CN101075256A - 数据库实时审计分析系统及方法 - Google Patents
数据库实时审计分析系统及方法 Download PDFInfo
- Publication number
- CN101075256A CN101075256A CN 200710100360 CN200710100360A CN101075256A CN 101075256 A CN101075256 A CN 101075256A CN 200710100360 CN200710100360 CN 200710100360 CN 200710100360 A CN200710100360 A CN 200710100360A CN 101075256 A CN101075256 A CN 101075256A
- Authority
- CN
- China
- Prior art keywords
- threshold
- threshold value
- information
- security incident
- daily record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明涉及数据库实时审计分析系统及方法,包括日志收集、安全事件筛选、阈值分析及安全响应诸单元,其中:日志收集单元依照日志配置表中的日志配置规则,对数据库用户的各种操作语句进行处理,并将处理后的结果整理记录到日志踪迹表中;安全事件筛选单元根据安全事件配置表中的安全事件配置规则,对日志踪迹表中的日志信息进行筛选,选择出与阈值相关的日志信息送到阈值分析单元;阈值分析单元根据阈值状态表中的阈值规则,对安全事件筛选单元输出的日志信息进行阈值分析,并将分析后的结果整理记录到阈值踪迹表中;安全响应单元对阈值踪迹表中的违背阈值规则的用户操作语句进行响应。本发明不会给数据库引入潜在的危险,审计管理员能很方便地定制数据库审计规则和查看满足审计规则的数据库事件,并能设置阈值规则,对数据库系统进行实时误用检测。
Description
技术领域
本发明涉及数据库审计分析系统及方法,具体地说,是一种可实时定制审计分析规则、实时进行审计分析的数据库实时审计分析系统及基于阈值分析的审计分析方法。
背景技术
随着数据库在各个领域内的广泛应用,数据库管理系统的安全问题也得到了越来越多的重视。传统数据库的安全是通过访问控制、身份鉴别、授权控制等方法来进行保障的,但事实上,数据库入侵不可能被完全阻止。
目前,公知的大多数主流数据库管理系统都提供了一种审计分析方法,如图1所示,数据库用户对数据库进行操作,数据库服务器依照日志配置表中的日志配置规则,将数据库操作记录到数据库系统中的日志踪迹表内。日志踪迹表(可称为数据库审计日志)是审计管理员进行审计分析的依据。当发现入侵或犯罪迹象后,审计管理员通过SQL语句对日志踪迹表中的信息进行查询分析,或者通过外部入侵检测工具进行审计分析,以此发现数据库中存在的异常事件,并做出相应响应。这种审计分析方法存在如下问题:
1、使用外部入侵检测工具进行审计分析的效果差,且引入的外部工具给数据库带来了潜在的危险。
2、用于审计分析的SQL语句或存储过程给数据库引入了较多的代码,使数据库系统管理员的管理难度加大。且使用SQL语句或存储过程定制审计分析规则难度较大,工作量较重,审计管理员编制的审计分析语义模糊,难以准确实现审计分析目的。
3、外部入侵检测工具或审计管理员进行审计分析均为一种事后分析方法,缺乏对数据库审计日志进行实时处理的功能。当数据库存在威胁操作时,系统无法进行实时响应,不能避免入侵所造成的重大损失。
发明内容
为了解决上述问题,本发明提供了一种可实时定制审计分析规则、实时进行审计分析的数据库实时审计分析系统及基于阈值分析的审计分析方法。
为此,本发明采用以下技术方案:
一种数据库实时审计分析系统,包括日志收集单元、安全事件筛选单元、阈值分析单元及安全响应单元,以及日志配置表、日志踪迹表、安全事件配置表、安全事件踪迹表、阈值配置信息表、阈值配置表、阈值状态表、触发事件表,其中:
日志收集单元依照日志配置表中的日志配置规则,对数据库用户的各种操作语句进行处理,并将处理后的结果整理记录到日志踪迹表中;
安全事件筛选单元根据安全事件配置表中的安全事件配置规则,对日志踪迹表中的日志信息进行筛选,选择出与阈值相关的日志信息送到阈值分析单元;
阈值分析单元根据阈值状态表中的阈值规则,对安全事件筛选单元输出的日志信息进行阈值分析,并将分析后的结果整理记录到阈值踪迹表中;
安全响应单元对阈值踪迹表中的违背阈值规则的用户操作语句进行响应。
一种数据库实时审计分析方法,包括以下步骤:
日志匹配步骤:日志收集单元依照日志配置表,对数据库用户的各种操作语句进行处理,并将处理后的结果整理记录到日志踪迹表中;
安全事件筛选步骤:安全事件筛选单元根据安全事件配置表,对日志踪迹表中的日志信息进行筛选,选择出与阈值相关的日志信息,然后将该用户操作信息写入安全事件踪迹表中,这些日志信息称为安全事件;
阈值分析步骤:阈值分析单元根据阈值状态表,对安全事件筛选单元输出的安全事件进行阈值分析,并将分析后的结果整理记录到阈值踪迹表中;
实时响应步骤:安全响应单元对阈值踪迹表中违背阈值规则的用户操作语句进行响应。
本发明不仅对数据库用户操作进行记录,还提供了日志信息分析功能,由审计管理员定制异常库,数据库实时审计分析系统依照审计管理员定制的规则对数据库日志信息进行实时分析。
在本发明中,日志踪迹表中的日志信息为入侵检测数据源,在审计分析系统中设有阈值分析单元,它对系统外部的入侵进行实时误用检测,检测规则(即阈值规则)由审计管理员定制为异常库。当发生异常事件时,系统可依照审计管理员定制的检测规则实时分析日志信息,并依照响应策略进行实时响应,以保护数据库的安全。
在本发明中,审计管理员可以定制两类阈值规则:事件类阈值与序列类阈值。事件类阈值对某一特定的数据库操作进行阈值分析,在一定时间内,如果某一连接会话执行某一数据库操作达到了指定的次数,则触发了事件类阈值;序列类阈值对一组指定的数据库操作进行阈值分析,在一定的时间内,如果某一连接会话先后执行了一组指定的数据库操作,则达到了序列类阈值。审计员可以通过灵活应用这两类阈值,设置数据库误用检测规则。
本发明的优点是:1、不使用外部入侵检测工具,不会给数据库引入潜在的危险;2、引入实时分析系统后,审计管理员能够很方便地定制数据库审计规则,并查看满足审计规则的数据库事件。3、实时审计分析系统提供了阈值分析功能,审计管理员能够设置阈值规则,对数据库系统进行实时误用检测。
附图说明
图1是公知数据库管理系统的审计分析方法流程图;
图2是本发明数据库实时审计分析系统组成示意图;
图3是本发明数据库实时审计分析方法的实现流程图;
图4是日志配置及分析的实现流程图
图5是安全筛选实现流程图
图6是阈值配置的实现流程图;
图7是阈值分析的总体实现流程图
图8是事件类阈值分析的实现流程图
图9是序列类阈值分析的总体实现流程图
图10是本发明实施例的流程图。
具体实施方式
本发明数据库实时审计分析系统使用了以下数据表:日志配置表、日志踪迹表、安全事件配置表、安全事件踪迹表、阈值配置信息表、阈值配置表、阈值状态表、触发事件表。其中:
日志配置表结构如表1所示
| 列名 | 类型 | 列名 | 类型 |
| 操作名称 | STRING | 审计配置ID | INT32 |
| 审计类型 | char | 审计模式 | char |
| 审计开关 | BOOL | 审计对象ID | INT32 |
表1
该表包含了6列,分别为:操作名称、审计类型、审计开关、审计配置ID、审计模式以及审计对象ID。日志配置表记录了审计用户定制的日志配置信息,当发生数据库事件时,审计分析系统将数据库事件与日志配置信息进行匹配,如果发现数据库事件符合日志配置信息要求,则将数据库事件记录到日志踪迹表中。
日志踪迹表结构如表2所示
| 列名 | 类型 | 列名 | 类型 |
| 操作名 | VARchar32 | 踪迹ID | INT32 |
| 操作发生时间 | TIMESTAMP | 操作是否成功 | BOOL |
| 错误信息 | TEXT | 操作相关语句 | TEXT |
表2
该表记录了满足日志配置表的数据库事件信息,包括事件发生的时间、事件名称、事件执行是否成功、事件错误信息、操作语句等信息。
安全事件配置表对日志信息起到了过滤的作用,安全事件配置表中记录了需要进行安全分析日志配置信息。其结构如表3所示,当系统发现满足条件的日志事件时,查看该事件对应的日志配置ID是否与安全事件配置表中的日志配置ID相匹配,如果匹配,则将该事件写入安全事件踪迹表中。
| 列名 | 类型 | 列名 | 类型 |
| 安全事件配置ID | INT32 | 安全事件描述 | TEXT |
| 日志配置ID | INT32 | 日志配置类型 | INT32 |
| 操作结果 | char | 安全事件类型 | char |
| 安全事件开关 | BOOL |
表3
安全事件踪迹表记录了满足安全事件配置表的数据库事件,其结构如表4所示。
| 列名 | 类型 | 列名 | 类型 |
| 安全事件配置ID | INT32 | 安全事件踪迹ID | INT32 |
| 安全事件发生时间 | TIMESTAMP | 日志踪迹ID | INT32 |
| 日志类型 | INT32 | 审计员ID | INT32 |
| 安全事件类型 | char | 安全事件结果 | char |
表4
阈值配置信息表记录了安全事件配置与阈值配置的对应关系,当发生了安全事件后,数据库实时审计分析系统能够通过查找阈值配置信息表,找到该事件对应的阈值配置ID。其结构如表5所示
| 列名 | 类型 | 列名 | 类型 |
| 安全事件配置ID | INT32 | 阈值配置ID | INT32 |
表5
阈值配置表中记录了阈值配置的相关信息,该表包含了阈值配置相关安全事件ID、阈值配置类型、阈值配置ID、阈值配置对应触发事件ID等信息,其结构如表6所示。审计员通过定制阈值配置表对实时审计系统的阈值规则进行定制,并指定违背了阈值规则后的触发事件。
| 列名 | 类型 | 列名 | 类型 |
| 安全事件配置ID | INT32 | 阈值配置ID | INT32 |
| 阈值配置类型 | INT32 | 阈值事件大小 | INT32 |
| 安全事件在序列类阈值中对应的步骤 | INT32 | 对应的触发事件配置ID | INT32 |
表6
当发生了阈值相关安全事件后,系统将会读取阈值状态表中的相关状态信息,通过分析阈值状态表中的状态信息,判定该事件是否达到了阈值,如果达到了阈值,则触发触发事件,如果没有达到阈值,则更改状态表中的相关状态信息。阈值状态表结构如表7所示。
| 列名 | 类型 | 列名 | 类型 |
| 阈值状态ID | INT32 | 阈值配置ID | INT32 |
| 阈值大小 | INT32 | 阈值状态 | INT32 |
| 阈值状态开启时间 | Timestamp | 阈值类型 | INT32 |
| 该状态中已经发生的安全事件个数 | INT32 |
表7
触发事件表中记录了系统中存在的触发事件信息,其结构如表8所示。通过为阈值指定触发事件ID,可以实现实时入侵响应功能。
| 列名 | 类型 | 列名 | 类型 |
| 触发配置ID | INT32 | 事件选项 | INT32 |
| 惩罚事件 | INT32 |
表8
如图2所示,本发明数据库实时审计分析系统包括日志收集单元、安全事件筛选单元、阈值分析单元及安全响应单元。其中:
日志收集单元负责依照日志配置表中的日志配置规则,对数据库用户的各种操作语句进行处理,并将处理后的结果整理记录到日志踪迹表中。日志收集单元主要起到收集用于审计分析的数据的作用。
安全事件筛选单元负责安全事件配置表中的安全事件配置规则,对日志踪迹表中的日志信息进行筛选,选择出与阈值相关的日志信息,这些日志信息称为安全事件。安全事件筛选单元主要起到过滤与传输信息的作用。
阈值分析单元负责根据阈值状态表中的阈值规则,对安全事件筛选单元输出的安全事件进行阈值分析,并将分析后的结果整理记录到阈值踪迹表中。阈值分析单元所采用的阈值分析是一种误用检测方法,该阈值分析单元主要起到检测入侵事件的作用。
在实际应用中,阈值状态表中的阈值规则可预先确定,另外,审计管理员也可根据入侵检测要求的改变,实时制定阈值规则。
安全响应单元负责对阈值踪迹表中的违背阈值规则的用户操作语句进行响应,响应事件包括切断用户连接、锁定用户及发出安全警报等。安全响应单元主要起到对审计分析结果做出反应的作用。
在上述数据库实时审计分析系统中,对用户操作进行审计分析的过程如图3所示,它包括以下步骤:
1日志匹配步骤
日志配置表中记录了审计员日志配置的信息,这些信息包括用户操作类型、数据库操作、操作用户、操作对象以及操作是否成功。数据库服务器端收到用户发送的SQL语句后,日志收集单元便查找日志配置表,判断日志配置表中是否存在与用户SQL语句操作类型、操作用户、操作对象、操作结果相匹配的日志配置记录,如果存在,则将与该语句相关的操作信息(如操作用户、操作语句、操作对象、操作是否成功、操作错误信息等)记录到日志踪迹表中,并将这些操作信息连同日志配置ID信息发送到安全事件筛选单元。
上述日志配置表需预先配置。图4为日志配置与匹配过程。其中:
日志配置过程为:审计员首先通过SQL语句指定日志配置的相关信息,包括数据库操作(如Select操作)、操作主体用户(如用户U)、操作客体对象(如数据表T)、操作结果(如成功操作)。然后系统对这条日志配置语句进行分析,判断该条配置信息是否合理(如,需要判断数据表T是否存在),如果合理,则系统将日志配置语句中的属性提取出来,写入日志配置表中,反之,日志配置操作失败。
日志匹配过程为:
步骤1.1 系统将数据库操作信息进行解析,如,把一条Select语句解析成(用户U,操作Select,查询对象O,操作是否成功S)的四元组。
步骤1.2 系统查找日志配置表,查询是否存在满足步骤1.1中查找出来的四元组的相关配置信息。如果不存在相关配置信息,流程结束。如果存在满足条件的配置信息,系统生成一条日志踪迹信息记录,并将该记录写入日志踪迹表中。
2安全事件筛选步骤
安全事件筛选过程详见流程图5。安全事件筛选单元获取日志收集单元发送的日志配置信息,查找安全事件配置表,判断安全事件配置表中是否存在该日志配置信息,如果不存在日志配置信息,则流程结束。如果存在该日志配置信息,则将该用户操作信息写入安全事件踪迹表中,并从安全事件配置表中获取与日志配置相关的安全事件配置ID,然后查找阈值配置信息表,由于阈值配置信息表中包含了与安全事件相关的阈值配置ID,因此可以判断阈值配置表中是否存在与安全事件配置ID相关的阈值信息,如果存在,则返回阈值配置表中相关阈值配置信息。
安全事件筛选单元由安全事件配置表和安全事件踪迹表所组成,主要作用是对日志事件进行过滤,把与系统安全不相关的日志事件过滤出去,与安全相关的安全事件则由阈值分析模块进行审计分析。审计员也可以查看安全事件踪迹表信息,以查看安全相关的操作信息。
3阈值配置步骤
在安全事件筛选步骤中,安全事件筛选单元获得了日志配置相关信息,以及与该日志配置相关的审计阈值配置信息。阈值分析单元得到这些信息后,将进行阈值分析。在说明阈值分析过程之前,首先介绍一下进行阈值配置的过程。
阈值配置流程详见图6。阈值配置分为配置事件类阈值与配置序列类阈值两类,其流程大致相同。阈值配置流程具体步骤为:
步骤3.1审计员选择与阈值相关的日志配置。如果是配置事件类阈值,则只需指定一个日志配置信息;如果配置序列类阈值,则需要指定一组日志配置信息。
步骤3.2审计管理员配置阈值属性,包括阈值大小、触发事件、阈值作用时间、用户操作是否成功等相关阈值信息。
步骤3.3系统在安全事件配置表中,查找是否存在与日志配置相关的安全事件配置,如果不存在,则自动创建安全事件配置信息,并将安全事件信息写入安全事件配置表。
步骤3.4系统创建一条阈值配置信息,将信息写入阈值配置表中。
步骤3.5系统创建一条阈值配置信息表记录,记录下安全事件与阈值配置的对应关系,并写入阈值配置信息表中。
4阈值分析步骤
阈值分析是整个审计分析流程的关键,在本发明中采用状态分析法进行阈值分析。当发生一件与阈值相关的数据库事件后,系统将对相关的阈值状态进行修改,并在恰当的时候增加一条阈值状态。在阈值分析中,采用阈值状态表记录阈值状态。
阈值分析如图7所示,具体步骤为:
步骤4.1判断安全事件对应的阈值是属于事件类阈值还是阈值类阈值,如果是事件类阈值,则进行事件类阈值的处理步骤4.2;如果是序列类阈值,则进入序列类阈值的处理步骤4.3。
步骤4.2对事件类阈值进行处理,流程见图8。该处理包括以下步骤:
步骤4.2.1 查找阈值状态表,获取一组相关的事件类阈值状态信息,筛选出作用时间未超过阈值定制的有效时间的阈值信息。
步骤4.2.2 判断这组状态信息中,是否存在将要达到阈值的状态信息,如果存在,则修改该状态信息状态为“已达到阈值”,并删除其他相关的状态信息,阈值分析流程结束,触发响应事件。如果没有,则继续步骤4.2.3。
步骤4.2.3 修改这组状态信息,将信息中的阈值完成步骤数加一。
步骤4.2.4 增加一条阈值状态信息,该状态信息包含了以下信息:该阈值状态ID、阈值状态开启的起始时间、阈值状态的完成步骤(设为一)、阈值状态相关的阈值配置ID、阈值状态类型(事件类、序列类阈值)。
步骤4.2.5 阈值分析流程结束。
步骤4.3 对序列类阈值进行处理,流程见图9。该处理包括以下步骤:
步骤4.3.1 查找阈值状态表,获取相关的序列类阈值状态信息,并对这组阈值状态信息进行筛选,筛选条件包括以下两条:阈值状态没有过期;安全事件为阈值状态的下一状态相关事件。
步骤4.3.2 判断该安全事件是否会使某条序列类阈值状态达到阈值,如果存在相关阈值状态信息,则修改该状态信息状态为“已达到阈值”,并删除其他相关的状态信息,阈值分析流程结束,触发响应事件。如果没有达到阈值的状态,则继续步骤4.3.3。
步骤4.3.3 修改这组状态信息,将信息中的阈值状态发生次数加一。
步骤4.3.4 判断该安全事件是否对应了序列类阈值配置的第一条安全事件,如果是,则增加一条新的阈值状态信息。
5实时响应步骤
如果用户操作达到了审计员定制的阈值大小,则引发触发事件。安全响应单元从阈值配置表中获取阈值相关的触发事件ID,然后读取触发事件表,按照触发事件表中定义的操作进行实时响应。响应事件包括切断用户连接、锁定用户及安全警报等。
下面介绍应用实例。
在航天供应链系统中,对内部数据的安全性要求很高,该系统使用了具有审计分析功能的Oscar数据库系统。航天供应链项目设有一个办公室用户,该用户负责对供应链项目中的批文进行相关处理,故要求对任何登陆该办公室的用户进行审计分析,以防止黑客进行密码攻击。
审计管理员为办公室用户设置了办公室密码攻击阈值规则,该阈值规则定义为:如果某个用户使用办公室用户帐号进行登录,在一分钟内,如果某一用户连续四次登录失败,则达到了办公室密码攻击阈值规则设定的安全阈值,表明办公室用户帐号可能正在受到密码攻击。此时,系统启动响应事件,锁定该登陆用户帐号,待审计管理员核实情况后,再对该帐号锁定进行解除。为了实现这一阈值规则,审计员将执行以下操作,如图10所示:
操作1 审计员创建一条日志配置信息L1,对用户登录失败的事件进行记录。
操作2 审计员在L1的基础上,创建一条事件类阈值配置C1,阈值作用时间为1分钟,阈值大小为4,操作结果为失败操作。
操作3 审计员为事件类阈值配置设置触发事件,触发事件为锁定违反阈值的用户账号。
Claims (6)
1、一种数据库实时审计分析系统,其特征在于包括日志收集、安全事件筛选、阈值分析及安全响应诸单元,以及日志配置表、日志踪迹表、安全事件配置表、安全事件踪迹表、阈值配置信息表、阈值配置表、阈值状态表、触发事件表,其中:
日志收集单元依照日志配置表中的日志配置规则,对数据库用户的各种操作语句进行处理,并将处理后的结果整理记录到日志踪迹表中;
安全事件筛选单元根据安全事件配置表中的安全事件配置规则,对日志踪迹表中的日志信息进行筛选,选择出与阈值相关的日志信息送到阈值分析单元;
阈值分析单元根据阈值状态表中的阈值规则,对安全事件筛选单元输出的日志信息进行阈值分析,并将分析后的结果整理记录到阈值踪迹表中;
安全响应单元对阈值踪迹表中的违背阈值规则的用户操作语句进行响应。
2、一种数据库实时审计分析方法,其特征在于包括以下步骤:
日志匹配步骤:日志收集单元依照日志配置表,对数据库用户的各种操作语句进行处理,并将处理后的结果整理记录到日志踪迹表中;
安全事件筛选步骤:安全事件筛选单元根据安全事件配置表,对日志踪迹表中的日志信息进行筛选,选择出与阈值相关的日志信息,然后将该用户操作信息写入安全事件踪迹表中,这些日志信息称为安全事件;
阈值分析步骤:阈值分析单元根据阈值状态表,对安全事件筛选单元输出的安全事件进行阈值分析,并将分析后的结果整理记录到阈值踪迹表中;
实时响应步骤:安全响应单元对阈值踪迹表中的违背阈值规则的用户操作语句进行响应。
3、根据权利要求2所述的数据库实时审计分析方法,其特征在于:
所述日志匹配步骤包括:当数据库服务器端收到用户发送的SQL语句后,日志收集单元查找日志配置表中是否存在与用户SQL语句的操作相匹配的日志配置记录,如果不存在,则流程结束;如果存在,则将与该语句相关的操作信息记录到日志踪迹表中,并将与用户操作相关的配置信息发送到安全事件筛选单元;
所述安全事件筛选步骤包括:安全事件筛选单元获取日志收集单元发送的日志配置信息,查找安全事件配置表中是否存在该日志配置信息,如果存在,则将该用户操作信息写入安全事件踪迹表中,并从阈值配置信息表中获取与该日志配置相关的阈值配置信息;
所述阈值分析步骤包括:当发生与阈值相关的数据库事件后,阈值分析单元查找阈值状态表中是否存在将要达到阈值的状态信息,如果没有,便将信息中的阈值完成步骤数加一并增加一条阈值状态信息,如果存在,则修改该状态信息状态为“已达到阈值”并触发响应事件;
所述实时响应步骤包括:如果用户操作达到了审计员定制的阈值大小,则触发响应事件,安全响应单元从阈值配置表中获取与阈值相关的触发事件ID,然后读取触发事件表,按照触发事件表中定义的操作进行实时响应。
4、根据权利要求3所述的数据库实时审计分析方法,其特征在于:
所述日志匹配步骤进一步包括:
将数据库操作信息解析,得到数据库操作、操作主体、操作客体、操作结果;
查找日志配置表,查询是否存在与上一步骤中得出的信息相关的配置信息,如果不存在,流程结束;否则生成一条日志踪迹信息记录,并将该记录写入日志踪迹表中。
5、根据权利要求3所述的数据库实时审计分析方法,其特征在于:
在所述安全事件筛选步骤中,从安全事件配置表中获取与该日志配置相关的阈值配置信息的过程是:首先从安全事件配置表中获取与日志配置相关的安全事件配置ID,然后查找阈值配置信息表,判断阈值配置表中是否存在与安全事件配置ID相关的阈值信息,如果存在,则返回阈值配置表中相关阈值配置信息。
6、根据权利要求3所述的数据库实时审计分析方法,其特征在于所述阈值分析步骤进一步包括:
判断安全事件对应的阈值是属于事件类阈值还是序列类阈值;
如果是事件类阈值,则进行以下处理:
查找阈值状态表,获取一组相关的事件类阈值状态信息,筛选出作用时间未超过阈值定制的有效时间的阈值信息;
判断这组状态信息中是否存在将要达到阈值的状态信息,如果存在,则修改该状态信息状态为“已达到阈值”,并删除其他相关的状态信息,事件类阈值的阈值分析过程结束,触发响应事件,如果没有,则继续下面的步骤;
修改这组状态信息,将信息中的阈值完成步骤数加一;
增加一条阈值状态信息,该状态信息包含以下内容:该阈值状态ID、阈值状态开启的起始时间、阈值状态的完成步骤、与阈值状态相关的阈值配置ID、阈值状态类型;
事件类阈值的阈值分析过程结束;
如果是序列类阈值,则进行以下处理:
查找阈值状态表,获取相关的序列类阈值状态信息,并对这组阈值状态信息进行筛选,筛选条件包括以下两条:阈值状态没有过期,安全事件为阈值状态的下一状态相关事件;
判断该安全事件是否会使某条序列类阈值状态达到阈值,如果存在相关阈值状态信息,则修改该状态信息状态为“已达到阈值”,并删除其他相关的状态信息,阈值分析过程结束,触发响应事件,如果没有达到阈值的状态,则继续下面的步骤;
修改这组状态信息,将信息中的阈值状态发生次数加一;
判断该安全事件是否对应了序列类阈值配置的第一条安全事件,如果是,增加一条新的阈值状态信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710100360 CN101075256A (zh) | 2007-06-08 | 2007-06-08 | 数据库实时审计分析系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710100360 CN101075256A (zh) | 2007-06-08 | 2007-06-08 | 数据库实时审计分析系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101075256A true CN101075256A (zh) | 2007-11-21 |
Family
ID=38976309
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200710100360 Pending CN101075256A (zh) | 2007-06-08 | 2007-06-08 | 数据库实时审计分析系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101075256A (zh) |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009105954A1 (zh) * | 2008-02-29 | 2009-09-03 | 成都市华为赛门铁克科技有限公司 | 设备日志实时解析的方法、装置和系统 |
| WO2010099754A1 (zh) * | 2009-03-06 | 2010-09-10 | 成都市华为赛门铁克科技有限公司 | 一种发送日志信息的方法及装置 |
| CN101453378B (zh) * | 2008-12-30 | 2011-01-12 | 杭州华三通信技术有限公司 | 日志转储与审计的方法和系统 |
| CN102156740A (zh) * | 2011-04-15 | 2011-08-17 | 国都兴业信息审计系统技术(北京)有限公司 | Sql语句的处理方法及系统 |
| CN101763389B (zh) * | 2008-12-23 | 2012-02-08 | 中兴通讯股份有限公司 | 一种数据库资源的调控装置及方法 |
| CN102053970B (zh) * | 2009-10-30 | 2013-04-03 | 中国移动通信集团广西有限公司 | 一种数据库监控方法和系统 |
| CN101902366B (zh) * | 2009-05-27 | 2014-03-12 | 北京启明星辰信息技术股份有限公司 | 一种业务行为异常检测方法和系统 |
| CN104376254A (zh) * | 2013-08-16 | 2015-02-25 | 北京神州泰岳软件股份有限公司 | 一种日志审计方法及系统 |
| CN104392173A (zh) * | 2014-11-13 | 2015-03-04 | 普华基础软件股份有限公司 | 审计系统及审计检测方法 |
| CN104618192A (zh) * | 2015-02-12 | 2015-05-13 | 网神信息技术(北京)股份有限公司 | 数据库审计设备的测试方法和装置 |
| CN105045817A (zh) * | 2015-06-26 | 2015-11-11 | 司法部司法鉴定科学技术研究所 | 基于事务日志的SQL Server数据库取证分析系统及方法 |
| CN105550250A (zh) * | 2015-12-09 | 2016-05-04 | 百度在线网络技术(北京)有限公司 | 一种访问日志的处理方法及装置 |
| CN105721198A (zh) * | 2016-01-20 | 2016-06-29 | 中国科学院信息工程研究所 | 一种视频监控系统日志安全审计方法 |
| CN105930427A (zh) * | 2016-04-19 | 2016-09-07 | 深圳市深信服电子科技有限公司 | 数据库审计方法及装置 |
| CN106980637A (zh) * | 2016-09-28 | 2017-07-25 | 平安科技(深圳)有限公司 | Sql审核方法和装置 |
| CN107368404A (zh) * | 2017-08-02 | 2017-11-21 | 山东浪潮通软信息科技有限公司 | 一种审计管理方法及系统 |
| CN108572968A (zh) * | 2017-03-09 | 2018-09-25 | 腾讯科技(深圳)有限公司 | 一种数据查询方法、装置、服务器以及系统 |
| CN110147411A (zh) * | 2019-05-20 | 2019-08-20 | 平安科技(深圳)有限公司 | 数据同步方法、装置、计算机设备及存储介质 |
| CN110263004A (zh) * | 2019-05-08 | 2019-09-20 | 北京字节跳动网络技术有限公司 | 日志记录方法、装置、电子设备和存储介质 |
| CN111177081A (zh) * | 2019-12-31 | 2020-05-19 | 广州极尚网络技术有限公司 | 游戏日志内容查询方法、装置、计算机设备和存储介质 |
| CN112416909A (zh) * | 2020-12-11 | 2021-02-26 | 深圳昂楷科技有限公司 | 一种云上数据库审计方法、装置和服务器 |
| CN112800107A (zh) * | 2021-01-18 | 2021-05-14 | 湖北宸威玺链信息技术有限公司 | 一种新型的数据源安全鉴别方法及系统及装置及介质 |
| CN112860637A (zh) * | 2021-02-05 | 2021-05-28 | 广州海量数据库技术有限公司 | 一种基于审计策略来处理日志的方法及系统 |
| CN115801353A (zh) * | 2022-11-03 | 2023-03-14 | 智网安云(武汉)信息技术有限公司 | 基于大数据级安全事件日志实时聚合后联动剧本处理方法 |
-
2007
- 2007-06-08 CN CN 200710100360 patent/CN101075256A/zh active Pending
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009105954A1 (zh) * | 2008-02-29 | 2009-09-03 | 成都市华为赛门铁克科技有限公司 | 设备日志实时解析的方法、装置和系统 |
| CN101763389B (zh) * | 2008-12-23 | 2012-02-08 | 中兴通讯股份有限公司 | 一种数据库资源的调控装置及方法 |
| CN101453378B (zh) * | 2008-12-30 | 2011-01-12 | 杭州华三通信技术有限公司 | 日志转储与审计的方法和系统 |
| WO2010099754A1 (zh) * | 2009-03-06 | 2010-09-10 | 成都市华为赛门铁克科技有限公司 | 一种发送日志信息的方法及装置 |
| CN101902366B (zh) * | 2009-05-27 | 2014-03-12 | 北京启明星辰信息技术股份有限公司 | 一种业务行为异常检测方法和系统 |
| CN102053970B (zh) * | 2009-10-30 | 2013-04-03 | 中国移动通信集团广西有限公司 | 一种数据库监控方法和系统 |
| CN102156740A (zh) * | 2011-04-15 | 2011-08-17 | 国都兴业信息审计系统技术(北京)有限公司 | Sql语句的处理方法及系统 |
| CN102156740B (zh) * | 2011-04-15 | 2013-02-13 | 国都兴业信息审计系统技术(北京)有限公司 | Sql语句的处理方法及系统 |
| CN104376254B (zh) * | 2013-08-16 | 2017-08-04 | 北京神州泰岳软件股份有限公司 | 一种日志审计方法及系统 |
| CN104376254A (zh) * | 2013-08-16 | 2015-02-25 | 北京神州泰岳软件股份有限公司 | 一种日志审计方法及系统 |
| CN104392173A (zh) * | 2014-11-13 | 2015-03-04 | 普华基础软件股份有限公司 | 审计系统及审计检测方法 |
| CN104618192A (zh) * | 2015-02-12 | 2015-05-13 | 网神信息技术(北京)股份有限公司 | 数据库审计设备的测试方法和装置 |
| CN104618192B (zh) * | 2015-02-12 | 2020-08-21 | 网神信息技术(北京)股份有限公司 | 数据库审计设备的测试方法和装置 |
| CN105045817A (zh) * | 2015-06-26 | 2015-11-11 | 司法部司法鉴定科学技术研究所 | 基于事务日志的SQL Server数据库取证分析系统及方法 |
| CN105045817B (zh) * | 2015-06-26 | 2019-08-02 | 司法部司法鉴定科学技术研究所 | 基于事务日志的SQL Server数据库取证分析系统及方法 |
| CN105550250A (zh) * | 2015-12-09 | 2016-05-04 | 百度在线网络技术(北京)有限公司 | 一种访问日志的处理方法及装置 |
| CN105721198B (zh) * | 2016-01-20 | 2019-07-23 | 中国科学院信息工程研究所 | 一种视频监控系统日志安全审计方法 |
| CN105721198A (zh) * | 2016-01-20 | 2016-06-29 | 中国科学院信息工程研究所 | 一种视频监控系统日志安全审计方法 |
| CN105930427A (zh) * | 2016-04-19 | 2016-09-07 | 深圳市深信服电子科技有限公司 | 数据库审计方法及装置 |
| CN105930427B (zh) * | 2016-04-19 | 2019-07-26 | 深信服科技股份有限公司 | 数据库审计方法及装置 |
| CN106980637A (zh) * | 2016-09-28 | 2017-07-25 | 平安科技(深圳)有限公司 | Sql审核方法和装置 |
| CN106980637B (zh) * | 2016-09-28 | 2019-06-07 | 平安科技(深圳)有限公司 | Sql审核方法和装置 |
| CN108572968A (zh) * | 2017-03-09 | 2018-09-25 | 腾讯科技(深圳)有限公司 | 一种数据查询方法、装置、服务器以及系统 |
| CN108572968B (zh) * | 2017-03-09 | 2022-10-25 | 腾讯科技(深圳)有限公司 | 一种数据查询方法、装置、服务器以及系统 |
| CN107368404A (zh) * | 2017-08-02 | 2017-11-21 | 山东浪潮通软信息科技有限公司 | 一种审计管理方法及系统 |
| CN110263004A (zh) * | 2019-05-08 | 2019-09-20 | 北京字节跳动网络技术有限公司 | 日志记录方法、装置、电子设备和存储介质 |
| CN110147411A (zh) * | 2019-05-20 | 2019-08-20 | 平安科技(深圳)有限公司 | 数据同步方法、装置、计算机设备及存储介质 |
| CN111177081A (zh) * | 2019-12-31 | 2020-05-19 | 广州极尚网络技术有限公司 | 游戏日志内容查询方法、装置、计算机设备和存储介质 |
| CN111177081B (zh) * | 2019-12-31 | 2023-11-14 | 广州极尚网络技术有限公司 | 游戏日志内容查询方法、装置、计算机设备和存储介质 |
| CN112416909A (zh) * | 2020-12-11 | 2021-02-26 | 深圳昂楷科技有限公司 | 一种云上数据库审计方法、装置和服务器 |
| CN112800107A (zh) * | 2021-01-18 | 2021-05-14 | 湖北宸威玺链信息技术有限公司 | 一种新型的数据源安全鉴别方法及系统及装置及介质 |
| CN112800107B (zh) * | 2021-01-18 | 2023-02-03 | 湖北宸威玺链信息技术有限公司 | 一种数据源安全鉴别方法及系统及装置及介质 |
| CN112860637A (zh) * | 2021-02-05 | 2021-05-28 | 广州海量数据库技术有限公司 | 一种基于审计策略来处理日志的方法及系统 |
| CN115801353A (zh) * | 2022-11-03 | 2023-03-14 | 智网安云(武汉)信息技术有限公司 | 基于大数据级安全事件日志实时聚合后联动剧本处理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101075256A (zh) | 数据库实时审计分析系统及方法 | |
| US9692790B2 (en) | System and method of monitoring and controlling application files | |
| CA2710392C (en) | Automated forensic document signatures | |
| US9558368B2 (en) | System and methods for identifying compromised personally identifiable information on the internet | |
| Julisch | Data mining for intrusion detection: A critical review | |
| US20090164517A1 (en) | Automated forensic document signatures | |
| CN1694454A (zh) | 主动式网络安全漏洞检测器 | |
| CN105138709B (zh) | 一种基于物理内存分析的远程取证系统 | |
| CN101399658A (zh) | 一种安全日志分析方法及系统 | |
| AU2004200620A1 (en) | System and method of monitoring and controlling application files | |
| US20110040805A1 (en) | Techniques for parallel business intelligence evaluation and management | |
| CN112199677A (zh) | 一种数据处理方法和装置 | |
| CN1949240A (zh) | 用于计算机的电子数据取证方法和系统 | |
| Roschke et al. | Using vulnerability information and attack graphs for intrusion detection | |
| CN1556490A (zh) | 基于状态转换表的多源审计数据业务一致性判断方法 | |
| CN109254827B (zh) | 一种基于大数据与机器学习的虚拟机安全防护方法及系统 | |
| KR101104300B1 (ko) | 개인정보 데이터베이스의 접근을 위한 전용 툴을 포함한 접근 관리 시스템 및 방법 | |
| CN110619209A (zh) | 一种针对web入侵事件的分析和判断方法及系统 | |
| CN114500122B (zh) | 一种基于多源数据融合的特定网络行为分析方法和系统 | |
| WO2007075813A2 (en) | Enterprise-wide data identification, sharing and management, and searching forensic data | |
| Bian et al. | Application of Data Mining in Predictive Analysis of Network Security Model | |
| KR20110125966A (ko) | 문장 분석을 이용한 유의어 그룹 생성 방법 및 시스템 | |
| KR20100068352A (ko) | 대용량 웹로그마이닝 및 공격탐지를 위한 비트리인덱스벡터기반 웹로그 복구방법 | |
| CN107391597B (zh) | 一种多元数据采集方法及系统 | |
| TWI569165B (zh) | The method of grouping external sites through proxy logs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |