CN101388899B - 一种Web服务器前后台关联审计方法及系统 - Google Patents

一种Web服务器前后台关联审计方法及系统 Download PDF

Info

Publication number
CN101388899B
CN101388899B CN2007101216696A CN200710121669A CN101388899B CN 101388899 B CN101388899 B CN 101388899B CN 2007101216696 A CN2007101216696 A CN 2007101216696A CN 200710121669 A CN200710121669 A CN 200710121669A CN 101388899 B CN101388899 B CN 101388899B
Authority
CN
China
Prior art keywords
http
template
incident
events
sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2007101216696A
Other languages
English (en)
Other versions
CN101388899A (zh
Inventor
周涛
牟宪波
张辉
李新鹏
赵振东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Venus Information Technology Co Ltd
Original Assignee
Beijing Venus Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Venus Information Technology Co Ltd filed Critical Beijing Venus Information Technology Co Ltd
Priority to CN2007101216696A priority Critical patent/CN101388899B/zh
Publication of CN101388899A publication Critical patent/CN101388899A/zh
Application granted granted Critical
Publication of CN101388899B publication Critical patent/CN101388899B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种Web服务器前后台关联审计方法和系统,实现了后台与前台具体的http访问事件的关联。所述方法包括:通过安全审计设备分别获取前台和后台的访问事件,对前后台的访问事件进行序列划分;对划分后的事件序列进行序列模式挖掘,找出他们之间的时序关系;利用得到的关联关系,确定触发该后台访问的http访问。所述系统包括:序列划分模块、自学习模块、实时监测模块。本发明适用于对Web服务器的业务审计。

Description

一种Web服务器前后台关联审计方法及系统
技术领域
本发明涉及信息安全领域,具体涉及一种Web服务器前后台关联审计方法及系统。
背景技术
随着网络技术的发展,信息安全问题越来越受到重视。为了更好地对重要服务器实施保护,网络安全审计产品得到了广泛的应用。它能够实时监测和记录用户对服务器的访问信息,并按照设定的规则对用户访问行为进行报警、阻断等操作。
在安全审计产品的应用场合中,一个重要的应用场景是对Web服务器和后台数据库的访问行为审计。目前越来越多的应用系统采用了B/S(Browser/Server,浏览器/服务器)架构,这种应用系统一般分为三层结构:浏览器客户端、Web服务器、数据库服务器。通常的流程是:用户通过浏览器客户端,利用自己的帐户登录Web服务器,向服务器提交访问数据;Web服务器根据用户提交的数据构造SQL(结构化查询语言)语句,并利用唯一的帐户访问数据库服务器,提交SQL语句,接收数据库服务器返回结果并返回给用户。目前的安全审计产品一般可审计从浏览器到Web服务器的前台访问事件,以及从Web服务器到数据库服务器的后台访问事件。但由于后台访问事件采用的是唯一的帐户,对每个后台访问事件,难以确定是哪个前台访问事件触发了该事件。如果在后台访问事件中出现了越权访问、恶意访问等行为,难以定位到具体的前台用户上。
经对现有技术的文献检索发现,美国专利号US2007/0136312A1,专利名“SYSTEM AND METHOD FOR CORRELATING BETWEEN HTTP REQUESTSAND SQL QUERIES”(http请求与SQL请求关联方法及系统),提出了一种利用URL-SQL模板矩阵,将SQL语句与http(超文本传输协议)的URL(统一资源定位符)进行关联的方法。该方法生成一个每行表示一个URL,每列表示一种SQL模板的矩阵,当检测到一个数据库访问事件时,对于当前有访问请求记录的URL,在此类URL表示的行、该数据库访问事件的URL模板表示的列上所有的元素,其计数值均加1。最终如果某个元素的值超过了设定的阈值,则表示该元素的行对应的URL,与该元素列对应的SQL模板存在关联关系。这种方法在并发数较低的情况下,能够发现URL与SQL模板的关联关系,在并发数很高时,会使得在检测到数据库访问事件时,所有的URL上都存在访问记录,这样每个元素的值都加1,最终导致无法识别关联关系。此外,此方法无法检测到数据库访问事件之间的时间序列关系。
发明内容
本发明的目的在于针对现有发明的不足,提出了一种Web服务器前后台关联审计方法和系统,使得能够将后台的数据库访问事件序列,关联到前台具体的http访问事件上。
本发明是通过以下技术方案实现的:一种Web服务器前后台关联审计方法,通过安全审计设备分别获取前台http访问事件和后台数据库访问事件,所述方法包括以下步骤:
A.序列划分阶段:对前台的http访问事件和后台的数据库访问事件进行序列划分;
B.自学习阶段:对划分后的事件序列进行序列模式挖掘,找出前台http访问事件与后台数据库访问事件之间的时序关系;
C.实时检测阶段:利用得到的http访问事件与数据库访问事件之间的关联关系,在检测到数据库访问事件时,确定触发该数据库访问的http访问事件,实现Web服务器的前后台关联审计。
优选的是,本发明用http模板描述同类的http访问事件,http模板的内容包括但不局限于:数据提交的目标网页的URI(Uniform Resource Identifier,统一资源标识符)值,提交的Cookie(服务器传送到客户端本地的小的数据文件)的标识符,提交的参数的标识符。每个http模板都用一个唯一的ID号码进行标识。
优选的是,本发明用SQL模板描述同类的数据库访问事件,SQL模板的内容包括但不局限于:数据库操作类型,数据库名称,数据表名称,操作字段名称,条件子句中的字段名称,条件子句中的关系运算符。每个SQL模板都用一个唯一的ID号码进行标识。
优选的是,所述步骤A包括:
A1.获取http访问事件;
A2.获取一个时间窗内的数据库访问事件;
A3.通过关联分析判断每个数据库访问事件是否与http访问事件相关,如相关则保存在同一个事件序列中。
优选的是,所述步骤A3包括:
①将数据库访问事件中的参数值,与http访问事件中的参数值进行比较。如果二者匹配的程度超过事先设定的阈值,则关联成功,否则转下一步。
②判断该数据库访问事件的模板是否已经在当前事件序列中出现,若出现过则关联失败,否则关联成功。
可选的是,本发明可以通过调整http访问事件与数据库访问事件之间的关联关系,修改步骤B中挖掘出的序列模式。
优选的是,所述步骤C包括:
C1.为每个http模板创建一个事件链表,将观测到的http访问事件加入到对应的事件列表中;
C2.对后续时间窗内观测到的数据库访问事件,提取其SQL模板,并根据关联关系判断其从属于哪个http模板中的事件序列;
C3.从选定的http模板的事件序列中,根据SQL模板中的参数值,匹配事件序列中的参数值。选取匹配程度最高的http访问事件,作为该数据库访问事件的触发事件,将二者进行关联。
一种Web服务器前后台关联审计系统,包括序列划分模块、自学习模块和实时检测模块;
序列划分模块根据时间窗约束和匹配约束,将一个http访问事件触发的数据库访问事件划分为同一个事件序列;
自学习模块利用数据挖掘中的序列模式挖掘方法,从划分后的序列中发现前台http访问事件和后台的数据库访问事件之间的时序关系;
实时检测模块根据自学习模块生成的http访问事件和数据库访问事件之间的时序关系,在检测到数据库访问事件时,确定触发该数据库访问的http访问事件,实现Web服务器的前后台关联审计;
序列划分模块接受提取模板后的http访问事件和数据库访问事件,输出为划分后的事件序列,发送至自学习模块;自学习模块从中挖掘出事件之间的时序关系,发送至实时检测模块。
优选的是,本发明还包括http模板提取模块和SQL模板提取模块:
所述http模板提取模块用于从http访问事件中提取用于描述该类访问事件的模板,并给该模板分配一个全局唯一的ID号码;
所述SQL模板提取模块用于从数据库访问事件中提取用于描述该类访问事件的模板,并给该模板分配一个全局唯一的ID号码;
http模板提取模块接收前台http访问事件,输出为提取的http模板,发送至序列划分模块;SQL模板提取模块接收后台SQL访问事件,输出为提取的SQL模板,发送至序列划分模块。
本发明的有益效果是:
1.通过序列划分,将一个http访问事件与同其相关的数据库访问事件划分在同一个序列中,不相关的事件尽量避免划分在同一序列中,能够更加精确地判断数据库访问事件是由哪个http访问事件触发的,从而提高审计的准确性。
2.通过序列模式挖掘,不仅能够发现http访问事件与数据库访问事件之间的关联关系,在一个http访问事件触发多条数据库访问事件的情况下,还能发现事件之间的时序关系,从而实现对业务流程的审计。
3.采用http模板与SQL模板代表同类型的访问事件,通过数据挖掘与管理员设置相结合的方法,管理员可以对自学习阶段产生的事件序列模式进行调整,从而更准确地反映事件间的真实关联关系。
为了进一步说明本发明的原理及特性,以下结合附图和实例进行详细的说明。
附图说明
图1为Web服务器前后台关联审计系统部署图;
图2为Web服务器前后台关联审计系统结构示意图;
图3为序列划分阶段流程图;
图4为事件关联流程图。
具体实施方式
实施例一:
本实施例为Web服务器前后台关联审计系统部署方式,如图1所示。图中前台审计设备观测从客户端到Web服务器的http访问事件,后台审计设备观测从Web服务器到数据库服务器的数据库访问事件,二者均将观测到的访问事件发送至Web服务器前后台关联审计系统。
图2为Web服务器前后台关联审计系统结构示意图,该系统各模块之间的连接关系为:
序列划分模块101收集http模板提取模块104和SQL模板提取模块105的输出,并根据时间窗约束和匹配约束,将一个http访问事件触发的数据库访问事件划分为同一个事件序列;
自学习模块102根据序列划分模块101生成的事件序列中,利用数据挖掘中的序列模式挖掘方法,从中发现前台http访问事件和后台的数据库访问事件之间的时序关系;
实时检测模块103根据自学习模块102生成的http访问事件和数据库访问事件之间的时序关系,在检测到数据库访问事件时,确定触发该数据库访问的http访问事件,实现Web服务器的前后台关联审计。
实施例二:
本实施例为序列划分阶段流程,如图2所示,包括以下步骤:
步骤201:观测前台的http访问事件;
步骤202:判断该次访问是否提交了cookies值或参数值,如果提交了转步骤203,否则转步骤201;
步骤203:从http访问事件中提取http模板;
步骤204:判断该模板是否是一个新模板。如果是新模板转步骤205,否则转步骤206;
步骤205:为新模板分配一个ID号码标识,并用该标识表示该http访问事件;
步骤206:用该模板的ID号码表示该http访问事件;
步骤207:生成新的事件序列,将该http访问事件作为事件序列的起始事件;
步骤208:根据设定的时间窗,观测从前台http访问事件的时间开始,一个时间窗口内所有的数据库访问事件;
步骤209:遍历观测到的数据库访问事件,如果遍历完毕则结束本次序列划分过程;
步骤210:将当前数据库访问事件与http访问事件进行关联。如果关联成功转步骤211,否则转步骤209;
步骤211:将该事件保存在事件序列中。
实施例三
本实施例为数据库访问事件与http访问事件关联流程,如图3所示,包括以下步骤:
步骤301:从数据库访问事件中提取SQL模板和参数值;
步骤302:判断该SQL模板是否是一个新模板。如果是转步骤303,否则转步骤304。
步骤303:为该新模板分配一个ID号码标识,并用该标识表示该数据库访问事件;
步骤304:则此模板的ID号码表示该数据库访问事件;
步骤305:将数据库访问事件中的参数值,与http访问事件中的参数值进行比较。如果二者匹配度超过事先设定的阈值,则关联成功,否则转步骤306。匹配度的计算方法为:假设数据库访问事件中包含n个参数值,其中m个出现在http访问事件的cookies中或参数中,则匹配度为m/n。
步骤306:判断该模板是否已经在当前事件序列中出现,若出现过则关联失败,否则关联成功。
实施例四
本实施例为实施检测阶段流程,包括以下步骤:
步骤401:为每个http模板创建一个事件链表,初始链表均为空;
步骤402:从观测到的http访问事件中提取http模板,以及提交的cookies值和参数值,将该事件加入到该模板对应的事件链表中;
步骤403:对后续时间窗内观测到的数据库访问事件,提取其SQL模板,并根据关联关系判断其从属于哪个http模板中的事件序列;
步骤404:从选定的http模板的事件序列中,根据SQL模板中的参数值,匹配事件链表中各事件的参数值;选取匹配度最高的http访问事件;在匹配度相同的情况下,选择在链表中靠前的事件;作为该数据库访问事件的触发事件,将二者进行关联。
实施例五
本实施例为一个序列划分过程的具体实例。
设定前后台关联的时间窗为10秒,参数匹配的阈值为0.6。假设前台审计设备观测到如下http访问事件:
访问a:访问的目标URI为“/page1.asp”,提交的cookies值为“name:username1”,提交的参数包括:“para1=101,para2=102,para3=type1”。
在10秒内后台审计设备观测到如下数据库访问事件:
事件a:相应的SQL语句为:“select attributel form table1 where name=username 1”,操作的数据库对象为DB1;
事件b:相应的SQL语句为:“select attribute2 form table2 where para1=101and para2=102”,操作的数据库对象为DB2;
事件c:相应的SQL语句为1“select attribute3 form table3 where para3=1”,操作的数据库对象为DB3;
事件d:相应的SQL语句为:“select attribute1 form table1 where name=username 2”,操作的数据库对象为DB1;
关联审计系统收到http访问事件后,发现该事件包含提交参数和cookies,而且目前还没有http模板。因此为其生成http模板:URI为“/page1.asp”,cookies标识符为“name”,参数标识符为“para1”,“para2”和“para3”,该模板ID为H01。生成一个事件序列,将该事件作为第一个原始。目前事件序列为{H01}。
关联审计系统收到事件a后,发现目前还没有SQL模板。因此为其生成SQL模板:操作类型为“select”,数据库名为“DB1”,数据表为“table1”,操作字段为“attribute1”,条件子句中字段、关系运算符为{“name”,“=”},该模板ID为S01。关联审计系统发现事件a包含1个参数“username 1”,该参数与http访问事件的cookies中的参数相同,因此匹配度为1,满足阈值要求,将该事件的模板ID加入到事件序列中。目前事件序列为{H01,S01}。
关联审计系统收到事件b后,发现没有匹配的SQL模板。因此为其生成新的SQL模板:操作类型为“select”,数据库名为“DB2”,数据表为“table2”,操作字段为“attribute2”,条件子句中字段、关系运算符为{“para1”,“=”}和{“para2”,“=”},该模板ID为S02。关联审计系统发现事件b包含2个参数“101”、“102”,这2个参数均出现在http事件提交的参数中,因此匹配度为1,满足阈值要求,将该事件的模板ID加入到事件序列中。目前事件序列为{H01,S01,S02}。
关联审计系统收到事件c后,发现没有匹配的SQL模板。因此为其生成新的SQL模板:操作类型为“select”,数据库名为“DB3”,数据表为“table3”,操作字段为“attribute3”,条件子句中字段、关系运算符为{“para3”,“=”},该模板ID为S03。关联审计系统发现事件c包含1个参数“1”,这个参数未出现在http事件提交的参数或cookies中,匹配度为0,不满足阈值要求。但该事件的模板未出现在当前事件序列中,有可能是Web服务器在构造SQL语句时,将用户提交的某个参数进行了置换。因此将该事件的模板ID加入到事件序列中,目前事件序列为{H01,S01,S02,S03}。
关联审计系统收到事件d后,发现与SQL模板S01匹配,用ID“S01”表示该事件。关联审计系统发现事件d包含1个参数“username 2”,这个参数未出现在http事件提交的参数或cookies中,匹配度为0,不满足阈值要求。进一步发现,该事件ID已经出现在事件序列中。因此该事件可能是其他http访问触发的数据库访问事件,不将其加入到当前事件序列中,目前事件序列仍为{H01,S01,S02,S03}。
在完成多个序列划分过程后,可以得到一系列的事件序列。利用数据挖掘中的序列模式挖掘算法,可以发现这些事件序列中所存在的前后相关的时序关系。管理员可以根据业务系统的真实运行情况,通过调整http访问事件与数据库访问事件之间的关联关系,对自学习阶段产生的时序关系进行修改。
实施例六
本实施例为实时监测阶段的具体实例。
假设http模板和SQL模板如实施例五中所述,自学习阶段产生的关联关系为{H01,S01,S02,S03}。即一次模板类型为“H01”的http访问事件,会触发3个数据库访问事件,其类型分别为“S01”,“S02”和“S03”,且存在前后的时序关系。
假设http访问事件“访问a”,数据库访问事件“事件a”~ “事件d”均实施例五中所述,此外新观测到http访问事件如下:
访问b:访问的目标URI为“/page1.asp”,提交的cookies值为“name:username2”,提交的参数包括:“para1=201,para2=202,para3=type2”。
各个事件的名称、发生时间、事件模板ID如下表1所示:
表1
事件名称  发生时刻  模板ID
访问a  0  H01
访问b  2  H01
事件a  1  S01
事件b  4  S02
事件c  5  S03
事件d  3  S01
在时刻0,关联审计系统观测到访问a后,会为模板H01创建一个事件链表,将访问a加入到该链表;
在时刻1,关联审计系统观测到事件a后,会根据其模板ID查找可能匹配的事件链表。从关联关系中得知,该事件可能与模板H01对应的事件相关,为此从模板H01的事件链表中遍历事件。此时该链表包含1个元素,而且匹配成功,将事件a与访问a相关。
在时刻2,关联审计系统观测到访问b后,会将访问b加入到模板H01对应的事件链表的尾部,此时链表中包含2个事件;
在时刻3,关联审计系统观测到事件d后,会根据其模板ID查找可能匹配的事件链表。从关联关系中得知,该事件可能与模板H01对应的事件相关,为此从模板H01的事件链表中遍历事件。此时该链表包含2个元素,而且第一个元素中对应的事件已匹配,为此选取第2个元素进行匹配,而且匹配成功,将事件d与访问b相关;
在时刻4,关联审计系统观测到事件b后,会根据其模板ID查找可能匹配的事件链表。从关联关系中得知,该事件可能与模板H01对应的事件相关,为此从模板H01的事件链表中遍历事件。此时该链表包含2个元素,而且第一个元素中对应的事件未匹配,为此选取第1个元素进行匹配,而且匹配成功,将事件b与访问a相关;
在时刻5,关联审计系统观测到事件c后,会根据其模板ID查找可能匹配的事件链表。从关联关系中得知,该事件可能与模板H01对应的事件相关,为此从模板H01的事件链表中遍历事件。此时该链表包含2个元素,而且第一个元素中对应的事件未匹配,为此选取第1个元素进行匹配,而且匹配成功,将事件c与访问a相关。

Claims (8)

1.一种Web服务器前后台关联审计方法,通过安全审计设备分别获取前台超文本传输协议http访问事件和后台数据库访问事件,其特征在于包括以下步骤:
A.序列划分阶段:对前台的http访问事件和后台的数据库访问事件进行序列划分;
B.自学习阶段:对划分后的事件序列进行序列模式挖掘,找出前台http访问事件与后台数据库访问事件之间的时序关系;
C.实时检测阶段:利用得到的http访问事件与数据库访问事件之间的关联关系,在检测到数据库访问事件时,确定触发该数据库访问的http访问事件,实现Web服务器的前后台关联审计。
2.根据权利要求1所述的一种Web服务器前后台关联审计方法,其特征在于,用http模板描述同类的http访问事件,http模板的内容包括但不局限于:数据提交的目标网页的统一资源标识符URI值,提交的服务器传送到客户端本地的小的数据文件Cookie的标识符,提交的参数的标识符,每个http模板都用一个唯一的ID号码进行标识。
3.根据权利要求2所述的一种Web服务器前后台关联审计方法,其特征在于,用结构化查询语言SQL模板描述同类的数据库访问事件,SQL模板的内容包括但不局限于:数据库操作类型,数据库名称,数据表名称,操作字段名称,条件子句中的字段名称,条件子句中的关系运算符,每个SQL模板都用一个唯一的ID号码进行标识。
4.根据权利要求1所述的一种Web服务器前后台关联审计方法,其特征在于,所述步骤A包括:
A1.获取http访问事件;
A2.获取一个时间窗内的数据库访问事件;
A3.通过关联分析判断每个数据库访问事件是否与http访问事件相关,如相关则保存在同一个事件序列中。
5.根据权利要求4所述的一种Web服务器前后台关联审计方法,其特征在于,所述步骤A3包括:
①将数据库访问事件中的参数值,与http访问事件中的参数值进行比较,如果二者匹配的程度超过事先设定的阈值,则关联成功,否则转下一步,
②判断该数据库访问事件的模板是否已经在当前事件序列中出现,若出现过则关联失败,否则关联成功。
6.根据权利要求1所述的一种Web服务器前后台关联审计方法,其特征在于,可以通过调整http访问事件与数据库访问事件之间的关联关系,修改步骤B中挖掘出的序列模式。
7.根据权利要求3所述的一种Web服务器前后台关联审计方法,其特征在于,所述步骤C包括:
C1.为每个http模板创建一个事件链表,将观测到的http访问事件加入到对应的事件列表中;
C2.对后续时间窗内观测到的数据库访问事件,提取其SQL模板,并根据关联关系判断其从属于哪个http模板中的事件序列;
C3.从选定的http模板的事件序列中,根据SQL模板中的参数值,匹配事件序列中的参数值,选取匹配程度最高的http访问事件,作为该数据库访问事件的触发事件,将二者进行关联。
8.一种Web服务器前后台关联审计系统,其特征在于:包括序列划分模块、自学习模块、实时检测模块、http模板提取模块和SQL模板提取模块;
序列划分模块根据时间窗约束和匹配约束,将一个http访问事件触发的数据库访问事件划分为同一个事件序列;
自学习模块利用数据挖掘中的序列模式挖掘方法,从划分后的序列中发现前台http访问事件和后台的数据库访问事件之间的时序关系;
实时检测模块根据自学习模块生成的http访问事件和数据库访问事件之间的时序关系,在检测到数据库访问事件时,确定触发该数据库访问的http访问事件,实现Web服务器的前后台关联审计;
序列划分模块接受提取模板后的http访问事件和数据库访问事件,输出为划分后的事件序列,发送至自学习模块;自学习模块从中挖掘出事件之间的时序关系,发送至实时检测模块;
所述http模板提取模块用于从http访问事件中提取用于描述该类访问事件的模板,并给该模板分配一个全局唯一的ID号码;
所述SQL模板提取模块用于从数据库访问事件中提取用于描述该类访问事件的模板,并给该模板分配一个全局唯一的ID号码;
http模板提取模块接收前台http访问事件,输出为提取的http模板,发送至序列划分模块;SQL模板提取模块接收后台SQL访问事件,输出为提取的SQL模板,发送至序列划分模块。
CN2007101216696A 2007-09-12 2007-09-12 一种Web服务器前后台关联审计方法及系统 Expired - Fee Related CN101388899B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2007101216696A CN101388899B (zh) 2007-09-12 2007-09-12 一种Web服务器前后台关联审计方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2007101216696A CN101388899B (zh) 2007-09-12 2007-09-12 一种Web服务器前后台关联审计方法及系统

Publications (2)

Publication Number Publication Date
CN101388899A CN101388899A (zh) 2009-03-18
CN101388899B true CN101388899B (zh) 2011-07-27

Family

ID=40478074

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2007101216696A Expired - Fee Related CN101388899B (zh) 2007-09-12 2007-09-12 一种Web服务器前后台关联审计方法及系统

Country Status (1)

Country Link
CN (1) CN101388899B (zh)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102053970B (zh) * 2009-10-30 2013-04-03 中国移动通信集团广西有限公司 一种数据库监控方法和系统
CN101853289B (zh) * 2010-05-26 2012-10-17 杭州华三通信技术有限公司 一种Oracle数据库审计方法和设备
CN102411633A (zh) * 2011-12-27 2012-04-11 北京人大金仓信息技术股份有限公司 基于模板的数据库审计设置方法
US9430509B2 (en) * 2013-09-16 2016-08-30 Axis Ab Event timeline generation
CN103886024A (zh) * 2014-02-24 2014-06-25 上海上讯信息技术股份有限公司 一种基于多层业务关联的数据库审计方法及系统
WO2016006520A1 (ja) * 2014-07-07 2016-01-14 日本電信電話株式会社 検知装置、検知方法及び検知プログラム
CN104113598A (zh) * 2014-07-21 2014-10-22 蓝盾信息安全技术有限公司 一种数据库三层审计的方法
CN105373603B (zh) * 2015-11-09 2019-09-13 杭州安恒信息技术股份有限公司 一种提高三层关联精准度的方法
CN105868591A (zh) * 2016-03-23 2016-08-17 上海上讯信息技术股份有限公司 用户识别方法及设备
CN105743992B (zh) * 2016-04-01 2019-07-09 北京启明星辰信息安全技术有限公司 信息处理方法及装置
CN107122408A (zh) * 2017-03-24 2017-09-01 深圳昂楷科技有限公司 信息关联及其数据库审计方法、审计系统
CN107479988A (zh) * 2017-08-01 2017-12-15 西安交大捷普网络科技有限公司 基于dcom的三层关联审计方法
CN108512859A (zh) * 2018-04-16 2018-09-07 贵州大学 一种Web应用安全漏洞挖掘方法和装置
CN108632263A (zh) * 2018-04-25 2018-10-09 杭州闪捷信息科技股份有限公司 一种sql注入点的检测方法
CN108563954A (zh) * 2018-04-25 2018-09-21 杭州闪捷信息科技股份有限公司 基于关联web请求的数据库风险检测的方法
CN109451064B (zh) * 2018-12-26 2021-08-17 深圳左邻永佳科技有限公司 web应用的离线实现方法、装置、计算机设备和存储介质
CN111371868B (zh) * 2020-02-26 2023-02-03 北京奇艺世纪科技有限公司 关联web应用和客户端的方法、装置、设备、系统以及存储介质
CN111988295A (zh) * 2020-08-11 2020-11-24 程星星 一种数据库审计方法、装置、web服务器、数据库审计系统和存储介质
CN112199677A (zh) * 2020-11-03 2021-01-08 安徽中安睿御科技有限公司 一种数据处理方法和装置
CN112668003A (zh) * 2021-01-05 2021-04-16 浪潮云信息技术股份公司 一种基于人工智能的数据库安全审计监控方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1466313A (zh) * 2002-06-19 2004-01-07 华为技术有限公司 一种网管系统
CN1624703A (zh) * 2004-12-16 2005-06-08 宋亚萍 金融企业存款业务的审计方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1466313A (zh) * 2002-06-19 2004-01-07 华为技术有限公司 一种网管系统
CN1624703A (zh) * 2004-12-16 2005-06-08 宋亚萍 金融企业存款业务的审计方法

Also Published As

Publication number Publication date
CN101388899A (zh) 2009-03-18

Similar Documents

Publication Publication Date Title
CN101388899B (zh) 一种Web服务器前后台关联审计方法及系统
CN102158355B (zh) 一种可并发和断续分析的日志事件关联分析方法和装置
US20200053110A1 (en) Method of detecting abnormal behavior of user of computer network system
CN106375339B (zh) 基于事件滑动窗口的攻击模式检测方法
CN101267357B (zh) 一种sql注入攻击检测方法及系统
CN101610265B (zh) 一种业务工作流的流程识别方法
CN101883024B (zh) 一种跨站点伪造请求的动态检测方法
US20100088197A1 (en) Systems and methods for generating remote system inventory capable of differential update reports
KR101917807B1 (ko) 원본 데이터베이스의 부하를 최소화한 데이터 정합성 검증 방법 및 시스템
US20070016960A1 (en) NTO input validation technique
CN104572976B (zh) 网站数据更新方法和系统
CN103618652A (zh) 一种业务数据的审计和深度分析系统及其方法
CN113918526B (zh) 日志处理方法、装置、计算机设备和存储介质
CN114039758A (zh) 一种基于事件检测模式的网络安全威胁识别方法
CN112560029A (zh) 基于智能分析技术的网站内容监测和自动化响应防护方法
CN116074092B (zh) 一种基于异构图注意力网络的攻击场景重构系统
CN114721856A (zh) 业务数据处理方法、装置、设备及存储介质
CN111031025B (zh) 一种自动化检测验证Webshell的方法及装置
CN117240522A (zh) 基于攻击事件模型的漏洞智能挖掘方法
CN113672692A (zh) 数据处理方法、装置、计算机设备和存储介质
CN112632356A (zh) 一种网络信息数据分类采集方法
CN102521378A (zh) 基于数据挖掘的实时入侵检测方法
CN105893209A (zh) 一种监控方法、装置及系统
CN108427744B (zh) 一种基于信息运维的智能数据关联关系确定方法
US20190087484A1 (en) Capturing context using network visualization

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20110727

Termination date: 20170912

CF01 Termination of patent right due to non-payment of annual fee