一种提高数据库连接信息丢失时协议解析准确性的方法

摘要

本发明涉及一种提高数据库连接信息丢失时协议解析准确性的方法，步骤如下：A）获取数据包；B）解析建立连接时的数据包，包括下述步骤：B1、解析连接包：客户端对数据库操作时，向数据库服务发起连接请求，旁路审计设备通过步骤A获取到客户端发起的连接请求数据包，进行解析得到连接信息；B2、分析连接信息：客户端与数据库服务建立连接成功后，客户端与数据库服务之间的通信均在所述连接请求数据包里进行；C）解析建立连接后的数据包：根据完整的客户端连接信息对建立连接后的数据包进行解析。本发明的方法在数据库连接信息丢失时，能够精准、高效地补齐丢失的连接信息，提高审计设备对数据包的解析准确性。

说明书

技术领域

本发明属于数字信息的传输，例如电报通信的技术领域，特别涉及一种在网络信息安全领域的提高数据库连接信息丢失时协议解析准确性的方法。

背景技术

在计算机网络技术中，网络数据库技术实现了数据和资源共享。因此，在互联网应用中，普遍采用了网络数据库技术。

网络数据库是指把数据库技术引入到计算机系统中，借助于网络技术将存储于数据库中的大量信息及时发布出去。使用网络数据库的最大优势是用户通过客户端工具或Web浏览器或客户端应用程序便可完成对数据库数据的常用操作，用户只需要通过简单的界面操作就能完成各种复杂的数据业务，给大家带来了极大地便利。

网络数据库技术给大家带来便利的同时，也随之伴生了一些隐患：由于数据库的共享范围扩大，对数据库用户的管理难度加大，网络数据库遭受破坏、窃密的概率加大，降低了数据的保密性和安全性。

因此在网络信息安全领域，对网络数据库安全防护是极为重要的。在网络数据库安全防护的解决方案中普遍会用到协议解析技术，来自客户端与数据库的连接信息对协议解析有着非常重要的作用，如使用的编码、整数的大小端等都在连接信息中，但在实际应用中，总会有一些数据库连接信息丢失的会话，如果没有这些信息，解析的准确性将下降60%左右。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种提高数据库连接信息丢失时协议解析准确性的方法。

为解决上述技术问题，本发明的解决方案是：一种提高数据库连接信息丢失时协议解析准确性的方法，用于提高对数据库连接信息丢失的会话数据包进行协议解析时的正确性。具体包括下述步骤。

A）获取数据包：旁路审计设备通过配置审计对象，即数据库服务的IP及端口，在交换机上镜像一份来自各个客户端对数据库服务访问的数据包。

所述旁路审计设备是采用旁路技术的数据库审计系统，其能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警。

旁路审计设备可以采用自主开发的数据库审计设备，通过旁路获取数据包、提取私钥、解析私钥、解密预主钥、生成主钥、生成密钥和初始向量、解密加密的数据包，对需要进行WEB业务审计的数据包实现解密，是网络数据库安全防护产品。

所述风险行为包括数据库信息泄露、数据库信息被篡改、数据库信息丢失。

B）解析建立连接时的数据包：旁路审计设备对步骤A的数据包进行解析，具体包括下述步骤。

B1、解析连接包：客户端对数据库操作时，首先要向数据库服务发起连接请求。旁路审计设备通过步骤A获取到客户端发起的连接请求数据包，进一步进行解析，得到连接信息。

其中，解析出来的连接信息包括但不限于以下：SIP、DIP、DPORT、客户端编码、大小端、客户端版本信息、客户端主机信息。

B2、分析连接信息：客户端与数据库服务建立连接成功后，客户端与数据库服务之间的通信均在所述连接请求数据包里进行，对客户端与数据库服务之间的通信数据包正确解析基于步骤B1中解析出来的连接信息。连接信息的内容提供了建立连接后的数据包正确解析的依据和线索，包含用于提示解析时所需要采用的解码方式的客户端编码和用于提示解析时需要采用的大小端模式的客户端大小端类型。

判断步骤B1解析的连接信息是否完整，得到两种情况。

1）当步骤B1解析的连接信息完整时，将步骤B1解析的连接信息增加至已有连接信息表中。更新的内容包括但不限于：SIP、DIP、DPORT、客户端编码、大小端、客户端版本信息、客户端主机信息。

2）当步骤B1解析的连接信息不完整时，由于步骤B1解析的连接信息不完整，包含但不限于：客户端编码、大小端、客户端版本信息、客户端主机信息丢失。因此在进行建立连接后的数据包协议解析丢失了重要线索导致解析正确性大大降低。解决方案如下。

B2.1、推导客户端连接信息：当客户端连接信息丢失时，在已有连接信息记录中推导同一客户的连接信息，将同一客户已有连接信息记录中占比最高的连接信息补充丢失的连接信息。

B2.2、匹配客户端连接信息：当步骤B1解析的连接信息不完整时，通过之前已有连接信息的连接信息库推导客户端连接信息，通过推导的客户端连接信息，将步骤B1解析的客户端连接信息，如SIP、DIP、DPORT，匹配已有连接信息库中占比最高的连接信息。

经过已有连接信息库的样本测试发现，同一个客户三元组即SIP、DIP、DPORT使用同一连接信息的概率为95%，当同一客户使用多个连接信息时占比最高的连接信息占比率可达到70%。

故，连接信息包括SIP、DIP和DPORT，来自同一SIP、DIP和DPORT的请求判定为同一客户。依此推导出丢失的客户端连接信息。

经过实际案例的运作，推算的准确率达到 99%以上。

B2.3、补齐客户端连接信息：将匹配到的客户端连接信息补充至SIP、DIP、DPORT，得到完整的客户端连接信息。完整的客户端连接信息至少包含但不限于以下：SIP、DIP、DPORT、客户端编码、大小端、客户端版本信息、客户端主机信息。

C）解析建立连接后的数据包：根据完整的客户端连接信息对建立连接后的数据包进行解析。

由此可见，针对现有技术的不足，本发明采用一种提高数据库连接信息丢失时协议解析准确性的方法，当客户端连接信息丢失时，在已有连接信息记录中推导同一客户的连接信息，当客户端连接信息丢失时，将同一客户已有连接信息记录中占比最高的连接信息补充丢失的连接信息，在数据库连接信息丢失时，能够精准、高效地补齐丢失的连接信息，从而提高审计设备对数据包的解析准确性。

附图说明

图1为本发明的方法流程图；

图2为本发明的连接信息与已有连接信息表间的交互示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图并以实例，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1示例本发明的方法流程图，图2示例完整连接信息与不完整连接信息与已有的连接信息表间的交互示意图，下表1为已有连接信息表。

表1：已有连接信息表。

本发明涉及一种提高数据库连接信息丢失时协议解析准确性的方法，包括以下步骤：

步骤1：获取数据包：通过旁路审计设备在交换机上配置审计对象，即数据库服务的IP192.168.1.3和端口3306，镜像一份来自客户端A对该数据库服务访问的数据包。

步骤2：解析建立连接时的数据包。

A）解析数据包：客户端对数据库操作时，首先要向数据库服务发起连接请求。旁路审计设备通过步骤1获取到客户端发起的连接请求数据包，进一步进行解析。解析出来的连接信息包括但不限于以下：

SIP：客户端A的IP192.168.23.2

DIP：数据库服务的IP192.168.1.3

DPORT：数据库服务的端口3306

客户端编码：UTF8

大小端：大端

客户端版本信息：SQL2000客户端工具

客户端主机信息：win7专业版 64位

B）分析连接信息：客户端与数据库服务建立连接成功后，客户端与数据库服务之间的通信均在这个连接会话里。而对客户端与数据库服务之间的通信数据包正确解析需要用到步骤A中解析出来的连接信息。连接信息的内容提供了建立连接后的数据包正确解析的依据和线索，包含但不限于以下:连接信息中的客户端编码提示解析时所需要采用的解码方式、连接信息中的大小端提示解析时需要采用的大小端模式。因此解析建立连接后的数据包，主要分为以下两种情况：

B1、当步骤A解析的连接信息完整时，将步骤A解析的连接信息更新至连接信息库中。更新的内容包括但不限于：

SIP：客户端A的IP192.168.23.2

DIP：数据库服务的IP192.168.1.3

DPORT：数据库服务的端口3306

客户端编码：UTF8

大小端：大端

客户端版本信息：SQL2000客户端工具

客户端主机信息：win7专业版 64位

B2、当步骤A解析的连接信息不完整时，由于步骤A解析的连接信息不完整，包含但不限于：客户端编码、大小端、客户端版本信息、客户端主机信息丢失。因此在进行步骤B2时协议解析丢失了重要线索导致解析正确性大大降低。解决方案如下。

i、推导客户端连接信息：当客户端连接信息丢失时，在已有连接信息记录中推导同一客户的连接信息，将同一客户已有连接信息记录中占比最高的连接信息补充丢失的连接信息。

ii、匹配客户端连接信息：当步骤B1解析的连接信息不完整时，通过之前已有连接信息的连接信息库猜测客户端连接信息。将步骤A解析的客户端连接信息：SIP192.168.23.2、DIP192.168.1.3、DPORT3306匹配已有连接信息库中占比最高的连接信息。假设为以下：

客户端编码：UTF8

大小端：大端

客户端版本信息：SQL2000客户端工具

客户端主机信息：win7专业版 64位

经过样本测试发现，同一个客户三元组即SIP192.168.23.2、DIP192.168.1.3、DPORT3306使用同一连接信息的概率为95%，当同一客户使用多个连接信息时占比最高的连接信息占比率可达到70%。最后可以推导出丢失的客户端连接信息。

实测得知，推导的准确率达到 99%以上。

iii、补齐客户端连接信息：将匹配到的客户端连接信息补充至SIP、DIP、DPORT，得到完整的客户端连接信息包含但不限于以下：SIP、DIP、DPORT、客户端编码、大小端、客户端版本信息、客户端主机信息。补充后的完整连接信息包括但不限于如下：

SIP：客户端A的IP192.168.23.2

DIP：数据库服务的IP192.168.1.3

DPORT：数据库服务的端口3306

客户端编码：UTF8

大小端：大端

客户端版本信息：SQL2000客户端工具

客户端主机信息：win7专业版 64位

C）解析建立连接后的数据包：根据完整的客户端连接信息对建立连接后的数据包进行解析。

需要注意的是，以上列举的仅是本发明的具体实施例。显然，本发明不限于以上实施例，还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形，均应认为是本发明的保护范围。