一種數(shù)據(jù)庫審計監(jiān)測系統(tǒng)及其方法【專利摘要】本發(fā)明公開一種數(shù)據(jù)庫審計監(jiān)測系統(tǒng)及其方法,包括硬件部分和模塊部分,硬件部分包括交換機、局域網(wǎng)和數(shù)據(jù)庫審計服務器,交換機通過被鏡像端口在兩端均接入局域網(wǎng),并通過鏡像端口與數(shù)據(jù)庫審計服務器相連接,兩端的局域網(wǎng)分別與訪問數(shù)據(jù)庫客戶端以及數(shù)據(jù)庫服務器相連通;模塊部分包括WEB管理模塊、本地數(shù)據(jù)庫模塊、數(shù)據(jù)采集模塊和數(shù)據(jù)分析處理模塊。本發(fā)明通過數(shù)據(jù)分析處理模塊中的監(jiān)聽模塊監(jiān)測并記錄對數(shù)據(jù)庫服務器的各類操作行為,通過對網(wǎng)絡數(shù)據(jù)的分析,實時地、智能地解析對數(shù)據(jù)庫服務器的各種操作、惡意攻擊事件信息記入審計數(shù)據(jù)庫中以便日后進行查詢、分析,實現(xiàn)對目標數(shù)據(jù)庫系統(tǒng)操作的監(jiān)控和審計?!緦@f明】一種數(shù)據(jù)庫審計監(jiān)測系統(tǒng)及其方法【
技術領域:
】[0001]本發(fā)明涉及計算機領域,具體涉及一種針對電力行業(yè)的數(shù)據(jù)庫審計監(jiān)測系統(tǒng)及其方法。【
背景技術:
】[0002]隨著數(shù)據(jù)庫的廣泛應用以及用戶數(shù)據(jù)保護和操作監(jiān)控的意識逐漸增強,越來越多的用戶對數(shù)據(jù)庫安全方面提出了更高的要求:除了能夠支撐業(yè)務系統(tǒng)的正常運行外,還要求數(shù)據(jù)庫系統(tǒng)有較高的可靠性、保密性、可控性和可跟蹤性。對數(shù)據(jù)庫系統(tǒng)的各種操作是在有監(jiān)控的條件下進行的,同時,對重要數(shù)據(jù)的操作也要保留歷史痕跡。這樣,當出現(xiàn)了重大的涉密業(yè)務辦理失誤,需要進行責任追查認定時,通過數(shù)據(jù)庫審計為事后追蹤和責任認定提供有力的證據(jù)。[0003]傳統(tǒng)的安全設備,如:IDS/IPS、防火墻,都是針對于邊界防護,而且防護的方向對外而不是對內(nèi)的。通常數(shù)據(jù)庫服務器具有自身的日志審計功能,這樣的日志功能也分為多種類型,如:連接審計,C2審計,SQL語句跟蹤等,可以通過對配置項的修改,設置為啟動或關閉,然而這樣的日志審計功能有著其自身的缺陷和危害。日志審計功能并不能進行靈活的配置,僅僅是簡單的日志記錄,并不能幫助管理者及時發(fā)現(xiàn)問題,快速定位問題;數(shù)據(jù)庫自身的日志審計,并不具有監(jiān)測報警的功能,不能在第一時間將異常信息報告給數(shù)據(jù)庫管理者,只能用于問題查證;日志審計的記錄會存在一個特定文件或是一個表,惡意攻擊者或是具有權限的合法用戶都可以刪除這樣的日志文件,從而將記錄毀滅;對數(shù)據(jù)庫服務器的資源和性能都會產(chǎn)生影響:在開啟某些日志審計功能后,有時候如果無法對日志文件進行寫入時,就會導致數(shù)據(jù)庫停止;還有一些日志審計功能一旦開啟,記錄量非常大,占用了大量的硬盤空間,同時大大降低數(shù)據(jù)庫服務的性能,嚴重影響正常的應用的順利進行?!?br/>發(fā)明內(nèi)容】[0004]發(fā)明目的:本發(fā)明的目的在于解決現(xiàn)有技術中存在的不足,提供一種數(shù)據(jù)庫審計監(jiān)測系統(tǒng)及其方法。[0005]技術方案:本發(fā)明的一種數(shù)據(jù)庫審計監(jiān)測系統(tǒng),包括交換機、局域網(wǎng)和數(shù)據(jù)庫審計服務器,所述交換機通過被鏡像端口在兩端均接入局域網(wǎng),并通過鏡像端口與數(shù)據(jù)庫審計服務器相連接,所述兩端的局域網(wǎng)分別與訪問數(shù)據(jù)庫客戶端以及數(shù)據(jù)庫服務器相連通;所述數(shù)據(jù)庫審計服務器中包括WEB管理模塊、本地數(shù)據(jù)庫模塊、數(shù)據(jù)采集模塊和數(shù)據(jù)分析處理模塊:[0006]所述數(shù)據(jù)分析處理模塊對數(shù)據(jù)采集模塊從網(wǎng)卡上抓取到的網(wǎng)絡包進行分析,分析數(shù)據(jù)流,并對其中傳輸?shù)臄?shù)據(jù)庫協(xié)議數(shù)據(jù)包進行分析處理,解析出用戶進行的數(shù)據(jù)庫操作和對應的SQL語句,并根據(jù)策略分析本次操作是否需要記錄和報警;[0007]所述WEB管理模塊通過接口獲取數(shù)據(jù)分析處理模塊和數(shù)據(jù)采集模塊的狀態(tài),數(shù)據(jù)分析處理模塊維持系統(tǒng)網(wǎng)絡連接信息和數(shù)據(jù)庫會話信息,支持同時捕獲和分析多個客戶端對多個數(shù)據(jù)庫的訪問操作;[0008]所述本地數(shù)據(jù)庫模塊存儲審計對象信息及對應策略,并把審計到的數(shù)據(jù)寫入到數(shù)據(jù)庫表中,供WEB管理模塊查詢。[0009]優(yōu)化的,所述數(shù)據(jù)分析處理模塊如果分析出需要記錄或報警,則通過調(diào)用數(shù)據(jù)庫接口把解析結果和報警信息寫入數(shù)據(jù)庫,并且通過對SQL語句進行分析,提取出當前SQL操作的表和字段名稱,通過調(diào)用智能分析接口保存到數(shù)據(jù)中。[0010]優(yōu)化的,所述WEB管理模塊中設有策略管理模塊、系統(tǒng)管理模塊、用戶管理模塊、日志管理模塊和報表管理模塊,WEB管理模塊由數(shù)據(jù)分析處理模塊提供接口,并接受WEB管理模塊發(fā)送的配置改變通知,調(diào)用數(shù)據(jù)接口重新讀取系統(tǒng)配置。[0011]優(yōu)化的,所述數(shù)據(jù)分析處理模塊實時監(jiān)聽網(wǎng)絡中流動的數(shù)據(jù)報文,將符合規(guī)則要求的數(shù)據(jù)庫操作報文上傳到數(shù)據(jù)中心。[0012]優(yōu)化的,所述數(shù)據(jù)分析處理模塊部署在網(wǎng)絡的關鍵節(jié)點,并支持對多個數(shù)據(jù)源進行數(shù)據(jù)采集,數(shù)據(jù)中心收集數(shù)據(jù)分析處理模塊發(fā)來的審計數(shù)據(jù),并進行轉儲,分析,以及存儲最終的可讀解析數(shù)據(jù),并可接受來自訪問數(shù)據(jù)庫客戶端的數(shù)據(jù)挖掘請求。[0013]本發(fā)明還公開了一種數(shù)據(jù)庫審計監(jiān)測方法,包括以下步驟:[0014](1)開啟數(shù)據(jù)分析處理模塊中的監(jiān)控程序,參數(shù)為監(jiān)測網(wǎng)卡的名稱;[0015](2)將監(jiān)控程序進行初始化,讀取配置文件,并創(chuàng)建連接本地數(shù)據(jù)庫的連接地址,該地址為一全局變量;[0016](3)根據(jù)步驟(2)中的連接地址,將本地數(shù)據(jù)庫中的審計對象和策略全部讀入到結構體中,并創(chuàng)建一個守護線程;[0017](4)步驟(3)中的守護線程監(jiān)聽來自網(wǎng)頁的請求,并創(chuàng)建多個線程來響應網(wǎng)頁的請求與命令;[0018](5)進入監(jiān)測階段,利用抓包工具抓取原始數(shù)據(jù);[0019](6)將抓取到的數(shù)據(jù)交給使用IP協(xié)議解析出來源與目的IP,并首先匹配白名單;若客戶端IP在白名單內(nèi),則進行步驟(5);若客戶端IP在黑名單中,則進行步驟(7):[0020](7)將步驟¢)中的數(shù)據(jù)交給TCP協(xié)議解析解析出來源與目的端口;[0021](8)將數(shù)據(jù)整理成數(shù)據(jù)庫協(xié)議樣式的數(shù)據(jù),交由協(xié)議解析模塊來還原數(shù)據(jù)庫語句;[0022](9)還原的數(shù)據(jù)庫語句交由SQL語句模塊處理,分析出關鍵詞。[0023]進一步的,所述客戶端IP若與黑名單匹配成功,進行步驟(91),否則進行步驟(92);[0024](91)將解析出的會話與SQL語句寫入到審計系統(tǒng)中,進行步驟(5);[0025](92)若匹配策略成功,進行步驟(91),否則進行步驟(5)。[0026]以上步驟一直循環(huán)進行,實時審計監(jiān)測,并且系統(tǒng)的開啟與關閉可通過WEB管理模塊開控制。[0027]有益效果:與現(xiàn)有技術相比,本發(fā)明具有以下優(yōu)點:[0028](1)本發(fā)明不但不會增加數(shù)據(jù)庫系統(tǒng)自身的資源負擔,還能夠彌補數(shù)據(jù)系統(tǒng)自身審計一般對select語句審計的不足。[0029](2)本發(fā)明中的數(shù)據(jù)庫審計文件格式簡單統(tǒng)一、可進行進行事后分析取證,并且數(shù)據(jù)本機審計記錄的安全性能高,日志不易被清理丟失。[0030](3)本發(fā)明中的自由配置監(jiān)測策略可以有效防止管理員權限濫用;降低維護人員的安全隱患;保護重要數(shù)據(jù)安全;滿足合規(guī)性要求,促進IT審計;促進落實規(guī)章制度監(jiān)督管理機制。[0031](4)本發(fā)明除可以應用于電力行業(yè)數(shù)據(jù)庫,還可以應用于其他行業(yè),實用性強?!緦@綀D】【附圖說明】[0032]圖1為本發(fā)明中的設備架構示意圖;[0033]圖2為本發(fā)明的整體框架示意圖;[0034]圖3為本發(fā)明的邏輯示意圖;[0035]圖4為本發(fā)明的監(jiān)測程序流程示意圖?!揪唧w實施方式】[0036]下面對本發(fā)明技術方案結合附圖進行詳細說明。[0037]本發(fā)明中的數(shù)據(jù)庫審計監(jiān)測系統(tǒng),主要通過數(shù)據(jù)分析處理模塊中的監(jiān)聽模塊監(jiān)測并記錄對數(shù)據(jù)庫服務器的各類操作行為,通過對網(wǎng)絡數(shù)據(jù)的分析,實時地、智能地解析對數(shù)據(jù)庫服務器的各種操作、惡意攻擊事件信息記入審計數(shù)據(jù)庫中以便日后進行查詢、分析,實現(xiàn)對目標數(shù)據(jù)庫系統(tǒng)操作的監(jiān)控和審計。[0038]本發(fā)明可以審計監(jiān)測不同的數(shù)據(jù)庫,結構體中包含數(shù)據(jù)庫客戶端的IP范圍,白名單表示不審計此IP范圍內(nèi)的客戶端,黑名單表示此IP范圍內(nèi)的客戶端不論對數(shù)據(jù)庫做了什么操作全部記錄到審計系統(tǒng)中,而對于不在黑白名單內(nèi)的客戶端,則由policylist策略鏈表字段審計過濾,將滿足策略的數(shù)據(jù)庫語句寫入到數(shù)據(jù)庫審計系統(tǒng)中。[0039]如圖1至圖4所示,本發(fā)明的一種數(shù)據(jù)庫審計監(jiān)測系統(tǒng),包括交換機、局域網(wǎng)和數(shù)據(jù)庫審計服務器,交換機通過被鏡像端口在兩端均接入局域網(wǎng),并通過鏡像端口與數(shù)據(jù)庫審計服務器相連接,兩端的局域網(wǎng)分別與訪問數(shù)據(jù)庫客戶端以及數(shù)據(jù)庫服務器相連通;數(shù)據(jù)庫審計服務器中包括WEB管理模塊、本地數(shù)據(jù)庫模塊、數(shù)據(jù)采集模塊和數(shù)據(jù)分析處理模塊:[0040]其中數(shù)據(jù)分析處理模塊對數(shù)據(jù)采集模塊從網(wǎng)卡上抓取到的網(wǎng)絡包進行分析,分析數(shù)據(jù)流,并對其中傳輸?shù)臄?shù)據(jù)庫協(xié)議數(shù)據(jù)包進行分析處理,解析出用戶進行的數(shù)據(jù)庫操作和對應的SQL語句,并根據(jù)策略分析本次操作是否需要記錄和報警,如果分析出需要記錄或報警,則通過調(diào)用數(shù)據(jù)庫接口把解析結果和報警信息寫入數(shù)據(jù)庫,并且通過對SQL語句進行分析,提取出當前SQL操作的表和字段名稱,通過調(diào)用智能分析接口保存到數(shù)據(jù)中;WEB管理模塊通過接口獲取數(shù)據(jù)分析處理模塊和數(shù)據(jù)采集模塊的狀態(tài),數(shù)據(jù)分析處理模塊維持系統(tǒng)網(wǎng)絡連接信息和數(shù)據(jù)庫會話信息,支持同時捕獲和分析多個客戶端對多個數(shù)據(jù)庫的訪問操作;本地數(shù)據(jù)庫模塊存儲審計對象信息及對應策略,并把審計到的數(shù)據(jù)寫入到數(shù)據(jù)庫表中,供WEB管理模塊查詢。[0041]不管訪問數(shù)據(jù)庫客戶端以怎樣的方式連接到遠程數(shù)據(jù)庫服務器,最關鍵的是數(shù)據(jù)庫審計監(jiān)測系統(tǒng)對外連接的網(wǎng)口要連接在鏡像端口上,被鏡像端口連接有數(shù)據(jù)庫服務器的一端,這樣監(jiān)測程序可以抓取到客戶端操作數(shù)據(jù)庫的數(shù)據(jù),不需要原網(wǎng)絡做任何的修改調(diào)整,不影響實際業(yè)務網(wǎng)絡的正常運行。如果在數(shù)據(jù)庫服務器的部署比較分散,或者規(guī)模比較大,需要考慮支持一個引擎的多路采集,也需要考慮部署多個采集引擎。[0042]上述WEB管理模塊由數(shù)據(jù)分析處理模塊提供接口,并接受WEB管理模塊發(fā)送的配置改變通知,調(diào)用數(shù)據(jù)接口重新讀取系統(tǒng)配置。[0043]上述數(shù)據(jù)分析處理模塊實時監(jiān)聽網(wǎng)絡中流動的數(shù)據(jù)報文,將符合規(guī)則要求的數(shù)據(jù)庫操作報文上傳到數(shù)據(jù)中心,并且數(shù)據(jù)分析處理模塊可以部署在網(wǎng)絡的關鍵節(jié)點,并支持對多個數(shù)據(jù)源進行數(shù)據(jù)采集,數(shù)據(jù)中心收集數(shù)據(jù)分析處理模塊發(fā)來的審計數(shù)據(jù),并進行轉儲,分析,以及存儲最終的可讀解析數(shù)據(jù),并可接受來自訪問數(shù)據(jù)庫客戶端的數(shù)據(jù)挖掘請求。[0044]上述的數(shù)據(jù)庫審計監(jiān)測系統(tǒng)中涉及到的審計對象(數(shù)據(jù)庫應用系統(tǒng))、審計策略等所有信息均以結構體的形式表示,審計對象結構體定義如下:[0045]typedefstruct-DATABASE_ITEM[0046]{[0047]unsignedintdatabase_id;[0048]char*alias_name;[0049]unsignedintdb_address;[0050]unsignedshortdb_port;[0051]unsignedchardbTypelndex;[0052]POLICY_ITEM*policylist;[0053]IP_RANGE*ip_whitelist;[0054]IP_RANGE*ip_blacklist;[0055]}DATABASE_ITEM;[0056]由dbTypelndex字段可以看出本發(fā)明能夠審計不同的數(shù)據(jù)庫,結構體中包含數(shù)據(jù)庫客戶端的IP范圍,白名單表示不審計此IP范圍內(nèi)的客戶端,黑名單表示此IP范圍內(nèi)的客戶端不論對數(shù)據(jù)庫做了什么操作全部記錄到審計系統(tǒng)中,而對于不在黑白名單內(nèi)的客戶端,則由policylist策略鏈表字段審計過濾,將滿足策略的數(shù)據(jù)庫語句寫入到數(shù)據(jù)庫審計系統(tǒng)中。策略結構體定義如下:[0057]typedefstruct-P0LICY_ITEM{[0058]POLICY_ITEM*next;[0059]unsignedintpolicy_id;[0060]unsignedintpriority;[0061]unsignedintdatabse-id;[0062]unsignedintop-type;[0063]longlongop-time;[0064]unsignedintop-records;[0065]unsignedintop-tables;[0066]unsignedcharop-result;[0067]IP-RANGE*ip-range;[0068]POLICY-KEYWORD^keywords;[0069]DB_USER*db_users;[0070]P0LICY_ACTI0Naction;[0071]intmax_relevantcount;[0072]void*matchObj;[0073]unsignedcharis_valid;[0074]}P0LICY_ITEM;[0075]該結構體內(nèi)包含了策略的基本屬性如策略ID,優(yōu)先級等和對應的一些小策略,時間策略、內(nèi)容策略。開啟監(jiān)測程序后,會從數(shù)據(jù)庫審計系統(tǒng)中讀取相應信息到上述結構體中,進行數(shù)據(jù)庫審計。具體的流程包括以下步驟:[0076](1)開啟數(shù)據(jù)分析處理模塊中的監(jiān)控程序,參數(shù)為監(jiān)測網(wǎng)卡的名稱;[0077](2)將監(jiān)控程序進行初始化,讀取配置文件,并創(chuàng)建連接本地數(shù)據(jù)庫的連接地址,該地址為一全局變量;[0078](3)根據(jù)步驟(2)中的連接地址,將本地數(shù)據(jù)庫中的審計對象和策略全部讀入到結構體中,并創(chuàng)建一個守護線程;[0079](4)步驟⑶中的守護線程監(jiān)聽來自網(wǎng)頁的請求,并創(chuàng)建多個線程來響應網(wǎng)頁的請求與命令;[0080](5)進入監(jiān)測階段,利用抓包工具抓取原始數(shù)據(jù);[0081](6)將抓取到的數(shù)據(jù)交給使用IP協(xié)議解析出來源與目的IP,并首先匹配白名單;若客戶端IP在白名單內(nèi),則進行步驟(5);若客戶端IP在黑名單中,則進行步驟(7):[0082](7)將步驟(6)中的數(shù)據(jù)交給TCP協(xié)議解析解析出來源與目的端口;[0083](8)將數(shù)據(jù)整理成數(shù)據(jù)庫協(xié)議樣式的數(shù)據(jù),交由協(xié)議解析模塊來還原數(shù)據(jù)庫語句;[0084](9)還原的數(shù)據(jù)庫語句交由SQL語句模塊處理,分析出關鍵詞。[0085]其中,上述客戶端IP若與黑名單匹配成功,進行步驟(91),否則進行步驟(92);[0086](91)將解析出的會話與SQL語句寫入到審計系統(tǒng)中,進行步驟(5);[0087](92)若匹配策略成功,進行步驟(91),否則進行步驟(5)?!緳嗬蟆?.一種數(shù)據(jù)庫審計監(jiān)測系統(tǒng),其特征在于:包括交換機、局域網(wǎng)和數(shù)據(jù)庫審計服務器,所述交換機通過被鏡像端口在兩端均接入局域網(wǎng),并通過鏡像端口與數(shù)據(jù)庫審計服務器相連接,所述兩端的局域網(wǎng)分別與訪問數(shù)據(jù)庫客戶端以及數(shù)據(jù)庫服務器相連通;所述數(shù)據(jù)庫審計服務器中包括WEB管理模塊、本地數(shù)據(jù)庫模塊、數(shù)據(jù)采集模塊和數(shù)據(jù)分析處理模塊:所述數(shù)據(jù)分析處理模塊對數(shù)據(jù)采集模塊從網(wǎng)卡上抓取到的網(wǎng)絡包進行分析,分析數(shù)據(jù)流,并對其中傳輸?shù)臄?shù)據(jù)庫協(xié)議數(shù)據(jù)包進行分析處理,解析出用戶進行的數(shù)據(jù)庫操作和對應的SQL語句,并根據(jù)策略分析本次操作是否需要記錄和報警;所述WEB管理模塊通過接口獲取數(shù)據(jù)分析處理模塊和數(shù)據(jù)采集模塊的狀態(tài),數(shù)據(jù)分析處理模塊維持系統(tǒng)網(wǎng)絡連接信息和數(shù)據(jù)庫會話信息,支持同時捕獲和分析多個客戶端對多個數(shù)據(jù)庫的訪問操作;所述本地數(shù)據(jù)庫模塊存儲審計對象信息及對應策略,并把審計到的數(shù)據(jù)寫入到數(shù)據(jù)庫表中,供WEB管理模塊查詢。2.根據(jù)權利要求1所述的數(shù)據(jù)庫審計監(jiān)測系統(tǒng),其特征在于:所述數(shù)據(jù)分析處理模塊若分析出需要記錄或報警,則通過調(diào)用數(shù)據(jù)庫接口把解析結果和報警信息寫入數(shù)據(jù)庫,并且通過對SQL語句進行分析,提取出當前SQL操作的表和字段名稱,通過調(diào)用智能分析接口保存到數(shù)據(jù)中。3.根據(jù)權利要求1所述的數(shù)據(jù)庫審計監(jiān)測系統(tǒng),其特征在于:所述WEB管理模塊由數(shù)據(jù)分析處理模塊提供接口,并接受WEB管理模塊發(fā)送的配置改變通知,調(diào)用數(shù)據(jù)接口重新讀取系統(tǒng)配置。4.根據(jù)權利要求1所述的數(shù)據(jù)庫審計監(jiān)測系統(tǒng),其特征在于:所述數(shù)據(jù)分析處理模塊實時監(jiān)聽網(wǎng)絡中流動的數(shù)據(jù)報文,將符合規(guī)則要求的數(shù)據(jù)庫操作報文上傳到數(shù)據(jù)中心。5.根據(jù)權利要求1所述的數(shù)據(jù)庫審計監(jiān)測系統(tǒng),其特征在于:所述數(shù)據(jù)分析處理模塊部署在網(wǎng)絡的關鍵節(jié)點,并支持對多個數(shù)據(jù)源進行數(shù)據(jù)采集,數(shù)據(jù)中心收集數(shù)據(jù)分析處理模塊發(fā)來的審計數(shù)據(jù),并進行轉儲,分析,以及存儲最終的可讀解析數(shù)據(jù),并可接受來自訪問數(shù)據(jù)庫客戶端的數(shù)據(jù)挖掘請求。6.-種如權利要求1至5任意一項所述的數(shù)據(jù)庫審計監(jiān)測系統(tǒng)的審計監(jiān)測方法,其特征在于包括以下步驟:(1)開啟數(shù)據(jù)分析處理模塊中的監(jiān)控程序,參數(shù)為監(jiān)測網(wǎng)卡的名稱;(2)將監(jiān)控程序進行初始化,讀取配置文件,并創(chuàng)建連接本地數(shù)據(jù)庫的連接地址,該地址為一全局變量;(3)根據(jù)步驟(2)中的連接地址,將本地數(shù)據(jù)庫中的審計對象和策略全部讀入到結構體中,并創(chuàng)建一個守護線程;(4)步驟(3)中的守護線程監(jiān)聽來自網(wǎng)頁的請求,并創(chuàng)建多個線程來響應網(wǎng)頁的請求與命令;(5)進入監(jiān)測階段,利用抓包工具抓取原始數(shù)據(jù);(6)將抓取到的數(shù)據(jù)交給使用IP協(xié)議解析出來源與目的IP,并首先匹配白名單;若客戶端IP在白名單內(nèi),則進行步驟(5);若客戶端IP在黑名單中,則進行步驟(7):(7)將步驟¢)中的數(shù)據(jù)交給TCP協(xié)議解析解析出來源與目的端口;(8)將數(shù)據(jù)整理成數(shù)據(jù)庫協(xié)議樣式的數(shù)據(jù),交由協(xié)議解析模塊來還原數(shù)據(jù)庫語句;(9)還原的數(shù)據(jù)庫語句交由SQL語句模塊處理,分析出關鍵詞。7.根據(jù)權利要求6所述的數(shù)據(jù)庫審計監(jiān)測方法,其特征在于所述客戶端IP若與黑名單匹配成功,進行步驟(91),否則進行步驟(92);(91)將解析出的會話與SQL語句寫入到審計系統(tǒng)中,進行步驟(5);(92)若匹配策略成功,進行步驟(91),否則進行步驟(5)?!疚臋n編號】G06F17/30GK104063473SQ201410307286【公開日】2014年9月24日申請日期:2014年6月30日優(yōu)先權日:2014年6月30日【發(fā)明者】吳克河,崔文超,王召申請人:江蘇華大天益電力科技有限公司