CN110222525B - 数据库操作审计方法、装置、电子设备及存储介质 - Google Patents

数据库操作审计方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN110222525B
CN110222525B CN201910400536.5A CN201910400536A CN110222525B CN 110222525 B CN110222525 B CN 110222525B CN 201910400536 A CN201910400536 A CN 201910400536A CN 110222525 B CN110222525 B CN 110222525B
Authority
CN
China
Prior art keywords
database
user
database operation
operation behavior
behavior data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910400536.5A
Other languages
English (en)
Other versions
CN110222525A (zh
Inventor
史艳华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Big Data Technologies Co Ltd
Original Assignee
New H3C Big Data Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Big Data Technologies Co Ltd filed Critical New H3C Big Data Technologies Co Ltd
Priority to CN201910400536.5A priority Critical patent/CN110222525B/zh
Publication of CN110222525A publication Critical patent/CN110222525A/zh
Application granted granted Critical
Publication of CN110222525B publication Critical patent/CN110222525B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Abstract

本公开提出一种数据库操作审计方法、装置、电子设备及存储介质,涉及信息安全技术领域。通过获取用户当前数据库操作行为数据,对数据库操作行为数据进行预处理后,基于该用户操作数据库的历史数据得到数据库操作行为基线,对用户当前数据库操作行为数据进行计算,从而得到该用户当前操作数据库的安全评估结果,若安全评估结果超出预设的第一安全阈值,则执行相应的安全处理操作,进而可以确定该用户当前操作数据库的安全性,能够及时发现用户的高危行为并进行相应地处理,加强了数据库的安全防护。

Description

数据库操作审计方法、装置、电子设备及存储介质
技术领域
本公开涉及信息安全技术领域,具体而言,涉及一种数据库操作审计方法、装置、电子设备及存储介质。
背景技术
目前,随着互联网的普及,信息安全越来越来重要,其中,针对互联网的安全审计研究较多,但针对企事业单位的内部局域网的审计不足,但如果企事业单位内部局域网的用户行为造成的重要数据毁损或者泄露,非常容易给企业甚至国家带来不可估量的损失。
现有技术中,针对内部局域网的数据安全,仅仅是将内部局域网的用户行为记录下来,出现事故后再进行查询,但这是一种事后行为,并不能及时发现内部局域网用户的可疑行为并进行阻止。
发明内容
本公开的目的在于提供一种数据库操作审计方法、装置、电子设备及存储介质,能够及时发现用户的高危行为并进行报警,加强了数据库的安全防护。
为了实现上述目的,本公开采用的技术方案如下:
第一方面,本公开提出一种数据库操作审计方法,包括:
获取用户当前数据库操作行为数据,对数据库操作行为数据进行预处理,数据库操作行为数据包括:数据库用户信息、数据库操作时间信息、数据库设备信息、数据库标识信息和数据库操作命令;
将预处理后的数据库操作行为数据与数据库操作行为基线进行对比,得到用户当前操作数据库的安全评估结果;
若安全评估结果超出预设的第一安全阈值,则执行相应的安全处理操作。
第二方面,本公开还提出一种数据库操作审计装置,包括:
获取模块,用于获取用户当前数据库操作行为数据,对数据库操作行为数据进行预处理,数据库操作行为数据包括:数据库用户信息、数据库操作时间信息、数据库设备信息、数据库标识信息和数据库操作命令;
评估模块,用于基于数据库操作行为基线,对预处理后的数据库操作行为数据进行计算,得到用户当前操作数据库的安全评估结果;
处理模块,用于若安全评估结果超出预设的第一安全阈值,则执行相应的安全处理操作。
第三方面,本公开还提出一种电子设备,包括存储有计算机程序的计算机可读存储介质和处理器,所述计算机程序被所述处理器读取并运行时,实现上述第一方面所述的方法。
第四方面,本公开还提出一种存储介质,其上存储有计算机程序,所述计算机程序被处理器读取并运行时,实现上述第一方面所述的方法。
相对现有技术,本公开具有以下有益效果:通过获取用户当前数据库操作行为数据,对数据库操作行为数据进行预处理后,基于该用户操作数据库的历史数据得到数据库操作行为基线,对用户当前数据库操作行为数据进行计算,从而得到该用户当前操作数据库的安全评估结果,若安全评估结果超出预设的第一安全阈值,则执行相应的安全处理操作,进而可以确定该用户当前操作数据库的安全性,能够及时发现用户的高危行为并进行相应地处理,加强了数据库的安全防护。
本公开的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本公开了解。本公开的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本公开的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本公开的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本公开所提供的一种网络的结构示意图;
图2示出了本公开所提供的一种数据库操作审计方法的流程示意图;
图3示出了本公开所提供的另一种数据库操作审计方法的流程示意图;
图4示出了本公开所提供的另一种数据库操作审计方法的流程示意图;
图5示出了本公开所提供的某用户一天24小时登陆时间基线示意图;
图6示出了本公开所提供的一种数据库操作审计装置的结构示意图;
图7示出了本公开所提供的一种获取模块的结构示意图;
图8示出了本公开所提供的一种数据库操作审计装置的结构示意图;
图9示出了本公开所提供的一种电子设备的功能模块示意图。
具体实施方式
下面将结合本公开中附图,对本公开中的技术方案进行清楚、完整地描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在对本公开进行详细的解释说明之前,先对本公开的应用场景予以介绍。
数据库网络由多个作为节点的数据库设备之间通信互联构成,其中,数据库设备可以包括用户客户端、服务器、路由器或交换机等设备。在实际应用中,为了确保数据库网络或数据库设备的数据安全,识别用户对数据库操作的可疑行为,可以通过本公开所提供的数据库操作审计的方法,基于用户数据库操作行为基线,及时对用户当前操作数据库的行为进行安全性评估。
其中,可以在数据库网络中设置流量采集器或安全服务器,并通过该流量采集器或安全服务器获取数据库设备进行数据库操作行为的日志数据,并按照本公开所提供的数据库操作审计方法来识别当前用户操作数据库的行为是否为危险操作。当然,在实际应用中,也可以通过该数据库网络中已有的一个或多个数据库设备按照本公开所提供的数据库操作审计方法,识别用户操作数据库的行为是否为危险操作。
在用户对数据库进行操作的过程中,会产生数据库操作行为数据,该数据库操作行为数据可以包括:数据库用户信息、数据库操作时间信息、数据库设备信息、数据库标识信息和数据库操作命令,其中,数据库用户信息可以包括用户标识,例如:用户名、用户数字证书、用户手机号等可以唯一标识用户的信息,还可以包括用户在数据库中的角色信息,例如:普通用户、管理者用户等,具体可以根据数据库的权限控制来设置,并不在此限定;数据库操作时间可以包括用户登陆或者退出数据库的时间、登陆数据库的时长等;数据库设备信息可以包括设备的IP地址、MAC地址、或者唯一标识等;数据库标识信息可以包括用户登陆数据库的编号、编码或者唯一标识等;数据库操作命令可以包括用户对数据库进行操作的命令字符串、指令信息等;相应的,数据库设备所传输的数据包括该数据库设备发送至其它数据库设备的数据,和/或,接收其它数据库设备所发送的数据。例如,对于用户客户端,登陆行为可以包括登陆客户端行为和/或登陆数据库设备行为,操作命令行为可以包括对数据库设备的操作和/或数据库的操作。
数据库日志数据为记录数据库操作事件的文件或文件集合。
如图1所示,以专用的内部网络为例,该内部网络包括数据库服务器101以及多个用户客户端102,用户客户端102与数据库服务器101之间通信连接,该数据库服务器101中可以存储有需要使用的各类型数据库。内部人员可以通过用户客户端102登录该内部网络,并与数据库服务器101进行数据传输。为了对内部人员操作数据库的行为进行监控,比如防止该内部人员操作数据库中的可疑行为,可以将该可疑行为作为安全提示,在该网络中设置安全服务器103,通过该安全服务器103对该内部网络中的用户客户端102登陆数据库服务器101的行为做出识别和评估,从而确定用户客户端102所对应的用户当前操作数据库的安全性,并可以根据安全评估结果执行相应的安全处理操作,例如,给出告警提示,或者阻止用户当前对数据库的操作等等。
以下将对公开所提供的识别异常数据的方法进行具体说明。
请参照图2,为本公开所提供的一种数据库操作审计方法的流程示意图。需要说明的是,本公开所述的数据库操作审计方法并不以图2以及以下所述的具体顺序为限制,应当理解,在其它实施例中,本公开所述的数据库操作审计方法其中部分步骤的顺序可以根据实际需要相互交换,或者其中的部分步骤也可以省略或删除。下面将对图2所示的流程进行详细阐述。
步骤201,获取用户当前数据库操作行为数据,对数据库操作行为数据进行预处理。
在本实施例中,可以通过上述流量采集器或安全服务器采集内网用户的数据库操作日志数据,该数据库操作日志数据记录了用户数据库操作行为数据,比如:数据库的登陆账户、数据库的登陆时间、数据库的登陆设备IP、登陆数据库IP和数据库操作命令等,通过解析该数据库操作日志数据,得到用户数据库操作行为数据的原始数据,如:操作命令字符串、登陆账户的字段、登陆时间的原始数据等,其中,对于解析过程可以采用logstash或其他解析程序,将解析后的数据库操作行为数据存储到分布式文件系统中,还可以根据实际情况设定每5分钟存储一个文件,至少保存30天等等,在此不作限定。
在获取到上述数据库操作行为数据对应的原始数据之后,通常是不能满足分析的要求,需要进行一定的预处理,例如:将登陆时间进行相同单位时间的转换,将登陆账户为空的账户进行标记等等,具体可以根据实际情况来,在此不作限定。
步骤202,基于数据库操作行为基线,对预处理后的数据库操作行为数据进行计算,得到用户当前操作数据库的安全评估结果,其中,数据库操作行为基线是根据用户操作数据库的历史数据得到的。
在本实施例中,数据库操作行为基线是指根据用户各项数据库操作行为的历史数据估计出某种行为的概率,基于预处理后的数据库操作行为数据,可以得到用户当前操作数据库时,各数据库操作行为数据发生的概率,根据用户当前各数据库操作行为数据发生的概率和各数据库操作行为基线,可以得到各数据库操作行为数据对应的权重值,另外,对于不同的数据库操作行为数据,其重要程度也是有所不同的,例如:数据库操作命令所造成的危害性要远大于登陆数据库,数据库操作命令的操作行为所引起的重视程度要高,因此,可以根据用户各项数据库操作行为数据的重要程度分配不同的分值,例如:可以赋予数据库操作命令对应的分值为50分,而其他各数据库操作行为数据对应的分值可以均赋值10分等等,在此不作限定,最后,即可通过各项数据库操作行为数据的分值和权重值,得到各数据库操作行为数据的评估结果,然后可以通过对各数据库操作行为数据的评估结果进行求和,从而得到用户当前操作数据库的安全评估结果。
步骤203,若安全评估结果超出预设的第一安全阈值,则执行相应的安全处理操作。
具体的,对上述求和得到的总分,可以与第一安全阈值进行比较,如果大于等于该第一安全阈值,则确定用户当前操作数据库的行为危险,可以给出报警提示,或者阻止用户当前操作数据库等,具体可以根据实际情况设置,并不以此为限。
本实施例通过获取用户当前数据库操作行为数据,对数据库操作行为数据进行预处理后,基于该用户操作数据库的历史数据得到数据库操作行为基线,对用户当前数据库操作行为数据进行计算,从而得到该用户当前操作数据库的安全评估结果,若安全评估结果超出预设的第一安全阈值,则执行相应的安全处理操作,进而可以确定该用户当前操作数据库的安全性,能够及时发现用户的高危行为并进行相应地处理,加强了数据库的安全防护。
请参照图3,为本公开所提供的一种数据库操作审计的方法的流程示意图。需要说明的是,本公开所述的数据库操作审计的方法并不以图3以及以下所述的具体顺序为限制,应当理解,在其它实施例中,本公开所述的数据库操作审计的方法其中部分步骤的顺序可以根据实际需要相互交换,或者其中的部分步骤也可以省略或删除。下面将对图3所示的流程进行详细阐述:
可选的,对数据库操作行为数据进行预处理,包括:
具体的,可以获取数据库操作命令对应的字符串、以及登陆或退出数据库时间的时间戳和登陆数据库账户的账户字段。
具体的,表1为数据库操作日志数据的原始数据示例,如表1所示,通常采集的原始数据如:数据库的登陆账户(user_name)、数据库的管理权限(account)、数据库的登陆时间(time)、数据库的登陆设备IP(srcIP)、登陆数据库IP(dstIP)和数据库操作命令(cmd)等,但不能满足分析要求,需要进行一定的处理。
表1
Figure BDA0002059259780000081
获取数据库操作命令对应的字符串,提取该字符串中的命令字符,将命令字符与预设的数据库操作命令的危险等级进行匹配,确定数据库操作命令对应的危险等级和危险等级对应的分值。
具体的,不同的数据库操作命令的危险等级不同,如:常见的select(选择)查询操作,对数据构成的威胁很小,而delete(删除)\load(下载)等操作就存在着毁损、泄露数据的风险,因此,为评估用户操作数据库的风险,首先需要确定数据库操作命令对应的危险等级,在确认过程中,首先切割操作命令字符串的命令字符,提取出其中的命令单词,再将单词与预设的数据库操作命令分级表中的字符进行匹配,根据匹配结果确定对应的出危险等级,该危险等级可以是低危、中危和高危,同时可以设定对应的分值,例如:低危对应1分,中危对应2分,高危对应3分,但具体可以根据实际情况来设定,并不以此为限。
需要说明的是,为评估用户操作数据库的风险,需要对数据库操作命令进行危险等级划分,可以采用表格的方式建立数据库操作命令与危险等级的对应关系,表2为数据库操作命令分级表,对于该数据库操作命令分级表可以结合实际情况以及相关经验得到,如表2所示:
表2数据库操作命令分级表
Figure BDA0002059259780000091
Figure BDA0002059259780000101
获取数据库登陆时间的时间戳,按照第一预设时间单位进行转换,将转换后的时间信息作为时间戳的标记。
具体的,可以提取每个时间戳中小时的数据,并将小时的数据转化为以分钟为单位的数据,如“2018/12/20 13:28”可以先将“13:28”提取出来,然后转化为“13×60+28”分钟作为每天这个时刻的标记。
获取数据库登陆账户的账户字段,确定账户字段为空的账号,并对账户字段按照预设标识进行标记。
具体的,针对某些用户不使用账户也能登录数据库,此时“账户”字段为空,会影响后续的数据处理,可以将此类空账户转化为“no account”来进行标记。
可选的,基于数据库操作行为基线,对预处理后的数据库操作行为数据进行计算,得到用户当前操作数据库的安全评估结果之前,上述方法还包括:
获取各数据库操作行为数据对应的分值。
具体的,对于不同的数据库操作行为数据,其重要程度也是有所不同的,例如:数据库操作命令所造成的危害性要远大于登陆数据库,数据库操作命令的操作行为所引起的重视程度要高,因此,可以根据用户各项数据库操作行为数据的重要程度分配不同的分值,例如:可以赋予数据库操作命令对应的分值为50分,而其他各数据库操作行为数据对应的分值可以均赋值10分等等,另外,数据库操作命令有很多种,其对应的危险等级也有所不同,可以参照前述给出的数据库操作命令分级表,根据数据库操作命令对应的危险等级分配不同的分值,例如:低危:0分,中危:2分,高危:5分,在此不作限定。
需要说明的是,在本公开的另一可选实施例中,也可以直接获取已有数据库操作行为数据对应的分值,也即是,在实际应用中,可以直接执行下述步骤,上述确定数据库操作行为数据对应的分值为可选的步骤。
可选的,图3示出了本公开所提供的另一种数据库操作审计方法的流程示意图,如图3所示,基于数据库操作行为基线,对预处理后的数据库操作行为数据进行计算,得到用户当前操作数据库的安全评估结果之前,上述方法还包括:
步骤301、获取用户在预设时间段内操作数据库的历史数据;
步骤302、根据历史数据分别计算各数据库操作行为数据在预设时间段内出现的概率平均值;
步骤303、将计算后的各数据库操作行为数据的概率平均值作为数据库操作行为基线。
在本实施例中,数据库操作行为基线是指根据用户在预设时间段内操作数据库所记录的数据库操作行为历史数据,来估计出某种数据库操作行为的概率,以数据库登陆时间为例,如果想了解用户在某个时段登陆数据库是否异常,可以先获取该用户在此时间登陆数据库的概率有多大,若在历史记录中,在此时段登陆数据库的概率较低,那么就属于异常行为,反之则正常,可以把用户在一天中24小时的登陆数据库的概率平均值进行估计,作为该用户数据库操作行为数据中数据库登陆时间的基线,其中,登陆时间的概率估计可以采用核密度估计(kernel density estimation,KDE)的方法进行估计,核密度估计是在概率论中用来估计未知的概率密度函数的,属于非参数估计方法的一种,相比于参数估计方法要先假设样本集符合某一概率分布,然后根据样本集合拟合该分布中的参数,如似然估计、混合高斯等方法,非参数估计并不加入任何先验知识,而是根据数据本身的特点、性质来拟合分布,这样往往能比参数估计方法得出与真实分布更加相符的模型,具体的,在本实施例中,可以选用高斯核函数,选择带宽值为10对数据库登录时间基线进行估计。
对于数据库登录账户、数据库登录设备IP、登录数据库IP这些离散变量的数据库操作行为数据,可以直接使用频数计算其在某一时间段内出现的概率平均值,例如:以数据库登陆账户为例,若获取30天的历史数据,可以统计所有数据库登陆账户一共出现的次数,以及特定数据库登陆账户出现的次数,假设A登陆账户的出现频率为20次,所有登陆账户的出现频率为200次,则该A登陆账户在30天内出现的概率平均值可以通过如下计算:20/200=10%,即该A登陆账户在30天内出现的概率平均值为10%。
需要说明的是,在本公开的另一可选实施例中,也可以直接获取已有的用户数据库操作行为基线而不需建立,也即是,在实际应用中,可以直接执行下述步骤,上述建立用户数据库操作行为基线为可选的步骤。
进一步的,图4示出了本公开所提供的另一种数据库操作审计方法的流程示意图,如图4所示,基于数据库操作行为基线,对预处理后的数据库操作行为数据进行计算,得到用户当前操作数据库的安全评估结果,包括:
步骤401、根据当前各数据库操作行为数据和各数据库操作行为数据的概率平均值,分别计算得到各数据库操作行为数据的权重值;
步骤402、根据各数据库操作行为数据的权重值和对应的分值进行加权求和,得到用户当前操作数据库的安全评估结果。
具体的,基于上述得到的每一项数据库操作行为基线,可以分别计算得到当前各数据库操作行为数据的权重值,其中,比如,对于数据库登陆时间的权重值的计算过程如下:
根据核密度估计得出用户的登录时间的概率密度分布,图5示出了本公开所提供的某用户一天24小时登陆时间基线示意图,如图5所示。计算出一天内的概率平均值记为M,记用户当前操作数据库发生的登陆时间的概率值为p,当p>M时,认为是正常情况,其权重值为0,当p低于M时,认为该操作可疑,有危险性,则计算该数据库登陆时间的权重值为
Figure BDA0002059259780000131
另外,对于数据库登录账户、数据库登录设备IP和登录数据库IP的权重值的计算方法相同,下面以数据库登录账户为例,当用户当前操作数据库的登录账户为空账户或者为之前未出现过的账户时,记该登陆账户的概率值p=0,则此时登陆账户的权重值waccount=1,当该登陆账户为之前出现过的账户则权重计算方法同登录时间,计算过程如公式1:
Figure BDA0002059259780000132
对于数据库操作命令的权重值,考虑到其他几个数据库操作行为数据越异常,所发生的操作就可能越危险,所以数据库操作命令的权重由其他几个数据库操作行为数据决定,其具体的计算过程如下:另外当出现异常的数据库操作行为数据的异常项数越多,危险程度也急剧增加,因此,数据操作命令的权重随数据库操作行为数据异常的长度及个数成指数增加,计算过程如公式2:
Figure BDA0002059259780000133
其中,w为数据库操作行为数据的权重值,M为数据库操作行为数据的概率平均值,P为用户当前操作数据库的数据库操作行为的概率值,i为数据库登陆账户、数据库登陆时间、数据库登陆设备IP、登陆数据库IP中的任意一种,即i=time,account,srcip,dstip,cmd为数据库操作命令。
需要说明的是,对于用户当前操作数据库的各数据库操作行为数据,如果为连续型指标的可以使用KDE方法进行概率密度估计,如果为离散型指标的可以使用离散数据概率计算公式进行概率计算,具体可以根据实际情况来定,再此不作限定。
判断用户当前操作数据库的安全性,需要结合该用户所有的数据库操作行为数据,因此,可以根据前述每一项数据库操作行为数据对应的分值和权重值,进行加权求和,其加权求和的公式如下:
Figure BDA0002059259780000141
将计算得到的总分scoretotal,与第一安全阈值进行比较,可以假设该第一安全阈值为80分,如果scoretotal>80分,则给出报警信息,用于指示用户当前操作数据库危险,或者阻止用户当前对数据库的操作。
可选的,上述方法还包括:
获取用户的历史告警分值,将历史告警分值累加求和至用户当前操作数据库的安全评估结果中;
若累加求和后的安全评估结果超出预设的第二安全阈值,则执行相应的安全处理操作。
具体的,一个有历史高危操作的用户应该比一个没有过高危操作的人更受到关注,因此,对于用户当前操作数据库的安全性,还可以考虑用户的历史告警情况。如果当用户有过高危操作,可以获取到该用户的历史告警分值,可以记为scorehistory,则最终的安全评估结果计算过程如下:
Figure BDA0002059259780000142
其中,scoretime为数据库登陆时间的分值,scoreaccount为数据库登陆账户的分值,
Figure BDA0002059259780000151
为数据库登陆设备IP指标的分值,
Figure BDA0002059259780000152
为登陆数据库IP指标的分值,scorecmd为数据库操作命令的分值。
将计算得到的最终总分scoretotal,与第二安全阈值进行比较,可以假设该第二安全阈值为80分,如果scoretotal>80分,则给出报警信息,用于指示用户当前操作数据库危险。
需要说明的是,第一安全阈值和第二安全阈值可以一样,也可以不一样,在此不作限定。
可选的,获取用户的历史告警分值之后,上述方法还包括:
若历史告警分值小于预设阈值,则累计每一次用户的历史告警分值。
具体的,如果当用户有过高危操作,获取到该用户的历史告警分值,但该历史告警分值尚未达到预设阈值(例如:60分),此时,可以将该用户的告警进行累计,直至下次出现高危报警,另外,也可以让审计员在审计此用户时,根据实际情况来决定是否将其历史告警分值清零。
请参照图6,为本公开所提供的一种数据库操作审计装置500的功能模块示意图。需要说明的是,本实施例所提供的数据库操作审计装置500,其基本原理及产生的技术效果与前述对应的方法实施例相同,为简要描述,本实施例中未提及部分,可参考方法实施例中的相应内容。该数据库操作审计装置500包括:
获取模块501,用于获取用户当前数据库操作行为数据,对数据库操作行为数据进行预处理,数据库操作行为数据包括:数据库用户信息、数据库操作时间信息、数据库设备信息、数据库标识信息和数据库操作命令;
评估模块502,用于基于数据库操作行为基线,对预处理后的数据库操作行为数据进行计算,得到用户当前操作数据库的安全评估结果,其中,数据库操作行为基线是根据用户操作数据库的历史数据得到的;
处理模块503,用于若安全评估结果超出预设的第一安全阈值,则执行相应的安全处理操作。
上述装置用于执行前述实施例提供的方法,其实现原理和技术效果类似,在此不再赘述。
可选的,请参照图7,为本公开所提供的一种获取模块501的功能模块示意图。上述获取模块501包括提取模块5011和匹配模块5012,该提取模块5011用于获取数据库操作命令对应的字符串,提取字符串的命令字符;
匹配模块5012用于将命令字符与预设的数据库操作命令的危险等级进行匹配,确定数据库操作命令对应的危险等级和所述危险等级对应的分值。
上述装置用于执行前述实施例提供的方法,其实现原理和技术效果类似,在此不再赘述。
可选的,请参照图8,为本公开所提供的另一种数据库操作审计装置500的功能模块示意图。上述装置还包括基线建立模块504,用于获取用户在预设时间段内操作数据库的历史数据;
根据历史数据分别计算各数据库操作行为数据在预设时间段内出现的概率平均值;
将计算后的各数据库操作行为数据的概率平均值作为数据库操作行为基线。
上述装置用于执行前述实施例提供的方法,其实现原理和技术效果类似,在此不再赘述。
可选的,上述评估模块502用于基于数据库操作行为基线,对预处理后的数据库操作行为数据进行计算,得到用户当前操作数据库的安全评估结果,具体包括:
用于根据用户当前各数据库操作行为数据和各数据库操作行为数据的概率平均值,分别计算得到各数据库操作行为数据的权重值;
根据各数据库操作行为数据的权重值和对应的分值进行加权求和,得到用户当前操作数据库的安全评估结果。
上述装置用于执行前述实施例提供的方法,其实现原理和技术效果类似,在此不再赘述。
可选的,请参照图8,所述装置还包括告警模块505;
获取模块501还用于获取用户的历史告警分值;
评估模块502还用于将历史告警分值累加求和至用户当前操作数据库的安全评估结果中;
处理模块503还用于若累加求和后的安全评估结果超出预设的第二安全阈值,则执行相应的安全处理操作;
告警模块505用于获取用户的历史告警分值之后,若用户的历史告警分值小于预设阈值,则累计每一次用户的历史告警分值。
上述装置用于执行前述实施例提供的方法,其实现原理和技术效果类似,在此不再赘述。
以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个微处理器(digital singnal processor,简称DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(CentralProcessing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上系统(system-on-a-chip,简称SOC)的形式实现。
请参照图9,为本公开所提供的一种电子设备的功能模块示意图。该电子设备可以包括存储有计算机程序的计算机可读存储介质601和处理器602,处理器602可以调用计算机可读存储介质601存储的计算机程序。当该计算机程序被处理器602读取并运行,可以实现上述方法实施例。具体实现方式和技术效果类似,这里不再赘述。
可选地,本公开还提供一存储介质,其上存储有计算机程序,该计算机程序被处理器读取并运行时,可以实现上述方法实施例。
在本公开所提供的几个实施例中,应该理解到,以上所描述的装置实施例仅仅是示意性的,所揭露的装置和方法,可以通过其它的方式实现。例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行,例如各单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本公开的优选实施例而已,并不用于限制本公开,对于本领域的技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。

Claims (10)

1.一种数据库操作审计方法,其特征在于,所述方法包括:
获取用户当前数据库操作行为数据,对所述数据库操作行为数据进行预处理,所述数据库操作行为数据包括:数据库用户信息、数据库操作时间信息、数据库设备信息、数据库标识信息和数据库操作命令;
基于数据库操作行为基线,对预处理后的数据库操作行为数据进行计算,得到所述用户当前操作数据库的安全评估结果,其中,所述数据库操作行为基线是根据所述用户操作数据库的历史数据得到的;
若所述安全评估结果超出预设的第一安全阈值,则执行相应的安全处理操作;
其中,所述基于数据库操作行为基线,对预处理后的数据库操作行为数据进行计算,得到所述用户当前操作数据库的安全评估结果之前,所述方法还包括:
获取所述用户在预设时间段内操作数据库的历史数据;
根据所述历史数据分别计算各所述数据库操作行为数据在预设时间段内出现的概率平均值;
将计算后的各所述数据库操作行为数据的概率平均值作为所述数据库操作行为基线。
2.如权利要求1所述的方法,其特征在于,所述对所述数据库操作行为数据进行预处理,包括:
获取所述数据库操作命令对应的字符串,提取所述字符串的命令字符;
将所述命令字符与预设的数据库操作命令的危险等级进行匹配,确定所述数据库操作命令对应的危险等级和所述危险等级对应的分值。
3.如权利要求1所述的方法,其特征在于,所述基于数据库操作行为基线,对预处理后的数据库操作行为数据进行计算,得到用户当前操作数据库的安全评估结果,包括:
根据所述用户当前各数据库操作行为数据和各所述数据库操作行为数据的概率平均值,分别计算得到各所述数据库操作行为数据的权重值;
根据各所述数据库操作行为数据的权重值和对应的分值进行加权求和,得到所述用户当前操作数据库的安全评估结果。
4.如权利要求3所述的方法,其特征在于,所述方法还包括:
获取所述用户的历史告警分值,将所述历史告警分值累加求和至所述用户当前操作数据库的安全评估结果中;
若累加求和后的所述安全评估结果超出预设的第二安全阈值,则执行相应的安全处理操作;
其中,若所述用户的历史告警分值小于预设阈值,则累计每一次所述用户的历史告警分值。
5.一种数据库操作审计装置,其特征在于,所述装置包括:
获取模块,用于获取用户当前数据库操作行为数据,对所述数据库操作行为数据进行预处理,所述数据库操作行为数据包括:数据库用户信息、数据库操作时间信息、数据库设备信息、数据库标识信息和数据库操作命令;
评估模块,用于基于数据库操作行为基线,对预处理后的数据库操作行为数据进行计算,得到所述用户当前操作数据库的安全评估结果,其中,所述数据库操作行为基线是根据所述用户操作数据库的历史数据得到的;
处理模块,用于若所述安全评估结果超出预设的第一安全阈值,则执行相应的安全处理操作;
其中,所述装置还包括:基线建立模块;
所述基线建立模块用于获取所述用户在预设时间段内操作数据库的历史数据;
根据所述历史数据分别计算各所述数据库操作行为数据在预设时间段内出现的概率平均值;
将计算后的各所述数据库操作行为数据的概率平均值作为所述数据库操作行为基线。
6.如权利要求5所述的装置,其特征在于,所述获取模块包括:提取模块和匹配模块;
所述提取模块用于获取所述数据库操作命令对应的字符串,提取所述字符串的命令字符;
所述匹配模块用于将所述命令字符与预设的数据库操作命令的危险等级进行匹配,确定所述数据库操作命令对应的危险等级和所述危险等级对应的分值。
7.如权利要求5所述的装置,其特征在于,所述评估模块用于基于数据库操作行为基线,对预处理后的数据库操作行为数据进行计算,得到用户当前操作数据库的安全评估结果,具体包括:
用于根据所述用户当前各数据库操作行为数据和各所述数据库操作行为数据的概率平均值,分别计算得到各所述数据库操作行为数据的权重值;
根据各所述数据库操作行为数据的权重值和对应的分值进行加权求和,得到所述用户当前操作数据库的安全评估结果。
8.如权利要求7所述的装置,其特征在于,所述装置还包括:告警模块;
所述获取模块还用于获取所述用户的历史告警分值;
所述评估模块还用于将所述历史告警分值累加求和至所述用户当前操作数据库的安全评估结果中;
所述处理模块还用于若累加求和后的所述安全评估结果超出预设的第二安全阈值,则执行相应的安全处理操作;
所述告警模块用于获取所述用户的历史告警分值之后,若所述用户的历史告警分值小于预设阈值,则累计每一次所述用户的历史告警分值。
9.一种电子设备,其特征在于,包括存储有计算机程序的计算机可读存储介质和处理器,所述计算机程序被所述处理器读取并运行时,实现如权利要求1-4任一项所述的方法。
10.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器读取并运行时,实现如权利要求1-4任一项所述的方法。
CN201910400536.5A 2019-05-14 2019-05-14 数据库操作审计方法、装置、电子设备及存储介质 Active CN110222525B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910400536.5A CN110222525B (zh) 2019-05-14 2019-05-14 数据库操作审计方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910400536.5A CN110222525B (zh) 2019-05-14 2019-05-14 数据库操作审计方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN110222525A CN110222525A (zh) 2019-09-10
CN110222525B true CN110222525B (zh) 2021-08-06

Family

ID=67821220

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910400536.5A Active CN110222525B (zh) 2019-05-14 2019-05-14 数据库操作审计方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN110222525B (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112583768A (zh) * 2019-09-30 2021-03-30 北京国双科技有限公司 一种用户异常行为检测方法及装置
CN110825757B (zh) * 2019-10-31 2022-07-26 北京北信源软件股份有限公司 一种设备行为风险分析方法及系统
CN110798472B (zh) * 2019-11-01 2022-01-07 杭州数梦工场科技有限公司 数据泄露检测方法与装置
CN112989403B (zh) * 2019-12-18 2023-09-29 拓尔思天行网安信息技术有限责任公司 一种数据库破坏的检测方法、装置、设备及存储介质
CN111159706A (zh) * 2019-12-26 2020-05-15 深信服科技股份有限公司 数据库安全检测方法、装置、设备及存储介质
CN111259948A (zh) * 2020-01-13 2020-06-09 中孚安全技术有限公司 一种基于融合机器学习算法的用户安全行为基线分析方法
CN111541647B (zh) * 2020-03-25 2022-12-13 杭州数梦工场科技有限公司 安全检测方法、装置、存储介质及计算机设备
CN113535501A (zh) * 2020-04-15 2021-10-22 中移动信息技术有限公司 一种信息审计方法、装置、设备和计算机存储介质
CN115134164B (zh) * 2022-07-18 2024-02-23 深信服科技股份有限公司 一种上传行为检测方法、系统、设备及计算机存储介质
CN115225385B (zh) * 2022-07-20 2024-02-23 深信服科技股份有限公司 一种流量监控方法、系统、设备及计算机可读存储介质
CN115238324B (zh) * 2022-07-22 2023-03-28 珠海市鸿瑞信息技术股份有限公司 一种基于管理使用审计安全的计算机防护系统及方法
CN116389138B (zh) * 2023-04-07 2023-11-24 深圳市众志天成科技有限公司 一种基于数据传输时的信息安全保护方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101853289A (zh) * 2010-05-26 2010-10-06 杭州华三通信技术有限公司 一种数据库审计方法和设备
CN107689954A (zh) * 2017-08-21 2018-02-13 国家电网公司 电力信息系统监控方法和装置
CN107888574A (zh) * 2017-10-27 2018-04-06 深信服科技股份有限公司 检测数据库风险的方法、服务器及存储介质
CN108780479A (zh) * 2015-09-05 2018-11-09 万事达卡技术加拿大无限责任公司 用于对异常进行检测和评分的系统和方法
CN109446817A (zh) * 2018-10-29 2019-03-08 成都思维世纪科技有限责任公司 一种大数据检测与审计系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101853289A (zh) * 2010-05-26 2010-10-06 杭州华三通信技术有限公司 一种数据库审计方法和设备
CN108780479A (zh) * 2015-09-05 2018-11-09 万事达卡技术加拿大无限责任公司 用于对异常进行检测和评分的系统和方法
CN107689954A (zh) * 2017-08-21 2018-02-13 国家电网公司 电力信息系统监控方法和装置
CN107888574A (zh) * 2017-10-27 2018-04-06 深信服科技股份有限公司 检测数据库风险的方法、服务器及存储介质
CN109446817A (zh) * 2018-10-29 2019-03-08 成都思维世纪科技有限责任公司 一种大数据检测与审计系统

Also Published As

Publication number Publication date
CN110222525A (zh) 2019-09-10

Similar Documents

Publication Publication Date Title
CN110222525B (zh) 数据库操作审计方法、装置、电子设备及存储介质
CN108881194B (zh) 企业内部用户异常行为检测方法和装置
CN110399925B (zh) 账号的风险识别方法、装置及存储介质
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
CN108881265B (zh) 一种基于人工智能的网络攻击检测方法及系统
CN108471429B (zh) 一种网络攻击告警方法及系统
CN108989150B (zh) 一种登录异常检测方法及装置
CN101610174B (zh) 一种日志事件关联分析系统与方法
CN108881263B (zh) 一种网络攻击结果检测方法及系统
CN113765881A (zh) 异常网络安全行为的检测方法、装置、电子设备及存储介质
CN108833185B (zh) 一种网络攻击路线还原方法及系统
CN110535806B (zh) 监测异常网站的方法、装置、设备和计算机存储介质
CN114915479B (zh) 一种基于Web日志的Web攻击阶段分析方法及系统
CN112114995B (zh) 基于进程的终端异常分析方法、装置、设备及存储介质
CN115001877B (zh) 一种基于大数据的信息安全运维管理系统及方法
CN112491784A (zh) Web网站的请求处理方法及装置、计算机可读存储介质
CN109257393A (zh) 基于机器学习的xss攻击防御方法及装置
CN107733699B (zh) 互联网资产安全管理方法、系统、设备及可读存储介质
CN113542227A (zh) 账号安全防护方法、装置、电子装置和存储介质
CN116797267B (zh) 用于股权投资的分布式市场数据采集管理系统
CN115150182B (zh) 基于流量分析的信息系统网络攻击检测方法
WO2018163162A1 (en) Digital mdr (managed detection and response) analysis
CN114244564A (zh) 攻击防御方法、装置、设备及可读存储介质
CN114338064B (zh) 识别网络流量类型的方法、装置、系统、设备和存储介质
CN107911232A (zh) 一种确定业务操作规则的方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant