发明名称 |
数据库内容深度还原方法 |
摘要 |
本发明涉及一种数据库内容深度还原方法。本发明的还原方法通过以下步骤实现:(1)、预处理阶段;(2)、匹配阶段:预处理结束后,通知协议解析模块,该进程读取创建好的数据库操作流文件,一行一行的读取文件,调用kmt算法,解析该行中的真实数据库操作。本发明可以真实还原数据库操作过程,可有效监控数据库访问行为,准确掌握数据库系统的安全状态,及时发现违反数据库安全策略的事件并实时告警、记录,便于进行安全事件定位分析,事后追查取证,从而保障数据库安全,数据库内容被完全还原之后,还可以在现有基础上分析是否有违规关键词。 |
申请公布号 |
CN102693298A |
申请公布日期 |
2012.09.26 |
申请号 |
CN201210152807.8 |
申请日期 |
2012.05.17 |
申请人 |
西安交大捷普网络科技有限公司 |
发明人 |
陈晓兵;周静;何建锋 |
分类号 |
G06F17/30(2006.01)I;G06F21/00(2006.01)I |
主分类号 |
G06F17/30(2006.01)I |
代理机构 |
西安新思维专利商标事务所有限公司 61114 |
代理人 |
黄秦芳 |
主权项 |
一种数据库内容深度还原方法,其特征在于:所述的还原方法通过以下步骤实现:(1)、预处理阶段:将网卡设置为混杂模式,通过Libpcap进行循环抓包,Libpcap采用零拷贝技术把用户内存映射到内核中,抓取到的数据包通过链路层解码、协议层处理和流重组,将还原好的流写入文件,如果该条四元组链接30秒内没有新数据,则写入流文件结束,并且关闭该流文件,通知协议解析模块,还原流文件已经生成,可以读取流文件,分析每一行数据,获取是否有数据库操作语句,如果30秒内有新数据,先判断是否该四元组建立过文件,如果建立过文件,就将这些数据追加到已经建立文件的后面,如果没有建立文件,新建立文件;(2)、匹配阶段:预处理结束后,通知协议解析模块,该进程读取创建好的数据库操作流文件,一行一行的读取文件,调用kmt算法,解析该行中的真实数据库操作。 |
地址 |
710075 陕西省西安市高新区科技二路72号 |