(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211010390.1 (22)申请日 2022.08.23 (71)申请人 浙江远望信息股份有限公司 地址 310000 浙江省杭州市滨江区丹 枫路 788号海越大厦15层 (72)发明人 蒋行杰　傅如毅　王行奇　 (74)专利代理 机构 杭州中利知识产权代理事务 所(普通合伙) 33301 专利代理师 韩洪 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/02(2022.01) H04L 41/5061(2022.01) (54)发明名称 一种基于协议分析的数据库资产自动发现 方法 (57)摘要 本发明提出了一种基于协议分析的数据库 资产自动发现方法， 包括以下步骤： S1.由客户端 接受并执行服务器发来的策略， 通过npcap驱动 抓取网络流量包， 解包分析出网络层数据； S2.进 入传输层区分出t cp、 udp协议获取出源和目的端 口 信息 ， 解包到应 用层数据根据Mysql、 SqlServer、 Oracle各自网络协议的数据结构相 匹配； S3.利用组包和链路获取并记录用户从登 陆到登出过程中所有的操作信息。 通过客户端实 时分析网络流量对应用层Mysql、 SqlServer、 Oracle的识别， 利用链路获取用户登录登出过程 中所有的细致化操作。 在发生数据库安全事件 (例如数据篡改、 泄露)后为事件的追责定责提供 依据， 并且 可及时对数据库 操作的风险行为进行 实时告警。 权利要求书1页 说明书3页 附图1页 CN 115529161 A 2022.12.27 CN 115529161 A 1.一种基于协议分析的数据库资产自动发现方法， 其特 征在于： 包括以下步骤： S1.由客户端接受并执行服务器发来的策略， 通过npcap驱动抓取网络流量包， 解包分 析出网络层数据； S2.进入传输层区分出tcp、 udp协议获取出源和目的端口信息， 解包到应用层数据根据 Mysql、 SqlServer、 Oracle 各自网络协议的数据结构相匹配； S3.利用组包和链路获取并记录用户从登陆到登出 过程中所有的操作信息 。 2.如权利要求1所述的一种基于协议分析的数据库资产自动发现方法， 其特征在于： 步 骤S2具体包括以下步骤： a.通过OSI模型分析网络流量包， 依次从数据链路层判断是否为以太网头， 并获取源和 目的mac以及下一层协议类型； 若网络流 量是以太网头， 则转入步骤b； 否则， 返回步骤S1； b.根据步骤a获取的协议类型判断网络层 是否为IP/IPv6协议， 并分析出源和目的IP以 及下一层协议类型； 若协议类型 是IP/IPv6协议， 则转入步骤c； 否则， 返回步骤S1； c.根据步骤b获取的协议类型判断传输层 是否为TCP协议， 并分析出源和目的port以及 应用层长度， 把相关链路信息存储， 若协议类型是TCP协议， 则转入步骤d； 否则， 返回步骤 S1； d.检查并匹配应用层数据的数据库结构Mysql、 SqlS erver、 Oracle类型协议， 获取协议 版本以及所使用数据库的具体版本， 然后进入步骤S3 。 3.如权利要求2所述的一种基于协议分析的数据库资产自动发现方法， 其特征在于： 步 骤d中， 当用户登入时， 分析应用层数据利用逆向解密出账号密码， 登录过后所获取的解密 数据都以sql语句展现， 匹配相对应数据库名切换或表名称切换动作实时更新链路。 4.如权利要求1所述的一种基于协议分析的数据库资产自动发现方法， 其特征在于： 步 骤S1中， 所述网络层数据包括源mac、 目的mac、 源ip和目的ip。 5.如权利要求1所述的一种基于协议分析的数据库资产自动发现方法， 其特征在于： 步 骤S3中， 所述操作信息包括数据库登陆账号密码、 切换 数据库名、 增删改查和具体sql语句。 6.如权利要求1或5所述的一种基于协议分析的数据库资产自动发现方法， 其特征在 于： 步骤S 3中， 所述操作信息还包括用户指 定的不同敏感数据或预定义的敏感数据特征， 在 执行任务过程中对解析 出的数据进行自动识别， 并在发现敏感数据及时上报或告警。权　利　要　求　书 1/1 页 2 CN 115529161 A 2一种基于协议分析的数据库资产自动发现方 法 【技术领域】 [0001]本发明涉及数据安全的技术领域， 特别是一种基于协议分析的数据库资产自动发 现方法。 【背景技术】 [0002]随着信息化时代安全的到来， 数据库资产自动发现是任何商业和公共安全中最具 有战略性的的资产， 通常都保存着 重要的商业伙伴和客户消息。 由于数据库和用户众多， 合 法权限滥用或不法人员以及诸多人群的滥用会造成敏感数据集中泄露的风险， 对各政府、 企事业单位造成重大影响。 为了解决以上问题， 有必要提出针对一种基于协议分析 的数据 库资产自动发现方法， 用于对数据库操作行为进行细粒度以及精确性的方法。 【发明内容】 [0003]本发明的目的就是解决现有技术中的问题， 提出一种基于协议分析的数据库资产 自动发现方法， 能够实现用户从登入到 登出获取详细的操作行为以及敏感信息数据自动识 别， 从而更加精准分析用户操作。 [0004]为实现上述目的， 本发明提出了一种基于协议分析的数据库资产自动发现方法， 包括以下步骤： [0005]S1.由客户端接受并执行服务器发来的策略， 通过npcap驱动抓取网络流量包， 解 包分析出网络层数据； [0006]S2.进入传输层区分出tcp、 udp协议获取出源和目的端口信息， 解包到应用层数据 根据Mysql、 SqlServer、 Oracle 各自网络协议的数据结构相匹配； [0007]S3.利用组包和链路获取并记录用户从登陆到登出 过程中所有的操作信息 。 [0008]作为优选， 步骤S2具体包括以下步骤： [0009]a.通过OS I模型分析 网络流量包， 依次从数据链路层判断是否为以太网头， 并获取 源和目的mac以及下一层协议类型； 若网络流量是以太网头， 则转入步骤b； 否则， 返回步骤 S1； [0010]b.根据步骤a获取的协议类型判断网络层是否为IP/IPv6协议， 并分析出源和目的 IP以及下一层协议类型； 若协议类型 是IP/IPv6协议， 则转入步骤c； 否则， 返回步骤S1； [0011]c.根据步骤b获取的协议类型判断传 输层是否为TCP协议， 并分析出源和目的port 以及应用层长度， 把相关链路信息存储， 若协议类型是TCP协议， 则转入步骤d； 否则， 返回步 骤S1； [0012]d.检查并匹配应用层数据的数据库结构Mysql、 SqlServer(tds)、 Oracle(tns)类 型协议， 获取协议版本以及所使用数据库的具体版本， 然后进入步骤S3 。 [0013]作为优选， 步骤d中， 当用户登入时， 分析应用层数据利用逆向解密出账号密码， 登 录过后所获取的解密数据都以sql语句展现， 匹配相对应数据库名 切换或表名称切换动作 实时更新链路。说　明　书 1/3 页 3 CN 115529161 A 3