[发明专利]数据库内容深度还原方法

说明书

技术领域：

本发明涉及信息审计技术领域，具体涉及一种数据库内容深度还原方法。

背景技术：

数据库是任何商业和公共安全中最具有战略性的资产，通常都保存着重要的商业伙伴和客户信息，这些信息需要被保护起来，以防止竞争者和其他非法者获取，互联网的急速发展使得企业数据库信息的价值及可访问性得到了提升，同时，也致使数据库信息资产面临严峻的挑战，安全面临着诸多问题，由于计算机软硬件故障、黑客入侵、病毒侵害等原因会导致数据库系统不能正常运转、数据丢失等，然而更高的风险来源于企业内部，企业内部人员非法访问、恶意篡改等操作，给数据库系统带来的威胁更是灾难性的，随着企业的不断成长，对数据库的审计也成了企业内控的重中之重。

伴随着数据库信息价值以及可访问性提升，使得数据库面对来自内部和外部的安全风险大大增加，如违规越权操作、恶意入侵导致机密信息窃取泄漏，但事后却无法有效追溯和审计。

近年来，有关数据库的安全事故可谓层出不穷，诸如银行内部数据信息泄露造成的账户资金失密、信用卡信息被盗用导致的信用卡伪造、企业内部机密数据泄露引起的竞争力下降，这些情况无不说明了实施数据库安全审计的必要。

概括起来主要表现在以下三个层面：

管理层面：主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法追溯并定位真实的操作者。

技术层面：现有的数据库内部操作不明，无法通过外部的任何安全工具(比如：防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。

审计层面：现有的依赖于数据库日志文件的审计方法，存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险，难于体现审计信息的真实性。

发明内容

本发明所解决的技术问题是提供一种数据库内容深度还原方法，以克服数据库重要信息被随意改动，而且没有证据的问题。

为解决上述的技术问题，本发明采取的技术方案：

一种数据库内容深度还原方法，其特殊之处在于：所述的还原方法通过以下步骤实现：

（1）、预处理阶段：

将网卡设置为混杂模式，通过Libpcap进行循环抓包，Libpcap采用零拷贝技术把用户内存映射到内核中，抓取到的数据包通过链路层解码、协议层处理和流重组，将还原好的流写入文件，如果该条四元组链接30秒内没有新数据，则写入流文件结束，并且关闭该流文件，通知协议解析模块，还原流文件已经生成，可以读取流文件，分析每一行数据，获取是否有数据库操作语句，如果30秒内有新数据,先判断是否该四元组建立过文件，如果建立过文件，就将这些数据追加到已经建立文件的后面，如果没有建立文件，新建立文件；

（2）、匹配阶段：

预处理结束后，通知协议解析模块，该进程读取创建好的数据库操作流文件，一行一行的读取文件，调用kmt算法，解析该行中的真实数据库操作。

上述的步骤（1）预处理阶段还可以采用pfring进行抓包。

与现有技术相比，本发明的有益效果：

本发明可以真实还原数据库操作过程，可有效监控数据库访问行为，准确掌握数据库系统的安全状态，及时发现违反数据库安全策略的事件并实时告警、记录，便于进行安全事件定位分析，事后追查取证，从而保障数据库安全，数据库内容被完全还原之后，还可以在现有基础上分析是否有违规关键词。

附图说明：

图1为本发明的流程图。

具体实施方式

下面结合附图和具体实施方式对本发明进行详细说明。

参见图1，发明通过以下步骤实现：

（1）、预处理阶段：

将网卡设置为混杂模式，通过Libpcap进行循环抓包，Libpcap采用零拷贝技术把用户内存映射到内核中，抓取到的数据包通过链路层解码、协议层处理和流重组，将还原好的流写入文件，如果该条四元组链接30秒内没有新数据，则写入流文件结束，并且关闭该流文件，通知协议解析模块，还原流文件已经生成，可以读取流文件，分析每一行数据，获取是否有数据库操作语句，如果30秒内有新数据,先判断是否该四元组建立过文件，如果建立过文件，就将这些数据追加到已经建立文件的后面，如果没有建立文件，新建立文件。

本发明还可以采用pfring进行抓包。

（2）、匹配阶段：