CN112769739B - 数据库操作违规处理方法、装置及设备 - Google Patents
数据库操作违规处理方法、装置及设备 Download PDFInfo
- Publication number
- CN112769739B CN112769739B CN201911072527.4A CN201911072527A CN112769739B CN 112769739 B CN112769739 B CN 112769739B CN 201911072527 A CN201911072527 A CN 201911072527A CN 112769739 B CN112769739 B CN 112769739B
- Authority
- CN
- China
- Prior art keywords
- database
- violation
- level
- database operation
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本发明实施例涉及数据库安全技术领域,公开了一种数据库操作违规处理方法、装置及设备,该方法包括:获取目标数据库报文;对所述目标数据库报文解析,得到所述目标数据库报文包含的目标字段;根据所述目标字段在预设的违规数据库中匹配相应的违规数据集合;根据所述违规数据集合确定数据库操作的违规等级;根据所述违规等级采取相应的处理策略。通过上述方式,本发明实施例实现了对数据库操作违规等级的分级处理。
Description
技术领域
本发明实施例涉及数据库安全技术领域,具体涉及一种数据库操作违规处理方法、装置及设备。
背景技术
随着互联网技术的不断发展,数据库承载的数据量与日俱增。其中包括核心企业信息、用户个人信息等重要数据。这些数据一旦泄露或者被非法破坏者篡改将造成难以估计的损失。
现有技术中对于数据库操作的异常检测主要通过数据库操作出现的频率判断是否出现异常。现有技术中的检测方法没有对异常状况进行分级处理,灵活性不够。
发明内容
鉴于上述问题,本发明实施例提供了一种数据库操作违规处理方法、装置和设备,克服了上述问题或者至少部分地解决了上述问题。
根据本发明实施例的一个方面,提供了一种数据库操作违规处理方法,所述方法包括:
获取目标数据库报文;
对所述目标数据库报文解析,得到所述目标数据库报文包含的目标字段;
根据所述目标字段在预设的违规数据库中匹配相应的违规数据集合;
根据所述违规数据集合确定数据库操作的违规等级;
根据所述违规等级采取相应的处理策略。
可选的,所述目标字段包含目标数据库IP地址,所述根据所述目标字段在预设的违规数据库中匹配相应的违规数据集合,包括:
根据所述目标数据库IP地址在预设的违规数据库中匹配相应的违规数据集合。
可选的,所述目标字段还包含源IP地址、数据库模式定义语言类型及数据库操作对象,所述根据所述违规数据集合确定所述数据库操作的违规等级,包括:
如果所述源IP地址与所述违规数据集合中任意一个违规数据允许访问的IP地址一致,则判断所述目标数据库报文的数据库模式定义语言类型是否与所述违规数据集合中任意一个违规数据中的数据库模式定义语言类型一致;
若一致,则确定所述数据库操作的违规等级为预设的第一等级;
若均不一致,则判断所述数据库操作对象是否包含所述违规数据集合中任意一个违规数据中的用户敏感信息字段;
若包含,则确定所述数据库操作的违规等级为预设的第二等级;
若不包含,则确定所述数据库操作的违规等级为预设的第三等级。
可选的,如果所述源IP地址与所述违规数据集合中所有违规数据允许访问的IP地址均不一致,则确定所述数据库操作的违规等级为预设的第一等级。
可选的,所述根据所述违规等级采取相应的处理策略,包括:
如果所述数据库操作的违规等级为预设的第一等级,则拒绝所述数据库操作;
如果所述数据库操作的违规等级为第二等级,则生成违规告警,并将所述违规告警发送至数据库操作审核设备;
如果所述数据库操作审核设备的审核结果为同意所述数据库操作,则将所述数据库报文发送至数据库服务器,否则,拒绝所述数据库操作;
如果所述数据库操作的违规等级为第三等级,则将所述目标数据库报文发送至数据库服务器。
可选的,在根据所述违规数据集合确定所述数据库操作的违规等级之后,所述方法还:
生成数据库操作日志;
根据所述数据库操作日志统计预设时间段内同一源IP地址访问同一数据库的数据库操作次数;
如果所述数据库操作次数大于预设阈值,则输出预设的第四等级。
可选的,所述根据所述违规等级采取相应的处理策略,包括:
如果违规等级为预设的第四等级,则拒绝所述源IP地址的数据库操作;以及,
生成违规告警,并将所述违规告警发送至数据库操作审核设备。
可选的,在获取数据库报文之后,所述方法还包括:
配置客户端设备的工作模式;
当所述客户端设备的工作模式为预设紧急模式时,将所述数据库报文发送至数据库服务器。
根据本发明实施例的另一方面,提供了一种数据库操作违规处理装置,所述装置包括:
获取模块,用于获取目标数据库报文;
解析模块,用于对所述目标数据库报文解析,得到所述目标数据库报文包含的目标字段;
匹配模块,用于根据所述目标字段在预设的违规数据库中匹配相应的违规数据集合;
第一确定模块,用于根据所述违规数据集合确定数据库操作的违规等级;
第二确定模块,用于根据所述违规等级采取相应的处理策略。
根据本发明实施例的又一方面,提供了一种数据库违规操作处理设备,包括:工作模式配置单元、实时解析单元、日志单元、后评估单元和管控单元;
所述工作模式配置单元用于配置客户端设备的工作模式;
所述时解析单元用于对获取的目标数据库报文解析,得到所述目标数据库报文包含的目标字段;
所述实时解析单元还用于根据所述目标字段在预设的违规数据库中匹配相应的违规数据集合,并根据所述违规数据集合确定数据库操作的违规等级;
所述日志单元用于生成数据库操作日志;
所述后评估单元用于根据所述数据库操作日志统计预设时间段内同一源IP地址访问同一数据库的数据库操作次数,并在所述数据库操作次数大于预设阈值,输出预设的第一等级;
所述管控单元用于根据所述违规等级采取相应的处理策略。
本发明实施例通过对获取的目标数据库报文进行解析得到目标数据库报文包含的目标字段,根据目标字段在预设的违规数据库中匹配相应的违规数据集合,根据违规数据集合确定数据库操作的违规等级,针对不同的违规等级采取不同的处理策略。由此可见,本发明实施例对于数据库违规操作提供了一种分级自处理方法,对于不同等级的违规采用不同的处理方法,从而提高了数据库的安全性;此外,本发明实施例提供的数据库操作违规处理方法不依赖于数据库接口,从而使数据库范围更广;本发明实施例对于任何一个数据库操作可以实时进行违规处理,进一步提高了数据库的安全性。
上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明第一实施例提供的一种数据库操作违规处理方法的流程图;
图2示出了本发明第一实施例提供的一种数据库操作违规处理方法中确定数据库操作的违规等级的流程图;
图3示出了本发明第二实施例提供的一种数据库操作违规处理方法的流程图;
图4示出了本发明第三实施例提供的一种数据库操作违规处理装置的功能框图;
图5示出了本发明第四实施例提供的一种数据库操作违规处理设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
本发明实施例的应用场景是数据库操作的违规处理。执行数据库操作的违规处理的主体是自处理系统服务端。自处理系统服务端是一个用于数据库操作审核的服务器。自处理系统服务端可以通过预设的通信协议与自处理系统客户端进行通信,通信内容包括但不仅限于对客户端的工作模式进行配置、客户端将应用程序发出的报文传送至服务端。当客户端运行应用程序时,应用程序根据所运行的功能生成相应的报文。如果应用程序的功能是访问数据库,则会生成数据库报文。当生成数据库报文时,自处理系统客户端获取该数据库报文,并将该数据库报文发送给自处理系统服务端,以使自处理系统服务端对数据库报文进行审核。自处理系统服务端将通过审核的数据库报文发送至数据库服务器,以使客户端的应用程序访问数据库,从而保证数据库中存储的数据的安全性。下面对本发明各具体实施例进行说明。
图1示出了本发明第一实施例的一种数据库操作违规处理方法的流程图。如图1所示,该方法包括以下步骤:
步骤110:获取目标数据库报文。
其中,数据库报文是客户端的应用程序在进行数据库操作时生成的数据库报文。数据库操作即访问数据库的操作。目标数据库报文是客户端的应用程序访问目标数据库生成的报文。目标数据库是预先定义的数据库服务器集合内包含的数据库。当客户端的应用程序进行数据库操作时,生成数据库报文,数据库报文携带目标数据库IP地址,目标数据库IP地址是指客户端的应用程序进行数据库操作时,需要访问的数据库的IP地址。如果该目标数据库IP地址与目标数据库相匹配,自处理系统客户端获取该数据库报文,并将该数据库报文发送给自处理系统服务端,以使自处理系统服务端获取数据库报文。
值得说明的是,在一些实施例中,客户端的应用程序生成的报文不是数据库报文,则自处理系统服务端不获取该报文,直接将该报文转发至报文对应的IP地址。在另外一些实施例中,自处理系统服务端根据报文携带的目标数据库IP地址确定该目标数据库是否在预先定义的数据库服务器集合内,如果目标数据库不在预先定义的数据库服务器集合内,则将该报文转发至该报文对应的IP地址,不再发送给自处理系统服务端进行审核。
步骤120:对目标数据库报文解析,得到目标数据库报文包含的目标字段。
其中,目标数据库报文中携带了需要传输至数据库服务器的数据信息,该数据信息以若干个字符串组合的形式存储。在对目标数据库报文进行解析时,对目标数据库报文中存储的字符串进行解析,得到目标数据库报文中包含的目标字段。
目标数据库报文是根据应用程序与数据库服务器之间的预设协议生成的,因此,对于不同的目标数据库报文,其存储的字符串的具体内容不同,但是所包含的字符串的种类相同。目标数据库报文所携带的具体字段可以由本领域技术人员在实施本发明实施例时根据客户端与数据库服务器之间的预设协议进行人为设定。在本实施方式中,目标数据库报文包含有发送该报文的客户端对应的源IP地址、目标数据库IP地址、数据库模式定义语言类型(Data Definition Language,DDL)及数据库操作对象,对目标数据库报文解析后,可以获取目标数据库报文所携带的上述目标字段的具体内容。
步骤130:根据目标字段在预设的违规数据库中匹配相应的违规数据集合。
其中,预设的违规数据库中存储有多个违规数据,每一个违规数据按照预先设定的格式进行存储。违规数据的存储格式中所包含的字段与目标数据库报文中的目标字段相对应,以便于根据违规数据对目标数据库报文进行违规审核。在本实施例中,违规数据的存储格式如下表1所示。
表1
其中,允许访问的IP地址是指允许访问目标数据库的客户端对应的源IP地址。当目标数据库报文中携带的源IP地址与该允许访问的IP地址一致时,该源IP地址对应的客户端才有权限访问目标数据库。数据库模式定义语言类型DDL是创建数据库时所使用的特定的语言类型。不同的数据库对应的DDL可以相同,也可以不同。当应用程序访问数据库时,需要使用相应的DDL进行访问,如果DDL违规,则无法访问相应的数据库。用户敏感信息字段存储有用户隐私信息,如果需要访问的目标数据库涉及用户敏感信息字段,则不能直接访问目标数据库,以避免信息泄露。控制字段是一个默认值,在客户端处于正常的工作模式下时,用于通过违规数据库对目标数据库报文进行审核。
值得说明的是,客户端设备的工作模式可以由自处理服务端进行配置。该配置可以是预先配置,也可以是在自处理服务端工作过程中进行配置,本发明实施例并不以此为限。在目标数据库故障、系统割接等紧急事件下,自处理服务端可以将客户端设备的工作模式配置为紧急模式,在紧急模式下,为了提高响应速度,最大限度的缩短业务中断事件,不再对目标数据库报文进行审核,直接将数据库报文发送至数据库服务器,此时,控制字段为无效值。
在一些实施方式中,目标数据库报文中的目标字段包含目标数据库IP地址,根据该目标数据库IP地址可以在违规数据库中匹配相应的违规数据集合。例如,目标数据库报文中的目标数据库IP地址为A,则违规数据库中所有目标数据库IP地址为A的违规数据组成违规数据集合。
步骤140:根据违规数据集合确定数据库操作的违规等级。
其中,将目标数据库报文中的目标字段与违规数据集合中的字段进行对比,确定数据库操作的违规等级。在本实施方式中,目标字段包含源IP地址、数据库模式定义语言类型及数据库操作对象。根据违规数据集合确定数据库操作的违规等级包括如图2所示的如下步骤:
步骤210:判断源IP地址是否与违规数据集合中任意一个违规数据允许访问的IP地址一致,若一致,则执行步骤220,若均不一致,执行步骤230。
其中,违规数据允许访问的IP地址是允许访问数据库服务器的所有客户端对应的源IP地址。当源IP地址与违规数据集合中任意一个违规数据允许访问的IP地址一致时,说明该源IP地址具有访问权限。
步骤220:判断目标数据库报文的DDL是否与违规数据集合中任意一个违规数据中的DDL一致,若一致,则执行步骤230,否则,执行步骤240。
当源IP地址具有访问权限时,判断目标数据库报文的DDL是否与违规数据集合中任意一个违规数据中的DDL一致,如果目标数据库报文的DDL与违规数据集合中任意一个违规数据中的DDL一致,说明该目标数据库报文是违规数据。
步骤230:确定数据库操作的违规等级为预设的第一等级。
如果源IP地址没有访问目标数据库的权限,或目标数据库报文的DDL为违规DDL,将生成该目标数据库报文的数据库操作的违规等级定义为预设的第一等级。其中预设的第一等级是一个人为设定的等级,用于区分各种违规操作的优先级。在本实施例中,将源IP地址无访问权限以及违规DDL确定为预设的第一等级,该等级对应的违规优先级最高,即违规最严重。
步骤240:判断数据库操作对象是否包含违规数据集合中任意一个违规数据中的用户敏感信息字段,若包含,执行步骤250,否则,执行步骤260。
其中,数据库操作对象包含了所访问的数据库的数据内容。如果数据库操作对象中包含违规数据集合中任意一个违规数据中的用户敏感信息字段,则该数据库操作违规,该数据库操作不能直接访问数据库。
步骤250:确定数据库操作的违规等级为预设的第二等级。
如果数据库操作对象中包含违规数据集合中任意一个违规数据中的用户敏感信息字段,将数据库操作的违规等级确定为预设的第二等级。与预设的第一等级类似,该预设的第二等级是一个人为设定的等级,用于区分各种违规操作的优先级。第二等级的违规优先级低于第一等级,当数据库操作审核设备同时接收到第一等级和第二等级的违规操作时,将按照第一等级进行处理。
步骤260:确定数据库操作的违规等级为预设的第三等级。
预设的第三等级用于表示该数据库操作不存在违规。如果该数据库操作不存在违规,则直接执行该数据库操作,即将目标数据库报文转发至数据库服务器。
步骤150:根据违规等级采取相应的处理策略。
在本步骤中,针对不同等级的违规预设了不同的处理策略。对于违规等级为预设的第一等级,该违规等级的优先级最高,说明违规最严重,则拒绝该数据库操作,即阻断目标数据库报文发送至数据库服务器。
对于违规等级为预设的第二等级的数据库操作,说明目标数据库报文中含有用户敏感信息字段,则生成违规告警,并将该违规告警发送至数据库操作审核设备,以使数据库操作审核设备的管理员进行确认。如果数据库操作审核设备的审核结果为同意该数据库操作,则说明同意访问数据库服务器,将数据库报文发送至数据库服务器,以使源IP客户端进行访问,否则,拒绝该数据库操作。
对于违规等级为第三等级的数据库操作,说明该数据库操作不存在违规,则直接将目标数据库报文发送至数据库服务器,以使源IP客户端访问数据库服务器。
本发明实施例通过对获取的目标数据库报文进行解析得到目标数据库报文包含的目标字段,根据目标字段在预设的违规数据库中匹配相应的违规数据集合,根据违规数据集合确定数据库操作的违规等级,针对不同的违规等级采取不同的处理策略。由此可见,本发明实施例对于数据库违规操作提供了一种分级自处理方法,对于不同等级的违规采用不同的处理方法,从而提高了数据库的安全性;此外,本发明实施例提供的数据库操作违规处理方法不依赖于数据库接口,从而使数据库范围更广;本发明实施例对于任何一个数据库操作可以实时进行违规处理,进一步提高了数据库的安全性。
图3示出了本发明第二实施例的一种数据库操作违规处理方法的流程图。本发明实施例除包含第一实施例中的步骤110至步骤150外,在步骤140之后还包括如图3所示的如下步骤:
步骤310:生成数据库操作日志。
其中,对于每一次数据库操作,均会生成数据库操作日志,用于记录数据库操作中的违规操作。数据库操作日志中记录了数据库操作的相关信息。在一种实施方式中,数据库操作日志中记录了如表2所示的如下信息。
表2
其中,时间戳表示数据库操作的时间。用户名是源IP地址对应的客户端的用户名。
步骤320:根据数据库操作日志统计预设时间段内同一源IP地址访问同一数据库的数据库操作次数。
其中,根据数据库操作日志中的时间戳统计数据库操作的次数。预设时间段是一个人为设定的时间段,例如,预设时间段为一天,则统计当前时间之前一天内的数据库操作。在进行统计时,根据数据库操作日志中的源IP地址和目标数据库IP地址进行统计,对于同一源IP地址和同一目标数据库IP地址的数据库操作进行累加,得到预设时间段内同一源IP地址访问同一数据库的数据库操作次数。
步骤330:如果该数据库操作次数大于预设阈值,则输出预设第四等级。
如果预设时间段内同一源IP地址访问同一数据库的数据库操作次数大于预设阈值,则认为该源IP的数据库操作为程序攻击,确定该数据库操作为违规操作,并将该违规操作等级确定为预设的第四等级。
其中,第四等级的优先级可以进行人为设定。在一些实施方式中,将第四等级的优先级设定为介于第二等级和第三等级之间。
在本发明实施例中,步骤150还包括对于第四等级的处理策略。对于第四等级的违规操作,拒绝该源IP地址的所有数据库操作,并生成违规告警,将该违规告警发送至数据库操作审核设备,以使数据库操作审核设备根据该违规告警确定是否并更违规数据库中的违规数据。
本发明实施例生成数据库操作日志,并根据数据库操作日志确定是否存在同一源IP地址针对同一数据库的高频数据库操作,如果存在,则确定该数据库操作违规,从而保证了数据库的安全性。
图4示出了本发明第三实施例的一种数据库操作违规处理装置的功能框图。如图4所示,该装置包括:获取模块410,用于获取目标数据库报文;解析模块420,用于对所述目标数据库报文解析,得到所述目标数据库报文包含的目标字段;匹配模块430,用于根据所述目标字段在预设的违规数据库中匹配相应的违规数据集合;第一确定模块440,用于根据所述违规数据集合确定数据库操作的违规等级;第二确定模块450,用于根据所述违规等级采取相应的处理策略。
在一种可选的方式中,目标字段包含目标数据库IP地址,匹配模块430进一步用于根据所述目标数据库IP地址在预设的违规数据库中匹配相应的违规数据集合。
在一种可选的方式中,目标字段还包含源IP地址、数据库模式定义语言类型及数据库操作对象,第一确定模块440进一步用于:
当所述源IP地址与所述违规数据集合中所有违规数据允许访问的IP地址均不一致,则确定所述数据库操作的违规等级为预设的第一等级;
当所述源IP地址与所述违规数据集合中任意一个违规数据允许访问的IP地址一致,则判断所述目标数据库报文的数据库模式定义语言类型是否与所述违规数据集合中任意一个违规数据中的数据库模式定义语言类型一致;
若一致,则确定所述数据库操作的违规等级为预设的第一等级;
若均不一致,则判断所述数据库操作对象是否包含所述违规数据集合中任意一个违规数据中的用户敏感信息字段;
若包含,则确定所述数据库操作的违规等级为预设的第二等级;
若不包含,则确定所述数据库操作的违规等级为预设的第三等级。
在一种可选的方式中,第二确定模块450进一步用于:
当所述数据库操作的违规等级为预设的第一等级,则拒绝所述数据库操作;
当所述数据库操作的违规等级为第二等级,则生成违规告警,并将所述违规告警发送至数据库操作审核设备;
当所述数据库操作审核设备的审核结果为同意所述数据库操作,则将所述数据库报文发送至数据库服务器,否则,拒绝所述数据库操作;
当所述数据库操作的违规等级为第三等级,则将所述目标数据库报文发送至数据库服务器。
在一种可选的方式中,该装置还包括生成模块460、统计模块470和输出模块480。生成模块460用于生成数据库操作日志;统计模块470用于根据所述数据库操作日志统计预设时间段内同一源IP地址访问同一数据库的数据库操作次数;输出模块480用于当所述数据库操作次数大于预设阈值,则输出预设的第四等级。
第二确定模块450进一步用于,当违规等级为预设的第四等级,则拒绝所述源IP地址的数据库操作;以及,生成违规告警,并将所述违规告警发送至数据库操作审核设备。
在一种可选的方式中,该装置还包括配置模块490和发送模块400。其中,配置模块490用于配置客户端设备的工作模式。发送模块400用于当客户端设备的工作模式为紧急模式时,将数据库报文发送至数据库服务器。
本发明实施例通过对获取的目标数据库报文进行解析得到目标数据库报文包含的目标字段,根据目标字段在预设的违规数据库中匹配相应的违规数据集合,根据违规数据集合确定数据库操作的违规等级,针对不同的违规等级采取不同的处理策略。由此可见,本发明实施例对于数据库违规操作提供了一种分级自处理方法,对于不同等级的违规采用不同的处理方法,从而提高了数据库的安全性;此外,本发明实施例提供的数据库操作违规处理方法不依赖于数据库接口,从而使数据库范围更广;本发明实施例对于任何一个数据库操作可以实时进行违规处理,进一步提高了数据库的安全性。
本发明实施例提供了一种非易失性计算机存储介质,所述计算机存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的一种数据库操作违规处理方法。
图5示出了本发明第四实施例提供的一种数据库违规操作处理设备的结构示意图,如图5所示,该设备包括工作模式配置单元510、实时解析单元520、日志单元530、后评估单元540和管控单元550。其中,工作模式配置单元510用于配置客户端设备的工作模式。实时解析单元520用于对获取的目标数据库报文解析,得到目标数据库报文包含的目标字段。实时解析单元520还用于根据所述目标字段在预设的违规数据库中匹配相应的违规数据集合,并根据所述违规数据集合确定数据库操作的违规等级。日志单元530用于生成数据库操作日志。后评估单元540用于根据所述数据库操作日志统计预设时间段内同一源IP地址访问同一数据库的数据库操作次数,并在所述数据库操作次数大于预设阈值,输出预设的第一等级。管控单元550用于根据所述违规等级采取相应的处理策略。
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。
Claims (9)
1.一种数据库操作违规处理方法,其特征在于,所述方法包括:
获取目标数据库报文;
对所述目标数据库报文解析,得到所述目标数据库报文包含的目标字段;所述目标字段包含源IP地址、数据库模式定义语言类型及数据库操作对象;
根据所述目标字段在预设的违规数据库中匹配相应的违规数据集合;
根据所述违规数据集合确定数据库操作的违规等级;其中,如果所述源IP地址与所述违规数据集合中任意一个违规数据允许访问的IP地址一致,则判断所述目标数据库报文的数据库模式定义语言类型是否与所述违规数据集合中任意一个违规数据中的数据库模式定义语言类型一致;
若一致,则确定所述数据库操作的违规等级为预设的第一等级;
若均不一致,则判断所述数据库操作对象是否包含所述违规数据集合中任意一个违规数据中的用户敏感信息字段;
若包含,则确定所述数据库操作的违规等级为预设的第二等级;
若不包含,则确定所述数据库操作的违规等级为预设的第三等级;
根据所述违规等级采取相应的处理策略;其中,所述根据所述违规等级采取相应的处理策略包括:对于违规等级为预设的第一等级,拒绝该数据库操作,即阻断目标数据库报文发送至数据库服务器;对于违规等级为预设的第二等级的数据库操作,生成违规告警,并将该违规告警发送至数据库操作审核设备,以使数据库操作审核设备的管理员进行确认;如果数据库操作审核设备的审核结果为同意该数据库操作,则将数据库报文发送至数据库服务器,以使源IP客户端进行访问,否则,拒绝该数据库操作;对于违规等级为第三等级的数据库操作,将目标数据库报文发送至数据库服务器,以使源IP客户端访问数据库服务器。
2.根据权利要求1所述的方法,其特征在于,所述目标字段包含目标数据库IP地址,所述根据所述目标字段在预设的违规数据库中匹配相应的违规数据集合,包括:
根据所述目标数据库IP地址在预设的违规数据库中匹配相应的违规数据集合。
3.根据权利要求1所述的方法,其特征在于,如果所述源IP地址与所述违规数据集合中所有违规数据允许访问的IP地址均不一致,则确定所述数据库操作的违规等级为预设的第一等级。
4.根据权利要求3所述的方法,其特征在于,所述根据所述违规等级采取相应的处理策略,包括:
如果所述数据库操作的违规等级为预设的第一等级,则拒绝所述数据库操作;
如果所述数据库操作的违规等级为第二等级,则生成违规告警,并将所述违规告警发送至数据库操作审核设备;
如果所述数据库操作审核设备的审核结果为同意所述数据库操作,则将所述数据库报文发送至数据库服务器,否则,拒绝所述数据库操作;
如果所述数据库操作的违规等级为第三等级,则将所述目标数据库报文发送至数据库服务器。
5.根据权利要求1所述的方法,其特征在于,在根据所述违规数据集合确定所述数据库操作的违规等级之后,所述方法还:
生成数据库操作日志;
根据所述数据库操作日志统计预设时间段内同一源IP地址访问同一数据库的数据库操作次数;
如果所述数据库操作次数大于预设阈值,则输出预设的第四等级。
6.根据权利要求5所述的方法,其特征在于,所述根据所述违规等级采取相应的处理策略,包括:
如果违规等级为预设的第四等级,则拒绝所述源IP地址的数据库操作;以及,
生成违规告警,并将所述违规告警发送至数据库操作审核设备。
7.根据权利要求1所述的方法,其特征在于,在获取数据库报文之后,所述方法还包括:
配置客户端设备的工作模式;
当所述客户端设备的工作模式为预设紧急模式时,将所述数据库报文发送至数据库服务器。
8.一种数据库操作违规处理装置,其特征在于,所述装置包括:
获取模块,用于获取目标数据库报文;
解析模块,用于对所述目标数据库报文解析,得到所述目标数据库报文包含的目标字段;所述目标字段还包含源IP地址、数据库模式定义语言类型及数据库操作对象;
匹配模块,用于根据所述目标字段在预设的违规数据库中匹配相应的违规数据集合;
第一确定模块,用于根据所述违规数据集合确定数据库操作的违规等级;其中,如果所述源IP地址与所述违规数据集合中任意一个违规数据允许访问的IP地址一致,则判断所述目标数据库报文的数据库模式定义语言类型是否与所述违规数据集合中任意一个违规数据中的数据库模式定义语言类型一致;
若一致,则确定所述数据库操作的违规等级为预设的第一等级;
若均不一致,则判断所述数据库操作对象是否包含所述违规数据集合中任意一个违规数据中的用户敏感信息字段;
若包含,则确定所述数据库操作的违规等级为预设的第二等级;
若不包含,则确定所述数据库操作的违规等级为预设的第三等级;
第二确定模块,用于根据所述违规等级采取相应的处理策略;其中,所述根据所述违规等级采取相应的处理策略包括:对于违规等级为预设的第一等级,拒绝该数据库操作,即阻断目标数据库报文发送至数据库服务器;对于违规等级为预设的第二等级的数据库操作,生成违规告警,并将该违规告警发送至数据库操作审核设备,以使数据库操作审核设备的管理员进行确认;如果数据库操作审核设备的审核结果为同意该数据库操作,则将数据库报文发送至数据库服务器,以使源IP客户端进行访问,否则,拒绝该数据库操作;对于违规等级为第三等级的数据库操作,将目标数据库报文发送至数据库服务器,以使源IP客户端访问数据库服务器。
9.一种数据库违规操作处理设备,其特征在于,包括:工作模式配置单元、实时解析单元、日志单元、后评估单元和管控单元;
所述工作模式配置单元用于配置客户端设备的工作模式;
所述时解析单元用于对获取的目标数据库报文解析,得到所述目标数据库报文包含的目标字段;
所述实时解析单元还用于根据所述目标字段在预设的违规数据库中匹配相应的违规数据集合,并根据所述违规数据集合确定数据库操作的违规等级;
所述日志单元用于生成数据库操作日志;
所述后评估单元用于根据所述数据库操作日志统计预设时间段内同一源IP地址访问同一数据库的数据库操作次数,并在所述数据库操作次数大于预设阈值,输出预设的第一等级;
所述管控单元用于根据所述违规等级采取相应的处理策略;其中,所述根据所述违规等级采取相应的处理策略包括:对于违规等级为预设的第一等级,拒绝该数据库操作,即阻断目标数据库报文发送至数据库服务器;对于违规等级为预设的第二等级的数据库操作,生成违规告警,并将该违规告警发送至数据库操作审核设备,以使数据库操作审核设备的管理员进行确认;如果数据库操作审核设备的审核结果为同意该数据库操作,则将数据库报文发送至数据库服务器,以使源IP客户端进行访问,否则,拒绝该数据库操作;对于违规等级为第三等级的数据库操作,将目标数据库报文发送至数据库服务器,以使源IP客户端访问数据库服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911072527.4A CN112769739B (zh) | 2019-11-05 | 2019-11-05 | 数据库操作违规处理方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911072527.4A CN112769739B (zh) | 2019-11-05 | 2019-11-05 | 数据库操作违规处理方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112769739A CN112769739A (zh) | 2021-05-07 |
| CN112769739B true CN112769739B (zh) | 2023-08-04 |
Family
ID=75692864
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911072527.4A Active CN112769739B (zh) | 2019-11-05 | 2019-11-05 | 数据库操作违规处理方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112769739B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114157501B (zh) * | 2021-12-08 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 一种基于天睿数据库的参数解析方法及装置 |
| CN115879162B (zh) * | 2023-02-27 | 2023-05-09 | 北京景安云信科技有限公司 | 一种数据库监测的违规操作告警阻断系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1858738A (zh) * | 2006-02-15 | 2006-11-08 | 华为技术有限公司 | 访问数据库的方法及装置 |
| CN106845271A (zh) * | 2017-01-18 | 2017-06-13 | 国网浙江省电力公司 | 数据库安全控制系统和方法 |
| CN108881211A (zh) * | 2018-06-11 | 2018-11-23 | 杭州盈高科技有限公司 | 一种违规外联检测方法及装置 |
| CN109885554A (zh) * | 2018-12-20 | 2019-06-14 | 顺丰科技有限公司 | 数据库安全审计方法、系统及计算机可读存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050268117A1 (en) * | 2004-05-27 | 2005-12-01 | International Business Machines Corporation | Method and system for dynamic security checking of heterogeneous database environments |
-
2019
- 2019-11-05 CN CN201911072527.4A patent/CN112769739B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1858738A (zh) * | 2006-02-15 | 2006-11-08 | 华为技术有限公司 | 访问数据库的方法及装置 |
| CN106845271A (zh) * | 2017-01-18 | 2017-06-13 | 国网浙江省电力公司 | 数据库安全控制系统和方法 |
| CN108881211A (zh) * | 2018-06-11 | 2018-11-23 | 杭州盈高科技有限公司 | 一种违规外联检测方法及装置 |
| CN109885554A (zh) * | 2018-12-20 | 2019-06-14 | 顺丰科技有限公司 | 数据库安全审计方法、系统及计算机可读存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 数据库审计与防统方系统的实现;常建国等;《中国医疗设备》;20130425(第04期);全文 * |
| 数据库审计技术在电力营销系统中的应用;吴彬彬;《科学中国人》;20151215(第35期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112769739A (zh) | 2021-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8943575B2 (en) | Method and system for policy simulation | |
| KR101327317B1 (ko) | Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템 | |
| CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
| CN103701795B (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
| CN113302609A (zh) | 用人工智能检测存在未认证的api请求时的不当活动 | |
| CN112468520B (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
| CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
| JP2005512196A5 (zh) | ||
| US20150040217A1 (en) | Data protection in a networked computing environment | |
| CN109688105A (zh) | 一种威胁报警信息生成方法及系统 | |
| CN111177779B (zh) | 数据库审计方法、其装置、电子设备及计算机存储介质 | |
| CN111092910B (zh) | 数据库安全访问方法、装置、设备、系统及可读存储介质 | |
| CN109462599A (zh) | 一种蜜罐管理系统 | |
| US9680857B1 (en) | Cyber intelligence clearinghouse | |
| CN112769739B (zh) | 数据库操作违规处理方法、装置及设备 | |
| US10192262B2 (en) | System for periodically updating backings for resource requests | |
| CN112165445B (zh) | 用于检测网络攻击的方法、装置、存储介质及计算机设备 | |
| US10013237B2 (en) | Automated approval | |
| CN111212027A (zh) | 一种基于企业浏览器实现的网络安全验证方法和装置 | |
| RU2481633C2 (ru) | Система и способ автоматического расследования инцидентов безопасности | |
| CN112650180A (zh) | 安全告警方法、装置、终端设备及存储介质 | |
| CN111131166A (zh) | 一种用户行为预判方法及相关设备 | |
| CN114157504A (zh) | 一种基于Servlet拦截器的安全防护方法 | |
| CN114205146A (zh) | 一种多源异构安全日志的处理方法及装置 | |
| CN112637171A (zh) | 数据流量处理方法、装置、设备、系统和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |