CN111966667A - 数据库的运维审计方法、装置、设备及可读存储介质 - Google Patents

数据库的运维审计方法、装置、设备及可读存储介质 Download PDF

Info

Publication number
CN111966667A
CN111966667A CN202011026392.0A CN202011026392A CN111966667A CN 111966667 A CN111966667 A CN 111966667A CN 202011026392 A CN202011026392 A CN 202011026392A CN 111966667 A CN111966667 A CN 111966667A
Authority
CN
China
Prior art keywords
database
host
log data
equipment
maintenance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011026392.0A
Other languages
English (en)
Inventor
龙文洁
莫金友
聂桂兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Anheng Information Security Technology Co Ltd
Original Assignee
Hangzhou Anheng Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Anheng Information Security Technology Co Ltd filed Critical Hangzhou Anheng Information Security Technology Co Ltd
Priority to CN202011026392.0A priority Critical patent/CN111966667A/zh
Publication of CN111966667A publication Critical patent/CN111966667A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/1734Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请公开了一种数据库的运维审计方法、装置、设备及可读存储介质。本申请公开的方法包括:获取数据库所部署的主机中的主机日志数据,以及数据库中的数据库日志数据;关联主机日志数据和数据库日志数据,以确定任一个设备通过主机对数据库进行运维操作的初始操作集;根据主机日志数据绘制设备的操作时间基带,并将初始操作集中超出操作时间基带的操作确定为待审计操作;若待审计操作影响的数据量超出数据量阈值,则标记待审计操作为可疑操作,标记设备为可疑设备。本申请能够对基于主机运维数据库的相关操作进行审计,从而可弥补数据库审计漏洞。相应地,本申请提供的一种数据库的运维审计装置、设备及可读存储介质,也同样具有上述技术效果。

Description

数据库的运维审计方法、装置、设备及可读存储介质
技术领域
本申请涉及计算机技术领域,特别涉及一种数据库的运维审计方法、装置、设备及可读存储介质。
背景技术
若运维人员直接登录数据库所部署的主机,对数据库进行运维操作,由于其操作的具体行为无法被主机记录,因此无法对这些操作行为进行审计,会造成数据库审计漏洞。当发生危险事件时,也就无法有效进行相关运维人员的溯源追踪。
因此,如何对基于主机运维数据库的相关操作进行审计,是本领域技术人员需要解决的问题。
发明内容
有鉴于此,本申请的目的在于提供一种数据库的运维审计方法、装置、设备及可读存储介质,以对基于主机运维数据库的相关操作进行审计。其具体方案如下:
第一方面,本申请提供了一种数据库的运维审计方法,包括:
获取数据库所部署的主机中的主机日志数据,以及所述数据库中的数据库日志数据;
关联所述主机日志数据和所述数据库日志数据,以确定任一个设备通过所述主机对所述数据库进行运维操作的初始操作集;
根据所述主机日志数据绘制所述设备的操作时间基带,并将所述初始操作集中超出所述操作时间基带的操作确定为待审计操作;
若所述待审计操作影响的数据量超出数据量阈值,则标记所述待审计操作为可疑操作,并标记所述设备为可疑设备。
优选地,所述获取数据库所部署的主机中的主机日志数据,以及所述数据库中的数据库日志数据,包括:
利用代理模块获取所述主机日志数据和所述数据库日志数据。
优选地,所述利用代理模块获取所述主机日志数据和所述数据库日志数据,包括:
控制所述代理模块按照日志同步策略获取所述主机日志数据和所述数据库日志数据。
优选地,所述关联所述主机日志数据和所述数据库日志数据,以确定任一个设备通过所述主机对所述数据库进行运维操作的初始操作集,包括:
基于所述主机日志数据确定所述设备的登录时间段,并将所述数据库日志数据中落入所述登录时间段的操作确定为所述初始操作集。
优选地,所述根据所述主机日志数据绘制所述设备的操作时间基带,包括:
确定预设时间段内所述设备的登录时间点和退出时间点,并根据所述登录时间点和所述退出时间点绘制所述操作时间基带。
优选地,所述若所述待审计操作影响的数据量超出数据量阈值,则标记所述待审计操作为可疑操作,并标记所述设备为可疑设备之前,还包括:
将所述初始操作集中落入所述操作时间基带中的操作确定为可信操作集;
在所述可信操作集中查询与所述待审计操作相同的目标操作,并将所述目标操作影响的数据量确定为所述数据量阈值。
优选地,还包括:
若所述待审计操作影响的数据量未超出数据量阈值,则标记所述待审计操作为可信操作,并标记所述设备为可信设备。
第二方面,本申请提供了一种数据库的运维审计装置,包括:
获取模块,用于获取数据库所部署的主机中的主机日志数据,以及所述数据库中的数据库日志数据;
关联模块,用于关联所述主机日志数据和所述数据库日志数据,以确定任一个设备通过所述主机对所述数据库进行运维操作的初始操作集;
筛选模块,用于根据所述主机日志数据绘制所述设备的操作时间基带,并将所述初始操作集中超出所述操作时间基带的操作确定为待审计操作;
审计模块,用于若所述待审计操作影响的数据量超出数据量阈值,则标记所述待审计操作为可疑操作,并标记所述设备为可疑设备。
第三方面,本申请提供了一种数据库的运维审计设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现前述公开的数据库的运维审计方法。
第四方面,本申请提供了一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的数据库的运维审计方法。
通过以上方案可知,本申请提供了一种数据库的运维审计方法,包括:获取数据库所部署的主机中的主机日志数据,以及所述数据库中的数据库日志数据;关联所述主机日志数据和所述数据库日志数据,以确定任一个设备通过所述主机对所述数据库进行运维操作的初始操作集;根据所述主机日志数据绘制所述设备的操作时间基带,并将所述初始操作集中超出所述操作时间基带的操作确定为待审计操作;若所述待审计操作影响的数据量超出数据量阈值,则标记所述待审计操作为可疑操作,并标记所述设备为可疑设备。
可见,本申请能够关联主机日志数据和数据库日志数据,从而确定出任一个设备通过主机对数据库进行运维操作的初始操作集;然后根据主机日志数据绘制设备的操作时间基带,并将初始操作集中超出操作时间基带的操作确定为待审计操作;若待审计操作影响的数据量超出数据量阈值,则标记待审计操作为可疑操作,并标记设备为可疑设备。其中,主机日志数据中记录有设备的登录、退出行为,而数据库日志数据中记录有设备的具体操作行为,因此对比二者,可确定出任一个设备在登录时间段内对数据库的所有操作,即初始操作集;基于主机日志数据中的登录、退出行为可确定该设备通常登录主机的操作时间基带,那么在该操作时间基带之外对数据库进行的操作便可能存在问题,因此将初始操作集中超出操作时间基带的操作确定为待审计操作;为了进一步检测待审计操作,可将待审计操作影响的数据量与数据量阈值进行对比,若待审计操作影响的数据量大于数据量阈值,则表明待审计操作影响了较多的数据,其可能是有危险的操作,因此标记待审计操作为可疑操作,并标记设备为可疑设备,以便进行追踪溯源。本申请能够对基于主机运维数据库的相关操作进行审计,从而可弥补数据库审计漏洞。当发生危险事件时,可以有效进行相关运维人员的溯源追踪。
相应地,本申请提供的一种数据库的运维审计装置、设备及可读存储介质,也同样具有上述技术效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种数据库的运维审计方法流程图;
图2为本申请公开的另一种数据库的运维审计方法流程图;
图3为本申请公开的一种数据库的运维审计装置示意图;
图4为本申请公开的一种数据库的运维审计设备示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,无法对通过主机对数据库进的行运维操作进行审计,会造成数据库审计漏洞。为此,本申请提供了一种数据库的运维审计方案,能够对基于主机运维数据库的相关操作进行审计,可弥补数据库审计漏洞。
参见图1所示,本申请实施例公开了一种数据库的运维审计方法,包括:
S101、获取数据库所部署的主机中的主机日志数据,以及数据库中的数据库日志数据。
其中,主机日志数据包括但不限于设备的IP、登陆操作命令,设备要操作的数据库名,登录时间点、退出时间点。数据库日志数据包括但不限于数据操作的具体命令,数据库名、操作执行时间。
在一种具体实施方式中,获取数据库所部署的主机中的主机日志数据,以及数据库中的数据库日志数据,包括:利用代理模块获取主机日志数据和数据库日志数据。其中,利用代理模块获取主机日志数据和数据库日志数据,包括:控制代理模块按照日志同步策略获取主机日志数据和数据库日志数据。
其中,本实施例应用于审计服务器,该审计服务器利用部署在主机中的代理模块获取数据,日志同步策略中可以设定同步时间点、同步周期、同步规则等内容。同步规则包括但不限于字段、值。同步规则如:若字段或键值对符合某一表达式时,触发同步该字段或键值对。
S102、关联主机日志数据和数据库日志数据,以确定任一个设备通过主机对数据库进行运维操作的初始操作集。
在一种具体实施方式中,关联主机日志数据和数据库日志数据,以确定任一个设备通过主机对数据库进行运维操作的初始操作集,包括:基于主机日志数据确定设备的登录时间段,并将数据库日志数据中落入登录时间段的操作确定为初始操作集。
其中,主机日志数据中记录有设备的登录、退出行为,而数据库日志数据中记录有设备的具体操作行为,因此对比二者,可确定出任一个设备在登录时间段内对数据库的所有操作,即初始操作集。
若通过主机运维数据库的设备存在多个,则可确定出多个初始操作集,每个初始操作集对应一个设备的IP地址。
S103、根据主机日志数据绘制设备的操作时间基带,并将初始操作集中超出操作时间基带的操作确定为待审计操作。
在一种具体实施方式中,根据主机日志数据绘制设备的操作时间基带,包括:确定预设时间段内设备的登录时间点和退出时间点,并根据登录时间点和退出时间点绘制操作时间基带。
其中,基于主机日志数据中的登录、退出行为可确定该设备通常登录主机的操作时间基带(也就是正常操作时间段),那么在该操作时间基带之外对数据库进行的操作便可能存在问题,因此将初始操作集中超出操作时间基带的操作确定为待审计操作。
S104、若待审计操作影响的数据量超出数据量阈值,则标记待审计操作为可疑操作,并标记设备为可疑设备。
对数据库进行的运维操作如:修改数据库中的某几条数据、指标等。一般修改的数据不会很多。因此若待审计操作影响的数据量大于数据量阈值,则表明待审计操作影响了较多的数据,其可能是有危险的操作,因此标记待审计操作为可疑操作,并标记设备为可疑设备,以便进行追踪溯源。
在一种具体实施方式中,若待审计操作影响的数据量超出数据量阈值,则标记待审计操作为可疑操作,并标记设备为可疑设备之前,还包括:将初始操作集中落入操作时间基带中的操作确定为可信操作集;在可信操作集中查询与待审计操作相同的目标操作,并将目标操作影响的数据量确定为数据量阈值。数据量阈值也可以为预设的经验值。
在本实施例中,操作时间基带被认为是正常操作时间段,因此在该时间段内对数据库进行的操作认为是正常的可信操作,故将初始操作集中落入操作时间基带中的操作确定为可信操作集。若可信操作集中存在与待审计操作相同的目标操作,则认为目标操作影响的数据量(如:修改、读取的数据条目等)是正常的数据量。若可信操作集中没有与待审计操作相同的目标操作,那么标记待审计操作为可疑操作,并标记设备为可疑设备。
在一种具体实施方式中,若待审计操作影响的数据量未超出数据量阈值,则标记待审计操作为可信操作,并标记设备为可信设备。
可见,本申请实施例能够关联主机日志数据和数据库日志数据,从而确定出任一个设备通过主机对数据库进行运维操作的初始操作集;由于主机日志数据中记录有设备的登录、退出行为,而数据库日志数据中记录有设备的具体操作行为,因此对比二者,可确定出任一个设备在登录时间段内对数据库的所有操作,即初始操作集;基于主机日志数据中的登录、退出行为可确定该设备通常登录主机的操作时间基带,那么在该操作时间基带之外对数据库进行的操作便可能存在问题,因此将初始操作集中超出操作时间基带的操作确定为待审计操作;为了进一步检测待审计操作,可将待审计操作影响的数据量与数据量阈值进行对比,若待审计操作影响的数据量大于数据量阈值,则表明待审计操作影响了较多的数据,其可能是有危险的操作,因此标记待审计操作为可疑操作,并标记设备为可疑设备,以便进行追踪溯源。本申请能够对基于主机运维数据库的相关操作进行审计,从而可弥补数据库审计漏洞。当发生危险事件时,可以有效进行相关运维人员的溯源追踪。
参见图2所示,本申请实施例公开了另一种数据库的运维审计方法,包括:
A、在主机上安装代理模块。该代理模块可自主开发,用于获取数据库日志和数据库所部署的主机中的主机日志。
A1、配置日志的获取策略。所述策略包括但不限于事件触发、时钟触发。
A2、配置日志的转发策略,以将日志转发至审计服务器。所述转发策略包括但不限于字段、值;字段、键值对符合的表达式。
A3、当满足A1配置的获取策略时,则获取主机日志和数据库日志。主机日志包括但不限于IP、登陆操作命令,数据库名,登录时间、退出时间。数据库日志中包括但不限于数据操作的命令,数据库名、执行时间。
A4、当满足A2配置的策略时,则将主机日志和数据库日志转发至审计服务器。
B、关联日志。
B1、按照设备的IP地址,若操作执行时间落于主机日志中的登陆时间、退出时间的范围,则关联到多个IP集合及一系列数据操作命令集合C1。
C、运维行为审计。
C1、首先根据IP、数据库名以七天为周期的登录时间、退出时间绘图得到IP登录、退出行为图。
C2、在IP登录、退出行为图中找出IP登录、退出行为基带。
C3、将任一个C1按时间点叠加在IP登录、退出行为基带上,得到该IP在IP登录、退出行为基带上的操作集合S1。
C4、C1与IP登录、退出行为基带进行对比,列出超出IP登录、退出行为基带的操作,并定义为待审计操作。
C5、在数据库日志中查找待审计操作,以列出相应的具体操作行为S2,如:命令、结果集等。
C6、对比S1和S2,若S2未在S1中出现,则将S2定义为可疑操作。若S2在S1中出现,但在S1中出现的S2影响的数据条数小于待审计操作S2影响的数据条数,那么将S2定义为可疑操作。
D、确定可疑设备。
其中,对数据库进行审计,能够实时记录数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。
本实施例可利用脚本对数据库主机的命令行操作进行审计,主要记录内容为登录IP、用户名时间及命令。同时收集数据库的操作日志,以时间为维度关联数据库操作日志所对应的主机日志中的操作IP和用户,解决通过主机运维数据库的审计盲区问题。当发生危险事件时,可以有效进行相关运维人员的溯源追踪。
下面对本申请实施例提供的一种数据库的运维审计装置进行介绍,下文描述的一种数据库的运维审计装置与上文描述的一种数据库的运维审计方法可以相互参照。
参见图3所示,本申请实施例公开了一种数据库的运维审计装置,包括:
获取模块301,用于获取数据库所部署的主机中的主机日志数据,以及数据库中的数据库日志数据;
关联模块302,用于关联主机日志数据和数据库日志数据,以确定任一个设备通过主机对数据库进行运维操作的初始操作集;
筛选模块303,用于根据主机日志数据绘制设备的操作时间基带,并将初始操作集中超出操作时间基带的操作确定为待审计操作;
审计模块304,用于若待审计操作影响的数据量超出数据量阈值,则标记待审计操作为可疑操作,并标记设备为可疑设备。
在一种具体实施方式中,获取模块具体用于:
利用代理模块获取主机日志数据和数据库日志数据。
在一种具体实施方式中,获取模块具体用于:
控制代理模块按照日志同步策略获取主机日志数据和数据库日志数据。
在一种具体实施方式中,关联模块具体用于:
基于主机日志数据确定设备的登录时间段,并将数据库日志数据中落入登录时间段的操作确定为初始操作集。
在一种具体实施方式中,筛选模块具体用于:
确定预设时间段内设备的登录时间点和退出时间点,并根据登录时间点和退出时间点绘制操作时间基带。
在一种具体实施方式中,还包括:
可信操作集确定模块,用于将初始操作集中落入操作时间基带中的操作确定为可信操作集;
数据量阈值确定模块,用于在可信操作集中查询与待审计操作相同的目标操作,并将目标操作的返回结果影响的数据量确定为数据量阈值。
在一种具体实施方式中,还包括:
标记模块,用于若待审计操作影响的数据量未超出数据量阈值,则标记待审计操作为可信操作,并标记设备为可信设备。
在一种具体实施方式中,数据库的运维审计装置还包括:
其中,关于本实施例中各个模块、单元更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
可见,本实施例提供了一种数据库的运维审计装置,该装置能够对基于主机运维数据库的相关操作进行审计,从而可弥补数据库审计漏洞。当发生危险事件时,可以有效进行相关运维人员的溯源追踪。
下面对本申请实施例提供的一种数据库的运维审计设备进行介绍,下文描述的一种数据库的运维审计设备与上文描述的一种数据库的运维审计方法及装置可以相互参照。
参见图4所示,本申请实施例公开了一种数据库的运维审计设备,包括:
存储器401,用于保存计算机程序;
处理器402,用于执行所述计算机程序,以实现上述任意实施例公开的方法。
下面对本申请实施例提供的一种可读存储介质进行介绍,下文描述的一种可读存储介质与上文描述的一种数据库的运维审计方法、装置及设备可以相互参照。
一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述实施例公开的数据库的运维审计方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本申请涉及的“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法或设备固有的其它步骤或单元。
需要说明的是,在本申请中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的可读存储介质中。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种数据库的运维审计方法,其特征在于,包括:
获取数据库所部署的主机中的主机日志数据,以及所述数据库中的数据库日志数据;
关联所述主机日志数据和所述数据库日志数据,以确定任一个设备通过所述主机对所述数据库进行运维操作的初始操作集;
根据所述主机日志数据绘制所述设备的操作时间基带,并将所述初始操作集中超出所述操作时间基带的操作确定为待审计操作;
若所述待审计操作影响的数据量超出数据量阈值,则标记所述待审计操作为可疑操作,并标记所述设备为可疑设备。
2.根据权利要求1所述的数据库的运维审计方法,其特征在于,所述获取数据库所部署的主机中的主机日志数据,以及所述数据库中的数据库日志数据,包括:
利用代理模块获取所述主机日志数据和所述数据库日志数据。
3.根据权利要求2所述的数据库的运维审计方法,其特征在于,所述利用代理模块获取所述主机日志数据和所述数据库日志数据,包括:
控制所述代理模块按照日志同步策略获取所述主机日志数据和所述数据库日志数据。
4.根据权利要求1所述的数据库的运维审计方法,其特征在于,所述关联所述主机日志数据和所述数据库日志数据,以确定任一个设备通过所述主机对所述数据库进行运维操作的初始操作集,包括:
基于所述主机日志数据确定所述设备的登录时间段,并将所述数据库日志数据中落入所述登录时间段的操作确定为所述初始操作集。
5.根据权利要求1所述的数据库的运维审计方法,其特征在于,所述根据所述主机日志数据绘制所述设备的操作时间基带,包括:
确定预设时间段内所述设备的登录时间点和退出时间点,并根据所述登录时间点和所述退出时间点绘制所述操作时间基带。
6.根据权利要求1至5任一项所述的数据库的运维审计方法,其特征在于,所述若所述待审计操作影响的数据量超出数据量阈值,则标记所述待审计操作为可疑操作,并标记所述设备为可疑设备之前,还包括:
将所述初始操作集中落入所述操作时间基带中的操作确定为可信操作集;
在所述可信操作集中查询与所述待审计操作相同的目标操作,并将所述目标操作影响的数据量确定为所述数据量阈值。
7.根据权利要求6所述的数据库的运维审计方法,其特征在于,还包括:
若所述待审计操作影响的数据量未超出所述数据量阈值,则标记所述待审计操作为可信操作,并标记所述设备为可信设备。
8.一种数据库的运维审计装置,其特征在于,包括:
获取模块,用于获取数据库所部署的主机中的主机日志数据,以及所述数据库中的数据库日志数据;
关联模块,用于关联所述主机日志数据和所述数据库日志数据,以确定任一个设备通过所述主机对所述数据库进行运维操作的初始操作集;
筛选模块,用于根据所述主机日志数据绘制所述设备的操作时间基带,并将所述初始操作集中超出所述操作时间基带的操作确定为待审计操作;
审计模块,用于若所述待审计操作影响的数据量超出数据量阈值,则标记所述待审计操作为可疑操作,并标记所述设备为可疑设备。
9.一种数据库的运维审计设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的数据库的运维审计方法。
10.一种可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的数据库的运维审计方法。
CN202011026392.0A 2020-09-25 2020-09-25 数据库的运维审计方法、装置、设备及可读存储介质 Pending CN111966667A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011026392.0A CN111966667A (zh) 2020-09-25 2020-09-25 数据库的运维审计方法、装置、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011026392.0A CN111966667A (zh) 2020-09-25 2020-09-25 数据库的运维审计方法、装置、设备及可读存储介质

Publications (1)

Publication Number Publication Date
CN111966667A true CN111966667A (zh) 2020-11-20

Family

ID=73386779

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011026392.0A Pending CN111966667A (zh) 2020-09-25 2020-09-25 数据库的运维审计方法、装置、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN111966667A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114676222A (zh) * 2022-03-29 2022-06-28 北京国信网联科技有限公司 快速对进出内部网络数据审计方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106371986A (zh) * 2016-09-08 2017-02-01 上海新炬网络技术有限公司 一种日志处理运维监控系统
CN110764971A (zh) * 2019-10-30 2020-02-07 杭州安恒信息技术股份有限公司 一种辅助数据库运维审计方法、装置和电子设备

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106371986A (zh) * 2016-09-08 2017-02-01 上海新炬网络技术有限公司 一种日志处理运维监控系统
CN110764971A (zh) * 2019-10-30 2020-02-07 杭州安恒信息技术股份有限公司 一种辅助数据库运维审计方法、装置和电子设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114676222A (zh) * 2022-03-29 2022-06-28 北京国信网联科技有限公司 快速对进出内部网络数据审计方法
CN114676222B (zh) * 2022-03-29 2022-12-02 北京国信网联科技有限公司 快速对进出内部网络数据审计方法

Similar Documents

Publication Publication Date Title
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
CN109271780A (zh) 机器学习恶意软件检测模型的方法、系统和计算机可读介质
Vokorokos et al. Host-based intrusion detection system
DE202011111121U1 (de) System zum Erfassen komplexer Schadsoftware
CN110868403B (zh) 一种识别高级持续性攻击apt的方法及设备
US9680857B1 (en) Cyber intelligence clearinghouse
CN107508816A (zh) 一种攻击流量防护方法及装置
CN107426196B (zh) 一种识别web入侵的方法及系统
US20170318037A1 (en) Distributed anomaly management
EP3623983A1 (en) Method and device for identifying security threats, storage medium, processor and terminal
CN109347808B (zh) 一种基于用户群行为活动的安全分析方法
CN108989294A (zh) 一种准确识别网站访问的恶意用户的方法及系统
CN112685682A (zh) 一种攻击事件的封禁对象识别方法、装置、设备及介质
JPWO2016121348A1 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム
CN112749097B (zh) 一种模糊测试工具性能测评方法、装置
CN105825130B (zh) 一种信息安全预警方法及装置
KR101847277B1 (ko) 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템
CN108566392A (zh) 基于机器学习的防御cc攻击系统与方法
do Nascimento et al. A methodology for selecting hardware performance counters for supporting non-intrusive diagnostic of flood DDoS attacks on web servers
CN111966667A (zh) 数据库的运维审计方法、装置、设备及可读存储介质
Samir et al. A Self-Configuration Controller To Detect, Identify, and Recover Misconfiguration at IoT Edge Devices and Containerized Cluster System.
CN117336098A (zh) 一种网络空间数据安全性监测分析方法
Bhatt et al. Categorization of vulnerabilities in a software
JP2021022358A (ja) phpに基づく独立型sqlインジェクション防御分析通知方法及びそのシステム
Luo et al. Security of HPC systems: From a log-analyzing perspective

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination