基于日志分析的 MySQL 數據庫取證算法*

譚 森， 郭 捷

（上海交通大學 電子信息與電氣工程學院， 上海 200240）

基于日志分析的 MySQL 數據庫取證算法*

譚 森， 郭 捷

（上海交通大學 電子信息與電氣工程學院， 上海 200240）

MySQL 數據庫的使用越來越廣泛，MySQL 數據庫取證的問題也變得越來越重要。日志是數據庫取證最重要的信息依據，MySQL 二進制日志中記錄了用戶對數據庫數據所有的更改操作。 本文提出分析 MySQL 二進制日志結構，使用 KMP 算法對 MySQL 二進制日志進行關鍵字匹配，檢索出我們所需要的信息，對 MySQL 數據庫進行取證的算法。 大量實驗結果驗證了本算法的有效性。

MySQL;二進制日志;信息檢索;KMP 算法;數據庫取證

0 引言

MySQL 已成為世界上最流行和最成功的開源數據庫系統 ，MySQL 數據庫的取證問題也變的越來越重要。Peter Fruhwirt，Markus Huber，等人曾提出 InnoDB 數據庫取 證[1］， 后來Peter Fruhwirt， Peter Kieseberg 等人提出通過分析 InnoDB 的redo log 更具體的取證方法[2］，但是這僅僅是針對 InnoDB 的取證，如果 MySQL 數據庫使用其他數據庫引擎則難以取證了。每一種數據庫都會有自帶的工具或者功能幫助數據庫取證[3］，觸發器也可以用來幫助數據庫取證[4］。日志 是 數 據 庫取證最重要的依據，MySQL 數據庫的二進制日志中記錄了用戶對 MySQL 數據庫中數據的所有更改操作。 但是 MySQL 自身攜帶的 mysqlbinlog 工具[5-6］的功能很少也不完備，只有將二進制日志轉換成文本文件和按時間段查看二進制日志內容等十分簡單的功能。通過這些功能查詢出來的信息有很多對于用戶而言是不必要的信息，因此該工具不能提供很多對于數據庫取證有幫助的信息。……