一种旁路审计sqlserver连接信息的方法与流程

本发明是关于网络技术、数据库审计技术领域，特别涉及一种旁路审计sqlserver连接信息的方法。

背景技术：

sqlserver是一个关系数据库管理系统。

sqlserver2005版本是一个全面的数据库平台，使用集成的商业智能(bi)工具提供了企业级的数据管理。sqlserver数据库引擎为关系型数据和结构化数据提供了更安全可靠的存储功能，使得用户可以构建和管理用于业务的高可用和高性能的数据应用程序。

sqlserver2008版本是一个重大的版本，它推出了许多新的特性和关键的改进，是至今为止最强大和最全面的sqlserver版本。sqlserver2008的新功能特点：可信任的、高效的、智能的。

在过去的sqlserver2005的基础之上，sqlserver2008做了简单的加密、外键管理、增强了审查等增强来扩展它的安全性。

sqlserver2008可以对整个数据库、数据文件和日志文件进行加密，而不需要改动应用程序。进行加密使公司可以满足遵守规范和及其关注数据隐私的要求。简单的数据加密的好处包括使用任何范围或模糊查询搜索加密的数据、加强数据安全性以防止未授权的用户访问、还有数据加密。这些可以在不改变已有的应用程序的情况下进行。

由于sqlserver对整个数据库进行了加密，因此客户端连接数据库的信息比如用户名、连接工具等，在通信过程中都使用了加密的方式，旁路审计将无法正常的审计到用户名、连接工具等连接信息。

技术实现要素：

本发明的主要目的在于克服现有技术中的不足，提供一种能旁路审计sqlserver加密用户连接信息的方法。为解决上述技术问题，本发明的解决方案是：

提供一种旁路审计sqlserver连接信息的方法，利用审计设备对审计对象进行旁路审计，所述旁路审计sqlserver连接信息的方法具体包括下述步骤：

步骤a：采集本地访问流量；具体包括下述子步骤：

步骤a1)在核心交换机(核心交换机是指能够完成封装转发数据包功能的网络设备，经过审计对象的数据包都需要经过该核心交换机转发)上设置镜像口，将镜像数据发送到审计设备；

所述审计设备采用旁路部署的模式(自主开发的审计设备)，用于监视并记录用户端对数据库的连接及各类操作行为；审计设备中设置有数据库，用于作为镜像审计对象；

步骤a2)在审计设备中，配置数据库的ip、端口，即配置成审计对象的ip、端口；

步骤a3)审计设备根据步骤a2中配置的数据库ip和端口，抓取来自用户端到数据库的网络访问流量包；

步骤b：分析网络访问流量包，获得客户端连接信息：

若审计对象的数据库通信过程未采用加密方式(sqlserver2008之前的数据库版本)：对步骤a3中抓取的网络访问流量包进行解析，解析出与数据库的连接信息，即获得与审计对象的连接信息，实现旁路审计sqlserver连接信息；连接信息包括但不限于以下：源ip、源端口、目的ip、目的端口、连接用户名、客户端连接工具；

若审计对象的数据库通信过程采用加密方式(sqlserver2008的数据库版本，用户名、客户端工具等连接信息，在通信过程中都使用了加密的方式)，具体步骤如下：

步骤b1)对步骤a3中抓取的网络访问流量包进行解析，解析出与数据库的连接信息；连接信息包括但不限于以下：源ip、源端口、目的ip、目的端口；

步骤b2)通过查询审计对象的数据库连接信息表(数据库连接信息表是sqlserver自带的表，这个表里记录了客户端在线连接信息，包括但不限于以下：源ip、源端口、目的ip、连接用户名、客户端连接工具)，得到查询结果；查询结果包括但不限于以下：源ip、源端口、目的ip、目的端口、连接用户名、客户端连接工具；

步骤b3)关联步骤b1中的连接信息、步骤b2中的查询结果，若连接信息和查询结果中的源ip、源端口、目的ip、目的端口都相同，则能唯一确认查询结果中的连接用户名、客户端连接工具，实现审计sqlserver加密用户连接信息。

在本发明中，所述步骤a1中，镜像口在核心交换机上截取镜像数据的方式是：代理服务根据本地数据库服务端口，过滤钩子函数截取的本地应用连接数据。

与现有技术相比，本发明的有益效果是：

本发明解决了现有技术的不足，实现了旁路审计正常地审计到用户名、连接工具等连接信息；本发明还实现了在不影响数据库连接的前提下，对加密的数据库连接信息进行追溯，最终达到审计目的。

附图说明

图1为本发明的流程图。

图2为数据解析的主要信息框图。

图3为数据库查询流程框图。

具体实施方式

首先需要说明的是，本发明涉及数据库技术，是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中，会涉及到多个软件功能模块的应用。申请人认为，如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后，在结合现有公知技术的情况下，本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。

下面结合附图与具体实施方式对本发明作进一步详细描述：

如图1所示的一种旁路审计sqlserver连接信息的方法，利用审计设备对审计对象进行旁路审计，包括下述步骤：

步骤a：采集本地访问流量；具体包括下述子步骤：

步骤a1)在核心交换机上设置镜像口，代理服务会根据本地数据库服务端口，过滤钩子函数截取的本地应用连接数据，再将镜像数据发送到审计设备。

所述核心交换机是指能够完成封装转发数据包功能的网络设备，特别指出，此处经过审计对象的数据包都需要通过核心交换机转发。

所述审计设备是自主开发的审计设备，用于监视并记录用户端对数据库的连接及各类操作行为，采用旁路部署的模式；审计设备中设置有数据库，用于作为镜像审计对象。

步骤a2)在审计设备中，配置数据库的ip、端口，即配置成审计对象的ip、端口。

步骤a3)审计设备根据步骤a2中配置的数据库ip和端口，抓取来自用户端到数据库的网络访问流量包。

步骤b：分析网络访问流量包，获得客户端连接信息，根据审计对象的区别，有下述两种情况：

情况1)若审计对象是sqlserver2008之前的数据库版本，通信过程中未采用加密方式：

对步骤a3中抓取的网络访问流量包进行解析，解析出与数据库的连接信息，即获得与审计对象的连接信息，实现旁路审计sqlserver连接信息。

连接信息包括但不限于以下：源ip、源端口、目的ip、目的端口、连接用户名、客户端连接工具。

情况2)若审计对象是sqlserver2008的数据库版本，用户名、客户端工具等连接信息，在通信过程中都使用了加密的方式，旁路审计设备只能解析源ip、源端口、目的ip、目的端口等连接信息，无法正常解析连接用户名、客户端连接工具等一些重要的客户端信息，因此，对上述情况需要通过以下步骤解决：

步骤b1)对步骤a3中抓取的网络访问流量包进行解析，解析出与数据库的连接信息；

连接信息包括但不限于以下：源ip、源端口、目的ip、目的端口。

步骤b2)通过查询数据库连接信息表，数据库连接信息表是sqlserver自带的表，这个表里记录了源ip、源端口、目的ip、连接用户名、客户端连接工具等客户端在线连接信息；得到查询结果；因此，为获取客户端在线连接信息，数据库审计设备查询数据库连接信息表，获得查询结果；

查询结果包括但不限于以下：源ip、源端口、目的ip、目的端口、连接用户名、客户端连接工具。

步骤b3)关联步骤b1中的连接信息、步骤b2中的查询结果，相同的源ip、源端口、目的ip、目的端口能够唯一确认连接用户名、客户端工具，从而实现审计sqlserver加密用户连接信息。

下面的实施例可以使本专业的专业技术人员更全面地理解本发明，但不以任何方式限制本发明。

假设用户a通过客户端工具sqlservermanagementstudio(以下简称sms)连接旁路审计设备的审计对象数据库，此时数据库的在线连接信息表会更新一条记录，包含但不限于以下：用户a的ip、客户端工具端口、数据库ip、数据库端口、客户端工具sms、用户a。旁路审计设备通过核心交换机配置的镜像口抓取到数据库的网络访问流量并进行分析，对于采用未加密通信方式的数据库，可正常得到的分析结果，包含但不限于以下：用户a的ip、客户端工具端口、数据库ip、数据库端口、客户端工具、用户a。对于采用加密通信方式的数据库，得到的分析结果，包含但不限于以下：用户a的ip、客户端工具端口、数据库ip、数据库端口，不包括：客户端工具sma、用户a。因此需要进一步，查询数据库在线连续信息表，通过用户a的ip、客户端工具端口、数据库ip、数据库端口，唯一确认用户a及客户端工具sms，从而实现审计sqlserver连接信息。

图2示例了数据解析的主要信息，图3示例了数据库查询流程。

最后，需要注意的是，以上列举的仅是本发明的具体实施例。显然，本发明不限于以上实施例，还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形，均应认为是本发明的保护范围。