本發明公開了針對Kingbase數據庫的，通過旁路抓取數據包，解析和還原出SQL命令和參數并進行審計的方法及設備。將數據庫服務器的通訊數據鏡像到審計設備，通過數據包端口號過濾出客戶端與Kingbase數據庫通訊的應用層數據；根據應用層數據第一字節的值，判斷數據包的類型；根據數據包類型，解析還原出對應的SQL命令與參數；對所述命令與參數的內容進行審計，提高數據庫操作的可控性。

技術領域

本發明屬于網絡安全技術領域，尤其是涉及一種對Kingbase數據庫協議的SQL命令和參數進行審計的方法與設備。

背景技術

數據庫審計系統是數據庫安全防護的重要技術手段之一，對用戶對數據庫的各種操作進行實時、智能的解析，并將審計結果記入日志中，以便管理人員進行查詢、分析等，從而加強數據庫應用的行為監管，保障數據庫系統的正常運營。金融、電信等行業的這種數據庫審計需求更為重要。

近來，信息技術國產化的呼聲不斷高漲，從應用、中間件到基礎軟件和硬件，幾乎所有層面的產品都在加速國產化進程，國產產品的應用也愈發廣泛。Kingbase數據庫就是一種比較優秀的國產數據庫產品，已經被許多用戶采用于實際業務，由于國產產品的發展起步較晚，現有技術中缺乏能直接提取出Kingbase數據庫中的SQL命令的方案，無法滿足SQL命令的還原要求，也無法還原數據庫與客戶端交互式操作產生的SQL命令中的參數，從而實現對數據庫操作的有效審計。

發明內容

針對上述的現有技術存在的不足，本發明旨在提供一種針對Kingbase數據庫的，通過旁路抓取數據包，解析和還原出SQL命令和參數并進行審計的方法及設備。

首先提出一種審計方法，包括：

將數據庫服務器的通訊數據鏡像到審計設備，通過數據包端口號過濾出客戶端與Kingbase數據庫通訊的應用層數據；

根據應用層數據第一字節的值，判斷數據包的類型；

根據數據包類型，解析還原出對應的SQL命令與參數；

對所述命令與參數的內容進行審計。

通過源端口與目的端口判斷數據包為請求或響應，解析應用層數據第一字節的值，

第一字節的值為0x0或字符‘X’或字符‘Q’，則表示客戶端的請求；

第一字節的值為字符字符‘R’或‘E’或‘C’或‘T’，則表示數據庫的響應。

進一步，對各個數據包類型的解析與還原過程進行敘述：

若第一字節的值為0x0，表示客戶端的連接請求，

應用層數據偏移8字節后，解析5個字節的值為字符串‘user’，將其后的內容還原為“用戶名”；繼續解析得到字符串‘database’，將其后的內容還原為“數據庫名”；若第一字節的值為字符‘X’，表示客戶端的斷開連接請求。

對于客戶端的連接請求，若第一字節的值為字符‘R’，表示客戶端連接成功；若第一字節的值為字符‘E’，表示客戶端連接失敗。

若第一字節的值為字符‘Q’，表示客戶端對數據庫的SQL操作請求；將應用層數據偏移5字節后的內容還原為“SQL命令語句”，包括插入、刪除、修改和查詢操作。

若第一字節的值為字符‘C’，表示數據庫對客戶端SQL操作影響行數的響應：對于刪除或修改操作，將應用層數據偏移12字節后的字符串還原為影響行數；對于插入操作，將應用層數據偏移14字節后的字符串還原為影響行數；對于查詢操作，影響行數為0。

對于客戶端的操作請求，若第一字節的值為字符‘E’，表示請求失敗，將應用層數據偏移12字節后的字符串還原為操作結果對應的錯誤碼。

若第一字節的值為字符‘T’，表示數據庫對客戶端的select查詢操作的響應，將響應內容還原為select查詢結果集。