[发明专利]解析DB2报文的方法、装置、存储介质及电子设备

说明书

本发明实施例公开了一种解析DB2报文的方法、装置、存储介质及电子设备，方法包括：通过预定应用识别器检测截获的报文是否为DB2报文；在是DB2报文的情况下，确定DB2报文的类型，其中，类型至少包括：认证报文和操作报文；通过预定DRDA协议从DB2报文中确定类型对应的数据信息，根据数据信息进行安全策略匹配，以确定是否处理DB2报文。本发明实施例通过预定DRDA协议对DB2报文进行解析，解析准确率高，即使SQL语句很长导致需要跨多个包接收时，也根据预定DRDA协议进行获取即可，不会发生漏审情况，系统性能较高。

技术领域

本发明涉及网络安全领域，特别涉及一种解析DB2报文的方法、装置、存储介质及电子设备。

背景技术

目前很多行业内部使用了IBM公司研制开发的DB2数据库(即二代数据库)。其中存储着有关机构的大量业务数据及用户隐私数据，稍有不慎就会对有关机构造成巨大损失，特别是金融行业、政府部门、互联网行业、电信行业、医疗行业等。保护数据库服务器的安全对每一个机构都是必须重视的任务。目前的数据库操作都是以SQL语句的方式提交给后台数据库进行相关处理的。

现有技术均使用硬匹配的方式进行数据库操作相关SQL语句的提取。使用硬匹配方式即通过大量分析报文特征，找出SQL语句出现前后的固定特征字节，然后根据提取出的“特征字节串”作为模式，以整个报文作为模板进行字节串匹配，以获取SQL语句在报文中的起始位置与结束位置，从而提取出SQL语句。

然而，现有提取方式存在以下缺陷：提取不准确，误操作较多；效率较低；当一个SQL语句很长，跨多个包时，会出现漏审现象。

发明内容

有鉴于此，本发明实施例提出了一种解析DB2报文的方法、装置、存储介质及电子设备，用以解决现有技术的如下问题：提取不准确，误操作较多；效率较低；当一个SQL语句很长，跨多个包时，会出现漏审现象。

一方面，本发明实施例提出了一种解析DB2报文的方法，包括：通过预定应用识别器检测截获的报文是否为DB2报文；在是DB2报文的情况下，确定所述DB2报文的类型，其中，所述类型至少包括：认证报文和操作报文；通过预定DRDA协议从所述DB2报文中确定所述类型对应的数据信息，根据所述数据信息进行安全策略匹配，以确定是否处理所述DB2报文。

在一些实施例中，所述通过预定DRDA协议从所述DB2报文中确定所述类型对应的数据信息，并根据所述数据信息进行安全策略匹配，以确认是否处理所述DB2报文，包括：在所述类型为所述操作报文的情况下，通过所述预定DRDA协议解析所述操作报文，并提取所述操作报文对应的操作表名；根据所述操作表名进行安全策略匹配，以确定是否执行所述操作报文；在所述类型为所述认证报文的情况下，通过所述预定DRDA协议解析所述认证报文，并提取出用户名与要访问的数据库名；根据所述用户名与所述数据库名进行安全策略匹配，以确定是否通过所述认证报文。

在一些实施例中，所述通过所述预定DRDA协议解析所述操作报文，包括：通过所述预定DRDA协议解析所述操作报文中每个DRDA中的DDM结构，以获取每个DDM结构的代码点；根据所述代码点的标识确定当前DRDA是否为具有第一预定代码点的DRDA；在当前DRDA是具有所述第一预定代码点的DRDA的情况下，按照所述预定DRDA协议获取DRDA中全部参变量Parameter结构的SQL信息；在获取到全部的SQL信息后，解析所述全部的SQL信息，以得到完整的SQL语句。

在一些实施例中，所述按照所述预定DRDA协议获取DRDA中全部Parameter结构的SQL信息，包括：在不需要跨报文接收SQL语句时，先获取SQL语句的长度信息，再根据所述长度信息提取出SQL信息；在需要跨报文接收SQL语句时，根据DDM结构中第一长度字段和/或第二长度字段的值获取出每个SQL信息。