[发明专利]实现数据库操作数据引流的方法及其数据库防火墙系统

权利要求书

1.一种实现数据库操作数据引流的方法，其特征在于：所述的方法是通过动态库预装载，实现关键函数劫持，从而实现对数据库操作数据引流；

所述的引流是对进出数据库的数据流量进行引导与转发；引流处于应用层，是对业务逻辑数据进行的引流；具体包括如下步骤：

步骤1：实现包含针对数据库关键IO函数的劫持函数的动态链接库；

步骤2：使用所在平台提供的动态库预先链接机制，在启动数据库进程时让数据库预先链接含有劫持函数的动态链接库；

步骤3：在数据库进程启动后，劫持函数取代原来的关键IO函数并被数据库进程调用，使所有数据库IO流量都通过劫持函数；

步骤4：劫持函数开始对数据库访问流量进行引流和导向，通过IPC机制转发到外部的处理进程，从而实现对数据库流量的引导；引流方式支持串联与旁路两种模式。

2.根据权利要求1所述的方法，其特征在于：

所述的数据库关键IO函数，是从网络接收数据库操作指令和返回指令结果的函数，包括：TLS/SSL加密通信环境下，libssl.so/libssl.dll链接库的SSL_read()和SSL_write()函数。

3.根据权利要求1所述的方法，其特征在于：

所述的劫持函数是函数名称和形式参数与要劫持的函数完全一致的函数；劫持函数基于所在平台的动态库函数链接机制，在数据库进程启动的时候替换被劫持函数。

4.根据权利要求1所述的方法，其特征在于：

所述的预先链接机制是：在linux平台下，通过设置LD_PRELOAD环境变量指定动态链接库，让进程启动的时候首先链接指定的动态链接库；在windows平台下，通过配置动态库搜寻路径来指定和抢先动态链接库，实现对被替换动态库里的目标关键IO函数的劫持。

5.根据权利要求1所述的方法，其特征在于：

所述的IPC机制是进程间通信机制，取决于所在的操作系统平台；具有网络套接字机制、内存共享机制、消息队列机制；通过IPC机制将进出数据库的流量引导转发到数据库防火墙进程进行处理。

6.根据权利要求1所述的方法，其特征在于：

所述的串联模式是劫持函数等待防火墙返回处理结果才继续下一步，影响原来的流量处理流程；

所述的旁路模式是不等待防火墙处理结果就继续下一步处理，不影响原来的流量处理流程。

7.一种包含权利要求1-6任一项方法的数据库防火墙系统，其特征在于，所述的系统包括的功能模块有：流量收发模块、数据库协议解析模块、流量处理模块、记录及告警模块、控制及配置模块；

所述的流量收发模块，指的是基于IPC机制，与替换进数据库进程的动态库里面的劫持函数进行通信，收取数据库操作流量和返回处理结果的模块；

所述的数据库协议解析模块，用于识别和标准化不同数据库操作指令，以便于下一步处理；

所述的流量处理模块，是所述数据库防火墙的关键模块，它基于用户所设定的处理策略，对进入的数据库操作流量进行统计、拦截、修改、优化操作，实现数据库防火墙的核心职能；

所述的记录及告警模块，用于记录及输出防火墙的处理结果；

所述的控制及配置模块，用于提供控制配置功能及相关接口。