CN113312320A - 一种获取用户操作数据库行为的方法和系统 - Google Patents
一种获取用户操作数据库行为的方法和系统 Download PDFInfo
- Publication number
- CN113312320A CN113312320A CN202110579046.3A CN202110579046A CN113312320A CN 113312320 A CN113312320 A CN 113312320A CN 202110579046 A CN202110579046 A CN 202110579046A CN 113312320 A CN113312320 A CN 113312320A
- Authority
- CN
- China
- Prior art keywords
- database
- analysis
- log
- file
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/172—Caching, prefetching or hoarding of files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/1734—Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/1805—Append-only file systems, e.g. using logs or journals to store data
- G06F16/1815—Journaling file systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供了一种获取用户操作数据库行为的方法和系统。本发明的获取用户操作数据库行为的方法包括:第一步骤:开启信息应用系统的数据库日志归档功能,使得源数据库能够生成与用户操作相关的日志归档文件;第二步骤:获取信息应用系统的日志归档文件;第三步骤:根据获取的日志归档文件的特征对获取的数据库日志归档文件进行解析,将获取的数据库日志归档文件转换为可辨识的用户操作行为。
Description
技术领域
本发明涉及数据处理领域,具体涉及一种获取用户操作数据库行为的方法和系统。
背景技术
现有的信息应用系统基本上都是建立在数据库应用的基础之上,几乎所有用户操作都是对数据库的操作,都会被数据库工具完整的记录下来。近年来,有一类信息安全事故的发生,往往表现为合法的用户通过合法途径,采用合法操作进行的,例如系统有操作权限的人员对重要数据的篡改、拷贝等。此类问题难以被常规的信息安全监管手段发现,因为此类原因发生的信息安全事故,通常造成了极大的损失和恶劣的社会影响。
对此,现有技术涉及了一些针对性的技术,如下所述。
数据库安全审计产品:数据库安全审计工具可以监控和审计用户对数据库中的数据库表、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的创建、修改和删除等,分析的内容可以精确到SQL操作语句一级。它还可以根据设置的规则,智能的判断出违规操作数据库的行为,并对违规行为进行记录、报警。由于数据库安全审计系统是以网络旁路的方式工作于数据库主机所在的网络,因此它可以在根本不改变数据库系统的任何设置的情况下对数据库的操作实现跟踪记录、定位,实现数据库的在线监控,在不影响数据库系统自身性能的前提下,实现对数据库的在线监控和保护,及时地发现网络上针对数据库的违规操作行为并进行记录、报警。
此类产品的特点是软硬件一体,设备售价昂贵,整体功能丰富和复杂,如果只需要其中的一部分功能无法进行裁切,对于仅仅需要获取用户对数据库操作行为内容的需求来说,实现的成本过高。
数据容灾备份产品:容灾备份系统是指在相隔较远的异地,建立两套或多套功能相同的IT系统,互相之间可以进行健康状态监视和功能切换,当一处系统因意外(如火灾、地震等)停止工作时,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作。容灾技术是系统的高可用性技术的一个组成部分,容灾系统更加强调处理外界环境对系统的影响,特别是灾难性事件对整个IT节点的影响,提供节点级别的系统恢复功能。
数据容灾备份产品的特点是保证备份数据库的所有状态和源数据库必须保证100%的一致性,对于恶意删除或者篡改数据等行为,备份数据库也执行一样的操作,保证了数据的一致性,但是对于操作人员对数据库的操作行为不做关注,也不具备发现或者阻止不合法操作的机能。这类产品的功能目标是保证信息应用系统在异常灾害时能正常运转,而不关注操作者的行为,无法发现或者阻止不合法的操作行为。
信息应用系统自身形成的日志文件,是最直接获得所有用户对数据库操作行为的方式,记录最详尽,内容辨识性好。但是致命的弱点是这个系统自身的日志文件自身不能保证不被删除或者篡改,这给了实施非法操作的人员可以钻的漏洞,一旦在实施了非法目的操作后再将对应的系统日志文件篡改或者删除,那么系统日志文件将不能体现真实完整的用户操作行为。
发明内容
本发明所要解决的技术问题是针对现有技术中存在上述缺陷,提供一种简单、成本低廉、并且不会对在运行的信息应用系统造成不良影响的用户操作数据库行为获取方法。
根据本发明,提供了一种获取用户操作数据库行为的方法,包括:
第一步骤:开启信息应用系统的数据库日志归档功能,使得源数据库能够生成与用户操作相关的日志归档文件;
第二步骤:获取信息应用系统的日志归档文件;
第三步骤:根据获取的日志归档文件的特征对获取的数据库日志归档文件进行解析,将获取的数据库日志归档文件转换为可辨识的用户操作行为。
优选地,第四步骤:将解析出来的结果存储在存储单元中。
优选地,第二步骤采用网络旁路的方式获取所述日志归档文件。
优选地,第二步骤包括:对接收到的所有所述日志归档文件进行分析,以设计策略,然后按照设计的策略选择对应的数据库日志归档文件,并将选择的数据库日志归档文件传输并存储到传输单元的存储介质中。
优选地,在第三步骤,当解析发生异常停滞的时候,重新对获取的数据库日志归档文件进行解析,重新开始解析的进程;当解析失败时,从传输单元获取解析失败的数据库日志归档文件,以重新进行解析;当没有可以解析的数据库日志归档文件时,解析功能保持待命状态,解析单元定时向传输单元发出询问,当发现有待解析的数据库日志归档文件时,自动进行解析。
优选地,在第四步骤,当存储发生异常停滞的时候,获取未存储的解析信息,重新开始解析的进程;当存储失败时,获取存储失败的解析信息,重新进行存储;当没有可以存储的解析信息时,存储功能保持待命状态,定时向解析单元发出询问,当发现有待存储的解析信息时,自动进行存储。
根据本发明,还提供了一种用于获取用户操作数据库行为的方法,包括:
传输单元,用于获取信息应用系统的日志归档文件;
第三步骤:根据获取的日志归档文件的特征对获取的数据库日志归档文件进行解析,将获取的数据库日志归档文件转换为可辨识的用户操作行为。
优选地,传输单元采用网络旁路的方式获取所述日志归档文件。
优选地,传输单元对接收到的所有所述日志归档文件进行分析,以设计策略,然后按照设计的策略选择对应的数据库日志归档文件,并将选择的数据库日志归档文件传输并存储到传输单元的存储介质中。
优选地,当解析发生异常停滞的时候,解析单元重新对获取的数据库日志归档文件进行解析,重新开始解析的进程;当解析失败时,解析单元从传输单元获取解析失败的数据库日志归档文件,以重新进行解析;当没有可以解析的数据库日志归档文件时,解析功能保持待命状态,解析单元定时向传输单元发出询问,当发现有待解析的数据库日志归档文件时,自动进行解析。
优选地,当存储单元中的存储发生异常停滞的时候,从解析单元获取未存储的解析信息,重新开始解析的进程;当存储存储失败时,存储单元从解析单元获取存储失败的解析信息,重新进行存储;当没有可以存储的解析信息时,存储功能保持待命状态,定时向解析单元发出询问,当发现有待存储的解析信息时,自动进行存储。
附图说明
结合附图,并通过参考下面的详细描述,将会更容易地对本发明有更完整的理解并且更容易地理解其伴随的优点和特征,其中:
图1示意性地示出了根据本发明优选实施例的获取用户操作数据库行为的方法的具体示例的流程图。
图2示意性地示出了根据本发明优选实施例的获取用户操作数据库行为的方法的具体示例的示意图。
需要说明的是,附图用于说明本发明,而非限制本发明。注意,表示结构的附图可能并非按比例绘制。并且,附图中,相同或者类似的元件标有相同或者类似的标号。
具体实施方式
为了使本发明的内容更加清楚和易懂,下面结合具体实施例和附图对本发明的内容进行详细描述。
本发明的方法通过开启信息应用系统的数据库日志归档功能,采用网络旁路的方式获取日志归档文件,并按照日志归档文件的特征进行解析和保存,从而得知用户对数据库操作的具体行为。这些行为包含用户登录、退出、对数据的增、删、改、查、更改系统设置、对数据表的增、删、改、查等所有操作。详细获得这些信息,为打击和预防采用合法途径进行非法操作的行为保留了可供分析基础数据。本发明的方法的一个明显的优势是,实现的技术方式简单,成本低廉,并且不会对在运行的信息应用系统造成不良影响。
本发明通过解析数据库归档日志文件的方式获取信息应用系统用户的操作行为,其中获取日志归档文件的途径是网络旁路的方式,以便不对信息应用系统造成性能损耗;获取信息应用系统用户的数据库操作行为的目的是保存和分析这些内容,为发现、预警或者阻止不合法的数据库操作行为提供分析和追查的依据。
图1示意性地示出了根据本发明优选实施例的获取用户操作数据库行为的方法的具体示例的流程图,图2示意性地示出了根据本发明优选实施例的用于获取用户操作数据库行为的系统的具体示例的示意图。
其中,信息应用系统指以信息技术为主要手段建立的各类业务管理的应用系统,基本特征是组成部分都有数据库,业务管理的内容都存储和记录在数据库中,用户的操作都是对数据库的操作。源数据库指信息应用系统的系统中所使用的数据库,在广义上包括有数据库日志归档生成功能的数据库开发工具。数据库日志归档文件指源数据库生成的日志归档文件。
用于获取用户操作数据库行为的系统包括传输单元、解析单元和存储单元。
如图1和图2所示,根据本发明优选实施例的获取用户操作数据库行为的方法包括:
第一步骤S1:开启信息应用系统的数据库日志归档功能,使得源数据库能够生成与用户操作相关的日志归档文件;
第二步骤S2:获取信息应用系统的日志归档文件;可以利用传输单元完成获取所述日志归档文件的步骤。
优选地,第二步骤采用网络旁路的方式获取所述日志归档文件。
优选地,第二步骤包括:对接收到的所有所述日志归档文件进行分析,以设计合理的策略(例如拆分、排序、断点接续等),然后按照设计的策略选择对应的数据库日志归档文件,并将选择的数据库日志归档文件传输并存储到传输单元的存储介质中。
第三步骤S3:根据获取的日志归档文件的特征对获取的数据库日志归档文件进行解析,将获取的数据库日志归档文件转换为可辨识的用户操作行为;例如,可以由解析单元执行第三步骤。
例如,可辨识的用户操作行为可以包含用户对数据库的所有操作,例如登录或者退出信息应用系统,对信息应用系统的设置操作,对数据表的增删改查、对数据的增删改查等。
优选地,在第三步骤,当解析发生异常停滞的时候,解析单元可以重新对获取的数据库日志归档文件进行解析,重新开始解析的进程。当解析因为某个或某些数据库日志归档文件的原因解析失败时,解析单元可以从传输单元获取解析失败的数据库日志归档文件,重新进行解析。当没有可以解析的数据库日志归档文件时,解析功能保持待命状态,解析单元定时向传输单元发出询问,当发现有待解析的数据库日志归档文件时,自动进行解析。
第四步骤S4:将解析出来的结果存储在存储单元中。
优选地,在第四步骤,当存储单元中的存储发生异常停滞的时候,可以从解析单元获取未存储的解析信息,重新开始解析的进程。当存储因为某个或某些解析信息的原因存储失败时,可以从解析单元获取存储失败的解析信息,重新进行存储。当没有可以存储的解析信息时,存储功能保持待命状态,定时向解析单元发出询问,当发现有待存储的解析信息时,自动进行存储。
优选地,传输单元和解析单元之间的联系通道可以是任何达成两者之间通信联系的通信方式,不限于在同一计算和存储载体或者是不同的计算和存储载体之间。这个通道上传输的信息是双向的。
优选地,解析单元和存储单元之间的联系通道可以是任何达成两者之间通信联系的通信方式,不限于在同一计算和存储载体或者是不同的计算和存储载体之间。这个通道上传输的信息是双向的。
本领域技术任意可以理解的是,本发明表现的产品形式,可以是单纯的软件形式产品,也可以形成软硬件合体的硬件设备类产品形式。
通过本发明所述的方法获得的用户对数据库操作的行为信息,可以为分析、预警和阻止非法的数据库操作提供基础数据,这些数据可以按照后续应用的需要封装转换成所需的格式,按照指定的路径传输给后续应用分析的系统。
需要说明的是,除非特别指出,否则说明书中的术语“第一”、“第二”、“第三”等描述仅仅用于区分说明书中的各个组件、元素、步骤等,而不是用于表示各个组件、元素、步骤之间的逻辑关系或者顺序关系等。
可以理解的是,虽然本发明已以较佳实施例披露如上,然而上述实施例并非用以限定本发明。对于任何熟悉本领域的技术人员而言,在不脱离本发明技术方案范围情况下,都可利用上述揭示的技术内容对本发明技术方案作出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰,均仍属于本发明技术方案保护的范围内。
Claims (10)
1.一种获取用户操作数据库行为的方法,其特征在于包括:
第一步骤:开启信息应用系统的数据库日志归档功能,使得源数据库能够生成与用户操作相关的日志归档文件;
第二步骤:获取信息应用系统的日志归档文件;
第三步骤:根据获取的日志归档文件的特征对获取的数据库日志归档文件进行解析,将获取的数据库日志归档文件转换为可辨识的用户操作行为。
2.根据权利要求1所述的获取用户操作数据库行为的方法,其特征在于还包括第四步骤:将解析出来的结果存储在存储单元中。
3.根据权利要求1或2所述的获取用户操作数据库行为的方法,其特征在于,第二步骤采用网络旁路的方式获取所述日志归档文件。
4.根据权利要求1或2所述的获取用户操作数据库行为的方法,其特征在于,第二步骤包括:对接收到的所有所述日志归档文件进行分析,以设计策略,然后按照设计的策略选择对应的数据库日志归档文件,并将选择的数据库日志归档文件传输并存储到传输单元的存储介质中。
5.根据权利要求1或2所述的获取用户操作数据库行为的方法,其特征在于,在第三步骤,当解析发生异常停滞的时候,重新对获取的数据库日志归档文件进行解析,重新开始解析的进程;当解析失败时,从传输单元获取解析失败的数据库日志归档文件,以重新进行解析;当没有可以解析的数据库日志归档文件时,解析功能保持待命状态,解析单元定时向传输单元发出询问,当发现有待解析的数据库日志归档文件时,自动进行解析。
6.根据权利要求1或2所述的获取用户操作数据库行为的方法,其特征在于,在第四步骤,当存储发生异常停滞的时候,获取未存储的解析信息,重新开始解析的进程;当存储失败时,获取存储失败的解析信息,重新进行存储;当没有可以存储的解析信息时,存储功能保持待命状态,定时向解析单元发出询问,当发现有待存储的解析信息时,自动进行存储。
7.一种用于获取用户操作数据库行为的方法,其特征在于包括:
传输单元,用于获取信息应用系统的日志归档文件;
第三步骤:根据获取的日志归档文件的特征对获取的数据库日志归档文件进行解析,将获取的数据库日志归档文件转换为可辨识的用户操作行为。
8.根据权利要求7所述的用于获取用户操作数据库行为的方法,其特征在于,传输单元采用网络旁路的方式获取所述日志归档文件。
9.根据权利要求7或8所述的用于获取用户操作数据库行为的方法,其特征在于,传输单元对接收到的所有所述日志归档文件进行分析,以设计策略,然后按照设计的策略选择对应的数据库日志归档文件,并将选择的数据库日志归档文件传输并存储到传输单元的存储介质中。
10.根据权利要求7或8所述的用于获取用户操作数据库行为的方法,其特征在于,当解析发生异常停滞的时候,解析单元重新对获取的数据库日志归档文件进行解析,重新开始解析的进程;当解析失败时,解析单元从传输单元获取解析失败的数据库日志归档文件,以重新进行解析;当没有可以解析的数据库日志归档文件时,解析功能保持待命状态,解析单元定时向传输单元发出询问,当发现有待解析的数据库日志归档文件时,自动进行解析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110579046.3A CN113312320A (zh) | 2021-05-26 | 2021-05-26 | 一种获取用户操作数据库行为的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110579046.3A CN113312320A (zh) | 2021-05-26 | 2021-05-26 | 一种获取用户操作数据库行为的方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113312320A true CN113312320A (zh) | 2021-08-27 |
Family
ID=77375163
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110579046.3A Pending CN113312320A (zh) | 2021-05-26 | 2021-05-26 | 一种获取用户操作数据库行为的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113312320A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116738396A (zh) * | 2023-08-08 | 2023-09-12 | 广州天地林业有限公司 | 基于人工智能的勘界标准文档录入方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150095289A1 (en) * | 2013-09-27 | 2015-04-02 | International Business Machines Corporation | Archival management of database logs |
| CN111258975A (zh) * | 2020-04-26 | 2020-06-09 | 中国人民解放军总医院 | 图像归档通信系统异常定位方法、装置、设备及介质 |
| CN111314296A (zh) * | 2020-01-15 | 2020-06-19 | 福建奇点时空数字科技有限公司 | 一种基于旁路技术的网络流量分析安全服务系统 |
| CN112765279A (zh) * | 2021-01-29 | 2021-05-07 | 苏州浪潮智能科技有限公司 | 一种数据库同步方法和系统 |
-
2021
- 2021-05-26 CN CN202110579046.3A patent/CN113312320A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150095289A1 (en) * | 2013-09-27 | 2015-04-02 | International Business Machines Corporation | Archival management of database logs |
| CN111314296A (zh) * | 2020-01-15 | 2020-06-19 | 福建奇点时空数字科技有限公司 | 一种基于旁路技术的网络流量分析安全服务系统 |
| CN111258975A (zh) * | 2020-04-26 | 2020-06-09 | 中国人民解放军总医院 | 图像归档通信系统异常定位方法、装置、设备及介质 |
| CN112765279A (zh) * | 2021-01-29 | 2021-05-07 | 苏州浪潮智能科技有限公司 | 一种数据库同步方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 张剑 等: "《信息安全技术 下 第2版》", 31 May 2015 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116738396A (zh) * | 2023-08-08 | 2023-09-12 | 广州天地林业有限公司 | 基于人工智能的勘界标准文档录入方法及系统 |
| CN116738396B (zh) * | 2023-08-08 | 2023-12-08 | 广州天地林业有限公司 | 基于人工智能的勘界标准文档录入方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10122575B2 (en) | Log collection, structuring and processing | |
| US10810074B2 (en) | Unified error monitoring, alerting, and debugging of distributed systems | |
| US8250202B2 (en) | Distributed notification and action mechanism for mirroring-related events | |
| US7805419B2 (en) | System for tracking and analyzing the integrity of an application | |
| US9122600B2 (en) | Systems and methods for remote monitoring in a computer network | |
| US10915626B2 (en) | Graph model for alert interpretation in enterprise security system | |
| US6434616B2 (en) | Method for monitoring abnormal behavior in a computer system | |
| CN112631913B (zh) | 应用程序的运行故障监控方法、装置、设备和存储介质 | |
| US20110314148A1 (en) | Log collection, structuring and processing | |
| US20120246303A1 (en) | Log collection, structuring and processing | |
| US20220050765A1 (en) | Method for processing logs in a computer system for events identified as abnormal and revealing solutions, electronic device, and cloud server | |
| CN108920690B (zh) | 可视化网络安全审计方法及系统 | |
| JP2003141075A (ja) | ログ情報管理装置及びログ情報管理プログラム | |
| CN112596951B (zh) | 一种nas数据容灾方法、装置、设备及存储介质 | |
| CN112214411B (zh) | 一种容灾系统测试方法、装置、设备及存储介质 | |
| Han et al. | Fingerprinting the checker policies of parallel file systems | |
| CN113312320A (zh) | 一种获取用户操作数据库行为的方法和系统 | |
| CN106354773A (zh) | 应用程序存储数据的方法及装置 | |
| Verma et al. | SWEEPER: An Efficient Disaster Recovery Point Identification Mechanism. | |
| AU674231B2 (en) | Fault-tolerant computer systems | |
| KR101973728B1 (ko) | 통합 보안 이상징후 모니터링 시스템 | |
| KR20070093233A (ko) | 데이터베이스의 장애 및 성능 모니터링 방법, 및 그 방법을구현하기 위한 시스템 | |
| CN115840939A (zh) | 安全漏洞处理方法、装置、计算机设备和存储介质 | |
| CN113420003A (zh) | 一种数据交互日志的处理方法、装置、设备及介质 | |
| CN117472684A (zh) | 故障处理方法、装置、终端设备以及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210827 |