本發明公開了一種DB2數據庫的存儲過程命令及參數值提取方法，包括：S1）DB2數據庫協議模塊獲取從客戶端發往服務端的所有DB2協議數據包；S2）提取數據包的特征值，判斷數據包是否為存儲過程名稱數據包或者存儲過程參數數據包；S3）從所述存儲過程名稱數據包中解析、提取存儲過程命令并和存儲過程參數數據包交給存儲過程解析模塊；S4）從存儲過程參數數據包中提取參數；S5）將提取的存儲過程命令和存儲過程命令參數值組合成完整命令。本發明通過捕獲存儲過程數據包、解析存儲過程命令及參數值，還原出完整的數據庫操作命令，即實現用戶對數據庫本身的操作的審計，而不單單限于對數據庫內部數據操作的審計，提高了數據庫運維審計的安全性。

技術領域

本發明涉及信息安全技術領域，尤其涉及數據審計技術領域，具體的說，是一種DB2數據庫的存儲過程命令及參數值提取方法。

背景技術

IBM公司研發的DB2數據庫是一款優秀的數據庫產品，長期以來在金融、電信等行業中被大量使用，能夠高效地對數據實行管理。通常一個單位有大批量的數據庫服務器，需要多人協同管理，如何保障數據及數據庫的安全，就需要一套有效的運維審計系統，它通過對業務系統中所有人員的業務操作進行解析、記錄、分析，從而能夠有效對當前網絡活動進行實時監控和事后審查。目前對DB2數據庫的審計主要集中在對數據的審計，如向表中添加數據、刪除數據、更新數據等，這一類屬于普通的SQL語句，它能夠審計所有對數據庫內部數據的操作，一般都可以直接從協議數據包中提取，不同的數據庫產品其審計方式也基本相同，只要能從傳輸的數據中定位到SQL語句位置就可以很容易審計。但是它只會用于數據庫內部數據操作，即它只局限在一個小的區域內，這對于一般的數據操作審計是足夠的。數據庫的安全不僅包含內部數據安全，也包含數據庫本身的安全。如創建數據庫、刪除數據庫、以及對數據庫的不同設置等，如果忽略了數據庫本身的安全是非常危險的。

發明內容

本發明的目的在于提供一種DB2數據庫的存儲過程命令及參數值提取方法，用于解決現有技術中運維審計系統無法審計數據庫本身安全的問題。

為了達到上述目的，本發明通過下述技術方案實現：

一種DB2數據庫的存儲過程命令及參數值提取方法，包括：

S1）DB2協議審計系統中的DB2數據庫協議模塊獲取從客戶端發往服務端的所有DB2協議數據包；

S2）所述DB2數據庫協議模塊檢查、解析所述數據包，提取數據包的特征值，判斷數據包是否為存儲過程名稱數據包或者存儲過程參數數據包；

S3）所述DB2數據庫協議模塊從所述存儲過程名稱數據包中解析、提取存儲過程命令，將存儲過程命令和所述存儲過程參數數據包交給存儲過程解析模塊；

S4）所述存儲過程解析模塊從存儲過程參數數據包中提取存儲過程命令參數；

S5）所述存儲過程解析模塊將提取的存儲過程命令和存儲過程命令參數值組合成完整命令。

工作原理：

DB2數據庫協議模塊獲取從客戶端發往服務端的所有DB2協議數據包，解析，查看是否包含存儲過程，存儲過程為DB2數據庫的一種操作命令，將包含存儲過程的數據包截獲，因為在DB2數據庫中，存儲過程命令和存儲過程參數值是分開傳輸的，不在同一個數據包中，因此數據包捕獲模塊根據截獲的數據包中的DRDA通信協議，判斷截獲的數據包為存儲過程名稱數據包即包含存儲過程命令的數據包，還是存儲過程參數數據包即包含存儲過程命令的參數值的數據包，并將存儲過程名稱數據包和存儲過程參數數據包交給存儲過程解析模塊，進行存儲過程命令提取和存儲過程參數值提取，并解析出存儲過程參數值的數據結構和數據，DB2數據庫協議模塊將提取的參數值填入與提取的存儲過程命令的對應的參數中，組合成完整命令。這樣，構造了一條完整的數據庫操作命令，即還原了用戶的原始操作，能夠對用戶的操作過程進行審計，即實現用戶對數據庫本身的操作的審計，而不單單限于對數據庫內部數據操作的審計。