数据库安全管控方法、装置、电子设备和存储介质与流程

1.本发明涉及数据库技术领域，尤其涉及数据库安全管控方法、装置、电子设备和存储介质。


背景技术：

2.为了保障it系统的安全稳定，日常的数据库运维操作需要在专用堡垒机中进行，其中在事中环节对高风险/涉敏操作进行“金库管控”操作，即操作二次鉴权的安全管控，在事后环节对进行用户操作日志审计进行安全管控。
3.而在现阶段，it数据库运维的安全管控，通常需要对部署在堡垒机的各种数据库运维工具进行二次改造，在数据库运维工具未将sql指令转化成数据库专用通讯协议报文前，对用户执行操作进行拦截，对sql语句分析以达到事中环节安全管控的目的；同时对运维工具的操作日志记录进行审计，实现事后环节的安全管控。但是，随着近年来it云化，业务系统使用的数据库类型越来越多，导致数据库运维工具越来越多且版本快速更新迭代，采用原先方式的安全管控需要投入大量的成本针对每种数据库、每个数据库工具、每个版本进行二次开发。
4.正是由于依靠对各类数据库运维工具进行二次改造来实现安全管控，该方法在实际安全管控中存在如下问题：
5.1、需要针对各种数据库运维工具的各个版本进行二次开发，开发成本高，周期长。在it系统云化的新背景下，无法满足it快速支撑响应的要求；
6.2、对第三方数据库工具进行二次开发，通过代码注入方式，可能会影响数据库工具本身的稳定性，从而导致其在运行过程中出现异常错误，影响it运维工作。


技术实现要素：

7.本发明提供数据库安全管控方法、装置、电子设备和存储介质，用以解决现有技术中存在的缺陷。
8.第一方面，本发明提供数据库安全管控方法，包括：
9.通过数据库运维工具发送数据库运维指令，由数据库软交换对所述数据库运维指令进行安全管控后转发给数据库；
10.所述数据库软交换采用相似度循环分析算法模拟所述数据库，使所述数据库与所述数据库运维工具进行会话保活通讯；
11.调用操作系统内核，采用多线程机制和快速读写数据缓存队列进行并发网络流量采集分析。
12.在一个实施例中，所述通过数据库运维工具发送数据库运维指令，由数据库软交换对所述数据库运维指令进行安全管控后转发给数据库，具体包括：
13.所述数据库软交换收到所述数据库运维指令的指令报文后，通过协议解析还原sol指令，判断用户是否执行危险操作
14.若判断获知所述用户执行危险操作，则触发金库审批，否则直接转发所述指令报文至所述数据库。
15.在一个实施例中，所述若判断获知所述用户执行危险操作，则触发金库审批，否则直接转发所述指令报文至所述数据库，之后还包括：
16.记录对所述指令报文的操作，形成日志记录，基于所述日志记录进行安全审计。
17.在一个实施例中，所述数据库软交换采用相似度循环分析算法模拟所述数据库，使所述数据库与所述数据库运维工具进行会话保活通讯，具体包括：
18.采集所述数据库运维指令发出后的响应报文集合，获取所述响应报文集合中的若干报文；
19.选取所述若干报文中的任一报文，基于所述任一报文与其它报文的相似度，获得保活报文格式以及报文具体数值；
20.基于所述保活报文格式和所述报文具体数值，得到所述响应报文集合中使用频率最高的操作命令，根据所述使用频率最高的操作命令实现链路保活。
21.在一个实施例中，所述选取所述若干报文中的任一报文，基于所述任一报文与其它报文的相似度，获得保活报文格式以及报文具体数值，具体包括：
22.将所述任一报文与其它报文分别进行比对，由所述任一报文与其它任一报文的交集与所述任一报文与所述其它任一报文的并集之比，得到所述任一报文与所述其它任一报文的相似度，将所述任一报文与其它报文的所有相似度进行累加后求取平均值，得到所述任一报文的平均相似度；
23.逐一计算所述若干报文中与其它报文的相似度，并计算得到所有报文的平均相似度；
24.将所述所有报文的平均相似度进行排序后，筛选出具有前预设比例排序的报文集，重复前述计算步骤，直至筛选出不超过预设报文集个数的报文集；
25.对所述报文集的报文格式进行分析验证，得到所述保活报文格式和所述报文具体数值。
26.在一个实施例中，所述调用操作系统内核，采用多线程机制和快速读写数据缓存队列进行并发网络流量采集分析，具体包括：
27.与网卡建立直接通讯采集线程，获取原始流量报文，将所述原始流量报文转发给操作系统上层应用，由所述操作系统上层应用转发给所述数据库软交换；
28.将一个采集线程对应一个解析线程形成一个线程组，由多个线程组同时并行处理多个原始流量报文的处理；
29.给每个线程组分配具有预设容量的缓存队列空间，采用读写游标标记在缓存队列上进行循环操作，形成所述快速读写数据缓存队列。
30.在一个实施例中，所述给每个线程组分配具有预设容量的缓存队列空间，采用读写游标标记在数据缓存队列上进行循环操作，形成所述快速读写数据缓存队列，具体包括：
31.分别设置报文写入游标表示报文插入位置，报文读取游标表示报文读取位置；
32.将所有报文数据放入缓存中进行等待处理，根据所述报文写入游标将报文数据写入缓存，待当前插入操作完成后，所述报文写入游标自动向下移动一位，继续插入下一条报文数据；
33.根据所述报文读取游标读取当前位置上的报文数据并进行分析处理，待当前读取操作完成后，所述报文读取游标自动向下移动一位，继续读取下一条报文数据；
34.将数据缓存队列的最后一个位置的下一位位置指针指向所述数据缓存队列的第一个位置，基于所述报文写入游标和所述报文读取游标分别在所述数据缓存队列进行循环插入和读写，直至无报文数据插入且报文数据全部被读取。
35.第二方面，本发明还提供数据库安全管控装置，包括：
36.第一处理模块，用于通过数据库运维工具发送数据库运维指令，由数据库软交换对所述数据库运维指令进行安全管控后转发给数据库；
37.第二处理模块，用于所述数据库软交换采用相似度循环分析算法模拟所述数据库，使所述数据库与所述数据库运维工具进行会话保活通讯；
38.第三处理模块，用于调用操作系统内核，采用多线程机制和快速读写数据缓存队列进行并发网络流量采集分析。
39.第三方面，本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述数据库安全管控方法的步骤。
40.第四方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述数据库安全管控方法的步骤。
41.本发明提供的数据库安全管控方法、装置、电子设备和存储介质，通过针对数据库运维管控需要对各种数据库工具进行定制化开发的问题，通过数据库软交换实现数据库运维的集中管控，无需对数据库工具进行改造，同时解决了在指令触发金库审批等待期间维持数据库工具保活难题，调用操作系统内核、使用多线程及快速读写数据缓存队列提升流量处理能力，保证运维效率。
附图说明
42.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
43.图1是现有技术提供的数据库运维安全管控的业务处理流程示意图；
44.图2是本发明提供的数据库安全管控方法的流程示意图；
45.图3是本发明提供的数据库安全管控方法的业务处理流程示意图；
46.图4是本发明提供的数据库软交换整体业务架构图；
47.图5是本发明提供的相似度循环分析算法示意图；
48.图6是本发明提供的保活通讯报文格式示意图之一；
49.图7是本发明提供的保活报文格式中消息头和消息体的示意图；
50.图8是本发明提供的保活通讯报文格式示意图之二；
51.图9是本发明提供的多线程读写数据缓存队列的结构示意图；
52.图10是本发明提供的通过读写游标快速读写数据缓存队列的示意图；
53.图11是本发明提供的数据库安全管控装置的结构示意图；
54.图12是本发明提供的电子设备的结构示意图。
具体实施方式
55.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
56.针对现有数据库运维安全管控所面临的问题，本发明提出通过数据库软交换实现数据库运维安全管控，将现有对堡垒机上数据库运维工具植入的管控手段进行剥离，剥离后将管控手段后移至网络传输层，实现管控手段与数据库运维工具的解耦，再通过部署在网络层上的软交换实现数据库sol指令的还原和安全管控。
57.现有的业务处理流程如图1所示，数据库运维安全管控在堡垒机上实现，需针对不同的工具进行定制，与数据库运维工具的耦合度过高，扩展起来非常麻烦。
58.图2是本发明提供的数据库安全管控方法的流程示意图，如图2所示，包括：
59.101，通过数据库运维工具发送数据库运维指令，由数据库软交换对所述数据库运维指令进行安全管控后转发给数据库；
60.102，所述数据库软交换采用相似度循环分析算法模拟所述数据库，使所述数据库与所述数据库运维工具进行会话保活通讯；
61.103，调用操作系统内核，采用多线程机制和快速读写数据缓存队列进行并发网络流量采集分析。
62.具体地，本发明的业务处理流程如图3所示，将数据库运维安全管控能力抽象剥离出来，形成通用能力，在网络层通过流量解析实现。
63.通过数据库软交换接收并分析数据库运维工具运维指令的网络流量，基于协议层的流量分析，还原数据库操作指令，发现高风险/涉敏操作时触发“金库管控”，并对指令进行拦截等待，“金库”审批通过后将指令转发给数据库服务器执行，实现在网络协议层对数据库运维进行安全管控，实现数据库安全运维管控与用户使用数据库工具解耦；在金库审批等待期间，通过软交换主动发送模拟保活数据包，维持数据库与运维工具之间的链路通讯；同时调用操作系统内核，使用多线程和快速读写数据缓存队列实现大并发网络流量采集分析。
64.本发明通过针对数据库运维管控需要对各种数据库工具进行定制化开发的问题，通过数据库软交换实现数据库运维的集中管控，无需对数据库工具进行改造，同时解决了在指令触发金库审批等待期间维持数据库工具保活难题，调用操作系统内核、使用多线程及快速读写数据缓存队列提升流量处理能力，保证运维效率。
65.基于上述实施例，该方法中步骤101具体包括：
66.所述数据库软交换收到所述数据库运维指令的指令报文后，通过协议解析还原sol指令，判断用户是否执行危险操作
67.若判断获知所述用户执行危险操作，则触发金库审批，否则直接转发所述指令报文至所述数据库。
68.其中，所述若判断获知所述用户执行危险操作，则触发金库审批，否则直接转发所
述指令报文至所述数据库，之后还包括：
69.记录对所述指令报文的操作，形成日志记录，基于所述日志记录进行安全审计。
70.具体地，数据库软交换部署在堡垒机与数据库服务器之间，用户使用数据库运维工具访问数据库时，运维工具连接数据库软交换，将运维指令发送给软交换，通过软交换的安全管控后再由软交换将指令转发给数据库服务，数据库软交换的整体业务架构如图4所示。
71.数据库软交换在收到数据库工具的指令报文后，通过协议解析还原sql指令，判断用户是否执行了删库、删表、访问涉敏数据等危险操作，如发现用户试图执行危险操作，数据库软交换会进行拦截，不会立即将报文指令转发给数据库资源，拦截后的指令不会被废弃，而是放入数据库较交换的待放行指令缓存中，同时触发金库审核，待审核人审批通过后，软交换将报文转发给数据库服务执行。如金库审批未通过，则软交换会反馈数据库工具失败的信息，同时将请求报文废弃，实现请求阻断。所有的数据库运维指令都将通过软交换进行集中收集记录，便于后续进行安全审计。
72.此处，数据库软交换实现了数据库安全连接，用户无需知道数据库的真实ip地址和端口。其次数据库软交换改变了现有通过改造数据库工具(多工具、多版本)实现安全管控的技术方式，将不同数据库的运维安全管控统一归结到协议层，在协议转发之前进行协议识别发现危险操作，提供审核、阻断能力，避免了用户越权操作，保障了数据库安全。最后所有的操作记录都将会被记录形成审计日志，便于后续进行安全审计。
73.本发明提出的数据库软交换结构，解决了数据库运维管控需要投入大量人力、时间对各种数据库工具进行定制化开发的问题，通过数据库软交换实现了数据库运维的集中管控，而无需对数据库工具进行改造，在协议层对数据库运维指令进行还原，实现指令识别、危险指令判断、指令审批、放行、阻断和审计等安全管控手段。
74.基于上述任一实施例，该方法中步骤102具体包括：
75.采集所述数据库运维指令发出后的响应报文集合，获取所述响应报文集合中的若干报文；
76.选取所述若干报文中的任一报文，基于所述任一报文与其它报文的相似度，获得保活报文格式以及报文具体数值；
77.基于所述保活报文格式和所述报文具体数值，得到所述响应报文集合中使用频率最高的操作命令，根据所述使用频率最高的操作命令实现链路保活。
78.其中，所述选取所述若干报文中的任一报文，基于所述任一报文与其它报文的相似度，获得保活报文格式以及报文具体数值，具体包括：
79.将所述任一报文与其它报文分别进行比对，由所述任一报文与其它任一报文的交集与所述任一报文与所述其它任一报文的并集之比，得到所述任一报文与所述其它任一报文的相似度，将所述任一报文与其它报文的所有相似度进行累加后求取平均值，得到所述任一报文的平均相似度；
80.逐一计算所述若干报文中与其它报文的相似度，并计算得到所有报文的平均相似度；
81.将所述所有报文的平均相似度进行排序后，筛选出具有前预设比例排序的报文集，重复前述计算步骤，直至筛选出不超过预设报文集个数的报文集；
82.对所述报文集的报文格式进行分析验证，得到所述保活报文格式和所述报文具体数值。
83.具体地，数据库工具将运维指令按照数据库协议标准转化成网络流量数据包发送给软交换，软交换会在接收到流量后对报文后进行解析还原，如需要触发金库时，会暂时阻断报文的转发，一般情况下，金库审批会持续几分钟或更长时间，为避免数据库工具指令发出后长时间得不到数据库服务端的响应而报会话超时错误，因此需要软交换模拟数据库服务器与数据库工具进行通讯，构造数据库服务响应数据报文返回给数据库工具。
84.虽然不同的数据库在保活通讯机制上基本一致，但实际上不同的数据库、同一种数据库的不同版本的保活报文格式都存在一定差异，同时网络流量中充斥着大量的杂质和噪音，通过人工手段采用抓包的方式进行报文分析以期获得保活报文格式工作量巨大。
85.因此，本发明通过采集大量数据库运维指令发出后收到的响应报文，采用相似度循环分析算法对采集的大量报文进行相似度分析，来获得保活报文共性，分析这些共性推导总结出保活报文结构，再结合实际验证该数据包是否会影响数据库工具的使用，最终确定会话保活数据包报文格式。相似度循环分析算法具体如下：
86.1)假设待分析的报文集合共有n个报文，选取其中一个报文(p1)与其他报文内容进行比对，获得该报文与其他报文的相似度s(p1，p2)，s(p1，p3)，s(p1，p4)，
…
s(p1，pn)。相似度计算方法为两个报文(p1和p2)的交集，即相同内容，占两个报文(p1和p2)的并集的比例，如图5所示，计算公式如下：
[0087][0088]
相似度s值处于[0，1]之间，s值越大代表两个报文相似度越高。
[0089]
再将报文p1与其它报文相似度进行累加，然后取平均值：
[0090]
p
avg1
＝∑(si)/(n-1)；
[0091]
2)选取另一个报文(p2)与其它报文内容进行比对，获得该报文与其它报文的相似度s(p2，p1)，s(p2，p3)，s(p2，p4)，
…
s(p2，pn)，并计算出相似度平均值：
[0092]
p
avg2
＝∑(si)/(n-1)；
[0093]
3)逐个完成报文(pn)与其它报文的相似度计算，计算出所有的相似度平均值；
[0094]
4)将各个报文的相似度平均值进行排序rank(p
avg1
，p
avg2
，p
avg3
，
…
，p
avgn
)；
[0095]
5)按照相似度平均值p
avgi
从高到低，筛选出报文集中排名前预设比例排序的报文，此处比例可自定义，例如前70％，重复前述步骤的操作，不断循环，直到筛选出的报文集数量不超过预设报文集个数，此处的预设报文集个数可自定义，例如10个；
[0096]
6)对最终筛选出的报文格式进行分析验证，获得保活报文格式以及报文具体数值。
[0097]
需要说明的是，相似度循环分析算法的好处在于它通过多次相似度计算排序，能够从大量的报文集合中筛选出与其他报文相似度最高的少量报文集合，开发人员只需对这些少量的报文进行分析，就可以获得保活报文的格式和具体数值。
[0098]
目前市场上数据库类型主要分为商业数据库(闭源数据库)和开源数据库，商业数据库以oracle数据库为代表，开源数据库以mysql为代表，商业数据库的通讯协议格式未对外公开，通过传统手段需要耗费大量的精力进行研究分析，开源数据库使用的协议虽然有
源代码，但研究源代码同样效率不同。下面以两种不同类型数据库来分别进行说明：
[0099]
一、以商业数据库oracle为例
[0100]
通过循环相似度分析法，最后得出保活报文格式包含一个通用的包头，这个包头包含包校验，包长度和包类型等信息，不同的类型的数据实现不同功能的数据传输，如表1所示：
[0101]
表1
[0102]
common packet header8通用包头data可变数据
[0103]
其中通用包头格式如表2所示：
[0104]
表2
[0105][0106]
在表2中，packet packet chksm和header chksm通常是不变的，值为0。
[0107]
type字段是包的类型字段，表3列出type值对应的类型说明：
[0108]
表3
[0109][0110][0111]
当出现错误或其它情况时可能使用其它类型，主要包括以下类型数据：
[0112]
1)查询语句出错会用标记(marker)类型；
[0113]
2)客户端向服务器请求失败(如不存在的服务id)，服务器会发送拒绝(refuse)类型；
[0114]
3)客户机登陆会发送连接类型，而服务器返回一个重定向类型数据；
[0115]
4)当重定向端口连接完成后客户端重现发送连接类型数据，服务器返回接受类型数据，然后能够正常通讯。
[0116]
在总结出在报文头之后，分析报文数据中出现的最关键的几个命令如表4所示：
[0117]
表4
[0118][0119][0120]
发现在分析的报文集中ox0401命令的使用频率最高，它包含了所有数据库操作的返回结构，错误命令码、错误描述、操作类型等数据，可以以此来构造报文数据包来实现链路保活。因此可以依据以上分析结果来构建软交换与数据库工具之间的保活通讯报文格式，如图6所示。
[0121]
二、以开源数据库mysql为例
[0122]
通过循环相似度分析法，最后得出保活报文格式包含一个消息头和一个消息体，其中消息头占用固定的4个字节，消息体长度由消息头中的长度字段决定，报文结构如图7所示。
[0123]
消息头由报文长度、序号组成，其中报文长度用于标记当前请求消息的实际数据长度值，以字节为单位，占用3个字节，最大值为0xffffff，即接近16mb大小(比16mb少1个字节)。序号是为了在一次完整的请求/响应交互过程中，用于保证消息顺序的正确，每次客户端发起请求时，序号值都会从0开始计算。
[0124]
消息体用于存放请求的内容及响应的数据，长度由消息头中的长度值决定。
[0125]
当数据库工具发起命令请求后，服务器会返回相应的执行结果给客户端。客户端在收到响应报文后，需要首先检查第1个字节的值，来区分响应报文的类型，如表5所示。
[0126]
表5
[0127][0128][0129]
通过相似度分析发现在报文集中ok响应报文的使用频率最高，它包含了所有数据库操作的返回结构，错误命令码、错误描述、操作类型等数据，可以以此来构造报文数据包来实现链路保活。因此可以依据以上相似度分析结果来构建数据库与运维工具之间的保活通讯报文格式，如图8所示。
[0130]
本发明通过在需要进行触发金库审批时，解决了维持数据库工具保活的问题，确保业务不中断。
[0131]
基于上述任一实施例，该方法中步骤103具体包括：
[0132]
与网卡建立直接通讯采集线程，获取原始流量报文，将所述原始流量报文转发给操作系统上层应用，由所述操作系统上层应用转发给所述数据库软交换；
[0133]
将一个采集线程对应一个解析线程形成一个线程组，由多个线程组同时并行处理多个原始流量报文的处理；
[0134]
给每个线程组分配具有预设容量的缓存队列空间，采用读写游标标记在缓存队列上进行循环操作，形成所述快速读写数据缓存队列。
[0135]
其中，所述给每个线程组分配具有预设容量的缓存队列空间，采用读写游标标记在数据缓存队列上进行循环操作，形成所述快速读写数据缓存队列，具体包括：
[0136]
分别设置报文写入游标表示报文插入位置，报文读取游标表示报文读取位置；
[0137]
将所有报文数据放入缓存中进行等待处理，根据所述报文写入游标将报文数据写入缓存，待当前插入操作完成后，所述报文写入游标自动向下移动一位，继续插入下一条报文数据；
[0138]
根据所述报文读取游标读取当前位置上的报文数据并进行分析处理，待当前读取操作完成后，所述报文读取游标自动向下移动一位，继续读取下一条报文数据；
[0139]
将数据缓存队列的最后一个位置的下一位位置指针指向所述数据缓存队列的第
一个位置，基于所述报文写入游标和所述报文读取游标分别在所述数据缓存队列进行循环插入和读写，直至无报文数据插入且报文数据全部被读取。
[0140]
具体地，面对云环境海量数据资产的日常运维，流量吞吐性能是数据库软交换必须考虑的问题，如图9所示，本发明主要通过如下策略实现大流量高并发处理功能。
[0141]
一、调用操作系统内核计算提升流量并发处理能力
[0142]
1、调用操作系统内核实现流量采集分析
[0143]
流量采集性能是影响整体流量分析性能的重要影响因素，因此本方法调用系统内核，可以使采集线程直接与网卡通讯，获取原始流量报文，避免网卡收到流量后，先将流量转给操作系统上层应用，再通过上层应用转给软交换处理造成的性能损耗。
[0144]
2、多线程并行处理
[0145]
在流量采集分析过程中，流量报文采集与流量报文分析之间处理过程是完全独立的，无需考虑多线程间数据同步，线程锁死的情况，这是采用多线程并行处理的一个最佳应用场景。本发明采用一个采集线程对应一个解析线程形成一个线程组，利用多线程组同时并行处理多个流量报文的接收、解析、sql还原任务，充分利用cpu处理器资源，实现在固定时间内完成更多的报文处理，进而提升软交换的流量吞吐性能。
[0146]
二、快速读写数据缓存队列
[0147]
快速读写数据缓存队列是为了提高线程读写操作性能设计的，系统为每一个线程组分配一定大小的缓存队列空间，缓存队列与线程组是一一对应的关系，将数据缓存队列的最后一个位置的下一位置指针指向队列第一个位置，形成逻辑上的环状空间，供程序循环使用。
[0148]
如图10所示，采用读写两个游标来记录读写的不同的位置，报文写入游标表示插入位置，流量采集线程根据报文写入游标将报文数据写入缓存，当系统完成一条插入后，报文写入游标自动向下移动一位，继续插入下一条报文，所有报文放入缓存中等待处理。报文读取游标表示读取位置，流量分析线程根据报文读取游标读取该位置上的报文内容进行分析处理，完成后标记使用状态，缓存空间不释放。
[0149]
游标在队列上循环读取和插入，直至无报文插入且报文全部读取。采用快速读写数据缓存队列进行报文存储，避免了缓存空间频繁创建和释放，可以大大提升数据的读写性能。
[0150]
本发明通过调用操作系统内核、使用多线程及快速读写数据缓存队列提升流量处理能力，保证了运维效率。
[0151]
下面对本发明提供的数据库安全管控装置进行描述，下文描述的数据库安全管控装置与上文描述的数据库安全管控方法可相互对应参照。
[0152]
图11是本发明提供的数据库安全管控装置的结构示意图，如图11所示，包括：第一处理模块1101、第二处理模块1102和第三处理模块1103；其中：
[0153]
第一处理模块1101用于通过数据库运维工具发送数据库运维指令，由数据库软交换对所述数据库运维指令进行安全管控后转发给数据库；第二处理模块1102用于所述数据库软交换采用相似度循环分析算法模拟所述数据库，使所述数据库与所述数据库运维工具进行会话保活通讯；第三处理模块1103用于调用操作系统内核，采用多线程机制和快速读写数据缓存队列进行并发网络流量采集分析。
[0154]
本发明针对数据库运维管控需要对各种数据库工具进行定制化开发的问题，通过数据库软交换实现数据库运维的集中管控，无需对数据库工具进行改造，同时解决了在指令触发金库审批等待期间维持数据库工具保活难题，调用操作系统内核、使用多线程及快速读写数据缓存队列提升流量处理能力，保证运维效率。
[0155]
图12示例了一种电子设备的实体结构示意图，如图12所示，该电子设备可以包括：处理器(processor)1210、通信接口(communicationsinterface)1220、存储器(memory)1230和通信总线1240，其中，处理器1210，通信接口1220，存储器1230通过通信总线1240完成相互间的通信。处理器1210可以调用存储器1230中的逻辑指令，以执行数据库安全管控方法，该方法包括：通过数据库运维工具发送数据库运维指令，由数据库软交换对所述数据库运维指令进行安全管控后转发给数据库；所述数据库软交换采用相似度循环分析算法模拟所述数据库，使所述数据库与所述数据库运维工具进行会话保活通讯；调用操作系统内核，采用多线程机制和快速读写数据缓存队列进行并发网络流量采集分析。
[0156]
此外，上述的存储器1230中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0157]
另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法所提供的数据库安全管控方法，该方法包括：通过数据库运维工具发送数据库运维指令，由数据库软交换对所述数据库运维指令进行安全管控后转发给数据库；所述数据库软交换采用相似度循环分析算法模拟所述数据库，使所述数据库与所述数据库运维工具进行会话保活通讯；调用操作系统内核，采用多线程机制和快速读写数据缓存队列进行并发网络流量采集分析。
[0158]
又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各提供的数据库安全管控方法，该方法包括：通过数据库运维工具发送数据库运维指令，由数据库软交换对所述数据库运维指令进行安全管控后转发给数据库；所述数据库软交换采用相似度循环分析算法模拟所述数据库，使所述数据库与所述数据库运维工具进行会话保活通讯；调用操作系统内核，采用多线程机制和快速读写数据缓存队列进行并发网络流量采集分析。
[0159]
以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
[0160]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可
借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0161]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。