CN105930427A - 数据库审计方法及装置 - Google Patents

数据库审计方法及装置 Download PDF

Info

Publication number
CN105930427A
CN105930427A CN201610244822.3A CN201610244822A CN105930427A CN 105930427 A CN105930427 A CN 105930427A CN 201610244822 A CN201610244822 A CN 201610244822A CN 105930427 A CN105930427 A CN 105930427A
Authority
CN
China
Prior art keywords
time
sql
match
url link
template
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610244822.3A
Other languages
English (en)
Other versions
CN105930427B (zh
Inventor
赵伟健
徐猛
陆明友
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Shenxinfu Information Security Co ltd
Original Assignee
Shenzhen Shenxinfu Electronic Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Shenxinfu Electronic Technology Co Ltd filed Critical Shenzhen Shenxinfu Electronic Technology Co Ltd
Priority to CN201610244822.3A priority Critical patent/CN105930427B/zh
Publication of CN105930427A publication Critical patent/CN105930427A/zh
Application granted granted Critical
Publication of CN105930427B publication Critical patent/CN105930427B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种数据库审计方法,所述数据库审计方法包括:获取浏览器与WEB服务器之间的URL链接以及所述WEB服务器与数据库服务器之间的SQL语句;基于所述URL链接的起止时间和/或关键字,以及所述SQL语句的起止时间和/或关键字,对所述URL链接和所述SQL语句进行第一次匹配;在第一次匹配成功时,获取并基于第一次匹配成功的URL链接的身份标识,对第一次匹配成功的URL链接和第一次匹配成功的SQL语句进行第二次匹配;在第二次匹配成功时,将第二次匹配成功的所述URL链接与第二次匹配成功的所述SQL语句关联。本发明还公开了一种数据库审计装置。本发明能够准确的进行数据库审计。

Description

数据库审计方法及装置
技术领域
本发明涉及数据库技术领域,尤其涉及一种数据库审计方法及装置。
背景技术
随着网络技术不断发展,构建和谐健康的网络安全环境已经是每一个厂商亟需解决的问题。而其中首要问题,就是能够记录和检测用户对数据库的访问信息,即需要检测到数据库所接收到的SQL语句的实际发起人(访问WEB服务器的IP)是谁,通过何种途径访问,访问的网址是什么。
目前,在对WEB服务器的数据包审计时,我们已经可以得到用户IP与URL的绑定信息,那么再通过应用三层关联技术,将URL与SQL语句进行绑定,即可达到IP、URL、SQL语句三者相互关联的目的。由此解决了数据库异常或敏感操作时,难以定位到实际操作用户,无法进行责任追溯的问题,同时可以用于数据库管理人员的统计分析,数据访问分析等。目前通常是根据URL链接的时间范围,确定该时间范围内产生的SQL语句,然后将URL链接与确定的SQL语句关联。然而,这种方法仅适用于用户量不大的情况,当用户量较大时,WEB服务器在同一时间范围内将接收到多条URL链接,并相应产生多条SQL语句,容易产生误判,导致审计的准确度较低。
发明内容
本发明的主要目的在于提供一种数据库审计方法及装置,旨在准确的进行数据库审计。
为实现上述目的,本发明提供一种数据库审计方法,所述数据库审计方法包括:
获取浏览器与WEB服务器之间的URL链接以及所述WEB服务器与数据库服务器之间的SQL语句;
基于所述URL链接的起止时间和/或关键字,以及所述SQL语句的起止时间和/或关键字,对所述URL链接和所述SQL语句进行第一次匹配;
在第一次匹配成功时,获取并基于第一次匹配成功的URL链接的身份标识,对第一次匹配成功的URL链接和第一次匹配成功的SQL语句进行第二次匹配;
在第二次匹配成功时,将第二次匹配成功的所述URL链接与第二次匹配成功的所述SQL语句关联。
可选的,所述获取并基于第一次匹配成功的URL链接的身份标识,对第一次匹配成功的URL链接和SQL语句进行第二次匹配的步骤包括:
获取第一次匹配成功的URL链接的身份标识对应的SQL模板中满足预设条件的第一SQL模板;
获取第一次匹配成功的SQL语句对应的第二SQL模板;
将所述第二SQL模板和各所述第一SQL模板进行比对,其中,当存在与所述第二SQL模板相同的第一SQL模板时,第一次匹配成功的URL链接与其第一次匹配的SQL语句匹配。
可选的,在执行将第二次匹配成功的所述URL链接与第二次匹配成功的所述SQL语句关联的同时,还执行以下步骤:
为第二次匹配成功的所述SQL语句分配第一置信度;
所述获取并基于第一次匹配成功的URL链接的身份标识,对第一次匹配成功的URL链接和SQL语句进行第二次匹配的步骤之后,还包括:
在第二次匹配失败时,将第一次匹配成功的所述URL链接与第一次匹配成功的SQL语句关联,并为第一次匹配成功的SQL语句分配第二置信度,其中,所述第二置信度低于所述第一置信度。
可选的,所述基于所述URL链接和所述SQL语句的起止时间和/或关键字对所述URL链接和所述SQL语句进行第一次匹配的步骤之后,还包括:
步骤A,在第一次匹配失败时,获取第一次匹配失败的URL链接的身份标识对应的SQL模板中满足预设条件的第三SQL模板;
步骤B,获取第一次匹配失败的SQL语句对应的第四SQL模板;
步骤C,将所述第四SQL模板和各所述第三SQL模板进行比对,若存在与所述第四SQL模板相同的第三SQL模板,则执行步骤D,否则执行步骤E;
步骤D,将所述第四SQL模板和第三SQL模板相同的SQL语句和URL链接关联,并为关联的SQL语句分配第二置信度;
步骤E,将所述第四SQL模板与第一次匹配失败的URL链接的身份标识对应的SQL模板中不满足预设条件的第五SQL模板进行比对;
步骤F,在存在与所述第四SQL模板相同的第五SQL模板时,将所述第四SQL模板和第五SQL模板相同的SQL语句和URL链接关联,并为关联的SQL语句分配第二置信度。
可选的,所述获取浏览器与WEB服务器之间的URL链接以及所述WEB服务器与数据库服务器之间的SQL语句的步骤之后,还包括:
基于获取的所述URL链接以及所述SQL语句,更新存储的所述身份标识以及所述身份标识对应的SQL模板。
此外,为实现上述目的,本发明还提供一种数据库审计装置,所述数据库审计装置包括:
获取模块,用于获取浏览器与WEB服务器之间的URL链接以及所述WEB服务器与数据库服务器之间的SQL语句;
匹配模块,用于基于所述URL链接的起止时间和/或关键字,以及所述SQL语句的起止时间和/或关键字,对所述URL链接和所述SQL语句进行第一次匹配;以及在第一次匹配成功时,获取并基于第一次匹配成功的URL链接的身份标识,对第一次匹配成功的URL链接和第一次匹配成功的SQL语句进行第二次匹配;
关联模块,用于在第二次匹配成功时,将第二次匹配成功的所述URL链接与第二次匹配成功的所述SQL语句关联。
可选的,所述匹配模块还用于获取第一次匹配成功的URL链接的身份标识对应的SQL模板中满足预设条件的第一SQL模板;以及获取第一次匹配成功的SQL语句对应的第二SQL模板;以及将所述第二SQL模板和各所述第一SQL模板进行比对,其中,当存在与所述第二SQL模板相同的第一SQL模板时,第一次匹配成功的URL链接与其第一次匹配的SQL语句匹配。
可选的,所述关联模块在将第二次匹配成功的所述URL链接与第二次匹配成功的所述SQL语句关联的同时,还用于为第二次匹配成功的所述SQL语句分配第一置信度;以及
在第二次匹配失败时,将第一次匹配成功的所述URL链接与第一次匹配成功的SQL语句关联,并为第一次匹配成功的SQL语句分配第二置信度,其中,所述第二置信度低于所述第一置信度。
可选的,所述匹配模块还用于在第一次匹配失败时,获取第一次匹配失败的URL链接的身份标识对应的SQL模板中满足预设条件的第三SQL模板;以及获取第一次匹配失败的SQL语句对应的第四SQL模板;以及将所述第四SQL模板和各所述第三SQL模板进行比对;
所述关联模块还用于在存在与所述第四SQL模板相同的第三SQL模板时,将所述第四SQL模板和第三SQL模板相同的SQL语句和URL链接关联,并为关联的SQL语句分配第二置信度;
所述匹配模块还用于在不存在与所述第四SQL模板相同的第三SQL模板时,将所述第四SQL模板与第一次匹配失败的URL链接的身份标识对应的SQL模板中不满足预设条件的第五SQL模板进行比对;
所述关联模块还用于在存在与所述第四SQL模板相同的第五SQL模板时,将所述第四SQL模板和第五SQL模板相同的SQL语句和URL链接关联,并为关联的SQL语句分配第二置信度。
可选的,所述数据库审计装置还包括更新模块,用于基于获取的所述URL链接以及所述SQL语句,更新存储的所述身份标识以及所述身份标识对应的SQL模板。
本发明提出的数据库审计方法及装置,在获取到待关联的URL链接以及SQL语句之后,首先基于URL链接和SQL语句的起止时间和/或关键字进行第一次匹配,初步确定URL链接和SQL语句的关联关系,缩小需要关联的数据范围。然后再基于第一次匹配成功的URL链接的身份标识对第一次匹配成功的URL链接和SQL语句进行第二次匹配,对初步确定的URL链接和SQL语句的关联关系进行修正,进而得到准确的URL链接和SQL语句的关联关系。相较于现有技术仅依据时间确定URL链接和SQL语句的关联关系,本发明能够获得更准确的URL链接和SQL语句的关联关系。
附图说明
图1为本发明数据库审计方法第一实施例的流程示意图;
图2为本发明数据库审计方法第一实施例中数据库系统的拓扑结构示意图;
图3为图1中获取并基于第一次匹配成功的URL链接的身份标识,对第一次匹配成功的URL链接和第一次匹配成功的SQL语句进行第二次匹配的细化流程示意图;
图4为本发明数据库审计方法第二实施例的流程示意图;
图5为本发明数据库审计装置第一实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互任意结合。
本发明提供一种数据库审计方法,参照图1,在本发明数据库审计方法的第一实施例中,所述数据库审计方法包括:
步骤S10,获取浏览器与WEB服务器之间的URL链接以及所述WEB服务器与数据库服务器之间的SQL语句;
参照图2,在浏览器、WEB服务器以及数据库服务器构成的数据库系统中,WEB服务器作为中间件实现浏览器对数据库服务器的访问/关联,在实际应用中,浏览器和WEB服务器之间采用HTTP(HyperText TransferProtocol,超文本传输协议)进行交互,WEB服务器和数据库服务器之间采用TDS(Tabular Data Stream,表格数据流)协议进行交互。需要说明的是,本发明提供的数据库审计方法由数据库审计装置执行,该数据审计装置部署在数据库系统中运行。本实施例中,数据库审计装置在获取浏览器与WEB服务器之间的URL链接以及所述WEB服务器与数据库服务器之间的SQL语句时,可直接对WEB服务器与浏览器的连接端口以及WEB服务器与数据库服务器的连接端口分别进行抓包,也可对WEB服务器两侧(包括浏览器侧和数据库服务器侧)分别进行旁路抓包。
优选地,为避免对WEB服务器的正常服务造成影响,数据库审计装置通过旁路抓包的方式来获取浏览器与WEB服务器之间的URL链接以及所述WEB服务器与数据库服务器之间的SQL语句。具体的,预先分别为WEB服务器与浏览器的连接端口以及WEB服务器与数据库服务器的连接端口设置镜像端口,数据库审计装置通过设置的两个镜像端口获取浏览器与WEB服务器之间的URL链接以及所述WEB服务器与数据库服务器之间的SQL语句。
在具体实施时,数据库审计装置在抓取到浏览器和WEB服务器之间的Http数据包时,该Http数据包的源IP即浏览器端IP,然后解析出该Http数据包中的URL链接,将URL链接和浏览器端IP关联,并将该关联关系保存在缓存中以备使用。
步骤S20,基于所述URL链接的起止时间和/或关键字,以及所述SQL语句的起止时间和/或关键字,对所述URL链接和所述SQL语句进行第一次匹配;
本领域技术人员可以理解的是,URL链接和SQL语句并不是孤立的数据,二者之间存在一定的关联,即SQL语句通常随URL链接产生,例如,URL链接为用户基于浏览器发出的对于数据库中某一数据的操作请求,SQL语句则是WEB服务器根据该操作请求生成的特定操作指令。由于WEB服务器通常在接收到浏览器发送的URL链接之后,随即产生相应的SQL语句,因此,在通常情况下,SQL语句在其关联的URL链接的起止时间内产生。此外,由于SQL语句通常为WEB服务器基于其接收的URL链接而生成的用于指示数据库服务器完成特定数据库操作的特定操作指令,关联的URL链接和SQL语句通常携带有相同的关键字。
本实施例中,数据库审计装置首先基于获取到的URL链接的起止时间和/或关键字,以及SQL语句的起止时间和/或关键字,对获取到的URL链接和SQL语句进行第一次匹配,初步确定URL链接和SQL语句的关联关系,以缩小需要关联的数据范围。
其中,在进行基于起止时间的匹配时,可选中获取到的任一URL链接,根据该URL链接的起止时间,确定该起止时间内产生的所有SQL语句,将确定的所有SQL语句作为匹配结果。例如,某一URL链接URLa的起止时间为09:00:01-09:00:30,若该起止时间内产生有两条SQL语句,分别为SQLa和SQLb,则将SQLa和SQLb作为URLa基于起止时间的匹配结果。
在进行基于关键字的匹配时,可进行基于关键字的模糊匹配。其中,模糊匹配是指URL链接和SQL语句具有相同的关键字,而该相同的关键字在URL链接和SQL语句的位置不作限定,即URL链接和SQL语句只要具有相同的关键字就满足模糊匹配。例如,URLa为:Http://192.168.0.1:80/find.aspx?Param=aaa,SQLa为:select*from table wherename=‘aaa’,显而易见的,URLa和SQLa均存在关键字“aaa”,因此URLa和SQLa满足模糊匹配。
需要说明的是,在本实施例中,可进行基于起止时间和关键字的匹配,也可以只进行起止时间或只进行关键字的匹配,具体按实际需要进行。优选地,本实施例为提升后续匹配的准确度,进行基于起止时间和关键字的匹配。
步骤S30,在第一次匹配成功时,获取并基于第一次匹配成功的URL链接的身份标识,对第一次匹配成功的URL链接和第一次匹配成功的SQL语句进行第二次匹配;
本实施例中,在完成第一次匹配且第一次匹配成功时,数据库审计装置获取第一次匹配成功的URL链接的身份标识,并基于获取的身份标识对第一次匹配成功的URL链接和第一次匹配成功的SQL语句进行第二次匹配。其中,身份标识用于表征对应URL链接的身份,通俗的说,就是URL链接是通过何种浏览器动作产生的,如具体的浏览器按钮,其对应一组操作请求。
需要说明的是,前述身份标识根据Http协议操作的幂等性原理结合数据挖掘思想,通过逻辑分析定位识别预先得出。具体的:
1、根据对URL链接的分析,获取到URL地址、参数的key值、cookie标识、源程序名等信息,得到一个可能对应一组浏览器操作的URL标识;
2、创建URL收集矩阵,将此得到的URL标识作为横轴,URL参数的key值作为纵轴,将获取到的参数的value值不断填充到矩阵中;
3、通过大量数据的统计,获得各个参数的key值所产生的value的数量,设定判断区间,当key值产生的value的数据位于该判断区间内时,将该key值的值作为影响前述URL标识的影响参数,进而将前述URL标识结合该影响参数作为前述分析的URL链接的身份标识。
以下以具体示例进行说明:
1、获取到URLb为:
/task.php?opr=add&name=”jerry”&_time=1856039&strID=”1”;
2、将URLb的key值抽取得到URL标识串:
task.php?opr&name&time&strID;
3、将URL链接根据URL标识串与KEY值填充到如表1所示的矩阵中,经过大量URL链接的统计,得到矩阵如下:
Key值\URL标识串 task.php?opr&name&time&strID
总命中 10255
opr 4
name 3799
_time 9877
param 0
strID 1
表1
4、通过矩阵,容易发现key值为name时有3799种可能,为_time时有9877种可能,显然对于URL标识串无影响,而strID仅有1种,param为0种,同样无影响。
5、此时URL标识串task.php?opr&name&_time&strID中的opr的值,有最大的可能代表了该标识串对应的不同种类的操作。
6、将第2步得到的标识串结合opr的值“add”得到URLbd的身份标识:task.php?opr&name&_time&strID?add,并通过Hash算法生成长整形表示的唯一ID,如计算其CRC值,得到ID为:21375677245。
具体的,参照图3,步骤S30包括:
步骤S301,获取第一次匹配成功的URL链接的身份标识对应的SQL模板中满足预设条件的第一SQL模板;
步骤S302,获取第一次匹配成功的SQL语句对应的第二SQL模板;
步骤S303,将所述第二SQL模板和各所述第一SQL模板进行比对,其中,当存在与所述第二SQL模板相同的第一SQL模板时,第一次匹配成功的URL链接与其第一次匹配的SQL语句匹配。
需要说明的是,在本实施例中,预先基于各身份标识进行SQL模板化集合操作,其中,SQL模板指对SQL语句的模板化处理,将SQL语句中的可变的参数替换成通配符表示,例如,某一SQL语句SQLc:select*from a wherex>1234,模板化的SQLc为:select*from a where x>?。以下对基于身份标识的SQL模板化集合操作进行说明:
1、创建SQL收集矩阵,其中,以SQL模板为纵轴,身份标识为横轴;
2、以时间为关联,当某SQL模板出现在某身份标识的起止时间内时,将该SQL模板的计数进行自加操作,并同时记录各身份标识的出现次数;
3、经过持续一段时间的搜集(该持续时间可按实际需要进行设置),得到如表2所示的矩阵:
SQL模板\身份标识 21375677245 22586073322 23695581473
总命中 100 200 150
select*from a where x>? 80 198 80
select*from b where x=? 9 177 120
select*from c where x<? 0 15 11
表2
4、将SQL模板出现的次数与身份标识出现的次数相除,得到SQL模板在身份标识中的比率,同时,设定比率阈值,若得到的比率大于等于比率阈值,则认为SQL模板与对应的身份标识强相关,否则为弱相关,从而得到各身份标识的强弱相关SQL模板集合。
在本实施例中,数据库审计装置在完成第一次匹配且第一次匹配成功时,依次选中第一次匹配成功的URL链接,在每次选中URL链接时,获取选中的URL链接的身份标识;基于获取的身份标识获取该身份标识对应的强相关SQL模板集合(即满足预设条件的第一SQL模板);获取选中的URL链接第一次匹配的SQL语句的第二SQL模板(即将该SQL语句模板化);将第二SQL模板与强相关SQL模板集合中的各第一SQL模板进行比对,其中,当存在与第二SQL模板相同的第一SQL模板时,当次选中的URL链接与其第一次匹配的SQL模板满足第二次匹配。
步骤S40,在第二次匹配成功时,将第二次匹配成功的所述URL链接与第二次匹配成功的所述SQL语句关联。
本实施例中,在第一次匹配成功且第二次匹配成功时,将第二次匹配成功的URL链接与其第二次匹配的SQL语句关联。
进一步的,本实施例中,数据库审计装置在将第二次匹配成功的URl链接与其第二次匹配的SQL语句关联时,同时为关联的SQL语句置不可回溯的标志,以表征该关联关系的第一置信度。
进一步的,在本实施例中,步骤S30之后,还包括:
在第二次匹配失败时,将第一次匹配成功的URL链接与其第一次匹配的SQL语句关联,并为第一次匹配成功的SQL语句分配第二置信度,其中,所述第二置信度低于所述第一置信度。
具体的,在第一次匹配成功且第二次匹配失败时,数据库审计装置将第一次匹配成功的URL链接与其第一次匹配的SQL语句关联,同时为关联的SQL语句置可回溯的标志,以表征该关联关系的第二置信度。
进一步的,本实施例中,在将第二次匹配成功的URL链接和SQL语句关联,并置不可回溯的标志的同时,将当前连接内的,URL持续时间段内的所有置有可回溯标志的SQL语句取出,如果取出的SQL语句的SQL模板在当前的URL链接的强相关集合中存在相同项,则将取出的SQL语句也关联到当前的URL链接。
基于前述描述,本领域技术人员可以理解的是,本实施例在完成URL链接和SQL语句的两次匹配之后,形成了URL链接和浏览器端IP的关联关系以及URL链接和SQL语句的关联关系,实现了浏览器、WEB服务器以及数据库服务器的三层关联。
本发明提出的数据库审计方法,在获取到待关联的URL链接以及SQL语句之后,首先基于URL链接和SQL语句的起止时间和/或关键字进行第一次匹配,初步确定URL链接和SQL语句的关联关系,缩小需要关联的数据范围。然后再基于第一次匹配成功的URL链接的身份标识对第一次匹配成功的URL链接和SQL语句进行第二次匹配,对初步确定的URL链接和SQL语句的关联关系进行修正,进而得到准确的URL链接和SQL语句的关联关系。相较于现有技术仅依据时间确定URL链接和SQL语句的关联关系,本发明能够获得更准确的URL链接和SQL语句的关联关系。
进一步的,基于第一实施例,提出本发明数据库审计方法的第二实施例,参照图4,在本实施例中,步骤S20之后,还包括:
步骤S50,在第一次匹配失败时,获取第一次匹配失败的URL链接的身份标识对应的SQL模板中满足预设条件的第三SQL模板;
步骤S60,获取第一次匹配失败的SQL语句对应的第四SQL模板;
步骤S70,将所述第四SQL模板和各所述第三SQL模板进行比对,若存在与所述第四SQL模板相同的第三SQL模板,则执行步骤S80,否则执行步骤S90;
步骤S80,将所述第四SQL模板和第三SQL模板相同的SQL语句和URL链接关联,并为关联的SQL语句分配第二置信度;
步骤S90,将所述第四SQL模板与第一次匹配失败的URL链接的身份标识对应的SQL模板中不满足预设条件的第五SQL模板进行比对;
步骤S100,在存在与所述第四SQL模板相同的第五SQL模板时,将所述第四SQL模板和第五SQL模板相同的SQL语句和URL链接关联,并为关联的SQL语句分配第二置信度。
在本实施例中,数据库审计装置在完成第一次匹配且第一次匹配失败时,依次选中第一次匹配失败的URL链接,在每次选中URL链接时,获取选中的URL链接的身份标识;基于获取的身份标识获取该身份标识对应的强相关SQL模板集合(即身份标识对应的SQL模板中满足预设条件的第三SQL模板);获取第一次匹配失败的各SQL语句对应的第四SQL模板,将各第四SQL模板与获取的强相关SQL模板集合中的各第三SQL模板进行比对;若存在与第四SQL模板相同的第三SQL模板,则将第四SQL模板和第三SQL模板相同的SQL语句和URL链接关联,并为关联的SQL语句分配第二置信度;若不存在与第四SQL模板相同的第三SQL模板,则将各第四SQL模板与身份标识的弱相关SQL模板集合中的各第五SQL模板(即身份标识对应的SQL模板中不满足预设条件的第五SQL模板)进行比对;若存在与第四SQL模板相同的第五SQL模板,则将第四SQL模板和第五SQL模板相同的SQL语句和URL链接关联,并为关联的SQL语句分配第二置信度;若不存在与第四SQL模板相同的第五SQL模板,则当次关联失败,即不存在关联的URL链接和SQL语句。
进一步的,基于第一或第二实施例,提出本发明数据库审计方法的第三实施例,在本实施例中,其特征在于,所述数据库审计方法还包括:
基于获取的所述URL链接以及所述SQL语句,更新存储的所述身份标识以及所述身份标识对应的SQL模板。
容易理解的是,采集的数据样本的越多,产生的结果越准确,本实施例在获取浏览器与WEB服务器之间的URL链接以及所述WEB服务器与数据库服务器之间的SQL语句,进行URL链接和SQL语句关联的同时,还对当前的身份标识,以及身份标识对应的强弱相关SQL模板集合进行更新,具体可分别参照前述实施例关于身份标识产生的描述以及SQL模板化集合操作的描述,此处不再赘述。
本发明还提供一种数据库审计装置,参照图5,在本发明数据库审计装置的第一实施例中,所述数据库审计装置包括:
获取模块10,用于获取浏览器与WEB服务器之间的URL链接以及所述WEB服务器与数据库服务器之间的SQL语句;
参照图2,在浏览器、WEB服务器以及数据库服务器构成的数据库系统中,WEB服务器作为中间件实现浏览器对数据库服务器的访问/关联,在实际应用中,浏览器和WEB服务器之间采用HTTP(HyperText TransferProtocol,超文本传输协议)进行交互,WEB服务器和数据库服务器之间采用TDS(Tabular Data Stream,表格数据流)协议进行交互。需要说明的是,本发明提供的数据库审计方法由数据库审计装置执行,该数据审计装置部署在数据库系统中运行。本实施例中,获取模块10在获取浏览器与WEB服务器之间的URL链接以及所述WEB服务器与数据库服务器之间的SQL语句时,可直接对WEB服务器与浏览器的连接端口以及WEB服务器与数据库服务器的连接端口分别进行抓包,也可对WEB服务器两侧(包括浏览器侧和数据库服务器侧)分别进行旁路抓包。
优选地,为避免对WEB服务器的正常服务造成影响,获取模块10通过旁路抓包的方式来获取浏览器与WEB服务器之间的URL链接以及所述WEB服务器与数据库服务器之间的SQL语句。具体的,预先分别为WEB服务器与浏览器的连接端口以及WEB服务器与数据库服务器的连接端口设置镜像端口,获取模块10通过设置的两个镜像端口获取浏览器与WEB服务器之间的URL链接以及所述WEB服务器与数据库服务器之间的SQL语句。
在具体实施时,获取模块10在抓取到浏览器和WEB服务器之间的Http数据包时,该Http数据包的源IP即浏览器端IP,然后解析出该Http数据包中的URL链接,将URL链接和浏览器端IP关联,并将该关联关系保存在缓存中以备使用。
匹配模块20,用于基于所述URL链接的起止时间和/或关键字,以及所述SQL语句的起止时间和/或关键字,对所述URL链接和所述SQL语句进行第一次匹配;以及在第一次匹配成功时,获取并基于第一次匹配成功的URL链接的身份标识,对第一次匹配成功的URL链接和第一次匹配成功的SQL语句进行第二次匹配;
本领域技术人员可以理解的是,URL链接和SQL语句并不是孤立的数据,二者之间存在一定的关联,即SQL语句通常随URL链接产生,例如,URL链接为用户基于浏览器发出的对于数据库中某一数据的操作请求,SQL语句则是WEB服务器根据该操作请求生成的特定操作指令。由于WEB服务器通常在接收到浏览器发送的URL链接之后,随即产生相应的SQL语句,因此,在通常情况下,SQL语句在其关联的URL链接的起止时间内产生。此外,由于SQL语句通常为WEB服务器基于其接收的URL链接而生成的用于指示数据库服务器完成特定数据库操作的特定操作指令,关联的URL链接和SQL语句通常携带有相同的关键字。
本实施例中,匹配模块20首先基于获取模块10获取到的URL链接的起止时间和/或关键字,以及SQL语句的起止时间和/或关键字,对获取到的URL链接和SQL语句进行第一次匹配,初步确定URL链接和SQL语句的关联关系,以缩小需要关联的数据范围。
其中,在进行基于起止时间的匹配时,匹配模块20可选中获取到的任一URL链接,根据该URL链接的起止时间,确定该起止时间内产生的所有SQL语句,将确定的所有SQL语句作为匹配结果。例如,某一URL链接URLa的起止时间为09:00:01-09:00:30,若该起止时间内产生有两条SQL语句,分别为SQLa和SQLb,则将SQLa和SQLb作为URLa基于起止时间的匹配结果。
在进行基于关键字的匹配时,匹配模块20可进行基于关键字的模糊匹配。其中,模糊匹配是指URL链接和SQL语句具有相同的关键字,而该相同的关键字在URL链接和SQL语句的位置不作限定,即URL链接和SQL语句只要具有相同的关键字就满足模糊匹配。例如,URLa为:Http://192.168.0.1:80/find.aspx?Param=aaa,SQLa为:select*from table wherename=‘aaa’,显而易见的,URLa和SQLa均存在关键字“aaa”,因此URLa和SQLa满足模糊匹配。
需要说明的是,在本实施例中,匹配模块20可进行基于起止时间和关键字的匹配,也可以只进行起止时间或只进行关键字的匹配,具体按实际需要进行。优选地,本实施例为提升后续匹配的准确度,匹配模块20进行基于起止时间和关键字的匹配。
本实施例中,在完成第一次匹配且第一次匹配成功时,匹配模块20获取第一次匹配成功的URL链接的身份标识,并基于获取的身份标识对第一次匹配成功的URL链接和第一次匹配成功的SQL语句进行第二次匹配。其中,身份标识用于表征对应URL链接的身份,通俗的说,就是URL链接是通过何种浏览器动作产生的,如具体的浏览器按钮,其对应一组操作请求。
需要说明的是,前述身份标识根据Http协议操作的幂等性原理结合数据挖掘思想,通过逻辑分析定位识别预先得出。具体的:
1、根据对URL链接的分析,获取到URL地址、参数的key值、cookie标识、源程序名等信息,得到一个可能对应一组浏览器操作的URL标识;
2、创建URL收集矩阵,将此得到的URL标识作为横轴,URL参数的key值作为纵轴,将获取到的参数的value值不断填充到矩阵中;
3、通过大量数据的统计,获得各个参数的key值所产生的value的数量,设定判断区间,当key值产生的value的数据位于该判断区间内时,将该key值的值作为影响前述URL标识的影响参数,进而将前述URL标识结合该影响参数作为前述分析的URL链接的身份标识。
以下以具体示例进行说明:
1、获取到URLb为:
/task.php?opr=add&name=”jerry”&_time=1856039&strID=”1”;
2、将URLb的key值抽取得到URL标识串:
task.php?opr&name&time&strID;
3、将URL链接根据URL标识串与KEY值填充到收集矩阵中,经过大量URL链接的统计,得到表1所示的矩阵;
4、通过矩阵,容易发现key值为name时有3799种可能,为_time时有9877种可能,显然对于URL标识串无影响,而strID仅有1种,param为0种,同样无影响。
5、此时URL标识串task.php?opr&name&_time&strID中的opr的值,有最大的可能代表了该标识串对应的不同种类的操作。
6、将第2步得到的标识串结合opr的值“add”得到URLbd的身份标识:
task.php?opr&name&_time&strID?add,并通过Hash算法生成长整形表示的唯一ID,如计算其CRC值,得到ID为:21375677245。
具体的,匹配模块20还用于获取第一次匹配成功的URL链接的身份标识对应的SQL模板中满足预设条件的第一SQL模板;以及获取第一次匹配成功的SQL语句对应的第二SQL模板;以及将所述第二SQL模板和各所述第一SQL模板进行比对,其中,当存在与所述第二SQL模板相同的第一SQL模板时,第一次匹配成功的URL链接与其第一次匹配的SQL语句匹配。
需要说明的是,在本实施例中,预先基于各身份标识进行SQL模板化集合操作,其中,SQL模板指对SQL语句的模板化处理,将SQL语句中的可变的参数替换成通配符表示,例如,某一SQL语句SQLc:select*from a wherex>1234,模板化的SQLc为:select*from a where x>?。以下对基于身份标识的SQL模板化集合操作进行说明:
1、创建SQL收集矩阵,其中,以SQL模板为纵轴,身份标识为横轴;
2、以时间为关联,当某SQL模板出现在某身份标识的起止时间内时,将该SQL模板的计数进行自加操作,并同时记录各身份标识的出现次数;
3、经过持续一段时间的搜集(该持续时间可按实际需要进行设置),得到如表2所示的矩阵;
4、将SQL模板出现的次数与身份标识出现的次数相除,得到SQL模板在身份标识中的比率,同时,设定比率阈值,若得到的比率大于等于比率阈值,则认为SQL模板与对应的身份标识强相关,否则为弱相关,从而得到各身份标识的强弱相关SQL模板集合。
在本实施例中,匹配模块20在完成第一次匹配且第一次匹配成功时,依次选中第一次匹配成功的URL链接,在每次选中URL链接时,获取选中的URL链接的身份标识;基于获取的身份标识获取该身份标识对应的强相关SQL模板集合(即满足预设条件的第一SQL模板);获取选中的URL链接第一次匹配的SQL语句的第二SQL模板(即将该SQL语句模板化);将第二SQL模板与强相关SQL模板集合中的各第一SQL模板进行比对,其中,当存在与第二SQL模板相同的第一SQL模板时,当次选中的URL链接与其第一次匹配的SQL模板满足第二次匹配。
关联模块30,用于在第二次匹配成功时,将第二次匹配成功的所述URL链接与第二次匹配成功的所述SQL语句关联。
本实施例中,在第一次匹配成功且第二次匹配成功时,关联模块30将第二次匹配成功的URL链接与其第二次匹配的SQL语句关联。
进一步的,本实施例中,关联模块30在将第二次匹配成功的URl链接与其第二次匹配的SQL语句关联时,同时为关联的SQL语句置不可回溯的标志,以表征该关联关系的第一置信度。
进一步的,在本实施例中,关联模块30还用于在第二次匹配失败时,将第一次匹配成功的URL链接与其第一次匹配的SQL语句关联,并为第一次匹配成功的SQL语句分配第二置信度,其中,所述第二置信度低于所述第一置信度。
具体的,在第一次匹配成功且第二次匹配失败时,关联模块30将第一次匹配成功的URL链接与其第一次匹配的SQL语句关联,同时为关联的SQL语句置可回溯的标志,以表征该关联关系的第二置信度。
进一步的,本实施例中,在将第二次匹配成功的URL链接和SQL语句关联,并置不可回溯的标志的同时,关联模块30将当前连接内的,URL持续时间段内的所有置有可回溯标志的SQL语句取出,如果取出的SQL语句的SQL模板在当前的URL链接的强相关集合中存在相同项,则将取出的SQL语句也关联到当前的URL链接。
基于前述描述,本领域技术人员可以理解的是,本实施例在完成URL链接和SQL语句的两次匹配之后,形成了URL链接和浏览器端IP的关联关系以及URL链接和SQL语句的关联关系,实现了浏览器、WEB服务器以及数据库服务器的三层关联。
本发明提出的数据库审计装置,在获取到待关联的URL链接以及SQL语句之后,首先基于URL链接和SQL语句的起止时间和/或关键字进行第一次匹配,初步确定URL链接和SQL语句的关联关系,缩小需要关联的数据范围。然后再基于第一次匹配成功的URL链接的身份标识对第一次匹配成功的URL链接和SQL语句进行第二次匹配,对初步确定的URL链接和SQL语句的关联关系进行修正,进而得到准确的URL链接和SQL语句的关联关系。相较于现有技术仅依据时间确定URL链接和SQL语句的关联关系,本发明能够获得更准确的URL链接和SQL语句的关联关系。
进一步的,基于第一实施例,提出本发明数据库审计装置的第二实施例,在本实施例中,匹配模块20还用于在第一次匹配失败时,获取第一次匹配失败的URL链接的身份标识对应的SQL模板中满足预设条件的第三SQL模板;以及获取第一次匹配失败的SQL语句对应的第四SQL模板;以及将所述第四SQL模板和各所述第三SQL模板进行比对;
所述关联模块30还用于在存在与所述第四SQL模板相同的第三SQL模板时,将所述第四SQL模板和第三SQL模板相同的SQL语句和URL链接关联,并为关联的SQL语句分配第二置信度;
所述匹配模块20还用于在不存在与所述第四SQL模板相同的第三SQL模板时,将所述第四SQL模板与第一次匹配失败的URL链接的身份标识对应的SQL模板中不满足预设条件的第五SQL模板进行比对;
所述关联模块30还用于在存在与所述第四SQL模板相同的第五SQL模板时,将所述第四SQL模板和第五SQL模板相同的SQL语句和URL链接关联,并为关联的SQL语句分配第二置信度。
在本实施例中,匹配模块20在完成第一次匹配且第一次匹配失败时,依次选中第一次匹配失败的URL链接,在每次选中URL链接时,获取选中的URL链接的身份标识;以及基于获取的身份标识获取该身份标识对应的强相关SQL模板集合(即身份标识对应的SQL模板中满足预设条件的第三SQL模板);以及获取第一次匹配失败的各SQL语句对应的第四SQL模板,将各第四SQL模板与获取的强相关SQL模板集合中的各第三SQL模板进行比对;若存在与第四SQL模板相同的第三SQL模板,则关联模块30将第四SQL模板和第三SQL模板相同的SQL语句和URL链接关联,并为关联的SQL语句分配第二置信度;若不存在与第四SQL模板相同的第三SQL模板,则匹配模块20将各第四SQL模板与身份标识的弱相关SQL模板集合中的各第五SQL模板(即身份标识对应的SQL模板中不满足预设条件的第五SQL模板)进行比对;若存在与第四SQL模板相同的第五SQL模板,则关联模块30将第四SQL模板和第五SQL模板相同的SQL语句和URL链接关联,并为关联的SQL语句分配第二置信度;若不存在与第四SQL模板相同的第五SQL模板,则当次关联失败,即不存在关联的URL链接和SQL语句。
进一步的,基于第一或第二实施例,提出本发明数据库审计装置的第三实施例,在本实施例中,所述数据库审计装置还包括更新模块,用于基于获取的所述URL链接以及所述SQL语句,更新存储的所述身份标识以及所述身份标识对应的SQL模板。
容易理解的是,采集的数据样本的越多,产生的结果越准确,本实施例在获取浏览器与WEB服务器之间的URL链接以及所述WEB服务器与数据库服务器之间的SQL语句,进行URL链接和SQL语句关联的同时,还对当前的身份标识,以及身份标识对应的强弱相关SQL模板集合进行更新,具体可分别参照前述实施例关于身份标识产生的描述以及SQL模板化集合操作的描述,此处不再赘述。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种数据库审计方法,其特征在于,所述数据库审计方法包括:
获取浏览器与WEB服务器之间的URL链接以及所述WEB服务器与数据库服务器之间的SQL语句;
基于所述URL链接的起止时间和/或关键字,以及所述SQL语句的起止时间和/或关键字,对所述URL链接和所述SQL语句进行第一次匹配;
在第一次匹配成功时,获取并基于第一次匹配成功的URL链接的身份标识,对第一次匹配成功的URL链接和第一次匹配成功的SQL语句进行第二次匹配;
在第二次匹配成功时,将第二次匹配成功的所述URL链接与第二次匹配成功的所述SQL语句关联。
2.根据权利要求1所述的数据库审计方法,其特征在于,所述获取并基于第一次匹配成功的URL链接的身份标识,对第一次匹配成功的URL链接和SQL语句进行第二次匹配的步骤包括:
获取第一次匹配成功的URL链接的身份标识对应的SQL模板中满足预设条件的第一SQL模板;
获取第一次匹配成功的SQL语句对应的第二SQL模板;
将所述第二SQL模板和各所述第一SQL模板进行比对,其中,当存在与所述第二SQL模板相同的第一SQL模板时,第一次匹配成功的URL链接与其第一次匹配的SQL语句匹配。
3.根据权利要求1或2所述的数据库审计方法,其特征在于,在执行将第二次匹配成功的所述URL链接与第二次匹配成功的所述SQL语句关联的同时,还执行以下步骤:
为第二次匹配成功的所述SQL语句分配第一置信度;
所述获取并基于第一次匹配成功的URL链接的身份标识,对第一次匹配成功的URL链接和SQL语句进行第二次匹配的步骤之后,还包括:
在第二次匹配失败时,将第一次匹配成功的所述URL链接与第一次匹配成功的SQL语句关联,并为第一次匹配成功的SQL语句分配第二置信度,其中,所述第二置信度低于所述第一置信度。
4.根据权利要求3所述的数据库审计方法,其特征在于,所述基于所述URL链接和所述SQL语句的起止时间和/或关键字对所述URL链接和所述SQL语句进行第一次匹配的步骤之后,还包括:
步骤A,在第一次匹配失败时,获取第一次匹配失败的URL链接的身份标识对应的SQL模板中满足预设条件的第三SQL模板;
步骤B,获取第一次匹配失败的SQL语句对应的第四SQL模板;
步骤C,将所述第四SQL模板和各所述第三SQL模板进行比对,若存在与所述第四SQL模板相同的第三SQL模板,则执行步骤D,否则执行步骤E;
步骤D,将所述第四SQL模板和第三SQL模板相同的SQL语句和URL链接关联,并为关联的SQL语句分配第二置信度;
步骤E,将所述第四SQL模板与第一次匹配失败的URL链接的身份标识对应的SQL模板中不满足预设条件的第五SQL模板进行比对;
步骤F,在存在与所述第四SQL模板相同的第五SQL模板时,将所述第四SQL模板和第五SQL模板相同的SQL语句和URL链接关联,并为关联的SQL语句分配第二置信度。
5.根据权利要求1所述的数据库审计方法,其特征在于,所述获取浏览器与WEB服务器之间的URL链接以及所述WEB服务器与数据库服务器之间的SQL语句的步骤之后,还包括:
基于获取的所述URL链接以及所述SQL语句,更新存储的所述身份标识以及所述身份标识对应的SQL模板。
6.一种数据库审计装置,其特征在于,所述数据库审计装置包括:
获取模块,用于获取浏览器与WEB服务器之间的URL链接以及所述WEB服务器与数据库服务器之间的SQL语句;
匹配模块,用于基于所述URL链接的起止时间和/或关键字,以及所述SQL语句的起止时间和/或关键字,对所述URL链接和所述SQL语句进行第一次匹配;以及在第一次匹配成功时,获取并基于第一次匹配成功的URL链接的身份标识,对第一次匹配成功的URL链接和第一次匹配成功的SQL语句进行第二次匹配;
关联模块,用于在第二次匹配成功时,将第二次匹配成功的所述URL链接与第二次匹配成功的所述SQL语句关联。
7.根据权利要求6所述的数据库审计装置,其特征在于,所述匹配模块还用于获取第一次匹配成功的URL链接的身份标识对应的SQL模板中满足预设条件的第一SQL模板;以及获取第一次匹配成功的SQL语句对应的第二SQL模板;以及将所述第二SQL模板和各所述第一SQL模板进行比对,其中,当存在与所述第二SQL模板相同的第一SQL模板时,第一次匹配成功的URL链接与其第一次匹配的SQL语句匹配。
8.根据权利要求6或7所述的数据库审计装置,其特征在于,所述关联模块在将第二次匹配成功的所述URL链接与第二次匹配成功的所述SQL语句关联的同时,还用于为第二次匹配成功的所述SQL语句分配第一置信度;以及
在第二次匹配失败时,将第一次匹配成功的所述URL链接与第一次匹配成功的SQL语句关联,并为第一次匹配成功的SQL语句分配第二置信度,其中,所述第二置信度低于所述第一置信度。
9.根据权利要求8所述的数据库审计装置,其特征在于,所述匹配模块还用于在第一次匹配失败时,获取第一次匹配失败的URL链接的身份标识对应的SQL模板中满足预设条件的第三SQL模板;以及获取第一次匹配失败的SQL语句对应的第四SQL模板;以及将所述第四SQL模板和各所述第三SQL模板进行比对;
所述关联模块还用于在存在与所述第四SQL模板相同的第三SQL模板时,将所述第四SQL模板和第三SQL模板相同的SQL语句和URL链接关联,并为关联的SQL语句分配第二置信度;
所述匹配模块还用于在不存在与所述第四SQL模板相同的第三SQL模板时,将所述第四SQL模板与第一次匹配失败的URL链接的身份标识对应的SQL模板中不满足预设条件的第五SQL模板进行比对;
所述关联模块还用于在存在与所述第四SQL模板相同的第五SQL模板时,将所述第四SQL模板和第五SQL模板相同的SQL语句和URL链接关联,并为关联的SQL语句分配第二置信度。
10.根据权利要求6所述的数据库审计装置,其特征在于,所述数据库审计装置还包括更新模块,用于基于获取的所述URL链接以及所述SQL语句,更新存储的所述身份标识以及所述身份标识对应的SQL模板。
CN201610244822.3A 2016-04-19 2016-04-19 数据库审计方法及装置 Active CN105930427B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610244822.3A CN105930427B (zh) 2016-04-19 2016-04-19 数据库审计方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610244822.3A CN105930427B (zh) 2016-04-19 2016-04-19 数据库审计方法及装置

Publications (2)

Publication Number Publication Date
CN105930427A true CN105930427A (zh) 2016-09-07
CN105930427B CN105930427B (zh) 2019-07-26

Family

ID=56838540

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610244822.3A Active CN105930427B (zh) 2016-04-19 2016-04-19 数据库审计方法及装置

Country Status (1)

Country Link
CN (1) CN105930427B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107122408A (zh) * 2017-03-24 2017-09-01 深圳昂楷科技有限公司 信息关联及其数据库审计方法、审计系统
CN107294953A (zh) * 2017-05-18 2017-10-24 深信服科技股份有限公司 攻击操作检测方法及装置
CN107479988A (zh) * 2017-08-01 2017-12-15 西安交大捷普网络科技有限公司 基于dcom的三层关联审计方法
CN107506662A (zh) * 2017-08-18 2017-12-22 上海连悦网络科技有限公司 信息交互方法及装置、计算机可读网络存储介质、终端
CN109408499A (zh) * 2018-10-22 2019-03-01 福建星瑞格软件有限公司 一种匹配数据库访问用户的审计方法及系统
CN110990168A (zh) * 2019-11-27 2020-04-10 深信服科技股份有限公司 三层关联信息的生成方法、系统、电子设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2004100333A4 (en) * 2004-05-06 2004-06-03 Go Blue Pty Ltd URL Rewriting Proxy
US20050278697A1 (en) * 1999-06-01 2005-12-15 Bruce Hodge Object type-declaration prefix syntax
CN101075256A (zh) * 2007-06-08 2007-11-21 北京神舟航天软件技术有限公司 数据库实时审计分析系统及方法
CN101853289A (zh) * 2010-05-26 2010-10-06 杭州华三通信技术有限公司 一种数据库审计方法和设备
CN103475727A (zh) * 2013-09-18 2013-12-25 浪潮电子信息产业股份有限公司 一种基于桥模式的数据库审计方法
CN103886024A (zh) * 2014-02-24 2014-06-25 上海上讯信息技术股份有限公司 一种基于多层业务关联的数据库审计方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050278697A1 (en) * 1999-06-01 2005-12-15 Bruce Hodge Object type-declaration prefix syntax
AU2004100333A4 (en) * 2004-05-06 2004-06-03 Go Blue Pty Ltd URL Rewriting Proxy
CN101075256A (zh) * 2007-06-08 2007-11-21 北京神舟航天软件技术有限公司 数据库实时审计分析系统及方法
CN101853289A (zh) * 2010-05-26 2010-10-06 杭州华三通信技术有限公司 一种数据库审计方法和设备
CN103475727A (zh) * 2013-09-18 2013-12-25 浪潮电子信息产业股份有限公司 一种基于桥模式的数据库审计方法
CN103886024A (zh) * 2014-02-24 2014-06-25 上海上讯信息技术股份有限公司 一种基于多层业务关联的数据库审计方法及系统

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107122408A (zh) * 2017-03-24 2017-09-01 深圳昂楷科技有限公司 信息关联及其数据库审计方法、审计系统
CN107294953A (zh) * 2017-05-18 2017-10-24 深信服科技股份有限公司 攻击操作检测方法及装置
CN107479988A (zh) * 2017-08-01 2017-12-15 西安交大捷普网络科技有限公司 基于dcom的三层关联审计方法
CN107506662A (zh) * 2017-08-18 2017-12-22 上海连悦网络科技有限公司 信息交互方法及装置、计算机可读网络存储介质、终端
CN109408499A (zh) * 2018-10-22 2019-03-01 福建星瑞格软件有限公司 一种匹配数据库访问用户的审计方法及系统
CN110990168A (zh) * 2019-11-27 2020-04-10 深信服科技股份有限公司 三层关联信息的生成方法、系统、电子设备及存储介质
CN110990168B (zh) * 2019-11-27 2024-02-27 深信服科技股份有限公司 三层关联信息的生成方法、系统、电子设备及存储介质

Also Published As

Publication number Publication date
CN105930427B (zh) 2019-07-26

Similar Documents

Publication Publication Date Title
CN105930427A (zh) 数据库审计方法及装置
EP2244418B1 (en) Database security monitoring method, device and system
CN102307123B (zh) 基于传输层流量特征的nat流量识别方法
CN108334758B (zh) 一种用户越权行为的检测方法、装置及设备
CN1312892C (zh) 用于监控网络流量的方法和设备
CN112887274B (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
CN103716282B (zh) 一种修正ip库的方法和系统
CN104994091B (zh) 异常流量的检测方法及装置、防御Web攻击的方法和装置
Castellano et al. Cumulative merging percolation and the epidemic transition of the susceptible-infected-susceptible model in networks
CN102790700A (zh) 一种识别网页爬虫的方法和装置
US9680719B2 (en) Communication system, client terminal, and server
CN101399710A (zh) 一种协议格式异常检测方法及系统
CN104640138B (zh) 一种定位问题终端的方法及装置
CN104252458A (zh) 数据分析方法和装置
CN105302885A (zh) 一种全文数据的提取方法和装置
CN109583896A (zh) 交易验证方法、区块链节点及存储介质
CN107256276A (zh) 一种基于云平台的移动App内容安全获取方法及设备
CN108540491B (zh) 基于被动扫描的半自动化渗透测试系统及方法
CN109413049B (zh) 一种基于web地图传输的数据安全通讯方法及系统
CN102915313B (zh) 网络搜索中的纠错关系生成方法及系统
CN110995770B (zh) 一种模糊测试应用效果对比方法
CN103279816A (zh) 基于活动窗口统计终端工作效率的方法和系统
CN107517237A (zh) 一种视频识别方法和装置
CN103457957B (zh) 一种具有自适应功能的网络渗透测试系统及方法
CN110457897A (zh) 一种基于通信协议与sql语法的数据库安全检测方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 518000 the first floor of A1 building, Nanshan Zhiyuan 1001, Nanshan District Xue Yuan Avenue, Shenzhen, Guangdong.

Applicant after: SANGFOR TECHNOLOGIES Inc.

Address before: 518052 the first floor of A1 building, Nanshan Zhiyuan 1001, Nanshan District Xue Yuan Avenue, Shenzhen, Guangdong.

Applicant before: Sangfor Technologies Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20221027

Address after: Floor 3, Building A1, Nanshan Zhiyuan, No. 1001, Xueyuan Avenue, Nanshan District, Shenzhen, Guangdong 518000

Patentee after: Shenzhen Shenxinfu Information Security Co.,Ltd.

Address before: 518000 the first floor of A1 building, Nanshan Zhiyuan 1001, Nanshan District Xue Yuan Avenue, Shenzhen, Guangdong.

Patentee before: SANGFOR TECHNOLOGIES Inc.

TR01 Transfer of patent right