[发明专利]一种处理千兆以上网络在线数据库行为的筛选方法及设备

说明书

技术领域

本发明涉及数据库审计技术领域，特别是涉及一种处理千兆以上网络在线 数据库行为的筛选方法及设备。

背景技术

随着信息系统业务的不断发展，数据库系统应用范围越来越广，企业的账 务数据、贸易记录、工程数据等均需要利用大量的数据库资源。

由于数据库的作用和影响越来越大，企业数据库信息安全面临的安全威胁 日渐明显。近年来不断发生的重要敏感数据被窃取、篡改问题，已经引起各方 面的高度重视，成为迫切需要解决的问题。

信息系统的基础网络规模也在不断的扩大，从过去的百兆网络，逐渐已经 基本实现千兆网络，而万兆网络已经出现在信息化系统之中。在百兆网络中一 些用户基本可实现对大量的数据库行为进行审计分析，但如果保持在高数据量 的信息化系统网络中，高效的处理数据库操作流量将是技术难点。

由于目前许多用户的业务系统网络中，主机、网络设备、安全设备、应用、 中间件、数据库越来越多，实效性要求越来越高。所以对网络带宽的要求也随 之提高。对未来出现的网络环境实际数据通迅量超过一定的流量时，在线数据 库审计的筛选设备要求会更高。但目前来说以现有的在线数据库审计的筛选设 备不能满足此现状。现有技术实现百兆网络中低数据流在线数据库操作行为筛 选设备的组网结构示意图如图1所示，筛选设备包括数据采集装置1-D-A和数 据筛选装置1-D-B，在线数据库操作行为是由管理人员1-C通过网络设备1-B操 作数据库1-A完成的，数据采集装置1-D-A从网络设备1-B镜像（或复制）一 份镜像数据发送给数据筛选装置1-D-B，数据筛选装置1-D-B接收数据采集装置 1-D-A转发来的数据进行筛选处理。由于现在筛选方法或设备的实现过程中，是 针对目前100M/1000M理论背景流量，而实现起来则只有600M以下流量。倘若 背景网络流量超过千兆或达到万兆以上，那在上述数据采集装置1-D-A接收镜 像数据步骤中就存在一定的数据流丢失，丢失率在30%以上。而数据筛选装置 1-D-B接收从数据采集装置1-D-A发送的数据时也存在处理溢出的风险，此时数 据溢出与硬件处理及软件算法成反比。

以目前的数据库行为筛选方法或设备实现千兆流量的数据筛选时，要使得 因采集大数据流不增加丢包率，保证数据流能够及时的进行数据的筛选，理论 上需要提高硬件配置，以资源换取数据才能确保完整性，这样就大幅增加了成 本；而在万兆网络情况下，以目前的硬件水平根本无法实现。

发明内容

本发明针对上述现有技术的不足，提供了一种可以处理千兆以上网络环境 中提取数据库行为的筛选方法及设备，采用该方法及设备可大大减少因采集大 数据流而产生的丢包率，保证能够对数据流进行及时有效的数据库行为的筛 选，而且安全可靠、对网络没有任何影响，并且无需提高硬件配置，降低了成 本。

本发明的技术方案是这样实现的：

一种处理千兆以上网络在线数据库行为的筛选设备，该设备包括有：

一级数据采集装置，用于将网络设备中的网络流量复制或镜像一份发给数 据分流处理装置；

数据分流处理装置，用于接收一级数据采集装置发送的网络流量，并根据 所述网络流量的实际大小，进行分流处理，将每组分流数据分别转发给每个二 级数据采集装置；

3个二级数据采集装置，用于接收到数据分流处理装置所发送过来的数据 流；

与二级数据采集装置数量相同的3个数据识别筛选装置，每个数据识别筛 选装置均分别对应连接每个二级数据采集装置，用于接收所述二级数据采集装 置发送的数据流，根据网络流量中的应用层数据库协议，解密协议内容，筛选 出数据流中的数据库操作行为数据，丢弃非数据库操作行为的数据；

所述的一级数据采集装置二级数据采集装置为分光计或具有端口镜像功能 的网络设备，一级数据采集装置复制网络流量是由端口镜像或分光计分光的方 法完成的；所述的数据分流处理装置为数据分流探测器；所述的数据识别筛选 装置为数据识别探测器。

一种处理千兆以上网络在线数据库行为的筛选方法，其是通过上述设备旁 路连接网络设备实现的，具体包括以下步骤：

步骤1：通过一级数据采集装置将网络设备中的网络流量复制或镜像一份发 给数据分流处理装置，其中所述的一级数据采集装置复制网络流量是由端口镜 像或分光计分光的方法完成的；