[发明专利]旁路式数据库访问侦听与还原的方法

说明书

                       技术领域

本发明涉及一种数据库访问侦听与还原的方法，尤其涉及一种旁路式数据库访问侦听与还原的方法。

                       背景技术

在大多数应用系统中，数据库是整个系统的核心，一旦数据库遭到破坏，可能会导致整个系统的瘫痪。除去对数据库主机的网络层和操作系统的威胁(这些通常通过防火墙，入侵检测和审计产品来防范)，数据库系统平台本身面临很多威胁，如机密数据被窃取、非授权数据库操作、提供虚假数据、身份冒用等。通常，数据库中提供日志的功能，但是这些日志存在以下的缺陷：

a、将消耗数据库主机的性能。日志功能将消耗大量CPU和硬盘资源，并且比较难以选择记录的内容，要么对某个方面全部记录，要么没有记录。这样的日志往往很快会充满硬盘。

b、信息不完全。操作系统提供的日志往往缺乏网络层的信息(如IP，MAC地址等)，而且难以区分真正的用户(应为大多数系统中不同用户采用的是同一数据库应户ID)，无法追溯到发起源，很难在查案中实用。

c、日志功能容易被绕过。非法用户可能更改数据库中的一些参数，使得日志关闭，或者使得数据库只记录简单数据，也可以使得系统某个卷写满使得日志文件无法增大。

d、日志容易被黑客篡改。当内部非法用户或者黑客获取机器的高级控制权，就可以删除整个日志甚至篡改日志，迷惑案件侦破人员或者栽赃他人。

在目前，网络已经成为各个应用系统不可缺少的因素，所以目前绝大多数的数据库是在网络环境下使用的，单机版的数据库目前已经很少使用。经过统计，目前在网络数据库中，使用得最多得是以下几种方式：

a、Client/Server方式。这是最传统和典型的数据库系统应用模式。大部分的分布式设据库都支持这种应用方式，在一个内部网络环境中，这种方式具有效率高，专业性强的特点，因此有少数系统的应用是基于这种模型开发的。

b、Browser/WEB Server/DBServer方式。这种模式是Internet/Intranet的技术普及之后兴起的一种方式，这种方式不需要客户端安装客户端软件，采用通用浏览器就可以实现数据库应用，比较易于管理和实现，是新兴的系统普遍采用的方式。

c、采用中间件方式：在大系统中，为了提高系统的效率或者使用冗余数据库等应用，采用中间件方式的数据库应用模式逐渐被推广。这种结构安全性比较高，扩展型好，易维护。

一个应用系统无论是用Client/Server，browser/WEB/DB Server模式还是使用中间件的模式，一般用户使用的操作工具是特殊Client软件或者通用Browser。但是内部的一些破坏性的用户可能使用一些数据库客户端工具(如Oracle中的sqlnet或者通过远程登录直接操作数据库中的数据。这种威胁对应用系统是致命的，用户可能篡改数据或者破坏整个系统。

                       发明内容

本发明的目的是提供一种不影响数据库性能、记录信息完整且日志安全的数据库访问侦听与还原的方法。

本发明的目的是这样实现的，在数据库用户和数据库服务器间的网络上连接一个数据库审计系统，所述数据库审计系统对数据库用户访问数据库服务器服务端口的数据进行过滤、旁路式侦听处理，并对侦听得到的信息进行解析还原处理后确定用户访问数据库的全部内容。

所述数据库审计系统包括有带有两块网卡的网探设备、审计中心软件、审计管理软件；所述审计中心软件进行数据收集，所述审计管理软件对审计中心软件收集的数据进行管理，并设置规则发送到网探设备上对侦听还原进行控制。

数据库审计系统对数据库用户访问数据库服务器服务端口的数据进行过滤，即对非针对数据库服务器的访问数据不进行侦听，对数据库服务器的非数据库服务端口的访问数据、数据库服务器返回的部分信息、数据库为解释用户指令成为数据库服务器可接受指令中生成的指令不进行解析还原。

所述旁路式侦听包括对数据库用户登录操作过程的侦听和对数据库用户访问操作过程的侦听。

所述对数据库用户登录操作过程的侦听包括以下步骤：

a、将数据库用户发送的登录请求数据包中的数据库协议协议头和协议的数据类型记录在数据包的连接表中；

b、将数据库服务器发送的接受请求数据包中的登录连接的协议版本、属性特征字记录在数据包的连接表中；

c、将通讯协议协商数据包中的协议类型、基本操作类型和数据库用户信息记录在数据包的连接表中。