(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111582493.0 (22)申请日 2021.12.2 2 (71)申请人 杭州安恒信息技 术股份有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街18 8号 (72)发明人 牛自宾　范渊　刘博　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 代理人 刘珂 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/141(2022.01) H04L 69/16(2022.01) (54)发明名称 一种数据库本地审计方法、 装置、 设备及存 储介质 (57)摘要 本申请公开了一种数据库本地审计方法、 装 置、 设备及存储介质， 该方法包括： 获取流量信息 中的进程ID； 通过进 程ID向上迭代， 找 到ssh连接 目标机器的父进程； 根据父进程， 识别出访问源 地址和目标地址； 根据访问源地址和目标地址， 篡改流量中的源IP地址和目的IP地址， 并将篡改 后的流量回传至审计设备。 这样对于远程登录目 标机器， 在 目标机器本地操作的运维流量， 能够 识别访问源地址， 达到溯源的效果， 从而有效识 别运维的风险操作行为， 填补本地连接审计空 白。 权利要求书1页 说明书5页 附图1页 CN 114268496 A 2022.04.01 CN 114268496 A 1.一种数据库本地审计方法， 其特 征在于， 包括： 获取流量信息中的进程 ID； 通过所述进程 ID向上迭代， 找到s sh连接目标机器的父进程； 根据所述父进程， 识别出访问源地址和目标地址； 根据所述访问源地址和所述目标地址， 篡改流量中的源IP地址和目的IP地址， 并将篡 改后的流 量回传至审计设备。 2.根据权利要求1所述的数据库本地审计方法， 其特征在于， 在所述获取流量信 息中的 进程ID之前， 还 包括： 配置保护对象的信息； 抓取所述保护对象的流 量； 根据抓取到的流 量信息， 建立TCP  socket连接 。 3.根据权利要求2所述的数据库本地审计方法， 其特征在于， 所述建立TCP  socket连 接， 包括： 通过网络socket连接TCP 四元组； 所述TCP四元组包括源IP地址、 源端口， 目的IP地址， 目的端口。 4.根据权利要求3所述的数据库本地审计方法， 其特征在于， 所述通过所述进程ID向上 迭代， 包括： 通过所述进程 ID在具有 多个进程的树形 结构中向上迭代。 5.根据权利要求4所述的数据库本地审计方法， 其特征在于， 所述找到ssh连接目标机 器的父进程， 包括： 找到mysql工具 连接mysqld服 务的进程作为目标机器的父进程。 6.根据权利要求5所述的数据库本地审计方法， 其特征在于， 所述篡改流量中的源IP地 址和目的IP地址， 包括： 将所述TCP四元组中的源IP地址替换为所述访问源地址； 将所述TCP四元组中的目的IP地址替换为所述目标地址 。 7.一种数据库本地审计装置， 其特 征在于， 包括： 进程ID获取模块， 用于获取流 量信息中的进程 ID； 父进程查找模块， 用于通过 所述进程 ID向上迭代， 找到s sh连接目标机器的父进程； 地址识别模块， 用于根据所述父进程， 识别出访问源地址和目标地址； 地址篡改模块， 用于根据所述访 问源地址和所述目标地址， 篡改流量中的源IP地址和 目的IP地址， 并将篡改后的流 量回传至审计设备。 8.根据权利要求7 所述的数据库本地审计装置， 其特 征在于， 还 包括： 配置抓取模块， 用于配置保护对象的信 息； 抓取所述保护对象的流量； 根据抓取到的流 量信息， 建立TCP  socket连接 。 9.一种数据库本地审计设备， 其特征在于， 包括处理器和存储器， 其中， 所述处理器执 行所述存储器中存储的计算机程序时实现如权利要求1至6任一项所述的数据库本地审计 方法。 10.一种计算机可读存储介质， 其特征在于， 用于存储计算机程序， 其中， 所述计算机程 序被处理器执行时实现如权利要求1至 6任一项所述的数据库本地审计方法。权　利　要　求　书 1/1 页 2 CN 114268496 A 2一种数据库本地审 计方法、 装置、 设备及存储介质 技术领域 [0001]本发明涉及数据库运维领域， 特别是涉及一种数据库本地审计方法、 装置、 设备及 存储介质。 背景技术 [0002]目前， 常见的数据库运维方法是： 运维人员通过ssh登陆目标机器， 使用数据库自 带的客户端工具(比如： mysql服务的mysql工具， oracle服务的sqlplus工具)， 在本地连接 数据库服 务， 然后执 行一些运维操作。 [0003]假定运维人员本地的IP为192.168.1 .100， 目标数据库服务的IP地址为 192.168.1.200， 对于通过网络socket的本地连接， 比如连接mysql服务的命令为： mysql ‑ h127.0.0.1 ‑uroot‑pxxx， 流量代 理抓取到的流量是： 127.0.0.1到127.0.0.1的交互。 这种 情况下， 审计到的日志就是本地127.0.0.1对127.0.0.1的访问操作， 没有办法进行溯源， 潜 在的风险行为无法得到有效的监控和防御。 而站在用户的角度期望审计到192.168.1.100 对192.168.1.20 0的数据库访问。 [0004]因此， 如何解决上述本地连接的问题， 是本领域 技术人员亟 待解决的技 术问题。 发明内容 [0005]有鉴于此， 本 发明的目的在于提供一种数据库本地审计方法、 装置、 设备及存储介 质， 可以识别访问源地址， 达到溯源的效果， 从而有效识别运维的风险操作行为， 填补本地 连接审计空白。 其具体方案如下： [0006]一种数据库本地审计方法， 包括： [0007]获取流量信息中的进程 ID； [0008]通过所述进程 ID向上迭代， 找到s sh连接目标机器的父进程； [0009]根据所述父进程， 识别出访问源地址和目标地址； [0010]根据所述访问源地址和 所述目标地址， 篡改流量中的源IP地址和目的IP地址， 并 将篡改后的流 量回传至审计设备。 [0011]优选地， 在本发明实施例提供的上述数据库本地审计方法中， 在所述获取流量信 息中的进程 ID之前， 还 包括： [0012]配置保护对象的信息； [0013]抓取所述保护对象的流 量； [0014]根据抓取到的流 量信息， 建立TCP  socket连接 。 [0015]优选地， 在本发明实施例提供的上述数据库本地审计方法中， 所述建立TCP   socket连接， 包括： [0016]通过网络socket 连接TCP四元组； 所述TCP四元组包括源IP地址、 源端口， 目的IP地 址， 目的端口。 [0017]优选地， 在本发明实施例提供的上述数据库本地审计方法中， 所述通过所述进程说　明　书 1/5 页 3 CN 114268496 A 3