信息处理方法、关联插件、web服务器及系统的制作方法
【专利摘要】本发明实施例公开了一种信息处理方法、关联插件、WEB服务器及系统,监测到超文本传输协议请求时,生成唯一关联标识,将该唯一关联标识追加到基于该超文本传输协议请求触发的数据库操作语句中,当需要进行数据库审计时,可以通过数据库操作语句中的唯一关联标识进行信息关联。可见,本发明实施例提供的信息处理方法、关联插件、WEB服务器及系统,通过唯一关联标识而非用户信息和业务信息进行数据关联,由于唯一标识的数据量远远小于用户信息和业务信息的数据量,从而降低了对服务器的损耗。
【专利说明】
信息处理方法、关联插件、WEB服务器及系统
技术领域
[0001]本发明涉及信息处理技术领域,更具体地说,涉及一种信息处理方法、关联插件、WEB服务器及系统。
【背景技术】
[0002]随着安全审计技术的迅速发展,能够实现关联功能的相关审计产品也得到相应发展。
[0003]目前的审计产品的关联功能多是将用户信息和业务信息追加到SQL(StructuredQuery Language,结构化查询语言)语句中进行关联。这种方法所获取的关联数据能够一定程度上解决安全事件事后溯源的需求,但却存在如下不足:
[0004]随着市场对安全审计技术需求的增加,所需要追加到SQL语句中的信息量也会不断增加,使得服务器的性能损耗也相应增加。
【发明内容】
[0005]本发明的目的是提供一种信息处理方法、关联插件、WEB服务器及系统,以克服现有的关联方式对服务器损耗较大。
[0006]为实现上述目的,本发明提供了如下技术方案:
[0007]—种信息处理方法,包括:
[0008]当监测到超文本传输协议请求时,生成与所述超文本传输协议请求对应的具有唯一性的关联标识;
[0009]当监测到基于所述超文本传输协议请求触发的数据库操作语句时,将所述关联标识追加到所述数据库操作语句中。
[0010]上述方法,优选的,所述将所述关联标识追加到所述数据库操作语句中包括:
[0011 ]将所述关联标识以注释方式追加到所述数据库操作语句中。
[0012]上述方法,优选的,还包括:
[0013]当监测到与所述超文本传输协议请求对应的超文本传送协议应答时,将所述关联标识追加到所述超文本传送协议应答中。
[0014]上述方法,优选的,所述将所述关联标识追加到所述超文本传送协议应答中包括:
[0015]将所述关联标识以自定义字段的方式追加到所述超文本传送协议应答中。
[0016]上述方法,优选的,所述当获取到超文本传输协议请求时,生成与所述超文本传输协议请求对应的具有唯一,性的关联标识包括:
[0017]当获取到超文本传输协议请求时,获取系统时钟时间;
[0018]基于所述系统时钟时间和自增长数值进行哈希运算,得到与所述超文本传输协议请求对应的具有唯一性的关联标识。
[0019]上述方法,优选的,还包括:
[0020]当接收到数据库审计请求时,获取镜像数据库协议流量;[0021 ]对所述镜像数据库协议流量进行数据库协议解析及关联标识解析;
[0022]基于解析得到的关联标识进行信息关联。
[0023]上述方法,优选的,还包括:
[0024]当接收到数据库审计请求时,获取待审计的流量,所述待审计的流量包括镜像超文本传送协议流量和镜像数据库协议流量;
[0025]对所述镜像超文本传输协议流量进行超文本传输协议解析及关联标识解析,并对所述镜像数据库协议流量进行数据库协议解析及关联标识解析;
[0026]基于解析得到的关联标识进行信息关联。
[0027]一种关联插件,包括:
[0028]关联标识生成模块,用于当监测到超文本传输协议请求时,生成与所述超文本传输协议请求对应的具有唯一性的关联标识;
[0029]第一关联模块,用于当监测到基于所述超文本传输协议请求触发的数据库操作语句时,将所述关联标识追加到所述数据库操作语句中。
[0030]上述关联插件,优选的,所述第一关联模块包括:
[0031]第一追加单元,用于当监测到基于所述超文本传输协议请求触发的数据库操作语句时,将所述关联标识以注释方式追加到所述数据库操作语句中。
[0032]上述关联插件,优选的,还包括:
[0033]第二关联模块,用于当监测到与所述超文本传输协议请求对应的超文本传送协议应答时,将所述关联标识追加到所述超文本传送协议应答中。
[0034]上述关联插件,优选的,所述第二关联模块包括:
[0035]第二追加单元,用于当监测到基于所述超文本传输协议请求触发的超文本传送协议应答时,将所述关联标识以自定义字段的方式追加到所述超文本传送协议应答中。
[0036]上述关联插件,优选的,所述关联标识生成模块包括:
[0037]获取单元,用于当获取到超文本传输协议请求时,获取系统时钟时间;
[0038]运算单元,用于基于所述系统时钟时间和自增长数值进行哈希运算,得到与所述超文本传输协议请求对应的具有唯一性的关联标识。
[0039]一种WEB服务器,部署有如上任意一项所述的关联插件。
[0040]—种信息处理系统,包括:网络终端,与所述网络终端连接的第一交换机,与所述第一交换机连接的WEB服务器,与所述服务器连接的第二交换机,与所述第二交换机连接的数据库服务器;所述WEB服务器中部署有如上任意一项所述的关联插件。
[0041]上述信息处理系统,优选的,还包括:分别与所述第一交换机和所述第二交换机连接的数据库审计设备;
[0042]若所述WEB服务器中部署有如前所述的关联插件,则所述数据库审计设备用于,当接收到数据库审计请求时,从所述第二交换机获取的镜像数据库协议流量,对所述镜像数据库协议流量进行数据库协议解析及关联标识解析,基于解析得到的关联标识进行信息关联;
[0043]若所述WEB服务器中部署有如前所述的关联插件,则所述数据库审计设备用于,当接收到数据库审计请求时,获取待审计的流量,所述待审计的流量包括从所述第一交换机获取的镜像超文本传送协议流量和从所述第二交换机获取的镜像数据库协议流量,对所述镜像超文本传输协议流量进行超文本传输协议解析及关联标识解析,并对所述镜像数据库协议流量进行数据库协议解析及关联标识解析,基于解析得到的关联标识进行信息关联。
[0044]通过以上方案可知,本申请提供的一种信息处理方法、关联插件、WEB服务器及系统,监测到超文本传输协议请求时,生成唯一关联标识,将该唯一关联标识追加到基于该超文本传输协议请求触发的数据库操作语句中,当需要进行数据库审计时,可以通过数据库操作语句中的唯一关联标识进行信息关联。可见,本发明实施例提供的信息处理方法、关联插件、WEB服务器及系统,通过具有唯一性的关联标识而非用户信息和业务信息进行数据关联,由于关联标识的数据量远远小于用户信息和业务信息的数据量,从而降低了对服务器的损耗。
【附图说明】
[0045]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0046]图1为本发明实施例提供的信息处理方法的一种实现流程图;
[0047]图2为一般业务系统进行业务访问时的一种访问流程示意图;
[0048]图3为本发明实施例提供的关联插件的一种结构示意图;
[0049]图4为本发明实施例提供的关联插件的另一种结构示意图;
[0050]图5为本发明实施例提供的信息处理系统的一种结构示意图;
[0051]图6为本发明实施例提供的信息处理系统的另一种结构示意图;
[0052]图7为本发明实施例提供的基于图6所示信息处理系统的信息处理方法的一种实现流程图;
[0053]图8为本发明实施例提供的WEB服务器中中间件的一种示例图。
[0054]说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的部分,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示的以外的顺序实施。
【具体实施方式】
[0055]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0056]请参阅图1,图1为本发明实施例提供的信息处理方法的一种实现流程图,可以包括:
[0057]步骤Sll:当监测到超文本传输协议(Hypertext transfer protocol,http)请求时,生成与该超文本传输协议请求对应的具有唯一性的关联标识;
[0058]超文本传输协议请求由网络终端向web服务器发送,当网络终端用户想通过网络访问数据库时,用户在网络终端侧触发超文本传输协议请求发送给web服务器。该超文本传输协议请求可以是http请求或https请求。
[0059]具有唯一性的关联标识可以是具有唯一性的一个数值。
[0060]步骤S12:当监测到基于上述超文本传输协议请求触发的数据库操作语句时,将上述具有唯一性的关联标识追加到数据库操作语句中。
[0061]如图2所示,为一般业务系统进行业务访问时的一种访问流程示意图。通常,一个业务访问流程由一个线程来完成,一个线程处理的操作包括:超文本传输协议请求、一系列的数据库操作请求和数据库操作应答、超文本传输协议应答。一个超文本传输协议请求发生后,会触发一系列的数据库操作语句(包括数据库操作请求和数据库操作应答)对数据库进行操作,最后一个数据库操作应答语句执行之后,才会触发超文本传输协议应答。
[0062]本发明实施例中,将上述具有唯一性的关联标识追加到数据库操作语句中,通过追加具有唯一性的关联标识后的数据库操作语句操作数据库。
[0063]根据数据库类型不同,所使用的数据库操作语句可能不同。例如,数据库包括:Oracle数据库,Sybase数据库,SQL Server数据库,DB2数据库,Access数据库等等,针对Oracle数据库,数据库操作语句为Oracle语句;针对Sybase数据库,数据库操作语句为Sybase语句;针对SQL Server数据库,数据库操作语句为SQL语句;针对DB2数据库,数据库操作语句为DB2语句;而针对Access数据库,数据库操作语句为Access语句。当然,若不同的数据库的数据库操作语句通用或兼容,则不同的数据库可以使用相同的数据库操作语句。
[0064]由于超文本传输协议请求及基于该超文本传输协议请求触发的数据库操作语句和超文本传输协议应答均在同一个线程内完成,因此,可以通过数据库操作语句的执行线程确定哪些数据库操作语句是基于上述超文本传输协议请求触发的。
[0065]当需要对数据库进行审计时,可以获取数据库协议流量,对数据库协议流量中的数据库操作语句进行数据库协议解析,对解析得到的数据进行关联标识解析,从而可以基于关联标识进行信息关联。
[0066]本发明实施例提供的信息处理方法,通过具有唯一性的关联标识而非用户信息和业务信息进行数据关联,由于关联标识的数据量远远小于用户信息和业务信息的数据量,从而降低了对服务器的损耗。
[0067]可选的,本发明实施例提供的将关联标识追加到数据库操作语句中的一种实现方式可以为:
[0068]将关联标识以注释方式追加到数据库操作语句中。
[0069]本发明实施例中,以注释方式将关联标识追加到数据库操作语句中,不会影响正常的数据库操作。
[0070]可选的,在上述实施例的基础上,本发明实施例提供的信息处理方法还可以包括:[0071 ]当监测到与超文本传输协议请求对应的超文本传送协议应答时,将关联标识追加到超文本传送协议应答中。
[0072]本发明实施例中,除了在数据库操作语句中追加上述关联标识外,还在超文本传送协议应答中追加上述关联标识,从而可以在数据库审查过程中将前端操作(即超文本传输协议相关操作)信息和后端操作(即数据库操作)信息相关联,既可以通过数据库操作语句进行溯源,又可以通过超文本传输协议进行溯源,与现有技术相比,增加了溯源方式,还可以为报表分析等其它操作提供更加准确且丰富的数据基础,例如,增加了 POST、Cookie、Content等http相关内容的关联记录。
[0073]可选的,本发明实施例提供的将关联标识追加到超文本传送协议应答中的一种实现方式可以为:
[0074]将关联标识以自定义字段的方式追加到超文本传送协议应答中。
[0075]可选的,在上述实施例的基础上,本发明实施例提供的当获取到超文本传输协议请求时,生成与超文本传输协议请求对应的具有唯一性的关联标识的一种实现方式可以为:
[0076]当获取到超文本传输协议请求时,获取系统时钟时间;
[0077]该系统时钟时间可以精确到毫秒。
[0078]基于获取的系统时钟时间,以及自增长数值进行哈希运算,得到与所述超文本传输协议请求对应的具有唯一性的关联标识。
[0079]其中,自增长数值可以通过一个函数获取,该函数输出的值(即自增长数值)每被读取一次,该函数的输出值加I。
[0080]也就是说,本发明实施例中,具有唯一性的关联标识是对系统时钟时间和自增长数值进行哈希运算得到的哈希值,该哈希值可以是长整型数值。
[0081]具体的,可以将系统时钟时间和自增长数值组合为一个较长的字符串,对该字符串进行哈希运算得到哈希值。
[0082]可选的,若只在数据库操作语句中追加关联标识,则基于上述实施例进行信息关联的一种实现方式可以为:
[0083]当接收到数据库审计请求时,获取镜像数据库协议流量;
[0084]本发明实施例中,在进行数据库审计时,获取的是镜像数据而非原始数据,从而不会对原始数据的处理产生影响。
[0085]对镜像数据库协议流量进行数据库协议解析及关联标识解析;
[0086]获取镜像数据库协议流量后,可以先进行数据库协议解析,再进行关联标识解析,或者,先进行关联标识解析,再进行数据库协议解析,或者数据库协议解析和关联标识解析同时进行。
[0087]基于解析得到的关联标识进行信息关联。
[0088]可选的,若既在数据库操作语句中追加关联标识,又在超文本传送协议应答中追加关联标识,则基于上述实施例进行信息关联的另一种实现方式可以为:
[0089]当接收到数据库审计请求时,获取待审计的流量,该待审计的流量包括镜像超文本传送协议流量和镜像数据库协议流量;
[0090]对镜像超文本传输协议流量进行超文本传输协议解析及关联标识解析,并对镜像数据库协议流量进行数据库协议解析及关联标识解析;
[0091 ]本发明实施例中,可以先对镜像超文本传输协议流量进行解析(包括超文本传输协议解析及关联标识解析),再对镜像数据库协议流量进行解析(包括数据库协议解析及关联标识解析),或者,先对镜像数据库协议流量进行解析,再对镜像超文本传输协议流量进行解析,或者,对镜像超文本传输协议流量进行解析和对镜像数据库协议流量进行解析同时进行。
[0092]基于解析得到的关联标识进行信息关联。
[0093]与方法实施例相对应,本发明实施例还提供一种关联插件,该关联插件可以部署在中间件上。本发明实施例提供的关联插件的一种结构示意图如图3所示,可以包括:
[0094]关联标识生成模块31和第一关联模块32;其中,
[0095]关联标识生成模块31用于当监测到超文本传输协议请求时,生成与超文本传输协议请求对应的具有唯一性的关联标识;
[0096]超文本传输协议请求由网络终端向web服务器发送,当网络终端用户想通过网络访问数据库时,用户在网络终端侧触发超文本传输协议请求发送给web服务器。该超文本传输协议请求可以是http请求或https请求。
[0097]具有唯一性的关联标识可以是具有唯一性的一个数值。
[0098]第一关联模块32用于当监测到基于超文本传输协议请求触发的数据库操作语句时,将关联标识追加到数据库操作语句中。
[0099]通常,一个业务访问流程由一个线程来完成,一个线程处理的操作包括:超文本传输协议请求、一系列的数据库操作请求和数据库操作应答、超文本传输协议应答。一个超文本传输协议请求发生后,会触发一系列的数据库操作语句(包括数据库操作请求和数据库操作应答)对数据库进行操作,最后一个数据库操作应答语句执行之后,才会触发超文本传输协议应答。
[0100]本发明实施例中,将上述具有唯一性的关联标识追加到数据库操作语句中,通过追加具有唯一性的关联标识后的数据库操作语句操作数据库。
[0101]根据数据库类型不同,所使用的数据库操作语句可能不同。例如,数据库包括:Oracle数据库,Sybase数据库,SQL Server数据库,DB2数据库,Access数据库等等,针对Oracle数据库,数据库操作语句为Oracle语句;针对Sybase数据库,数据库操作语句为Sybase语句;针对SQL Server数据库,数据库操作语句为SQL语句;针对DB2数据库,数据库操作语句为DB2语句;而针对Access数据库,数据库操作语句为Access语句。当然,若不同的数据库的数据库操作语句通用或兼容,则不同的数据库可以使用相同的数据库操作语句。
[0102]由于超文本传输协议请求及基于该超文本传输协议请求触发的数据库操作语句和超文本传输协议应答均在同一个线程内完成,因此,可以通过数据库操作语句的执行线程确定哪些数据库操作语句是基于上述超文本传输协议请求触发的。
[0103]当需要对数据库进行审计时,可以获取数据库协议流量,对数据库协议流量中的数据库操作语句进行数据库协议解析,对解析得到的数据进行关联标识解析,从而可以基于关联标识进行信息关联。
[0104]本发明实施例提供的关联插件,通过具有唯一性的关联标识而非用户信息和业务信息进行数据关联,由于关联标识的数据量远远小于用户信息和业务信息的数据量,从而降低了对服务器的损耗。
[0105]可选的,本发明实施例提供的第一关联模块32可以包括:
[0106]第一追加单元,用于当监测到基于超文本传输协议请求触发的数据库操作语句时,将关联标识以注释方式追加到数据库操作语句中。
[0107]本发明实施例中,以注释方式将关联标识追加到数据库操作语句中,不会影响正常的数据库操作。
[0108]可选的,在图3所示实施例的基础上,本发明实施例提供的关联插件的另一种结构示意图如图4所示,还可以包括:
[0109]第二关联模块41,用于当监测到与超文本传输协议请求对应的超文本传送协议应答时,将关联标识追加到超文本传送协议应答中。
[0110]本发明实施例中,除了在数据库操作语句中追加上述关联标识外,还在超文本传送协议应答中追加上述关联标识,从而可以在数据库审查过程中将前端操作(即超文本传输协议相关操作)信息和后端操作(即数据库操作)信息相关联,既可以通过数据库操作语句进行溯源,又可以通过超文本传输协议进行溯源,增加了溯源方式。
[0111]可选的,本发明实施例提供的第二关联模块41可以包括:
[0112]第二追加单元,用于当监测到基于超文本传输协议请求触发的超文本传送协议应答时,将关联标识以自定义字段的方式追加到超文本传送协议应答中。
[0113]可选的,本发明实施例提供的关联标识生成模块31可以包括:
[0114]获取单元,用于当获取到超文本传输协议请求时,获取系统时钟时间;
[0115]该系统时钟时间可以精确到毫秒。
[0116]运算单元,用于基于获取单元获取的系统时钟时间和自增长数值进行哈希运算,得到与超文本传输协议请求对应的具有唯一性的关联标识。
[0117]其中,自增长数值可以通过一个函数获取,该函数输出的值(即自增长数值)每被读取一次,该函数的输出值加I。
[0118]也就是说,本发明实施例中,具有唯一性的关联标识是对系统时钟时间和自增长数值进行哈希运算得到的哈希值,该哈希值可以是长整型数值。
[0119]具体的,可以将系统时钟时间和自增长数值组合为一个较长的字符串,对该字符串进行哈希运算得到哈希值。
[0120]本发明实施例还提供一种WEB服务器,该WEB服务器上部署有上述实施例中公开的关联插件。
[0121]可选的,上述关联插件可以以独立的jar文件的形式部署,具体可以将该关联插件放入WEB服务器的中间件的CLASSPATH参数中,同时修改中间件的启动脚本以-javaagent或者-Xrun的方式启动关联插件。
[0122]为了便于关联插件部署阶段的问题排查,中间件的关联插件可以有2两份,一份是原有的非关联插件方式启动脚本,一份是原有启动脚本的复本并作了加载关联插件的参数配置。当问题排查清楚并解决后可以由用户选择关联插件方式启动还是以非关联插件方式启动。
[0123]本发明实施例还提供一种信息处理系统,如图5所示,为本发明实施例提供的信息处理系统的一种结构示意图,可以包括:
[0124]网络终端51,与网络终端51连接的第一交换机52,与第一交换机52连接的WEB服务器53,与WEB服务器53连接的第二交换机54,与第二交换机54连接的数据库服务器55;其中,WEB服务器53中部署有如前所述的关联插件。
[0125]网络终端51可以通过第一交换机向WEB服务器53发送超文本传输协议请求,WEB月艮务器53中的关联插件监测到超文本传输协议请求后,生成与该超文本传输协议请求对应的具有唯一性的关联标识,将该关联标识追加到基于超文本传输协议请求触发的数据库操作语句中,然后将追加关联标识的数据库操作语句发送至第二交换机54以便于访问数据库服务器55;当WEB服务器53监测到与该超文本传输协议请求对应的超文本传输协议应答时,还可以将关联标识追加到该超文本传输协议应答中。
[0126]可选的,在图5所示实施例的基础上,本发明实施例提供的信息处理系统的另一种结构示意图如图6所示,还可以包括:分别与第一交换机52和第二交换机54连接的数据库审计设备61 ;
[0127]若WEB服务器53中部署的关联插件只将关联标识追加到数据库操作语句中,则数据库审计设备61用于,当接收到数据库审计请求时,从第二交换机54获取的镜像数据库协议流量,对镜像数据库协议流量进行数据库协议解析及关联标识解析,基于解析得到的关联标识进行信息关联;
[0128]若WEB服务器53中部署的关联插件既将关联标识追加到数据库操作语句中由将关联标识追加到超文本传输协议应答中,则数据库审计设备61用于,当接收到数据库审计请求时,获取待审计的流量,待审计的流量包括从第一交换机52获取的镜像超文本传送协议流量和从第二交换机54获取的镜像数据库协议流量,对镜像超文本传输协议流量进行超文本传输协议解析及关联标识解析,并对镜像数据库协议流量进行数据库协议解析及关联标识解析,基于解析得到的关联标识进行信息关联。
[0129]需要说明的是,图5中以超文本传输协议为http协议,数据库为SQL数据库进行说明,则上述镜像数据库协议流量即为图5中的镜像SQL流量,上述镜像超文本传输协议流量即为图5中的镜像http流量。
[0130]具体的,如图7所示,为基于图6所示信息处理系统的信息处理方法的流程图。为便于描述,本示例中以数据库为SQL数据库进行说明。
[0131]步骤1:客户端是指安装在网络终端51的客户端,客户端触发业务请求(该业务请求是符合超文本传输协议的请求),并发送至WEB服务器。
[0132]步骤2:中间件中处理业务请求的类触发关联插件生成具有唯一性的关联标识并存储;
[0133]步骤3:中间件中处理业务请求的类(即业务请求处理类)触发SQL语句,关联插件在中间件的处理SQL的类中部署的SQL探针将关联标识追加到SQL语句中。
[0134]步骤4:通过底层SQL驱动,中间件的处理SQL的类(S卩SQL处理类)将数据库流量发送至数据库服务器。
[0135]步骤5:数据库服务器执行SQL语句并向WEB服务器中的中间件的处理业务请求的类返回执行结果。
[0136]步骤6:重复执行步骤3-步骤5,直至同一批次(即由同一线程处理)的SQL语句执行完毕;
[0137]步骤7:关联插件在中间件的处理业务请求的类中部署的HTTP探针将关联标识追加到超文本传输协议应答(即http应答)中,并将追加关联标识后的超文本传输协议应答发送给客户端。
[0138]如图8所示,为WEB服务器中中间件的一种示例图。
[0139]其中,WEB协议类即为图7中WEB服务器的中间件的处理业务请求的类,SQL协议类即为图7中WEB服务器的中间件的处理SQL的类。
[0140]发明人基于本发明实施例提供的关联插件进行了实验,其中,关联插件选用的版本为Drelate JEB服务器的一些参数指标为:红帽企业版Linux服务器发布版5.5(64位)(Red Hat Enterprise Linux Server release 5.5(64bit))、Weblogic(Oracle公司出品的WEB服务器)10.2版本;实验中,Weblogic设置的 JVM( Java Virtual Machine,Java虚拟机)参数为:_server_Xms 2048M-Xmx 2048MaxPermSize 512M0
[0141]数据库服务器为oraclelOg。
[ΟΙ42]未开启插件时,80并发用户业务执行时间为13.565秒
[0143]开启插件时,80并发用户业务执行时间为14.002秒
[0144]使用本发明实施例提供的插件后,平均每个用户时间消耗仅增加0.0055秒,基本上可以忽略不计。
[0145]本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
[0146]所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0147]在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
[0148]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0149]另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
[0150]所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(R0M,Read-0nly Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0151]对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
【主权项】
1.一种信息处理方法,其特征在于,包括: 当监测到超文本传输协议请求时,生成与所述超文本传输协议请求对应的具有唯一性的关联标识; 当监测到基于所述超文本传输协议请求触发的数据库操作语句时,将所述关联标识追加到所述数据库操作语句中。2.根据权利要求1所述的方法,其特征在于,所述将所述关联标识追加到所述数据库操作语句中包括: 将所述关联标识以注释方式追加到所述数据库操作语句中。3.根据权利要求1所述的方法,其特征在于,还包括: 当监测到与所述超文本传输协议请求对应的超文本传送协议应答时,将所述关联标识追加到所述超文本传送协议应答中。4.根据权利要求3所述的方法,其特征在于,所述将所述关联标识追加到所述超文本传送协议应答中包括: 将所述关联标识以自定义字段的方式追加到所述超文本传送协议应答中。5.根据权利要求1所述的方法,其特征在于,所述当获取到超文本传输协议请求时,生成与所述超文本传输协议请求对应的具有唯一,性的关联标识包括: 当获取到超文本传输协议请求时,获取系统时钟时间; 基于所述系统时钟时间和自增长数值进行哈希运算,得到与所述超文本传输协议请求对应的具有唯一性的关联标识。6.根据权利要求1、2或5所述的方法,其特征在于,还包括: 当接收到数据库审计请求时,获取镜像数据库协议流量; 对所述镜像数据库协议流量进行数据库协议解析及关联标识解析; 基于解析得到的关联标识进行信息关联。7.根据权利要求3或4所述的方法,其特征在于,还包括: 当接收到数据库审计请求时,获取待审计的流量,所述待审计的流量包括镜像超文本传送协议流量和镜像数据库协议流量; 对所述镜像超文本传输协议流量进行超文本传输协议解析及关联标识解析,并对所述镜像数据库协议流量进行数据库协议解析及关联标识解析; 基于解析得到的关联标识进行信息关联。8.一种关联插件,其特征在于,包括: 关联标识生成模块,用于当监测到超文本传输协议请求时,生成与所述超文本传输协议请求对应的具有唯一性的关联标识; 第一关联模块,用于当监测到基于所述超文本传输协议请求触发的数据库操作语句时,将所述关联标识追加到所述数据库操作语句中。9.根据权利要求8所述的关联插件,其特征在于,所述第一关联模块包括: 第一追加单元,用于当监测到基于所述超文本传输协议请求触发的数据库操作语句时,将所述关联标识以注释方式追加到所述数据库操作语句中。10.根据权利要求8所述的关联插件,其特征在于,还包括: 第二关联模块,用于当监测到与所述超文本传输协议请求对应的超文本传送协议应答时,将所述关联标识追加到所述超文本传送协议应答中。11.根据权利要求10所述的关联插件,其特征在于,所述第二关联模块包括: 第二追加单元,用于当监测到基于所述超文本传输协议请求触发的超文本传送协议应答时,将所述关联标识以自定义字段的方式追加到所述超文本传送协议应答中。12.根据权利要求8所述的关联插件,其特征在于,所述关联标识生成模块包括: 获取单元,用于当获取到超文本传输协议请求时,获取系统时钟时间; 运算单元,用于基于所述系统时钟时间和自增长数值进行哈希运算,得到与所述超文本传输协议请求对应的具有唯一性的关联标识。13.一种WEB服务器,其特征在于,部署有如权利要求8-12任意一项所述的关联插件。14.一种信息处理系统,其特征在于,包括:网络终端,与所述网络终端连接的第一交换机,与所述第一交换机连接的WEB服务器,与所述服务器连接的第二交换机,与所述第二交换机连接的数据库服务器;所述WEB服务器中部署有如权利要求8-12任意一项所述的关联插件。15.根据权利要求14所述的信息处理系统,其特征在于,还包括:分别与所述第一交换机和所述第二交换机连接的数据库审计设备; 若所述WEB服务器中部署有如权利要求8、9或12所述的关联插件,则所述数据库审计设备用于,当接收到数据库审计请求时,从所述第二交换机获取的镜像数据库协议流量,对所述镜像数据库协议流量进行数据库协议解析及关联标识解析,基于解析得到的关联标识进行信息关联; 若所述WEB服务器中部署有如权利要求10或11所述的关联插件,则所述数据库审计设备用于,当接收到数据库审计请求时,获取待审计的流量,所述待审计的流量包括从所述第一交换机获取的镜像超文本传送协议流量和从所述第二交换机获取的镜像数据库协议流量,对所述镜像超文本传输协议流量进行超文本传输协议解析及关联标识解析,并对所述镜像数据库协议流量进行数据库协议解析及关联标识解析,基于解析得到的关联标识进行信息关联。
【文档编号】H04L29/08GK106021576SQ201610379919
【公开日】2016年10月12日
【申请日】2016年5月31日
【发明人】姜天宇, 吴非, 吴一非
【申请人】北京启明星辰信息安全技术有限公司, 启明星辰信息技术集团股份有限公司