数据库安全检测方法、装置、设备及存储介质.pdf
《数据库安全检测方法、装置、设备及存储介质.pdf》由会员分享,可在线阅读,更多相关《数据库安全检测方法、装置、设备及存储介质.pdf(17页完成版)》请在专利查询网上搜索。
1、(19)国家知识产权局(12)发明专利申请(10)申请公布号 (43)申请公布日 (21)申请号 202310313000.6(22)申请日 2023.03.15(71)申请人 平安壹钱包电子商务有限公司地址 518000 广东省深圳市福田区福田街道福华路319号兆邦基金融大厦26层2606单元(72)发明人 王均(74)专利代理机构 深圳市赛恩倍吉知识产权代理有限公司 44334专利代理师 林丽纯(51)Int.Cl.G06F 21/57(2013.01)G06F 21/60(2013.01)(54)发明名称数据库安全检测方法、装置、设备及存储介质(57)摘要本发明涉及金融科技,提供一种数据。
2、库安全检测方法、装置、设备及存储介质。该方法采集终端设备对待测数据库的查询请求,基于终端设备的设备信息筛选出目标请求,基于配置管理数据库中存储的敏感字段,从目标请求中的查询字段中筛选出待检测字段,基于待检测字段在待测数据库中的数据量,对敏感数据进行检测,得到检测结果,根据检测结果能够快速生成待测数据库的验证结果。此外,本发明还涉及区块链技术,所述验证结果可存储于区块链中。权利要求书2页 说明书12页 附图2页CN 116502228 A2023.07.28CN 116502228 A1.一种数据库安全检测方法,其特征在于,所述数据库安全检测方法包括:响应于安全检测请求,采集终端设备对待测数据库。
3、的查询请求;基于所述终端设备的设备信息,从所述查询请求中筛选出目标请求;基于配置管理数据库中存储的敏感字段,从所述目标请求中的查询字段中筛选出待检测字段;基于所述待检测字段在所述待测数据库中的数据量,对所述待测数据库中与所述待检测字段所对应的敏感数据进行检测,得到检测结果;根据所述检测结果生成所述待测数据库的验证结果。2.如权利要求1所述的数据库安全检测方法,其特征在于,所述设备信息包括所述终端设备的设备地址,所述基于所述终端设备的设备信息,从所述查询请求中筛选出目标请求包括:从所述配置管理数据库中获取权限地址;基于所述权限地址,从多个所述设备地址中筛选出目标地址;获取所述目标地址所对应的终端。
4、设备发送所述查询请求的设备接口信息;根据预设通信接口信息,从所述设备接口信息中筛选出目标接口信息;将所述目标接口信息的终端设备所发出的查询请求确定为所述目标请求。3.如权利要求1所述的数据库安全检测方法,其特征在于,所述基于配置管理数据库中存储的敏感字段,从所述目标请求中的查询字段中筛选出待检测字段包括:从所述配置管理数据库中获取所述待测数据库的备库信息;根据所述备库信息及预设敏感标签生成查询指令;运行所述查询指令,得到所述敏感字段;基于预设字段标签,从所述目标请求中解析出所述查询字段;比较所述查询字段与所述敏感字段;将与所述敏感字段相同的查询字段确定为所述待检测字段。4.如权利要求1所述的数。
5、据库安全检测方法,其特征在于,所述基于所述待检测字段在所述待测数据库中的数据量,对所述待测数据库中与所述待检测字段所对应的敏感数据进行检测,得到检测结果包括:获取所述待检测字段在所述待测数据库中所对应的信息作为所述敏感数据;统计所述敏感数据的总量作为所述数据量;若所述数据量大于预设阈值,则基于预设比例及所述数据量,对所述敏感数据进行抽样,得到抽样数据;检测所述抽样数据是否成功加密,得到所述检测结果。5.如权利要求4所述的数据库安全检测方法,其特征在于,在统计所述敏感数据的总量作为所述数据量之后,所述数据库安全检测方法还包括:根据所述预设阈值、第一配置比例、第二配置比例及预设偏差值生成配置数值,。
6、所述第一配置比例大于所述第二配置比例;若所述数据量小于所述配置数值,则检测所述敏感数据是否成功加密,所述预设阈值大于所述配置数值。6.如权利要求4所述的数据库安全检测方法,其特征在于,所述检测所述抽样数据是否权利要求书1/2 页2CN 116502228 A2成功加密,得到所述检测结果包括:获取与所述待检测字段所对应的字段格式;将所述抽样数据的数据格式与所述字段格式进行比较;若所述数据格式均与所述字段格式不同,则基于所述终端设备对所述待检测字段的字段解密算法,对所述抽样数据进行解密处理,得到所述终端设备对所述抽样数据的解密数据;比较所述解密数据与所述抽样数据的实际数据;若存在与所述实际数据相同。
7、的解密数据,则将该解密数据所对应的抽样数据的检测结果确定为预设结果。7.如权利要求6所述的数据库安全检测方法,其特征在于,所述根据所述检测结果生成所述待测数据库的验证结果包括:基于多个所述检测结果的结果数量,对所述检测结果进行随机采样,得到采样结果;若所述采样结果中包括所述预设结果,则将所述验证结果确定为所述待测数据库存在安全漏洞;或者若多个所述采样结果均不包括所述预设结果,则将所述验证结果确定为所述待测数据库不存在安全漏洞。8.一种数据库安全检测装置,其特征在于,所述数据库安全检测装置包括:采集单元,用于响应于安全检测请求,采集终端设备对待测数据库的查询请求;筛选单元,用于基于所述终端设备的。
8、设备信息,从所述查询请求中筛选出目标请求;所述筛选单元,还用于基于配置管理数据库中存储的敏感字段,从所述目标请求中的查询字段中筛选出待检测字段;检测单元,用于基于所述待检测字段在所述待测数据库中的数据量,对所述待测数据库中与所述待检测字段所对应的敏感数据进行检测,得到检测结果;生成单元,用于根据所述检测结果生成所述待测数据库的验证结果。9.一种电子设备,其特征在于,所述电子设备包括:存储器,存储有计算机可读指令;及处理器,执行所述存储器中存储的计算机可读指令以实现如权利要求1至7中任意一项所述的数据库安全检测方法。10.一种计算机可读存储介质,其特征在于:所述计算机可读存储介质中存储有计算机可。
9、读指令,所述计算机可读指令被电子设备中的处理器执行以实现如权利要求1至7中任意一项所述的数据库安全检测方法。权利要求书2/2 页3CN 116502228 A3数据库安全检测方法、装置、设备及存储介质技术领域0001本发明涉及安全技术领域,尤其涉及一种数据库安全检测方法、装置、设备及存储介质。背景技术0002在金融科技领域中,基于安全需求,通常会对数据库中的敏感字段信息进行加密处理,但是敏感字段信息是否加密成功,以及,加密之后的密文是否符合安全要求,是十分有必要进行检测的。0003目前在对数据库的安全检测方案中,通常是采用正则匹配算法对数据库中的表数据进行全量检测,然而,当数据库存储有巨量数据。
10、时,这种方式会造成数据库中的数据无法及时进行验证,从而造成无法及时发现数据库中的安全漏洞。发明内容0004鉴于以上内容,有必要提供一种数据库安全检测方法、装置、设备及存储介质,能够解决无法及时发现数据库中的安全漏洞的技术问题。0005一方面,本发明提出一种数据库安全检测方法,所述数据库安全检测方法包括:0006响应于安全检测请求,采集终端设备对待测数据库的查询请求;0007基于所述终端设备的设备信息,从所述查询请求中筛选出目标请求;0008基于配置管理数据库中存储的敏感字段,从所述目标请求中的查询字段中筛选出待检测字段;0009基于所述待检测字段在所述待测数据库中的数据量,对所述待测数据库中与。
11、所述待检测字段所对应的敏感数据进行检测,得到检测结果;0010根据所述检测结果生成所述待测数据库的验证结果。0011根据本发明优选实施例,所述设备信息包括所述终端设备的设备地址,所述基于所述终端设备的设备信息,从所述查询请求中筛选出目标请求包括:0012从所述配置管理数据库中获取权限地址;0013基于所述权限地址,从多个所述设备地址中筛选出目标地址;0014获取所述目标地址所对应的终端设备发送所述查询请求的设备接口信息;0015根据预设通信接口信息,从所述设备接口信息中筛选出目标接口信息;0016将所述目标接口信息的终端设备所发出的查询请求确定为所述目标请求。0017根据本发明优选实施例,所述。
12、基于配置管理数据库中存储的敏感字段,从所述目标请求中的查询字段中筛选出待检测字段包括:0018从所述配置管理数据库中获取所述待测数据库的备库信息;0019根据所述备库信息及预设敏感标签生成查询指令;0020运行所述查询指令,得到所述敏感字段;0021基于预设字段标签,从所述目标请求中解析出所述查询字段;说明书1/12 页4CN 116502228 A40022比较所述查询字段与所述敏感字段;0023将与所述敏感字段相同的查询字段确定为所述待检测字段。0024根据本发明优选实施例,所述基于所述待检测字段在所述待测数据库中的数据量,对所述待测数据库中与所述待检测字段所对应的敏感数据进行检测,得到检。
13、测结果包括:0025获取所述待检测字段在所述待测数据库中所对应的信息作为所述敏感数据;0026统计所述敏感数据的总量作为所述数据量;0027若所述数据量大于预设阈值,则基于预设比例及所述数据量,对所述敏感数据进行抽样,得到抽样数据;0028检测所述抽样数据是否成功加密,得到所述检测结果。0029根据本发明优选实施例,在统计所述敏感数据的总量作为所述数据量之后,所述数据库安全检测方法还包括:0030根据所述预设阈值、第一配置比例、第二配置比例及预设偏差值生成配置数值,所述第一配置比例大于所述第二配置比例;0031若所述数据量小于所述配置数值,则检测所述敏感数据是否成功加密,所述预设阈值大于所述配。
14、置数值。0032根据本发明优选实施例,所述检测所述抽样数据是否成功加密,得到所述检测结果包括:0033获取与所述待检测字段所对应的字段格式;0034将所述抽样数据的数据格式与所述字段格式进行比较;0035若所述数据格式均与所述字段格式不同,则基于所述终端设备对所述待检测字段的字段解密算法,对所述抽样数据进行解密处理,得到所述终端设备对所述抽样数据的解密数据;0036比较所述解密数据与所述抽样数据的实际数据;0037若存在与所述实际数据相同的解密数据,则将该解密数据所对应的抽样数据的检测结果确定为预设结果。0038根据本发明优选实施例,所述根据所述检测结果生成所述待测数据库的验证结果包括:003。
15、9基于多个所述检测结果的结果数量,对所述检测结果进行随机采样,得到采样结果;0040若所述采样结果中包括所述预设结果,则将所述验证结果确定为所述待测数据库存在安全漏洞;或者0041若多个所述采样结果均不包括所述预设结果,则将所述验证结果确定为所述待测数据库不存在安全漏洞。0042另一方面,本发明还提出一种数据库安全检测装置,所述数据库安全检测装置包括:0043采集单元,用于响应于安全检测请求,采集终端设备对待测数据库的查询请求;0044筛选单元,用于基于所述终端设备的设备信息,从所述查询请求中筛选出目标请求;说明书2/12 页5CN 116502228 A50045所述筛选单元,还用于基于配置。
16、管理数据库中存储的敏感字段,从所述目标请求中的查询字段中筛选出待检测字段;0046检测单元,用于基于所述待检测字段在所述待测数据库中的数据量,对所述待测数据库中与所述待检测字段所对应的敏感数据进行检测,得到检测结果;0047生成单元,用于根据所述检测结果生成所述待测数据库的验证结果。0048另一方面,本发明还提出一种电子设备,所述电子设备包括:0049存储器,存储计算机可读指令;及0050处理器,执行所述存储器中存储的计算机可读指令以实现所述数据库安全检测方法。0051另一方面,本发明还提出一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可读指令,所述计算机可读指令被电子设备中的处。
17、理器执行以实现所述数据库安全检测方法。0052由以上技术方案可以看出,本申请通过所述终端设备的设备信息,能够准确的从所述查询请求中筛选出所述目标请求,进而通过所述敏感字段,从所述目标请求中的查询字段中筛选出待检测字段,能够合理的识别出需要进行安全检测的待检测字段,同时,减少了所述待检测字段的字段数量,避免对无关字段的检测,从而能够在避免影响所述待测数据库的验证结果的同时,提高所述验证结果的生成效率。同时,本申请通过与所述配置管理数据库联动,避免了人为配置带来的失误问题。此外,通过所述数据量采取不同方式对所述敏感数据进行检测,能够进一步确保所述验证结果的准确性的同时,进一步提高所述验证结果的生成。
18、效率,从而能够及时发现所述待测数据库中的安全漏洞。附图说明0053图1是本发明数据库安全检测方法的较佳实施例的流程图。0054图2是本发明数据库安全检测方法中配置管理数据库的示意图。0055图3是本发明数据库安全检测装置的较佳实施例的功能模块图。0056图4是本发明实现数据库安全检测方法的较佳实施例的电子设备的结构示意图。具体实施方式0057为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。0058如图1所示,是本发明数据库安全检测方法的较佳实施例的流程图。根据不同的需求,该流程图中步骤的顺序可以改变,某些步骤可以省略。0059所述数据库安全检测方法应用。
19、于一个或者多个电子设备中,所述电子设备是一种能够按照事先设定或存储的计算机可读指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程门阵列(FieldProgrammable Gate Array,FPGA)、数字信号处理器(Digital Signal Processor,DSP)、嵌入式设备等。0060所述电子设备可以是任何一种可与用户进行人机交互的电子产品,例如,个人计算机、平板电脑、智能手机、个人数字助理(Personal Digital Assistant。
20、,PDA)、游戏机、交说明书3/12 页6CN 116502228 A6互式网络电视(Internet Protocol Television,IPTV)、智能穿戴式设备等。0061所述电子设备也可以是服务器,所述服务器在网络中为其它客户机(如PC机、智能手机、ATM等终端甚至是火车系统等大型设备)提供计算或者应用服务。0062所述电子设备可以包括网络设备和/或用户设备。其中,所述网络设备包括,但不限于单个网络电子设备、多个网络电子设备组成的电子设备组或基于云计算(Cloud Computing)的由大量主机或网络电子设备构成的云。0063所述电子设备所在的网络包括,但不限于:互联网、广域网、。
21、城域网、局域网、虚拟专用网络(Virtual Private Network,VPN)等。0064101,响应于安全检测请求,采集终端设备对待测数据库的查询请求。0065在本发明的至少一个实施例中,所述安全检测请求可以在所述待测数据库有安全检测需求时触发生成,所述安全检测请求也可以在配置时刻上触发生成,例如,所述配置时刻可以是每周六早上等。所述安全检测请求携带有所述待测数据库的数据库标识。0066所述终端设备是指与所述电子设备相通信的用户设备,任意用户可以通过所述终端设备向所述电子设备发送请求。0067所述待测数据库是指有安全检测需求的数据库。0068所述查询请求是指所述终端设备向所述电子设备。
22、发送的基于所述待测数据库的请求。0069在本发明的至少一个实施例中,所述电子设备响应于安全检测请求,采集终端设备对待测数据库的查询请求包括:0070基于所述安全检测请求中携带的数据库标识定位出所述待测数据库;0071从所述待测数据库中获取所述终端设备的设备请求;0072基于查询标识,从所述设备请求中筛选出所述查询请求。0073其中,所述设备请求可以包括:向所述待测数据库写入数据的请求,向所述待测数据库查询数据的请求等等。0074所述查询标识用于指示对数据进行查询。0075通过所述数据库标识能够准确的定位出所述待测数据库,进而通过所述待测数据库能够准确并全面的获取到所述设备请求,通过所述查询标识。
23、,能够准确的筛选出所述查询请求。0076102,基于所述终端设备的设备信息,从所述查询请求中筛选出目标请求。0077在本发明的至少一个实施例中,所述设备信息包括所述终端设备的设备地址。0078所述目标请求是指所述设备地址不为权限地址,以及设备接口信息不为预设通信接口信息的终端设备所发出的查询请求。其中,所述权限地址是指对所述待测数据库中的某些字段具有查询权限的IP地址。所述设备接口信息是指发送所述查询请求的接口所对应的相关信息。0079在本发明的至少一个实施例中,所述电子设备基于所述终端设备的设备信息,从所述查询请求中筛选出目标请求包括:0080从配置管理数据库中获取权限地址;0081基于所述。
24、权限地址,从多个所述设备地址中筛选出目标地址;0082获取所述目标地址所对应的终端设备发送所述查询请求的设备接口信息;说明书4/12 页7CN 116502228 A70083根据预设通信接口信息,从所述设备接口信息中筛选出目标接口信息;0084将所述目标接口信息的终端设备所发出的查询请求确定为所述目标请求。0085其中,所述配置管理数据库中存储有多个数据库的具体信息,以及对所述多个数据库具有相关权限的地址信息等。如图2所示,是本发明数据库安全检测方法中配置管理数据库的示意图。在图2中,所述配置管理数据库中敏感字段包括:姓名、身份证号、手机号码、住址,所述配置管理数据库中权限地址包括地址1、地。
25、址2、地址3、地址4。0086所述目标地址是指除所述权限地址外的设备地址。0087所述预设通信接口信息是指能够与所述电子设备直接连接的接口所对应的信息。例如,所述预设通信接口信息可以是通信电线的接口信息等。0088所述目标接口信息是指除所述预设通信接口信息外的设备接口信息。0089通过结合所述权限地址及所述预设通信接口信息,能够剔除掉对所述待测数据库具有特定查询权限的查询请求,从而准确的定位出所述目标请求。0090具体地,所述电子设备将所述设备接口信息不为所述预设通信接口信息的终端设备所发出的查询请求确定为所述目标请求。0091通过上述实施方式,由于具有所述预设通信接口信息的终端设备通常具有查。
26、询所述待测数据库的特定查询权限,因此,通过所述预设通信接口信息与所述设备接口信息的比较,能够合理的识别出所述目标请求。0092103,基于所述配置管理数据库中存储的敏感字段,从所述目标请求中的查询字段中筛选出待检测字段。0093在本发明的至少一个实施例中,所述敏感字段是指泄漏后可能会给社会或个人带来严重危害的数据字段。所述敏感字段可以包括个人隐私数据,如姓名、身份证号码、住址、电话等。0094所述查询字段是指所述目标请求中所携带的数据字段。0095所述待检测字段是指与所述敏感字段相同的查询字段。0096在本发明的至少一个实施例中,所述电子设备基于所述配置管理数据库中存储的敏感字段,从所述目标请。
27、求中的查询字段中筛选出待检测字段包括:0097从所述配置管理数据库中获取所述待测数据库的备库信息;0098根据所述备库信息及预设敏感标签生成查询指令;0099运行所述查询指令,得到所述敏感字段;0100基于预设字段标签,从所述目标请求中解析出所述查询字段;0101比较所述查询字段与所述敏感字段;0102将与所述敏感字段相同的查询字段确定为所述待检测字段。0103其中,所述备库信息是指所述待测数据库的备用数据库的相关库信息。0104所述预设敏感标签用于指示所述敏感字段。0105所述预设字段标签用于指示所述数据字段。0106通过结合所述备库信息生成所述查询指令,能够从所述待测数据库的备用数据库中获。
28、取所述敏感字段,避免所述待测数据库被占用而影响所述待测数据库的运行,通过比较所述查询字段与所述敏感字段,能够准确的从所述查询字段中查询出所述待检测字段。0107104,基于所述待检测字段在所述待测数据库中的数据量,对所述待测数据库中与说明书5/12 页8CN 116502228 A8所述待检测字段所对应的敏感数据进行检测,得到检测结果。0108在本发明的至少一个实施例中,所述数据量是指所述敏感数据的总量。0109所述敏感数据是指所述待检测字段在所述待测数据库中所对应的信息。0110所述检测结果可以包括,但不限于:预设结果等,其中,所述预设结果指示所述待检测字段具有泄露风险。0111在本发明的至。
29、少一个实施例中,所述电子设备基于所述待检测字段在所述待测数据库中的数据量,对所述待测数据库中与所述待检测字段所对应的敏感数据进行检测,得到检测结果包括:0112获取所述待检测字段在所述待测数据库中所对应的信息作为所述敏感数据;0113统计所述敏感数据的总量作为所述数据量;0114若所述数据量大于预设阈值,则基于预设比例及所述数据量,对所述敏感数据进行抽样,得到抽样数据;0115检测所述抽样数据是否成功加密,得到所述检测结果。0116其中,所述预设阈值及所述预设比例可以根据实际需求设定,例如,所述预设阈值可以是100000,所述预设比例可以是1。0117所述抽样数据的总数量为所述预设比例与所述数。
30、据量的乘积的取整值。所述抽样数据是从所述敏感数据中随机抽样获得的。0118通过上述实施方式,当所述数据量大于预设阈值,说明所述敏感数据的数据量庞大,因此,通过对所述敏感数据进行抽样,能够降低检测效率,从而提高所述检测结果的生成效率。同时,通过对所述敏感数据进行随机抽样,也能保证所述检测结果的准确性。0119在其他实施例中,所述电子设备从所述待测数据库的备用数据库中获取所述敏感数据,并在所述备用数据库中对所述敏感数据进行抽样。0120通过上述实施方式,能够避免对所述待测数据库的执行线程的占用,从而避免对所述待测数据库的影响。0121具体地,所述电子设备检测所述抽样数据是否成功加密,得到所述检测结。
31、果包括:0122获取与所述待检测字段所对应的字段格式;0123将所述抽样数据的数据格式与所述字段格式进行比较;0124若所述数据格式均与所述字段格式不同,则基于所述终端设备对所述待检测字段的字段解密算法,对所述抽样数据进行解密处理,得到所述终端设备对所述抽样数据的解密数据;0125比较所述解密数据与所述抽样数据的实际数据;0126若存在与所述实际数据相同的解密数据,则将该解密数据所对应的抽样数据的检测结果确定为预设结果。0127其中,所述字段解密算法是指所述终端设备中所存储的对所述待检测字段的解密方式。0128所述实际数据是指所述抽样数据所对应的非加密数据。0129通过上述实施方式,当所述数据。
32、格式均与所述字段格式不同时,说明所述抽样数据已经完成加密,通过所述字段解密算法对所述抽样数据进行解密,进而通过比较所述解密数据与所述抽样数据的实际数据,当存在与所述实际数据相同的解密数据,说明所述抽说明书6/12 页9CN 116502228 A9样数据已被成功破解,进而说明所述抽样数据所对应的待检测字段存在泄露风险,本实施例通过结合两种比较方式,能够提高所述检测结果的生成准确性。0130在本发明的至少一个实施例中,在统计所述敏感数据的总量作为所述数据量之后,所述数据库安全检测方法还包括:0131根据所述预设阈值、第一配置比例、第二配置比例及预设偏差值生成配置数值,所述第一配置比例大于所述第二。
33、配置比例;0132若所述数据量小于所述配置数值,则检测所述敏感数据是否成功加密,所述预设阈值大于所述配置数值。0133其中,所述第一配置比例、所述第二配置比例及所述预设偏差值可以根据实际需求生成。0134本实施例中,在所述数据量小于所述配置数值时,说明所述敏感数据的数据量较小,因此,通过对所述敏感数据的全量检测,能够在不影响检测效率的前提下,提高所述检测结果的生成准确性。0135具体地,所述配置数值的生成公式为:0136y2a2xb;01370138其中,y2表示所述配置数值,y1表示所述预设阈值,a1表示所述第一配置比例,a2表示所述第二配置比例,b表示所述预设偏差值。0139通过所述预设阈。
34、值、所述第一配置比例、所述第二配置比例及所述预设偏差值,能够合理的生成所述配置数值。0140105,根据所述检测结果生成所述待测数据库的验证结果。0141需要强调的是,为进一步保证上述验证结果的私密和安全性,上述验证结果还可以存储于一区块链的节点中。0142在本发明的至少一个实施例中,所述验证结果是指所述待测数据库的安全漏洞检测结果,所述验证结果可以包括,但不限于:所述待测数据库存在安全漏洞、所述待测数据库不存在安全漏洞。0143在本发明的至少一个实施例中,所述电子设备根据所述检测结果生成所述待测数据库的验证结果包括:0144基于多个所述检测结果的结果数量,对所述检测结果进行随机采样,得到采样。
35、结果;0145若所述采样结果中包括所述预设结果,则将所述验证结果确定为所述待测数据库存在安全漏洞;或者0146若多个所述采样结果均不包括所述预设结果,则将所述验证结果确定为所述待测数据库不存在安全漏洞。0147通过对所述多个检测结果的进一步采样,能够进一步提高所述验证结果的生成效率,同时,通过随机方式对所述多个检测结果的采样,能够确保所述验证结果的准确性。0148由以上技术方案可以看出,本申请通过所述终端设备的设备信息,能够准确的从所述查询请求中筛选出所述目标请求,进而通过所述敏感字段,从所述目标请求中的查询说明书7/12 页10CN 116502228 A10字段中筛选出待检测字段,能够合理。
36、的识别出需要进行安全检测的待检测字段,同时,减少了所述待检测字段的字段数量,避免对无关字段的检测,从而能够在避免影响所述待测数据库的验证结果的同时,提高所述验证结果的生成效率。同时,本申请通过与所述配置管理数据库联动,避免了人为配置带来的失误问题。此外,通过所述数据量采取不同方式对所述敏感数据进行检测,能够进一步确保所述验证结果的准确性的同时,进一步提高所述验证结果的生成效率,从而能够及时发现所述待测数据库中的安全漏洞。0149如图3所示,是本发明数据库安全检测装置的较佳实施例的功能模块图。所述数据库安全检测装置11包括采集单元110、筛选单元111、检测单元112及生成单元113。本发明所称。
37、的模块/单元是指一种能够被处理器13所获取,并且能够完成固定功能的一系列计算机可读指令段,其存储在存储器12中。在本实施例中,关于各模块/单元的功能将在后续的实施例中详述。0150采集单元110,用于响应于安全检测请求,采集终端设备对待测数据库的查询请求;0151筛选单元111,用于基于所述终端设备的设备信息,从所述查询请求中筛选出目标请求;0152所述筛选单元111,还用于基于配置管理数据库中存储的敏感字段,从所述目标请求中的查询字段中筛选出待检测字段;0153检测单元112,用于基于所述待检测字段在所述待测数据库中的数据量,对所述待测数据库中与所述待检测字段所对应的敏感数据进行检测,得到检。
38、测结果;0154生成单元113,用于根据所述检测结果生成所述待测数据库的验证结果。0155在本发明的至少一个实施例中,所述设备信息包括所述终端设备的设备地址,所述筛选单元111,还用于从所述配置管理数据库中获取权限地址;0156基于所述权限地址,从多个所述设备地址中筛选出目标地址;0157获取所述目标地址所对应的终端设备发送所述查询请求的设备接口信息;0158根据预设通信接口信息,从所述设备接口信息中筛选出目标接口信息;0159将所述目标接口信息的终端设备所发出的查询请求确定为所述目标请求。0160通过结合所述权限地址及所述预设通信接口信息,能够剔除掉对所述待测数据库具有特定查询权限的查询请求。
39、,从而准确的定位出所述目标请求。0161具体地,所述筛选单元111,还用于将所述设备接口信息不为所述预设通信接口信息的终端设备所发出的查询请求确定为所述目标请求。0162通过上述实施方式,由于具有所述预设通信接口信息的终端设备通常具有查询所述待测数据库的特定查询权限,因此,通过所述预设通信接口信息与所述设备接口信息的比较,能够合理的识别出所述目标请求。0163在本发明的至少一个实施例中,所述筛选单元111,还用于从所述配置管理数据库中获取所述待测数据库的备库信息;0164根据所述备库信息及预设敏感标签生成查询指令;0165运行所述查询指令,得到所述敏感字段;0166基于预设字段标签,从所述目标。
40、请求中解析出所述查询字段;0167比较所述查询字段与所述敏感字段;说明书8/12 页11CN 116502228 A110168将与所述敏感字段相同的查询字段确定为所述待检测字段。0169通过结合所述备库信息生成所述查询指令,能够从所述待测数据库的备用数据库中获取所述敏感字段,避免所述待测数据库被占用而影响所述待测数据库的运行,通过比较所述查询字段与所述敏感字段,能够准确的从所述查询字段中查询出所述待检测字段。0170在本发明的至少一个实施例中,所述检测单元112,还用于获取所述待检测字段在所述待测数据库中所对应的信息作为所述敏感数据;0171统计所述敏感数据的总量作为所述数据量;0172若所。
41、述数据量大于预设阈值,则基于预设比例及所述数据量,对所述敏感数据进行抽样,得到抽样数据;0173检测所述抽样数据是否成功加密,得到所述检测结果。0174通过上述实施方式,当所述数据量大于预设阈值,说明所述敏感数据的数据量庞大,因此,通过对所述敏感数据进行抽样,能够降低检测效率,从而提高所述检测结果的生成效率。同时,通过对所述敏感数据进行随机抽样,也能保证所述检测结果的准确性。0175在其他实施例中,所述检测单元112,还用于从所述待测数据库的备用数据库中获取所述敏感数据,并在所述备用数据库中对所述敏感数据进行抽样。0176通过上述实施方式,能够避免对所述待测数据库的执行线程的占用,从而避免对所。
42、述待测数据库的影响。0177在本发明的至少一个实施例中,在统计所述敏感数据的总量作为所述数据量之后,所述生成单元113,还用于根据所述预设阈值、第一配置比例、第二配置比例及预设偏差值生成配置数值,所述第一配置比例大于所述第二配置比例;0178所述检测单元112,还用于若所述数据量小于所述配置数值,则检测所述敏感数据是否成功加密,所述预设阈值大于所述配置数值。0179本实施例中,在所述数据量小于所述配置数值时,说明所述敏感数据的数据量较小,因此,通过对所述敏感数据的全量检测,能够在不影响检测效率的前提下,提高所述检测结果的生成准确性。0180具体地,所述配置数值的生成公式为:0181y2a2xb。
43、;01820183其中,y2表示所述配置数值,y1表示所述预设阈值,a1表示所述第一配置比例,a2表示所述第二配置比例,b表示所述预设偏差值。0184通过所述预设阈值、所述第一配置比例、所述第二配置比例及所述预设偏差值,能够合理的生成所述配置数值。0185在本发明的至少一个实施例中,所述检测单元112,还用于获取与所述待检测字段所对应的字段格式;0186将所述抽样数据的数据格式与所述字段格式进行比较;0187若所述数据格式均与所述字段格式不同,则基于所述终端设备对所述待检测字段的字段解密算法,对所述抽样数据进行解密处理,得到所述终端设备对所述抽样数据的解密数据;说明书9/12 页12CN 11。
44、6502228 A120188比较所述解密数据与所述抽样数据的实际数据;0189若存在与所述实际数据相同的解密数据,则将该解密数据所对应的抽样数据的检测结果确定为预设结果。0190通过上述实施方式,当所述数据格式均与所述字段格式不同时,说明所述抽样数据已经完成加密,通过所述字段解密算法对所述抽样数据进行解密,进而通过比较所述解密数据与所述抽样数据的实际数据,当存在与所述实际数据相同的解密数据,说明所述抽样数据已被成功破解,进而说明所述抽样数据所对应的待检测字段存在泄露风险,本实施例通过结合两种比较方式,能够提高所述检测结果的生成准确性。0191在本发明的至少一个实施例中,所述生成单元113,还。
45、用于基于多个所述检测结果的结果数量,对所述检测结果进行随机采样,得到采样结果;0192若所述采样结果中包括所述预设结果,则将所述验证结果确定为所述待测数据库存在安全漏洞;或者0193若多个所述采样结果均不包括所述预设结果,则将所述验证结果确定为所述待测数据库不存在安全漏洞。0194通过对所述多个检测结果的进一步采样,能够进一步提高所述验证结果的生成效率,同时,通过随机方式对所述多个检测结果的采样,能够确保所述验证结果的准确性。0195由以上技术方案可以看出,本申请通过所述终端设备的设备信息,能够准确的从所述查询请求中筛选出所述目标请求,进而通过所述敏感字段,从所述目标请求中的查询字段中筛选出待。
46、检测字段,能够合理的识别出需要进行安全检测的待检测字段,同时,减少了所述待检测字段的字段数量,避免对无关字段的检测,从而能够在避免影响所述待测数据库的验证结果的同时,提高所述验证结果的生成效率。同时,本申请通过与所述配置管理数据库联动,避免了人为配置带来的失误问题。此外,通过所述数据量采取不同方式对所述敏感数据进行检测,能够进一步确保所述验证结果的准确性的同时,进一步提高所述验证结果的生成效率,从而能够及时发现所述待测数据库中的安全漏洞。0196如图4所示,是本发明实现数据库安全检测方法的较佳实施例的电子设备的结构示意图。0197在本发明的一个实施例中,所述电子设备1包括,但不限于,存储器12。
47、、处理器13,以及存储在所述存储器12中并可在所述处理器13上运行的计算机可读指令,例如数据库安全检测程序。0198本领域技术人员可以理解,所述示意图仅仅是电子设备1的示例,并不构成对电子设备1的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述电子设备1还可以包括输入输出设备、网络接入设备、总线等。0199所述处理器13可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integr。
48、ated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器13是所述电子设备1的运算核心和控制中心,利用各种接口和线路连接整个电子设备1的各个部分,及执行所述电子设备1的操作系统以及安装的各类应用程序、程序说明书10/12 页13CN 116502228 A13代码等。0200示例性的,所述计算机可读指令可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器12中,并。
49、由所述处理器13执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机可读指令段,该计算机可读指令段用于描述所述计算机可读指令在所述电子设备1中的执行过程。例如,所述计算机可读指令可以被分割成采集单元110、筛选单元111、检测单元112及生成单元113。0201所述存储器12可用于存储所述计算机可读指令和/或模块,所述处理器13通过运行或执行存储在所述存储器12内的计算机可读指令和/或模块,以及调用存储在存储器12内的数据,实现所述电子设备1的各种功能。所述存储器12可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声。
50、音播放功能、图像播放功能等)等;存储数据区可存储根据电子设备的使用所创建的数据等。存储器12可以包括非易失性和易失性存储器,例如:硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他存储器件。0202所述存储器12可以是电子设备1的外部存储器和/或内部存储器。进一步地,所述存储器12可以是具有实物形式的存储器,如内存条、TF卡(Transflash Card)等等。0203所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销。
- 内容关键字: 数据库 安全 检测 方法 装置 设备 存储 介质
链接地址:https://www.zhuanlichaxun.net/pdf/14246550.html