CN111832030A - 一种基于国产密码数据标识的数据安全审计装置及方法 - Google Patents

Abstract

本发明实施例涉及一种基于国产密码数据标识的数据安全审计装置及方法，通过采集器采集数据库中用户事件信息并将用户事件信息形成审计日记，分析器对审计日记中的审计事件进行分析，发现数据库中用户事件信息中的用户行为是否存在异常，还通过执行模块将异常的用户行为进行存储，便于发现异常用户行为的发现和处理，加快对数据库中存在的问题进行整改，降低对数据库的风险，该基于国产密码数据标识的数据安全审计装置通过采集器和分析器数据库中用户行为信息是否存在异常的工作效率高、分析速度快且分析结果准确；解决了现有对数据库的数据采用人工肉眼方式进行审计，工作效率低且审计入侵数据库信息不准确的技术问题。

Description

一种基于国产密码数据标识的数据安全审计装置及方法

技术领域

本发明涉及数据安全技术领域，尤其涉及一种基于国产密码数据标识的数据安全审计装置及方法。

背景技术

软件系统的安全，包括操作系统的安全，是一个工程问题，仅靠安全模型并不能保证系统安全政策的实施，安全审计是一种事后的监督机制来检查系统中用户行为是否符合既定的安全政策，发现系统存在的安全漏洞以及安全漏洞可能被利用的方式和可能造成的后果，最后根据历史记录追查系统安全破坏者的责任。随着新时代的到来，信息化程度不断提高，信息系统得到了迅速发展，信息系统安全审计内容和对象越来越复杂，一定程度上增加了审计信息的工作量。

数据库作为数据存储系统和服务端，其安全性是十分重要的。任何数据损坏或非法操作都可能导致数据库乃至整个系统的崩溃，故其安全是系统设计是的重点。与一般的信息系统相比而言，数据库存在更多的安全隐患，主要表现在：内部隐患、外部隐患、软硬件隐患和计算机病毒隐患。在数据库系统中存在自己的安全机制，比如身份验证、数据库角色等。但数据库系统现有的安全机制不能完全解决数据库的安全问题。一个数据库用户如果拥有了系统管理员帐号，就能完全控制数据库服务器，数据库访问控制安全机制对此无能为力。

随着科学的进步，目前大多数数据库都提供了审计技术，在Internet环境下，由于访问数据库的用户的不确定性，数据库管理系统难以预知数据库系统的入侵者，用数据库系统提供的安全机制来抵制和发现入侵是困难的，此时往往需要对数据库系统资源的访问进行审计来发现可能的入侵。如果入侵者成功入侵数据库系统，安全审计必须记录入侵者的动作，如果数据被篡改，可以通过审计信息恢复数据，如果数据被窃取，审计记录则可以作为证据来追究肇事者的责任。另外数据库系统产生的审计数据量是非常大的，而真正能体现出非法操作的数据非常少，管理员很难通过肉眼和人工方法发现可疑情况。

发明内容

本发明实施例提供了一种基于国产密码数据标识的数据安全审计装置及方法，用于解决现有对数据库的数据采用人工肉眼方式进行审计，工作效率低且审计入侵数据库信息不准确的技术问题。

为了实现上述目的，本发明实施例提供如下技术方案：

一种基于国产密码数据标识的数据安全审计装置，包括采集器、分析器和执行模块；

所述采集器，用于从数据库中获取用户事件信息，对所述用户事件信息按审计条件处理后并按日记模式记录，得到审计日记并将所述审计日记传送至所述分析器中；

所述分析器，用于对所述审计日记采用滥用检测、异常检测进行分析，得到用户行为是否属于入侵数据库；

所述执行模块，用于根据所述分析器分析得到用户行为属于入侵数据库，将入侵数据库的用户事件信息记录并存储。

优选地，所述分析器包括滥用检测单元和异常检测单元；

所述滥用检测单元，用于根据规则库中入侵模式分析所述审计日记中用户行为是否属于入侵数据库；

所述异常检测单元，用于对所述审计日记中用户行为与用户正常行为模型比较分析，识别用户行为是否属于异常；

其中，采用用户长期访问数据库行为规律建立的所述用户正常行为模型。

优选地，所述滥用检测单元具体包括用于对所述审计日记中用户行为根据检测类型进行一一分析，所述检测类型包括登录数据库失败、用户登录数据库行为、用户操作失败行为和用户访问操作失败行为。

优选地，所述采集器还包括用于从审计事项数据字典中获得对所述用户事件信息处理的审计条件。

优选地，所述用户事件信息包括用户的登录操作、查询操作、用户访问操作和逻辑I/O操作。

本发明还提供一种基于国产密码数据标识的数据安全审计方法，包括以下步骤：

从数据库中获取用户事件信息，对所述用户事件信息按审计条件处理后并按日记模式记录，得到审计日记；

对所述审计日记采用滥用检测、异常检测进行分析，得到用户行为是否属于入侵数据库；

若分析得到用户行为属于入侵数据库，将入侵数据库的用户事件信息记录并存储；

其中，所述用户事件信息包括用户的登录操作、查询操作、用户访问操作和逻辑I/O操作，所述审计条件是从审计事项数据字典中获得的。

优选地，该基于国产密码数据标识的数据安全审计方法，还包括：根据规则库中入侵模式分析所述审计日记中用户行为是否属于入侵数据库；还对所述审计日记中用户行为根据检测类型进行一一分析，所述检测类型包括登录数据库失败、用户登录数据库行为、用户操作失败行为和用户访问操作失败行为。

优选地，该基于国产密码数据标识的数据安全审计方法，还包括对所述审计日记中用户行为与用户正常行为模型比较分析，识别用户行为是否属于异常；

其中，采用用户长期访问数据库行为规律建立的所述用户正常行为模型。

本发明还提供一种计算机可读存储介质，所述计算机存储介质用于存储计算机指令，当其在计算机上运行时，使得计算机执行上述所述的基于国产密码数据标识的数据安全审计方法。

本发明还提供一种终端设备，包括处理器以及存储器；

所述存储器，用于存储程序代码，并将所述程序代码传输给所述处理器；

所述处理器，用于根据所述程序代码中的指令执行上述所述的基于国产密码数据标识的数据安全审计方法。

从以上技术方案可以看出，本发明实施例具有以下优点：

1.该基于国产密码数据标识的数据安全审计装置通过采集器采集数据库中用户事件信息并将用户事件信息形成审计日记，分析器对审计日记中的审计事件进行分析，发现数据库中用户事件信息中的用户行为是否存在异常，还通过执行模块将异常的用户行为进行存储，便于发现异常用户行为的发现和处理，加快对数据库中存在的问题进行整改，降低对数据库的风险，该基于国产密码数据标识的数据安全审计装置通过采集器和分析器数据库中用户行为信息是否存在异常的工作效率高、分析速度快且分析结果准确；解决了现有对数据库的数据采用人工肉眼方式进行审计，工作效率低且审计入侵数据库信息不准确的技术问题。

2.该基于国产密码数据标识的数据安全审计方法通过采集数据库中用户事件信息并将用户事件信息形成审计日记，对审计日记中的审计事件进行分析，发现数据库中用户事件信息中的用户行为是否存在异常，将异常的用户行为进行存储，便于发现异常用户行为的发现和处理，加快对数据库中存在的问题进行整改，降低对数据库的风险，该基于国产密码数据标识的数据安全审计方法能够得到数据库中用户行为信息是否存在异常的工作效率高、分析速度快且分析结果准确；解决了现有对数据库的数据采用人工肉眼方式进行审计，工作效率低且审计入侵数据库信息不准确的技术问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例所述的基于国产密码数据标识的数据安全审计装置的框架图。

图2为本发明实施例所述的基于国产密码数据标识的数据安全审计装置的另一框架图。

图3为本发明实施例所述的基于国产密码数据标识的数据安全审计方法的步骤流程图。

具体实施方式

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本申请实施例提供了一种基于国产密码数据标识的数据安全审计装置及方法，用于解决了现有对数据库的数据采用人工肉眼方式进行审计，工作效率低且审计入侵数据库信息不准确的技术问题。

实施例一：

图1为本发明实施例所述的基于国产密码数据标识的数据安全审计装置的框架图。

如图1所示，本发明实施例提供了一种基于国产密码数据标识的数据安全审计装置，包括采集器10、分析器20和执行模块30；

采集器10，用于从数据库中获取用户事件信息，对用户事件信息按审计条件处理后并按日记模式记录，得到审计日记并将审计日记传送至分析器20中；

分析器20，用于对审计日记采用滥用检测、异常检测进行分析，得到用户行为是否属于入侵数据库；

执行模块30，用于根据分析器20分析得到用户行为属于入侵数据库，将入侵数据库的用户事件信息记录并存储。

在本发明实施例中，采集器10主要是采集来自用户的用户事件信息，用户事件信息包含有数据库查询操作、逻辑I/O操作、用户登录数据库操作、用户访问数据库操作等信息数据，根据与用户事件信息相应的审计条件，判断用户事件信息是否是审计事件，若根据审计条件判断用户事件信息是审计事件，将审计事件的内容按照日记模式记录形成审计日记，还将审计日记存储。

在本发明实施例中，分析器20主要是对审计日记中的审计事件采用滥用检测、异常检测进行分析，分析审计日记中的审计事件是否符合规则库中的要求从而判断审计事件中的用户行为是否属于入侵数据库的行为。

需要说明的是，对审计日记的审计事件也可以通过人工分析检查，检查审计事件的类型、审计事件的安全级、审计事件的引用用户等信息；当发现新的具有潜在危害性，而在规则库未记录的操作，检查人员可以向规则库更新该类型操作，形成新的规则库并将检查危险的信息进行反馈。

在本发明实施例中，执行模块30主要是根据分析器20分析的结果执行。

需要说明的是，执行模块30将分析器20分析得到用户行为属于入侵数据库的用户事件信息以数据库的形式存储。

在本发明实施例中，该基于国产密码数据标识的数据安全审计装置主要应用于数据库安全以及各种数据库的安全机制上，用于防止信息系统安全审计及数据库被入侵，检测相关论文资料，主要是通过采集器10采集并跟踪数据库的审计数据，还采用分析器20对审计数据的数据进行分析。

本发明提供的一种基于国产密码数据标识的数据安全审计装置通过采集器采集数据库中用户事件信息并将用户事件信息形成审计日记，分析器对审计日记中的审计事件进行分析，发现数据库中用户事件信息中的用户行为是否存在异常，还通过执行模块将异常的用户行为进行存储，便于发现异常用户行为的发现和处理，加快对数据库中存在的问题进行整改，降低对数据库的风险，该基于国产密码数据标识的数据安全审计装置通过采集器和分析器数据库中用户行为信息是否存在异常的工作效率高、分析速度快且分析结果准确；解决了现有对数据库的数据采用人工肉眼方式进行审计，工作效率低且审计入侵数据库信息不准确的技术问题。

图2为本发明实施例所述的基于国产密码数据标识的数据安全审计装置的另一框架图。

如图2所示，在本发明的一个实施例中，分析器20包括滥用检测单元21和异常检测单元22；

滥用检测单元21，用于根据规则库中入侵模式分析审计日记中用户行为是否属于入侵数据库；

异常检测单元22，用于对审计日记中用户行为与用户正常行为模型比较分析，识别用户行为是否属于异常；

其中，采用用户长期访问数据库行为规律建立的用户正常行为模型。

在本发明实施例中，滥用检测单元21具体包括用于对审计日记中用户行为根据检测类型进行一一分析，检测类型包括登录数据库失败、用户登录数据库行为、用户操作失败行为和用户访问操作失败行为。

需要说明的是，滥用检测是指将己知的攻击方式以某种形式存储在规则库中，然后审计日记中是否出现有规则库中的入侵模式来判断，如果审计日记中的审计事件存在有规则库中的入侵模式，则说明该用户行为入侵了数据流，滥用检测单元21对检测审计日记中的审计事件是否入侵数据库的检测准确率较高。规则库中入侵模式主要是在一般情况下将安全专家(安全管理员、审计员、安全负责人、数据库管理员等)的知识和技能，以安全规则的形式编码得到规则库的规则，这些规则被用来对审计日记中的审计事件数据进行分析，找出可疑的操作和活动。在本实施例中，使用rule库表存放滥用检测的规则。滥用检测的规则在规则库中能够随着数据库环境的改变而改变，使入侵检测具有一定的适应性。

在本发明实施例登录数据库失败的检测类型中，主要是检测用户指定的登录活动过程中口令字检查失败的次数，也可以对单个用户检测也可对整个数据库的所有用户检测。许多攻击企图往往会在同一个帐号下试图使用多个口令，或者用户用同一个口令试图登录不同的帐号，或者多个用户在不同的帐号下使用同一个口令。事实上，攻击常常在活动密集之时发生，通常表现为在很短的时间内，例如几分钟内，出现大量的口令失败记录。

在本发明实施例的用户登录数据库行为的检测类型中，用户登录数据库行为检测主要是用于检测用户在非法时间或非法路径的登录。

在本发明实施例的用户操作失败行为和用户访问操作失败行为的检测类型中，用户操作失败行为和用户访问操作失败行为检测主要是用于检测在给定时间窗口内(如五分钟)发生select、insert、update、deleted等访问操作失败的次数，对于检测反复尝试访问无授权访问的数据库/数据库对象的个别用户很有效，对于检测对高敏感的数据库或数据库对象的攻击访问也很有效。

在本发明实施例的检测类型中还包括操作表失败检测，主要是与操作记录失败检测相似，只是用于检测在给定时间窗口内发生create table、drop table等访问表操作失败的次数。

在本发明实施例中，滥用检测单元主要是对采集到的审计日记中的审计数据进行分析处理。具体地，滥用检测单元采用滥用检测算法一的流程如下：

输入：待检测的审计数据；

输出：入侵信息；

抽取要检测审计日记中的审计数据；

while滥用检测规则库没结束；

Begin；

if规则名＝登录失败then登录失败检测算法；

if规则名＝登录then登录检测算法；

if规则名＝操作记录失败then操作记录失败检测算法；

if规则名＝操作表失败then操作表失败检测算法；

向下移一条规则记录；

End(结束)。

滥用检测单元采用滥用检测算法二的流程如下：

输入：待检测的审计数据；

输出：入侵信息；

while待检测审计数据没结束；

Begin；

统计时间窗口内登录失败次数；

if登录失败次数>阈限值then；

if此入侵信息不与入侵表中的记录重复then；

将此入侵信息写入入侵表中；

向下移动一条审计记录；

End(结束)。

在本发明的实施例中，异常检测单元22是通过建立的用户正常行为模型进行判断审计日记中审计数据是否存在异常。建立用户正常行为模型主要是通过用户在长期访问数据库的过程中会反映出一定的行为规律，如哪些用户经常访问哪些数据库或数据库对象，对数据库或数据库对象常做哪些操作等等；在建立用户正常行为模型的学习阶段，要求采集用户正常操作的数据，所以学习到的规律是正常状态下用户行为规律。

在异常检测单元22检测时，若审计日记中的用户行为不符合用户正常行为模型规律时，认为用户行为存在异常。例如：一个用户在长期使用数据库的过程中，访问的数据库表是相对固定的product库表，那么如果一次访问数据库操作的是其它敏感数据库表，则认为此次操作是异常的。然后将用户当前行为与用户正常行为模型进行比较，如果两者偏差很大，则说明发生了入侵，通过异常检测单元22能检测到未知的攻击类型。如：在其他条件不变的情况下，用户对敏感数据的操作过于频繁，或者并未按照敏感数据的相关要求进行操作，则可认定为非法操作，或者是近似非法操作。

在本发明的一个实施例中，采集器10还包括用于从审计事项数据字典中获得对用户事件信息处理的审计条件。

需要说明的是，采集器用于采集审计数据，即是用户事件信息，并将审计数据存于特定的文件或数据库表中。具体地，Microsoft SQL Server中有一个工具——事件探查器，它可以从数据库中的服务器捕获SQL Server事件，事件保存在一个跟踪文件中，可在以后对该文件进行分析。审计条件是事件在异常数据规则库中，或者是由已知的异常事件态势评估出来的。不同事件的审计条件是不同的，审计条件需要依据事件类型进行设定。

实施例二：

图3为本发明实施例所述的基于国产密码数据标识的数据安全审计方法的步骤流程图。

如图3所示，本发明实施例提供了一种基于国产密码数据标识的数据安全审计方法，包括以下步骤：

S1.从数据库中获取用户事件信息，对用户事件信息按审计条件处理后并按日记模式记录，得到审计日记；

S2.对审计日记采用滥用检测、异常检测进行分析，得到用户行为是否属于入侵数据库；

S3.若分析得到用户行为属于入侵数据库，将入侵数据库的用户事件信息记录并存储；

其中，用户事件信息包括用户的登录操作、查询操作、用户访问操作和逻辑I/O操作，审计条件是从审计事项数据字典中获得的。

需要说明的是，实施例二中步骤S1-S3对应实施例一装置的采集器10、分析器20和执行模块30，实施例一中已对采集器10、分析器20和执行模块30详细阐述了，在此对实施例二中的步骤S1-S3不在详细阐述。

在本发明实施例中，该基于国产密码数据标识的数据安全审计方法还包括：根据规则库中入侵模式分析审计日记中用户行为是否属于入侵数据库；还对审计日记中用户行为根据检测类型进行一一分析，检测类型包括登录数据库失败、用户登录数据库行为、用户操作失败行为和用户访问操作失败行为。

需要说明的是，根据规则库中入侵模式分析审计日记中用户行为是否属于入侵数据库；还对审计日记中用户行为根据检测类型进行一一分析的内容已在实施例一装置的滥用检测单元21中详细阐述了，在此对该内容不在详细阐述。

在本发明实施例中，该基于国产密码数据标识的数据安全审计方法还包括对审计日记中用户行为与用户正常行为模型比较分析，识别用户行为是否属于异常；

其中，采用用户长期访问数据库行为规律建立的用户正常行为模型。

需要说明的是，实施例二中对审计日记中用户行为与用户正常行为模型比较分析的内容对应实施例一装置的异常检测单元22，实施例一中已对异常检测单元22详细阐述了，在此对实施例二中对审计日记中用户行为与用户正常行为模型比较分析的内容不在详细阐述。

本发明提供的一种基于国产密码数据标识的数据安全审计方法通过采集数据库中用户事件信息并将用户事件信息形成审计日记，对审计日记中的审计事件进行分析，发现数据库中用户事件信息中的用户行为是否存在异常，将异常的用户行为进行存储，便于发现异常用户行为的发现和处理，加快对数据库中存在的问题进行整改，降低对数据库的风险，该基于国产密码数据标识的数据安全审计方法能够得到数据库中用户行为信息是否存在异常的工作效率高、分析速度快且分析结果准确；解决了现有对数据库的数据采用人工肉眼方式进行审计，工作效率低且审计入侵数据库信息不准确的技术问题。

实施例三：

本发明实施例提供了一种计算机可读存储介质，计算机存储介质用于存储计算机指令，当其在计算机上运行时，使得计算机执行上述的基于国产密码数据标识的数据安全审计方法。

实施例四：

本发明实施例提供了一种终端设备，包括处理器以及存储器；

存储器，用于存储程序代码，并将程序代码传输给处理器；

处理器，用于根据程序代码中的指令执行上述的基于国产密码数据标识的数据安全审计方法。

需要说明的是，处理器用于根据所程序代码中的指令执行上述的一种基于国产密码数据标识的数据安全审计方法实施例中的步骤。或者，处理器执行计算机程序时实现上述各系统/装置实施例中各模块/单元的功能。

示例性的，计算机程序可以被分割成一个或多个模块/单元，一个或者多个模块/单元被存储在存储器中，并由处理器执行，以完成本申请。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述计算机程序在终端设备中的执行过程。

终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。终端设备可包括，但不仅限于，处理器、存储器。本领域技术人员可以理解，并不构成对终端设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如终端设备还可以包括输入输出设备、网络接入设备、总线等。

所称处理器可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable GateArray，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

存储器可以是终端设备的内部存储单元，例如终端设备的硬盘或内存。存储器也可以是终端设备的外部存储设备，例如终端设备上配备的插接式硬盘，智能存储卡(SmartMedia Card，SMC)，安全数字(Secure Digital，SD)卡，闪存卡(Flash Card)等。进一步地，存储器还可以既包括终端设备的内部存储单元也包括外部存储设备。存储器用于存储计算机程序以及终端设备所需的其他程序和数据。存储器还可以用于暂时地存储已经输出或者将要输出的数据。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，RandomAccess Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种基于国产密码数据标识的数据安全审计装置，其特征在于，包括采集器、分析器和执行模块；

所述采集器，用于从数据库中获取用户事件信息，对所述用户事件信息按审计条件处理后并按日记模式记录，得到审计日记并将所述审计日记传送至所述分析器中；

所述分析器，用于对所述审计日记采用滥用检测、异常检测进行分析，得到用户行为是否属于入侵数据库；

所述执行模块，用于根据所述分析器分析得到用户行为属于入侵数据库，将入侵数据库的用户事件信息记录并存储。

2.根据权利要求1所述的基于国产密码数据标识的数据安全审计装置，其特征在于，所述分析器包括滥用检测单元和异常检测单元；

所述滥用检测单元，用于根据规则库中入侵模式分析所述审计日记中用户行为是否属于入侵数据库；

所述异常检测单元，用于对所述审计日记中用户行为与用户正常行为模型比较分析，识别用户行为是否属于异常；

其中，采用用户长期访问数据库行为规律建立的所述用户正常行为模型。

3.根据权利要求2所述的基于国产密码数据标识的数据安全审计装置，其特征在于，所述滥用检测单元具体包括用于对所述审计日记中用户行为根据检测类型进行一一分析，所述检测类型包括登录数据库失败、用户登录数据库行为、用户操作失败行为和用户访问操作失败行为。

4.根据权利要求1所述的基于国产密码数据标识的数据安全审计装置，其特征在于，所述采集器还包括用于从审计事项数据字典中获得对所述用户事件信息处理的审计条件。

5.根据权利要求1所述的基于国产密码数据标识的数据安全审计装置，其特征在于，所述用户事件信息包括用户的登录操作、查询操作、用户访问操作和逻辑I/O操作。

6.一种基于国产密码数据标识的数据安全审计方法，其特征在于，包括以下步骤：

从数据库中获取用户事件信息，对所述用户事件信息按审计条件处理后并按日记模式记录，得到审计日记；

对所述审计日记采用滥用检测、异常检测进行分析，得到用户行为是否属于入侵数据库；

若分析得到用户行为属于入侵数据库，将入侵数据库的用户事件信息记录并存储；

其中，所述用户事件信息包括用户的登录操作、查询操作、用户访问操作和逻辑I/O操作，所述审计条件是从审计事项数据字典中获得的。

7.根据权利要求6所述的基于国产密码数据标识的数据安全审计方法，其特征在于，还包括：根据规则库中入侵模式分析所述审计日记中用户行为是否属于入侵数据库；还对所述审计日记中用户行为根据检测类型进行一一分析，所述检测类型包括登录数据库失败、用户登录数据库行为、用户操作失败行为和用户访问操作失败行为。

8.根据权利要求6所述的基于国产密码数据标识的数据安全审计方法，其特征在于，还包括对所述审计日记中用户行为与用户正常行为模型比较分析，识别用户行为是否属于异常；

其中，采用用户长期访问数据库行为规律建立的所述用户正常行为模型。

9.一种计算机可读存储介质，其特征在于，所述计算机存储介质用于存储计算机指令，当其在计算机上运行时，使得计算机执行如权利要求6-8任意一项所述的基于国产密码数据标识的数据安全审计方法。

10.一种终端设备，其特征在于，包括处理器以及存储器；

所述存储器，用于存储程序代码，并将所述程序代码传输给所述处理器；

所述处理器，用于根据所述程序代码中的指令执行如权利要求6-8任意一项所述的基于国产密码数据标识的数据安全审计方法。

Images