(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111353989.0 (22)申请日 2021.11.12 (71)申请人 中国工商银行股份有限公司 地址 100140 北京市西城区复兴门内大街 55号 (72)发明人 沈怡　凌奥　凌怡　 (74)专利代理 机构 中科专利商标代理有限责任 公司 11021 代理人 张体南 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 数据库异常访问的监控方法、 监控系统、 设 备和存储介质 (57)摘要 本申请提供了一种数据库异常访问的监控 方法， 可以应用于信息安全技术领域。 该监控方 法包括以下步骤： 获取访问数据库的初始网络流 量； 解析所述初始网络流量， 得到访问关键信息； 筛选出所述访问关键信息中的异常访问信息； 基 于所述异常访问信息， 采集并分析下一时间段的 网络流量； 汇总所述异常访问信息和所述网络流 量， 并以报警信息形式输出。 根据本申请的数据 库异常访问的监控方法， 通过仅对初始网络流量 进行网络层的解析， 一方面可以确保所有访问数 据库的操作均已纳入监测范围， 解决数据库访问 监控不完善的问题。 另一方面， 采集端的服务器 性能资源消耗小， 数据传输、 存储的资源消耗可 控， 可保证数据库自身运行的稳定性。 权利要求书2页 说明书9页 附图4页 CN 114070619 A 2022.02.18 CN 114070619 A 1.一种数据库异常访问的监控方法， 其特 征在于， 包括以下步骤： 获取访问数据库的初始网络流 量； 解析所述初始网络流 量， 得到访问关键信息； 筛选出所述访问关键信息中的异常访问信息； 基于所述异常访问信息， 采集并分析 下一时间段的网络流 量； 汇总所述异常访问信息和所述网络流 量， 并以报警信息形式输出。 2.根据权利要求1所述的监控方法， 其特征在于， 解析所述初始网络流量， 得到访 问关 键信息， 包括： 查看所述初始网络流 量的流量日志； 根据所述 流量日志得到访问关键信息 。 3.根据权利 要求2所述的监控方法， 其特征在于， 所述关键信息至少包括： 源IP、 目的IP 以及端口信息 。 4.根据权利要求3所述的监控方法， 其特征在于， 筛选出所述访问关键信 息中的异常访 问信息， 包括： 设置源IP的白名单； 在所述访问关键信息的源IP未命中白名单时， 确定所述访问关键信息为异常访问信 息。 5.根据权利要求3所述的监控方法， 其特征在于， 筛选出所述访问关键信 息中的异常访 问信息， 包括： 设置源IP的黑名单； 在所述访问关键信息的源IP命中黑名单时， 确定所述访问关键信息为异常访问信息 。 6.根据权利要求1所述的监控方法， 其特征在于， 基于所述异常访 问信息， 采集并分析 下一时间段的网络流 量， 包括： 设置网络流 量解析参数； 基于所述异常访问信息， 采集下一时间段的网络流 量； 根据所述 流量解析参数， 分析 下一时间段的网络流 量， 得到访问行为。 7.根据权利要求6所述的监控方法， 其特征在于， 所述网络流量解析参数包括： 数据解 析时间段和/或数据解析个数。 8.根据权利要求1所述的监控方法， 其特征在于， 所述报 警信息至少包括： 源IP、 访问时 间、 访问位置以及 访问内容。 9.一种异常访问的监控系统， 包括： 获取模块， 所述获取模块用于获取访问数据库的初始网络流 量； 解析模块， 所述 解析模块用于： 解析 所述初始网络流 量， 得到访问关键信息； 筛选模块， 所述筛 选模块用于 筛选出所述访问关键信息中的异常访问信息； 采集模块， 所述采集模块用于： 基于所述异常访问信息， 采集并分析下一 时间段的网络 流量； 以及 报警模块， 所述报警模块用于： 汇总所述异常访问信息和所述网络流量， 并以报警信 息 形式输出。 10.一种电子设备， 包括：权　利　要　求　书 1/2 页 2 CN 114070619 A 2一个或多个处 理器； 存储装置， 用于存 储一个或多个程序， 其中， 当所述一个或多个程序被所述一个或多个处理器执行时， 使得所述一个或多个 处理器执行根据权利要求1～8中任一项所述的方法。 11.一种计算机可读存储介质， 其上存储有可执行指令， 该指令被处理器执行时使处理 器执行根据权利要求1～8中任一项所述的方法。 12.一种计算机程序产品， 包括计算机程序， 所述计算机程序被处理器执行时实现根据 权利要求1～8中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114070619 A 3