[发明专利]一种基于通信协议和SQL语法的数据库自动发现方法

说明书

本发明涉及一种基于通信协议和SQL语法的数据库自动发现方法，其技术特点是包括以下步骤：获取网络中的数据包，使用filter过滤掉已确认为数据库的ip，port对；检测数据包使用的协议是否是TCP协议，并检测是否是syn+ack包；检查IP，port对是否已缓存达到设定的阀值；过滤数据包内容并填充发现标志位；通过计算唯一key值快速查找到对应的数据库信息结构体；更新key值对应的数据库信息结构体；如果填充完整，则更新到filter中。本发明根据数据库通讯过程中使用的特征协议对网络中的数据库进行识别，提高了数据库发现的效率；再通过校验对应数据库使用的确切协议，提高了发现的准确率，简化了用户的操作，可广泛应用于数据库审计或数据库防火墙等网络安全产品中。

技术领域

本发明属于数据库安全技术领域，尤其是一种基于通信协议和SQL语法的数据库自动发现方法。

背景技术

目前，数据库应用已深入到各个领域，但随之而来产生了数据的安全问题以及数据库访问的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。现有的数据库审计或数据库防火墙产品，在使用过程中，通常需要用户进行手动操作，添加数据库信息的步骤，其处理速度慢、准确率低。

发明内容

本发明的目的在于克服现有技术的不足，提供一种设计合理、发现速度快且准确率高的基于通信协议和SQL语法的数据库自动发现方法。

本发明解决现有的技术问题是采取以下技术方案实现的：

一种基于通信协议和SQL语法的数据库自动发现方法，包括以下步骤：

步骤1：获取网络中的数据包，使用filter过滤掉已确认为数据库的ip，port对；

步骤2：检测数据包使用的协议是否是TCP协议，并检测是否是syn+ack包，是则执行步骤3；

步骤3：检查IP，port对是否已缓存达到设定的阀值，是则执行步骤4，否则缓存该ip,port对；

步骤4：过滤数据包内容，根据数据库通信中的关键字信息，填充发现标志位；

步骤5：对于识别出来的数据库，通过计算唯一key值，快速查找到对应的数据库信息结构体；

步骤6：通过识别的信息更新此key值对应的数据库信息结构体；

步骤7：检查是否有新的IP、port对信息填充完整，如果填充完整，则更新到filter中。

在填充完整之后，不再检查此key值对应的数据库信息结构体，并将结构体中的is_full值赋为1，然后更新过滤信息的filter，降低检索的压力。

所述获取网络中的数据包是使用libpcap库实现的。

所述步骤2是通过解析源ip，port对和目标ip，port对实现的。

所述的阀值为10。

所述关键字信息包括INESERT、DELETE、UPDATE、SELECT、Oracle、WIN_NT64、ZHS16GBK和MICROSOFT SQL_SEVER。

所述数据库信息结构体包含：数据库的类型、客户端的IP和port、服务器端的IP和port、客户端和服务器的操作系统类型及位数、数据库的字符集、信息是否获取完全的标志位。

所述步骤5中计算唯一key值是通过客户端的IP和port、服务器端的IP和port计算得到的。

本发明的优点和积极效果是：