CN103365963A - 数据库稽核系统合规性快速检验方法 - Google Patents
数据库稽核系统合规性快速检验方法 Download PDFInfo
- Publication number
- CN103365963A CN103365963A CN2013102476408A CN201310247640A CN103365963A CN 103365963 A CN103365963 A CN 103365963A CN 2013102476408 A CN2013102476408 A CN 2013102476408A CN 201310247640 A CN201310247640 A CN 201310247640A CN 103365963 A CN103365963 A CN 103365963A
- Authority
- CN
- China
- Prior art keywords
- sql statement
- database
- audit system
- coding
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了数据库稽核系统合规性快速检验方法。本发明将“黑白名单”模式引入到数据库审计产品中,使得数据库稽核系统能够快速在海量信息中筛选出可疑数据,有效地减少了每天的告警数量,极大地减轻了管理员的日常工作负担。
Description
技术领域
本发明涉及数据库系统技术领域,具体涉及数据库稽核系统合规性快速检验方法。
背景技术
鉴于数据库系统在每个企业IT信息化系统中的核心地位,无论是信息安全的防守方(用户)还是进攻方(窃密者、破坏者)都对数据库的数据安全非常重视。数据库安全的一个重要方面是数据库操作的审计。早期的数据库审计功能都是数据库系统本身提供的。由于这种数据库系统内置的审计功能具有很多先天不足,比如:需要消耗生产数据库系统本身的硬件资源、审计的粒度很粗、没有基于图形化的报表功能等等,使得这种数据库审计工具并没有被广泛使用。
后来,市场上出现了基于网络旁路监听方式的数据库审计产品。这类产品的特点是:
1、通过分析网络数据包来审计里面的SQL操作命令文本;
2、不占用任何生产数据库系统的硬件资源;
3、采用网络旁路方式部署,只需要在网络交换机上做端口映射即可。
这类产品主要提供以下几种功能:
1、记录所有的数据库操作指令,审计系统自身有一个数据库,用以存放所有捕获的生产数据库操作指令以及数据库会话信息;
2、实时分析数据库操作指令是否违规;
3、如果存在可疑的数据库违规操作,实时发出告警(短信、邮件等方式)。
上述第1项功能比较容易实现,只要能够拿到数据库网络通信协议的格式就可以做到。第3项也容易实现。但是第2项功能在实际生产环境中较难实现。因为在实际生产环境中,每天发往企业核心数据库的操作指令以万计,以一个较大型的三甲医院为例,每天发往数据库服务器的操作指令有三千万之多。要在这三千多万的操作指令中辨别出可疑的违规指令无异于大海捞针,而且还要具有“实时”的特点。否则,即使正确地找到了违规操作指令,也难以追溯到具体的操作者的身份了。
发明内容
本发明的目的在于提供数据库稽核系统合规性快速检验方法,解决了无法实时分析数据库操作指令是否违规的问题,即采用“黑白名单”方式解决了无法在海量数据库操作指令中,快速辨别出可疑的违规操作指令的问题。
为达到上述目的,本发明采用如下技术方案:
数据库稽核系统合规性快速检验方法,包括:
S1,设置判断规则搜索敏感的SQL语句,把数据库操作指令SQL语句进行HASH编码,每条SQL语句与HASH编码一一对应;
S2,建立黑白名单机制,对S1中搜索出的SQL语句进行鉴别;如果属于正常的应用程序产生的SQL语句,或者属于无害的SQL语句,将该SQL语句放入到白名单中;如果属于可疑的违规操作就将SQL语句直接放入黑名单中进行报警;
S3,如果一条SQL语句的HASH编码不在白名单也不在黑名单中,数据库稽核系统就会把该SQL语句放入告警名单中通知管理员进行人工鉴别。
进一步,
在步骤S1中:
T1,网络数据包解包模块将数据解包;
T2,导出SQL语句及数据库会话信息;
T3,判断SQL语句是否涉及敏感数据;
T4,对SQL语句进行HASH编码,每条SQL语句与HASH编码一一对应;
在步骤S2中:
T5,判断SQL语句是否在黑名单中,若是则进入步骤T6,若否则进入步骤T8;
T6,告警模块发短信、邮件通知管理员;
T7,把SQL语句以及数据库会话信息存入审计数据库中;
T8,进入违规操作处理程序,流程结束;
T9,判断编码是否在白名单中,若是则进入步骤T10,若否则进入步骤T11;
T10,把SQL语句以及数据库会话信息存入审计数据库中,然后回到步骤T2对下一个SQL语句进行判断操作;
在步骤S3中
T11,告警模块发短信、邮件通知管理员;
T12,人工鉴别该SQL语句是否真正违规,若是则进入步骤T13,若否则进入步骤T10;
T13,把SQL语句的编码放入黑名单,进入步骤T7;
进一步,在步骤T1中,网络数据包解包模块源源不断地把捕获的SQL语句以及数据库会话信息存入临时文件中,以待数据库稽核系统逐个进行检查。
进一步,在步骤S2中,在初始化“黑白名单”时,有两种方法:一种是通过人工方式;另一种是自动方式,让审计系统自动完成初始化工作。
进一步,人工方式指在1个业务周期内,管理员手工进行SQL语句鉴别,将正常的SQL语句放入白名单中。
进一步,自动方式指在1个业务周期内,在能够确保安全的情况下,审计系统通过学习规则自动判断SQL语句是否应该放入白名单中。
与现有技术相比,本发明的有益效果如下:
本发明将“黑白名单”模式引入到数据库审计产品中,使得数据库稽核系统能够快速在海量信息中筛选出可疑数据,有效地减少了每天的告警数量,极大地减轻了管理员的日常工作负担。本发明中的数据库稽核系统就是基于网络旁听审计模式的数据库稽核系统。
如果没有在数据库稽核系统中引入“黑白名单”模式,只能通过文本检索方式对捕获的所有SQL语句进行过滤。这样,不仅速度慢,没有时效性,而且会占用审计系统宝贵的硬件资源,严重时,审计系统的解包模块会因为性能问题而错过网络数据包。另外,每天都需要管理员对数以万计的SQL语句进行人工鉴别也是不现实的。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明数据库稽核系统合规性快速检验方法实施例的流程示意图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
本发明实施例中的数据库审计系统就是基于网络旁听审计模式的数据库稽核系统。
本实施例数据库稽核系统合规性快速检验方法,包括:
S1,根据客户最为关心的数据设置判断规则,一旦SQL语句满足这些规则就意味着该操作涉及到了敏感数据,即根据判断规则搜索敏感的SQL语句,把数据库操作指令SQL语句进行HASH编码,每条SQL语句与HASH编码一一对应;
S2,建立黑白名单机制,对S1中搜索出的SQL语句进行鉴别;如果属于正常的应用程序产生的SQL语句,或者属于无害的SQL语句,将该SQL语句放入到白名单中;如果属于可疑的违规操作就将SQL语句直接放入黑名单中进行报警;
S3,如果一条SQL语句的HASH编码不在白名单也不在黑名单中,数据库稽核系统就会把该SQL语句放入告警名单中通知管理员进行人工鉴别。
作为对本实施例的进一步说明,如图1所示,本实施例的具体流程如下:
在步骤S1中:
T1,网络数据包解包模块将数据解包;网络数据包解包模块源源不断地把捕获的SQL语句以及数据库会话信息存入临时文件中,以待数据库稽核系统逐个进行检查;
T2,导出SQL语句及数据库会话信息;
T3,判断SQL语句是否涉及敏感数据;
T4,对SQL语句进行HASH编码,每条SQL语句与HASH编码一一对应;
在步骤S2中:
T5,判断SQL语句是否在黑名单中,若是则进入步骤T6,若否则进入步骤T8;
T6,告警模块发短信、邮件通知管理员;
T7,把SQL语句以及数据库会话信息存入审计数据库中;
T8,进入违规操作处理程序,流程结束;
T9,判断编码是否在白名单中,若是则进入步骤T10,若否则进入步骤T11;
T10,把SQL语句以及数据库会话信息存入审计数据库中,然后回到步骤T2;
在步骤S3中
T11,告警模块发短信、邮件通知管理员;
T12,人工鉴别该SQL语句是否真正违规,若是则进入步骤T13,若否则进入步骤T10;
T13,把SQL语句的编码放入黑名单,进入步骤T7;
作为对本实施例的进一步说明,在步骤S2中,在初始化“黑白名单”时,有两种方法:一种是通过人工方式;另一种是自动方式,让审计系统自动完成初始化工作。在步骤S2中,一开始可采用人工方式鉴别SQL语句,将SQL语句分别放入黑名单或白名单,黑名单和白名单的数据量较为稳定时,可采用自动方式鉴别SQL语句是属于黑名单还是白名单。白名单中的SQL语句数量会越来越多,但是鉴于每套应用系统都属于比较稳定的系统,其SQL语句总数基本上是有限的,所以经过一个业务周期后,白名单的SQL语句数量会稳定在一个数量上;考虑到经过一个业务周期后,白名单已经涵盖了几乎所有的正常的SQL语句,那些不在白名单中的SQL语句的数量就不会太大,这也极大地减轻了管理员进行人工鉴别的负担。
本实施例中的人工方式指在1个业务周期内,管理员手工进行SQL语句鉴别,将正常的SQL语句放入白名单中。自动方式指在1个业务周期内,在能够确保安全的情况下,审计系统通过学习规则自动判断SQL语句是否应该放入白名单中。
本实施例中,数据库稽核系统将“黑白名单”思路应用到数据库审计技术方案中,使得该数据库稽核系统能够快速定位出某条数据库操作指令是否属于可疑的违规操作。
本实施例数据库稽核系统合规性快速检验方法的其它技术参加现有技术。
本实施例将“黑白名单”模式引入到数据库审计产品中,使得数据库稽核系统能够快速在海量信息中筛选出可疑数据,有效地减少了每天的告警数量,极大地减轻了管理员的日常工作负担。
如果没有在数据库稽核系统中引入“黑白名单”模式,只能通过文本检索方式对捕获的所有SQL语句进行过滤。这样,不仅速度慢,没有时效性,而且会占用审计系统宝贵的硬件资源,严重时,审计系统的解包模块会因为性能问题而错过网络数据包。另外,每天都需要管理员对数以万计的SQL语句进行人工鉴别也是不现实的。
本发明并不局限于上述实施方式,如果对本发明的各种改动或变型不脱离本发明的精神和范围,倘若这些改动和变型属于本发明的权利要求和等同技术范围之内,则本发明也意图包含这些改动和变型。
Claims (6)
1.数据库稽核系统合规性快速检验方法,其特征在于,包括:
S1,设置判断规则搜索敏感的SQL语句,把数据库操作指令SQL语句进行HASH编码,每条SQL语句与HASH编码一一对应;
S2,建立黑白名单机制,对S1中搜索出的SQL语句进行鉴别;如果属于正常的应用程序产生的SQL语句,或者属于无害的SQL语句,将该SQL语句放入到白名单中;如果属于可疑的违规操作就将SQL语句直接放入黑名单中进行报警;
S3,如果一条SQL语句的HASH编码不在白名单也不在黑名单中,数据库稽核系统就会把该SQL语句放入告警名单中通知管理员进行人工鉴别。
2.如权利要求1所述数据库稽核系统合规性快速检验方法,其特征在于,包括:
在步骤S1中:
T1,网络数据包解包模块将数据解包;
T2,导出SQL语句及数据库会话信息;
T3,判断SQL语句是否涉及敏感数据;
T4,对SQL语句进行HASH编码,每条SQL语句与HASH编码一一对应;
在步骤S2中:
T5,判断SQL语句是否在黑名单中,若是则进入步骤T6,若否则进入步骤T8;
T6,告警模块发短信、邮件通知管理员;
T7,把SQL语句以及数据库会话信息存入审计数据库中;
T8,进入违规操作处理程序,流程结束;
T9,判断编码是否在白名单中,若是则进入步骤T10,若否则进入步骤T11;
T10,把SQL语句以及数据库会话信息存入审计数据库中,然后回到步骤T2对下一个SQL语句进行判断操作;
在步骤S3中
T11,告警模块发短信、邮件通知管理员;
T12,人工鉴别该SQL语句是否真正违规,若是则进入步骤T13,若否则进入步骤T10;
T13,把SQL语句的编码放入黑名单,进入步骤T7。
3.如权利要求2所述数据库稽核系统合规性快速检验方法,其特征在于:在步骤T1中,网络数据包解包模块源源不断地把捕获的SQL语句以及数据库会话信息存入临时文件中,以待数据库稽核系统逐个进行检查。
4.如权利要求1所述数据库稽核系统合规性快速检验方法,其特征在于,在步骤S2中,在初始化“黑白名单”时,有两种方法:一种是通过人工方式;另一种是自动方式,让审计系统自动完成初始化工作。
5.如权利要求4所述数据库稽核系统合规性快速检验方法,其特征在于:人工方式指在1个业务周期内,管理员手工进行SQL语句鉴别,将正常的SQL语句放入白名单中。
6.如权利要求4或5所述数据库稽核系统合规性快速检验方法,其特征在于:自动方式指在1个业务周期内,在能够确保安全的情况下,审计系统通过学习规则自动判断SQL语句是否应该放入白名单中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310247640.8A CN103365963B (zh) | 2013-06-20 | 2013-06-20 | 数据库稽核系统合规性快速检验方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310247640.8A CN103365963B (zh) | 2013-06-20 | 2013-06-20 | 数据库稽核系统合规性快速检验方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103365963A true CN103365963A (zh) | 2013-10-23 |
| CN103365963B CN103365963B (zh) | 2016-06-01 |
Family
ID=49367304
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310247640.8A Active CN103365963B (zh) | 2013-06-20 | 2013-06-20 | 数据库稽核系统合规性快速检验方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103365963B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106778288A (zh) * | 2015-11-24 | 2017-05-31 | 阿里巴巴集团控股有限公司 | 一种数据脱敏的方法及系统 |
| CN103984902B (zh) * | 2014-05-26 | 2017-06-30 | 中电长城网际系统应用有限公司 | 一种新增数据资产的识别方法和系统 |
| CN108279992A (zh) * | 2017-12-29 | 2018-07-13 | 山东浪潮通软信息科技有限公司 | 一种数据校验方法及装置 |
| CN109408525A (zh) * | 2018-10-09 | 2019-03-01 | 河海大学 | 一种农业数据库sql语句安全检测方法及系统 |
| CN111221804A (zh) * | 2019-12-27 | 2020-06-02 | 北京健康之家科技有限公司 | 基于抽象语法树的防数据越权方法、装置及存储介质 |
| CN112669134A (zh) * | 2020-12-31 | 2021-04-16 | 山东浪潮通软信息科技有限公司 | 一种通过稽核规则机器学习实现稽核智能化的方法及设备、介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006089034A2 (en) * | 2005-02-17 | 2006-08-24 | Sbc Knowledge Ventures, L.P. | Method and system of auditing databases for security compliance |
| CN101924761A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种依据白名单进行恶意程序检测的方法 |
| CN102609462A (zh) * | 2012-01-14 | 2012-07-25 | 杭州安恒信息技术有限公司 | 一种通过提取sql模板对海量sql压缩存储的方法 |
| CN202652255U (zh) * | 2012-05-25 | 2013-01-02 | 中国电力科学研究院 | 一种sql注入安全防护系统 |
| CN102915376A (zh) * | 2012-11-13 | 2013-02-06 | 北京神州绿盟信息安全科技股份有限公司 | 检测数据库异常行为的方法和设备 |
-
2013
- 2013-06-20 CN CN201310247640.8A patent/CN103365963B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006089034A2 (en) * | 2005-02-17 | 2006-08-24 | Sbc Knowledge Ventures, L.P. | Method and system of auditing databases for security compliance |
| CN101924761A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种依据白名单进行恶意程序检测的方法 |
| CN102609462A (zh) * | 2012-01-14 | 2012-07-25 | 杭州安恒信息技术有限公司 | 一种通过提取sql模板对海量sql压缩存储的方法 |
| CN202652255U (zh) * | 2012-05-25 | 2013-01-02 | 中国电力科学研究院 | 一种sql注入安全防护系统 |
| CN102915376A (zh) * | 2012-11-13 | 2013-02-06 | 北京神州绿盟信息安全科技股份有限公司 | 检测数据库异常行为的方法和设备 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103984902B (zh) * | 2014-05-26 | 2017-06-30 | 中电长城网际系统应用有限公司 | 一种新增数据资产的识别方法和系统 |
| CN106778288A (zh) * | 2015-11-24 | 2017-05-31 | 阿里巴巴集团控股有限公司 | 一种数据脱敏的方法及系统 |
| WO2017088683A1 (zh) * | 2015-11-24 | 2017-06-01 | 阿里巴巴集团控股有限公司 | 一种数据脱敏的方法及系统 |
| CN106778288B (zh) * | 2015-11-24 | 2019-08-09 | 阿里巴巴集团控股有限公司 | 一种数据脱敏的方法及系统 |
| CN108279992A (zh) * | 2017-12-29 | 2018-07-13 | 山东浪潮通软信息科技有限公司 | 一种数据校验方法及装置 |
| CN109408525A (zh) * | 2018-10-09 | 2019-03-01 | 河海大学 | 一种农业数据库sql语句安全检测方法及系统 |
| CN111221804A (zh) * | 2019-12-27 | 2020-06-02 | 北京健康之家科技有限公司 | 基于抽象语法树的防数据越权方法、装置及存储介质 |
| CN112669134A (zh) * | 2020-12-31 | 2021-04-16 | 山东浪潮通软信息科技有限公司 | 一种通过稽核规则机器学习实现稽核智能化的方法及设备、介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103365963B (zh) | 2016-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103365963A (zh) | 数据库稽核系统合规性快速检验方法 | |
| CN104063473B (zh) | 一种数据库审计监测系统及其方法 | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| CN104539514B (zh) | 消息过滤方法和装置 | |
| CN102231873A (zh) | 垃圾短信监控方法、系统和监控处理装置 | |
| CN107067324A (zh) | 一种利用网络抓包数据实现交易风险控制的方法和系统 | |
| CN106815125A (zh) | 一种日志审计方法及平台 | |
| CN109254901B (zh) | 一种指标监测方法及系统 | |
| CN108881263A (zh) | 一种网络攻击结果检测方法及系统 | |
| CN104246786A (zh) | 模式发现中的字段选择 | |
| CN103763124A (zh) | 一种互联网用户行为分析预警系统及方法 | |
| CN107004086A (zh) | 安全信息和事件管理 | |
| CN103618652A (zh) | 一种业务数据的审计和深度分析系统及其方法 | |
| CN106779485A (zh) | 基于soa架构的综合管理系统及数据处理方法 | |
| CN111046022A (zh) | 一种基于大数据技术的数据库审计方法 | |
| CN108932428A (zh) | 一种勒索软件的处理方法、装置、设备及可读存储介质 | |
| CN106911675B (zh) | 一种手机恶意软件预警方法和装置 | |
| CN111046415A (zh) | 一种涉密文件的智能分级预警系统及其方法 | |
| CN104239178A (zh) | 监控系统及其方法 | |
| CN109344137A (zh) | 一种日志存储方法及系统 | |
| CN117596078B (zh) | 一种基于规则引擎实现的模型驱动用户风险行为判别方法 | |
| CN106375351B (zh) | 一种异常域名检测的方法及装置 | |
| CN109067587A (zh) | 关键信息基础设施的确定方法及装置 | |
| CN102945254A (zh) | 在tb级海量审计数据中发现异常数据的方法 | |
| CN111901199A (zh) | 一种基于海量数据的快速预警匹配实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP03 | Change of name, title or address |
Address after: 510635 Guangzhou science and Technology Development Zone, Guangdong high tech Industrial Development Zone, science and technology road, No. 3, building No. 203, room 2 Patentee after: Guangzhou Sam technology Touchplus information Corp Address before: 510635 Guangzhou City, Guangdong province high tech Industrial Development Zone, Science City Road, No. 3, building A5, room four, Room 403 Patentee before: Guangzhou SAM Science & Technology Information Co., Ltd. |
|
| CP02 | Change in the address of a patent holder |
Address after: 510635 Guangzhou science and Technology Development Zone, Guangdong high tech Industrial Development Zone, No. 3, building A2 building, room No. 203 Patentee after: Guangzhou Sam technology Touchplus information Corp Address before: 510635 Guangzhou science and Technology Development Zone, Guangdong high tech Industrial Development Zone, science and technology road, No. 3, building No. 203, room 2 Patentee before: Guangzhou Sam technology Touchplus information Corp |
|
| CP02 | Change in the address of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210521 Address after: Room 203, building A2, No.3, Keke Road, Science City, Guangzhou hi tech Industrial Development Zone, Guangdong 510670 Patentee after: SYM Technology (Guangdong) Co.,Ltd. Address before: 510635 Room 203, building A2, No.3, Keke Road, Science City, Guangzhou high tech Industrial Development Zone, Guangdong Province Patentee before: GUANGZHOU SAM TECHNOLOGY INFORMATION Co.,Ltd. |
|
| TR01 | Transfer of patent right |