技術領域

本發明涉及數據庫審計技術領域，尤其涉及一種數據庫三層審計的方法。

背景技術

在現有的數據庫審計系統中，通常都是用戶終端直接發出SQL請求到數據庫服務器，系統通過用戶請求的數據包里面的信息，對SQL語句進行分析，可以將訪問數據庫的請求與實際用戶直接關聯起來，從而生成審計信息。

但是在有些應用環境中，用戶是通過瀏覽器向WEB服務器發出請求，然后由WEB服務器再向數據庫發出訪問請求，在這種情況下，用戶的請求里面通常都沒有攜帶SQL信息，原有的通過用戶請求數據包里面的信息直接進行審計的方法就失效了，必須要將用戶請求與數據庫訪問請求關聯起來，才能準確的審計出實際的數據庫訪問用戶。

目前通過將訪問WEB服務器時間與訪問數據庫時間進行關聯的方法，發現實際訪問數據庫的用戶。這種方法只適用于用戶訪問量不大的情景，當用戶訪問量很大的時候，這種方法誤差較大。

此外，WEB服務器提供專門的審計接口，將用戶訪問與數據庫訪問關聯關系提供給審計系統。這種方法實施難度大，會影響現有WEB服務器的業務，難以維護升級。

發明內容

本發明為了解決現有技術中數據庫三層審計用戶請求和數據庫訪問關聯準確性不夠的缺點或不足，提出了一種數據庫三層審計的方法，采用了通過返回值進行關聯，從而實現了準確關聯實際操作用戶的目的。

一種數據庫三層審計的方法，該方法在三層架構中將WEB請求與數據庫訪問的請求關聯起來，通過這種關聯得到實際發起數據庫訪問請求的終端用戶，生成審計信息，具體流程如下：

1)在WEB服務器兩端同時進行抓包并緩存相關的鏈路信息；

2)將用戶WEB請求的返回內容與數據庫請求緩存中的SQL請求的返回內容逐一進行模糊匹配，如果匹配成功，則將WEB訪問緩存中的對應項與數據庫訪問請求緩存中的對應項關聯起來；

3)對返回內容匹配成功的SQL語句進行分析，將SQL分析結果與相應的WEB請求用戶進行關聯，生成審計信息；

4)如果匹配成功，則在生成審計信息后，將關聯的項從對應的緩存中刪除；如果匹配不成功，則只刪除WEB請求信息緩存中的對應項。

優選地，本發明將用戶對WEB服務器的訪問進行旁路抓包，并將如下信息進行緩存：源IP地址、源端口號、目的IP地址，目的端口號、源MAC地址、請求發起時間、返回內容。

優選地，本發明將WEB服務器對數據庫服務器的訪問進行旁路抓包，并將如下信息進行緩存：源IP地址、源端口號、目的IP地址，目的端口號、SQL語句、請求發起時間、返回內容。

優選地，本發明步驟4)中系統定期對緩存里面的信息進行掃描，將請求發起時間與當前時間進行對比，如果時長超過指定閾值，則從緩存中清除該信息項。

本發明技術方案帶來的有益效果：

通過本發明無需改變用戶的運行環境，且無需修改用戶的業務系統，就能夠進行精確的數據庫三層訪問審計，不會對現有業務系統造成影響。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其它的附圖。

圖1是本發明方法的架構部署圖；

圖2是本發明實施例的流程圖。

具體實施方式

下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。

針對現有技術的不足，本發明提供了一種數據庫三層審計的方法，這種方法可以在三層架構中準確將WEB請求與數據庫訪問的請求關聯起來，通過這種關聯得到實際發起數據庫訪問請求的終端用戶，同時這種方法不會對現有業務系統造成影響。

本發明的原理：

1)如果用戶的請求需要訪問數據庫，那么數據庫的返回結果通常會返回給發起這一請求的用戶。

2)通過將數據庫返回給WEB服務器的內容與WEB服務器返回給終端用戶的內容進行模糊匹配，可以關聯到發起數據庫訪問的實際終端用戶。

3)通過對WEB服務器訪問數據庫的SQL進行審計，將審計結果對應到關聯到的終端用戶，可以滿足實際的安全審計需要。