一種數(shù)據(jù)庫審計監(jiān)測系統(tǒng)及其方法【專利摘要】本發(fā)明公開一種數(shù)據(jù)庫審計監(jiān)測系統(tǒng)及其方法,包括硬件部分和模塊部分��,硬件部分包括交換機���、局域網(wǎng)和數(shù)據(jù)庫審計服務(wù)器����,交換機通過被鏡像端口在兩端均接入局域網(wǎng)����,并通過鏡像端口與數(shù)據(jù)庫審計服務(wù)器相連接,兩端的局域網(wǎng)分別與訪問數(shù)據(jù)庫客戶端以及數(shù)據(jù)庫服務(wù)器相連通����;模塊部分包括WEB管理模塊、本地數(shù)據(jù)庫模塊��、數(shù)據(jù)采集模塊和數(shù)據(jù)分析處理模塊���。本發(fā)明通過數(shù)據(jù)分析處理模塊中的監(jiān)聽模塊監(jiān)測并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為����,通過對網(wǎng)絡(luò)數(shù)據(jù)的分析,實時地�、智能地解析對數(shù)據(jù)庫服務(wù)器的各種操作、惡意攻擊事件信息記入審計數(shù)據(jù)庫中以便日后進行查詢��、分析���,實現(xiàn)對目標數(shù)據(jù)庫系統(tǒng)操作的監(jiān)控和審計�?��!緦@f明】一種數(shù)據(jù)庫審計監(jiān)測系統(tǒng)及其方法【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明涉及計算機領(lǐng)域���,具體涉及一種針對電力行業(yè)的數(shù)據(jù)庫審計監(jiān)測系統(tǒng)及其方法?����!?br>背景技術(shù):
】[0002]隨著數(shù)據(jù)庫的廣泛應(yīng)用以及用戶數(shù)據(jù)保護和操作監(jiān)控的意識逐漸增強�,越來越多的用戶對數(shù)據(jù)庫安全方面提出了更高的要求:除了能夠支撐業(yè)務(wù)系統(tǒng)的正常運行外��,還要求數(shù)據(jù)庫系統(tǒng)有較高的可靠性、保密性��、可控性和可跟蹤性�。對數(shù)據(jù)庫系統(tǒng)的各種操作是在有監(jiān)控的條件下進行的,同時���,對重要數(shù)據(jù)的操作也要保留歷史痕跡���。這樣,當出現(xiàn)了重大的涉密業(yè)務(wù)辦理失誤�,需要進行責任追查認定時,通過數(shù)據(jù)庫審計為事后追蹤和責任認定提供有力的證據(jù)���。[0003]傳統(tǒng)的安全設(shè)備�,如:IDS/IPS��、防火墻��,都是針對于邊界防護,而且防護的方向?qū)ν舛皇菍?nèi)的。通常數(shù)據(jù)庫服務(wù)器具有自身的日志審計功能���,這樣的日志功能也分為多種類型,如:連接審計,C2審計�����,SQL語句跟蹤等���,可以通過對配置項的修改��,設(shè)置為啟動或關(guān)閉�����,然而這樣的日志審計功能有著其自身的缺陷和危害����。日志審計功能并不能進行靈活的配置�,僅僅是簡單的日志記錄,并不能幫助管理者及時發(fā)現(xiàn)問題�,快速定位問題;數(shù)據(jù)庫自身的日志審計����,并不具有監(jiān)測報警的功能,不能在第一時間將異常信息報告給數(shù)據(jù)庫管理者��,只能用于問題查證����;日志審計的記錄會存在一個特定文件或是一個表,惡意攻擊者或是具有權(quán)限的合法用戶都可以刪除這樣的日志文件����,從而將記錄毀滅;對數(shù)據(jù)庫服務(wù)器的資源和性能都會產(chǎn)生影響:在開啟某些日志審計功能后����,有時候如果無法對日志文件進行寫入時,就會導致數(shù)據(jù)庫停止�;還有一些日志審計功能一旦開啟,記錄量非常大����,占用了大量的硬盤空間,同時大大降低數(shù)據(jù)庫服務(wù)的性能�����,嚴重影響正常的應(yīng)用的順利進行���?���!?br/>發(fā)明內(nèi)容】[0004]發(fā)明目的:本發(fā)明的目的在于解決現(xiàn)有技術(shù)中存在的不足,提供一種數(shù)據(jù)庫審計監(jiān)測系統(tǒng)及其方法����。[0005]技術(shù)方案:本發(fā)明的一種數(shù)據(jù)庫審計監(jiān)測系統(tǒng),包括交換機���、局域網(wǎng)和數(shù)據(jù)庫審計服務(wù)器�,所述交換機通過被鏡像端口在兩端均接入局域網(wǎng)����,并通過鏡像端口與數(shù)據(jù)庫審計服務(wù)器相連接,所述兩端的局域網(wǎng)分別與訪問數(shù)據(jù)庫客戶端以及數(shù)據(jù)庫服務(wù)器相連通���;所述數(shù)據(jù)庫審計服務(wù)器中包括WEB管理模塊�����、本地數(shù)據(jù)庫模塊�����、數(shù)據(jù)采集模塊和數(shù)據(jù)分析處理模塊:[0006]所述數(shù)據(jù)分析處理模塊對數(shù)據(jù)采集模塊從網(wǎng)卡上抓取到的網(wǎng)絡(luò)包進行分析��,分析數(shù)據(jù)流���,并對其中傳輸?shù)臄?shù)據(jù)庫協(xié)議數(shù)據(jù)包進行分析處理���,解析出用戶進行的數(shù)據(jù)庫操作和對應(yīng)的SQL語句��,并根據(jù)策略分析本次操作是否需要記錄和報警�;[0007]所述WEB管理模塊通過接口獲取數(shù)據(jù)分析處理模塊和數(shù)據(jù)采集模塊的狀態(tài),數(shù)據(jù)分析處理模塊維持系統(tǒng)網(wǎng)絡(luò)連接信息和數(shù)據(jù)庫會話信息����,支持同時捕獲和分析多個客戶端對多個數(shù)據(jù)庫的訪問操作;[0008]所述本地數(shù)據(jù)庫模塊存儲審計對象信息及對應(yīng)策略���,并把審計到的數(shù)據(jù)寫入到數(shù)據(jù)庫表中���,供WEB管理模塊查詢。[0009]優(yōu)化的���,所述數(shù)據(jù)分析處理模塊如果分析出需要記錄或報警�����,則通過調(diào)用數(shù)據(jù)庫接口把解析結(jié)果和報警信息寫入數(shù)據(jù)庫�����,并且通過對SQL語句進行分析����,提取出當前SQL操作的表和字段名稱,通過調(diào)用智能分析接口保存到數(shù)據(jù)中�。[0010]優(yōu)化的,所述WEB管理模塊中設(shè)有策略管理模塊���、系統(tǒng)管理模塊����、用戶管理模塊�����、日志管理模塊和報表管理模塊�����,WEB管理模塊由數(shù)據(jù)分析處理模塊提供接口�,并接受WEB管理模塊發(fā)送的配置改變通知,調(diào)用數(shù)據(jù)接口重新讀取系統(tǒng)配置。[0011]優(yōu)化的��,所述數(shù)據(jù)分析處理模塊實時監(jiān)聽網(wǎng)絡(luò)中流動的數(shù)據(jù)報文���,將符合規(guī)則要求的數(shù)據(jù)庫操作報文上傳到數(shù)據(jù)中心��。[0012]優(yōu)化的�����,所述數(shù)據(jù)分析處理模塊部署在網(wǎng)絡(luò)的關(guān)鍵節(jié)點,并支持對多個數(shù)據(jù)源進行數(shù)據(jù)采集����,數(shù)據(jù)中心收集數(shù)據(jù)分析處理模塊發(fā)來的審計數(shù)據(jù),并進行轉(zhuǎn)儲�����,分析�����,以及存儲最終的可讀解析數(shù)據(jù)�,并可接受來自訪問數(shù)據(jù)庫客戶端的數(shù)據(jù)挖掘請求。[0013]本發(fā)明還公開了一種數(shù)據(jù)庫審計監(jiān)測方法,包括以下步驟:[0014](1)開啟數(shù)據(jù)分析處理模塊中的監(jiān)控程序�,參數(shù)為監(jiān)測網(wǎng)卡的名稱;[0015](2)將監(jiān)控程序進行初始化���,讀取配置文件�����,并創(chuàng)建連接本地數(shù)據(jù)庫的連接地址����,該地址為一全局變量�����;[0016](3)根據(jù)步驟(2)中的連接地址�,將本地數(shù)據(jù)庫中的審計對象和策略全部讀入到結(jié)構(gòu)體中,并創(chuàng)建一個守護線程�����;[0017](4)步驟(3)中的守護線程監(jiān)聽來自網(wǎng)頁的請求����,并創(chuàng)建多個線程來響應(yīng)網(wǎng)頁的請求與命令����;[0018](5)進入監(jiān)測階段�����,利用抓包工具抓取原始數(shù)據(jù)�����;[0019](6)將抓取到的數(shù)據(jù)交給使用IP協(xié)議解析出來源與目的IP���,并首先匹配白名單;若客戶端IP在白名單內(nèi)���,則進行步驟(5);若客戶端IP在黑名單中���,則進行步驟(7):[0020](7)將步驟¢)中的數(shù)據(jù)交給TCP協(xié)議解析解析出來源與目的端口;[0021](8)將數(shù)據(jù)整理成數(shù)據(jù)庫協(xié)議樣式的數(shù)據(jù)��,交由協(xié)議解析模塊來還原數(shù)據(jù)庫語句�;[0022](9)還原的數(shù)據(jù)庫語句交由SQL語句模塊處理,分析出關(guān)鍵詞�。[0023]進一步的��,所述客戶端IP若與黑名單匹配成功��,進行步驟(91)��,否則進行步驟(92)����;[0024](91)將解析出的會話與SQL語句寫入到審計系統(tǒng)中���,進行步驟(5);[0025](92)若匹配策略成功�,進行步驟(91)�,否則進行步驟(5)。[0026]以上步驟一直循環(huán)進行�,實時審計監(jiān)測,并且系統(tǒng)的開啟與關(guān)閉可通過WEB管理模塊開控制�����。[0027]有益效果:與現(xiàn)有技術(shù)相比���,本發(fā)明具有以下優(yōu)點:[0028](1)本發(fā)明不但不會增加數(shù)據(jù)庫系統(tǒng)自身的資源負擔��,還能夠彌補數(shù)據(jù)系統(tǒng)自身審計一般對select語句審計的不足����。[0029](2)本發(fā)明中的數(shù)據(jù)庫審計文件格式簡單統(tǒng)一、可進行進行事后分析取證�����,并且數(shù)據(jù)本機審計記錄的安全性能高��,日志不易被清理丟失���。[0030](3)本發(fā)明中的自由配置監(jiān)測策略可以有效防止管理員權(quán)限濫用��;降低維護人員的安全隱患�;保護重要數(shù)據(jù)安全���;滿足合規(guī)性要求,促進IT審計����;促進落實規(guī)章制度監(jiān)督管理機制。[0031](4)本發(fā)明除可以應(yīng)用于電力行業(yè)數(shù)據(jù)庫�,還可以應(yīng)用于其他行業(yè),實用性強�����。【專利附圖】【附圖說明】[0032]圖1為本發(fā)明中的設(shè)備架構(gòu)示意圖��;[0033]圖2為本發(fā)明的整體框架示意圖�����;[0034]圖3為本發(fā)明的邏輯示意圖����;[0035]圖4為本發(fā)明的監(jiān)測程序流程示意圖?���!揪唧w實施方式】[0036]下面對本發(fā)明技術(shù)方案結(jié)合附圖進行詳細說明。[0037]本發(fā)明中的數(shù)據(jù)庫審計監(jiān)測系統(tǒng)����,主要通過數(shù)據(jù)分析處理模塊中的監(jiān)聽模塊監(jiān)測并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為,通過對網(wǎng)絡(luò)數(shù)據(jù)的分析��,實時地�、智能地解析對數(shù)據(jù)庫服務(wù)器的各種操作、惡意攻擊事件信息記入審計數(shù)據(jù)庫中以便日后進行查詢�、分析�,實現(xiàn)對目標數(shù)據(jù)庫系統(tǒng)操作的監(jiān)控和審計��。[0038]本發(fā)明可以審計監(jiān)測不同的數(shù)據(jù)庫�����,結(jié)構(gòu)體中包含數(shù)據(jù)庫客戶端的IP范圍�,白名單表示不審計此IP范圍內(nèi)的客戶端,黑名單表示此IP范圍內(nèi)的客戶端不論對數(shù)據(jù)庫做了什么操作全部記錄到審計系統(tǒng)中�����,而對于不在黑白名單內(nèi)的客戶端����,則由policylist策略鏈表字段審計過濾,將滿足策略的數(shù)據(jù)庫語句寫入到數(shù)據(jù)庫審計系統(tǒng)中����。[0039]如圖1至圖4所示,本發(fā)明的一種數(shù)據(jù)庫審計監(jiān)測系統(tǒng)�����,包括交換機��、局域網(wǎng)和數(shù)據(jù)庫審計服務(wù)器���,交換機通過被鏡像端口在兩端均接入局域網(wǎng)�����,并通過鏡像端口與數(shù)據(jù)庫審計服務(wù)器相連接����,兩端的局域網(wǎng)分別與訪問數(shù)據(jù)庫客戶端以及數(shù)據(jù)庫服務(wù)器相連通��;數(shù)據(jù)庫審計服務(wù)器中包括WEB管理模塊���、本地數(shù)據(jù)庫模塊�����、數(shù)據(jù)采集模塊和數(shù)據(jù)分析處理模塊:[0040]其中數(shù)據(jù)分析處理模塊對數(shù)據(jù)采集模塊從網(wǎng)卡上抓取到的網(wǎng)絡(luò)包進行分析�,分析數(shù)據(jù)流����,并對其中傳輸?shù)臄?shù)據(jù)庫協(xié)議數(shù)據(jù)包進行分析處理,解析出用戶進行的數(shù)據(jù)庫操作和對應(yīng)的SQL語句,并根據(jù)策略分析本次操作是否需要記錄和報警���,如果分析出需要記錄或報警�����,則通過調(diào)用數(shù)據(jù)庫接口把解析結(jié)果和報警信息寫入數(shù)據(jù)庫����,并且通過對SQL語句進行分析��,提取出當前SQL操作的表和字段名稱�����,通過調(diào)用智能分析接口保存到數(shù)據(jù)中���;WEB管理模塊通過接口獲取數(shù)據(jù)分析處理模塊和數(shù)據(jù)采集模塊的狀態(tài)��,數(shù)據(jù)分析處理模塊維持系統(tǒng)網(wǎng)絡(luò)連接信息和數(shù)據(jù)庫會話信息����,支持同時捕獲和分析多個客戶端對多個數(shù)據(jù)庫的訪問操作����;本地數(shù)據(jù)庫模塊存儲審計對象信息及對應(yīng)策略,并把審計到的數(shù)據(jù)寫入到數(shù)據(jù)庫表中����,供WEB管理模塊查詢。[0041]不管訪問數(shù)據(jù)庫客戶端以怎樣的方式連接到遠程數(shù)據(jù)庫服務(wù)器�,最關(guān)鍵的是數(shù)據(jù)庫審計監(jiān)測系統(tǒng)對外連接的網(wǎng)口要連接在鏡像端口上,被鏡像端口連接有數(shù)據(jù)庫服務(wù)器的一端���,這樣監(jiān)測程序可以抓取到客戶端操作數(shù)據(jù)庫的數(shù)據(jù)����,不需要原網(wǎng)絡(luò)做任何的修改調(diào)整����,不影響實際業(yè)務(wù)網(wǎng)絡(luò)的正常運行。如果在數(shù)據(jù)庫服務(wù)器的部署比較分散�����,或者規(guī)模比較大����,需要考慮支持一個引擎的多路采集,也需要考慮部署多個采集引擎。[0042]上述WEB管理模塊由數(shù)據(jù)分析處理模塊提供接口���,并接受WEB管理模塊發(fā)送的配置改變通知�,調(diào)用數(shù)據(jù)接口重新讀取系統(tǒng)配置�。[0043]上述數(shù)據(jù)分析處理模塊實時監(jiān)聽網(wǎng)絡(luò)中流動的數(shù)據(jù)報文,將符合規(guī)則要求的數(shù)據(jù)庫操作報文上傳到數(shù)據(jù)中心�����,并且數(shù)據(jù)分析處理模塊可以部署在網(wǎng)絡(luò)的關(guān)鍵節(jié)點��,并支持對多個數(shù)據(jù)源進行數(shù)據(jù)采集�����,數(shù)據(jù)中心收集數(shù)據(jù)分析處理模塊發(fā)來的審計數(shù)據(jù)��,并進行轉(zhuǎn)儲�����,分析���,以及存儲最終的可讀解析數(shù)據(jù)���,并可接受來自訪問數(shù)據(jù)庫客戶端的數(shù)據(jù)挖掘請求����。[0044]上述的數(shù)據(jù)庫審計監(jiān)測系統(tǒng)中涉及到的審計對象(數(shù)據(jù)庫應(yīng)用系統(tǒng))�、審計策略等所有信息均以結(jié)構(gòu)體的形式表示����,審計對象結(jié)構(gòu)體定義如下:[0045]typedefstruct-DATABASE_ITEM[0046]{[0047]unsignedintdatabase_id;[0048]char*alias_name;[0049]unsignedintdb_address����;[0050]unsignedshortdb_port;[0051]unsignedchardbTypelndex����;[0052]POLICY_ITEM*policylist;[0053]IP_RANGE*ip_whitelist;[0054]IP_RANGE*ip_blacklist;[0055]}DATABASE_ITEM;[0056]由dbTypelndex字段可以看出本發(fā)明能夠?qū)徲嫴煌臄?shù)據(jù)庫,結(jié)構(gòu)體中包含數(shù)據(jù)庫客戶端的IP范圍�,白名單表示不審計此IP范圍內(nèi)的客戶端,黑名單表示此IP范圍內(nèi)的客戶端不論對數(shù)據(jù)庫做了什么操作全部記錄到審計系統(tǒng)中����,而對于不在黑白名單內(nèi)的客戶端,則由policylist策略鏈表字段審計過濾�����,將滿足策略的數(shù)據(jù)庫語句寫入到數(shù)據(jù)庫審計系統(tǒng)中。策略結(jié)構(gòu)體定義如下:[0057]typedefstruct-P0LICY_ITEM{[0058]POLICY_ITEM*next;[0059]unsignedintpolicy_id�;[0060]unsignedintpriority;[0061]unsignedintdatabse-id;[0062]unsignedintop-type;[0063]longlongop-time;[0064]unsignedintop-records;[0065]unsignedintop-tables;[0066]unsignedcharop-result;[0067]IP-RANGE*ip-range;[0068]POLICY-KEYWORD^keywords;[0069]DB_USER*db_users;[0070]P0LICY_ACTI0Naction�����;[0071]intmax_relevantcount�����;[0072]void*matchObj;[0073]unsignedcharis_valid����;[0074]}P0LICY_ITEM;[0075]該結(jié)構(gòu)體內(nèi)包含了策略的基本屬性如策略ID,優(yōu)先級等和對應(yīng)的一些小策略�����,時間策略�����、內(nèi)容策略��。開啟監(jiān)測程序后,會從數(shù)據(jù)庫審計系統(tǒng)中讀取相應(yīng)信息到上述結(jié)構(gòu)體中��,進行數(shù)據(jù)庫審計��。具體的流程包括以下步驟:[0076](1)開啟數(shù)據(jù)分析處理模塊中的監(jiān)控程序�����,參數(shù)為監(jiān)測網(wǎng)卡的名稱����;[0077](2)將監(jiān)控程序進行初始化�����,讀取配置文件�����,并創(chuàng)建連接本地數(shù)據(jù)庫的連接地址���,該地址為一全局變量�����;[0078](3)根據(jù)步驟(2)中的連接地址���,將本地數(shù)據(jù)庫中的審計對象和策略全部讀入到結(jié)構(gòu)體中�����,并創(chuàng)建一個守護線程�����;[0079](4)步驟⑶中的守護線程監(jiān)聽來自網(wǎng)頁的請求�����,并創(chuàng)建多個線程來響應(yīng)網(wǎng)頁的請求與命令����;[0080](5)進入監(jiān)測階段�,利用抓包工具抓取原始數(shù)據(jù);[0081](6)將抓取到的數(shù)據(jù)交給使用IP協(xié)議解析出來源與目的IP�,并首先匹配白名單;若客戶端IP在白名單內(nèi)��,則進行步驟(5);若客戶端IP在黑名單中���,則進行步驟(7):[0082](7)將步驟(6)中的數(shù)據(jù)交給TCP協(xié)議解析解析出來源與目的端口����;[0083](8)將數(shù)據(jù)整理成數(shù)據(jù)庫協(xié)議樣式的數(shù)據(jù),交由協(xié)議解析模塊來還原數(shù)據(jù)庫語句�;[0084](9)還原的數(shù)據(jù)庫語句交由SQL語句模塊處理,分析出關(guān)鍵詞���。[0085]其中�����,上述客戶端IP若與黑名單匹配成功,進行步驟(91)�,否則進行步驟(92);[0086](91)將解析出的會話與SQL語句寫入到審計系統(tǒng)中,進行步驟(5);[0087](92)若匹配策略成功����,進行步驟(91),否則進行步驟(5)��?��!緳?quán)利要求】1.一種數(shù)據(jù)庫審計監(jiān)測系統(tǒng)����,其特征在于:包括交換機、局域網(wǎng)和數(shù)據(jù)庫審計服務(wù)器��,所述交換機通過被鏡像端口在兩端均接入局域網(wǎng)���,并通過鏡像端口與數(shù)據(jù)庫審計服務(wù)器相連接����,所述兩端的局域網(wǎng)分別與訪問數(shù)據(jù)庫客戶端以及數(shù)據(jù)庫服務(wù)器相連通�����;所述數(shù)據(jù)庫審計服務(wù)器中包括WEB管理模塊�����、本地數(shù)據(jù)庫模塊�、數(shù)據(jù)采集模塊和數(shù)據(jù)分析處理模塊:所述數(shù)據(jù)分析處理模塊對數(shù)據(jù)采集模塊從網(wǎng)卡上抓取到的網(wǎng)絡(luò)包進行分析,分析數(shù)據(jù)流�,并對其中傳輸?shù)臄?shù)據(jù)庫協(xié)議數(shù)據(jù)包進行分析處理,解析出用戶進行的數(shù)據(jù)庫操作和對應(yīng)的SQL語句�����,并根據(jù)策略分析本次操作是否需要記錄和報警;所述WEB管理模塊通過接口獲取數(shù)據(jù)分析處理模塊和數(shù)據(jù)采集模塊的狀態(tài)���,數(shù)據(jù)分析處理模塊維持系統(tǒng)網(wǎng)絡(luò)連接信息和數(shù)據(jù)庫會話信息��,支持同時捕獲和分析多個客戶端對多個數(shù)據(jù)庫的訪問操作����;所述本地數(shù)據(jù)庫模塊存儲審計對象信息及對應(yīng)策略��,并把審計到的數(shù)據(jù)寫入到數(shù)據(jù)庫表中��,供WEB管理模塊查詢��。2.根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫審計監(jiān)測系統(tǒng)��,其特征在于:所述數(shù)據(jù)分析處理模塊若分析出需要記錄或報警��,則通過調(diào)用數(shù)據(jù)庫接口把解析結(jié)果和報警信息寫入數(shù)據(jù)庫��,并且通過對SQL語句進行分析�����,提取出當前SQL操作的表和字段名稱�,通過調(diào)用智能分析接口保存到數(shù)據(jù)中。3.根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫審計監(jiān)測系統(tǒng)��,其特征在于:所述WEB管理模塊由數(shù)據(jù)分析處理模塊提供接口���,并接受WEB管理模塊發(fā)送的配置改變通知��,調(diào)用數(shù)據(jù)接口重新讀取系統(tǒng)配置��。4.根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫審計監(jiān)測系統(tǒng)����,其特征在于:所述數(shù)據(jù)分析處理模塊實時監(jiān)聽網(wǎng)絡(luò)中流動的數(shù)據(jù)報文����,將符合規(guī)則要求的數(shù)據(jù)庫操作報文上傳到數(shù)據(jù)中心。5.根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫審計監(jiān)測系統(tǒng)���,其特征在于:所述數(shù)據(jù)分析處理模塊部署在網(wǎng)絡(luò)的關(guān)鍵節(jié)點���,并支持對多個數(shù)據(jù)源進行數(shù)據(jù)采集,數(shù)據(jù)中心收集數(shù)據(jù)分析處理模塊發(fā)來的審計數(shù)據(jù)�,并進行轉(zhuǎn)儲��,分析��,以及存儲最終的可讀解析數(shù)據(jù)���,并可接受來自訪問數(shù)據(jù)庫客戶端的數(shù)據(jù)挖掘請求。6.-種如權(quán)利要求1至5任意一項所述的數(shù)據(jù)庫審計監(jiān)測系統(tǒng)的審計監(jiān)測方法���,其特征在于包括以下步驟:(1)開啟數(shù)據(jù)分析處理模塊中的監(jiān)控程序���,參數(shù)為監(jiān)測網(wǎng)卡的名稱;(2)將監(jiān)控程序進行初始化����,讀取配置文件,并創(chuàng)建連接本地數(shù)據(jù)庫的連接地址�����,該地址為一全局變量�;(3)根據(jù)步驟(2)中的連接地址,將本地數(shù)據(jù)庫中的審計對象和策略全部讀入到結(jié)構(gòu)體中�,并創(chuàng)建一個守護線程���;(4)步驟(3)中的守護線程監(jiān)聽來自網(wǎng)頁的請求�,并創(chuàng)建多個線程來響應(yīng)網(wǎng)頁的請求與命令;(5)進入監(jiān)測階段����,利用抓包工具抓取原始數(shù)據(jù);(6)將抓取到的數(shù)據(jù)交給使用IP協(xié)議解析出來源與目的IP���,并首先匹配白名單���;若客戶端IP在白名單內(nèi),則進行步驟(5);若客戶端IP在黑名單中��,則進行步驟(7):(7)將步驟¢)中的數(shù)據(jù)交給TCP協(xié)議解析解析出來源與目的端口��;(8)將數(shù)據(jù)整理成數(shù)據(jù)庫協(xié)議樣式的數(shù)據(jù)����,交由協(xié)議解析模塊來還原數(shù)據(jù)庫語句;(9)還原的數(shù)據(jù)庫語句交由SQL語句模塊處理��,分析出關(guān)鍵詞�。7.根據(jù)權(quán)利要求6所述的數(shù)據(jù)庫審計監(jiān)測方法,其特征在于所述客戶端IP若與黑名單匹配成功�,進行步驟(91)�,否則進行步驟(92);(91)將解析出的會話與SQL語句寫入到審計系統(tǒng)中�,進行步驟(5);(92)若匹配策略成功,進行步驟(91)���,否則進行步驟(5)�����?�!疚臋n編號】G06F17/30GK104063473SQ201410307286【公開日】2014年9月24日申請日期:2014年6月30日優(yōu)先權(quán)日:2014年6月30日【發(fā)明者】吳克河,崔文超,王召申請人:江蘇華大天益電力科技有限公司