CN112347333A - 一种数据库的事件关联方法与审计系统 - Google Patents
一种数据库的事件关联方法与审计系统 Download PDFInfo
- Publication number
- CN112347333A CN112347333A CN202010992021.1A CN202010992021A CN112347333A CN 112347333 A CN112347333 A CN 112347333A CN 202010992021 A CN202010992021 A CN 202010992021A CN 112347333 A CN112347333 A CN 112347333A
- Authority
- CN
- China
- Prior art keywords
- event
- events
- information
- occurrence time
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000012550 audit Methods 0.000 title claims description 16
- 238000012216 screening Methods 0.000 claims description 10
- 238000007405 data analysis Methods 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 4
- 238000004458 analytical method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 238000010219 correlation analysis Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
- G06F16/9537—Spatial or temporal dependent retrieval, e.g. spatiotemporal queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开一种数据库事件的关联法以及利用该方法的数据库审计系统,先根据发生时间窗将客户端至Web服务器的第一事件与Web服务器至数据库服务器的第二事件进行初级关联,再判断第二事件中是否包含第一事件中的有效值进行次级关联,最后根据发生时间序列进行筛除,得到最终关联事件,对最终确认的关联事件进行内容审计,可以准确的定位到数据库操作的真正用户,提高数据库防护有效性。
Description
技术领域
本发明属于网络与数据库安全技术领域,尤其是涉及一种数据库事件的关联方法以及利用该关联方法的数据库审计系统。
背景技术
三层体系结构,是在客户端与数据库之间加入了一个“中间层”,也叫组件层。通常情况下,客户端不直接与数据库进行交互,而是通过COM/DCOM/COM+等三层协议与中间层建立连接,再经由中间层与数据库进行交互。三层协议具有比较强的封装性,在给用户带来便利的同时,也导致了许多审计分析的难题。
三层审计,是将应用层区域的审计数据与数据库层区域的审计数据综合起来进行“关联分析”,从而将应用层操作准确对应到数据库层的操作。当发生安全事件时,根据关联审计记录的日志信息,可快速定位到网络中的责任人。传统的基于时间序列的匹配、关联,效率和准确性都有待进一步提高。
发明内容
有鉴于此,本发明旨在提供一种数据库事件的关联法以及利用该方法的数据库审计系统,进行多次关联与筛除,提高关联的处理效率和结果准确性。
一方面,提供一种数据库事件的关联方法,在三层架构中,将客户端至Web服务器的事件与Web服务器至数据库服务器的事件进行关联,具体包括:分别记录客户端向Web服务器与Web服务器向数据库服务器的事件信息,形成第一事件池与第二事件池;从所述第一事件池中取出同一会话ID的所有第一事件;对每个第一事件:根据发生时间从第二事件池中检索发生时间符合特定相关条件的第二事件,与所述第一事件组成初级关联事件;所述初级关联事件中,判断第二事件的信息是否具有第一事件的至少一个有效值,若具有则将初级关联事件确定为次级关联事件,否则筛除;将次级关联事件的所有第一事件按发生时间排序,每个第一事件关联的第二事件按发生时间排序;对于在后第一事件关联的第二事件,若其发生时间位于在前第一事件关联的任一第二事件之前,则筛除,否则将次级关联事件确定为最终关联事件。
所述根据发生时间从第二事件池中检索发生时间符合特定相关条件的第二事件,包括:以时间T为时间窗,检索发生时间处于区间“第一事件发生时间±T”内的第二事件。
所述客户端向Web服务器的事件信息,包括客户端请求的发生时间,会话ID,四元组信息与有效值;所述Web服务器向数据库服务器的事件信息,包括Web服务器请求的发生时间,会话ID,四元组信息与数据库操作信息; 其中,所述会话ID以五元组信息的Hash值表示。
从所述客户端向Web服务器的事件信息提取有效值,包括:根据三层协议解析出请求的有效数据,对有效数据进行正则提取得到特征关键字,最后根据关键字获取对应的有效值。
若未提取到有效值,则所述客户端向Web服务器的事件信息包括发生时间,会话ID,四元组信息与全部有效数据;对有效数据进行重复关键字的持续解析、学习与验证,得到特征关键字对应的正则,再进行有效值的提取。
判断第二事件的信息是否具有第一事件的至少一个有效值,包括判断第二事件的数据库操作信息中是否包括至少一个第一事件信息的有效值。
所述数据库操作信息包括SQL操作信息与非SQL语法的关键字信息。
所述将次级关联事件确定为最终关联事件之后,还包括:人工确认所述最终关联事件,以及提取关联规则进行建模学习,当继续出现相同规则的第一事件与第二事件时,直接输出为最终关联事件。
另一方面,提供一种数据库的关联审计系统,包括:
数据解析模块,分别解析客户端至Web服务器的数据与Web服务器至数据库服务器的数据,得到相应的事件信息;
事件信息存储模块,用于存储事件信息,包括第一事件的发生时间,会话ID,四元组信息与有效值,以及第二事件的发生时间,会话ID,四元组信息与数据库操作信息;
事件关联模块,根据预设的相关条件,将第一事件与第二事件关联起来;
审计模块,对关联后的事件内容进行安全审计。
所述的审计系统将第一事件信息与第二事件信息,分别形成第一事件池与第二事件池;
从所述第一事件池中取出同一会话ID的所有第一事件;对每个第一事件:根据发生时间从第二事件池中检索发生时间符合特定相关条件的第二事件,与所述第一事件组成初级关联事件;所述初级关联事件中,判断第二事件的信息是否具有第一事件的至少一个有效值,若具有则将初级关联事件确定为次级关联事件,否则筛除;
将次级关联事件的所有第一事件按发生时间排序,每个第一事件关联的第二事件按发生时间排序;对于在后第一事件关联的第二事件,若其发生时间位于在前第一事件关联的任一第二事件之前,则筛除,否则将次级关联事件确定为最终关联事件。
上述的技术方案,与现有技术相比,实现了以下有益效果:先根据发生时间窗将客户端至Web服务器的第一事件与Web服务器至数据库服务器的第二事件进行初级关联,再判断第二事件中是否包含第一事件中的有效值进行次级关联,最后根据发生时间序列进行筛除,得到最终关联事件,对最终确认的关联事件进行内容审计,可以准确的定位到数据库操作的真正用户,提高数据库防护有效性。
附图说明
附图1为本发明的数据库的事件关联方法实施例,工作流程示意图;
附图2为基于图1关联方法的审计系统,组成模块示意图。
具体实施方式
下面结合附图与实施例对本发明的技术方案进行详细说明。
如图1所示,一种数据库事件的关联方法,将客户端至Web服务器的事件与Web服务器至数据库服务器的事件进行关联,具体包括:
S100,分别获取客户端向Web服务器与Web服务器向数据库服务器的数据,分别记录为第一事件数据与第二事件数据。
S200,解析数据得到事件信息,存入第一事件池与第二事件池;其中,第一事件信息包括客户端请求的发生时间,会话ID,四元组信息与有效值;第二事件信息包括Web服务器请求的发生时间,会话ID,四元组信息与数据库操作信息;其中,所述会话ID以五元组信息的Hash值表示。
S300,从所述第一事件池中取出同一会话ID的所有第一事件,对每个第一事件:以时间T为时间窗,检索发生时间处于区间“第一事件发生时间±T”内的第二事件,与所述第一事件组成初级关联事件。
S400,所述初级关联事件中,判断第二事件的信息是否具有第一事件的至少一个有效值,若具有则将初级关联事件确定为次级关联事件,否则筛除。
取有效值,包括:根据三层协议解析出请求的有效数据,对有效数据进行正则提取得到特征关键字,最后根据关键字获取对应的有效值。
若未提取到有效值,则所述客户端向Web服务器的事件信息包括发生时间,会话ID,四元组信息与全部有效数据;对有效数据进行重复关键字的持续解析、学习与验证,得到特征关键字对应的正则,再进行有效值的提取。
判断第二事件的信息是否具有第一事件的至少一个有效值,包括判断第二事件的数据库操作信息中是否包括至少一个第一事件信息的有效值。
所述数据库操作信息包括SQL操作信息与非SQL语法的关键字信息。
S500,将次级关联事件的所有第一事件按发生时间排序,每个第一事件关联的第二事件按发生时间排序;对于在后第一事件关联的第二事件,若其发生时间位于在前第一事件关联的任一第二事件之前,则筛除,否则将次级关联事件确定为最终关联事件。
所述将次级关联事件确定为最终关联事件之后,还包括:人工确认所述最终关联事件,以及提取关联规则进行建模学习,当继续出现相同规则的第一事件与第二事件时,直接输出为最终关联事件。
实施例一
该实施例以基于DCOM的三层架构为例,说明具体的事件关联过程。
步骤1:客户端->应用服务器端(DCOM)(即第一事件)数据自学习与内容审计
审计引擎分析客户端->应用服务器端的网络数据包,按照DCOM协议格式解析出tubdata(有效数据),tub data数据格式一般为XAa1Aa2, XBb1Bb2Bb3,(X、A、B为特征关键字,a1、a2、b1、b2、b3为有效数据)。通过对tub data的正则提取以及持续性的数据解析、学习及验证,不断的完善解析规则库,从而可以直接从网络数据包中解析出tub data的有效数据。
入库记录客户端->应用服务器端事件的信息,包含发生时间(微秒),会话ID(以源IP,目的IP,源端口,目的端口,协议类型5元素hah所得的值,代表唯一的一个会话),源IP,目的IP,源端口,目的端口,操作数据(如a1、a2、b1等)等。
步骤2:应用服务器->数据库服务器端(即第二事件)数据库内容审计
审计引擎分析应用服务器->数据库服务器端的网络数据包,按照数据库协议格式解析出数据库操作的详细信息,并入库记录应用服务器->数据库服务器端事件的信息,包含发生时间(微秒),会话ID(以源IP,目的IP,源端口,目的端口,协议类型5元素hah所得的值,代表唯一的一个会话),源IP,目的IP,源端口,目的端口,操作信息(如elect * from tablewhere AA = ‘11’等QL操作)等。
步骤3:客户端->应用服务器端与应用服务器->数据库服务器端审计内容(即第一事件与第二事件)关联
(1)关联程序运行后,先从客户端->应用服务器端事件信息记录中检索出发生时间最早且会话已结束的同一个会话的所有事件AA,然后从检索出的AA中依次逐条取出事件A信息。
(2)针对每条事件A的信息,依据发生时间,以一定的时间窗T(微秒)从应用服务器->数据库服务器端信息记录中检索出发生时间满足条件“(事件A的发生时间–T)≦发生时间 ≦(事件A的发生时间+T)”。
同时操作信息满足条件“包含事件A的操作数据中的某个或多个”,此时事件A与检索出的事件B(单个或多个)组成初步的疑似关联关系。
此处需要说明的是,时间窗和平台的处理性能有关,时间窗越小,关联的精确度越高。
(3)继续以同样的方法遍历AA中的每一个事件,直至AA中的所有数据都检索完成。
(4)针对(2)中筛选出的疑似关联关系数据B组成的集合进行再次筛选,筛选的原则如下:会话中的所有事件都是按照时间递增与事件AA中的事件关联对应。具体的是将事所有件A按发生前后时间进行排序,将每个时间A关联的事件B按发生时间前后进行排序,后一个事件A的所有事件B的发生时间,均应当在前一个事件A的所有事件B之后,如果不是则说明关联错误,进行筛除。
(5)经过筛选后,剩余的对应关系则为最终的疑似关联关系。此时业务管理员可能还需要再对最终的疑似关联关系进行确认,从而得到最终的关联关系。此时将客户端->应用服务器端真正的源与应用服务器->数据库服务器最终的QL操作关联了起来。
(6)对于最终的关联关系,系统会进行建模学习,为以后出现同样规则的关联关系进行直接确认。
如图2所示,一种数据库的关联审计系统,包括:
数据解析模块,分别解析客户端至Web服务器的数据与Web服务器至数据库服务器的数据,得到相应的事件信息;
事件信息存储模块,用于存储事件信息,包括第一事件的发生时间,会话ID,四元组信息与有效值,以及第二事件的发生时间,会话ID,四元组信息与数据库操作信息;
事件关联模块,根据预设的相关条件,将第一事件与第二事件关联起来;
审计模块,对关联后的事件内容进行安全审计。
所述的审计系统将第一事件信息与第二事件信息,分别形成第一事件池与第二事件池;
该审计系统,从所述第一事件池中取出同一会话ID的所有第一事件;对每个第一事件:根据发生时间从第二事件池中检索发生时间符合特定相关条件的第二事件,与所述第一事件组成初级关联事件;所述初级关联事件中,判断第二事件的信息是否具有第一事件的至少一个有效值,若具有则将初级关联事件确定为次级关联事件,否则筛除;将次级关联事件的所有第一事件按发生时间排序,每个第一事件关联的第二事件按发生时间排序;对于在后第一事件关联的第二事件,若其发生时间位于在前第一事件关联的任一第二事件之前,则筛除,否则将次级关联事件确定为最终关联事件。对最终关联事件的内容进行审计,实现数据库操作的安全防护。
Claims (10)
1.一种数据库的事件关联方法,包括在三层架构中,将客户端至Web服务器的事件与Web服务器至数据库服务器的事件进行关联,其特征在于,所述事件的关联,包括:
分别记录客户端向Web服务器与Web服务器向数据库服务器的事件信息,形成第一事件池与第二事件池;
从所述第一事件池中取出同一会话ID的所有第一事件;对每个第一事件:根据发生时间从第二事件池中检索发生时间符合特定相关条件的第二事件,与所述第一事件组成初级关联事件;所述初级关联事件中,判断第二事件的信息是否具有第一事件的至少一个有效值,若具有则将初级关联事件确定为次级关联事件,否则筛除;
将次级关联事件的所有第一事件按发生时间排序,每个第一事件关联的第二事件按发生时间排序;对于在后第一事件关联的第二事件,若其发生时间位于在前第一事件关联的任一第二事件之前,则筛除,否则将次级关联事件确定为最终关联事件。
2.根据权利要求1所述的事件关联方法,其特征在于,所述根据发生时间从第二事件池中检索发生时间符合特定相关条件的第二事件,包括:以时间T为时间窗,检索发生时间处于区间“第一事件发生时间±T”内的第二事件。
3.根据权利要求1所述的事件关联方法,其特征在于,所述客户端向Web服务器的事件信息,包括客户端请求的发生时间,会话ID,四元组信息与有效值;所述Web服务器向数据库服务器的事件信息,包括Web服务器请求的发生时间,会话ID,四元组信息与数据库操作信息;其中,所述会话ID以五元组信息的Hash值表示。
4.根据权利要求3所述的事件关联方法,其特征在于,从所述客户端向Web服务器的事件信息提取有效值,包括:根据三层协议解析出请求的有效数据,对有效数据进行正则提取得到特征关键字,最后根据关键字获取对应的有效值。
5.根据权利要求4所述的事件关联方法,其特征在于,若未提取到有效值,则所述客户端向Web服务器的事件信息包括发生时间,会话ID,四元组信息与全部有效数据;对有效数据进行重复关键字的持续解析、学习与验证,得到特征关键字对应的正则,再进行有效值的提取。
6.根据权利要求4或5所述的事件关联方法,其特征在于,判断第二事件的信息是否具有第一事件的至少一个有效值,包括判断第二事件的数据库操作信息中是否包括至少一个第一事件信息的有效值。
7.根据权利要求3所述的事件关联方法,其特征在于,所述数据库操作信息包括SQL操作信息与非SQL语法的关键字信息。
8.根据权利要求1所述的事件关联方法,其特征在于,所述将次级关联事件确定为最终关联事件之后,还包括:人工确认所述最终关联事件,以及提取关联规则进行建模学习,当继续出现相同规则的第一事件与第二事件时,直接输出为最终关联事件。
9.数据库的关联审计系统,其特征在于,包括:
数据解析模块,分别解析客户端至Web服务器的数据与Web服务器至数据库服务器的数据,得到相应的事件信息;
事件信息存储模块,用于存储事件信息,包括第一事件的发生时间,会话ID,四元组信息与有效值,以及第二事件的发生时间,会话ID,四元组信息与数据库操作信息;
事件关联模块,根据预设的相关条件,将第一事件与第二事件关联起来;
审计模块,对关联后的事件内容进行安全审计。
10.根据权利要求9所述的事件关联审计系统,其特征在于,系统将第一事件信息与第二事件信息,分别形成第一事件池与第二事件池;
从所述第一事件池中取出同一会话ID的所有第一事件;对每个第一事件:根据发生时间从第二事件池中检索发生时间符合特定相关条件的第二事件,与所述第一事件组成初级关联事件;所述初级关联事件中,判断第二事件的信息是否具有第一事件的至少一个有效值,若具有则将初级关联事件确定为次级关联事件,否则筛除;
将次级关联事件的所有第一事件按发生时间排序,每个第一事件关联的第二事件按发生时间排序;对于在后第一事件关联的第二事件,若其发生时间位于在前第一事件关联的任一第二事件之前,则筛除,否则将次级关联事件确定为最终关联事件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010992021.1A CN112347333A (zh) | 2020-09-21 | 2020-09-21 | 一种数据库的事件关联方法与审计系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010992021.1A CN112347333A (zh) | 2020-09-21 | 2020-09-21 | 一种数据库的事件关联方法与审计系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112347333A true CN112347333A (zh) | 2021-02-09 |
Family
ID=74357326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010992021.1A Pending CN112347333A (zh) | 2020-09-21 | 2020-09-21 | 一种数据库的事件关联方法与审计系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112347333A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116823188A (zh) * | 2023-08-24 | 2023-09-29 | 江苏博纳汇数字智能科技有限公司 | 一种基于大数据分析的生产管理系统及方法 |
-
2020
- 2020-09-21 CN CN202010992021.1A patent/CN112347333A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116823188A (zh) * | 2023-08-24 | 2023-09-29 | 江苏博纳汇数字智能科技有限公司 | 一种基于大数据分析的生产管理系统及方法 |
| CN116823188B (zh) * | 2023-08-24 | 2023-11-17 | 江苏博纳汇数字智能科技有限公司 | 一种基于大数据分析的生产管理系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2244418B1 (en) | Database security monitoring method, device and system | |
| US20090222426A1 (en) | Computer-Implemented System And Method For Analyzing Search Queries | |
| WO2009033339A1 (fr) | Système de questions/réponses interactif en mode intelligent et procédé de traitement | |
| US20070154006A1 (en) | Apparatus and method for determining part of elicitation from spoken dialogue data | |
| CN108268886B (zh) | 用于识别外挂操作的方法及系统 | |
| CN107124289A (zh) | 网络日志时间对齐方法、装置及主机 | |
| CN110708339B (zh) | 一种基于web日志的关联分析方法 | |
| US8489631B2 (en) | Distributing a query | |
| CN112261645A (zh) | 一种基于分组分域的移动应用指纹自动化提取方法及系统 | |
| CN102460437B (zh) | 信息检索装置、信息检索方法、信息检索程序及记录了信息检索程序的记录介质 | |
| US7627576B2 (en) | Database system monitoring method without connecting the database system | |
| CN111274218A (zh) | 一种电力信息系统多源日志数据处理方法 | |
| CN112101692A (zh) | 移动互联网质差用户的识别方法及装置 | |
| CN115941555A (zh) | 一种基于流量指纹的app个人信息收集行为检测方法及系统 | |
| CN112347333A (zh) | 一种数据库的事件关联方法与审计系统 | |
| CN115665787A (zh) | 一种基于机器学习的低开销amf网络智能故障诊断方法 | |
| US7451145B1 (en) | Method and apparatus for recursively analyzing log file data in a network | |
| EP1780946B1 (en) | Consensus testing of electronic system | |
| KR102189127B1 (ko) | 행위 기반 룰 처리 장치 및 그 처리 방법 | |
| CN117520522A (zh) | 一种基于rpa和ai结合的智能对话方法、装置及电子设备 | |
| CN117370286A (zh) | 一种基于云平台的数据存储方法、系统及设备 | |
| CN112528325B (zh) | 一种数据信息的安全处理方法及系统 | |
| CN111460337B (zh) | 一种url识别率的分析方法及装置 | |
| CN116248393A (zh) | 一种内网数据传输漏洞扫描装置及系统 | |
| CN111131187B (zh) | 一种基于操作集的web审计方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20210209 |