[发明专利]一种数据库审计方法和设备

权利要求书

1.一种数据库审计方法，其特征在于，具体包括以下步骤：

识别当前系统所建立的会话中是否包含对数据库的数据库操作会话；

如果包含，识别所述对数据库的数据库操作会话中的数据库操作指令；

判断所述数据库操作指令中是否存在SQL语句的关键字；

如果存在SQL语句的关键字，判断所述数据库操作指令中是否包含变量标识；

如果存在变量标识，记录所述数据库操作指令所对应的操作模板编号和对应的操作模板信息，并在所述包含数据库操作指令的报文中提取变量值替换所述变量标识，还原所述数据库操作指令的内容，并对所述数据库操作指令进行审计；

当所述对数据库的数据库操作会话中后续接收到的数据库操作指令中不包含SQL语句的关键字时，根据所述数据库操作指令中所携带的操作模板编号，查询对应的操作模板信息，还原所述数据库操作指令的内容，并对所述数据库操作指令进行审计。

2.如权利要求1所述的方法，其特征在于，所述识别当前系统所建立的会话中是否包含对数据库的数据库操作会话，具体为：

根据DPI识别技术识别当前系统所建立的会话中是否包含对数据库的数据库操作会话；

如果包含，记录所述会话所对应的会话信息和所述会话的驱动协议类型，如果不包含，放弃对所述会话中的报文进行审计处理。

3.如权利要求2所述的方法，其特征在于，所述如果存在变量标识，记录所述数据库操作指令所对应的操作模板编号，具体为：

当所述会话的驱动协议类型为JDBC驱动时，根据信令码的类型，记录根据所述会话所对应的客户端的指令所确定的，或根据所述会话所对应的数据库服务器的指令所确定的所述数据库操作指令所对应的操作模板编号；

当所述会话的驱动协议类型为ODBC驱动时，记录所述会话所对应的数据库服务器所确定的所述数据库操作指令所对应的操作模板编号。

4.如权利要求1所述的方法，其特征在于，所述如果存在SQL语句的关键字，判断所述数据库操作指令中是否包含变量标识之后，还包括：

如果判断所述数据库操作指令中没有包含变量标识，则根据所述SQL语句的关键字所对应的操作内容对所述数据库操作指令进行审计。

5.如权利要求1所述的方法，其特征在于，所述当后续接收到的数据库操作指令中不包含SQL语句的关键字时，根据所述数据库操作指令中所携带的操作模板编号，查询对应的操作模板信息，还原所述数据库操作指令的内容，并对所述数据库操作指令进行审计，具体包括：

当后续接收到的数据库操作指令中不包含SQL语句的关键字时，则在所述后续接收到的数据库操作指令所对应的报文中获取所述数据库操作指令中包含的操作模板编号；

查询所述操作模板编号所对应的操作模板信息；

在所述后续接收到的数据库操作指令所对应的报文中提取变量值，替换所述操作模板信息中所包含的变量标识，还原所述数据库操作指令的内容，并对所述数据库操作指令进行审计。

6.一种数据库审计设备，其特征在于，具体包括：

识别模块，用于识别当前系统所建立的会话中是否包含对数据库的数据库操作会话，并在识别到所述对数据库的数据库操作会话时，进一步识别所述对数据库的数据库操作会话中的数据库操作指令；

判断模块，与所述识别模块相连接，用于在所述识别模块识别到所述对数据库的数据库操作会话中的数据库操作指令时，判断所述数据库操作指令中是否存在SQL语句的关键字，并在存在SQL语句的关键字时，进一步判断所述数据库操作指令中是否包含变量标识；

记录模块，与所述判断模块相连接，用于在所述判断模块判断存在变量标识时，记录所述数据库操作指令所对应的操作模板编号和对应的操作模板信息；

查询模块，与所述判断模块和所述记录模块相连接，用于在所述判断模块判断不存在SQL语句的关键字时，根据所述数据库操作指令中所携带的操作模板编号，向所述记录模块查询对应的操作模板信息；

审计模块，与所述记录模块和所述查询模块相连接，用于在所述包含数据库操作指令的报文中提取变量值，通过所述变量值替换所述记录模块记录的，或所述查询模块查询的操作模板信息中的变量标识，还原所述数据库操作指令的内容，并对所述数据库操作指令进行审计。