一种处理千兆以上网络在线数据库行为的筛选方法及设备的制作方法

专利名称：一种处理千兆以上网络在线数据库行为的筛选方法及设备的制作方法
技术领域：
本发明涉及数据库审计技术领域，特别是涉及一种处理千兆以上网络在线 数据库行为的筛选方法及设备。
背景技术：
随着信息系统业务的不断发展，数据库系统应用范围越来越广，企业的账 务数据、贸易记录、工程数据等均需要利用大量的数据库资源。
由于数据库的作用和影响越来越大，企业数据库信息安全面临的安全威胁 日渐明显。近年来不断发生的重要敏感数据被窃取、篡改问题，已经引起各方 面的高度重视，成为迫切需要解决的问题。
信息系统的基础网络规模也在不断的扩大，从过去的百兆网络，逐渐已经 基本实现千兆网络，而万兆网络已经出现在信息化系统之中。在百兆网络中一 些用户基本可实现对大量的数据库行为进行审计分析，但如果保持在高数据量 的信息化系统网络中，高效的处理数据库操作流量将是技术难点。
由于目前许多用户的业务系统网络中，主机、网络设备、安全设备、应用、 中间件、数据库越来越多，实效性要求越来越高。所以对网络带宽的要求也随 之提高。对未来出现的网络环境实际数据通迅量超过一定的流量时，在线数据 库审计的筛选设备要求会更高。但目前来说以现有的在线数据库审计的筛选设 备不能满足此现状。现有技术实现百兆网络中低数据流在线数据库操作行为筛
选设备的组网结构示意图如图1所示，筛选设备包括数据采集装置1-D-A和数 据筛选装置1-D-B，在线数据库操作行为是由管理人员卜C通过网络设备l-B操 作数据库1-A完成的，数据采集装置1-D-A从网络设备l-B镜像(或复制)一份镜像数据发送给数据筛选装置1-D-B，数据筛选装置l-D-B接收数据采集装置 1-D-A转发来的数据进行筛选处理。由于现在筛选方法或设备的实现过程中，是 针对目前100M/1000M理论背景流量，而实现起来则只有600M以下流量。倘若 背景网络流量超过千兆或达到万兆以上，那在上述数据采集装置l-D-A接收镜 像数据步骤中就存在一定的数据流丢失，丢失率在30%以上。而数据筛选装置 1-D-B接收从数据采集装置l-D-A发送的数据时也存在处理溢出的风险，此时数 据溢出与硬件处理及软件算法成反比。
以目前的数据库行为筛选方法或设备实现千兆流量的数据筛选时，要使得 因采集大数据流不增加丢包率，保证数据流能够及时的进行数据的筛选，理论 上需要提高硬件配置，以资源换取数据才能确保完整性，这样就大幅增加了成 本；而在万兆网络情况下，以目前的硬件水平根本无法实现。

发明内容
本发明针对上述现有技术的不足，提供了一种可以处理千兆以上网络环境 中提取数据库行为的筛选方法及设备，采用该方法及设备可大大减少因采集大 数据流而产生的丢包率，保证能够对数据流进行及时有效的数据库行为的筛 选，而且安全可靠、对网络没有任何影响，并且无需提高硬件配置，降低了成 本。
本发明的技术方案是这样实现的
一种处理千兆以上网络在线数据库行为的筛选方法，其包括下列步骤 A， 复制一份网络流量； B， 对网络数据进行分流处理；D， 根据分流数据进行识别筛选，提取数据库操作行为的数据，丢弃非数 据库操作行为的数据。 作为优选，所述方法具体包括以下步骤
A， 一级数据采集装置复制一份网络流量发给数据分流处理装置；
B， 数据分流处理装置接收所有发送过来的网络流量，等待数据流分配；
C， 准备对数据流理行高效分配，同时询问二级数据采集装置是否空闲；
D， 依次判断每个二级数据采集装置是否空闲，若空闲，则将数据流分配 发送给空闲的二级采集数据装置；
E， 二级采集数据装置对发送来的分流数据进行缓存，等待数据识别筛选 装置空闲时发送；
F， 数据识别筛选装置对接收的分流数据进行应用协议分析、识别筛选， 提取数据库操作行为数据，丢弃非数据库操作行为的数据。
作为优选，所述的复制网络流量的步骤是由端口镜像或分光计分光的方法 完成。
作为优选，筛选装置是根据所述网络流量中的应用层数据库协议特征对其 进行识别。
一种处理千兆以上网络在线数据库行为的筛选设备，所述的筛选设备是以 旁路连接的方式连接网络设备，所述筛选设备包括
一级数据采集装置，用于将网络设备中的网络流量复制一份发给数据分流 处理装置；
数据分流处理装置，用于接收一级数据采集装置发送的网络流量，根据所 述网络流量的实际大小，进行分流处理，将每组分流数据分别转发给若干个二级数据采集装置；
二级数据采集装置，用于接收到数据分流处理装置所发送过来的数据流；
数据识别筛选装置，用于接收所述二级数据采集装置发送的数据流，根据 网络流量中的应用层数据库协议，筛选出数据流中的数据库操作行为数据，丢 弃非数据库操作行为的数据。
作为优选，所述的一级、二级数据采集装置为分光计或具有端口镜像功能 的网络设备。
作为优选，所述的二级数据采集装置与数据识别筛选装置的数量相同。 采用了上述技术方案的本发明具有的有益效果是由于本发明处理千兆以
上网络的在线数据库行为筛选方法是将筛选设备通过以旁路方式连接到网络设 备，需要到达目标端的真实网络流量并不经过筛选设备，因此不会对网络中的 数据流量转发性能造成影响，也不会给网络带来延迟。即使此筛选设备发生故 障，也只是对网络中数据库操作行为的数据采集产生影响，而不会造成网络中 断。此外，最重要的是本发明在处理千兆以上实际网络环境中，使用数据分流 处理装置对网络流量进行有效的分配，分流处理装置用于处理分配大数据流的 工作，并将分配的数据流发送给多个空闲的二级数据采集装置，再由二级数据 采集装置发给对应个数的数据识别筛选装置，每个数据识别筛选装置可独立对
分流数据进行筛选；从而由当前千兆以下筛选设备的集中、独立的工作方法， 转换为多层次、分布式的筛选识别方法，大大减少了丢包率，保证能够对数据 流进行及时有效的数据库行为的筛选。


图1为现有技术中筛选设备与网络设备的组网结构示意图； 图2为本发明的筛选设备与网络设备的组网结构示意图；图3为为本发明中数据库操作行为数据筛选设备的结构示意图； 图4为本发明的筛选设备工作的总体流程图； 图5为本发明的筛选设备工作的详细流程图。
具体实施例方式
本发明的具体实施方式
如下
实施例如图2、图3所示，本发明的在线数据库操作行为是由管理人员
2-C通过网络设备2-B操作数据库2-A完成的， 一种处理千兆以上网络在线数据
库行为的筛选设备，包括有
一级数据采集装置2-D-A，用于将网络设备2-B中的网络流量复制(或镜像) 一份发给数据分流处理装置2-D-B;
数据分流处理装置2-D-B，用于接收一级数据采集装置2-D-A发送的网络流 量，并根据所述网络流量的实际大小，进行分流处理，将每组分流数据分别转 发给每个二级数据采集装置2-D-C;
3个二级数据采集装置2-D-C，用于接收到数据分流处理装置2-D-B所发送 过来的数据流；
与二级数据采集装置2-D-C数量相同的3个数据识别筛选装置2-D-D，每个 数据识别筛选装置2-D-D均分别对应连接每个二级数据采集装置2-D-C，用于接 收所述二级数据采集装置2-D-C发送的数据流，根据网络流量中的应用层数据 库协议，解密协议内容，筛选出数据流中的数据库操作行为数据，丢弃非数据 库操作行为的数据；
所述的一级数据采集装置2-D-A、 二级数据采集装置2-D-C为分光计或具有 端口镜像功能的网络设备， 一级数据采集装置2-D-A复制网络流量是由端口镜 像或分光计分光的方法完成的；所述的数据分流处理装置2-D-B为数据分流探测器，其型号为LogBase-DS1000-2;所述的数据识别筛选装置2_D_D为数据识 别探测器，其型号采用LogBase-DR100-A。
一种处理千兆以上网络在线数据库行为的筛选方法，如图4所示，其总体 包括下列歩骤 '
步骤4-A，复制一份网络流量； 步骤4-B，对网络数据进行分流处理； 步骤4-C，接收网络分流的处理数据；
步骤4-D，根据分流数据进行识别筛选，提取数据库操作行为的数据，丢弃
非数据库操作行为的数据。
具体步骤如图5所示，具体过程如下
步骤5-A， 一级数据采集装置2-D-A复制一份网络流量发给数据分流处理装 置2-D-B;
步骤5-B，数据分流处理装置2-D-B接收所有发送过来的网络流量，等待下 一步的数据流分配；
步骤5-C，准备对数据流理行高效分配，同时询问二级数据采集装置2-D-C 是否空闲；
步骤5-D，依次判断每个二级数据采集装置2-D-C是否空闲，若空闲，则将 数据流分配发送给空闲的二级采集数据装置2-D-C;
步骤5-E， 二级采集数据装置2-D-C对发送来的分流数据进行缓存，等待数 据识别筛选装置2-D-D空闲时发送；
步骤5-F，数据识别筛选装置2-D-D对接收的分流数据进行数据库应用协议 分析、识别筛选，提取数据库操作行为数据，丢弃非数据库操作行为的数据。 过程结束。
权利要求
1、一种处理千兆以上网络在线数据库行为的筛选方法，其特征是包括下列步骤A，复制一份网络流量；B，对网络数据进行分流处理；C，接收网络分流的处理数据；D，根据分流数据进行识别筛选，提取数据库操作行为的数据，丢弃非数据库操作行为的数据。
2、 根据权利要求1所述的一种处理千兆以上网络在线数据库行为的筛选方 法，其特征是所述方法具体包括以下步骤A， 一级数据采集装置复制一份网络流量发给数据分流处理装置； B， 数据分流处理装置接收所有发送过来的网络流量，等待数据流分配； C， 准备对数据流理行高效分配，同时询问二级数据采集装置是否空闲； D， 依次判断每个二级数据采集装置是否空闲，若空闲，则将数据流分配发送给空闲的二级采集数据装置； E， 二级采集数据装置对发送来的分流数据进行缓存，等待数据识别筛选装置空闲时发送；F， 数据识别筛选装置对接收的分流数据进行应用协议分析、识别筛选， 提取数据库操作行为数据，丢弃非数据库操作行为的数据。
3、 根据权利要求1或2所述的一种处理千兆以上网络在线数据库行为的筛选 方法，其特征是所述的复制网络流量的歩骤是由端口镜像或分光计分光 的方法完成。
4、 根据权利要求2所述的一种处理千兆以上网络在线数据库行为的筛选方法，其特征是筛选装置是根据所述网络流量中的应用层数据库协议特征对其 进行识别。
5、 .种处理千兆以上网络在线数据库行为的筛选设备，其特征是所述的筛选 设备是以旁路连接的方式连接网络设备，所述筛选设备包括一级数据采集装置，用于将网络设备中的网络流量复制一份发给数据分流处 理装置；数据分流处理装置，用于接收一级数据采集装置发送的网络流量，根据所述 网络流量的实际大小，进行分流处理，将每组分流数据分别转发给若干个二 级数据采集装置；二级数据采集装置，用于接收到数据分流处理装置所发送过来的数据流；数据识别筛选装置，用于接收所述二级数据采集装置发送的数据流，根据网 络流量中的应用层数据库协议，筛选山数据流中的数据库操作行为数据，丢 弃非数据库操作行为的数据。
6、 根据权利要求5所述的-一种处理千兆以上网络在线数据库行为的筛选设备， 其特征是所述的一级、二级数据采集装置为分光计或具有端口镜像功能 的网络设备。
7、 根据权利要求5或6所述的一种处理千兆以上网络在线数据库行为的筛选 设备，其特征是所述的二级数据采集装置与数据识别筛选装置的数量相 同。
全文摘要
本发明公开了一种处理千兆以上网络在线数据库行为的筛选方法及设备，筛选方法包括复制一份网络流量，对网络数据进行分流处理，接收网络分流的处理数据，根据分流数据进行识别筛选，提取数据库操作行为的数据，丢弃非数据库操作行为的数据；筛选设备是以旁路连接的方式连接网络设备，包括有依次连接的一级数据采集装置，数据分流处理装置，二级数据采集装置，数据识别筛选装置。采用了上述方法及设备的本发明可大大减少因采集大数据流而产生的丢包率，保证能够对数据流进行及时有效的数据库行为的筛选，而且安全可靠、对网络没有任何影响，并且无需增加硬件配置，降低了成本。
文档编号H04L12/24GK101494555SQ20081016321
公开日2009年7月29日 申请日期2008年12月15日 优先权日2008年12月15日
发明者武 卢, 章寒冰, 江 钱 申请人:丽水电业局