一种从服务器访问资源的方法
【技术领域】
[0001 ] 本发明涉及信息系统,特别涉及一种从服务器访问资源的方法。
【背景技术】
[0002] 随着医疗行业对以医疗质量为核心信息系统的依赖性日益增强,数据库等核心信 息资产的安全问题越来越受到企业的关注。在此背景下,各种面向应用层的数据库安全解 决方案开始得到应用。这些解决方案的普遍模式是:首先采集每一个数据访问活动的发起 者(信息源)及其操作特征,然后识别和重现每一个独立信息源在一定时间窗内的活动序 列即访问路径,以进行深入的行为分析和异常发现。
[0003] 对于这些安全方案而言,识别出每一个单独数据库操作的源信息(包括用户识别 信息,终端识别信息等),进而重建其访问路径,是正确应用行为分析模块的关键。但是另 一方面,当前的医疗管理信息系统大多采用多层信息架构,往往在一个系统中,会包含多层 中间件或中间层应用系统。在此情况下,当访问操作从用户端发起后,需要流经多个异构系 统,以层级代理方式被多次重装和转换后,最终进入数据库系统处理队列。比如,在采用B/ S架构的企业资源规划(ERP)系统中,用户虽然以自身账号登录Web系统(如Servlet等) 并执行业务操作,但最终的数据库访问请求是由该Web系统生成并提交给数据库。因此,数 据库系统所记录的轨迹信息中所体现的发起者源信息往往只是指向某一中间层系统,而非 其最初始访问点,导致数据库安全解决方案无法正确分析。
[0004] 针对这一问题,主流厂商引入了专门的嵌入式监控模块,扩展了底层数据通信协 议,但这些方案只适用于企业内部所有相关系统都来自同一厂商,或者与之兼容的情况。而 对于大多数企业,若想应用该方案,只能对其现有各系统进行重构,其成本和时间往往难以 承受。
[0005] 因此,针对相关技术中所存在的上述问题,目前尚未提出有效的解决方案。
【发明内容】
[0006] 为解决上述现有技术所存在的问题,本发明提出了一种从服务器访问资源的方 法,用于多层信息平台,包括:接收用户对多层信息平台的数据库访问操作;
[0007] 对所述数据库访问操作的模式进行统计学习和参数匹配;
[0008] 基于参数匹配结果识别的数据访问路径,得到最终访问者的信息。
[0009] 优选地,所述数据库访问操作包括以下步骤:
[0010] 用户使用终端系统通过应用程序界面向中间层应用系统提交业务操作命令,向指 定URL发送HTTP封包,用户请求来源信息被记录在业务请求数据封包中,将该业务请求标 记为变量r;
[0011] 中间层应用系统的对应应用接口收到业务请求r,分析其中的请求来源标识,验证 合法性,当验证通过后,系统调用中间件完成相关计算并生成一条或多条数据库访问命令 并依次发送给数据库系统,每条数据库访问命令标识为变量q;
[0012] 数据库系统在收到命令q后,将其排入队列直至执行完毕,得到执行结果fq,返回 给中间层应用接口;
[0013] 中间层应用接口在得到数据库命令执行结果4后,将与此次业务操作有关的全部 数据库访问命令依次发送给数据库系统,或将根据返回结果进一步生成的新的数据库访问 命令发送给数据库系统,直至全部执行完毕,将最终业务操作结果f;返回给初始用户。
[0014] 本发明相比现有技术,具有以下优点:
[0015] 使用改进的时间窗和请求匹配,作为统计学习的重要规则,还提供了专门针对数 据操作命令类型和单个请求来源数据操作参数的统计学习匹配功能,从而提升了识别方法 在复杂系统环境下的准确性;兼顾了中间应用层保存并提交参数的情况;以相关性计算替 代简单的等值比对,提高了参数比较的精确性。
【附图说明】
[0016] 图1是根据本发明实施例的从服务器访问资源的方法的流程图。
【具体实施方式】
[0017] 下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描 述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权 利要求书限定,并且本发明涵盖诸多替代,修改和等同物。在下文描述中阐述诸多具体细节 以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中 的一些或者所有细节也可以根据权利要求书实现本发明。
[0018] 图1是根据本发明实施例的从服务器访问资源的方法流程图。本发明的一方面提 供了一种从服务器访问资源的方法,用于识别数据访问路径,使基于多层次异构平台的企 业应用系统中,数据库服务器能够准确识别出数据操作的真实来源。该方法的主要环节包 括:
[0019] (1)基于时间序列的统计学习过程,具体包括命令模式的抽取与匹配,业务应用请 求与数据库操作请求的参数匹配及服务器端参数序列匹配。(2)基于匹配模板的数据访问 路径识别,实现数据库日志和安防系统对最终访问者的追踪操作。
[0020] 首先,在多层信息系统架构下,一次典型的数据库访问操作可以分解为以下步骤:
[0021] (1)用户使用自己的终端系统,通过应用程序界面,向中间层应用系统提交业务操 作命令,比如向指定URL发送HTTP封包。在此步骤中,真实请求来源信息被记录在业务请 求数据封包中,本发明将该业务请求标识为变量r。
[0022] (2)中间层应用系统的对应"应用接口"(即该系统中完成特定业务功能的子模 块)收到业务请求r,分析其中的请求来源标识以验证合法性。验证通过后,系统将调用若 干中间件或类似模块,完成相关计算并生成一条或多条数据库访问命令并依次发送给数据 库系统。本发明用变量q表示每条数据库访问命令。
[0023] (3)数据库系统在收到命令q后,将其排入队列直至执行完毕,得到执行结果fq, 将其返回给中间层应用接口。
[0024] (4)中间层应用系统在得到数据库命令执行结果4后,根据业务逻辑要求,在需要 时继续重复步骤(2)和步骤(3),将与此次业务操作有关的全部数据库访问命令(或根据返 回结果进一步生成的新的数据库访问命令)依次发送给数据库系统,直至全部执行完毕, 将最终业务操作结果f;返回给初始用户。这些数据库访问命令被称作由业务请求r触发。
[0025]统计学习讨稈
[0026] 本发明提出的数据访问路径识别方案,首先需要对多层信息架构中的日常数据库 访问模式进行统计学习。其统计学习过程包含4个方面:(1)样本数据采集;(2)中间层应 用系统数据库命令模式识别;(3)业务请求集合R与数据库操作命令集合Q的操作参数匹 配;(4)对仅存储于服务器端的用户参数进行序列匹配。
[0027] 1.样本数据采集
[0028] 数据访问路径识别方法的训练样本主要来自于各层系统的日志文件,包括以下不 间断日志信息:
[0029] (1)业务请求数据(来自于各中间层业务系