[发明专利]数据库审计方法及装置

说明书

技术领域

本发明涉及网络安全领域，尤其涉及数据库审计方法及装置。

背景技术

当前，各个生产领域内的企业在生产经营过程中，通常都会涉及到大量的重要数据 信息，这些数据信息大多保存在各类数据库中，因此，如何保证数据库的安全，是一个 亟待解决的问题。

在各种保障数据库安全性的措施中，数据库审计是最重要也是最有效的方式之一。 通常，通过记载的数据库客户端访问数据库时的各类操作指令以及相应的操作结果，来 实现对数据库的审计。例如，通过分析记录的操作指令的内容、发送操作指令的用户、 操作指令的发送时间等以及操作指令的对应的执行结果等信息，判断数据库的安全是否 受到威胁。也可以利用记载的信息和分析信息生成审计日志，审计日志进行分析可以发 现哪些操作指令可能影响数据库安全性，进而可以采取对应安全措施提高数据库的安全 性。

为保证数据库审计的完整性，现有技术中通常由数据库所在的数据库服务器完成数 据库审计。但是数据库服务器采用自身审计方式完成数据库审计，需要大量消耗数据库 服务器的系统资源，从而会降低数据库服务器的性能，影响数据库的正常使用。

发明内容

本发明实施例提供了数据库审计方法及装置，以解决现有审计方法需要大量消耗数 据库服务器的系统资源的问题。

第一方面，本发明实施例提供了一种数据库审计方法，该方法包括：审计设备拦截 数据库客户端与数据库服务器之间的交互数据包；所述审计设备从所述交互数据包中解 析出数据库客户端与数据库服务器之间的交互内容；所述审计设备根据所述交互内容处 理所述交互数据包；所述审计设备生成包含所述交互数据包处理结果的审计日志。

结合第一方面，在第一方面第一种可能的实现方式中，所述拦截客户端与服务器之 间的交互数据包包括：采用函数劫持方式从所述数据库客户端拦截所述数据库客户端与 所述数据库服务器之间的数据包。

结合第一方面，在第一方面第二种可能的实现方式中，所述根据所述交互内容处理 所述交互数据包包括：判断所述交互内容是否符合预定安全规则；如果所述交互内容符 合所述预定安全规则，放行所述交互数据包；如果所述交互内容不符合所述预定安全规 则，丢弃所述交互数据包。

结合第一方面第二种可能的实现方式，在第一方面第三种可能的实现方式中，所述 判断所述交互内容是否符合预定安全规则包括：如果所述交互内容包含数据库操作指令， 确定发出所述数据库操作指令的用户；判断所述用户是否有权限执行所述数据库操作指 令。

结合第一方面第二种可能的实现方式或第一方面第三种可能的实现方式，在第一方 面第四种可能的实现方式中，所述根据所述交互数据包的处理结果生成包含所述交互内 容的审计日志包括：在丢弃所述交互数据包后，生成包含已丢弃交互数据包记录及所述 操作指令的审计日志；在放行所述交互数据包后，生成包含已放行交互数据包记录及所 述操作指令的审计日志。

第二方面，本发明实施例还提供了一种数据库审计装置，所述数据库审计装置包括：

拦截单元，用于拦截数据库客户端与数据库服务器之间的交互数据包；解析单元， 用于从所述交互数据包中解析出数据库客户端与数据库服务器之间的交互内容；处理单 元，用于根据所述交互内容处理所述交互数据包；审计单元，用于生成包含所述交互数 据包处理结果的审计日志。

结合第二方面，在第二方面第一种可能的实现方式中，所述拦截单元，具体用于采 用函数劫持方式从所述数据库客户端拦截所述数据库客户端与所述数据库服务器之间的 数据包。

结合第二方面，在第二方面第二种可能的实现方式中，所述处理单元包括：判断子 单元，用于判断所述交互内容是否符合预定安全规则；处理子单元，用于在所述交互内 容符合所述预定安全规则时，放行所述交互数据包；在所述交互内容不符合所述预定安 全规则时，丢弃所述交互数据包。

结合第二方面第二种可能的实现方式，在第二方面第三种可能的实现方式中，所述 处理单元还包括：确定子单元，用于在所述交互内容包含数据库操作指令时，确定发出 所述数据库操作指令的用户；所述判断子单元，还用于判断所述用户是否有权限执行所 述数据库操作指令。