[发明专利]一种从服务器访问资源的方法

说明书

技术领域

本发明涉及信息系统，特别涉及一种从服务器访问资源的方法。

背景技术

随着医疗行业对以医疗质量为核心信息系统的依赖性日益增强，数据库等核心信息资产的安全问题越来越受到企业的关注。在此背景下，各种面向应用层的数据库安全解决方案开始得到应用。这些解决方案的普遍模式是:首先采集每一个数据访问活动的发起者(信息源)及其操作特征，然后识别和重现每一个独立信息源在一定时间窗内的活动序列即访问路径，以进行深入的行为分析和异常发现。

对于这些安全方案而言，识别出每一个单独数据库操作的源信息(包括用户识别信息，终端识别信息等)，进而重建其访问路径，是正确应用行为分析模块的关键。但是另一方面，当前的医疗管理信息系统大多采用多层信息架构，往往在一个系统中，会包含多层中间件或中间层应用系统。在此情况下，当访问操作从用户端发起后，需要流经多个异构系统，以层级代理方式被多次重装和转换后，最终进入数据库系统处理队列。比如，在采用B/S架构的企业资源规划(ERP)系统中，用户虽然以自身账号登录Web系统(如Servlet等)并执行业务操作，但最终的数据库访问请求是由该Web系统生成并提交给数据库。因此，数据库系统所记录的轨迹信息中所体现的发起者源信息往往只是指向某一中间层系统，而非其最初始访问点，导致数据库安全解决方案无法正确分析。

针对这一问题，主流厂商引入了专门的嵌入式监控模块，扩展了底层数据通信协议，但这些方案只适用于企业内部所有相关系统都来自同一厂商，或者与之兼容的情况。而对于大多数企业，若想应用该方案，只能对其现有各系统进行重构，其成本和时间往往难以承受。

因此，针对相关技术中所存在的上述问题，目前尚未提出有效的解决方案。

发明内容

为解决上述现有技术所存在的问题，本发明提出了一种从服务器访问资源的方法，用于多层信息平台，包括:接收用户对多层信息平台的数据库访问操作；

对所述数据库访问操作的模式进行统计学习和参数匹配；

基于参数匹配结果识别的数据访问路径，得到最终访问者的信息。

优选地，所述数据库访问操作包括以下步骤:

用户使用终端系统通过应用程序界面向中间层应用系统提交业务操作命令，向指定URL发送HTTP封包，用户请求来源信息被记录在业务请求数据封包中，将该业务请求标记为变量r；

中间层应用系统的对应应用接口收到业务请求r，分析其中的请求来源标识，验证合法性，当验证通过后，系统调用中间件完成相关计算并生成一条或多条数据库访问命令并依次发送给数据库系统，每条数据库访问命令标识为变量q；

数据库系统在收到命令q后，将其排入队列直至执行完毕，得到执行结果f_q，返回给中间层应用接口；

中间层应用接口在得到数据库命令执行结果f_q后，将与此次业务操作有关的全部数据库访问命令依次发送给数据库系统，或将根据返回结果进一步生成的新的数据库访问命令发送给数据库系统，直至全部执行完毕，将最终业务操作结果f_r返回给初始用户。

本发明相比现有技术，具有以下优点:

使用改进的时间窗和请求匹配，作为统计学习的重要规则，还提供了专门针对数据操作命令类型和单个请求来源数据操作参数的统计学习匹配功能，从而提升了识别方法在复杂系统环境下的准确性；兼顾了中间应用层保存并提交参数的情况；以相关性计算替代简单的等值比对，提高了参数比较的精确性。

附图说明

图1是根据本发明实施例的从服务器访问资源的方法的流程图。

具体实施方式

下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明，但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定，并且本发明涵盖诸多替代，修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节，并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。

图1是根据本发明实施例的从服务器访问资源的方法流程图。本发明的一方面提供了一种从服务器访问资源的方法，用于识别数据访问路径，使基于多层次异构平台的企业应用系统中，数据库服务器能够准确识别出数据操作的真实来源。该方法的主要环节包括: