[发明专利]Gbase数据库审计的信息解析方法

权利要求书

1.Gbase数据库审计的信息解析方法，包括，获取数据库与客户端的网络数据包，过滤得到指定端口的应用层报文，其特征在于，所述应用层报文的信息解析过程：

通过报文前两个字节的值，判断是否为客户端登录请求或SQL请求的内容；

对于登录请求，根据第三、四字节的值，并根据偏移字节数，分别解析得到资源账号与客户端程序名；对于登录请求的响应包，判断是否登录成功，若登录成功则解析得到相应的数据库实例名，若登录失败则解析结束；

对于SQL请求，根据偏移字节数，解析得到SQL请求语句的具体内容。

2.根据权利要求1所述的信息解析方法，其特征在于，还包括SQL请求影响行数的解析，先根据报文前两个字节的值，判断执行成功或失败；若为执行成功，则根据第三、四字节的值，判断响应数据包类型，并根据响应数据包类型分别解析得到对应的影响行数；若为执行失败，则解析结束。

3.根据权利要求2所述的信息解析方法，其特征在于，影响行数的解析还包括判断数据包是否为完整的响应包，若数据包是完整响应包，则根据其偏移规则解析得到影响行数；若数据包不完整，则将当前响应包与下一响应包进行组合，直至数据包被判断为完整响应包；

所述数据包是否完整，由数据包是否具有规定的end值确定。

4.根据权利要求1所述的信息解析方法，其特征在于，若报文的前两个字节的值为应用层的长度，判断响应内容是对客户端登录请求的响应；

继续获取第三、四字节的内容，解析为type值，根据type值确定数据包为登录请求包或登录响应包，并分别解析得到资源账号与客户端程序名，或数据库实例名。

5.根据权利要求4所述的信息解析方法，其特征在于，

若type值为0x013c，则获取（n+80）至（n+81）字节的内容作为整型数L1，对第（n+82）至（n+82+L1-1）字节的内容解析得到资源账号信息；根据“长度+内容”的结构，进一步解析得到客户端程序名；

若type值为0x023c，则判断客户端登录成功，进一步获取第（n+125）至（n+126）字节的内容作为整型数L2，对第（n+127）至（n+127+L2-1）字节的内容解析得到数据库实例名；

若type值为0x033c，则判断客户端登录失败，结束解析。

6.根据权利要求1所述的信息解析方法，其特征在于，若报文的前两个字节的值为0x0002，判断响应内容是客户端与数据库的交互；

固定偏移两个字节，获取第（n+5）至（n+8）字节的内容作为整型数L3，对第（n+9）至第（n+9+L3-1）的内容解析得到SQL语句的具体内容。

7.根据权利要求2所述的信息解析方法，其特征在于，影响行数的解析：若报文的前两个字节的值为0x0008，判断执行成功，继续获取第三、四字节的内容：若值为0x0002则判断数据包为对select语句的响应；若值为0x0006则判断数据包为对insert语句的响应；若值为0x0004则判断数据包为对update语句的响应；若值为0x0005则判断数据包为对delete语句的响应；

若报文的前两个字节的值为0x000d，判断执行失败，结束解析。

8.根据权利要求3或7所述的信息解析方法，其特征在于，对于select语句的响应数据包，获取下一个响应包及其应用层长度La，若前两个字节内容的值为0x000e，取该响应包的第（La-1）至La字节内容作为end值；

若end值为0x000c，判断该响应包为完整数据包，将第（La-23）至（La-20）字节的内容作为整型数，即为影响行数；

若end值非0x000c，判断当前响应包不完整，继续获取下一响应包及其应用层长度Lb，再次判断判断end值内容，直至end值为0x000c，则取第（Lb-23）至（Lb-20）字节的内容作为整型数，即为影响行数。

9.根据权利要求7所述的信息解析方法，其特征在于，

对于insert语句的响应数据包，获取下一个响应包，若前两个字节内容的值为0x005e，将第（n+3）至（n+4）字节的内容作为整型数，即为影响行数；

对于update或delete语句的响应数据包，获取下一个响应包，若前两个字节内容的值为0x000f，将第（n+5）至（n+8）字节的内容作为整型数，即为影响行数。