CN107451491A - 一种提高数据库连接信息丢失时协议解析准确性的方法 - Google Patents
一种提高数据库连接信息丢失时协议解析准确性的方法 Download PDFInfo
- Publication number
- CN107451491A CN107451491A CN201710628873.0A CN201710628873A CN107451491A CN 107451491 A CN107451491 A CN 107451491A CN 201710628873 A CN201710628873 A CN 201710628873A CN 107451491 A CN107451491 A CN 107451491A
- Authority
- CN
- China
- Prior art keywords
- client
- link information
- information
- database
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种提高数据库连接信息丢失时协议解析准确性的方法,步骤如下:A)获取数据包;B)解析建立连接时的数据包,包括下述步骤:B1、解析连接包:客户端对数据库操作时,向数据库服务发起连接请求,旁路审计设备通过步骤A获取到客户端发起的连接请求数据包,进行解析得到连接信息;B2、分析连接信息:客户端与数据库服务建立连接成功后,客户端与数据库服务之间的通信均在所述连接请求数据包里进行;C)解析建立连接后的数据包:根据完整的客户端连接信息对建立连接后的数据包进行解析。本发明的方法在数据库连接信息丢失时,能够精准、高效地补齐丢失的连接信息,提高审计设备对数据包的解析准确性。
Description
技术领域
本发明属于数字信息的传输,例如电报通信的技术领域,特别涉及一种在网络信息安全领域的提高数据库连接信息丢失时协议解析准确性的方法。
背景技术
在计算机网络技术中,网络数据库技术实现了数据和资源共享。因此,在互联网应用中,普遍采用了网络数据库技术。
网络数据库是指把数据库技术引入到计算机系统中,借助于网络技术将存储于数据库中的大量信息及时发布出去。使用网络数据库的最大优势是用户通过客户端工具或Web浏览器或客户端应用程序便可完成对数据库数据的常用操作,用户只需要通过简单的界面操作就能完成各种复杂的数据业务,给大家带来了极大地便利。
网络数据库技术给大家带来便利的同时,也随之伴生了一些隐患:由于数据库的共享范围扩大,对数据库用户的管理难度加大,网络数据库遭受破坏、窃密的概率加大,降低了数据的保密性和安全性。
因此在网络信息安全领域,对网络数据库安全防护是极为重要的。在网络数据库安全防护的解决方案中普遍会用到协议解析技术,来自客户端与数据库的连接信息对协议解析有着非常重要的作用,如使用的编码、整数的大小端等都在连接信息中,但在实际应用中,总会有一些数据库连接信息丢失的会话,如果没有这些信息,解析的准确性将下降60%左右。
发明内容
本发明的主要目的在于克服现有技术中的不足,提供一种提高数据库连接信息丢失时协议解析准确性的方法。
为解决上述技术问题,本发明的解决方案是:一种提高数据库连接信息丢失时协议解析准确性的方法,用于提高对数据库连接信息丢失的会话数据包进行协议解析时的正确性。具体包括下述步骤。
A)获取数据包:旁路审计设备通过配置审计对象,即数据库服务的IP及端口,在交换机上镜像一份来自各个客户端对数据库服务访问的数据包。
所述旁路审计设备是采用旁路技术的数据库审计系统,其能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警。
旁路审计设备可以采用自主开发的数据库审计设备,通过旁路获取数据包、提取私钥、解析私钥、解密预主钥、生成主钥、生成密钥和初始向量、解密加密的数据包,对需要进行WEB业务审计的数据包实现解密,是网络数据库安全防护产品。
所述风险行为包括数据库信息泄露、数据库信息被篡改、数据库信息丢失。
B)解析建立连接时的数据包:旁路审计设备对步骤A的数据包进行解析,具体包括下述步骤。
B1、解析连接包:客户端对数据库操作时,首先要向数据库服务发起连接请求。旁路审计设备通过步骤A获取到客户端发起的连接请求数据包,进一步进行解析,得到连接信息。
其中,解析出来的连接信息包括但不限于以下:SIP、DIP、DPORT、客户端编码、大小端、客户端版本信息、客户端主机信息。
B2、分析连接信息:客户端与数据库服务建立连接成功后,客户端与数据库服务之间的通信均在所述连接请求数据包里进行,对客户端与数据库服务之间的通信数据包正确解析基于步骤B1中解析出来的连接信息。连接信息的内容提供了建立连接后的数据包正确解析的依据和线索,包含用于提示解析时所需要采用的解码方式的客户端编码和用于提示解析时需要采用的大小端模式的客户端大小端类型。
判断步骤B1解析的连接信息是否完整,得到两种情况。
1)当步骤B1解析的连接信息完整时,将步骤B1解析的连接信息增加至已有连接信息表中。更新的内容包括但不限于:SIP、DIP、DPORT、客户端编码、大小端、客户端版本信息、客户端主机信息。
2)当步骤B1解析的连接信息不完整时,由于步骤B1解析的连接信息不完整,包含但不限于:客户端编码、大小端、客户端版本信息、客户端主机信息丢失。因此在进行建立连接后的数据包协议解析丢失了重要线索导致解析正确性大大降低。解决方案如下。
B2.1、推导客户端连接信息:当客户端连接信息丢失时,在已有连接信息记录中推导同一客户的连接信息,将同一客户已有连接信息记录中占比最高的连接信息补充丢失的连接信息。
B2.2、匹配客户端连接信息:当步骤B1解析的连接信息不完整时,通过之前已有连接信息的连接信息库推导客户端连接信息,通过推导的客户端连接信息,将步骤B1解析的客户端连接信息,如SIP、DIP、DPORT,匹配已有连接信息库中占比最高的连接信息。
经过已有连接信息库的样本测试发现,同一个客户三元组即SIP、DIP、DPORT使用同一连接信息的概率为95%,当同一客户使用多个连接信息时占比最高的连接信息占比率可达到70%。
故,连接信息包括SIP、DIP和DPORT,来自同一SIP、DIP和DPORT的请求判定为同一客户。依此推导出丢失的客户端连接信息。
经过实际案例的运作,推算的准确率达到 99%以上。
B2.3、补齐客户端连接信息:将匹配到的客户端连接信息补充至SIP、DIP、DPORT,得到完整的客户端连接信息。完整的客户端连接信息至少包含但不限于以下:SIP、DIP、DPORT、客户端编码、大小端、客户端版本信息、客户端主机信息。
C)解析建立连接后的数据包:根据完整的客户端连接信息对建立连接后的数据包进行解析。
由此可见,针对现有技术的不足,本发明采用一种提高数据库连接信息丢失时协议解析准确性的方法,当客户端连接信息丢失时,在已有连接信息记录中推导同一客户的连接信息,当客户端连接信息丢失时,将同一客户已有连接信息记录中占比最高的连接信息补充丢失的连接信息,在数据库连接信息丢失时,能够精准、高效地补齐丢失的连接信息,从而提高审计设备对数据包的解析准确性。
附图说明
图1为本发明的方法流程图;
图2为本发明的连接信息与已有连接信息表间的交互示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图并以实例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1示例本发明的方法流程图,图2示例完整连接信息与不完整连接信息与已有的连接信息表间的交互示意图,下表1为已有连接信息表。
表1:已有连接信息表。
本发明涉及一种提高数据库连接信息丢失时协议解析准确性的方法,包括以下步骤:
步骤1:获取数据包:通过旁路审计设备在交换机上配置审计对象,即数据库服务的IP192.168.1.3和端口3306,镜像一份来自客户端A对该数据库服务访问的数据包。
步骤2:解析建立连接时的数据包。
A)解析数据包:客户端对数据库操作时,首先要向数据库服务发起连接请求。旁路审计设备通过步骤1获取到客户端发起的连接请求数据包,进一步进行解析。解析出来的连接信息包括但不限于以下:
SIP:客户端A的IP192.168.23.2
DIP:数据库服务的IP192.168.1.3
DPORT:数据库服务的端口3306
客户端编码:UTF8
大小端:大端
客户端版本信息:SQL2000客户端工具
客户端主机信息:win7专业版 64位
B)分析连接信息:客户端与数据库服务建立连接成功后,客户端与数据库服务之间的通信均在这个连接会话里。而对客户端与数据库服务之间的通信数据包正确解析需要用到步骤A中解析出来的连接信息。连接信息的内容提供了建立连接后的数据包正确解析的依据和线索,包含但不限于以下:连接信息中的客户端编码提示解析时所需要采用的解码方式、连接信息中的大小端提示解析时需要采用的大小端模式。因此解析建立连接后的数据包,主要分为以下两种情况:
B1、当步骤A解析的连接信息完整时,将步骤A解析的连接信息更新至连接信息库中。更新的内容包括但不限于:
SIP:客户端A的IP192.168.23.2
DIP:数据库服务的IP192.168.1.3
DPORT:数据库服务的端口3306
客户端编码:UTF8
大小端:大端
客户端版本信息:SQL2000客户端工具
客户端主机信息:win7专业版 64位
B2、当步骤A解析的连接信息不完整时,由于步骤A解析的连接信息不完整,包含但不限于:客户端编码、大小端、客户端版本信息、客户端主机信息丢失。因此在进行步骤B2时协议解析丢失了重要线索导致解析正确性大大降低。解决方案如下。
i、推导客户端连接信息:当客户端连接信息丢失时,在已有连接信息记录中推导同一客户的连接信息,将同一客户已有连接信息记录中占比最高的连接信息补充丢失的连接信息。
ii、匹配客户端连接信息:当步骤B1解析的连接信息不完整时,通过之前已有连接信息的连接信息库猜测客户端连接信息。将步骤A解析的客户端连接信息:SIP192.168.23.2、DIP192.168.1.3、DPORT3306匹配已有连接信息库中占比最高的连接信息。假设为以下:
客户端编码:UTF8
大小端:大端
客户端版本信息:SQL2000客户端工具
客户端主机信息:win7专业版 64位
经过样本测试发现,同一个客户三元组即SIP192.168.23.2、DIP192.168.1.3、DPORT3306使用同一连接信息的概率为95%,当同一客户使用多个连接信息时占比最高的连接信息占比率可达到70%。最后可以推导出丢失的客户端连接信息。
实测得知,推导的准确率达到 99%以上。
iii、补齐客户端连接信息:将匹配到的客户端连接信息补充至SIP、DIP、DPORT,得到完整的客户端连接信息包含但不限于以下:SIP、DIP、DPORT、客户端编码、大小端、客户端版本信息、客户端主机信息。补充后的完整连接信息包括但不限于如下:
SIP:客户端A的IP192.168.23.2
DIP:数据库服务的IP192.168.1.3
DPORT:数据库服务的端口3306
客户端编码:UTF8
大小端:大端
客户端版本信息:SQL2000客户端工具
客户端主机信息:win7专业版 64位
C)解析建立连接后的数据包:根据完整的客户端连接信息对建立连接后的数据包进行解析。
需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限于以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (7)
1.一种提高数据库连接信息丢失时协议解析准确性的方法,其特征在于:所述方法包括下述步骤:
A)获取数据包:旁路审计设备通过配置审计对象,在交换机上镜像一份来自各个客户端对数据库服务访问的数据包;
所述旁路审计设备是采用旁路技术的数据库审计系统,其能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警;
B)解析建立连接时的数据包:旁路审计设备对步骤A的数据包进行解析,包括下述步骤:
B1、解析数据包:客户端对数据库操作时,向数据库服务发起连接请求,旁路审计设备通过步骤A获取到客户端发起的连接请求数据包,进行解析,得到连接信息;
B2、分析连接信息:客户端与数据库服务建立连接成功后,客户端与数据库服务之间的通信均在所述连接请求数据包里进行,对客户端与数据库服务之间的通信数据包正确解析基于步骤B1中解析出来的连接信息,所述连接信息的内容提供了建立连接后的数据包正确解析的依据和线索,包含用于提示解析时所需要采用的解码方式的客户端编码和用于提示解析时需要采用的大小端模式的客户端大小端类型;
1)当步骤B1解析的连接信息完整时,将步骤B1解析的连接信息增加至已有连接信息表中,得到完整的客户端连接信息;
2)当步骤B1解析的连接信息不完整时,则建立连接后的数据包协议解析丢失了重要线索导致解析正确性大大降低;解决方法包括以下步骤:
B2.1:推导客户端连接信息:当客户端连接信息丢失时,在已有的连接信息的记录中推导同一客户的连接信息,将同一客户已有的连接信息的记录中占比最高的连接信息补充丢失的连接信息;
B2.2:匹配客户端连接信息:通过推导的客户端连接信息,将步骤B1解析的客户端连接信息匹配已有连接信息表中占比最高的连接信息;
B2.3:补齐客户端连接信息:将匹配到的客户端连接信息补充至连接信息表,得到完整的客户端连接信息;
C)解析建立连接后的数据包:根据完整的客户端连接信息对建立连接后的数据包进行解析。
2.根据权利要求1所述的一种提高数据库连接信息丢失时协议解析准确性的方法,其特征在于,所述连接信息包括SIP、DIP和DPORT,来自同一SIP、DIP和DPORT的请求判定为同一客户。
3.根据权利要求2所述的一种提高数据库连接信息丢失时协议解析准确性的方法,其特征在于,所述完整的客户端连接信息至少包括SIP、DIP、DPORT、客户端编码、大小端、客户端版本信息和客户端主机信息。
4.根据权利要求1所述的一种提高数据库连接信息丢失时协议解析准确性的方法,其特征在于,所述步骤B2.1中,根据同一个客户的SIP、DIP、DPORT使用同一连接信息的概率为95%,推导出丢失的客户端连接信息。
5.根据权利要求4所述的一种提高数据库连接信息丢失时协议解析准确性的方法,其特征在于,所述步骤B2.1中,根据同一客户使用多个连接信息时占比最高的连接信息占比率为70%,推导出丢失的客户端连接信息。
6.根据权利要求1所述的一种提高数据库连接信息丢失时协议解析准确性的方法,其特征在于,所述旁路审计设备是采用旁路技术开发的数据库审计系统。
7.根据权利要求1所述的一种提高数据库连接信息丢失时协议解析准确性的方法,其特征在于,所述风险行为包括:数据库信息泄露、数据库信息被篡改、数据库信息丢失。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710628873.0A CN107451491B (zh) | 2017-07-28 | 2017-07-28 | 一种提高数据库连接信息丢失时协议解析准确性的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710628873.0A CN107451491B (zh) | 2017-07-28 | 2017-07-28 | 一种提高数据库连接信息丢失时协议解析准确性的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107451491A true CN107451491A (zh) | 2017-12-08 |
| CN107451491B CN107451491B (zh) | 2020-03-10 |
Family
ID=60489767
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710628873.0A Active CN107451491B (zh) | 2017-07-28 | 2017-07-28 | 一种提高数据库连接信息丢失时协议解析准确性的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107451491B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108989299A (zh) * | 2018-07-03 | 2018-12-11 | 杭州安恒信息技术股份有限公司 | 一种物联网设备漏洞的监测方法与系统 |
| CN109120635A (zh) * | 2018-09-05 | 2019-01-01 | 江苏亨通工控安全研究院有限公司 | 工控数据库操作行为安全审计方法、装置及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1360261A (zh) * | 2001-11-29 | 2002-07-24 | 上海复旦光华信息科技股份有限公司 | 旁路式数据库访问侦听与还原的方法 |
| CN101631122A (zh) * | 2009-08-03 | 2010-01-20 | 杭州安恒信息技术有限公司 | 一种丢包环境下提升tds协议解析正确率的方法 |
| CN103678654A (zh) * | 2013-12-23 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 一种数据库安全审计中获取连接信息的方法 |
| US20140215091A1 (en) * | 2013-01-31 | 2014-07-31 | Cisco Technology, Inc. | Recovering lost device information in cable networks |
| CN104063473A (zh) * | 2014-06-30 | 2014-09-24 | 江苏华大天益电力科技有限公司 | 一种数据库审计监测系统及其方法 |
| CN105871631A (zh) * | 2016-05-31 | 2016-08-17 | 武汉光迅科技股份有限公司 | 一种基于snmp协议找回丢失ip的方法 |
-
2017
- 2017-07-28 CN CN201710628873.0A patent/CN107451491B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1360261A (zh) * | 2001-11-29 | 2002-07-24 | 上海复旦光华信息科技股份有限公司 | 旁路式数据库访问侦听与还原的方法 |
| CN101631122A (zh) * | 2009-08-03 | 2010-01-20 | 杭州安恒信息技术有限公司 | 一种丢包环境下提升tds协议解析正确率的方法 |
| US20140215091A1 (en) * | 2013-01-31 | 2014-07-31 | Cisco Technology, Inc. | Recovering lost device information in cable networks |
| CN103678654A (zh) * | 2013-12-23 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 一种数据库安全审计中获取连接信息的方法 |
| CN104063473A (zh) * | 2014-06-30 | 2014-09-24 | 江苏华大天益电力科技有限公司 | 一种数据库审计监测系统及其方法 |
| CN105871631A (zh) * | 2016-05-31 | 2016-08-17 | 武汉光迅科技股份有限公司 | 一种基于snmp协议找回丢失ip的方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108989299A (zh) * | 2018-07-03 | 2018-12-11 | 杭州安恒信息技术股份有限公司 | 一种物联网设备漏洞的监测方法与系统 |
| CN109120635A (zh) * | 2018-09-05 | 2019-01-01 | 江苏亨通工控安全研究院有限公司 | 工控数据库操作行为安全审计方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107451491B (zh) | 2020-03-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11425047B2 (en) | Traffic analysis method, common service traffic attribution method, and corresponding computer system | |
| CN104320377B (zh) | 一种流媒体文件的防盗链方法及设备 | |
| CN106790420B (zh) | 一种多会话通道建立方法和系统 | |
| CN103856361B (zh) | 实现远程调试的方法及系统 | |
| CN111277549B (zh) | 一种采用区块链的安全服务方法与系统 | |
| US20120191802A1 (en) | Method and apparatus of performing remote computer file exchange | |
| CN101345764A (zh) | 多链路无线移动工业管控一体化数据传输系统 | |
| CN104993993B (zh) | 一种报文处理方法、设备和系统 | |
| CN104243477A (zh) | 基于xmpp协议实现的公安行业的数据采集方法及系统 | |
| CN106960166A (zh) | 一种基于分布式总账技术的智能插座管理系统及其方法 | |
| CN107169364A (zh) | 一种数据保全方法及相关系统 | |
| WO2014008694A1 (zh) | 一种实现ps域分布式架构的信令监测装置 | |
| CN101521667B (zh) | 一种安全的数据通信方法及装置 | |
| CN206441195U (zh) | 一种身份实名认证系统 | |
| US10419212B2 (en) | Methods, systems, apparatuses, and devices for securing network communications using multiple security protocols | |
| WO2017005163A1 (zh) | 基于无线通信的安全认证装置 | |
| CN107451491A (zh) | 一种提高数据库连接信息丢失时协议解析准确性的方法 | |
| CN110392044A (zh) | 一种基于视联网的信息传输方法及装置 | |
| CN102647432B (zh) | 一种认证信息传输方法、装置及认证中间件 | |
| CN211352206U (zh) | 基于量子密钥分发的IPSec VPN密码机 | |
| CN105592121A (zh) | 一种rdp数据采集装置及方法 | |
| CN103051594A (zh) | 一种标识网端到端安全建立的方法、网络侧设备及系统 | |
| WO2012041029A1 (zh) | 一种服务器处理业务的方法及装置 | |
| CN107135190A (zh) | 基于传输层安全连接的数据流量归属识别方法及装置 | |
| CN103036879A (zh) | 一种审计qq聊天内容的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Zhejiang Zhongcai Building No. 68 Binjiang District road Hangzhou City, Zhejiang Province, the 310052 and 15 layer Applicant after: Hangzhou Annan information technology Limited by Share Ltd Address before: Zhejiang Zhongcai Building No. 68 Binjiang District road Hangzhou City, Zhejiang Province, the 310052 and 15 layer Applicant before: Dbappsecurity Co.,ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201023 Address after: 201306 building C, No. 888, Huanxi 2nd Road, Lingang New Area, Pudong New Area, Shanghai Patentee after: Shanghai Anheng times Information Technology Co., Ltd Address before: Zhejiang Zhongcai Building No. 68 Binjiang District road Hangzhou City, Zhejiang Province, the 310052 and 15 layer Patentee before: Hangzhou Anheng Information Technology Co.,Ltd. |