一种云上数据库审计方法、装置和服务器

技术领域

本发明涉及数据库审计领域，特别是涉及一种云上数据库审计方法、装置和服务器。

背景技术

数据库审计(简称DBAudit)能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警，对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部数据库网络行为记录，提高数据资产安全。

传统数据库审计的架构，可以直接采用端口镜像或者插件引流的方式，将我们想要的得到的流量过滤到审计设备上，但是云上数据库对此做出了限制，我们无法通过以上的方式直接获取流量，从而无法对云上数据库进行审计。

发明内容

基于此，有必要针对上述技术问题，提供一种云上数据库审计方法、装置和服务器，能够实现对云上数据库的审计，从而保证云上数据库中数据的安全。

第一方面，本发明实施例提供了一种云上数据库审计方法，所述方法包括：

获取SQL审计日志；

获取保护对象配置信息的内容；

对所述SQL审计日志和所述保护对象配置信息的内容进行筛选，获得审计记录；

对所述审计记录进行规制匹配，获得新的审计记录；

将所述新的审计记录插入审计系统的数据库。

在一些实施例中，所述获取SQL审计日志，包括：

显示配置页面；

获取基于所述配置页面输入的注册信息；

根据所述注册信息调用API接口，获得SQL审计日志。

在一些实施例中，所述对所述SQL审计日志和所述保护对象配置信息的内容进行筛选，获得审计记录，包括：

基于相同的字段和/或IP地址，将所述SQL审计日志的内容与审计系统中保护对象配置的内容进行结合，获得审计记录。

在一些实施例中，所述基于IP地址，将所述SQL审计日志的内容与审计系统中保护对象配置的内容进行结合，获得审计记录之前，所述方法还包括：

对所述SQL审计日志内容的字段进行字符分割，获取主机地址字段。

在一些实施例中，所述基于IP地址，将所述SQL审计日志的内容与审计系统中保护对象配置的内容进行结合，获得审计记录，包括：

将所述主机地址字段与IP地址进行比对；

若所述主机地址字段与IP地址一致，则将所述SQL审计日志的内容和保护对象配置的内容进行结合，获得审计记录。

在一些实施例中，所述基于相同的字段，将所述SQL审计日志的内容与审计系统中保护对象配置的内容进行结合，获得审计记录，包括：

将所述SQL审计日志内容的字段与保护对象配置的内容的字段进行比对；

若一致，则将所述SQL审计日志的字段对应的内容与审计系统中保护对象配置的字段对应的内容进行结合，获得审计记录。

在一些实施例中，所述对所述审计记录进行规制匹配，获得新的审计记录，包括：

将所述审计记录与规则引擎调用的规则进行匹配，以填充所述审计记录中的字段，获得新的审计记录。

第二方面，本发明实施例还提供了一种云上数据库审计装置，包括：

第一获取模块，用于获取SQL审计日志；

第二获取模块，用于获取保护对象配置信息的内容；

筛选模块，用于对所述SQL审计日志和所述保护对象配置信息的内容进行筛选，获得审计记录；

匹配模块，用于对所述审计记录进行规制匹配，获得新的审计记录；

插入模块，用于将所述新的审计记录插入审计系统的数据库。

第三方面，本发明实施例还提供了一种服务器，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令

被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述云上数据库审计方法。

第四方面，本发明实施例还提供了一种非易失性计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，当所述计算机可执行指令被处理器所执行时，使所述处理器执行上述云上数据库审计方法。

与现有技术相比，本发明的有益效果是：区别于现有技术的情况，本发明实施例中的云上数据库审计方法、装置和服务器，通过采用SQL洞察的方式将日志分离出来，然后将SQL审计日志结合保护对象配置信息的内容进行筛选，生成符合审计设备的审计记录，然后通过后台程序对审计记录进行规则匹配，获得新的审计记录，最后将新的审计记录插库，由此能够实现对云上数据库的审计，从而保证云上数据库中数据的安全。

附图说明

一个或多个实施例通过与之对应的附图中的图片进行示例性说明，这些示例性说明并不构成对实施例的限定，附图中具有相同参考数字标号的元件表示为类似的元件，除非有特别申明，附图中的图不构成比例限制。

图1是本发明服务器的硬件结构示意图；

图2是本发明一个实施例中云上数据库审计方法的流程示意图；

图3是本发明一个实施例中云上数据库审计装置的结构框图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，如果不冲突，本发明实施例中的各个特征可以相互结合，均在本发明的保护范围之内。另外，虽然在装置示意图中进行了功能模块划分，在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于装置中的模块划分，或流程图中的顺序执行所示出或描述的步骤。再者，本发明所采用的“第一”、“第二”、“第三”等字样并不对数据和执行次序进行限定，仅是对功能和作用基本相同的相同项或相似项进行区分。

本发明实施例提供了一种服务器，请参阅图1所示，图1为本发明实施例提供的一种服务器的硬件结构图，其中，所述服务器100可以是任何类型，具备运算能力的设备，例如:审计服务器。

具体地，如图1所示，所述服务器100包括一个或者多个处理器102以及存储器104。图1中以一个处理器102为例。处理器102和存储器104可以通过总线或者其他方式连接，图1中以通过总线连接为例。

存储器104作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块，如本发明实施例中的云上数据库审计方法对应的程序、指令以及模块。处理器102通过运行存储在存储器104中的非易失性软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现下述实施例中的云上数据库审计方法。

存储器104可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据云上数据库审计装置使用所创建的数据等。此外，存储器104可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器104可选包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至云上数据库审计装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

如图2所示，本发明实施例提供了一种云上数据库审计方法，所述方法由服务器执行，所述方法包括：

步骤202，获取SQL审计日志。

在本发明实施例中，SQL审计日志存储于云上数据库，SQL审计日志也可以理解为SQL洞察日志，SQL审计日志里面记录了对数据库的所有操作。具体地，服务器获取云上数据库中的SQL审计日志。

在其中一些实施例中，作为步骤202的一种实现方式，包括：显示配置页面；获取基于所述配置页面输入的注册信息；根据所述注册信息调用API接口，获得SQL审计日志。

在本发明实施例中，若想要获取到SQL审计日志，需事先进行注册，注册信息为参数信息，包括但不限于秘钥ID、秘钥签名串、签名结果串、时间戳等，其中，秘钥ID类似于账户，秘钥签名串类似于密码，结果签名串类似于验证码。具体地，通过配置界面注册数据库洞察日志，然后会生成SDK代码，从而产生SQL审计日志，然后通过注册信息即参数信息调用API接口，从而获取到云上数据库中的SQL审计日志。

步骤204，获取保护对象配置信息的内容。

在本发明实施例中，保护对象配置信息存储于审计系统中，保护对象配置信息的内容包括但不限于保护对象的原始IP地址、保护对象的策略、保护对象的规则、端口以及数据库版本号等。具体地，服务器从审计系统获取保护对象配置信息的内容。

步骤206，对所述SQL审计日志和所述保护对象配置信息的内容进行筛选，获得审计记录。

在本发明实施例中，审计记录为符合审计设备的记录，审计记录是通过对所述SQL审计日志和所述保护对象配置信息的内容进行筛选得到的，但经过筛选得到的审计记录是不完整的审计记录文件，还需后续对所述审计记录进行处理。

在其中一些实施例中，作为步骤206的一种实现方式，包括：基于相同的字段和/或IP地址，将所述SQL审计日志的内容与审计系统中保护对象配置的内容进行结合，获得审计记录。

在本发明实施例中，审计记录的获得方式可以有多种，包括但不限于基于相同的字段和/或IP地址。其中，基于IP地址获得审计记录，将所述主机地址字段与IP地址进行比对；若所述主机地址字段与IP地址一致，则将所述SQL审计日志的内容和保护对象配置的内容进行结合，获得审计记录。具体地，服务器通过参数信息调用API接口后，会产生返回某种格式的返回内容，某种格式例如可以为jsson格式或者xml格式等，返回内容里包含SQL审计日志的内容的字段，然后利用字符串分割函数对SQL审计日志的内容的字段进行字符串分割，提取主机地址字段，然后将所述主机地址字段与保护对象的原IP地址进行比对，如果所述主机地址字段与保护对象的原IP地址相同，则将所述SQL审计日志的内容和保护对象配置的内容进行结合，组成一条审计记录。

另外，基于相同的字段获得审计记录，将所述SQL审计日志内容的字段与保护对象配置的内容的字段进行比对；若一致，则将所述SQL审计日志的字段对应的内容与审计系统中保护对象配置的字段对应的内容进行结合，获得审计记录。具体地，服务器通过参数信息调用API接口后，会产生返回某种格式的返回内容，某种格式例如可以为jsson格式或者xml格式等，返回内容里包含SQL审计日志的内容的字段，通过相同的字段，将SQL审计日志的字段对应的内容与审计系统中保护对象配置的字段对应的内容结合起来，形成一条适用于数据库审计服务器的审计记录。

步骤208，对所述审计记录进行规制匹配，获得新的审计记录。

在本发明实施例中，新的审计记录为完整的审计记录文件，新的审计记录包括原IP地址、原端口、操作语句、客户端主体信息、发生时间等，其中，客户端主体信息包括但不限于数据库名称、数据库访问工具、数据库账号等。具体地，当获得审计记录后，需要对审计记录进行规制匹配，才能够获得一条符合审计系统的审计记录。

在其中一些实施例中，作为步骤208的一种实现方式，包括:将所述审计记录与规则引擎调用的规则进行匹配，以填充所述审计记录中的字段，获得新的审计记录。

在本发明实施例中，新的审计记录必须为完整的审计记录，规则引擎调用的规则包括但不限于关键字、操作类型、规则生效时间以及规则白名单等。具体地，服务器将获得的审计记录与规则引擎调用的规则进行匹配，匹配的主要目的是再次填充所述审计记录，因为事先筛选得到的审计记录是不完整的，因此需要通过规则引擎对审计记录的某些字段进行判断，确定所述字段是否缺失一些内容，若存在缺失，则通过规则引擎调用规则对所述审计记录缺失的内容填充新的字段，以生成符合审计系统下的审计记录。示例性的，审计记录缺失关键字，则通过规则引擎调用关键字对审计记录进行填充，从而生成符合审计系统下的审计记录。

步骤210，将所述新的审计记录插入审计系统的数据库。

服务器将所述新的审计记录进行入库处理。

在本发明实施例中，通过采用SQL洞察的方式将日志分离出来，然后将SQL审计日志结合保护对象配置信息的内容进行筛选，生成符合审计设备的审计记录，然后通过后台程序对审计记录进行规则匹配，获得新的审计记录，最后将新的审计记录插库，由此能够实现对云上数据库的审计，从而保证云上数据库中数据的安全。

需要说明的是，在上述各个实施例中，上述各步骤之间并不必然存在一定的先后顺序，本领域普通技术人员，根据本发明实施例的描述可以理解，不同实施例中，上述各步骤可以有不同的执行顺序，亦即，可以并行执行，亦可以交换执行等等。

相应的，本发明实施例还提供了一种云上数据库审计装置300，如他3所示，包括：

第一获取模块302，用于获取SQL审计日志；

第二获取模块304，用于获取保护对象配置信息的内容；

筛选模块306，用于对所述SQL审计日志和所述保护对象配置信息的内容进行筛选，获得审计记录；

匹配模块308，用于对所述审计记录进行规制匹配，获得新的审计记录；

插入模块310，用于将所述新的审计记录插入审计系统的数据库。

本发明实施例提供的云上数据库审计装置，通过第一获取模块获取SQL审计日志，然后通过第二获取模块获取保护对象配置信息的内容，接着通过筛选模块对所述SQL审计日志和所述保护对象配置信息的内容进行筛选，获得审计记录，进一步地，通过匹配模块对所述审计记录进行规制匹配，获得新的审计记录，最后通过插入模块将所述新的审计记录插入审计系统的数据库，由此能够实现对云上数据库的审计，从而保证云上数据库中数据的安全。

可选的，在装置的其他实施例中，请参照图3所示，装置300还包括：

分割模块312，用于对所述SQL审计日志内容的字段进行字符分割，获取主机地址字段。

可选的，在装置的其他实施例中，第一获取模块302具体用于：

显示配置页面；

获取基于所述配置页面输入的注册信息；

根据所述注册信息调用API接口，获得SQL审计日志。

可选的，在装置的其他实施例中，筛选模块306具体用于：

基于相同的字段和/或IP地址，将所述SQL审计日志的内容与审计系统中保护对象配置的内容进行结合，获得审计记录。

将所述主机地址字段与IP地址进行比对；

若所述主机地址字段与IP地址一致，则将所述SQL审计日志的内容和保护对象配置的内容进行结合，获得审计记录。

将所述SQL审计日志内容的字段与保护对象配置的内容的字段进行比对；

若一致，则将所述SQL审计日志的字段对应的内容与审计系统中保护对象配置的字段对应的内容进行结合，获得审计记录。

可选的，在装置的其他实施例中，匹配模块308具体用于：

将所述审计记录与规则引擎调用的规则进行匹配，以填充所述审计记录中的字段，获得新的审计记录。

需要说明的是，上述云上数据库审计装置可执行本发明实施例提供的云上数据库审计方法，具备执行方法应用的功能模块和有益效果，未在本发明云上数据库审计装置实施例中详尽描述的技术细节，可参考本发明实施例提供的云上数据库审计方法。

本发明实施例还提供了一种非易失性计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令被一个或者多个处理器执行时，可使得上述一个或者多个处理器可执行上述任意方法实施例中的云上数据库审计方法。

本发明实施例的服务器以多种形式存在，包括但不限于:

(1)塔式服务器

一般的塔式服务器机箱和我们常用的PC机箱差不多，而大型的塔式机箱就要粗大很多，总的来说外形尺寸没有固定标准。

(2)机架式服务器

机架式服务器是由于满足企业的密集部署，形成的以19英寸机架作为标准宽度的服务器类型，高度则从1U到数U。将服务器放置到机架上，并不仅仅有利于日常的维护及管理，也可能避免意想不到的故障。首先，放置服务器不占用过多空间。机架服务器整齐地排放在机架中，不会浪费空间。其次，连接线等也能够整齐地收放到机架里。电源线和LAN线等全都能在机柜中布好线，可以减少堆积在地面上的连接线，从而防止脚踢掉电线等事故的发生。规定的尺寸是服务器的宽(48.26cm＝19英寸)与高(4.445cm的倍数)。由于宽为19英寸，所以有时也将满足这一规定的机架称为“19英寸机架”。

(3)刀片式服务器

刀片服务器是一种HAHD(High Availability High Density，高可用高密度)的低成本服务器平台，是专门为特殊应用行业和高密度计算机环境设计的，其中每一块“刀片”实际上就是一块系统母板，类似于一个个独立的服务器。在这种模式下，每一个母板运行自己的系统，服务于指定的不同用户群，相互之间没有关联。不过可以使用系统软件将这些母板集合成一个服务器集群。在集群模式下，所有的母板可以连接起来提供高速的网络环境，可以共享资源，为相同的用户群服务。

(4)云服务器

云服务器(Elastic Compute Service,ECS)是一种简单高效、安全可靠、处理能力可弹性伸缩的计算服务。其管理方式比物理服务器更简单高效，用户无需提前购买硬件，即可迅速创建或释放任意多台云服务器。云服务器的分布式存储用于将大量服务器整合为一台超级计算机，提供大量的数据存储和处理服务。分布式文件系统、分布式数据库允许访问共同存储资源，实现应用数据文件的IO共享。虚拟机可以突破单个物理机的限制，动态的资源调整与分配消除服务器及存储设备的单点故障,实现高可用性。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

通过以上的实施方式的描述，本领域普通技术人员可以清楚地了解到各实施方式可借助软件加通用硬件平台的方式来实现，当然也可以通过硬件。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读

存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；在本发明的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本发明的不同方面的许多其它变化，为了简明，它们没有在细节中提供；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。