CN103678547A - 一种自学习的数据库安全审计系统及方法 - Google Patents
一种自学习的数据库安全审计系统及方法 Download PDFInfo
- Publication number
- CN103678547A CN103678547A CN201310646496.5A CN201310646496A CN103678547A CN 103678547 A CN103678547 A CN 103678547A CN 201310646496 A CN201310646496 A CN 201310646496A CN 103678547 A CN103678547 A CN 103678547A
- Authority
- CN
- China
- Prior art keywords
- feature
- database
- feature database
- eigenwert
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种自学习的数据库安全审计系统,该系统包括客户端连接审计模块、访问语句审计模块、频率分析模块和人工配置模块。此外,本发明还公开了一种自学习的数据库安全审计方法。通过本发明能够历史访问记录不断地认识系统,然后基于这种认识来分析当前的访问数据,从而发现潜在的风险,而且利用本发明不需要进行复杂的配置,且能较好地适应环境的变化。
Description
技术领域
本发明涉及数据库审计技术领域,尤其涉及一种自学习的数据库安全审计系统及方法。
背景技术
数据库安全审计是针对某一特定的数据库的访问进行安全监控的一种技术,通过对数据库的访问进行监控,及时发现一些非法的访问和操作,从而做出有效的防范和补救措施。
现有的数据库安全审计系统通常是通过设置策略的方式来发现非法访问,当命中策略后进行报警,从而发现威胁。这种方法将系统的安全范围限制的太小,容易造成误报漏报,从而难以发现真正的威胁。
有一些系统可以将抓取到的数据库访问数据进行统计审计,从而发现威胁。这种方法配置起来非常复杂,并且难以适应环境的变化。
发明内容
本发明的目的是为了克服现有技术的缺陷,提供一种自学习的数据库安全审计系统,该系统包括客户端连接审计模块、访问语句审计模块、频率分析模块和人工配置模块。
其中,客户端连接审计模块对属性组进行分析并生成特征值。
访问语句审计模块对每一条数据库访问SQL语句,将除去常量值后的剩余部分进行计算生成特征值。
频率分析模块系统周期性地检查特征命中标识,如果命中标识有置位,则重新置空,如果命中标识没有置位,则将此特征值从特征库中删除。
人工配置模块将手动在特征库中添加特征项,节省系统学习时间,快速适应系统变更。
此外,本发明还提供了一种自学习的数据库安全审计方法,该方法包括以下步骤:
首先搭建好系统,初始化系统数据,对每个登录的连接,查找特征库,如果在特征库中存在,则将命中标识置位,如果在特征库中不存在,系统将进行报警,管理员选择是否信任此特征值,如果信任,则将此特征值加入特征库。
对每一条数据库访问SQL语句,将除去常量值,例如日期、数字、字符串,对剩余部分进行计算生成特征值。
同样,对每条访问语句,查找特征库,如果在特征库中存在,则将命中标识置位,如果在特征库中不存在,那么系统将进行报警,管理员可以选择是否信任此特征值,如果信任,则将此特征值加入特征库。
然后让系统不断的分析现场数据,将所有分析到的数据都加入特征库,学习一段时间后,系统就能够正常使用了。
本发明技术方案带来的有益效果:
本发明采用了一种系统自学习的系统及方法,无需人工设置的情况下,通过历史访问记录不断地认识系统,然后基于这种认识来分析当前的访问数据,从而发现潜在的风险。利用这种方法不需要进行复杂的配置,且能较好地适应环境的变化。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明的一种自学习的数据库安全审计方法的流程图;
图2是本发明中检查特征命中标识的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明为了解决现有技术中对一些潜在安全威胁不能及时发现的缺点或不足,,通过历史访问记录不断地认识系统,然后基于这种认识来分析当前的访问数据,从而发现潜在的风险。利用本发明不需要进行复杂的配置,且能较好地适应环境的变化。
本发明所基于的原理是:
(1)访问数据库的终端是稳定的
对于一般的用户,其所访问数据库的网络地址,机器、工具,账号等这些属性是稳定的。
(2)访问数据库的语句是稳定的
一个系统里面访问数据库的语句结构,是在系统实施的时候就设定了,不会经常变更。
(3)访问频率是稳定的
用户的登录频率以及一定的SQL语句访问频率在一般情况下是相对稳定的。
基于以上原理,本发明提供的一种自学习的数据库安全审计系统包括以下模块:
(1)客户端连接审计模块
对属性组进行分析并生成特征值:
属性组包括:IP地址和端口号、MAC地址、机器名、客户端工具名、登录用户名。
对每个登录的连接,查找特征库,如果在特征库中存在,则将命中标识置位,如果在特征库中不存在,系统将进行报警,管理员选择是否信任此特征值,如果信任,则将此特征值加入特征库。
(2)访问语句审计模块
对每一条数据库访问SQL语句,将除去常量值(日期、数字、字符串等)后的剩余部分进行计算生成特征值。
同样,对每条访问语句,查找特征库,如果在特征库中存在,则将命中标识置位,如果在特征库中不存在,那么系统将进行报警。管理员可以选择是否信任此特征值,如果信任,则将此特征值加入特征库。
(3)频率分析模块
系统周期性地检查特征命中标识。如果命中标识有置位,则重新置空。如果命中标识没有置位,则将此特征值从特征库中删除。具体流程如图2所示。
(4)人工配置模块
手动在特征库中添加特征项,这样可以节省系统学习时间,快速适应系统变更。
本发明提供的一种自学习的数据库安全审计方法,其流程图如图1所示,具体实施方法为:
首先搭建好系统,初始化系统数据,对每个登录的连接,查找特征库,如果在特征库中存在,则将命中标识置位,如果在特征库中不存在,那么系统将进行报警,管理员可以选择是否信任此特征值,如果信任,则将此特征值加入特征库。
对每一条数据库访问SQL语句,将除去常量值,例如日期、数字、字符串等,对剩余部分进行计算生成特征值。
同样,对每条访问语句,查找特征库,如果在特征库中存在,则将命中标识置位,如果在特征库中不存在,那么系统将进行报警,管理员选择是否信任此特征值,如果信任,则将此特征值加入特征库。
然后让系统不断的分析现场数据,将所有分析到的数据都加入特征库,学习一段时间后,系统就能够正常使用了。
本发明在无需人工设置的情况下,很好的适应系统环境,能及时有效的发现潜在的安全隐患。
此外,本发明还可以将客户端的特征与语句结构特征一起组成一个特征,但是这样会将特征限制的过于严格,不容易适应系统的变更。
为了处理更灵活,还可以对不同类型的特征值的命中标识设置为不同的失效阈值。
以上对本发明实施例所提供的一种自学习的数据库安全审计系统及方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (6)
1.一种自学习的数据库安全审计系统,其特征在于,该系统包括客户端连接审计模块、访问语句审计模块、频率分析模块和人工配置模块;
其中,客户端连接审计模块对属性组进行分析并生成特征值;
访问语句审计模块对每一条数据库访问SQL语句,将除去常量值后的剩余部分进行计算生成特征值;
频率分析模块系统周期性地检查特征命中标识,如果命中标识有置位,则重新置空,如果命中标识没有置位,则将此特征值从特征库中删除;
人工配置模块将手动在特征库中添加特征项,节省系统学习时间,快速适应系统变更。
2.根据权利要求1所述的系统,其特征在于,属性组包括:IP地址和端口号、MAC地址、机器名、客户端工具名、登录用户名。
3.根据权利要求1所述的系统,其特征在于,常量值包括日期、数字、字符串。
4.根据权利要求1所述的系统,其特征在于,本发明还可以将客户端的特征与语句结构特征一起组成一个特征,但是这样会将特征限制的过于严格,不容易适应系统的变更。
5.一种自学习的数据库安全审计方法,其特征在于,该方法包括以下步骤:
首先搭建好系统,初始化系统数据,对每个登录的连接,查找特征库,如果在特征库中存在,则将命中标识置位,如果在特征库中不存在,系统将进行报警,管理员选择是否信任此特征值,如果信任,则将此特征值加入特征库;
对每一条数据库访问SQL语句,将除去常量值,例如日期、数字、字符串,对剩余部分进行计算生成特征值;
同样,对每条访问语句,查找特征库,如果在特征库中存在,则将命中标识置位,如果在特征库中不存在,那么系统将进行报警,管理员可以选择是否信任此特征值,如果信任,则将此特征值加入特征库;
然后让系统不断的分析现场数据,将所有分析到的数据都加入特征库,学习一段时间后,系统就能够正常使用了。
6.根据权利要求5所述的方法,其特征在于,还可以对不同类型的特征值的命中标识设置为不同的失效阈值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310646496.5A CN103678547A (zh) | 2013-12-04 | 2013-12-04 | 一种自学习的数据库安全审计系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310646496.5A CN103678547A (zh) | 2013-12-04 | 2013-12-04 | 一种自学习的数据库安全审计系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103678547A true CN103678547A (zh) | 2014-03-26 |
Family
ID=50316092
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310646496.5A Pending CN103678547A (zh) | 2013-12-04 | 2013-12-04 | 一种自学习的数据库安全审计系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103678547A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104462488A (zh) * | 2014-12-19 | 2015-03-25 | 北京奇虎科技有限公司 | 数据库的高可用解决方法和装置 |
CN107741948A (zh) * | 2017-09-01 | 2018-02-27 | 郑州云海信息技术有限公司 | 一种数据库告警方法、装置及终端 |
CN110532158A (zh) * | 2019-09-03 | 2019-12-03 | 南方电网科学研究院有限责任公司 | 操作数据的安全评估方法、装置、设备及可读存储介质 |
CN112668003A (zh) * | 2021-01-05 | 2021-04-16 | 浪潮云信息技术股份公司 | 一种基于人工智能的数据库安全审计监控方法 |
-
2013
- 2013-12-04 CN CN201310646496.5A patent/CN103678547A/zh active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104462488A (zh) * | 2014-12-19 | 2015-03-25 | 北京奇虎科技有限公司 | 数据库的高可用解决方法和装置 |
CN104462488B (zh) * | 2014-12-19 | 2018-05-11 | 北京奇虎科技有限公司 | 数据库的高可用解决方法和装置 |
CN107741948A (zh) * | 2017-09-01 | 2018-02-27 | 郑州云海信息技术有限公司 | 一种数据库告警方法、装置及终端 |
CN110532158A (zh) * | 2019-09-03 | 2019-12-03 | 南方电网科学研究院有限责任公司 | 操作数据的安全评估方法、装置、设备及可读存储介质 |
CN110532158B (zh) * | 2019-09-03 | 2024-01-19 | 南方电网科学研究院有限责任公司 | 操作数据的安全评估方法、装置、设备及可读存储介质 |
CN112668003A (zh) * | 2021-01-05 | 2021-04-16 | 浪潮云信息技术股份公司 | 一种基于人工智能的数据库安全审计监控方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11792229B2 (en) | AI-driven defensive cybersecurity strategy analysis and recommendation system | |
Nicholson et al. | SCADA security in the light of Cyber-Warfare | |
US10148685B2 (en) | Event correlation across heterogeneous operations | |
EP3179696B1 (en) | Connected security system | |
CA2926579C (en) | Event correlation across heterogeneous operations | |
van der Knijff | Control systems/SCADA forensics, what's the difference? | |
CN105721230B (zh) | 一种面向Modbus协议的模糊测试方法 | |
Barbosa | Anomaly detection in SCADA systems: a network based approach | |
Skopik et al. | Semi-synthetic data set generation for security software evaluation | |
Lee et al. | Open source intelligence base cyber threat inspection framework for critical infrastructures | |
CN107404494A (zh) | 异常事件信息处理方法及装置 | |
CN103678547A (zh) | 一种自学习的数据库安全审计系统及方法 | |
US10958685B2 (en) | Generation of honeypot data | |
Nicholson et al. | Position paper: Safety and security monitoring in ics/scada systems | |
Jarmakiewicz et al. | Development of cyber security testbed for critical infrastructure | |
Kovanen et al. | Cyber threat landscape in energy sector | |
Landauer et al. | A framework for automatic labeling of log datasets from model-driven testbeds for HIDS evaluation | |
CN111191230A (zh) | 一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用 | |
CN105939202A (zh) | 一种设备生命周期管理方法及装置 | |
Jung et al. | Structured whitelist generation in SCADA network using PrefixSpan algorithm | |
CN104883345B (zh) | 一种网络安全特征自动化部署方法及系统 | |
Shu et al. | Research on network security protection system based on dynamic modeling | |
Zhang et al. | Hadoop-based system design for website intrusion detection and analysis | |
Smith | A survey of research in supervisory control and data acquisition (SCADA) | |
Noble et al. | Cybersecurity assessments of 30 drinking water utilities |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140326 |