CN107766737B - 一种数据库审计方法 - Google Patents

一种数据库审计方法 Download PDF

Info

Publication number
CN107766737B
CN107766737B CN201710767602.3A CN201710767602A CN107766737B CN 107766737 B CN107766737 B CN 107766737B CN 201710767602 A CN201710767602 A CN 201710767602A CN 107766737 B CN107766737 B CN 107766737B
Authority
CN
China
Prior art keywords
service
strategy
rule
baseline
knowledge
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710767602.3A
Other languages
English (en)
Other versions
CN107766737A (zh
Inventor
何建锋
武博
程效波
龚建国
马昱阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xi'an Jiaotong University Jump Network Technology Co ltd
Original Assignee
Xi'an Jiaotong University Jump Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xi'an Jiaotong University Jump Network Technology Co ltd filed Critical Xi'an Jiaotong University Jump Network Technology Co ltd
Priority to CN201710767602.3A priority Critical patent/CN107766737B/zh
Publication of CN107766737A publication Critical patent/CN107766737A/zh
Application granted granted Critical
Publication of CN107766737B publication Critical patent/CN107766737B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2455Query execution
    • G06F16/24564Applying rules; Deductive queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于网络安全领域,涉及一种数据库审计方法,包括:获取策略审计日志,根据审计日志整理出业务知识,获取所述的业务知识,将该业务知识与规则策略库中的规则策略进行匹配,匹配成功则继续下一条业务知识,将匹配失败的业务知识进行汇总,通过自学习,整理成新的基线策略,并加入到规则策略库中,其中规则策略库通过自学习过程产生,获取业务知识整理出基线策略,并存储在基线策略库中,根据该基线策略库中的基线策略生成一个规则策略库。本方法减少了人工配置的规则策略的繁琐,不需要学习大量的规则策略配置知识;另外本发明的方法还包括规则策略库的再学习过程,使得规则策略库不断的动态更新、完善,以满足业务的需要。

Description

一种数据库审计方法
技术领域
本发明属于网络安全领域,涉及数据库审计技术,具体涉及一种数据库审计方法。
背景技术
随着互联网的普及,越来越多的数据成为各种决策的重要依据,数据库的安全至关重要。技术的发展不但带来了正面效应,而且也使得数据库受到了一定的威胁,例如滥用资源、泄露企业机密信息、黑客入侵等都造成了极大的损失,这就对数据库的安全审计提出了更高的要求。
目前的数据库审计产品基本是基于监控并记录用户对数据库服务器的各项行为,策略匹配来审计安全行为的,在实际使用过程中会遇到以下问题:管理员可能非数据库应用专家,对用户业务也非完全了解,若手工配置,对管理员来说,需要学习大量的知识。由于管理员对数据库知识、业务知识、业务环境的掌握程度不够,可能只配置了少量的策略,未能做到全面审计。
因此,如何在实际审计过程中根据所需审计的数据库自动生成策略,是减少人工操作、提高数据库审计智能化亟需解决的问题。
发明内容
为了解决现有技术中存在的数据库审计策略配置复杂、浪费时间和人力的技术问题,本发明提供一种数据库审计方法,具体通过以下技术方案予以实现:
一种数据库审计方法,包括业务知识库、基线策略库和规则策略库,通过以下步骤实现:
S1:获取策略审计日志;
S2:根据审计日志整理出业务知识;
S3:获取所述的业务知识,将该业务知识与规则策略库中的规则策略进行匹配,匹配成功则继续下一条业务知识;匹配失败,则进行其他处理。
其中,所述的规则策略库通过自学习过程产生,具体为:获取所述的业务知识整理出基线策略,并存储在基线策略库中,完成自学习过程,根据该基线策略库中的基线策略生成一个规则策略库;
还包括规则策略库的再学习过程,具体为:获取步骤S3中匹配失败的业务知识进行汇总,每周固定时间,获取所有的匹配失败的业务知识,统计所有业务知识的业务要素,分别取业务发起者、业务地址、业务动作、业务对象出现率前十,取业务时间最集中的一个小时段,整理成新的基线策略,并加入到规则策略库中。
其中,所述的根据该基线策略库中所有的基线策略生成一个规则策略库具体为:每隔一定周期,系统提醒用户可根据自己业务的需要选取基线策略库中的部分基线策略加入到规则策略库中,生成规则策略库;
或者,每隔一定周期,审计系统自动将基线策略库中的所有基线策略复制到规则策略库中,生成规则策略库;
其中,所述的获取策略审计日志具体为:分析引擎从抓包引擎获取到网络数据包后,审计系统根据数据包分析出规则策略审计日志;
其中,所述的根据审计日志整理出业务知识,并将该业务知识加入业务知识库具体包括:从业务模型库中加载所有的业务模型,根据审计日志遍历所有的业务模型,根据业务模型提取业务要素,根据业务要素整理成业务知识;
其中,所述业务要素包括:业务发起者、业务时间、业务地址、业务动作、业务对象。
其中,所述的将该业务知识与规则策略库中的规则策略进行匹配具体包括:获取每条业务知识的业务要素,将该条业务知识的业务要素与规则策略进行匹配,若业务发起者、业务时间、业务地址、业务动作、业务对象中的任意一个满足所述的规则策略,则认为匹配成功;否则,匹配失败。
以上技术方案与现有技术相比具有以下技术效果:
本发明采用自学习的方法生成基线策略,用户可以根据业务需要选择部分基线策略加入规则策略库,也可以通过审计系统自动将所有的基线策略加入到规则策略库中,减少了人工配置的规则策略的繁琐,实际审计过程中不需要管理员对用户业务完全了解,不需要学习大量的规则策略配置知识;另外本发明的方法还包括规则策略库的再学习过程,使得规则策略库不断的动态更新、完善,以满足业务的需要。
附图说明
图1是本发明的方法流程图。
具体实施方式
下面结合本发明的附图和实施例,对本发明的技术方案进行清楚、完整的描述,以下实施例只是本发明的优选实施例,而不是全部实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种数据库审计方法,如图1,包括业务知识库、基线策略库和规则策略库,通过以下步骤实现:
S1:获取策略审计日志;
S2:根据审计日志整理出业务知识;
S3:获取所述的业务知识,将该业务知识与规则策略库中的规则策略进行匹配,匹配成功则继续下一条业务知识;匹配失败,则进行其他处理。
其中,规则策略库通过自学习过程产生,具体为:获取所述的业务知识整理出基线策略,并存储在基线策略库中,其中业务知识包括的业务要素为业务发起者、业务时间、业务地址、业务动作、业务对象,将所有的业务知识的业务要素中的业务发起者、业务地址、业务动作、业务对象进行分类整理,其中所有的业务时间组成一个时间段,根据这些维度整理出基线策略。完成自学习过程,根据该基线策略库中的基线策略生成一个规则策略库。
进一步的,规则策略库的再学习过程,具体为:获取步骤S3中匹配失败的业务知识进行汇总,每周固定时间,获取所有的匹配失败的业务知识,统计所有业务知识的业务要素,分别取业务发起者、业务地址、业务动作、业务对象出现率前十,取业务时间最集中的一个小时段,整理成新的基线策略,并加入到规则策略库中。
其中,根据该基线策略库中所有的基线策略生成一个规则策略库具体为:每隔一定周期,系统提醒用户可根据自己业务的需要选取基线策略库中的部分基线策略加入到规则策略库中,生成规则策略库;
或者,每隔一定周期,审计系统自动将基线策略库中的所有基线策略复制到规则策略库中,生成规则策略库;
其中,获取策略审计日志具体为:分析引擎从抓包引擎获取到网络数据包后,审计系统根据数据包分析出规则策略审计日志;
其中,根据审计日志整理出业务知识,并将该业务知识加入业务知识库具体包括:从业务模型库中加载所有的业务模型,根据审计日志遍历所有的业务模型,根据业务模型提取业务要素,根据业务要素整理成业务知识。用户根据自己的业务情况可选择业务模型中的业务要素,本实施例中的业务要素和规则策略构成的维度相同,在进行规则策略匹配时,除了业务时间判断业务知识的发生时间是否落在规则策略的时间区域内,其余四个要素均与规则策略中的其余四个要素进行匹配,看是否存在相同的业务要素,存在即为匹配成功,否则为匹配失败。
本实施例中,业务要素包括:业务发起者、业务时间、业务地址、业务动作、业务对象,一条业务知识由以下五个要素组成:
业务发起者(who)如场景中的“dengph”;
业务时间(when)如场景中“白天11:42”;
业务地址(where)如服务发生的客户端的IP地址10.0.5.220,据库服务器的IP地址10.0.5.220、PORT 3306;
业务动作(how)如增、删、改、查动作;
业务对象(which)如场景中的表log_event_http、字段bizacount、cmd。
其中,将该业务知识与规则策略库中的规则策略进行匹配具体包括:获取每条业务知识的业务要素,将该条业务知识的业务要素与规则策略进行匹配,若业务发起者、业务时间、业务地址、业务动作、业务对象中的任意一个满足所述的规则策略,则认为匹配成功;否则,匹配失败。现在结合以下的例1、例2和例3来加以说明。
例1:用业务地址条件范围来判断:如描述通常情况下有10个IP(10.0.1.100、10.0.1.101、10.0.1.102、10.0.1.103、10.0.1.104、10.0.1.105、10.0.1.106、10.0.1.107、10.0.1.108、10.0.1.109)连接着客户端,则业务地址的条件范围可以设置为这10个IP地址,如果检测到业务地址为这10个IP地址其中之一(如10.0.1.103)的业务知识,落入业务地址条件范围内,则认为匹配成功,加入策略规则库;如果检测到业务知识为其他IP地址(如10.0.1.121)发生的业务知识,则没有落入业务地址条件范围内,则不加入策略规则库。
例2:用业务时间条件范围来判断:一般情况下,白天业务多,晚上22:00以后没有业务发生,则事先设置业务时间为8:00—22:00。如果检测到的业务时间为12:25的一条业务知识,落入业务时间条件范围内,则认为匹配成功,加入策略规则库;如果检测到一条23:22的业务知识,则没有落入业务时间条件范围内,则不加入策略库。
例3:用业务地址条件范围和业务时间条件范围同时来判断:如例1、例2所述,设置业务知识需同时满足业务地址(10.0.1.100、10.0.1.101、10.0.1.102、10.0.1.103、10.0.1.104、10.0.1.105、10.0.1.106、10.0.1.107、10.0.1.108、10.0.1.109)和业务时间(8:00—22:00)。当检测到一条业务地址为10.0.1.103、业务时间为12:25的业务知识,则认为满足策略规则的条件,加入策略规则;当检测到一条业务地址为10.0.1.121、业务时间为12:25的业务知识,则认为不满足策略的条件,当检测到一条业务地址为10.0.1.103、业务时间为23:22的业务知识,则认为满足策略规则,当检测到一条业务地址为10.0.1.121、业务时间为23:22的业务知识,则认为不满足策略规则的条件。

Claims (3)

1.一种数据库审计方法,其特征在于,该审计方法通过以下步骤实现:
S1:获取策略审计日志;
S2:根据审计日志整理出业务知识:从业务模型库中加载所有的业务模型,根据审计日志遍历所有的业务模型,根据业务模型提取业务要素,根据业务要素整理成包括业务发起者、业务时间、业务地址、业务动作、业务对象的业务知识;
S3:获取所述的业务知识,将该业务知识与规则策略库中的规则策略进行匹配,匹配成功则继续下一条业务知识;匹配失败,则进行其他处理;
所述的规则策略库通过自学习过程产生,具体为:获取所述的业务知识整理出基线策略,并存储在基线策略库中,完成自学习过程,根据该基线策略库中的基线策略生成一个规则策略库;
所述的将该业务知识与规则策略库中的规则策略进行匹配,具体包括:获取每条业务知识的业务要素,将该条业务知识的业务要素与规则策略进行匹配,若业务发起者、业务时间、业务地址、业务动作、业务对象中的任意一个满足所述的规则策略,则认为匹配成功;否则,匹配失败;
该审计方法还包括对规则策略库的再学习过程,具体为:获取步骤S3中所有的匹配失败的业务知识进行汇总,每周固定时间,统计所有的匹配失败的业务知识的业务要素,分别取业务发起者、业务地址、业务动作、业务对象出现率前十,取业务时间最集中的一个小时段,整理成新的基线策略,并加入到规则策略库中。
2.如权利要求1所述的方法,其特征在于,所述的根据该基线策略库中所有的基线策略生成一个规则策略库具体为:每隔一定周期,系统提醒用户可根据自己业务的需要选取基线策略库中的部分基线策略加入到规则策略库中,生成规则策略库;
或者,每隔一定周期,审计系统自动将基线策略库中的所有基线策略复制到规则策略库中,生成规则策略库。
3.如权利要求1所述的方法,其特征在于,所述的获取策略审计日志具体为:分析引擎从抓包引擎获取到网络数据包后,审计系统根据数据包分析出策略审计日志。
CN201710767602.3A 2017-08-31 2017-08-31 一种数据库审计方法 Active CN107766737B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710767602.3A CN107766737B (zh) 2017-08-31 2017-08-31 一种数据库审计方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710767602.3A CN107766737B (zh) 2017-08-31 2017-08-31 一种数据库审计方法

Publications (2)

Publication Number Publication Date
CN107766737A CN107766737A (zh) 2018-03-06
CN107766737B true CN107766737B (zh) 2021-05-07

Family

ID=61265274

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710767602.3A Active CN107766737B (zh) 2017-08-31 2017-08-31 一种数据库审计方法

Country Status (1)

Country Link
CN (1) CN107766737B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109741029A (zh) * 2018-12-27 2019-05-10 广东电网有限责任公司 一种电网企业审计规则仓的建设方法和装置
CN110109678B (zh) * 2019-05-08 2023-07-04 广东电网有限责任公司 一种代码审计规则库生成方法、装置、设备及介质
CN111147292B (zh) * 2019-12-18 2022-12-02 深圳市任子行科技开发有限公司 策略集群分发匹配方法、系统及计算机可读存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10320878B2 (en) * 2013-10-14 2019-06-11 Medidata Solutions, Inc. System and method for preserving causality of audits
CN104090941B (zh) * 2014-06-30 2017-08-25 北京华电天益信息科技有限公司 一种数据库审计系统及其审计方法
CN104484474A (zh) * 2014-12-31 2015-04-01 南京盾垒网络科技有限公司 数据库安全审计方法

Also Published As

Publication number Publication date
CN107766737A (zh) 2018-03-06

Similar Documents

Publication Publication Date Title
US11586972B2 (en) Tool-specific alerting rules based on abnormal and normal patterns obtained from history logs
Hsu et al. A deep reinforcement learning approach for anomaly network intrusion detection system
CN107579956B (zh) 一种用户行为的检测方法和装置
US8214905B1 (en) System and method for dynamically allocating computing resources for processing security information
AU2011209894B2 (en) Insider threat correlation tool
US8209758B1 (en) System and method for classifying users of antivirus software based on their level of expertise in the field of computer security
CN110519150B (zh) 邮件检测方法、装置、设备、系统及计算机可读存储介质
US8214904B1 (en) System and method for detecting computer security threats based on verdicts of computer users
EP3341881A1 (en) Predictive human behavioral analysis of psychometric features on a computer network
WO2019084072A1 (en) GRAPHIC MODEL FOR ALERT INTERPRETATION IN AN ENTERPRISE SECURITY SYSTEM
WO2015047802A2 (en) Advanced persistent threat (apt) detection center
CN112468347B (zh) 一种云平台的安全管理方法、装置、电子设备及存储介质
CN108833185B (zh) 一种网络攻击路线还原方法及系统
WO2017037445A1 (en) Identifying and monitoring normal user and user group interactions
CN110210213B (zh) 过滤恶意样本的方法及装置、存储介质、电子装置
US11424993B1 (en) Artificial intelligence system for network traffic flow based detection of service usage policy violations
CN107766737B (zh) 一种数据库审计方法
US9607144B1 (en) User activity modelling, monitoring, and reporting framework
US20230135660A1 (en) Educational Tool for Business and Enterprise Risk Management
KR20210083936A (ko) 사이버 위협정보 수집 시스템
US20220166801A1 (en) Threat mitigation system and method
TW201719484A (zh) 以應用層日誌分析為基礎的資安管理系統及其方法
EP2936772A1 (en) Network security management
CN111934954A (zh) 宽带的检测方法、装置、电子设备及存储介质
EP2584488B1 (en) System and method for detecting computer security threats based on verdicts of computer users

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant