CN113792076A - 一种数据审计系统 - Google Patents
一种数据审计系统 Download PDFInfo
- Publication number
- CN113792076A CN113792076A CN202111090657.8A CN202111090657A CN113792076A CN 113792076 A CN113792076 A CN 113792076A CN 202111090657 A CN202111090657 A CN 202111090657A CN 113792076 A CN113792076 A CN 113792076A
- Authority
- CN
- China
- Prior art keywords
- data
- rule
- auditing
- module
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000010276 construction Methods 0.000 claims abstract description 6
- 230000002452 interceptive effect Effects 0.000 claims abstract description 4
- 238000012550 audit Methods 0.000 claims description 61
- 238000004364 calculation method Methods 0.000 claims description 18
- 238000004458 analytical method Methods 0.000 claims description 17
- 238000007726 management method Methods 0.000 claims description 14
- 238000000034 method Methods 0.000 claims description 13
- 238000005215 recombination Methods 0.000 claims description 11
- 230000006798 recombination Effects 0.000 claims description 10
- 238000001914 filtration Methods 0.000 claims description 8
- 230000006978 adaptation Effects 0.000 claims description 7
- 238000013461 design Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 7
- 238000004891 communication Methods 0.000 claims description 6
- 238000012423 maintenance Methods 0.000 claims description 4
- 238000007405 data analysis Methods 0.000 claims description 3
- 238000012163 sequencing technique Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 abstract description 7
- 238000011161 development Methods 0.000 abstract description 2
- 230000018109 developmental process Effects 0.000 abstract description 2
- 230000033772 system development Effects 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000013481 data capture Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000008521 reorganization Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24564—Applying rules; Deductive queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
- G06F16/2228—Indexing structures
- G06F16/2255—Hash tables
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/242—Query formulation
- G06F16/2433—Query languages
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24568—Data stream processing; Continuous queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2462—Approximate or statistical queries
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Fuzzy Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据审计系统,所述数据审计系统通过审计管理模块进行系统的运行主体搭建,在审计管理模块建设的基础上进行功能模块的无限拓展和多级交互式安全防护架构的底层构建,从而实现数据库全面准确的审计。本发明确定了审计系统的开发环境以及运行环境,确保系统开发的效率,能够保证系统的安全性,同时可以有效的协助用户完成审计策略的精确定义,有效的压缩了需要处理的数据和层次,大幅降低处理时延,能够满足电力行业数据库审计管理的基本要求。
Description
技术领域
本发明涉及电力信息审计领域,尤其涉及一种数据审计系统。
背景技术
电力行业作为国家关键性行业,对国家正常的经济运行起到重大的支撑作用,数据库是所有电力信息系统的运行基础,记录有大量的用户信息、生产数据等关键信息,是最具有战略性的资产。电力行业数据库承载的信息资产面临着严峻的安全挑战。数据库安全审计系统能够有效弥补现有应用业务系统在数据库安全使用上的不足,是保障数据库安全的必要手段,对整个电力信息系统的资产安全和生产安全保障有着重要意义。目前的数据库审计研究中缺乏对电力信息系统设计的具体阐述,无法满足电力信息数据库系统安全性需求。
发明内容
本发明基于以上问题,本发明公开了一种数据审计系统。
为实现上述目的,本发明所采用的技术方案如下:
一种数据审计系统,所述数据审计系统通过审计管理模块进行系统的运行主体搭建,在审计管理模块建设的基础上进行功能模块的无限拓展和多级交互式安全防护架构的底层构建,从而实现数据库全面准确的审计。
可选的,所述审计管理模块包括数据采集模块、数据重组模块、审计协议解析模块、审计规则生成模块以及审计策略适配模块。
可选的,所述数据采集模块根据TCP/IP协议执行ifconfig eth0 promisc设置混杂模式以调用库函数完成数据包的抓取。
可选的,所述库函数包括Libpcap库函数,通过调用Libpcap库函数的pcap_lookupdev()函数来获取网络接口,调用pcap_lookupnet()函数来查询网络接口,对输入系统的数据包判断是否需要过滤,若是,则通过调用pcap_compile()函数编译过滤规则,并通过调用pcap_setfilter()函数设置过滤器,然后通过调用pcap_dispatch()函数捕获数据包,同时判断捕获的数据包是否满足过滤规则并将缓存捕获的数据包存储至缓冲区,若不满足过滤规,则丢弃该数据包,若满足过滤规则保留该数据包,若缓冲区满,则调用pcap_close()函数关闭网络设备。
可选的,所述数据重组模块通过提取数据包中的源IP、目的IP、源端口以及目的端口,进行Hash计算,以查找数据包所对应的连接,并将数据包中的内容根据序列号排序挂载到对应连接节点下。
可选的,所述数据重组模块经过Libpcap库函数进行数据抓包后,将捕获的数据填充到net-buffer中,通过IP和TCP首部信息获取数据包的源IP、目的IP、源端口以及目的端口,然后通过散列计算判断散列表中是否存在对应的tcp-con节点,若存在tcp-con节点,则更新其节点的状态,同时将获取的数据挂载到对应的等待队列中,再判断到来的数据是否为等待的数据,若到来的数据是等待的数据则输出并更新等待数据,若到来的数据不是等待的数据则直接结束;若散列表中不存在tcp-con节点,则判断tcp的状态表示建立连接的标识符SYN是否为1,若SYN=1则建立tcp-con节点,加载对应的规则,更新等待的数据,完成数据流重组,若SYN≠1则直接结束。
可选的,所述审计协议解析模块包括登录阶段和通信阶段,登录阶段通过对获取的数据包进行解析从而得到服务器ID、客户端IP地址、端口以及数据表信息;通信阶段通过对数据的解析得到客户执行的SQL语句以及服务器端返回的信息,并对相关信息进行存储,然后同规则进行匹配,对匹配成功的信息存储到系统中。
可选的,所述审计规则生成模块包括如下分模块:
自动生成规则模块:其包括统计部分和分析部分,统计部分用于统计操作人员所进行的操作,分析部分用于分析计算统计得到的数据,并将统计结果生成自动存入系统,其中,首先对获取捕获的数据包中的来源IP、所要访问的目标数据库的ID以及对目标数据库所进行的操作类型,然后通过哈希索引快速地查找SRC_NODE的位置,若查找到来源节点信息则更新来源节点并进行统计,接下来通过二叉平衡树索引快速地定位DST_NODE的位置并进行更新,同时统计目标节点的数据,最后定位RE_NODE的位置并进行更新,同时统计记录节点的数据,从而实现对一个来源IP对一个目标数据库进行操作的统计,然后通过对排序的数据结构实现对统计信息的计算,再将计算的结果存储到SORT-NODE中以实现对计算结果的排序,然后根据规则生成的设计原则完成审计规则的生成;
人工配置规则模块:人工对数据库运维进行时间、来源、内容的配置,分析攻击者想要破坏或想获取的数据,人工制定电力行业的审计规则,并将匹配到的事件分高、中、低风险三级。
可选的,所述审计策略适配模块将时间规则、来源规则、内容规则的逻辑关系设置成与的关系,同时将来源规则设置成最低优先级,时间规则设置成中优先级,内容规则设置成最高优先级,根据审计规则优先级情况从高到低进行匹配,首先匹配来源规则,其次匹配时间规则,最后匹配内容规则,当三个规则同时匹配成功时系统不再进行继续匹配,并将同规则匹配成功的数据存入到数据库中,否则系统将继续匹配到最后一条审计规则,如没有匹配成功则对下一个获取的数据包按照规则的优先级进行匹配。
可选的,还包括展示模块,所述展示模块用于实现策略的人工配置规则、策略匹配后的数据显示。
本发明与现有技术相比,所取得的技术进步在于:
本发明支持多种数据库类型和协议设计了电力行业数据库安全审计系统的总体结构,完成了对数据库安全审计系统的审计管理模块包括数据采集模块、数据重组模块、审计协议解析模块、审计规则生成模块以及审计策略适配模块的设计,确定了审计系统的开发环境以及运行环境,确保系统开发的效率,能够保证系统的安全性。同时可以有效的协助用户完成审计策略的精确定义,有效的压缩了需要处理的数据和层次,大幅降低处理时延,能够满足电力行业数据库审计管理的基本要求。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。
在附图中:
图1为本发明的系统结构图。
具体实施方式
下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本发明的实施例进行描述。
实施例一
本发明公开了一种数据审计系统,数据审计系统通过审计管理模块进行系统的运行主体搭建,在审计管理模块建设的基础上进行功能模块的无限拓展和多级交互式安全防护架构的底层构建,从而实现数据库全面准确的审计。
实施例二
如图1所示的,审计管理模块包括数据采集模块、数据重组模块、审计协议解析模块、审计规则生成模块、审计策略适配模块以及展示模块,具体的:
数据采集模块实现对系统所需要用的硬件的设置,主要是核心交换机的镜像设置以及数据抓取函数的调用。
本系统的数据流重组首先需要数据采集模块对数据进行采集,然后对采集的乱序的数据包进行排序输出,数据采集模块可在硬件设置的基础上通过调用库函数调用来完成,乱序数据包排序输出则需要通过设计和编程来完成,为避免发送到系统的数据包的遗漏,系统将网卡设置成混杂模式(通过执行ifconfigeth0promisc实现),然后通过Libpcap函数提供的API接口实现对数据的抓包工作。
数据重组模块主要根据TCP/IP协议完成对数据采集模块获取的乱序的数据包进行重组。
具体的,数据流重组技术是指对获取的数据包进行过滤和重组然后传送给上层应用程序,从而得到协议中的内容,是系统的功能的实现的基础。
按照审计系统原则需要获取网络上所有的数据包,但是在计算机网卡缺省时,系统只能接收到网络上广播的数据包和发给主机的数据包,而对于数据包的MAC地址不是本机的,则丢弃,显然这不满足系统设计的要求。
因此需先将网卡设置成为混杂模式,通过交换机镜像获取全部数据。数据包常规的传输路径依次为网卡接口、设备驱动层、数据链路层、IP层、传输层、最后到达应用程序。
而数据包捕获机制就是将网卡设置成混杂模式后,通过调用libpcap库获取网卡接收到的数据包,并复制到设置好的BPF过滤器,再同用户定义的过滤规则进行匹配,并将匹配成功的数据拷贝到自身的缓冲区,然后再将过滤匹配后的数据提供给上层应用程序。
通过上述步骤后可以得到的数据包是乱序的、多地址的,但为了提供给解析层一个可靠的按序到达的数据流,还需要对乱序的数据包进行数据流的重组工作,才能确保解析工作的顺利完成。数据重组模块需提取获得的数据包中的四元组(srcip、dstip、dstport、srcport),并进行一定处理,从而实现对数据包按照不同目的、不同来源的分类处理,以此得到和数据包相对应的连接信息,通过提取数据包中的IP层、TCP层数据报包头信息实现对数据的排序工作。
系统旁路部署在核心交换机上,因此系统将采用TCP数据流快速重组技术来完成处理短时间内大量到达的双向数据包。因此我们必须在对TCP数据包进行快速的查找工作,确保实现大量数据的重组工作,处理数据流重组最有效的方式是哈希表查找方式,为此本发明采用哈希表实现数据流到相应连接的映射处理。
数据流重组工作主要是通过提取数据包中四元组(源IP、目的IP、源端口、目的端口),并进行Hash计算,查找数据包所对应的连接,将数据包中的内容根据序列号排序挂载到对应连接节点下。
哈希表本质就是一个数组和多个单链表的组合而成的复合数据结构,要实现数据的快速高效查找处理,我们必须构造好的哈希函数,有效解决冲突以及数据的存储工作。
数据重组模块经过Libpcap库函数进行数据抓包后,将捕获的数据填充到net-buffer中,通过IP和TCP首部信息获取数据包的源IP、目的IP、源端口以及目的端口,然后通过散列计算判断散列表中是否存在对应的tcp-con节点,若存在tcp-con节点,则更新其节点的状态,同时将获取的数据挂载到对应的等待队列中,再判断到来的数据是否为等待的数据,若到来的数据是等待的数据则输出并更新等待数据,若到来的数据不是等待的数据则直接结束;若散列表中不存在tcp-con节点,则判断tcp的状态表示建立连接的标识符SYN是否为1,若SYN=1则建立tcp-con节点,加载对应的规则,更新等待的数据,完成数据流重组,若SYN≠1则直接结束。
实施例三
审计协议解析模块主要实现对获取的可靠数据包进行解析工作。
在对SQLSERVER数据库进行访问的过程中,访问人员需要经历信息协商阶段和语句执行阶段。在信息协商阶段需要通过解析获取访问人员的客户端地址、服务器地址、传输的规则等,在语句执行阶段,需要通过解析获得所执行的操作和返回的结果,从而保证数据库管理人员实时掌握数据库访问情况,并与审计策略匹配,从而判断是否触犯审计规则。
审计协议解析模块包括登录阶段和通信阶段,登录阶段通过对获取的数据包进行解析从而得到服务器ID、客户端IP地址、端口以及数据表信息;通信阶段通过对数据的解析得到客户执行的SQL语句以及服务器端返回的信息,并对相关信息进行存储,然后同规则进行匹配,对匹配成功的信息存储到系统中。
实施例四
审计规则生成模块主要完成统计解析出的数据,并按照相应的策略进行处理,自动生成审计规则作用于系统。
审计规则采用规则自动生成和人工配置相结合的审计策略,将自动生成的规则设置为低优先级,人工配置的规则设置成高优先级,以实现数据库全面准确的审计。数据流重组管理功能中涉及到的内容有人工制定和自动生成。
结合电力企业实际,分析攻击者想要破坏或想获取的数据,制定电力企业的审计规则。如对电力系统某一特定数据表的信息进行非授权拷贝、删除;拦截、篡改调度数据广域网中的控制命令、参数设置、交易报价等敏感信息可以设置成高风险;对电力系统数据库某特定时间段特定表的数据的统计可设置成中风险;为减少设备运行负担,节约设备性能和空间,此次没有设置低风险规则,同时为保证审计的全面性,将采用规则自动生成和人工配置相结合的审计策略。
自动生成规则模块:其包括统计部分和分析部分,统计部分用于统计操作人员所进行的操作,分析部分用于分析计算统计得到的数据,并将统计结果生成自动存入系统,其中,首先对获取捕获的数据包中的来源IP、所要访问的目标数据库的ID以及对目标数据库所进行的操作类型,然后通过哈希索引快速地查找SRC_NODE的位置,若查找到来源节点信息则更新来源节点并进行统计,接下来通过二叉平衡树索引快速地定位DST_NODE的位置并进行更新,同时统计目标节点的数据,最后定位RE_NODE的位置并进行更新,同时统计记录节点的数据,从而实现对一个来源IP对一个目标数据库进行操作的统计,然后通过对排序的数据结构实现对统计信息的计算,再将计算的结果存储到SORT-NODE中以实现对计算结果的排序,然后根据规则生成的设计原则完成审计规则的生成。
人工配置规则模块:人工配置的规则依赖于专家对数据库运维的经验进行时间、来源、内容的配置。结合电力信息系统数据库表情况,结合行业实际,分析攻击者想要破坏或想获取的数据,人工制定电力行业的审计规则,并将匹配到的事件分高、中、低风险三级。如我们可以将任意时间非授权人员对电力营销系统中的用户信息表、合同信息表、表计信息表进行信息的篡改、删除、拷贝,非授权篡改电力控制系统中的配置参数表、电力调度系统中的参数设置等设成高危报警;某个来源对表计信息表进行信息的查询、统计设置成中危报警等。
实施例五
审计策略适配模块用于将经抓取的数据重组后和系统内已经提前设置好的审计规则进行匹配,并记录匹配成功的数据,为后续审计工作提供依据。数据库审计系统对经解析获取的数据内容同预置好的策略进行匹配,记录与预置策略完全匹配的内容并进行风险告警,因此完善的匹配策略对数据库审计系统至关重要。
审计策略是由若干条审计规则构成,每条审计规则包括规则名称、规则状态(可用或不可用,及规则的启用、停用)、风险级别(高危、中危、低危)、规则动作(触发该规则的事件是被记录保存下来还是丢弃)、规则描述、触发规则的条件(当事件同时满足“客户端触发条件”和“服务端触发条件”的条件才会触发该规则)等。
具体的策略包括:数据库访问的审计、数据变更审计、用户操作审计、违规访问行为审计、恶意攻击审计。
(1)数据库访问的审计:审计所有用户对数据库中关键数据、关键表的访问情况并记录,对黑客入侵和内部人员非授权获取敏感信息情况实时监控并及时告警。
(2)数据变更审计:审计并记录访问人员对数据库中核心业务数据库表结构、关键数据文件的修改、删除、增加等操作,防止外部人员和内部人员对重要业务数据的非法篡改。
(3)用户操作审计:记录所有用户的主机登录情况,并对所有用户登陆数据库审计系统进行访问、操作的信息进行记录,用于事后责任的追踪。
(4)违规访问行为审计:对用户的违规访问行为进行审计并记录,系统预先设定黑白名单和合法的规则,对合法规则和白名单外的访问行为进行记录和告警。
(5)恶意攻击审计:对利用主机、数据库的漏洞以及后门对数据库的攻击行为进行记录和告警,如主机扫描、DoS/DDoS攻击、ARP欺骗和攻击等。
审计策略由若干条审计规则构成,对每一个数据库对象采用的审计策略均按照审计规则设置的优先级进行匹配。即对解析到的内容,根据设置的审计规则的优先级高低情况进行匹配,直到匹配到某条规则或者全部未匹配成功为止,当匹配到任意一条规则时就是与该策略匹配成功。
审计规则的生成方式可以分为自动生成和人工配置两种方式,其中,自动生成的方式是通过对操作人员对数据库的操作行为的进行建模,将已建行为模型与人员对数据库的操作行为进行比较,比较结果是否匹配作为审计判断的依据,该方法审计较全面;工配置规则依赖于专家的对数据库运维的经验进行时间、来源、内容的配置,具有较强的针对性。鉴于此,系统将探索采用自动生成规则和人工配置规则相结合的审计策略,同时将自动生成规则设置成低优先级,人工配置规则设置成高优先级,这样按照审计规则有高到低匹配原则,则优先匹配人工配置的规则,然后再去匹配低优先级的自动生成规则,这样可以使得到的审计结果更具有针对性,同时可以避免审计遗漏,从而对数据库实现更加全面的审计,同时通过展示模块实现策略的人工配置规则。
本发明结合电力企业实际,对所有的数据库活动、数据库远程服务器操作进行实时的、动态的审计,并根据审计到客户端信息(IP地址、MAC地址、用户名等)、执行的SQL语句、以及返回的信息,自定义策略。如当电力企业数据库中的财务管理数据、电力生产控制系统的控制、信号、测量、计费信息,变电站自动化系统的调度、分析、传输信息以及电力市场运营数据库中的通道、计费、电能表等信息,招投标应用系统中标的、企业、市场等信息遭到非法篡改、违规访问、恶意攻击等威胁时,系统管理员和匹配策略管理员可以查询匹配策略信息,并可以根据电力企业数据监控的重点对匹配策略信息进行创建、修改以及删除。
在规则设置时,我们将时间规则、来源规则、内容规则的逻辑关系设置成与的关系,同时将来源规则设置成最低优先级,时间规则设置成中优先级,内容规则设置成最高优先级。
策略匹配的原则是根据审计规则优先级情况从高到低进行匹配,即首先匹配来源规则,其次匹配时间规则,最后才匹配内容规则,只有当三个规则同时匹配成功时系统才不再进行继续匹配,并将同规则匹配成功的数据存入到数据库中,否则系统将继续匹配到最后一条审计规则,如都没有匹配成功则对下一个获取的数据包按照规则的优先级进行匹配。
系统在进行时间规则和来源规则匹配时,首先需要将匹配策略以及获取的数据包中的来源和时间都转换为数值,这样系统只需要对数值进行比较就可以完成匹配工作,同时可以通过展示模块显示策略匹配后的数据。
最后应说明的是:以上仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明权利要求保护的范围之内。
Claims (10)
1.一种数据审计系统,其特征在于:所述数据审计系统通过审计管理模块进行系统的运行主体搭建,在审计管理模块建设的基础上进行功能模块的无限拓展和多级交互式安全防护架构的底层构建,从而实现数据库全面准确的审计。
2.根据权利要求1所述的数据审计系统,其特征在于:所述审计管理模块包括数据采集模块、数据重组模块、审计协议解析模块、审计规则生成模块以及审计策略适配模块。
3.根据权利要求2所述的数据审计系统,其特征在于:所述数据采集模块根据TCP/IP协议执行ifconfig eth0 promisc设置混杂模式以调用库函数完成数据包的抓取。
4.根据权利要求3所述的数据审计系统,其特征在于:所述库函数包括Libpcap库函数,通过调用Libpcap库函数的pcap_lookupdev()函数来获取网络接口,调用pcap_lookupnet()函数来查询网络接口,对输入系统的数据包判断是否需要过滤,若是,则通过调用pcap_compile()函数编译过滤规则,并通过调用pcap_setfilter()函数设置过滤器,然后通过调用pcap_dispatch()函数捕获数据包,同时判断捕获的数据包是否满足过滤规则并将缓存捕获的数据包存储至缓冲区,若不满足过滤规,则丢弃该数据包,若满足过滤规则保留该数据包,若缓冲区满,则调用pcap_close()函数关闭网络设备。
5.根据权利要求4所述的数据审计系统,其特征在于:所述数据重组模块通过提取数据包中的源IP、目的IP、源端口以及目的端口,进行Hash计算,以查找数据包所对应的连接,并将数据包中的内容根据序列号排序挂载到对应连接节点下。
6.根据权利要求5所述的数据审计系统,其特征在于:所述数据重组模块经过Libpcap库函数进行数据抓包后,将捕获的数据填充到net-buffer中,通过IP和TCP首部信息获取数据包的源IP、目的IP、源端口以及目的端口,然后通过散列计算判断散列表中是否存在对应的tcp-con节点,若存在tcp-con节点,则更新其节点的状态,同时将获取的数据挂载到对应的等待队列中,再判断到来的数据是否为等待的数据,若到来的数据是等待的数据则输出并更新等待数据,若到来的数据不是等待的数据则直接结束;若散列表中不存在tcp-con节点,则判断tcp的状态表示建立连接的标识符SYN是否为1,若SYN=1则建立tcp-con节点,加载对应的规则,更新等待的数据,完成数据流重组,若SYN≠1则直接结束。
7.根据权利要求6所述的数据审计系统,其特征在于:所述审计协议解析模块包括登录阶段和通信阶段,登录阶段通过对获取的数据包进行解析从而得到服务器ID、客户端IP地址、端口以及数据表信息;通信阶段通过对数据的解析得到客户执行的SQL语句以及服务器端返回的信息,并对相关信息进行存储,然后同规则进行匹配,对匹配成功的信息存储到系统中。
8.根据权利要求7所述的数据审计系统,其特征在于:所述审计规则生成模块包括如下分模块:
自动生成规则模块:其包括统计部分和分析部分,统计部分用于统计操作人员所进行的操作,分析部分用于分析计算统计得到的数据,并将统计结果生成自动存入系统,其中,首先对获取捕获的数据包中的来源IP、所要访问的目标数据库的ID以及对目标数据库所进行的操作类型,然后通过哈希索引快速地查找SRC_NODE的位置,若查找到来源节点信息则更新来源节点并进行统计,接下来通过二叉平衡树索引快速地定位DST_NODE的位置并进行更新,同时统计目标节点的数据,最后定位RE_NODE的位置并进行更新,同时统计记录节点的数据,从而实现对一个来源IP对一个目标数据库进行操作的统计,然后通过对排序的数据结构实现对统计信息的计算,再将计算的结果存储到SORT-NODE中以实现对计算结果的排序,根据规则生成的设计原则完成审计规则的生成;
人工配置规则模块:人工对数据库运维进行时间、来源、内容的配置,分析攻击者想要破坏或想获取的数据,人工制定电力行业的审计规则,并将匹配到的事件分高、中、低风险三级。
9.根据权利要求8所述的数据审计系统,其特征在于:所述审计策略适配模块将时间规则、来源规则、内容规则的逻辑关系设置成与的关系,同时将来源规则设置成最低优先级,时间规则设置成中优先级,内容规则设置成最高优先级,根据审计规则优先级情况从高到低进行匹配,首先匹配来源规则,其次匹配时间规则,最后匹配内容规则,当三个规则同时匹配成功时系统不再进行继续匹配,并将同规则匹配成功的数据存入到数据库中,否则系统将继续匹配到最后一条审计规则,如没有匹配成功则对下一个获取的数据包按照规则的优先级进行匹配。
10.根据权利要求9所述的数据审计系统,其特征在于:还包括展示模块,所述展示模块用于实现策略的人工配置规则、策略匹配后的数据显示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111090657.8A CN113792076A (zh) | 2021-09-17 | 2021-09-17 | 一种数据审计系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111090657.8A CN113792076A (zh) | 2021-09-17 | 2021-09-17 | 一种数据审计系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113792076A true CN113792076A (zh) | 2021-12-14 |
Family
ID=79183753
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111090657.8A Pending CN113792076A (zh) | 2021-09-17 | 2021-09-17 | 一种数据审计系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113792076A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115297033A (zh) * | 2022-07-20 | 2022-11-04 | 上海量讯物联技术有限公司 | 一种物联网终端流量审计方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719692A (zh) * | 2009-12-22 | 2010-06-02 | 江西省电力科学研究院 | 数字化变电站网络数据获取及网络性能分析方法 |
| CN107302529A (zh) * | 2017-06-14 | 2017-10-27 | 苏州海加网络科技股份有限公司 | 基于场景感知的数据库安全审计系统及方法 |
| CN107818150A (zh) * | 2017-10-23 | 2018-03-20 | 中国移动通信集团广东有限公司 | 一种日志审计方法及装置 |
| CN111726809A (zh) * | 2020-06-17 | 2020-09-29 | 华中科技大学 | 数控环境下的网络安全审计方法及系统 |
| CN112506954A (zh) * | 2020-12-25 | 2021-03-16 | 新浪网技术(中国)有限公司 | 数据库审计方法和装置 |
| CN113032710A (zh) * | 2021-04-13 | 2021-06-25 | 上海汉邦京泰数码技术有限公司 | 一种综合审计监管系统 |
-
2021
- 2021-09-17 CN CN202111090657.8A patent/CN113792076A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719692A (zh) * | 2009-12-22 | 2010-06-02 | 江西省电力科学研究院 | 数字化变电站网络数据获取及网络性能分析方法 |
| CN107302529A (zh) * | 2017-06-14 | 2017-10-27 | 苏州海加网络科技股份有限公司 | 基于场景感知的数据库安全审计系统及方法 |
| CN107818150A (zh) * | 2017-10-23 | 2018-03-20 | 中国移动通信集团广东有限公司 | 一种日志审计方法及装置 |
| CN111726809A (zh) * | 2020-06-17 | 2020-09-29 | 华中科技大学 | 数控环境下的网络安全审计方法及系统 |
| CN112506954A (zh) * | 2020-12-25 | 2021-03-16 | 新浪网技术(中国)有限公司 | 数据库审计方法和装置 |
| CN113032710A (zh) * | 2021-04-13 | 2021-06-25 | 上海汉邦京泰数码技术有限公司 | 一种综合审计监管系统 |
Non-Patent Citations (1)
| Title |
|---|
| 廖雯娟: "电力企业数据库审计系统设计与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》, pages 138 - 370 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115297033A (zh) * | 2022-07-20 | 2022-11-04 | 上海量讯物联技术有限公司 | 一种物联网终端流量审计方法及系统 |
| CN115297033B (zh) * | 2022-07-20 | 2023-08-11 | 上海量讯物联技术有限公司 | 一种物联网终端流量审计方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104115463B (zh) | 用于处理网络元数据的流式传输方法和系统 | |
| KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| US8806607B2 (en) | Unauthorized data transfer detection and prevention | |
| US6546420B1 (en) | Aggregating information about network message flows | |
| CN106953837A (zh) | 具有威胁可视化的集成安全系统 | |
| CN100384153C (zh) | 一种基于IPv6的网络性能分析报告系统及实现方法 | |
| KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| CN110401624A (zh) | 源网荷系统交互报文异常的检测方法及系统 | |
| CN110896386B (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
| KR100513911B1 (ko) | 정보 보안 분석 시스템 | |
| CN111191247A (zh) | 数据库安全审计系统 | |
| CN111885106A (zh) | 一种基于终端设备特征信息的物联网安全管控方法及系统 | |
| CN104869155A (zh) | 数据审计方法及装置 | |
| CN113098906B (zh) | 微蜜罐在现代家庭中的应用方法 | |
| CN114531273A (zh) | 一种防御工业网络系统分布式拒绝服务攻击的方法 | |
| Thi et al. | Federated learning-based cyber threat hunting for apt attack detection in SDN-enabled networks | |
| KR100832088B1 (ko) | 시그니처 그래프를 이용한 하이브리드 기반 침입탐지시스템 | |
| CN102271331B (zh) | 一种检测业务提供商sp站点可靠性的方法及系统 | |
| CN113792076A (zh) | 一种数据审计系统 | |
| Tao et al. | A hybrid alarm association method based on AP clustering and causality | |
| CN114598499A (zh) | 结合业务应用的网络风险行为分析方法 | |
| CN111698168B (zh) | 消息处理方法、装置、存储介质及处理器 | |
| CN115712646A (zh) | 一种告警策略生成方法、装置和存储介质 | |
| CN112632044A (zh) | 一种数据库安全审计方法 | |
| CN111901199A (zh) | 一种基于海量数据的快速预警匹配实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211214 |
|
| RJ01 | Rejection of invention patent application after publication |