CN109561092B - 基于数据流量及数据探测结果进行安全态势建模的方法 - Google Patents
基于数据流量及数据探测结果进行安全态势建模的方法 Download PDFInfo
- Publication number
- CN109561092B CN109561092B CN201811463857.1A CN201811463857A CN109561092B CN 109561092 B CN109561092 B CN 109561092B CN 201811463857 A CN201811463857 A CN 201811463857A CN 109561092 B CN109561092 B CN 109561092B
- Authority
- CN
- China
- Prior art keywords
- data
- database
- establishing
- access
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
Abstract
本发明涉及一种基于数据流量及数据探测结果进行安全态势建模的方法,包括以下步骤:使用数据库内容探测技术及敏感数据特征匹配技术判断数据库中敏感数据种类及分布,建立敏感数据字典;基于敏感数据字典进行数据分类分级;获取数据访问流量并基于流量分析,判断数据访问者的身份特征;基于流量分析,获取访问者访问数据的行为特征及数据对象;根据数据访问者的身份特征及行为特征,对访问数据的行为建立模型;根据模型,进行数据库风险分析及态势感知。本发明合理利用流量分析审计类以及数据探测扫描类技术提供的基础数据,对其加工分析,对数据访问情况建立智能模型,以此对数据访问过程中的态势及风险进行有效的预判和感知,预防0day攻击行为。
Description
技术领域
本发明属于数据安全技术领域,尤其是一种基于数据流量及数据探测结果进行安全态势建模的方法。
背景技术
目前基于数据流量分析的信息采集技术已经趋于成熟,但是对采集到的信息的使用仍然存在较大限制,传统的分析方法无法根据采集到的信息对数据访问行为进行合理有效的建模并对风险进行预判。
数据库流量分析技术是指对数据库的客户端到数据库服务器的流量进行解析,从流量中获取到访问数据库的账户信息、访问工具、时间、操作系统信息、访问语句、访问对象、影响行数和结果集等信息的技术。数据库内容探测技术是指采用具有一定权限的数据库账户与数据库建立连接,通过系统对象解析判断数据库的账户分布,权限分布;通过特征匹配技术获取数据库中敏感对象分布的技术。
如何利用数据库流量分析技术以及数据库内容探测技术对数据安全态势感知及建模是目前迫切需要解决的问题。
发明内容
本发明的目的在于克服现有技术的不足,提出一种基于数据流量及数据探测结果进行安全态势建模的方法,解决了数据库流量解析产品以及数据库探测扫描类产品采集结果不便于分析和使用的问题,同时解决了没有明确配置风险规则的情况下如何对数据访问行为进行风险感知的问题。
本发明解决其技术问题是采取以下技术方案实现的:
一种基于数据流量及数据探测结果进行安全态势建模的方法,包括以下步骤:
步骤1、使用数据库内容探测技术及敏感数据特征匹配技术判断数据库中敏感数据种类及分布,建立敏感数据字典;
步骤2、基于敏感数据字典进行数据分类分级;
步骤3、获取数据访问流量并基于流量分析,判断数据访问者的身份特征;
步骤4、基于流量分析,获取访问者访问数据的行为特征及数据对象;
步骤5、根据数据访问者的身份特征及行为特征,对访问数据的行为建立模型;
步骤6、根据模型,进行数据库风险分析及态势感知。
所述步骤1的具体实现方法为:通过内容探测并基于数据特征扫描,将具有一定权限的数据库用户与数据库建立连接,遍历数据库中的数据表,从每张数据表中提取部分数据与数据特征进行匹配,得出敏感数据的分布情况,建立敏感数据字典。
所述步骤2的具体实现方法为:将通过导入数据分类分级规则与敏感数据字典进行匹配,确定目标数据环境中敏感数据的分类分级情况。
所述步骤3判断数据访问者的身份特征包括以下内容:⑴访问数据库的用户名;访问数据库的主机信息;访问数据库的IP及端口;访问数据库的语句模板;⑵访问数据库的应用程序名;⑶长连接与短连接;⑷是否具有访问系统表的行为,是否初次建立连接后立刻访问系统表;⑸是否执行参数化语句;⑹是否出现几秒内连续执行多条语句的情况。
所述步骤5的具体实现方法为:
⑴根据数据访问者是自然人和应用程序建立模型;
⑵分别针对长连接和短连接会话建立会话量模型;
⑶采集单位时间内的会话量,按日、周、月建立会话量模型;
⑷上行流量:采集单位时间内的SQL请求数量或请求包数量,按日、周、月建立上行流量模型;
⑸下行流量:采集单位时间内的SQL应答行数或应答包数量,按日、周、月建立下行流量模型。
所述短连接和长连接的判断方法为:会话生命期小于等于10秒,否则是长连接。
所述步骤6进行数据库风险分析的范围包括如下类型:
⑴登录会话异常;⑵新账户登录异常;⑶会话初始登录行为异常;⑷应用关联账户频繁更换异常;⑸应用关联IP异常;⑹应用关联账户异地登录异常;⑺操作异常建模;⑻返回结果异常;⑼敏感数据访问异常;⑽敏感数据访问频次异常。
本发明的优点和积极效果是:
1、本发明针对目前日益复杂的数据安全场景需求,合理利用流量分析审计类以及数据探测扫描类技术提供的基础数据,对其采取加工分析,对数据访问情况建立智能模型,以此对数据访问过程中的态势及风险进行有效的预判和感知,预防0day攻击行为。
2、本发明能够对数据库的访问源、访问工具、访问对象、访问语句、时间频次及数据库中敏感数据分布、权限分布等内容进行综合分析并建立数据访问模型,基于数据访问模型对数据库安全进行评估,并对潜在风险进行预判及告警。
附图说明
图1是本发明的处理流程图。
具体实施方式
以下结合附图对本发明实施例做进一步详述。
一种基于数据流量及数据探测结果进行安全态势建模的方法,如图1所示,包括以下步骤:
步骤1、使用数据库内容探测技术及敏感数据特征匹配技术判断数据库中敏感数据种类及分布,建立敏感数据字典。具体方法为:
使用数据库内容探测技术并基于数据特征扫描,通过具有一定权限的数据库用户与数据库建立连接,遍历数据库中的数据表,每张数据表中通过提取部分数据与数据特征进行匹配,从而得出敏感数据的分布情况,建立敏感数据字典。
步骤2、基于敏感数据字典进行数据分类分级。
在本步骤中,将通过导入数据分类分级规则(预先制定),与敏感数据字典进行匹配,确定目标数据环境中敏感数据的分类分级情况,并形成清单。
步骤3、获取数据流量访问流量并基于流量分析,判断数据访问者的身份特征。
在本步骤中,判断数据访问者的身份特征的依据包括以下内容:
⑴访问数据库的用户名;访问数据库的主机信息;访问数据库的IP及端口;访问数据库的语句模板;
⑵访问数据库的应用程序名;
⑶长连接与短连接;
⑷是否具有访问系统表的行为,是否初次建立连接后立刻访问系统表;
⑸是否执行参数化语句;
⑹是否出现几秒内连续执行多条语句的情况。
步骤4、基于流量分析,获取访问者访问数据的行为特征及数据对象。
步骤5、根据数据访问者的身份特征及行为特征,对访问数据的行为建立模型,具体建模方法为:
⑴根据数据访问者是自然人和应用程序建立模型;
⑵分别针对长连接和短连接会话建立会话量模型。会话生命期<=10秒(可设置)的是短连接,否则是长连接。
⑶采集单位时间内的会话量,按日、周、月建立会话量模型(时间周期可设置)
⑷上行流量:采集单位时间内的SQL请求数量或请求包数量,根据设置,按日、周、月建立上行流量模型。
⑸下行流量:采集单位时间内的SQL应答行数或应答包数量,根据设置,按日、周、月建立下行流量模型。
步骤6、根据会话量模型,进行数据库风险分析及态势感知。
在本步骤中,进行数据库风险分析的范围包括如下几类
(1)登录会话异常:单位时间内,例如3分钟,出现3次以上的失败登录,则认为是出现异常。其中时间和次数可设置。
(2)新账户登录异常:统计登录的账户,当业务应用或人工操作所在的主机,出现了新的登录账户。则认为是异常。
(3)会话初始登录行为异常:会话登录一般是有模式的;对来自业务应用系统或人工操作所在主机的所有登录会话,按照使用的数据库账户+数据库IP和PORT进行分组,并建立这些登录会话的前N条相同SQL命令模型,可能会存在几种不同的模型;例如部分会话的前3条SQL命令都是3,8,10,一部分是2,5,7,一部分是2,6,9。模型建立后,当出现新的登录后会话初始行为特征时,进行告警。
(4)应用关联账户频繁更换异常:根据统计结果,来自同一应用客户端IP,频繁(3分钟内,可设置),更换登录账户的行为(更换应用账户>=3个,可设置),认为是异常。
(5)应用关联IP异常:根据统计结果,来自同一个应用客户端的账户,在短时间内(3分钟内,可设置),出现了不同的客户端IP地址,认为是异常行为。
(6)应用关联账户异地登录异常:根据统计结果,来自同一个应用客户端的账户,出现了与常用登录地区不同的客户端IP地址,认为是异常行为。
(7)操作异常建模:包括失败操作、错误语句、频次和访问时间异常、新型SQL语句,语句与执行时间不匹配。
(8)返回结果异常:包括返回结果与常规数据量不符、返回结果错误等异常行为。
(9)敏感数据访问异常:统计每个敏感对象的操作语句模板;在建模时,自动分析最近单位时间段内(例如3天,可设置),没有对该敏感对象的新型的SQL模板产生,并且系统在正常运行中(SQL量没有大范围的减少),则自动形成SQL模板的基线;可能会出现整个业务系统的SQL模板不会收敛,但针对敏感表的SQL模板则可能是固定的。建模完成后,当出现新的访问行为时,进行告警。
对于具备应用关联能力,建立起所有非应用用户会话访问敏感数据的模型。该会话往往是业务系统内部的逻辑或线程,对数据库的运行状态进行监控的目的。这类会话正常情况下不应该访问敏感数据或批量获取敏感数据。
建立所有非应用用户访问的敏感数据对象、执行的数据操作(增删改查),访问该对象的时间范围。建模完成后,发生访问新的敏感对象行为时,进行告警(可设置)。
(10)敏感数据访问频次异常:针对敏感对象的操作行为,记录在不同单位时间内,所有短时间会话总共执行的访问敏感对象的频次、影响的总数据量,和最大的单会话影响数据量;包括SELECT、UPDATE、DELETC、INSERT操作;单位时间可设置,一般包括10秒内,30秒内,1分钟内,3分钟,10分钟,30分钟,1小时,3小时,8小时,24小时内的所有长连接会话中,访问敏感对象的次数合计、影响的数据量合计,和最大的单会话影响数据量。
建模完成后,当频次超过10%,或影响量合计超过30%,或最大单会话影响数据量超过100%时进行告警。
需要强调的是,本发明所述的实施例是说明性的,而不是限定性的,因此本发明包括并不限于具体实施方式中所述的实施例,凡是由本领域技术人员根据本发明的技术方案得出的其他实施方式,同样属于本发明保护的范围。
Claims (5)
1.一种基于数据流量及数据探测结果进行安全态势建模的方法,其特征在于包括以下步骤:
步骤1、使用数据库内容探测技术及敏感数据特征匹配技术判断数据库中敏感数据种类及分布,建立敏感数据字典;
步骤2、基于敏感数据字典进行数据分类分级;
步骤3、获取数据访问流量并基于流量分析,判断数据访问者的身份特征;
步骤4、基于流量分析,获取访问者访问数据的行为特征及数据对象;
步骤5、根据数据访问者的身份特征及行为特征,对访问数据的行为建立模型;
步骤6、根据模型,进行数据库风险分析及态势感知;
所述步骤5的具体实现方法为:
⑴根据数据访问者是自然人和应用程序建立模型;
⑵分别针对长连接和短连接会话建立会话量模型;
⑶采集单位时间内的会话量,按日、周、月建立会话量模型;
⑷上行流量:采集单位时间内的SQL请求数量或请求包数量,按日、周、月建立上行流量模型;
⑸下行流量:采集单位时间内的SQL应答行数或应答包数量,按日、周、月建立下行流量模型;
所述步骤6进行数据库风险分析的范围包括如下类型:
⑴登录会话异常;⑵新账户登录异常;⑶会话初始登录行为异常;⑷应用关联账户频繁更换异常;⑸应用关联IP异常;⑹应用关联账户异地登录异常;⑺操作异常建模;⑻返回结果异常;⑼敏感数据访问异常;⑽敏感数据访问频次异常。
2.根据权利要求1所述的基于数据流量及数据探测结果进行安全态势建模的方法,其特征在于:所述步骤1的具体实现方法为:通过内容探测并基于数据特征扫描,将具有一定权限的数据库用户与数据库建立连接,遍历数据库中的数据表,从每张数据表中提取部分数据与数据特征进行匹配,得出敏感数据的分布情况,建立敏感数据字典。
3.根据权利要求1所述的基于数据流量及数据探测结果进行安全态势建模的方法,其特征在于:所述步骤2的具体实现方法为:将通过导入数据分类分级规则与敏感数据字典进行匹配,确定目标数据环境中敏感数据的分类分级情况。
4.根据权利要求1所述的基于数据流量及数据探测结果进行安全态势建模的方法,其特征在于:所述步骤3判断数据访问者的身份特征包括以下内容:⑴访问数据库的用户名;访问数据库的主机信息;访问数据库的IP及端口;访问数据库的语句模板;⑵访问数据库的应用程序名;⑶长连接与短连接;⑷是否具有访问系统表的行为,是否初次建立连接后立刻访问系统表;⑸是否执行参数化语句;⑹是否出现几秒内连续执行多条语句的情况。
5.根据权利要求1所述的基于数据流量及数据探测结果进行安全态势建模的方法,其特征在于:所述短连接和长连接的判断方法为:会话生命期小于等于10秒,否则是长连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811463857.1A CN109561092B (zh) | 2018-12-03 | 2018-12-03 | 基于数据流量及数据探测结果进行安全态势建模的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811463857.1A CN109561092B (zh) | 2018-12-03 | 2018-12-03 | 基于数据流量及数据探测结果进行安全态势建模的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109561092A CN109561092A (zh) | 2019-04-02 |
| CN109561092B true CN109561092B (zh) | 2021-01-26 |
Family
ID=65868608
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811463857.1A Active CN109561092B (zh) | 2018-12-03 | 2018-12-03 | 基于数据流量及数据探测结果进行安全态势建模的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109561092B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111159706A (zh) * | 2019-12-26 | 2020-05-15 | 深信服科技股份有限公司 | 数据库安全检测方法、装置、设备及存储介质 |
| CN112241551A (zh) * | 2020-09-30 | 2021-01-19 | 航天信息股份有限公司 | 一种面向数据库访问的用户行为管控方法及系统 |
| CN113507462B (zh) * | 2021-07-05 | 2023-02-17 | 中国联合网络通信集团有限公司 | 零信任的数据监测预警方法、装置、系统和存储介质 |
| CN113704825B (zh) * | 2021-09-08 | 2024-06-18 | 上海观安信息技术股份有限公司 | 一种数据库审计方法、装置、系统及计算机存储介质 |
| CN115225385B (zh) * | 2022-07-20 | 2024-02-23 | 深信服科技股份有限公司 | 一种流量监控方法、系统、设备及计算机可读存储介质 |
| CN115801454A (zh) * | 2023-01-30 | 2023-03-14 | 网思科技股份有限公司 | 网络数据防泄漏方法、系统和可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005141319A (ja) * | 2003-11-04 | 2005-06-02 | Mitsubishi Electric Corp | 異常行動検出装置 |
| CN102413127A (zh) * | 2011-11-09 | 2012-04-11 | 中国电力科学研究院 | 一种数据库综合安全防护方法 |
| CN104484474A (zh) * | 2014-12-31 | 2015-04-01 | 南京盾垒网络科技有限公司 | 数据库安全审计方法 |
| CN106682527A (zh) * | 2016-12-25 | 2017-05-17 | 北京明朝万达科技股份有限公司 | 一种基于数据分类分级的数据安全管控方法及系统 |
| CN108062484A (zh) * | 2017-12-11 | 2018-05-22 | 北京安华金和科技有限公司 | 一种基于数据敏感特征和数据库元数据的分类分级方法 |
| CN108769048A (zh) * | 2018-06-08 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种安全可视化与态势感知平台系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050203881A1 (en) * | 2004-03-09 | 2005-09-15 | Akio Sakamoto | Database user behavior monitor system and method |
-
2018
- 2018-12-03 CN CN201811463857.1A patent/CN109561092B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005141319A (ja) * | 2003-11-04 | 2005-06-02 | Mitsubishi Electric Corp | 異常行動検出装置 |
| CN102413127A (zh) * | 2011-11-09 | 2012-04-11 | 中国电力科学研究院 | 一种数据库综合安全防护方法 |
| CN104484474A (zh) * | 2014-12-31 | 2015-04-01 | 南京盾垒网络科技有限公司 | 数据库安全审计方法 |
| CN106682527A (zh) * | 2016-12-25 | 2017-05-17 | 北京明朝万达科技股份有限公司 | 一种基于数据分类分级的数据安全管控方法及系统 |
| CN108062484A (zh) * | 2017-12-11 | 2018-05-22 | 北京安华金和科技有限公司 | 一种基于数据敏感特征和数据库元数据的分类分级方法 |
| CN108769048A (zh) * | 2018-06-08 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种安全可视化与态势感知平台系统 |
Non-Patent Citations (1)
| Title |
|---|
| "一种无监督的数据库用户行为异常检测方法";李海斌,李琦,汤汝鸣等;《小型微型计算机系统》;20181115;第39卷(第11期);2464-2472页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109561092A (zh) | 2019-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109561092B (zh) | 基于数据流量及数据探测结果进行安全态势建模的方法 | |
| US10346801B2 (en) | Interpreting categorized change information in order to build and maintain change catalogs | |
| CN107888574B (zh) | 检测数据库风险的方法、服务器及存储介质 | |
| CN107291911B (zh) | 一种异常检测方法和装置 | |
| CN105183625B (zh) | 一种日志数据处理方法和装置 | |
| US10291471B1 (en) | Methods and apparatus for remediation execution | |
| US10235236B1 (en) | Methods and apparatus for remediation workflow | |
| US9026646B2 (en) | Methods and apparatus for remediating policy test failures, including correlating changes to remediation processes | |
| EP2936772B1 (en) | Network security management | |
| CN110222243B (zh) | 确定异常行为的方法、装置和存储介质 | |
| CN114116422B (zh) | 一种硬盘日志分析方法、硬盘日志分析装置及存储介质 | |
| CN111597550A (zh) | 一种日志信息分析方法及相关装置 | |
| CN113722134A (zh) | 一种集群故障处理方法、装置、设备及可读存储介质 | |
| CN116450482A (zh) | 一种用户异常监测方法、装置、电子设备及存储介质 | |
| CN114924990A (zh) | 一种异常场景测试方法及电子设备 | |
| CN110865866B (zh) | 一种基于自省技术的虚拟机安全检测方法 | |
| CN117931953B (zh) | 一种异构数据库数据同步的方法及系统 | |
| CN117596078B (zh) | 一种基于规则引擎实现的模型驱动用户风险行为判别方法 | |
| CN118154186A (zh) | 交易业务的异常操作的确定方法、装置和服务器 | |
| CN117056172B (zh) | 一种用于系统集成中台的数据集成方法及系统 | |
| CN111651760A (zh) | 一种设备安全状态综合分析的方法及计算机可读存储介质 | |
| US20190363925A1 (en) | Cybersecurity Alert Management System | |
| CN113259322B (zh) | 一种预防Web服务异常的方法、系统及介质 | |
| KR102346885B1 (ko) | 기업정보시스템에 대한 이상행위 탐지 결과를 개화 줄기 형상으로 시각화하는 방법 및 시스템 | |
| EP3772834B1 (en) | A method of predicting the time course of a plurality of data relative to a telephony infrastructure for network function virtualization |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |