技術(shù)領(lǐng)域：

本發(fā)明涉及信息審計(jì)技術(shù)領(lǐng)域，具體涉及一種數(shù)據(jù)庫(kù)內(nèi)容深度還原方法。

背景技術(shù)：

數(shù)據(jù)庫(kù)是任何商業(yè)和公共安全中最具有戰(zhàn)略性的資產(chǎn)，通常都保存著重要的商業(yè)伙伴和客戶(hù)信息，這些信息需要被保護(hù)起來(lái)，以防止競(jìng)爭(zhēng)者和其他非法者獲取，互聯(lián)網(wǎng)的急速發(fā)展使得企業(yè)數(shù)據(jù)庫(kù)信息的價(jià)值及可訪問(wèn)性得到了提升，同時(shí)，也致使數(shù)據(jù)庫(kù)信息資產(chǎn)面臨嚴(yán)峻的挑戰(zhàn)，安全面臨著諸多問(wèn)題，由于計(jì)算機(jī)軟硬件故障、黑客入侵、病毒侵害等原因會(huì)導(dǎo)致數(shù)據(jù)庫(kù)系統(tǒng)不能正常運(yùn)轉(zhuǎn)、數(shù)據(jù)丟失等，然而更高的風(fēng)險(xiǎn)來(lái)源于企業(yè)內(nèi)部，企業(yè)內(nèi)部人員非法訪問(wèn)、惡意篡改等操作，給數(shù)據(jù)庫(kù)系統(tǒng)帶來(lái)的威脅更是災(zāi)難性的，隨著企業(yè)的不斷成長(zhǎng)，對(duì)數(shù)據(jù)庫(kù)的審計(jì)也成了企業(yè)內(nèi)控的重中之重。

伴隨著數(shù)據(jù)庫(kù)信息價(jià)值以及可訪問(wèn)性提升，使得數(shù)據(jù)庫(kù)面對(duì)來(lái)自?xún)?nèi)部和外部的安全風(fēng)險(xiǎn)大大增加，如違規(guī)越權(quán)操作、惡意入侵導(dǎo)致機(jī)密信息竊取泄漏，但事后卻無(wú)法有效追溯和審計(jì)。

近年來(lái)，有關(guān)數(shù)據(jù)庫(kù)的安全事故可謂層出不窮，諸如銀行內(nèi)部數(shù)據(jù)信息泄露造成的賬戶(hù)資金失密、信用卡信息被盜用導(dǎo)致的信用卡偽造、企業(yè)內(nèi)部機(jī)密數(shù)據(jù)泄露引起的競(jìng)爭(zhēng)力下降，這些情況無(wú)不說(shuō)明了實(shí)施數(shù)據(jù)庫(kù)安全審計(jì)的必要。

概括起來(lái)主要表現(xiàn)在以下三個(gè)層面：

管理層面：主要表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，第三方維護(hù)人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時(shí)，無(wú)法追溯并定位真實(shí)的操作者。

技術(shù)層面：現(xiàn)有的數(shù)據(jù)庫(kù)內(nèi)部操作不明，無(wú)法通過(guò)外部的任何安全工具(比如：防火墻、IDS、IPS等)來(lái)阻止內(nèi)部用戶(hù)的惡意操作、濫用資源和泄露企業(yè)機(jī)密信息等行為。

審計(jì)層面：現(xiàn)有的依賴(lài)于數(shù)據(jù)庫(kù)日志文件的審計(jì)方法，存在諸多的弊端,比如:數(shù)據(jù)庫(kù)審計(jì)功能的開(kāi)啟會(huì)影響數(shù)據(jù)庫(kù)本身的性能、數(shù)據(jù)庫(kù)日志文件本身存在被篡改的風(fēng)險(xiǎn)，難于體現(xiàn)審計(jì)信息的真實(shí)性。

發(fā)明內(nèi)容

本發(fā)明所解決的技術(shù)問(wèn)題是提供一種數(shù)據(jù)庫(kù)內(nèi)容深度還原方法，以克服數(shù)據(jù)庫(kù)重要信息被隨意改動(dòng)，而且沒(méi)有證據(jù)的問(wèn)題。

為解決上述的技術(shù)問(wèn)題，本發(fā)明采取的技術(shù)方案：

一種數(shù)據(jù)庫(kù)內(nèi)容深度還原方法，其特殊之處在于：所述的還原方法通過(guò)以下步驟實(shí)現(xiàn)：

（1）、預(yù)處理階段：

將網(wǎng)卡設(shè)置為混雜模式，通過(guò)Libpcap進(jìn)行循環(huán)抓包，Libpcap采用零拷貝技術(shù)把用戶(hù)內(nèi)存映射到內(nèi)核中，抓取到的數(shù)據(jù)包通過(guò)鏈路層解碼、協(xié)議層處理和流重組，將還原好的流寫(xiě)入文件，如果該條四元組鏈接30秒內(nèi)沒(méi)有新數(shù)據(jù)，則寫(xiě)入流文件結(jié)束，并且關(guān)閉該流文件，通知協(xié)議解析模塊，還原流文件已經(jīng)生成，可以讀取流文件，分析每一行數(shù)據(jù)，獲取是否有數(shù)據(jù)庫(kù)操作語(yǔ)句，如果30秒內(nèi)有新數(shù)據(jù),先判斷是否該四元組建立過(guò)文件，如果建立過(guò)文件，就將這些數(shù)據(jù)追加到已經(jīng)建立文件的后面，如果沒(méi)有建立文件，新建立文件；

（2）、匹配階段：

預(yù)處理結(jié)束后，通知協(xié)議解析模塊，該進(jìn)程讀取創(chuàng)建好的數(shù)據(jù)庫(kù)操作流文件，一行一行的讀取文件，調(diào)用kmt算法，解析該行中的真實(shí)數(shù)據(jù)庫(kù)操作。

上述的步驟（1）預(yù)處理階段還可以采用pfring進(jìn)行抓包。

與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果：

本發(fā)明可以真實(shí)還原數(shù)據(jù)庫(kù)操作過(guò)程，可有效監(jiān)控?cái)?shù)據(jù)庫(kù)訪問(wèn)行為，準(zhǔn)確掌握數(shù)據(jù)庫(kù)系統(tǒng)的安全狀態(tài)，及時(shí)發(fā)現(xiàn)違反數(shù)據(jù)庫(kù)安全策略的事件并實(shí)時(shí)告警、記錄，便于進(jìn)行安全事件定位分析，事后追查取證，從而保障數(shù)據(jù)庫(kù)安全，數(shù)據(jù)庫(kù)內(nèi)容被完全還原之后，還可以在現(xiàn)有基礎(chǔ)上分析是否有違規(guī)關(guān)鍵詞。

附圖說(shuō)明：

圖1為本發(fā)明的流程圖。

具體實(shí)施方式

下面結(jié)合附圖和具體實(shí)施方式對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明。

參見(jiàn)圖1，發(fā)明通過(guò)以下步驟實(shí)現(xiàn)：

（1）、預(yù)處理階段：

將網(wǎng)卡設(shè)置為混雜模式，通過(guò)Libpcap進(jìn)行循環(huán)抓包，Libpcap采用零拷貝技術(shù)把用戶(hù)內(nèi)存映射到內(nèi)核中，抓取到的數(shù)據(jù)包通過(guò)鏈路層解碼、協(xié)議層處理和流重組，將還原好的流寫(xiě)入文件，如果該條四元組鏈接30秒內(nèi)沒(méi)有新數(shù)據(jù)，則寫(xiě)入流文件結(jié)束，并且關(guān)閉該流文件，通知協(xié)議解析模塊，還原流文件已經(jīng)生成，可以讀取流文件，分析每一行數(shù)據(jù)，獲取是否有數(shù)據(jù)庫(kù)操作語(yǔ)句，如果30秒內(nèi)有新數(shù)據(jù),先判斷是否該四元組建立過(guò)文件，如果建立過(guò)文件，就將這些數(shù)據(jù)追加到已經(jīng)建立文件的后面，如果沒(méi)有建立文件，新建立文件。

本發(fā)明還可以采用pfring進(jìn)行抓包。

（2）、匹配階段：