一種從服務器訪問資源的方法
【技術領域】
[0001 ] 本發(fā)明涉及信息系統(tǒng)，特別涉及一種從服務器訪問資源的方法。
【背景技術】
[0002] 隨著醫(yī)療行業(yè)對以醫(yī)療質(zhì)量為核心信息系統(tǒng)的依賴性日益增強，數(shù)據(jù)庫等核心信 息資產(chǎn)的安全問題越來越受到企業(yè)的關注。在此背景下，各種面向應用層的數(shù)據(jù)庫安全解 決方案開始得到應用。這些解決方案的普遍模式是：首先采集每一個數(shù)據(jù)訪問活動的發(fā)起 者（信息源）及其操作特征，然后識別和重現(xiàn)每一個獨立信息源在一定時間窗內(nèi)的活動序 列即訪問路徑，以進行深入的行為分析和異常發(fā)現(xiàn)。
[0003] 對于這些安全方案而言，識別出每一個單獨數(shù)據(jù)庫操作的源信息（包括用戶識別 信息，終端識別信息等），進而重建其訪問路徑，是正確應用行為分析模塊的關鍵。但是另 一方面，當前的醫(yī)療管理信息系統(tǒng)大多采用多層信息架構，往往在一個系統(tǒng)中，會包含多層 中間件或中間層應用系統(tǒng)。在此情況下，當訪問操作從用戶端發(fā)起后，需要流經(jīng)多個異構系 統(tǒng)，以層級代理方式被多次重裝和轉(zhuǎn)換后，最終進入數(shù)據(jù)庫系統(tǒng)處理隊列。比如，在采用B/ S架構的企業(yè)資源規(guī)劃（ERP)系統(tǒng)中，用戶雖然以自身賬號登錄Web系統(tǒng)（如Servlet等） 并執(zhí)行業(yè)務操作，但最終的數(shù)據(jù)庫訪問請求是由該Web系統(tǒng)生成并提交給數(shù)據(jù)庫。因此，數(shù) 據(jù)庫系統(tǒng)所記錄的軌跡信息中所體現(xiàn)的發(fā)起者源信息往往只是指向某一中間層系統(tǒng)，而非 其最初始訪問點，導致數(shù)據(jù)庫安全解決方案無法正確分析。
[0004] 針對這一問題，主流廠商引入了專門的嵌入式監(jiān)控模塊，擴展了底層數(shù)據(jù)通信協(xié) 議，但這些方案只適用于企業(yè)內(nèi)部所有相關系統(tǒng)都來自同一廠商，或者與之兼容的情況。而 對于大多數(shù)企業(yè)，若想應用該方案，只能對其現(xiàn)有各系統(tǒng)進行重構，其成本和時間往往難以 承受。
[0005] 因此，針對相關技術中所存在的上述問題，目前尚未提出有效的解決方案。

【發(fā)明內(nèi)容】

[0006] 為解決上述現(xiàn)有技術所存在的問題，本發(fā)明提出了一種從服務器訪問資源的方 法，用于多層信息平臺，包括：接收用戶對多層信息平臺的數(shù)據(jù)庫訪問操作；
[0007] 對所述數(shù)據(jù)庫訪問操作的模式進行統(tǒng)計學習和參數(shù)匹配；
[0008] 基于參數(shù)匹配結果識別的數(shù)據(jù)訪問路徑，得到最終訪問者的信息。
[0009] 優(yōu)選地，所述數(shù)據(jù)庫訪問操作包括以下步驟：
[0010] 用戶使用終端系統(tǒng)通過應用程序界面向中間層應用系統(tǒng)提交業(yè)務操作命令，向指 定URL發(fā)送HTTP封包，用戶請求來源信息被記錄在業(yè)務請求數(shù)據(jù)封包中，將該業(yè)務請求標 記為變量r;
[0011] 中間層應用系統(tǒng)的對應應用接口收到業(yè)務請求r，分析其中的請求來源標識，驗證 合法性，當驗證通過后，系統(tǒng)調(diào)用中間件完成相關計算并生成一條或多條數(shù)據(jù)庫訪問命令 并依次發(fā)送給數(shù)據(jù)庫系統(tǒng)，每條數(shù)據(jù)庫訪問命令標識為變量q;
[0012] 數(shù)據(jù)庫系統(tǒng)在收到命令q后，將其排入隊列直至執(zhí)行完畢，得到執(zhí)行結果fq，返回 給中間層應用接口；
[0013] 中間層應用接口在得到數(shù)據(jù)庫命令執(zhí)行結果4后，將與此次業(yè)務操作有關的全部 數(shù)據(jù)庫訪問命令依次發(fā)送給數(shù)據(jù)庫系統(tǒng)，或?qū)⒏鶕?jù)返回結果進一步生成的新的數(shù)據(jù)庫訪問 命令發(fā)送給數(shù)據(jù)庫系統(tǒng)，直至全部執(zhí)行完畢，將最終業(yè)務操作結果f；返回給初始用戶。
[0014] 本發(fā)明相比現(xiàn)有技術，具有以下優(yōu)點：
[0015] 使用改進的時間窗和請求匹配，作為統(tǒng)計學習的重要規(guī)則，還提供了專門針對數(shù) 據(jù)操作命令類型和單個請求來源數(shù)據(jù)操作參數(shù)的統(tǒng)計學習匹配功能，從而提升了識別方法 在復雜系統(tǒng)環(huán)境下的準確性；兼顧了中間應用層保存并提交參數(shù)的情況；以相關性計算替 代簡單的等值比對，提高了參數(shù)比較的精確性。
【附圖說明】
[0016] 圖1是根據(jù)本發(fā)明實施例的從服務器訪問資源的方法的流程圖。
【具體實施方式】
[0017] 下文與圖示本發(fā)明原理的附圖一起提供對本發(fā)明一個或者多個實施例的詳細描 述。結合這樣的實施例描述本發(fā)明，但是本發(fā)明不限于任何實施例。本發(fā)明的范圍僅由權 利要求書限定，并且本發(fā)明涵蓋諸多替代，修改和等同物。在下文描述中闡述諸多具體細節(jié) 以便提供對本發(fā)明的透徹理解。出于示例的目的而提供這些細節(jié)，并且無這些具體細節(jié)中 的一些或者所有細節(jié)也可以根據(jù)權利要求書實現(xiàn)本發(fā)明。
[0018] 圖1是根據(jù)本發(fā)明實施例的從服務器訪問資源的方法流程圖。本發(fā)明的一方面提 供了一種從服務器訪問資源的方法，用于識別數(shù)據(jù)訪問路徑，使基于多層次異構平臺的企 業(yè)應用系統(tǒng)中，數(shù)據(jù)庫服務器能夠準確識別出數(shù)據(jù)操作的真實來源。該方法的主要環(huán)節(jié)包 括：
[0019] (1)基于時間序列的統(tǒng)計學習過程，具體包括命令模式的抽取與匹配，業(yè)務應用請 求與數(shù)據(jù)庫操作請求的參數(shù)匹配及服務器端參數(shù)序列匹配。（2)基于匹配模板的數(shù)據(jù)訪問 路徑識別，實現(xiàn)數(shù)據(jù)庫日志和安防系統(tǒng)對最終訪問者的追蹤操作。
[0020] 首先，在多層信息系統(tǒng)架構下，一次典型的數(shù)據(jù)庫訪問操作可以分解為以下步驟：
[0021] (1)用戶使用自己的終端系統(tǒng)，通過應用程序界面，向中間層應用系統(tǒng)提交業(yè)務操 作命令，比如向指定URL發(fā)送HTTP封包。在此步驟中，真實請求來源信息被記錄在業(yè)務請 求數(shù)據(jù)封包中，本發(fā)明將該業(yè)務請求標識為變量r。
[0022] (2)中間層應用系統(tǒng)的對應"應用接口"（即該系統(tǒng)中完成特定業(yè)務功能的子模 塊）收到業(yè)務請求r，分析其中的請求來源標識以驗證合法性。驗證通過后，系統(tǒng)將調(diào)用若 干中間件或類似模塊，完成相關計算并生成一條或多條數(shù)據(jù)庫訪問命令并依次發(fā)送給數(shù)據(jù) 庫系統(tǒng)。本發(fā)明用變量q表示每條數(shù)據(jù)庫訪問命令。
[0023] (3)數(shù)據(jù)庫系統(tǒng)在收到命令q后，將其排入隊列直至執(zhí)行完畢，得到執(zhí)行結果fq， 將其返回給中間層應用接口。
[0024] (4)中間層應用系統(tǒng)在得到數(shù)據(jù)庫命令執(zhí)行結果4后，根據(jù)業(yè)務邏輯要求，在需要 時繼續(xù)重復步驟（2)和步驟（3)，將與此次業(yè)務操作有關的全部數(shù)據(jù)庫訪問命令（或根據(jù)返 回結果進一步生成的新的數(shù)據(jù)庫訪問命令）依次發(fā)送給數(shù)據(jù)庫系統(tǒng)，直至全部執(zhí)行完畢， 將最終業(yè)務操作結果f；返回給初始用戶。這些數(shù)據(jù)庫訪問命令被稱作由業(yè)務請求r觸發(fā)。
[0025]統(tǒng)計學習討稈
[0026] 本發(fā)明提出的數(shù)據(jù)訪問路徑識別方案，首先需要對多層信息架構中的日常數(shù)據(jù)庫 訪問模式進行統(tǒng)計學習。其統(tǒng)計學習過程包含4個方面：（1)樣本數(shù)據(jù)采集；(2)中間層應 用系統(tǒng)數(shù)據(jù)庫命令模式識別；（3)業(yè)務請求集合R與數(shù)據(jù)庫操作命令集合Q的操作參數(shù)匹 配；（4)對僅存儲于服務器端的用戶參數(shù)進行序列匹配。
[0027] 1.樣本數(shù)據(jù)采集
[0028] 數(shù)據(jù)訪問路徑識別方法的訓練樣本主要來自于各層系統(tǒng)的日志文件，包括以下不 間斷日志信息：
[0029] (1)業(yè)務請求數(shù)據(jù)（來自于各中間層業(yè)務系