CN114531304A - 一种基于数据包的会话处理方法和系统 - Google Patents
一种基于数据包的会话处理方法和系统 Download PDFInfo
- Publication number
- CN114531304A CN114531304A CN202210432784.XA CN202210432784A CN114531304A CN 114531304 A CN114531304 A CN 114531304A CN 202210432784 A CN202210432784 A CN 202210432784A CN 114531304 A CN114531304 A CN 114531304A
- Authority
- CN
- China
- Prior art keywords
- session
- database
- access
- session information
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/242—Query formulation
Abstract
本申请公开了一种基于数据包的会话处理方法和系统,该方法包括:获取访问数据库的数据库流量;对于所述数据库流量中的每个会话分别获取该会话创建之后的前N个数据包;从所述前N个数据包中获取所述会话的会话信息,其中,所述会话信息包括:访问数据库使用的用户名、访问数据库所使用的客户端工具的名称以及访问所述数据库的客户端的网络地址;根据所述会话的会话信息判断所述会话内所执行的数据库操作的性质。通过本申请解决了现有技术中无法区分是运维访问还是应用访问所导致的问题,从而能够区分出运维访问,为审计运维访问提供了可能。
Description
技术领域
本申请涉及到数据库领域,具体而言,涉及一种基于数据包的会话处理方法和系统。
背景技术
数据库审计以安全事件为中心,以全面审计和精确审计为基础,实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行实时告警。它通过对用户访问数据库行为的记录、分析和汇报,来帮助用户事后生成合规报告、事故追根溯源,同时通过大数据搜索技术提供高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现加强内外部数据库网络行为的监控与审计,提高数据资产安全。
在某种情况下,仅需要设计运维访问数据库时所进行的操作,但是,在现有技术中无法区分是运维访问数据库还是应用访问数据库,从而无法针对运维访问进行审计。
发明内容
本申请实施例提供了一种基于数据包的会话处理方法和系统,以至少解决现有技术中无法区分是运维访问还是应用访问所导致的问题。
根据本申请的一个方面,提供了一种基于数据包的会话处理方法,包括:获取访问数据库的数据库流量;对于所述数据库流量中的每个会话分别获取该会话创建之后的前N个数据包;从所述前N个数据包中获取所述会话的会话信息,其中,所述会话信息包括:访问数据库使用的用户名、访问数据库所使用的客户端工具的名称以及访问所述数据库的客户端的网络地址;根据所述会话的会话信息判断所述会话内所执行的数据库操作的性质。
进一步地,根据所述会话信息判断所述会话内所执行的数据库操作的性质包括:根据所述会话信息和预先配置的行为特征判断所述会话内所执行的数据库操作是运维进行的操作或者是应用进行的操作。
进一步地,所述预先配置的行为特征包括:使用特定用户名、使用特定客户端工具或者使用特定网络地址的客户端的会话为运维进行的操作。
进一步地,根据所述会话信息判断所述会话内所执行的数据库操作的性质包括:根据所述会话信息判断所述会话内所执行的数据库操作是否为风险行为。
进一步地,所述风险行为包括以下至少之一:撞库、非法访问、暴力破解。
根据本申请的另一个方面,还提供了一种基于数据包的会话处理系统,包括:第一获取模块,用于获取访问数据库的数据库流量;第二获取模块,用于对于所述数据库流量中的每个会话分别获取该会话创建之后的前N个数据包;第三获取模块,用于从所述前N个数据包中获取所述会话的会话信息,其中,所述会话信息包括:访问数据库使用的用户名、访问数据库所使用的客户端工具的名称以及访问所述数据库的客户端的网络地址;判断模块,用于根据所述会话的会话信息判断所述会话内所执行的数据库操作的性质。
进一步地,所述判断模块用于:根据所述会话信息和预先配置的行为特征判断所述会话内所执行的数据库操作是运维进行的操作或者是应用进行的操作。
进一步地,所述预先配置的行为特征包括:使用特定用户名、使用特定客户端工具或者使用特定网络地址的客户端的会话为运维进行的操作。
进一步地,所述判断模块用于:根据所述会话信息判断所述会话内所执行的数据库操作是否为风险行为。
进一步地,所述风险行为包括以下至少之一:撞库、非法访问、暴力破解。
在本申请实施例中,采用了获取访问数据库的数据库流量;对于所述数据库流量中的每个会话分别获取该会话创建之后的前N个数据包;从所述前N个数据包中获取所述会话的会话信息,其中,所述会话信息包括:访问数据库使用的用户名、访问数据库所使用的客户端工具的名称以及访问所述数据库的客户端的网络地址;根据所述会话的会话信息判断所述会话内所执行的数据库操作的性质。通过本申请解决了现有技术中无法区分是运维访问还是应用访问所导致的问题,从而能够区分出运维访问,为审计运维访问提供了可能。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的基于数据包的会话处理方法的流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中提供了一种基于数据包的会话处理方法,图1是根据本申请实施例的基于数据包的会话处理方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,获取访问数据库的数据库流量;
步骤S104,对于所述数据库流量中的每个会话分别获取该会话创建之后的前N个数据包(例如,前30个数据包);
步骤S106,从所述前N个数据包中获取所述会话的会话信息,其中,所述会话信息包括:访问数据库使用的用户名、访问数据库所使用的客户端工具的名称以及访问所述数据库的客户端的网络地址;
例如,可以对抓到的数据包进行解析,在数据包中Internet Protocol Version 4字段中,src:10.10.10.10,这个IP地址就是访问数据库的客户端的网络地址。在数据包中可以解析得到Username:root,root就是访问数据库所使用的用户名,在数据包中还可以解析到program_name:MySQLWorkbench,这其中的MySQLWorkbench就是访问数据库所使用的客户端工具的名称。即在本步骤中,对数据包进行解析,从前N个数据包中用于指示访问数据库使用的用户名的字段、用于指示访问数据库所使用的客户端工具的名称的字段以及用于指示访问所述数据库的客户端的网络地址的字段,从这些字段中可以得到需要的会话信息。
步骤S108,根据所述会话的会话信息判断所述会话内所执行的数据库操作的性质。
在该步骤中,可以判断出会话所执行的数据库操作的性质的例子有很多,例如,根据所述会话信息和预先配置的行为特征判断所述会话内所执行的数据库操作是运维进行的操作或者是应用进行的操作。可选地,所述预先配置的行为特征可以包括:使用特定用户名、使用特定客户端工具或者使用特定网络地址的客户端的会话为运维进行的操作。下面对此进行举例说明,运维特征场景确认:来自于堡垒机IP、运维主机IP网段可以确定为运维访问;来自于特定数据库用户,例如root、sys之类的高权用户一般为运维访问;来自于特定工具的访问,例如MySQLWorkbench和sqlplus一般为运维访问。同理,来自于应用服务器IP的访问为应用访问来自于应用所用的数据库访问用户的访问一般为应用访问部分应用会在登陆信息里面注册自己的应用名称,也可以用来做应用访问识别。
又例如,根据所述会话信息判断所述会话内所执行的数据库操作是否为风险行为。可选地,所述风险行为可以包括以下至少之一:撞库、非法访问、暴力破解。
通过上述步骤解决了现有技术中无法区分是运维访问还是应用访问所导致的问题,从而能够区分出运维访问,为审计运维访问提供了可能。
作为一个可选的实施方式,记录解析出所述用户名、所述客户端工具的名称以及所述客户端的网络地址的数据包是该会话中的第几个数据包,统计所述用户名、所述客户端工具的名称以及所述客户端网络地址所在的数据包在会话中的出现的预定位置,在后续解析数据包时,首先解析预定位置的数据包,如果未能解析得到所述用户名、所述客户端工具以及所述客户端的网络地址,则再对前N个数据包进行解析。
作为另一个可选的实施方式,预先配置预定用户名、预定客户端工具以及预定客户端网络地址所能够执行的操作,在判断出预定会话为运维访问的情况下,根据运维访问所使用的用户名、客户端工具和/或网络地址确定该运维会话能够运行的SQL语句以及禁止运行的SQL语句,获取该预定会话中执行的SQL语句,在执行的SQL语句不属于该运维会话能够运行的SQL语句或者属于禁止运行的SQL语句,则进行记录并发出告警信息。通过该可选的实施方式,不仅仅能够判断该访问是否为运维访问,并且还能够对运维访问中所使用的SQL语句进行审计,从而在一定程度上提高了数据库访问的安全性。
作为另一个可选实施例,从所述前N个数据包中未获取所述会话的会话信息的情况下,获取该会话所执行的SQL语句,根据所执行的SQL语句中是否包括预定语句判断该会话是运维访问或者是应用访问,其中,所述预定语句为预先配置的。
在本实施例中,提供一种电子装置,包括存储器和处理器,存储器中存储有计算机程序,处理器被设置为运行计算机程序以执行以上实施例中的方法。
上述程序可以运行在处理器中,或者也可以存储在存储器中(或称为计算机可读介质),计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存 (PRAM)、静态随机存取存储器 (SRAM)、动态随机存取存储器 (DRAM)、其他类型的随机存取存储器 (RAM)、只读存储器 (ROM)、电可擦除可编程只读存储器 (EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘 (DVD) 或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体 (transitory media),如调制的数据信号和载波。
这些计算机程序也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤,对应与不同的步骤可以通过不同的模块来实现。
该本实施例中就提供了这样的一种装置或系统。该系统被称为基于数据包的会话处理系统,包括:第一获取模块,用于获取访问数据库的数据库流量;第二获取模块,用于对于所述数据库流量中的每个会话分别获取该会话创建之后的前N个数据包;第三获取模块,用于从所述前N个数据包中获取所述会话的会话信息,其中,所述会话信息包括:访问数据库使用的用户名、访问数据库所使用的客户端工具的名称以及访问所述数据库的客户端的网络地址;判断模块,用于根据所述会话的会话信息判断所述会话内所执行的数据库操作的性质。
该系统或者装置用于实现上述的实施例中的方法的功能,该系统或者装置中的每个模块与方法中的每个步骤相对应,已经在方法中进行过说明的,在此不再赘述。
例如,所述判断模块用于:根据所述会话信息和预先配置的行为特征判断所述会话内所执行的数据库操作是运维进行的操作或者是应用进行的操作。
又例如,所述判断模块用于:根据所述会话信息判断所述会话内所执行的数据库操作是否为风险行为。
通过上述实施例解决了现有技术中无法区分是运维访问还是应用访问所导致的问题,从而能够区分出运维访问,为审计运维访问提供了可能。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种基于数据包的会话处理方法,其特征在于,包括:
获取访问数据库的数据库流量;
对于所述数据库流量中的每个会话分别获取该会话创建之后的前N个数据包;
从所述前N个数据包中获取所述会话的会话信息,其中,所述会话信息包括:访问数据库使用的用户名、访问数据库所使用的客户端工具的名称以及访问所述数据库的客户端的网络地址;
根据所述会话的会话信息判断所述会话内所执行的数据库操作的性质。
2.根据权利要求1所述的方法,其特征在于,根据所述会话信息判断所述会话内所执行的数据库操作的性质包括:
根据所述会话信息和预先配置的行为特征判断所述会话内所执行的数据库操作是运维进行的操作或者是应用进行的操作。
3.根据权利要求2所述的方法,其特征在于,所述预先配置的行为特征包括:使用特定用户名、使用特定客户端工具或者使用特定网络地址的客户端的会话为运维进行的操作。
4.根据权利要求1所述的方法,其特征在于,根据所述会话信息判断所述会话内所执行的数据库操作的性质包括:
根据所述会话信息判断所述会话内所执行的数据库操作是否为风险行为。
5.根据权利要求4所述的方法,其特征在于,所述风险行为包括以下至少之一:撞库、非法访问、暴力破解。
6.一种基于数据包的会话处理系统,其特征在于,包括:
第一获取模块,用于获取访问数据库的数据库流量;
第二获取模块,用于对于所述数据库流量中的每个会话分别获取该会话创建之后的前N个数据包;
第三获取模块,用于从所述前N个数据包中获取所述会话的会话信息,其中,所述会话信息包括:访问数据库使用的用户名、访问数据库所使用的客户端工具的名称以及访问所述数据库的客户端的网络地址;
判断模块,用于根据所述会话的会话信息判断所述会话内所执行的数据库操作的性质。
7.根据权利要求6所述的系统,其特征在于,所述判断模块用于:
根据所述会话信息和预先配置的行为特征判断所述会话内所执行的数据库操作是运维进行的操作或者是应用进行的操作。
8.根据权利要求7所述的系统,其特征在于,所述预先配置的行为特征包括:使用特定用户名、使用特定客户端工具或者使用特定网络地址的客户端的会话为运维进行的操作。
9.根据权利要求6所述的系统,其特征在于,所述判断模块用于:
根据所述会话信息判断所述会话内所执行的数据库操作是否为风险行为。
10.根据权利要求9所述的系统,其特征在于,所述风险行为包括以下至少之一:撞库、非法访问、暴力破解。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210432784.XA CN114531304B (zh) | 2022-04-24 | 2022-04-24 | 一种基于数据包的会话处理方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210432784.XA CN114531304B (zh) | 2022-04-24 | 2022-04-24 | 一种基于数据包的会话处理方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114531304A true CN114531304A (zh) | 2022-05-24 |
CN114531304B CN114531304B (zh) | 2022-07-05 |
Family
ID=81628275
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210432784.XA Active CN114531304B (zh) | 2022-04-24 | 2022-04-24 | 一种基于数据包的会话处理方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114531304B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114756530A (zh) * | 2022-06-15 | 2022-07-15 | 北京安华金和科技有限公司 | 一种基于堡垒机的客户端信息处理方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101668043A (zh) * | 2009-07-25 | 2010-03-10 | 高维海 | 一种通信会话组的获取方法及系统 |
CN101901307A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种检测数据库是否遭到跨站脚本攻击的方法及装置 |
WO2014207712A1 (en) * | 2013-06-28 | 2014-12-31 | Athonet S.R.L. | Radio access network control of media session |
CN104394122A (zh) * | 2014-10-31 | 2015-03-04 | 杭州安恒信息技术有限公司 | 一种基于自适应代理机制的http业务防火墙 |
CN107968785A (zh) * | 2017-12-03 | 2018-04-27 | 浙江工商大学 | 一种SDN数据中心中防御DDoS攻击的方法 |
CN108306879A (zh) * | 2018-01-30 | 2018-07-20 | 福建师范大学 | 基于Web会话流的分布式实时异常定位方法 |
CN108629201A (zh) * | 2018-04-24 | 2018-10-09 | 山东华软金盾软件股份有限公司 | 一种对数据库非法操作进行阻断的方法 |
CN110798427A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种网络安全防御中的异常检测方法、装置及设备 |
CN113904950A (zh) * | 2021-12-06 | 2022-01-07 | 广东睿江云计算股份有限公司 | 基于流的网络监测方法、装置、计算机设备及存储介质 |
-
2022
- 2022-04-24 CN CN202210432784.XA patent/CN114531304B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101901307A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种检测数据库是否遭到跨站脚本攻击的方法及装置 |
CN101668043A (zh) * | 2009-07-25 | 2010-03-10 | 高维海 | 一种通信会话组的获取方法及系统 |
WO2014207712A1 (en) * | 2013-06-28 | 2014-12-31 | Athonet S.R.L. | Radio access network control of media session |
EP3014850A1 (en) * | 2013-06-28 | 2016-05-04 | Athonet S.R.L. | Radio access network control of media session |
US20160156676A1 (en) * | 2013-06-28 | 2016-06-02 | Athonet S.R.L. | Radio access network control of media session |
CN104394122A (zh) * | 2014-10-31 | 2015-03-04 | 杭州安恒信息技术有限公司 | 一种基于自适应代理机制的http业务防火墙 |
CN107968785A (zh) * | 2017-12-03 | 2018-04-27 | 浙江工商大学 | 一种SDN数据中心中防御DDoS攻击的方法 |
CN108306879A (zh) * | 2018-01-30 | 2018-07-20 | 福建师范大学 | 基于Web会话流的分布式实时异常定位方法 |
CN108629201A (zh) * | 2018-04-24 | 2018-10-09 | 山东华软金盾软件股份有限公司 | 一种对数据库非法操作进行阻断的方法 |
CN110798427A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种网络安全防御中的异常检测方法、装置及设备 |
CN113904950A (zh) * | 2021-12-06 | 2022-01-07 | 广东睿江云计算股份有限公司 | 基于流的网络监测方法、装置、计算机设备及存储介质 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114756530A (zh) * | 2022-06-15 | 2022-07-15 | 北京安华金和科技有限公司 | 一种基于堡垒机的客户端信息处理方法 |
CN114756530B (zh) * | 2022-06-15 | 2022-08-19 | 北京安华金和科技有限公司 | 一种基于堡垒机的客户端信息处理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114531304B (zh) | 2022-07-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106487775B (zh) | 一种基于云平台的业务数据的处理方法和装置 | |
US20190313218A1 (en) | System and method for triggering on platform usage | |
CN107122296B (zh) | 用于测试接口的数据断言的方法及设备 | |
CN107092535B (zh) | 用于测试接口的数据存储的方法及设备 | |
CN104731816A (zh) | 一种处理异常业务数据的方法和装置 | |
CN107403108A (zh) | 一种数据处理的方法及系统 | |
CN114531304B (zh) | 一种基于数据包的会话处理方法和系统 | |
CN108650123B (zh) | 故障信息记录方法、装置、设备和存储介质 | |
CN116841645A (zh) | 一种用于数据库审计的数据库流量处理方法和系统 | |
CN107169356B (zh) | 统方分析方法及设备 | |
CN114756530B (zh) | 一种基于堡垒机的客户端信息处理方法 | |
CN112749100A (zh) | 一种基于流量录制生成自动化测试案例的方法 | |
CN111435327B (zh) | 一种日志记录的处理方法、装置及系统 | |
CN111885088A (zh) | 基于区块链的日志监测方法及装置 | |
CN111625700A (zh) | 防抓取的方法、装置、设备及计算机存储介质 | |
CN115757318A (zh) | 日志查询方法、装置、存储介质以及电子设备 | |
CN111241547A (zh) | 一种越权漏洞的检测方法、装置及系统 | |
CN115114132A (zh) | 一种审计程序的性能测试方法和系统 | |
CN113536304B (zh) | 一种基于运维审计系统的防绕行方法及设备 | |
CN115827589A (zh) | 一种权限验证方法、装置、电子设备及存储介质 | |
CN106650432B (zh) | 涉密信息的分析方法及装置 | |
CN115118640B (zh) | 一种存在代理设备时的数据库审计处理方法和系统 | |
CN110866278A (zh) | 一种数据库实时入侵阻断方法及装置 | |
CN111291393A (zh) | 请求校验方法及设备 | |
CN117093639B (zh) | 一种基于审计服务的套接字连接处理方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |