CN109977689B - 一种数据库安全审计方法、装置及电子设备 - Google Patents
一种数据库安全审计方法、装置及电子设备 Download PDFInfo
- Publication number
- CN109977689B CN109977689B CN201711465401.4A CN201711465401A CN109977689B CN 109977689 B CN109977689 B CN 109977689B CN 201711465401 A CN201711465401 A CN 201711465401A CN 109977689 B CN109977689 B CN 109977689B
- Authority
- CN
- China
- Prior art keywords
- log data
- user behavior
- sql statement
- rule base
- access event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种数据库安全审计方法、装置及电子设备。所述方法包括:实时获取DPI数据库日志数据,根据所述日志数据获取SQL语句访问事件;将所述SQL语句访问事件与预设用户行为规则库进行匹配,所述预设用户行为规则库为根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库;若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级。本发明可根据数据库本身的结构变化及用户的新行为进行关联规则的调整,动态发现用户行为和调整审计策略,从而适应不同的应用场景及新型的用户行为,能够提供有效的数据库安全保障。
Description
技术领域
本发明涉及信息安全领域,更具体地,涉及一种数据库安全审计方法、装置及电子设备。
背景技术
数据库安全审计服务最基本要解决的问题是安全要素采集,以及事件归一化及事件审计规则定义。在安全要素采集方面,一种方式是采用网络镜像方式采集访问数据库的数据包、通过协议解析数据包,提取数据库访问语句和返回数据内容作为安全分析对象,再通过一定的规则进行安全要素提取;这种方式的优点在于数据库特定端口采集信息较全面,既包含访问信息又包含返回信息,缺点在于硬件部署成本较高,需要产品支持相应协议。另一种是通过SIEM(安全信息与事件管理)方式对数据库日志进行解析,提取安全分析对象;在日志管理中,日志已经包含了数据库事件的关键信息,如时间、账户、语句、错误信息等,通过正则匹配,可获取到关键安全要素;这种方式的优点在于部署简单,成本较低,缺点是采集信息的多少依赖于日志的记录级别和详细程度。
事件归一化是把单个事件的多个特征或者多个事件的多个特征归类成一个事件,即把事件的特征约定在一个范围内。比如,一条长SELECT语句,可归一化为SELECT操作,也可归一化为SELECT某个表的某些字段的操作。有一些事件需要多个事件特征归一化成一个,如SELECT一个视图事件,视图的内容在上一次CREATE视图事件中定义,所以,两个事件才能确定一个SELECT某个表的某些字段操作的事件。安全审计的重点和难点在于事件归一化的精度。现有技术采用SQL语句解析、特征归类、会话信息关联等技术来进行事件归一化,其自动分析功能来源于对已知事件特征的软件定制、不同业务场景及异构数据库场景中,这种方式面临着很多挑战。
现有技术采用特征归类来进行事件归一化处理,能够实现已知事件的精确定位,但是不能针对特殊的场景自动调整算法。传统特征归类一般由已知的攻击行为特征进行SQL特征提取,特征与特征之间的关联关系需要预先确定,然后固化到软件流程中,实现自动化检测。这种方式不能针对特殊场景进行辨别,用户在数据库中获取敏感信息的行为可能根据数据库本身的结构变化而变化,然而审计无法自定义这些特征行为;也不能发现新的用户行为,所以无法对新的用户行为进行审计。
发明内容
本发明提供一种克服上述问题或者至少部分地解决上述问题的数据库安全审计方法、装置及电子设备。
根据本发明的一个方面,提供一种数据库安全审计方法,包括:
实时获取DPI数据库日志数据,根据所述日志数据获取SQL语句访问事件;
将所述SQL语句访问事件与预设用户行为规则库进行匹配,所述预设用户行为规则库为根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库;
若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级。
根据本发明的另一个方面,还提供一种数据库安全审计装置,包括日志获取模块、规则匹配模块和危险等级模块;
所述日志获取模块,用于实时获取DPI数据库日志数据,根据所述日志数据获取SQL语句访问事件;
所述规则匹配模块,用于将所述SQL语句访问事件与预设用户行为规则库进行匹配,所述预设用户行为规则库为根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库;
所述危险等级模块,用于若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级。
根据本发明的另一个方面,还提供一种电子设备,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行本发明数据库安全审计方法及其任一可选实施例的方法。
根据本发明的另一个方面,提供一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行本发明数据库安全审计方法及其任一可选实施例的方法。
本发明提出一种数据库安全审计方法,采用以DPI数据库日志记录数据库事件为基础,实时采集DPI数据库访问日志文件,进行日志解析,获取SQL语句访问事件,然后根据预设用户行为规则库经过正则匹配,获得审计结果;对于匹配不一致的结果确认危险等级。本发明的预设用户行为规则库是根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到,因此可以根据数据库本身的结构变化及用户的新行为进行关联规则的调整,动态发现用户行为和调整审计策略,从而可以适应不同的应用场景及新型的用户行为,能够为数据库安全提供有效的推理决策和数据支持,保证数据库敏感信息不被泄露。
附图说明
图1为本发明实施例一种数据库安全审计方法流程示意图;
图2为本发明实施例一种数据库安全审计方法第二流程示意图;
图3为本发明实施例一种电子设备的框架示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1为本发明实施例一种数据库安全审计方法流程示意图,如图1所示的数据库安全审计方法,包括:
S100,实时获取DPI数据库日志数据,根据所述日志数据获取SQL语句访问事件;
DPI(Deep packet inspection,深度数据包检测)大数据系统包含用户位置、业务使用等敏感信息数据,而日常维护工作不仅涉及第三方人员的介入,而且涉及不同操作具有不同权限的复杂环境要求。如何保证DPI数据是在正常授权的情况下完成工作,是每一个DPI数据管理者的责任,也是企业不可推卸的职责。
S200,将所述SQL语句访问事件与预设用户行为规则库进行匹配,所述预设用户行为规则库为根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库;
具体的,要对数据库日志的用户行为进行是否异常的判断,首先需要建立正常用户行为模式的规则即预设用户行为规则库,然后对当前行为进行比对,以检测异常行为。
所述预设用户行为规则库可以根据所述DPI数据库的历史日志数据进行关联分析得到,也可以根据实时日志数据进行关联分析得到的,或者也可以根据历史日志数据和实时日志数据进行关联分析得到的。
S300,若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级。
所述危险等级可根据匹配或不匹配的程度确定。
本发明实施例采用以DPI数据库日志记录数据库事件为基础,实时采集DPI数据库访问日志文件,进行日志解析,获取SQL语句访问事件,然后根据预设用户行为规则库经过正则匹配,获得审计结果;对于匹配不一致的结果确认危险等级。本发明的预设用户行为规则库是根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到,因此可以根据数据库本身的结构变化及用户的新行为进行关联规则的调整,动态发现用户行为和调整审计策略,从而可以适应不同的应用场景及新型的用户行为,能够为数据库安全提供有效的推理决策和数据支持,保证数据库敏感信息不被泄露。
在一个可选的实施例中,步骤S200中所述根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库,具体包括:
获取所述DPI数据库的历史日志数据和/或采集所述DPI数据库的实时日志数据;
对所述历史日志数据和/或实时日志数据进行关联规则挖掘,获得每两个量化属性的二维数组;
扫描所有二维数组,获取满足最小置信度的频繁项集,根据所述频繁项集产生关联规则,根据所述关联规则建立所述预设用户行为规则库。
本发明实施例所述关联规则通过关联分析(association analysis)得到。在获取相应的数据库日志数据后,利用关联规则算法生成规则库,将获取的日志数据与规则库进行匹配。
具体的,关联分析(association analysis)用于发现关联规则,这些规则展示属性值频繁地在给定数据集中一起出现的条件。关联分析广泛用于事物数据分析。由于程序的执行和用户活动在系统特征中常常会有一些相关性,这些相关性往往也反映在连续数据集中,因此挖掘关联规则的目标就是从数据库表中获取多个特征的相关性,从而找到各记录之间的联系,建立正常或异常使用情况的轮廓。关联规则
解释为“满足X中条件的数据库元组多半也满足Y中条件”。规则的支持度(support)和置信度(confidence)是规则兴趣度的两种度量。它们分别反映所发现规则的准确性和确定性。形式分别为
同时满足最小支持度阈值(min_sup)和最小置信度阈值(min_conf)的规则称为强规则。
具体的,经过采集得到的数据经过预处理过滤后保存到数据库中,每一条数据记录就是反应用户行为的一个日志时间。需要对日志记录进行日志格式的统一化,以方便审计规则的匹配。
由于传统的Apriori算法的计算过程对于现实数据库的计算代价过大,因此本发明实施例采用改进的关联规则方法。改进的关联规则算法具体包括分箱和获取频繁项集两部分。
量化属性可能具有很宽的定义域值的范围。为了使栅格压缩到可以管理的尺寸,本发明实施例将量化属性的范围划分为区间。这些区间是动态的,在挖掘期间可能会进一步合并,这种划分过程称为分箱。
在改进的关联规则算法中,涉及两个量化属性的每种可能的箱组成,创造一个二维(2-D)数组。每个数组单元存放规则的右部分属性的每个可能类的对应的计数分布。通过创建这种数据结构,任务相关的数据只需要扫描一次。为了满足数值属性动态离散化,将量化属性映射到满足给定分类属性的2-D栅格上。相当于每个离散属性可以动态分配区间,区间被看成是“箱”。两个属性不同的区间组合其实就是一个2维的数组。这样的组合减少预处理的复杂度。
具体的,本发明实施例采用等款分箱,每个量化属性的箱尺寸由用户自定义。
对属性分箱后,即可获取频繁项集。一旦包含每个分类计数分布的2D数组设置好,就可以扫描它,用以找出满足最小置信度的频繁集。然后,通过这些频繁项集产生关联规则。
基于上述实施例,所述对所述历史日志数据和/或实时日志数据进行关联规则挖掘,获得每两个量化属性的二维数组,具体包括:
对所述历史日志数据和/或实时日志数据进行格式统一化处理;
对格式统一处理后的历史日志数据和/或实时日志数据中的属性进行量化分箱,获得量化属性;
基于所有的量化属性,根据每两个量化属性的所有的箱组成创建二维数组,所述二维数组的每个数组单元存放规则的右部分属性。
本实施例通过对日志数据格式统一化处理为量化分箱做准备,通过量化分箱为构建二维数组做准备;通过二维数组进行扫描可获取频繁项集,从而时限关联规则的创建。
在一个可选的实施例中,步骤S300,所述若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级,还包括:
若所述SQL语句访问事件与预设用户行为规则库匹配,则按照预定义方式给出对应的响应。
本发明实施例中,如果述SQL语句访问事件对应的操作行为产生的日志数据与规则库完全匹配,将按照预定义方式给出对应的响应;如果操作行为与规则库不匹配或不完全匹配,则确定该操作行为的危险等级。
在一个可选的实施例中,步骤S300,所述若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级,之后还包括:
若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,对所述SQL语句访问事件进行报警,并根据取证规则进行取证确认。
请参考图2,本发明实施例中,根据匹配结果实时响应,最重要的是所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配进行实时响应,具体的响应为报警,同时根据取证规则进行取证确认;进一步,在系统用户界面上,可以对危险的SQL语句访问事件给出相应的操作行为模式提示框。
在一个可选的实施例中,步骤S300,所述若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级,之后还包括:
若所述SQL语句访问事件与预设用户行为规则库匹配、不匹配或部分不匹配,则记录所述SQL语句访问事件及其匹配程度。
请参考图2,本发明实施例中,无论日志数据记录的用户行为是否危险,即SQL语句访问事件与预设用户行为规则库匹配、不匹配或部分不匹配,都可以将审计数据信息计入审计数据库,便于保存和分析。具体的,所述审计数据信息包括原始的日志数据(历史日志数据或实时日志数据)、原始日志数据对应的SQL语句访问事件以及所述SQL语句访问事件对应的匹配程度等。
在一个可选的实施例中,步骤S300,所述若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级,之后还包括:
按照预设周期,将特定时间区间内的审计结果进行汇总,获得汇总数据,并形成审计报表;
根据所述汇总数据,结合预选的危险事件预防措施,提供分析建议报告。
请参考图2,本发明实施例提供数据库信息安全审计报告。具体的,按照预设周期出具审计报告,比如一天、一周、10天等周期。每个审计报告也是与该周期相关的特定时间区段,比如预设周期为1天,则特定时间区段可设置为1天。当然,可以设置多个不同的周期,每个周期设置不同的时间区段,进行分层的审计报告,以便于分析。比如设置预设周期为1天,特定时间区段为1天的审计报告,即每天出一个审计报告;另外设置预设周期为1个月,特定时间区段为1个月的审计报告,即每个月出一个审计报告,这样既有每天的审计报告,又有每月的审计报告。
审计报告以简要报告的形式提供,主要内容是特定时间内有关数据的审计汇总和分析,同时根据汇总与分析的结果给出合理的建议并提供相关的预防措施。
综上所述,本发明实施例将人工智能的相关知识引入到数据库日志安全审计中,是由于目前大多数企业内部网络的数据状况是分散的,大量的用户操作形成的数据往往被存放在缺乏统一设计和管理的异构环境中,不易综合查询访问。而人工智能最大的优点在于它能从这些繁杂的网络数据中挖掘出简洁、精确的入侵行为特征。
本发明实施例通过改进的关联分析的人工智能算法实现用户行为识别的审计方法,其特征是该方法可以自动调整和发现用户的正常行为特征,当SQL语句解析不符合正常行为规则时,将触发告警。本发明实施例所述方法适用于缺乏统一设计和管理的异构环境中的敏感信息访问行为的审计。
本发明实施例利用人工智能算法对数据库日志数据进行分析,根据不断更新的用户行为特征以提供随之变化的行为规则结果。可以解决现在以固定规则判断的限制,提供更加具有适应性的识别模型,在一定程度上解决了长时间使用固有模型带来的用户行为识别困难问题。同时,又能根据历史数据分析用户的正常行为规则,从而发现新的异常用户行为,增强数据库安全行为审计能力,提供更全面的事件归一化能力,具有良好的有益效果。
下面通过本发明实施例改进的关联规则算法分析一个具体实例。
以DPI系统中访问敏感数据IMSI或MSISDN信息的场景为例,其对应的字段为vcIMSI、vcMSISDN,涉及敏感信息表包含如ftbvoltesv、ftbvoltesip、ftbdiametersession等等。
第一步将预处理后的数据表进行分箱处理,例如,IP地址可以分为255个箱,时间分为24个箱,日期按周几分成7个箱,行为被分为1000种等。
第二步进行关联规则分析,利用关联规则算法得到强关联规则表,对训练集(历史部分正常日志的集合)进行垂直压缩(为在下述表格中方便表示每个安全要素,要素以ABCDE表示):
表1训练集
从表1中计算强关联规则,设置最小支持度为40%,最小置信度为50%。挖掘出如下关联规则,如下表2.
表2关联挖掘结果
当用户出现例如(B:vcIMSI),(D:intLacTac),(E:intCI)的操作时,对应强关联规则表中没有满足要求的规则,说明该操作与用户日常正常的行为操作不一致,因此判断该用户的操作具有风险。
经过人工智能算法的预测,用户行为的差异化将呈现给审计人员,审计人员就可以对用户行为进行定义,判断是正常行为还是异常行为,并且可针对行为进行定制告警,实现行为监控。
本发明实施例还提供一种数据库安全审计装置,包括日志获取模块、规则匹配模块和危险等级模块;
所述日志获取模块,用于实时获取DPI数据库日志数据,根据所述日志数据获取SQL语句访问事件;
所述规则匹配模块,用于将所述SQL语句访问事件与预设用户行为规则库进行匹配,所述预设用户行为规则库为根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库;
所述危险等级模块,用于若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级。
本发明实施例的装置,可用于执行图1所示的数据库安全审计方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在一个可选的实施例中,所述根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库,具体包括:
获取所述DPI数据库的历史日志数据和/或采集所述DPI数据库的实时日志数据;
对所述历史日志数据和/或实时日志数据进行关联规则挖掘,获得每两个量化属性的二维数组;
扫描所有二维数组,获取满足最小置信度的频繁项集,根据所述频繁项集产生关联规则,根据所述关联规则建立所述预设用户行为规则库。
在一个可选的实施例中,所述对所述历史日志数据和/或实时日志数据进行关联规则挖掘,获得每两个量化属性的二维数组,具体包括:
对所述历史日志数据和/或实时日志数据进行格式统一化处理;
对格式统一处理后的历史日志数据和/或实时日志数据中的属性进行量化分箱,获得量化属性;
基于所有的量化属性,根据每两个量化属性的所有的箱组成创建二维数组,所述二维数组的每个数组单元存放规则的右部分属性。
在一个可选的实施例中,所述危险等级模块包括:
若所述SQL语句访问事件与预设用户行为规则库匹配,则按照预定义方式给出对应的响应。
在一个可选的实施例中,所述数据库安全审计装置还包括报警取证模块,所述报警取证模块用于:
若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,对所述SQL语句访问事件进行报警,并根据取证规则进行取证确认。
在一个可选的实施例中,所述数据库安全审计装置还包括记录模块,所述记录模块用于:
若所述SQL语句访问事件与预设用户行为规则库匹配、不匹配或部分不匹配,则记录所述SQL语句访问事件及其匹配程度。
在一个可选的实施例中,所述数据库安全审计装置还包括审计报告模块,所述审计报告模块用于:
按照预设周期,将特定时间区间内的审计结果进行汇总,获得汇总数据,并形成审计报表;
根据所述汇总数据,结合预选的危险事件预防措施,提供分析建议报告。
图3示出了本发明实施例一种电子设备的框架示意图。
参照图3,所述电子设备,包括:处理器(processor)601、存储器(memory)602和总线603;其中,所述处理器601和存储器602通过所述总线603完成相互间的通信;
所述处理器601用于调用所述存储器602中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:实时获取DPI数据库日志数据,根据所述日志数据获取SQL语句访问事件;将所述SQL语句访问事件与预设用户行为规则库进行匹配,所述预设用户行为规则库为根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库;若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级。
本发明另一实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:实时获取DPI数据库日志数据,根据所述日志数据获取SQL语句访问事件;将所述SQL语句访问事件与预设用户行为规则库进行匹配,所述预设用户行为规则库为根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库;若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级。
本发明另一实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:实时获取DPI数据库日志数据,根据所述日志数据获取SQL语句访问事件;将所述SQL语句访问事件与预设用户行为规则库进行匹配,所述预设用户行为规则库为根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库;若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级。
本领域普通技术人员可以理解:实现上述设备实施例或方法实施例仅仅是示意性的,其中所述处理器和所述存储器可以是物理上分离的部件也可以不是物理上分离的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种数据库安全审计方法,其特征在于,包括:
实时获取DPI数据库日志数据,根据所述日志数据获取SQL语句访问事件;
将所述SQL语句访问事件与预设用户行为规则库进行匹配,所述预设用户行为规则库为根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库;
若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级;
所述根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库,具体包括:
获取所述DPI数据库的历史日志数据和/或采集所述DPI数据库的实时日志数据;
对所述历史日志数据和/或实时日志数据进行关联规则挖掘,获得每两个量化属性的二维数组;
扫描所有二维数组,获取满足最小置信度的频繁项集,根据所述频繁项集产生关联规则,根据所述关联规则建立所述预设用户行为规则库;
所述对所述历史日志数据和/或实时日志数据进行关联规则挖掘,获得每两个量化属性的二维数组,具体包括:
对所述历史日志数据和/或实时日志数据进行格式统一化处理;
对格式统一处理后的历史日志数据和/或实时日志数据中的属性进行量化分箱,获得量化属性;
基于所有的量化属性,根据每两个量化属性的所有的箱组成创建二维数组,所述二维数组的每个数组单元存放规则的右部分属性。
2.根据权利要求1所述的方法,其特征在于,所述若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级,还包括:
若所述SQL语句访问事件与预设用户行为规则库匹配,则按照预定义方式给出对应的响应。
3.根据权利要求2所述的方法,其特征在于,所述若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级,之后还包括:
若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,对所述SQL语句访问事件进行报警,并根据取证规则进行取证确认。
4.根据权利要求3所述的方法,其特征在于,所述若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级,之后还包括:
若所述SQL语句访问事件与预设用户行为规则库匹配、不匹配或部分不匹配,则记录所述SQL语句访问事件及其匹配程度。
5.根据权利要求4所述的方法,其特征在于,所述若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级,之后还包括:
按照预设周期,将特定时间区间内的审计结果进行汇总,获得汇总数据,并形成审计报表;
根据所述汇总数据,结合预选的危险事件预防措施,提供分析建议报告。
6.一种数据库安全审计装置,其特征在于,包括日志获取模块、规则匹配模块和危险等级模块;
所述日志获取模块,用于实时获取DPI数据库日志数据,根据所述日志数据获取SQL语句访问事件;
所述规则匹配模块,用于将所述SQL语句访问事件与预设用户行为规则库进行匹配,所述预设用户行为规则库为根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库;
所述危险等级模块,用于若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级;
所述预设用户行为规则库为根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库,具体包括:
获取所述DPI数据库的历史日志数据和/或采集所述DPI数据库的实时日志数据;
对所述历史日志数据和/或实时日志数据进行关联规则挖掘,获得每两个量化属性的二维数组;
扫描所有二维数组,获取满足最小置信度的频繁项集,根据所述频繁项集产生关联规则,根据所述关联规则建立所述预设用户行为规则库;
所述对所述历史日志数据和/或实时日志数据进行关联规则挖掘,获得每两个量化属性的二维数组,具体包括:
对所述历史日志数据和/或实时日志数据进行格式统一化处理;
对格式统一处理后的历史日志数据和/或实时日志数据中的属性进行量化分箱,获得量化属性;
基于所有的量化属性,根据每两个量化属性的所有的箱组成创建二维数组,所述二维数组的每个数组单元存放规则的右部分属性。
7.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至5任一所述的方法。
8.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至5任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711465401.4A CN109977689B (zh) | 2017-12-28 | 2017-12-28 | 一种数据库安全审计方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711465401.4A CN109977689B (zh) | 2017-12-28 | 2017-12-28 | 一种数据库安全审计方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109977689A CN109977689A (zh) | 2019-07-05 |
| CN109977689B true CN109977689B (zh) | 2020-12-04 |
Family
ID=67075257
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711465401.4A Active CN109977689B (zh) | 2017-12-28 | 2017-12-28 | 一种数据库安全审计方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109977689B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10803192B2 (en) * | 2018-04-08 | 2020-10-13 | Imperva, Inc. | Detecting attacks on databases based on transaction characteristics determined from analyzing database logs |
| CN112528297A (zh) * | 2019-09-18 | 2021-03-19 | 北京京东尚科信息技术有限公司 | 数据访问检测方法和装置 |
| CN110855747A (zh) * | 2019-10-14 | 2020-02-28 | 上海辰锐信息科技公司 | 一种用户访问应用的行为审计数据的采集方法 |
| CN111274227B (zh) * | 2020-01-20 | 2023-03-24 | 上海市大数据中心 | 一种基于聚类分析和关联规则的数据库审计系统及方法 |
| CN111339766A (zh) * | 2020-02-19 | 2020-06-26 | 云南电网有限责任公司昆明供电局 | 一种操作票合规性检查方法及装置 |
| CN111767573A (zh) * | 2020-06-28 | 2020-10-13 | 北京天融信网络安全技术有限公司 | 数据库安全管理方法、装置、电子设备及可读存储介质 |
| CN112115470A (zh) * | 2020-09-15 | 2020-12-22 | 安徽长泰信息安全服务有限公司 | 一种基于数据扫描、监控、评估的安全管理审计系统 |
| CN112148715A (zh) * | 2020-10-26 | 2020-12-29 | 北京安信天行科技有限公司 | 一种基于用户行为规则的数据库安全检测方法及系统 |
| CN112506954A (zh) * | 2020-12-25 | 2021-03-16 | 新浪网技术(中国)有限公司 | 数据库审计方法和装置 |
| CN112668003A (zh) * | 2021-01-05 | 2021-04-16 | 浪潮云信息技术股份公司 | 一种基于人工智能的数据库安全审计监控方法 |
| CN112685506A (zh) * | 2021-01-22 | 2021-04-20 | 浪潮云信息技术股份公司 | 一种分布式数据库的安全审计实现方法及装置 |
| CN113505371B (zh) * | 2021-08-06 | 2022-03-15 | 四川大学 | 数据库安全风险评估系统 |
| CN113641702B (zh) * | 2021-10-18 | 2022-02-22 | 北京安华金和科技有限公司 | 一种语句审计后与数据库客户端交互处理方法和装置 |
| CN114187597A (zh) * | 2022-02-17 | 2022-03-15 | 北京安帝科技有限公司 | 日志审计方法及装置 |
| CN114996364B (zh) * | 2022-04-28 | 2023-02-03 | 北京原点数安科技有限公司 | 一种PaaS云数据库审计日志的分类分级方法、装置及存储介质 |
| CN115757459A (zh) * | 2022-10-20 | 2023-03-07 | 贵州多彩宝互联网服务有限公司 | 一种基于MySQL数据库操作审计、回滚的方法 |
| CN117494146B (zh) * | 2023-12-29 | 2024-04-26 | 山东街景智能制造科技股份有限公司 | 一种模型数据库管理系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101650748A (zh) * | 2009-09-14 | 2010-02-17 | 杨敬锋 | 一种土地质量评价方法及系统 |
| CN101853277A (zh) * | 2010-05-14 | 2010-10-06 | 南京信息工程大学 | 一种基于分类和关联分析的漏洞数据挖掘方法 |
| CN103400214A (zh) * | 2013-08-22 | 2013-11-20 | 华北电力大学 | 基于多维多层关联规则的电压暂降预测分析方法 |
| CN104090941A (zh) * | 2014-06-30 | 2014-10-08 | 江苏华大天益电力科技有限公司 | 一种数据库审计系统及其审计方法 |
| CN104679828A (zh) * | 2015-01-19 | 2015-06-03 | 云南电力调度控制中心 | 一种基于规则的电网故障诊断智能系统 |
| CN107276980A (zh) * | 2017-05-02 | 2017-10-20 | 广东电网有限责任公司信息中心 | 一种基于关联分析的用户异常行为检测方法及系统 |
| CN107358346A (zh) * | 2017-07-03 | 2017-11-17 | 中国联合网络通信集团有限公司 | 针对于通信质量的评价信息处理方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2520987B (en) * | 2013-12-06 | 2016-06-01 | Cyberlytic Ltd | Using fuzzy logic to assign a risk level profile to a potential cyber threat |
-
2017
- 2017-12-28 CN CN201711465401.4A patent/CN109977689B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101650748A (zh) * | 2009-09-14 | 2010-02-17 | 杨敬锋 | 一种土地质量评价方法及系统 |
| CN101853277A (zh) * | 2010-05-14 | 2010-10-06 | 南京信息工程大学 | 一种基于分类和关联分析的漏洞数据挖掘方法 |
| CN103400214A (zh) * | 2013-08-22 | 2013-11-20 | 华北电力大学 | 基于多维多层关联规则的电压暂降预测分析方法 |
| CN104090941A (zh) * | 2014-06-30 | 2014-10-08 | 江苏华大天益电力科技有限公司 | 一种数据库审计系统及其审计方法 |
| CN104679828A (zh) * | 2015-01-19 | 2015-06-03 | 云南电力调度控制中心 | 一种基于规则的电网故障诊断智能系统 |
| CN107276980A (zh) * | 2017-05-02 | 2017-10-20 | 广东电网有限责任公司信息中心 | 一种基于关联分析的用户异常行为检测方法及系统 |
| CN107358346A (zh) * | 2017-07-03 | 2017-11-17 | 中国联合网络通信集团有限公司 | 针对于通信质量的评价信息处理方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109977689A (zh) | 2019-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109977689B (zh) | 一种数据库安全审计方法、装置及电子设备 | |
| CN110460594B (zh) | 威胁情报数据采集处理方法、装置及存储介质 | |
| CN109587125B (zh) | 一种网络安全大数据分析方法、系统及相关装置 | |
| CN108763957A (zh) | 一种数据库的安全审计系统、方法及服务器 | |
| CN101610174B (zh) | 一种日志事件关联分析系统与方法 | |
| CN104376023B (zh) | 一种基于日志的审计方法及系统 | |
| CN112416872A (zh) | 一种基于大数据的云平台日志管理系统 | |
| US11042525B2 (en) | Extracting and labeling custom information from log messages | |
| SG10201900335PA (en) | Server and method to determine malicious files in network traffic | |
| KR102088310B1 (ko) | 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법 | |
| US9961047B2 (en) | Network security management | |
| CN110020687B (zh) | 基于操作人员态势感知画像的异常行为分析方法及装置 | |
| CN114338746B (zh) | 一种用于物联网设备数据收集的分析预警方法及系统 | |
| CN108306846B (zh) | 一种网络访问异常检测方法及系统 | |
| CN113157994A (zh) | 一种多源异构平台数据处理方法 | |
| CN111782484A (zh) | 一种异常检测方法及装置 | |
| CN113157652A (zh) | 一种基于用户操作审计的用户行画像和异常行为检测方法 | |
| CN112612680A (zh) | 一种消息告警方法、系统、计算机设备及存储介质 | |
| CN112287067A (zh) | 一种基于语义分析的敏感事件可视化应用实现方法、系统及终端 | |
| CN115378711A (zh) | 一种工控网络的入侵检测方法和系统 | |
| CN106951360A (zh) | 数据统计完整度计算方法和系统 | |
| CN115622867A (zh) | 一种工控系统安全事件预警分类方法及系统 | |
| CN114116872A (zh) | 数据处理方法、装置、电子设备及计算机可读存储介质 | |
| CN110708296B (zh) | 一种基于长时间行为分析的vpn账号失陷智能检测模型 | |
| CN116991675A (zh) | 一种异常访问监控方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |