[发明专利]DB2数据库操作的信息提取和审计方法及其装置、系统

说明书

技术领域

本发明涉及一种数据库操作的信息提取和审计方法及其装置、系统，尤其涉及一种DB2数据库操作的信息提取和审计方法及其装置、系统。 

背景技术

目前很多行业内部使用了IBM公司研制开发的DB数据库。目前的数据库操作都是以sql语句的方式提交给后台数据库进行相关处理的，而在某些运行环境下提交后台数据库的方法是采用绑定变量的方式进行，绑定变量方法可以使数据库进行软解析，有效提高数据库服务器的执行SQL语句的速度。同时可以在一定程度上避免SQL注入攻击。 

例如：传统的提交给数据库服务器的SQL语句如下： 

INSERT INTO DB2ADMIN.DORIS_T1(“COL1”)VALUES(1)； 

INSERT INTO DB2ADMIN.DORIS_T1(“COL1”)VALUES(2)； 

这样每次数据库服务器都需要对整个SQL语句进行语法等解析，会耗费大量的CPU资源。而使用绑定变量的方式，提交给数据库服务器的方法变为如下： 

INSERT INTO DB2ADMIN.DORIS_T1(“COL1”)VALUES(？)；； 

exec：？：＝1； 

INSERT INTO DB2ADMIN.DORIS_T1(“COL1”)VALUES(？)；； 

exec：？：＝2； 

这种提交方式，服务器会把最近解析过的SQL语句放入一个共享缓冲池中，对于频繁进行执行的SQL语句，每次执行省去了很多解析工作，会大大提高SQL语句的执行速度。 

DB2数据库提供的这种方式虽然有效的提高了数据库操作处理速度，但是同时给数据报文中信息的提取带来了相应的难度。目前的产品是以协议解析或者硬匹配的方式进行数据库操作相关sql语句的提取。但是在含有变量的sql语句当中，对于变量的具体赋值是在每一sql语句后续的报文数据中，并不包含于sql语句当中。由于一条sql语句包含的变量数目不定，因此采用协议解析的方式很难准确的定位赋值的位置。而在硬匹配方式当中，由于对变量赋值不包含固定的关键特征字，因此也无法准确的对变量进行赋值。这样通常导致的结果就是对于含有变量的sql语句，在提取的时候只能将包含变量名的语句提取出来，而无法将该变量的具体赋值提取出来，导致信息提取不完全。 

以上对数据库数据报文中信息的提取经常应用于需要对用户的DB2数据库操作进行准确详细审计的场合。网络业务审计系统是目前应用日益广泛的网络安全防护的重要手段，它通过对业务系统中可信人员的网络活动进行解析、记录、分析以帮助管理人员事前规划预防、事中实时监控、违规行为阻止和事后追查网络运营事故。在金融、电信等行业当中大量使用的数据库系统对于审计的要求尤为重要。这种信息提取上的缺陷导致对于含有相同变量不同赋值的sql语句的审计结果没有区别，无法精确的审计数据库操作行为，很大程度上使得审计失去了实际意义。 

发明内容

本发明要解决的技术问题是提供一种DB2数据库操作的信息提取方法和装置，可以准确地从包含绑定变量的sql语句的数据报文中提取出变量及其具体赋值信息。 

DB2数据库使用绑定变量的sql语句当中对于所包含的变量都具有明确的标识，同时在后续对变量赋值的过程当中也有可提取的标识信息存在，因此依据网络数据流中报文具有的协议格式及特征，对包含该sql语句的数据报文进行识别并从中提取出变量及具体赋值是可能的。 

基于上述构思，本发明提供了一种DB2数据库操作的信息提取方法，包括以下步骤： 

在捕获DB2数据库客户端和服务器交互的数据报文后，提取出其中的所有sql语句； 

检测提取出的sql语句中是否包含变量，如检测到包含变量的sql语句，再从所述数据报文的后续报文数据中识别出包含变量的sql语句的各变量的类型； 

根据各变量的类型，从所述数据报文中提取出包含变量的sql语句的各变量的具体赋值。 

进一步地，上述方法还可具有以下特点： 

在检测所述sql语句中是否包含变量时，是以sql语句变量的标识特征为模式，以所有提取出的所有sql语句为样本进行模式匹配，如果匹配成功，则该sql语句为包含变量的sql语句，同时记录匹配到的变量个数，否则为不包含变量的sql语句。 

进一步地，上述方法还可具有以下特点：