工业实时数据库的审计方法、装置、电子设备及存储介质与流程

本技术涉及数据库审计，尤其涉及一种工业实时数据库的审计方法、装置、电子设备及存储介质。

背景技术：

1、数据库审计系统，是指对数据库的访问行为进行监管的系统。具体来说，就是对数据库的所有访问操作信息进行记录，例如：记录访问用户的网际互连协议(internetprotocol，ip)地址、账号、时间等，记录增、删、改、查等操作，记录访问的表、字段等对象。一方面，当数据库发生安全事件时，通过记录，能够为安全事件的定责提供依据。另一方面，当出现针对数据库操作的风险行为时，通过记录与安全规则的匹配，能够及时告警。

2、现有的数据库审计系统主要应用于关系型数据库。关系型数据库一般采用硬编码实现的标准协议，例如：sybase、sql sevrer等数据库采用tds协议，mariadb、drizzle、percona server等数据库采用mysql协议，以及采用硬编码实现的标准协议对应的应用层协议。现有的数据库审计系统只需要从针对关系型数据库操作的数据包中识别出应用层协议，根据应用层协议确定相应的硬编码实现的标准协议，进而通过确定的硬编码实现的标准协议对数据包进行解析，就能够获得访问操作信息，并将获得的访问操作信息存储在审计日志中，从而实现现有的数据库审计系统对关系型数据库的审计。

3、然而，对于各式各样的工业实时数据库，虽然采用的应用层协议是超文本传输协议，但是基于超文本传输协议的用户名传输方式、应用程序接口(applicationprogramming interface，api)的格式各不相同，同时api中承载的查询信息也不是sql语句，这就导致现有的数据库审计系统无法通过硬编码实现的标准协议对数据包进行解析，从而使得现有的数据库审计系统无法对工业实时数据库进行审计。

技术实现思路

1、本技术实施例的目的是提供一种工业实时数据库的审计方法、装置、电子设备及存储介质，以实现对工业实时数据库的审计。

2、为解决上述技术问题，本技术实施例提供如下技术方案：

3、本技术第一方面提供一种工业实时数据库的审计方法，所述方法包括：获取针对目标工业实时数据库操作的目标数据包；从所述目标数据包中提取目标特征；根据所述目标特征和数据库识别规则，确定所述目标工业实时数据库的类型；采用所述类型对应的数据库解析规则，从所述目标数据包中提取访问操作信息，并基于所述访问操作信息对所述目标工业实时数据库进行审计。

4、相较于现有技术，本技术第一方面提供的工业实时数据库的审计方法，在获取到针对工业实时数据库操作的数据包后，不再从数据包中识别应用层协议，而是根据数据包中的特征确定数据包操作的工业实时数据库的类型，进而根据类型对应的解析规则，对数据包进行解析，以获得数据包中的访问操作信息，从而基于访问操作信息对工业实时数据库进行审计。由于工业实时数据库的类型不同，对于针对工业实时数据库操作的数据包的解析规则也不同，通过针对不同类型的工业实时数据库的研究，发现并统计出各种类型的工业实时数据库对应的数据包的特征以及对数据包的解析规则，能够对任意数据包进行分析，确定数据库类型，从而确定相应的解析规则，并使用确定的解析规则对数据包进行解析，实现数据包中访问操作信息的获取，从而实现对于工业实时数据库的审计。

5、在本技术第一方面的一些变更实施方式中，所述目标特征包括请求方法名、统一资源定位(uniform resource location，url)特征、上传数据格式和用户名传递方式；所述根据所述目标特征和数据库识别规则，确定所述目标工业实时数据库的类型，包括：将所述请求方法名、url特征、上传数据格式和用户名传递方式与各种类型的工业实时数据库对应的数据库识别规则中的请求方法名、url特征、上传数据格式和用户名传递方式进行匹配；将匹配的请求方法名、url特征、上传数据格式和用户名传递方式对应的工业实时数据库的类型作为所述目标工业实时数据库的类型。

6、通过请求方法名、url特征、上传数据格式和用户名传递方式，能够唯一锁定工业实时数据库的类型，提高工业实时数据库类型确定的准确性，进而与各种类型的工业实时数据库的相应内容进行匹配，能够提高工业实时数据库类型确定的效率。

7、在本技术第一方面的一些变更实施方式中，当工业实时数据库的类型为infoplus.21时，对应的请求方法名为post，url特征为/sqlpluswebservice/sqlpluswebservice.asmx，上传数据格式为xml，用户名传递方式为authorization:basic；当工业实时数据库的类型为pi system时，对应的请求方法名为patch，url特征为analyses/{base64_encoded_string}，上传数据格式为json，上传数据格式对应的内容中包括name,categorynames,status，用户名传递方式为authorization:basic。

8、以infoplus.21和kepserverex类型为例，给出了两种常见类型的工业实时数据库类型及其特定的请求方法名、url特征、上传数据格式和用户名传递方式，数据包中的内容可以先进行这两种类型数据库的匹配，能够提高数据包匹配成功的效率。

9、在本技术第一方面的一些变更实施方式中，所述目标特征包括请求方法名、url特征、上传数据格式和用户名传递方式；所述从所述目标数据包中提取目标特征，包括：从所述目标数据包的首行数据中提取请求方法名；从所述目标数据包的url路径中的预设位置提取字符串，并将提取的字符串作为url特征；从所述目标数据包的消息头的content-type字段中提取字段内容，根据字段内容与上传数据格式的对应关系确定提取的字段内容对应的上传数据格式，并将确定的上传数据格式作为所述目标数据包的上传数据格式；从所述目标数据包的authenticate字段、get方法对应的url路径的参数或content-type字段对应的载荷内容中提取关键词，将所述关键词与认证特征关键词规则进行匹配，若匹配成功，则将匹配的关键词作为用户名传递方式。

10、在提取目标特征的过程中，通过首行数据提取请求方法名，通过url路径中的预设位置提取url特征，通过content-type字段内容与上传数据格式的对应关系提取上传数据格式，通过authenticate字段、get方法对应的url路径的参数或content-type字段对应的载荷内容提取用户名传递方式，分别给出了各个特征的具体提取方法，加快了目标特征的提取效率。

11、在本技术第一方面的一些变更实施方式中，所述数据库解析规则包括：url特征、信息提取方法、信息提取路径和操作信息模板；所述采用所述类型对应的数据库解析规则，从所述目标数据包中提取访问操作信息，包括：从所述目标数据包中提取url路径；判断所述url路径是否与所述数据库解析规则中的url特征匹配；若是，则按照所述数据库解析规则中的信息提取方法和信息提取路径，从所述目标数据包中提取操作信息，并将所述操作信息写入所述操作信息模板的变量中，得到所述访问操作信息。

12、在数据包与对应数据库解析规则的url路径匹配的情况下，再基于数据库解析规则中的信息提取方法和信息提取路径提取操作信息，避免使用错误的数据库解析规则进行操作信息的提取，提高操作信息提取的准确性，进而将提取的操作信息写入操作信息模板，以获得访问操作信息，使得操作信息便于审计人员读取。

13、在本技术第一方面的一些变更实施方式中，在基于所述访问操作信息对所述目标工业实时数据库进行审计之前，所述方法还包括：根据所述目标特征和所述数据库解析规则，确定所述目标数据包调用的api；所述基于所述访问操作信息对所述目标工业实时数据库进行审计，包括：基于所述访问操作信息和所述api，对所述目标工业实时数据库进行审计。

14、在获取访问操作信息的同时，还通过数据库解析规则和目标特征，获取相应的api，并与访问操作信息一起进行数据库审计，能够提高审计的覆盖面，提高审计的准确性。

15、在本技术第一方面的一些变更实施方式中，在基于所述访问操作信息对所述目标工业实时数据库进行审计之前，所述方法还包括：从所述目标数据包中获取操作时间、源ip地址、目的ip地址和用户名；所述基于所述访问操作信息对所述目标工业实时数据库进行审计，包括：基于所述访问操作信息、所述操作时间、源ip地址、目的ip地址和用户名，对所述目标工业实时数据库进行审计。

16、在获取访问操作信息的同时，还从目标数据包中获取操作时间、源ip地址、目的ip地址和用户名，并与访问操作信息一起进行数据库审计，能够提高审计的覆盖面，提高审计的准确性。

17、在本技术第一方面的一些变更实施方式中，在从所述目标数据包中提取目标特征之前，所述方法还包括：判断所述目标数据包与上一次获取的数据包是否属于同一数据流；若是，则将上一次获取的数据包对应的数据库类型作为所述目标工业实时数据库的类型；若否，则执行基于数据库识别规则从所述目标数据包中提取目标特征的步骤。

18、对于同一数据流下的数据包，只需在第一个数据包对应的数据库类型确定后，后续的数据包都可以按照该类型数据库对应的解析规则获取访问操作信息，提高访问操作信息的获取效率。

19、在本技术第一方面的一些变更实施方式中，在从所述目标数据包中提取目标特征之前，所述方法还包括：判断所述目标数据包是否能够表征一个访问操作行为；若是，则执行基于数据库识别规则从所述目标数据包中提取目标特征的步骤；若否，则将所述目标数据包存储于流重组表中，直到后续获取的数据包与所述目标数据包能够表征一个访问操作行为后，再基于数据库识别规则从所述目标数据包和后续获取的数据包中提取目标特征。

20、在获取到数据包后，先不直接通过数据包确定对应的数据库类型，而是先确定数据包是否能够构成一个完整会话，并在数据包不能够构成一个完整会话时，先将数据包暂存于流重组表，直到该数据包与其它数据包能够构成一个完整会话时，再基于这些数据包识别数据库类型，并采用相应类型的数据库解析规则提取访问操作信息等，这样，能够确保提取的用于审计的信息的完整性，进而提高数据库审计的准确性。

21、本技术第二方面提供一种工业实时数据库的审计装置，所述装置包括：采集模块，用于获取针对目标工业实时数据库操作的目标数据包；提取模块，用于基于数据库识别规则从所述目标数据包中提取目标特征；识别模块，用于根据所述目标特征识别所述目标工业实时数据库的类型；审计模块，用于采用所述类型对应的数据库解析规则，从所述目标数据包中提取访问操作信息，并基于所述访问操作信息对所述目标工业实时数据库进行审计。

22、本技术第三方面提供一种电子设备，所述电子设备包括：处理器、存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行第一方面中的方法。

23、本技术第四方面提供一种计算机可读存储介质，所述存储介质包括：存储的程序；其中，在所述程序运行时控制所述存储介质所在设备执行第一方面中的方法。

24、本技术第二方面提供的工业实时数据库的审计装置、第三方面提供的电子设备、第四方面提供的计算机可读存储介质，与第一方面提供的工业实时数据库的审计方法具有相同或相似的有益效果。