个端口代理软件，通过应用服务器做中转获取数据库中的数据，以Mysql数据库为例，数据库访问端口通常为3306，端口代理软件可以在内网中使用内网IP地址访问数据库服务器的3306端口，然后将获取的数据转发外网地址的22端口，同时也可以将22端口的数据转发给3306，从而形成一条数据通路，达到外网主机访问内网数据库的功能。在数据库安全审计系统中，最重要的是要定位到具体是哪台主机用哪个数据库用户访问了数据库，而从以上两种情况来看，不管是中间件还是端口代理，他们都隐藏了访问数据库用户的主机信息，系统只能定位到安装中间件或者是安装端口代理软件的这台主机，而不能定位具体是哪台主机使用了中间件或者是端口代理软件访问的数据库。
技术实现思路
鉴于上述问题，本专利技术的目的是提供一种及装置能够快速定位访问数据库用户的主机信息。根据本专利技术的一个方面，提供一种，包括:获取网络数据；将获取的网络数据在数据库安全审计系统中生成数据库审计记录，并将数据库审计记录存入数据库中；获取关联规则配置过程中应用服务器端的信息，根据应用服务器端的主机地址和端口信息，将获取的网络数据按业务协议的解析规则对应用服务器端的业务协议进行业务解析，生成业务审计记录，并将业务审计记录存入数据库中；将所述数据库审计记录和所述业务审计记录根据关联配置规则进行关联，并将关联结果存入数据库中；将所述数据库审计记录和所述业务审计记录的关联结果在关联结果展现界面上呈现出来。其中，按照业务协议的解析规则对应用服务器端的业务协议进行业务解析的过程包括:判断业务协议是否为数据库业务协议，如果是数据库业务协议，则将业务协议解析生成数据库审计记录；如果不是数据库业务协议，判断业务协议是否为网页请求，如果是网页请求，则将业务协议解析生成网页审计记录；如果不是网页请求，则将业务协议的数据直接存放于数据库中。另一方面，本专利技术还提供一种定位访问数据库用户主机信息的装置，包括:网络数据获取单元，用于获取网络数据；数据库安全审计单元，用于对获取的网络数据进行解析，在数据库安全审计系统中生成数据库审计记录；业务分析单元，用于获取关联规则配置过程中应用服务器端的信息，根据应用服务器端的主机地址和端口信息，将获取的网络数据按业务协议的规则对应用服务器端的业务进行业务解析，并生成业务审计记录；关联分析单元，用于根据关联配置规则，关联所述数据库审计记录和所述业务审计记录;数据库单元，用于存储所述数据库审计记录、业务审计记录和数据库审计记录与所述业务审计记录的关联结果；界面呈现单元，用于直观显示关联规则配置界面和关联结果展现界面。利用上述根据本专利技术的和装置，通过对业务审计结果和数据审计结果的关联，能够实现快速定位访问数据库用户的主机信息，通过自定义规则产生相应的信息，减少非法用户对数据的篡改或删除操作，增加数据库系统的安全性。为了实现上述以及相关目的，本专利技术的一个或多个方面包括后面将详细说明并在权利要求中特别指出的特征。下面的说明以及附图详细说明了本专利技术的某些示例性方面。然而，这些方面指示的仅仅是可使用本专利技术的原理的各种方式中的一些方式。此外，本专利技术旨在包括所有这些方面以及它们的等同物。附图说明通过参考以下结合附图的说明及权利要求书的内容，并且随着对本专利技术的更全面理解，本专利技术的其它目的及结果将更加明白及易于理解。在附图中:图1为本专利技术实施例的流程示意图；图2为本专利技术实施例的关联规则配置界面中的添加数据库的主机地址界面信息示意图；图3为本专利技术实施例的关联规则配置界面中的业务识别界面信息示意图；图4为本专利技术实施例的关联规则配置界面中的业务关联配置界面信息示意图；图5为本专利技术实施例的业务协议解析的规则流程示意图；图6为本专利技术实施例的关联结果展现界面信息示意图；图7为本专利技术实施例的定位访问数据库用户主机信息的装置结构示意图；图8为现有数据库安全审计系统网络的部署示意图。在所有附图中相同的标号指示相似或相应的特征或功能。具体实施例方式以下将结合附图对本专利技术的具体实施例进行详细描述。图1示出了本专利技术实施例的一种流程示意图，如图1所示:SllO:获取网络数据；S120:将获取的网络数据在数据库安全审计系统中生成数据库审计记录，并将数据库审计结果存入数据库中；S130:获取关联规则配置过程中的应用服务器端的信息，根据应用服务器端的主机地址和端口信息，将获取的网络数据按业务协议的解析规则对应用服务器端的业务协议进行业务解析，生成业务审计记录，并将业务审计记录存入数据库中；S140:将数据库审计记录和业务审计记录根据关联配置规则进行关联，并将关联结果存入数据库中；S150:将数据库审计记录和业务审计记录的关联结果呈现在关联结果展现界面上。可以看出，图1所示的技术方案，是在原有的数据库安全审计流程的基础上，增加了对应用服务器中业务数据的处理和关联性为分析，对数据库审计结果和业务审计结果按照设计的规则进行关联，通过分析得到访问数据库用户的主机信息。下面将分别对专利技术中的步骤进行详细说明。其中，步骤SllO中获取网络数据的过程主要实现报文获取，碎片重组，会话跟踪，分析调度等功能，具体可以包括如下流程:Slll:从网络驱动中本文档来自技高网...

【技术保护点】
一种定位访问数据库用户主机信息的方法，包括：获取网络数据；将获取的网络数据在数据库安全审计系统中生成数据库审计记录并将所述数据库审计记录存入数据库中；获取关联规则配置过程中的应用服务器端的信息，根据所述应用服务器端的主机地址和端口信息，将获取的网络数据按业务协议的解析规则对应用服务器端的业务协议进行业务解析，生成业务审计记录，并将所述业务审计记录存入数据库中；将所述数据库审计记录和所述业务审计记录根据关联配置规则进行关联，并将关联结果存入数据库中；将所述数据库审计记录和所述业务审计记录的关联结果在关联结果展现界面上呈现出来。

【技术特征摘要】
1.一种定位访问数据库用户主机信息的方法，包括: 获取网络数据； 将获取的网络数据在数据库安全审计系统中生成数据库审计记录并将所述数据库审计记录存入数据库中； 获取关联规则配置过程中的应用服务器端的信息，根据所述应用服务器端的主机地址和端口信息，将获取的网络数据按业务协议的解析规则对应用服务器端的业务协议进行业务解析，生成业务审计记录，并将所述业务审计记录存入数据库中； 将所述数据库审计记录和所述业务审计记录根据关联配置规则进行关联，并将关联结果存入数据库中； 将所述数据库审计记录和所述业务审计记录的关联结果在关联结果展现界面上呈现出来。2.按权利要求1所述的定位访问数据库用户主机信息的方法，其中，所述获取网络数据的过程包括: 从网络驱动中获取报文，保存到本地的报文缓冲队列中，等待碎片重组处理； 如果从所述报文缓冲队列中获取的数据包不能保证是完整和有序的，则对不完整的碎片包进行重组，解决乱序问题； 将报文识别为流，并分析所述流的所属用户，统计报文计数、流量信息； 将整理好的会话信息和报文按协议ID的类型，分发到指定的审计分析函数中。3.按权利要求1所述的定位访问数据库用户主机信息的方法，其中，所述关联规则配置过程包括: 添加数据库的主机地址； 添加应用服务器端的业务识别信息，所述业务识别信息包含应用服务器的主机地址和端口信息，其中，所述应用服务器端的业务识别方法包括:判断业务是否为数据库业务，如果不是，判断业务是否为网页请求，如果不是，则为自定义业务； 根据所述业务识别界面识别的业务类型判断业务是否为网页请求，如果是网页请求，则在业务关联配置界面手动添加url相关参数；如果不是网页请求，则不添加url相关参数。4.按权利要求1所述的定位访问数据库用户主机信息的方法,其中，按照业务协议的解析规则对应用服务器端的业务协议进行业务解析的过程包括: 判断业务协议是否为数据库业务协议，如果是数据库业务协议，则将业务协议解析生成数据库审计记录；如果不是数据库业务协议，判断业务协议是否为网页请求，如果是网页请求，则将业务协议解析生成网页审计记录；如果不是网页请求，则将业务协议的数据直接存放于数据库中。5.按权利要求1所述的定位访问数据库用户主机信息的方法，其中，将所述数据库审计记录和所述业务审计记录根据关联配置规则进行关联的过程包括: 读取所述业务审计记录的时间戳，通过所述时间戳调用数据库安全审计系统中的接口函数，获得相关的数据库审计记录； 判断所述数据库审计记录中的信息与所述业务关联配置过程中配置的配置项是否一致，如果一致，根据预设的权值加上时间的权值，计算数据库审计记录和业务审计记录的权值。6.按权利要求5所述的定位访问数据库用户主机信息的方法...

【专利技术属性】
技术研发人员：刘凯，王升平，
申请(专利权)人：北京中创信测科技股份有限公司，
类型：发明
国别省市：