亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

數(shù)據庫內容深度還原方法

文檔序號:6369768閱讀:270來源:國知局
專利名稱:數(shù)據庫內容深度還原方法
技術領域
本發(fā)明涉及信息審計技術領域,具體涉及ー種數(shù)據庫內容深度還原方法。
背景技術
數(shù)據庫是任何商業(yè)和公共安全中最具有戰(zhàn)略性的資產,通常都保存著重要的商業(yè)伙伴和客戶信息,這些信息需要被保護起來,以防止競爭者和其他非法者獲取,互聯(lián)網的急速發(fā)展使得企業(yè)數(shù)據庫信息的價值及可訪問性得到了提升,同時,也致使數(shù)據庫信息資產面臨嚴峻的挑戰(zhàn),安全面臨著諸多問題,由于計算機軟硬件故障、黑客入侵、病毒侵害等原因會導致數(shù)據庫系統(tǒng)不能正常運轉、數(shù)據丟失等,然而更高的風險來源于企業(yè)內部,企業(yè)內部人員非法訪問、惡意篡改等操作,給數(shù)據庫系統(tǒng)帶來的威脅更是災難性的,隨著企業(yè)的不斷成長,對數(shù)據庫的審計也成了企業(yè)內控的重中之重。
伴隨著數(shù)據庫信息價值以及可訪問性提升,使得數(shù)據庫面對來自內部和外部的安全風險大大增加,如違規(guī)越權操作、惡意入侵導致機密信息竊取泄漏,但事后卻無法有效追溯和審計。近年來,有關數(shù)據庫的安全事故可謂層出不窮,諸如銀行內部數(shù)據信息泄露造成的賬戶資金失密、信用卡信息被盜用導致的信用卡偽造、企業(yè)內部機密數(shù)據泄露引起的競爭力下降,這些情況無不說明了實施數(shù)據庫安全審計的必要。概括起來主要表現(xiàn)在以下三個層面
管理層面主要表現(xiàn)為人員的職責、流程有待完善,內部員エ的日常操作有待規(guī)范,第三方維護人員的操作監(jiān)控失效等等,致使安全事件發(fā)生時,無法追溯并定位真實的操作者。技術層面現(xiàn)有的數(shù)據庫內部操作不明,無法通過外部的任何安全工具(比如防火墻、IDS、IPS等)來阻止內部用戶的惡意操作、濫用資源和泄露企業(yè)機密信息等行為。審計層面現(xiàn)有的依賴于數(shù)據庫日志文件的審計方法,存在諸多的弊端,比如數(shù)據庫審計功能的開啟會影響數(shù)據庫本身的性能、數(shù)據庫日志文件本身存在被篡改的風險,難于體現(xiàn)審計信息的真實性。

發(fā)明內容
本發(fā)明所解決的技術問題是提供ー種數(shù)據庫內容深度還原方法,以克服數(shù)據庫重要信息被隨意改動,而且沒有證據的問題。為解決上述的技術問題,本發(fā)明采取的技術方案
ー種數(shù)據庫內容深度還原方法,其特殊之處在于所述的還原方法通過以下步驟實
現(xiàn)
(I)、預處理階段
將網卡設置為混雜模式,通過Libpcap進行循環(huán)抓包,Libpcap采用零拷貝技術把用戶內存映射到內核中,抓取到的數(shù)據包通過鏈路層解碼、協(xié)議層處理和流重組,將還原好的流寫入文件,如果該條四元組鏈接30秒內沒有新數(shù)據,則寫入流文件結束,并且關閉該流文件,通知協(xié)議解析模塊,還原流文件已經生成,可以讀取流文件,分析每ー行數(shù)據,獲取是否有數(shù)據庫操作語句,如果30秒內有新數(shù)據,先判斷是否該四元組建立過文件,如果建立過文件,就將這些數(shù)據追加到已經建立文件的后面,如果沒有建立文件,新建立文件;
(2)、匹配階段
預處理結束后,通知協(xié)議解析模塊,該進程讀取創(chuàng)建好的數(shù)據庫操作流文件,一行一行的讀取文件,調用kmt算法,解析該行中的真實數(shù)據庫操作。上述的步驟(I)預處理階段還可以采用pfring進行抓包。與現(xiàn)有技術相比,本發(fā)明的有益效果 本發(fā)明可以真實還原數(shù)據庫操作過程,可有效監(jiān)控數(shù)據庫訪問行為,準確掌握數(shù)據庫系統(tǒng)的安全狀態(tài),及時發(fā)現(xiàn)違反數(shù)據庫安全策略的事件并實時告警、記錄,便于進行安全事件定位分析,事后追查取證,從而保障數(shù)據庫安全,數(shù)據庫內容被完全還原之后,還可以在現(xiàn)有基礎上分析是否有違規(guī)關鍵詞。


圖I為本發(fā)明的流程圖。
具體實施例方式下面結合附圖和具體實施方式
對本發(fā)明進行詳細說明。參見圖1,發(fā)明通過以下步驟實現(xiàn)
(I)、預處理階段
將網卡設置為混雜模式,通過Libpcap進行循環(huán)抓包,Libpcap采用零拷貝技術把用戶內存映射到內核中,抓取到的數(shù)據包通過鏈路層解碼、協(xié)議層處理和流重組,將還原好的流寫入文件,如果該條四元組鏈接30秒內沒有新數(shù)據,則寫入流文件結束,并且關閉該流文件,通知協(xié)議解析模塊,還原流文件已經生成,可以讀取流文件,分析每ー行數(shù)據,獲取是否有數(shù)據庫操作語句,如果30秒內有新數(shù)據,先判斷是否該四元組建立過文件,如果建立過文件,就將這些數(shù)據追加到已經建立文件的后面,如果沒有建立文件,新建立文件。本發(fā)明還可以采用pfring進行抓包。(2)、匹配階段
預處理結束后,通知協(xié)議分析進程,該進程讀取創(chuàng)建好的數(shù)據庫操作流文件,一行一行的讀取文件,調用kmt算法,解析該行中的真實數(shù)據庫操作。kmt算法是在該行中查找是否有例如“select drop delete create commit alter truncate insert update rollback/,等關鍵sql命令,如果有上述關鍵sql命令,則認為該行中有sql語句,關鍵詞不僅支持上述命令,也支持用戶輸入。下面MYSQL數(shù)據庫為例,具體說明。MYSQL訪問數(shù)據庫通過Libpcap抓包組流后,產生流文件內容如下表
權利要求
1.ー種數(shù)據庫內容深度還原方法,其特征在于所述的還原方法通過以下步驟實現(xiàn) (1)、預處理階段 將網卡設置為混雜模式,通過Libpcap進行循環(huán)抓包,Libpcap采用零拷貝技術把用戶內存映射到內核中,抓取到的數(shù)據包通過鏈路層解碼、協(xié)議層處理和流重組,將還原好的流寫入文件,如果該條四元組鏈接30秒內沒有新數(shù)據,則寫入流文件結束,并且關閉該流文件,通知協(xié)議解析模塊,還原流文件已經生成,可以讀取流文件,分析每ー行數(shù)據,獲取是否有數(shù)據庫操作語句,如果30秒內有新數(shù)據,先判斷是否該四元組建立過文件,如果建立過文件,就將這些數(shù)據追加到已經建立文件的后面,如果沒有建立文件,新建立文件; (2)、匹配階段 預處理結束后,通知協(xié)議解析模塊,該進程讀取創(chuàng)建好的數(shù)據庫操作流文件,一行一行的讀取文件,調用kmt算法,解析該行中的真實數(shù)據庫操作。
2.根據權利要求I所述的數(shù)據庫內容深度還原方法,其特征在于所述的步驟(I)預處理階段還可以采用Pfring進行抓包。
全文摘要
本發(fā)明涉及一種數(shù)據庫內容深度還原方法。本發(fā)明的還原方法通過以下步驟實現(xiàn)(1)、預處理階段;(2)、匹配階段預處理結束后,通知協(xié)議解析模塊,該進程讀取創(chuàng)建好的數(shù)據庫操作流文件,一行一行的讀取文件,調用kmt算法,解析該行中的真實數(shù)據庫操作。本發(fā)明可以真實還原數(shù)據庫操作過程,可有效監(jiān)控數(shù)據庫訪問行為,準確掌握數(shù)據庫系統(tǒng)的安全狀態(tài),及時發(fā)現(xiàn)違反數(shù)據庫安全策略的事件并實時告警、記錄,便于進行安全事件定位分析,事后追查取證,從而保障數(shù)據庫安全,數(shù)據庫內容被完全還原之后,還可以在現(xiàn)有基礎上分析是否有違規(guī)關鍵詞。
文檔編號G06F21/00GK102693298SQ20121015280
公開日2012年9月26日 申請日期2012年5月17日 優(yōu)先權日2012年5月17日
發(fā)明者何建鋒, 周靜, 陳曉兵 申請人:西安交大捷普網絡科技有限公司
網友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1