一种数据库告警方法、装置及终端与流程

本申请涉及信息安全技术领域，特别是涉及一种数据库告警方法、装置及终端。

背景技术：

数据库(database)是按照数据结构来组织、存储和管理数据的建立在计算机存储设备上的仓库。在经济管理的日常工作中，常常需要把某些相关的数据放进数据库，并根据管理的需要进行相应的处理。由于数据库中通常存储有企业的所有数据，因此数据库的信息安全极其重要。一旦黑客绕过防护后，可以直接进入数据库进行各种各样的操作，查询数据，修改信息等，然后悄无声息的离开，没有任何安全预警，对信息安全造成极大危害。

现有技术中对数据库用户的活动跟踪方法是通过数据库系统视图来记录和分析数据库用户和数据库表的动作，即进行数据库审计。但是，由于数据库系统视图关联的数据库表较多，频繁地进行数据库审计将占用系统较多的资源，影响数据库的运行效率。

技术实现要素：

本申请实施例中提供了一种数据库告警方法、装置及终端，以解决现有技术中对数据库审计占用系统较多的资源，影响数据库的运行效率的问题。

第一方面，本申请实施例提供了一种数据库告警装置，所述装置包括：

信息表，用于存储客户端信息和/或客户端用户信息；

第一触发器，用于当客户端用户登录数据库时，触发调用系统函数获取客户端信息和/或客户端用户信息，将所述客户端信息和/或客户端用户信息录入预设的信息表中；

第二触发器，用于触发对所述信息表进行扫描，若所述信息表中存在异常信息，则向信息安全管理员发送所述异常信息。

可选地，所述第二触发器还用于触发对所述信息表进行扫描，若所述信息表中的客户端信息和/或客户端用户信息满足定制的告警策略，则向信息安全管理员发送告警信息。

可选地，所述告警策略包括：

所述客户端信息中的客户端ip地址信息和/或客户端主机名；所述客户端用户信息中的客户端用户名、登录成功次数、登录失败次数和/或客户端用户在数据库中的操作信息。

可选地，所述客户端信息包括客户端ip地址信息和/或客户端主机名；所述客户端用户信息包括客户端用户名、登录成功次数、登录失败次数和/或客户端用户在数据库中的操作信息。

第二方面，本申请实施例提供了一种数据库告警方法，所述方法包括：

当客户端用户登录数据库时，调用系统函数获取客户端信息和/或客户端用户信息，将所述客户端信息和/或客户端用户信息录入预设的信息表中；

对所述信息表进行扫描，若所述信息表中存在异常信息，则向信息安全管理员发送所述异常信息。

可选地，所述方法还包括：

若所述信息表中的客户端信息和/或客户端用户信息满足定制的告警策略，则向信息安全管理员发送告警信息。

可选地，所述告警策略包括：

所述客户端信息中的客户端ip地址信息和/或客户端主机名；所述客户端用户信息中的客户端用户名、登录成功次数、登录失败次数和/或客户端用户在数据库中的操作信息。

可选地，所述客户端信息包括客户端ip地址信息和/或客户端主机名；所述客户端用户信息包括客户端用户名、登录成功次数、登录失败次数和/或客户端用户在数据库中的操作信息。

第三方面，本申请实施例提供了一种终端，包括：

处理器；

用于存储处理器的执行指令的存储器；

其中，所述处理器被配置为执行上述第二方面任一项所述的方法。

在本申请实施例中，创建用于专门存储客户端信息和/或客户端用户信息的信息表，并通过调用系统函数获取客户端信息和/或客户端用户信息，将获取的客户端信息和/或客户端用户信息录入信息表中，该过程不会干涉数据库系统中的业务表，对数据库系统的业务性能影响较小。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种数据库告警装置结构示意图；

图2为本申请实施例提供的一种数据库告警装置应用场景示意图；

图3为本申请实施例提供的一种数据库告警方法流程示意图；

图4为本申请实施例提供的一种终端的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请中的技术方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

图1为本申请实施例提供的一种数据库告警装置结构示意图，如图1所述该装置包括信息表101、第一触发器102和第二触发器103。

其中，所述信息表101，用于存储客户端信息和/或客户端用户信息。

所述第一触发器102，用于当客户端用户登录数据库时，触发调用系统函数获取客户端信息和/或客户端用户信息，将所述客户端信息和/或客户端用户信息录入预设的信息表中；

所述第二触发器103，用于触发对所述信息表进行扫描，若所述信息表中存在异常信息，则向信息安全管理员发送所述异常信息。

在本申请实施例中，创建用于专门存储客户端信息和/或客户端用户信息的信息表，并通过调用系统函数获取客户端信息和/或客户端用户信息，将获取的客户端信息和/或客户端用户信息录入信息表中，该过程不会干涉数据库系统中的业务表，对数据库系统的业务性能影响较小。

图2为本申请实施例提供的一种数据库告警装置应用场景示意图，在图2中示出了数据库以及用于登录数据库的客户端a、客户端b和客户端c，用户可以通过客户端a、客户端b和客户端c登录数据库，对数据库中的业务表进行读/写操作。

在本申请实施例中，当用户通过客户端登录数据库时，第一触发器会触发动作，调用系统函数获取客户端信息和/或客户端用户信息，将所述客户端信息和/或客户端用户信息录入预设的信息表中。其中，所述客户端信息包括客户端ip地址信息和/或客户端主机名；所述客户端用户信息包括客户端用户名、登录成功次数、登录失败次数和/或客户端用户在数据库中的操作信息。

其中，不同的客户端可能具有不同的登录和操作行为，系统函数可以捕获所有的客户端的登录和操作信息。例如，客户端a为正常登录，正常操作；客户端b为异常登录，异常操作，客户端c为暴力登录，所有客户端的登录和操作信息均被记录在信息表中。

当信息表中插入信息时，第二触发器会触发动作，对所述信息表进行扫描，若所述信息表中存在异常信息，则向信息安全管理员发送所述异常信息。其中，该异常信息可能是由于客户端（例如客户端b）的异常登录，异常操作，或者客户端（例如客户端c）的暴力登录引起的。

在一种可选实施例中，还可以为第二触发器设置告警策略，若所述信息表中的客户端信息和/或客户端用户信息满足定制的告警策略，则向信息安全管理员发送告警信息。所述告警策略包括：所述客户端信息中的客户端ip地址信息和/或客户端主机名；所述客户端用户信息中的客户端用户名、登录成功次数、登录失败次数和/或客户端用户在数据库中的操作信息。

例如，所述告警策略为客户端a的ip地址，则当信息表中存在客户端a的ip地址信息时，向信息安全管理员发送告警信息。再如，所述告警策略为客户端用户登录失败的次数，等信息表中累计的客户端用户登录失败的次数达到告警策略中设定的客户端用户登录失败的次数时，向信息安全管理员发送告警信息。当然，本领域技术人员可以根据实际需要定制化其它的告警策略，本申请实施例对此不做具体限定。

在上述实施例的基础上，本申请还提供了一种方法实施例。

图3为本申请实施例提供的一种数据库告警方法流程示意图，如图3所示，其主要包括以下步骤。

步骤s301：当客户端用户登录数据库时，调用系统函数获取客户端信息和/或客户端用户信息，将所述客户端信息和/或客户端用户信息录入预设的信息表中；

步骤s302：对所述信息表进行扫描，若所述信息表中存在异常信息，则向信息安全管理员发送所述异常信息。

可选地，所述方法还包括若所述信息表中的客户端信息和/或客户端用户信息满足定制的告警策略，则向信息安全管理员发送告警信息。

可选地，所述告警策略包括：所述客户端信息中的客户端ip地址信息和/或客户端主机名；所述客户端用户信息中的客户端用户名、登录成功次数、登录失败次数和/或客户端用户在数据库中的操作信息。

可选地，所述客户端信息包括客户端ip地址信息和/或客户端主机名；所述客户端用户信息包括客户端用户名、登录成功次数、登录失败次数和/或客户端用户在数据库中的操作信息。

在本申请实施例中，创建用于专门存储客户端信息和/或客户端用户信息的信息表，并通过系统函数获取客户端信息和/或客户端用户信息，将获取的客户端信息和/或客户端用户信息录入信息表中，该过程不会干涉数据库系统中的业务表，对数据库系统的业务性能影响较小。

在上述实施例的基础上，本申请还提供了一种终端实施例。

图4为本申请实施例提供的一种终端的结构示意图，如图4所示，所述终端400可以包括：处理器410、存储器420及通信单元430。这些组件通过一条或多条总线进行通信，本领域技术人员可以理解，图中示出的终端的结构并不构成对本申请的限定，它既可以是总线形结构，也可以是星型结构，还可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

其中，所述通信单元430，用于建立通信信道，从而使所述存储设备可以与其它设备进行通信。接收其他设备发送的用户数据或者向其他设备发送用户数据。

所述处理器410，为存储设备的控制中心，利用各种接口和线路连接整个电子设备的各个部分，通过运行或执行存储在存储器420内的软件程序和/或模块，以及调用存储在存储器内的数据，以执行电子设备的各种功能和/或处理数据。所述处理器可以由集成电路(integratedcircuit，简称ic)组成，例如可以由单颗封装的ic所组成，也可以由连接多颗相同功能或不同功能的封装ic而组成。举例来说，处理器410可以仅包括中央处理器(centralprocessingunit，简称cpu)。在本申请实施方式中，cpu可以是单运算核心，也可以包括多运算核心。

所述存储器420，用于存储处理器410的执行指令，存储器420可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器（sram），电可擦除可编程只读存储器（eeprom），可擦除可编程只读存储器（eprom），可编程只读存储器（prom），只读存储器（rom），磁存储器，快闪存储器，磁盘或光盘。

当存储器420中的执行指令由处理器410执行时，使得终端400能够执行以下上述方法实施例中的部分或全部步骤。

具体实现中，本申请还提供一种计算机存储介质，其中，该计算机存储介质可存储有程序，该程序执行时可包括本申请提供的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体（英文：read-onlymemory，简称：rom）或随机存储记忆体（英文：randomaccessmemory，简称：ram）等。

本领域的技术人员可以清楚地了解到本申请实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本申请实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本申请各个实施例或者实施例的某些部分所述的方法。

本说明书中各个实施例之间相同相似的部分互相参见即可。尤其，对于终端实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。

以上所述的本申请实施方式并不构成对本申请保护范围的限定。