[发明专利]一种处理千兆以上网络在线数据库行为的筛选方法及设备

权利要求书

1.一种处理千兆以上网络在线数据库行为的筛选设备，其特征在于，该设备包括有： 

一级数据采集装置，用于将网络设备中的网络流量复制或镜像一份发给数据分流处理装置； 

数据分流处理装置，用于接收一级数据采集装置发送的网络流量，并根据所述网络流量的实际大小，进行分流处理，将每组分流数据分别转发给每个二级数据采集装置； 

3个二级数据采集装置，用于接收到数据分流处理装置所发送过来的数据流； 

与二级数据采集装置数量相同的3个数据识别筛选装置，每个数据识别筛选装置均分别对应连接每个二级数据采集装置，用于接收所述二级数据采集装置发送的数据流，根据网络流量中的应用层数据库协议，解密协议内容，筛选出数据流中的数据库操作行为数据，丢弃非数据库操作行为的数据； 

所述的一级数据采集装置、二级数据采集装置为分光计或具有端口镜像功能的网络设备，一级数据采集装置复制网络流量是由端口镜像或分光计分光的方法完成的；所述的数据分流处理装置为数据分流探测器；所述的数据识别筛选装置为数据识别探测器。 

2.一种处理千兆以上网络在线数据库行为的筛选方法，其是通过上述权利要求1所述的设备旁路连接网络设备实现的，其特征在于，具体包括以下步骤： 

步骤1：通过一级数据采集装置将网络设备中的网络流量复制或镜像一份发给数据分流处理装置，其中所述的一级数据采集装置复制网络流量是由端口镜像或分光计分光的方法完成的； 

步骤2：通过数据分流处理装置根据所述网络流量的实际大小，进行分流处理，将每组分流数据分别转发给每个二级数据采集装置，其中所述的二级数据采集 装置为3个，其中，所述的数据分流处理装置为数据分流探测器； 

步骤3：通过数据识别筛选装置接收所述二级数据采集装置发送的数据流，根据网络流量中的应用层数据库协议，解密协议内容，筛选出数据流中的数据库操作行为数据，丢弃非数据库操作行为的数据，其中每个所述的数据识别筛选装置均分别对应连接每个二级数据采集装置，其中，所述的数据识别筛选装置为数据识别探测器。