CN116455679A - 异常数据库运维流量监控方法、装置及计算机设备 - Google Patents

异常数据库运维流量监控方法、装置及计算机设备 Download PDF

Info

Publication number
CN116455679A
CN116455679A CN202310718390.5A CN202310718390A CN116455679A CN 116455679 A CN116455679 A CN 116455679A CN 202310718390 A CN202310718390 A CN 202310718390A CN 116455679 A CN116455679 A CN 116455679A
Authority
CN
China
Prior art keywords
database
request
execution
sensitive data
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310718390.5A
Other languages
English (en)
Other versions
CN116455679B (zh
Inventor
柳遵梁
王月兵
毛菲
周杰
闻建霞
覃锦端
刘聪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Meichuang Technology Co ltd
Original Assignee
Hangzhou Meichuang Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Meichuang Technology Co ltd filed Critical Hangzhou Meichuang Technology Co ltd
Priority to CN202310718390.5A priority Critical patent/CN116455679B/zh
Publication of CN116455679A publication Critical patent/CN116455679A/zh
Application granted granted Critical
Publication of CN116455679B publication Critical patent/CN116455679B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • G06F16/211Schema design and management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了异常数据库运维流量监控方法、装置及计算机设备。方法包括:生成客户端IP白名单、数据库连接应用白名单、数据库准入白名单、访问控制白名单以及敏感数据特征库;当流量类型是运维流量,获取数据库连接请求;判断数据库连接请求是否可以准入对应数据库;若是,则发送认证通过至客户端,由安装在数据库服务器的探针转发数据库执行请求的请求特征;判断数据库执行请求是否可以访问控制对应数据库;若是,则将数据库执行请求转发至数据库执行;判断执行结果是否存在敏感数据特征;若是,则对执行结果的敏感数据特征脱敏,并返回脱敏后的数据至客户端。通过实施本发明实施例的方法可实现保证运维流量得到全面的监控。

Description

异常数据库运维流量监控方法、装置及计算机设备
技术领域
本发明涉及数据库监控方法,更具体地说是指异常数据库运维流量监控方法、装置及计算机设备。
背景技术
根据数据库的访问来源可将访问流量分为业务流量和运维流量。业务流量更多由前端业务访问者,途径前端业务系统,再由业务系统作为媒介连接数据库,更多面临外部攻击风险;运维流量指内部运维人员、开发人员通过工具,使用IP地址及账号凭证访问数据库。而“人”的不确定性,有可能会造成不亚于黑客攻击、危害性更大的事件,如外部人员通过利诱系统维护人员进行数据盗取,系统维护人员通过内部网络或自主终端机的网络登陆数据库后,直接进行后台统计操作,然后将数据进行本地保存,由于其权限的看似合理化,组织往往无法追责到“幕后黑手”。
因此,有必要设计一种新的方法,实现保证运维流量得到全面的监控。
发明内容
本发明的目的在于克服现有技术的缺陷,提供异常数据库运维流量监控方法、装置及计算机设备。
为实现上述目的,本发明采用以下技术方案:异常数据库运维流量监控方法,包括:
收集客户端IP及数据库连接应用,生成客户端IP白名单和数据库连接应用白名单;
收集各数据库服务器的登录信息、各数据库资产的权限信息、敏感数据特征,生成数据库准入白名单、访问控制白名单以及敏感数据特征库;
当所述数据库连接请求对应的流量类型是运维流量,获取由安装在数据库服务器的探针转发的数据库连接请求;
判断所述数据库连接请求是否可以准入对应数据库;
若所述数据库连接请求可以准入对应数据库,则发送认证通过至客户端,以由客户端发出数据库执行请求,由安装在数据库服务器的探针转发对客户端发出的数据库执行请求进行解析以生成的数据库执行请求的请求特征;
根据数据库执行请求的请求特征判断所述数据库执行请求是否可以访问控制对应数据库;
若所述数据库执行请求可以访问控制对应数据库,则将所述数据库执行请求转发至数据库执行,以由数据库返回执行结果;
判断所述执行结果是否存在敏感数据特征;
若所述执行结果存在敏感数据特征,则对所述执行结果的敏感数据特征脱敏,并返回脱敏后的数据至客户端。
其进一步技术方案为:各数据库服务器的登录信息包括数据库IP、数据库登录账号、数据库登录密码;各数据库资产的权限信息包括数据库IP、数据库资产以及资产所对应的操作类型权限。
其进一步技术方案为:所述数据库连接请求对应的流量类型是运维流量是由数据库服务器所安装的探针对所述数据库连接请求进行解析以生成的所述数据库连接请求的请求特征,并根据所述请求特征与所述客户端IP白名单和数据库连接应用白名单进行匹配,以确定流量类型。
其进一步技术方案为:所述数据库连接请求的请求特征包括数据库连接请求所对应的客户端IP、数据库连接请求所对应的数据库连接应用、数据库连接请求所对应的数据库IP、数据库连接请求所对应的数据库账户名、数据库连接请求所对应的数据库密码。
其进一步技术方案为:所述根据数据库执行请求的请求特征判断所述数据库执行请求是否可以访问控制对应数据库,包括:
利用所述数据库执行请求的请求特征与所述访问控制白名单进行匹配,以判断所述数据库执行请求是否可以访问控制对应数据库;
若利用所述数据库执行请求的请求特征与所述访问控制白名单匹配,则确定所述数据库执行请求可以访问控制对应数据库;
若利用所述数据库执行请求的请求特征与所述访问控制白名单不匹配,则确定所述数据库执行请求不可以访问控制对应数据库。
其进一步技术方案为:所述判断所述执行结果是否存在敏感数据特征,包括:
将所述执行结果与所述敏感数据特征库进行匹配,以判断所述执行结果是否存在敏感数据特征;
当所述执行结果与所述敏感数据特征库匹配,则确定所述执行结果存在敏感数据特征;
当所述执行结果与所述敏感数据特征库不匹配,则确定所述执行结果不存在敏感数据特征。
本发明还提供了异常数据库运维流量监控装置,包括:
第一收集单元,用于收集客户端IP及数据库连接应用,生成客户端IP白名单和数据库连接应用白名单;
第二收集单元,用于收集各数据库服务器的登录信息、各数据库资产的权限信息、敏感数据特征,生成数据库准入白名单、访问控制白名单以及敏感数据特征库;
第一获取单元,用于当所述数据库连接请求对应的流量类型是运维流量,获取由安装在数据库服务器的探针转发的数据库连接请求;
第一判断单元,用于判断所述数据库连接请求是否可以准入对应数据库;
发送单元,用于若所述数据库连接请求可以准入对应数据库,则发送认证通过至客户端,以由客户端发出数据库执行请求,由安装在数据库服务器的探针转发对客户端发出的数据库执行请求进行解析以生成的数据库执行请求的请求特征;
第二判断单元,用于根据数据库执行请求的请求特征判断所述数据库执行请求是否可以访问控制对应数据库;
转发单元,用于若所述数据库执行请求可以访问控制对应数据库,则将所述数据库执行请求转发至数据库执行,以由数据库返回执行结果;
第三判断单元,用于判断所述执行结果是否存在敏感数据特征;
脱敏单元,用于若所述执行结果存在敏感数据特征,则对所述执行结果的敏感数据特征脱敏,并返回脱敏后的数据至客户端。
其进一步技术方案为:所述第二判断单元包括:
第一匹配子单元,用于利用所述数据库执行请求的请求特征与所述访问控制白名单进行匹配,以判断所述数据库执行请求是否可以访问控制对应数据库;
第一确定子单元,用于若利用所述数据库执行请求的请求特征与所述访问控制白名单匹配,则确定所述数据库执行请求可以访问控制对应数据库;
第二确定子单元,用于若利用所述数据库执行请求的请求特征与所述访问控制白名单不匹配,则确定所述数据库执行请求不可以访问控制对应数据库。
本发明还提供了一种计算机设备,所述计算机设备包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现上述的方法。
本发明还提供了一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法。
本发明与现有技术相比的有益效果是:本发明通过采用安装在数据库服务器的探针对数据库连接请求进行流量类型确定,利用探针自动化判别运维流量,并利用数据库准入策略及访问控制策略,以敏感数据自动化脱敏策略为依托,精准判别异常数据库运维流量,实现保证运维流量得到全面的监控。
下面结合附图和具体实施例对本发明作进一步描述。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的异常数据库运维流量监控方法的应用场景示意图;
图2为本发明实施例提供的异常数据库运维流量监控方法的流程示意图;
图3为本发明实施例提供的异常数据库运维流量监控方法的子流程示意图;
图4为本发明实施例提供的异常数据库运维流量监控方法的子流程示意图;
图5为本发明实施例提供的异常数据库运维流量监控装置的示意性框图;
图6为本发明实施例提供的异常数据库运维流量监控装置的第二判断单元的示意性框图;
图7为本发明实施例提供的异常数据库运维流量监控装置的第三判断单元的示意性框图;
图8为本发明实施例提供的计算机设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和 “包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/ 或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
请参阅图1和图2,图1为本发明实施例提供的异常数据库运维流量监控方法的应用场景示意图。图2为本发明实施例提供的异常数据库运维流量监控方法的示意性流程图。该异常数据库运维流量监控方法应用于服务器中。该服务器与数据库服务器以及客户端进行数据交互,该服务器是指监控平台,实现安装在数据库服务器的探针自动化判别运维流量,并利用数据库准入策略及访问控制策略,以敏感数据自动化脱敏策略为依托,精准判别异常数据库运维流量。
图2是本发明实施例提供的异常数据库运维流量监控方法的流程示意图。如图2所示,该方法包括以下步骤S110至S220。
S110、收集客户端IP及数据库连接应用,生成客户端IP白名单和数据库连接应用白名单。
在本实施例中,客户端IP白名单是指客户端的IP。
数据库连接应用白名单是指允许数据库连接应用形成的应用名单。
具体地,收集客户端IP,生成客户端IP白名单WIP,收集数据库连接应用,生成数据库连接应用白名单Wtool。并将所述客户端IP白名单WIP和数据库连接应用白名单Wtool,由服务器即监控平台下发至数据库服务器,用于检测请求来源的流量类型。
S120、收集各数据库服务器的登录信息、各数据库资产的权限信息、敏感数据特征,生成数据库准入白名单、访问控制白名单以及敏感数据特征库。
在本实施例中,各数据库服务器的登录信息包括数据库IP、数据库登录账号、数据库登录密码;各数据库资产的权限信息包括数据库IP、数据库资产以及资产所对应的操作类型权限。
具体地,收集各数据库服务器的登录信息,包含数据库IP、数据库登录账号、数据库登录密码,生成数据库准入白名单Wzh。收集各数据库资产的权限信息,包含数据库IP、数据库资产以及资产所对应的操作类型权限,生成访问控制白名单Wk。收集敏感数据特征,生成敏感数据特征库Q。并将所述数据库准入白名单Wzh、访问控制白名单Wk、敏感数据特征库Q下发至监控平台即服务器用于数据库准入判断、访问控制判断、敏感数据特征判断。
S130、当所述数据库连接请求对应的流量类型是运维流量,获取由安装在数据库服务器的探针转发的数据库连接请求。
在本实施例中,所述数据库连接请求对应的流量类型是运维流量是由数据库服务器所安装的探针对所述数据库连接请求进行解析以生成的所述数据库连接请求的请求特征,并根据所述请求特征与所述客户端IP白名单和数据库连接应用白名单进行匹配,以确定流量类型。
所述数据库连接请求的请求特征包括数据库连接请求所对应的客户端IP、数据库连接请求所对应的数据库连接应用、数据库连接请求所对应的数据库IP、数据库连接请求所对应的数据库账户名、数据库连接请求所对应的数据库密码。
具体地,客户端T发起数据库连接请求R后,数据库连接请求R将进入数据库服务器中。
所述流量类型确定通过在数据库服务器中安装探针实现。探针需对接收到的数据库连接请求R进行解析,生成数据库连接请求R的请求特征R{RA,RB,RC,RD,RE},其中RA为数据库连接请求R所对应的客户端IP,RB为数据库连接请求R所对应的数据库连接应用,RC为数据库连接请求R所对应的数据库IP,RD为数据库连接请求R所对应的数据库账户名,RE为数据库连接请求R所对应的数据库密码。
具体地,存在算法F1{(RA,RB),(WIP,Wtool)},该算法针对数据库连接请求R对应的客户端IP RA及数据库连接应用RB与客户端IP白名单WIP及数据库连接应用白名单Wtool进行匹配,并进行流量类型判断。
当RA WIP时,无论RB∈Wtool或者RB/>Wtool,则F1{(RA,RB),(WIP,Wtool)}=0,认为数据库连接请求R属于业务流量,则在数据库中执行请求,并将执行结果返回至客户端T;
当RA∈WIP且RB Wtool时,则F1{(RA,RB),(WIP,Wtool)}=1,认为数据库连接请求R属于业务流量,则在数据库中执行请求,并将执行结果返回至客户端T;
当RA∈WIP且RB∈Wtool时,则F1{(RA,RB),(WIP,Wtool)}=2,认为数据库连接请求R属于运维流量,则通过探针将数据库连接请求R转发至监控平台,进行准入判断;
S140、判断所述数据库连接请求是否可以准入对应数据库。
在本实施例中,存在算法F2{(RC:RD:RE),Wzh},该算法针对数据库连接请求R对应的数据库IP RC、数据库账户名RD、数据库密码RE与数据库准入白名单Wzh进行准入判断。
当RC:RD:RE Wzh时,F2{(RC:RD:RE),Wzh}=0,认为数据库连接请求认证R不通过,拒绝该数据库连接请求,同时在监控平台告警该数据库连接请求;
当RC:RD:RE∈Wzh时,F2{(RC:RD:RE),Wzh}=1,认为数据库连接请求R认证通过,即客户端T可成功连接数据库,并可向数据库发出执行请求RM
S150、若所述数据库连接请求可以准入对应数据库,则发送认证通过至客户端,以由客户端发出数据库执行请求,由安装在数据库服务器的探针转发对客户端发出的数据库执行请求进行解析以生成的数据库执行请求的请求特征。
在本实施例中,数据库服务器中的探针对客户端T发出的数据库执行请求RM进行解析,生成数据库执行数据库发出执行请求RM的请求特征RM{RMC:RMF:RMG},其中RMC为数据库发出执行请求RM所对应的数据库IP,RMF为数据库发出执行请求RM所对应的数据库中的资产,RMG为数据库发出执行请求RM所对应的针对数据库资产RMF所执行的操作类型。
S160、根据数据库执行请求的请求特征判断所述数据库执行请求是否可以访问控制对应数据库。
在一实施例中,请参阅图3,上述的步骤S160可包括步骤S161~S163。
S161、利用所述数据库执行请求的请求特征与所述访问控制白名单进行匹配,以判断所述数据库执行请求是否可以访问控制对应数据库;
S162、若利用所述数据库执行请求的请求特征与所述访问控制白名单匹配,则确定所述数据库执行请求可以访问控制对应数据库;
S163、若利用所述数据库执行请求的请求特征与所述访问控制白名单不匹配,则确定所述数据库执行请求不可以访问控制对应数据库。
具体地,存在算法F3{(RMC:RMF:RMG),Wk},该算法针对数据库执行请求RM的请求特征与访问控制白名单Wk进行匹配。
当RMC:RMF:RMG Wk时,F3{(RMC:RMF:RMG),Wk}=0,认为数据库执行请求RM针对数据库RMC中的资产RMF的操作权限不足,拦截该数据库执行请求RM,同时在监控平台告警该数据库执行请求RM
当RMC:RMF:RMG∈Wk时,F3{(RMC:RMF:RMG),Wk}=1,认为数据库执行请求RM满足针对数据库RMC中的资产RMF的操作权限,则监控平台将该数据库执行请求RM转发至数据库执行。
S170、若所述数据库执行请求可以访问控制对应数据库,则将所述数据库执行请求转发至数据库执行,以由数据库返回执行结果。
在本实施例中,数据库执行请求RM后将执行结果RS返回至监控平台。
S180、判断所述执行结果是否存在敏感数据特征。
在一实施例中,请参阅图4,上述的步骤S180可包括步骤S181~S183。
S181、将所述执行结果与所述敏感数据特征库进行匹配,以判断所述执行结果是否存在敏感数据特征;
S182、当所述执行结果与所述敏感数据特征库匹配,则确定所述执行结果存在敏感数据特征;
S183、当所述执行结果与所述敏感数据特征库不匹配,则确定所述执行结果不存在敏感数据特征。
在本实施例中,存在算法F4{RS,Q},该算法针对数据库执行结果RS与敏感数据特征库Q进行匹配,并判定是否存在敏感数据。
当RS Q时,F4{RS,Q}=0,认为数据库执行结果RS与敏感数据特征库Q不相匹配,即执行结果RS中不存在敏感数据,则将执行结果RS返回至客户端T;
当RS∈Q时,F4{RS,Q}=1,认为数据库执行结果RS与敏感数据特征库Q相匹配,即执行结果RS中存在敏感数据,则针对执行结果RS中的敏感数据进行脱敏,并将脱敏后的执行结果返回至客户端T。
S190、若所述执行结果存在敏感数据特征,则对所述执行结果的敏感数据特征脱敏,并返回脱敏后的数据至客户端。
在本实施例中,对所述执行结果的敏感数据特征脱敏,并返回脱敏后的数据至客户端,可以是采用现有技术的数据脱敏技术进行脱敏。
S200、若所述数据库连接请求不可以准入对应数据库,则拒绝所述数据库连接请求,并告警所述数据库连接请求。
S210、若所述数据库执行请求不可以访问控制对应数据库,则拦截所述数据库执行请求,并告警所述数据库执行请求;
S220、若所述执行结果不存在敏感数据特征,则返回所述执行结果至客户端。
上述的异常数据库运维流量监控方法,通过采用安装在数据库服务器的探针对数据库连接请求进行流量类型确定,利用探针自动化判别运维流量,并利用数据库准入策略及访问控制策略,以敏感数据自动化脱敏策略为依托,精准判别异常数据库运维流量,实现保证运维流量得到全面的监控。
图5是本发明实施例提供的一种异常数据库运维流量监控装置300的示意性框图。如图5所示,对应于以上异常数据库运维流量监控方法,本发明还提供一种异常数据库运维流量监控装置300。该异常数据库运维流量监控装置300包括用于执行上述异常数据库运维流量监控方法的单元,该装置可以被配置于服务器中。具体地,请参阅图5,该异常数据库运维流量监控装置300包括第一收集单元301、第二收集单元302、第一获取单元303、第一判断单元304、发送单元305、第二判断单元306、转发单元307、第三判断单元308、脱敏单元309、拒绝单元310、拦截单元311以及结果返回单元312。
第一收集单元301,用于收集客户端IP及数据库连接应用,生成客户端IP白名单和数据库连接应用白名单;第二收集单元302,用于收集各数据库服务器的登录信息、各数据库资产的权限信息、敏感数据特征,生成数据库准入白名单、访问控制白名单以及敏感数据特征库;第一获取单元303,用于当所述数据库连接请求对应的流量类型是运维流量,获取由安装在数据库服务器的探针转发的数据库连接请求;第一判断单元304,用于判断所述数据库连接请求是否可以准入对应数据库;发送单元305,用于若所述数据库连接请求可以准入对应数据库,则发送认证通过至客户端,以由客户端发出数据库执行请求,由安装在数据库服务器的探针转发对客户端发出的数据库执行请求进行解析以生成的数据库执行请求的请求特征;第二判断单元306,用于根据数据库执行请求的请求特征判断所述数据库执行请求是否可以访问控制对应数据库;转发单元307,用于若所述数据库执行请求可以访问控制对应数据库,则将所述数据库执行请求转发至数据库执行,以由数据库返回执行结果;第三判断单元308,用于判断所述执行结果是否存在敏感数据特征;脱敏单元309,用于若所述执行结果存在敏感数据特征,则对所述执行结果的敏感数据特征脱敏,并返回脱敏后的数据至客户端;拒绝单元310,用于若所述数据库连接请求不可以准入对应数据库,则拒绝所述数据库连接请求,并告警所述数据库连接请求。拦截单元311,用于若所述数据库执行请求不可以访问控制对应数据库,则拦截所述数据库执行请求,并告警所述数据库执行请求;结果返回单元312,用于若所述执行结果不存在敏感数据特征,则返回所述执行结果至客户端。
在一实施例中,如图6所示,所述第二判断单元306包括第一匹配子单元3061、第一确定子单元3062以及第二确定子单元3063。
第一匹配子单元3061,用于利用所述数据库执行请求的请求特征与所述访问控制白名单进行匹配,以判断所述数据库执行请求是否可以访问控制对应数据库;第一确定子单元3062,用于若利用所述数据库执行请求的请求特征与所述访问控制白名单匹配,则确定所述数据库执行请求可以访问控制对应数据库; 第二确定子单元3063,用于若利用所述数据库执行请求的请求特征与所述访问控制白名单不匹配,则确定所述数据库执行请求不可以访问控制对应数据库。
在一实施例中,如图7所示,所述第三判断单元308包括特征匹配子单元3081、第三确定子单元3082以及第四确定子单元3083。
特征匹配子单元3081,用于将所述执行结果与所述敏感数据特征库进行匹配,以判断所述执行结果是否存在敏感数据特征;第三确定子单元3082,用于当所述执行结果与所述敏感数据特征库匹配,则确定所述执行结果存在敏感数据特征;第四确定子单元3083,用于当所述执行结果与所述敏感数据特征库不匹配,则确定所述执行结果不存在敏感数据特征。
需要说明的是,所属领域的技术人员可以清楚地了解到,上述异常数据库运维流量监控装置300和各单元的具体实现过程,可以参考前述方法实施例中的相应描述,为了描述的方便和简洁,在此不再赘述。
上述异常数据库运维流量监控装置300可以实现为一种计算机程序的形式,该计算机程序可以在如图8所示的计算机设备上运行。
请参阅图8,图8是本申请实施例提供的一种计算机设备的示意性框图。该计算机设备500可以是服务器,其中,服务器可以是独立的服务器,也可以是多个服务器组成的服务器集群。
参阅图8,该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505,其中,存储器可以包括非易失性存储介质503和内存储器504。
该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032包括程序指令,该程序指令被执行时,可使得处理器502执行一种异常数据库运维流量监控方法。
该处理器502用于提供计算和控制能力,以支撑整个计算机设备500的运行。
该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境,该计算机程序5032被处理器502执行时,可使得处理器502执行一种异常数据库运维流量监控方法。
该网络接口505用于与其它设备进行网络通信。本领域技术人员可以理解,图8中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备500的限定,具体的计算机设备500可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器502用于运行存储在存储器中的计算机程序5032,以实现如下步骤:
收集客户端IP及数据库连接应用,生成客户端IP白名单和数据库连接应用白名单;收集各数据库服务器的登录信息、各数据库资产的权限信息、敏感数据特征,生成数据库准入白名单、访问控制白名单以及敏感数据特征库;当所述数据库连接请求对应的流量类型是运维流量,获取由安装在数据库服务器的探针转发的数据库连接请求;判断所述数据库连接请求是否可以准入对应数据库;若所述数据库连接请求可以准入对应数据库,则发送认证通过至客户端,以由客户端发出数据库执行请求,由安装在数据库服务器的探针转发对客户端发出的数据库执行请求进行解析以生成的数据库执行请求的请求特征;根据数据库执行请求的请求特征判断所述数据库执行请求是否可以访问控制对应数据库;若所述数据库执行请求可以访问控制对应数据库,则将所述数据库执行请求转发至数据库执行,以由数据库返回执行结果;判断所述执行结果是否存在敏感数据特征;若所述执行结果存在敏感数据特征,则对所述执行结果的敏感数据特征脱敏,并返回脱敏后的数据至客户端。
其中,各数据库服务器的登录信息包括数据库IP、数据库登录账号、数据库登录密码;各数据库资产的权限信息包括数据库IP、数据库资产以及资产所对应的操作类型权限。
所述数据库连接请求对应的流量类型是运维流量是由数据库服务器所安装的探针对所述数据库连接请求进行解析以生成的所述数据库连接请求的请求特征,并根据所述请求特征与所述客户端IP白名单和数据库连接应用白名单进行匹配,以确定流量类型。
所述数据库连接请求的请求特征包括数据库连接请求所对应的客户端IP、数据库连接请求所对应的数据库连接应用、数据库连接请求所对应的数据库IP、数据库连接请求所对应的数据库账户名、数据库连接请求所对应的数据库密码。
在一实施例中,处理器502在实现所述根据数据库执行请求的请求特征判断所述数据库执行请求是否可以访问控制对应数据库步骤时,具体实现如下步骤:
利用所述数据库执行请求的请求特征与所述访问控制白名单进行匹配,以判断所述数据库执行请求是否可以访问控制对应数据库;若利用所述数据库执行请求的请求特征与所述访问控制白名单匹配,则确定所述数据库执行请求可以访问控制对应数据库; 若利用所述数据库执行请求的请求特征与所述访问控制白名单不匹配,则确定所述数据库执行请求不可以访问控制对应数据库。
在一实施例中,处理器502在实现所述判断所述执行结果是否存在敏感数据特征步骤时,具体实现如下步骤:
将所述执行结果与所述敏感数据特征库进行匹配,以判断所述执行结果是否存在敏感数据特征;当所述执行结果与所述敏感数据特征库匹配,则确定所述执行结果存在敏感数据特征;当所述执行结果与所述敏感数据特征库不匹配,则确定所述执行结果不存在敏感数据特征。
应当理解,在本申请实施例中,处理器502可以是中央处理单元 (CentralProcessing Unit,CPU),该处理器502还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路 (Application Specific IntegratedCircuit,ASIC)、现成可编程门阵列 (Field-Programmable Gate Array,FPGA) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令,计算机程序可存储于一存储介质中,该存储介质为计算机可读存储介质。该程序指令被该计算机系统中的至少一个处理器执行,以实现上述方法的实施例的流程步骤。
因此,本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序,其中该计算机程序被处理器执行时使处理器执行如下步骤:
收集客户端IP及数据库连接应用,生成客户端IP白名单和数据库连接应用白名单;收集各数据库服务器的登录信息、各数据库资产的权限信息、敏感数据特征,生成数据库准入白名单、访问控制白名单以及敏感数据特征库;当所述数据库连接请求对应的流量类型是运维流量,获取由安装在数据库服务器的探针转发的数据库连接请求;判断所述数据库连接请求是否可以准入对应数据库;若所述数据库连接请求可以准入对应数据库,则发送认证通过至客户端,以由客户端发出数据库执行请求,由安装在数据库服务器的探针转发对客户端发出的数据库执行请求进行解析以生成的数据库执行请求的请求特征;根据数据库执行请求的请求特征判断所述数据库执行请求是否可以访问控制对应数据库;若所述数据库执行请求可以访问控制对应数据库,则将所述数据库执行请求转发至数据库执行,以由数据库返回执行结果;判断所述执行结果是否存在敏感数据特征;若所述执行结果存在敏感数据特征,则对所述执行结果的敏感数据特征脱敏,并返回脱敏后的数据至客户端。
其中,各数据库服务器的登录信息包括数据库IP、数据库登录账号、数据库登录密码;各数据库资产的权限信息包括数据库IP、数据库资产以及资产所对应的操作类型权限。
所述数据库连接请求对应的流量类型是运维流量是由数据库服务器所安装的探针对所述数据库连接请求进行解析以生成的所述数据库连接请求的请求特征,并根据所述请求特征与所述客户端IP白名单和数据库连接应用白名单进行匹配,以确定流量类型。
所述数据库连接请求的请求特征包括数据库连接请求所对应的客户端IP、数据库连接请求所对应的数据库连接应用、数据库连接请求所对应的数据库IP、数据库连接请求所对应的数据库账户名、数据库连接请求所对应的数据库密码。
在一实施例中,所述处理器在执行所述计算机程序而实现所述根据数据库执行请求的请求特征判断所述数据库执行请求是否可以访问控制对应数据库步骤时,具体实现如下步骤:
利用所述数据库执行请求的请求特征与所述访问控制白名单进行匹配,以判断所述数据库执行请求是否可以访问控制对应数据库;若利用所述数据库执行请求的请求特征与所述访问控制白名单匹配,则确定所述数据库执行请求可以访问控制对应数据库; 若利用所述数据库执行请求的请求特征与所述访问控制白名单不匹配,则确定所述数据库执行请求不可以访问控制对应数据库。
在一实施例中,所述处理器在执行所述计算机程序而实现所述判断所述执行结果是否存在敏感数据特征步骤时,具体实现如下步骤:
将所述执行结果与所述敏感数据特征库进行匹配,以判断所述执行结果是否存在敏感数据特征;当所述执行结果与所述敏感数据特征库匹配,则确定所述执行结果存在敏感数据特征;当所述执行结果与所述敏感数据特征库不匹配,则确定所述执行结果不存在敏感数据特征。
所述存储介质可以是U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的。例如,各个单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,终端,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.异常数据库运维流量监控方法,其特征在于,包括:
收集客户端IP及数据库连接应用,生成客户端IP白名单和数据库连接应用白名单;
收集各数据库服务器的登录信息、各数据库资产的权限信息、敏感数据特征,生成数据库准入白名单、访问控制白名单以及敏感数据特征库;
当所述数据库连接请求对应的流量类型是运维流量,获取由安装在数据库服务器的探针转发的数据库连接请求;
判断所述数据库连接请求是否可以准入对应数据库;
若所述数据库连接请求可以准入对应数据库,则发送认证通过至客户端,以由客户端发出数据库执行请求,由安装在数据库服务器的探针转发对客户端发出的数据库执行请求进行解析以生成的数据库执行请求的请求特征;
根据数据库执行请求的请求特征判断所述数据库执行请求是否可以访问控制对应数据库;
若所述数据库执行请求可以访问控制对应数据库,则将所述数据库执行请求转发至数据库执行,以由数据库返回执行结果;
判断所述执行结果是否存在敏感数据特征;
若所述执行结果存在敏感数据特征,则对所述执行结果的敏感数据特征脱敏,并返回脱敏后的数据至客户端。
2.根据权利要求1所述的异常数据库运维流量监控方法,其特征在于,各数据库服务器的登录信息包括数据库IP、数据库登录账号、数据库登录密码;各数据库资产的权限信息包括数据库IP、数据库资产以及资产所对应的操作类型权限。
3.根据权利要求1所述的异常数据库运维流量监控方法,其特征在于,所述数据库连接请求对应的流量类型是运维流量是由数据库服务器所安装的探针对所述数据库连接请求进行解析以生成的所述数据库连接请求的请求特征,并根据所述请求特征与所述客户端IP白名单和数据库连接应用白名单进行匹配,以确定流量类型。
4.根据权利要求3所述的异常数据库运维流量监控方法,其特征在于,所述数据库连接请求的请求特征包括数据库连接请求所对应的客户端IP、数据库连接请求所对应的数据库连接应用、数据库连接请求所对应的数据库IP、数据库连接请求所对应的数据库账户名、数据库连接请求所对应的数据库密码。
5.根据权利要求1所述的异常数据库运维流量监控方法,其特征在于,所述根据数据库执行请求的请求特征判断所述数据库执行请求是否可以访问控制对应数据库,包括:
利用所述数据库执行请求的请求特征与所述访问控制白名单进行匹配,以判断所述数据库执行请求是否可以访问控制对应数据库;
若利用所述数据库执行请求的请求特征与所述访问控制白名单匹配,则确定所述数据库执行请求可以访问控制对应数据库;
若利用所述数据库执行请求的请求特征与所述访问控制白名单不匹配,则确定所述数据库执行请求不可以访问控制对应数据库。
6.根据权利要求1所述的异常数据库运维流量监控方法,其特征在于,所述判断所述执行结果是否存在敏感数据特征,包括:
将所述执行结果与所述敏感数据特征库进行匹配,以判断所述执行结果是否存在敏感数据特征;
当所述执行结果与所述敏感数据特征库匹配,则确定所述执行结果存在敏感数据特征;
当所述执行结果与所述敏感数据特征库不匹配,则确定所述执行结果不存在敏感数据特征。
7.异常数据库运维流量监控装置,其特征在于,包括:
第一收集单元,用于收集客户端IP及数据库连接应用,生成客户端IP白名单和数据库连接应用白名单;
第二收集单元,用于收集各数据库服务器的登录信息、各数据库资产的权限信息、敏感数据特征,生成数据库准入白名单、访问控制白名单以及敏感数据特征库;
第一获取单元,用于当所述数据库连接请求对应的流量类型是运维流量,获取由安装在数据库服务器的探针转发的数据库连接请求;
第一判断单元,用于判断所述数据库连接请求是否可以准入对应数据库;
发送单元,用于若所述数据库连接请求可以准入对应数据库,则发送认证通过至客户端,以由客户端发出数据库执行请求,由安装在数据库服务器的探针转发对客户端发出的数据库执行请求进行解析以生成的数据库执行请求的请求特征;
第二判断单元,用于根据数据库执行请求的请求特征判断所述数据库执行请求是否可以访问控制对应数据库;
转发单元,用于若所述数据库执行请求可以访问控制对应数据库,则将所述数据库执行请求转发至数据库执行,以由数据库返回执行结果;
第三判断单元,用于判断所述执行结果是否存在敏感数据特征;
脱敏单元,用于若所述执行结果存在敏感数据特征,则对所述执行结果的敏感数据特征脱敏,并返回脱敏后的数据至客户端。
8.根据权利要求7所述的异常数据库运维流量监控装置,其特征在于,所述第二判断单元包括:
第一匹配子单元,用于利用所述数据库执行请求的请求特征与所述访问控制白名单进行匹配,以判断所述数据库执行请求是否可以访问控制对应数据库;
第一确定子单元,用于若利用所述数据库执行请求的请求特征与所述访问控制白名单匹配,则确定所述数据库执行请求可以访问控制对应数据库;
第二确定子单元,用于若利用所述数据库执行请求的请求特征与所述访问控制白名单不匹配,则确定所述数据库执行请求不可以访问控制对应数据库。
9.一种计算机设备,其特征在于,所述计算机设备包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的方法。
10.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的方法。
CN202310718390.5A 2023-06-16 2023-06-16 异常数据库运维流量监控方法、装置及计算机设备 Active CN116455679B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310718390.5A CN116455679B (zh) 2023-06-16 2023-06-16 异常数据库运维流量监控方法、装置及计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310718390.5A CN116455679B (zh) 2023-06-16 2023-06-16 异常数据库运维流量监控方法、装置及计算机设备

Publications (2)

Publication Number Publication Date
CN116455679A true CN116455679A (zh) 2023-07-18
CN116455679B CN116455679B (zh) 2023-09-08

Family

ID=87136005

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310718390.5A Active CN116455679B (zh) 2023-06-16 2023-06-16 异常数据库运维流量监控方法、装置及计算机设备

Country Status (1)

Country Link
CN (1) CN116455679B (zh)

Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020011118A1 (en) * 1998-03-13 2002-01-31 Douglas J. Zimmerman Method of determining the type of fluid flow probe inserted into a flow meter
KR20050073349A (ko) * 2004-01-09 2005-07-13 주식회사 바넷정보기술 3-Tier 구조 기반의 데이터베이스 접근 통제 시스템및 방법
CN107169361A (zh) * 2017-06-15 2017-09-15 深信服科技股份有限公司 一种数据泄露的检测方法及系统
CN109165516A (zh) * 2018-08-14 2019-01-08 中国银联股份有限公司 一种访问控制方法和装置
CN112069536A (zh) * 2020-08-31 2020-12-11 上海上讯信息技术股份有限公司 一种用于实现数据库数据脱敏访问的方法与设备
WO2020259421A1 (zh) * 2019-06-28 2020-12-30 深圳前海微众银行股份有限公司 一种业务系统的监控方法及装置
CN112291280A (zh) * 2020-12-31 2021-01-29 博智安全科技股份有限公司 一种网络流量监控审计方法及系统
CN112416902A (zh) * 2020-11-20 2021-02-26 上海新炬网络信息技术股份有限公司 一种主机与数据库一键巡检方法
CN114338687A (zh) * 2021-12-23 2022-04-12 中国农业银行股份有限公司 中间件管理方法和服务器
CN114389882A (zh) * 2022-01-14 2022-04-22 平安付科技服务有限公司 网关流量控制方法、装置、计算机设备及存储介质
WO2022100146A1 (zh) * 2020-11-10 2022-05-19 北京市天元网络技术股份有限公司 互联网性能监控方法及系统
WO2022105255A1 (zh) * 2020-11-17 2022-05-27 长鑫存储技术有限公司 探针异常识别方法及装置、存储介质和电子设备
CN114979186A (zh) * 2022-05-16 2022-08-30 浪潮云信息技术股份公司 基于Flink组件的流量链接分析方法及系统
CN115277418A (zh) * 2022-07-31 2022-11-01 深圳市风云实业有限公司 一种bgp网络运维系统
CN116055165A (zh) * 2023-01-10 2023-05-02 国家电网有限公司信息通信分公司 一种恶意流量数据检测方法及系统
CN116192461A (zh) * 2022-12-30 2023-05-30 中国建设银行股份有限公司北京市分行 流量处理方法、装置、设备及存储介质

Patent Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020011118A1 (en) * 1998-03-13 2002-01-31 Douglas J. Zimmerman Method of determining the type of fluid flow probe inserted into a flow meter
KR20050073349A (ko) * 2004-01-09 2005-07-13 주식회사 바넷정보기술 3-Tier 구조 기반의 데이터베이스 접근 통제 시스템및 방법
CN107169361A (zh) * 2017-06-15 2017-09-15 深信服科技股份有限公司 一种数据泄露的检测方法及系统
CN109165516A (zh) * 2018-08-14 2019-01-08 中国银联股份有限公司 一种访问控制方法和装置
WO2020259421A1 (zh) * 2019-06-28 2020-12-30 深圳前海微众银行股份有限公司 一种业务系统的监控方法及装置
CN112069536A (zh) * 2020-08-31 2020-12-11 上海上讯信息技术股份有限公司 一种用于实现数据库数据脱敏访问的方法与设备
WO2022100146A1 (zh) * 2020-11-10 2022-05-19 北京市天元网络技术股份有限公司 互联网性能监控方法及系统
WO2022105255A1 (zh) * 2020-11-17 2022-05-27 长鑫存储技术有限公司 探针异常识别方法及装置、存储介质和电子设备
CN112416902A (zh) * 2020-11-20 2021-02-26 上海新炬网络信息技术股份有限公司 一种主机与数据库一键巡检方法
CN112291280A (zh) * 2020-12-31 2021-01-29 博智安全科技股份有限公司 一种网络流量监控审计方法及系统
CN114338687A (zh) * 2021-12-23 2022-04-12 中国农业银行股份有限公司 中间件管理方法和服务器
CN114389882A (zh) * 2022-01-14 2022-04-22 平安付科技服务有限公司 网关流量控制方法、装置、计算机设备及存储介质
CN114979186A (zh) * 2022-05-16 2022-08-30 浪潮云信息技术股份公司 基于Flink组件的流量链接分析方法及系统
CN115277418A (zh) * 2022-07-31 2022-11-01 深圳市风云实业有限公司 一种bgp网络运维系统
CN116192461A (zh) * 2022-12-30 2023-05-30 中国建设银行股份有限公司北京市分行 流量处理方法、装置、设备及存储介质
CN116055165A (zh) * 2023-01-10 2023-05-02 国家电网有限公司信息通信分公司 一种恶意流量数据检测方法及系统

Also Published As

Publication number Publication date
CN116455679B (zh) 2023-09-08

Similar Documents

Publication Publication Date Title
CN112769796B (zh) 一种基于端侧边缘计算的云网端协同防御方法及系统
US11271955B2 (en) Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US9900344B2 (en) Identifying a potential DDOS attack using statistical analysis
EP3871392B1 (en) Network security system with enhanced traffic analysis based on feedback loop
CN107465648B (zh) 异常设备的识别方法及装置
US10944784B2 (en) Identifying a potential DDOS attack using statistical analysis
US11240275B1 (en) Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US20150106867A1 (en) Security information and event management
CN110417747B (zh) 一种暴力破解行为的检测方法及装置
US7500266B1 (en) Systems and methods for detecting network intrusions
EA031992B1 (ru) Система анализа записей
KR101934326B1 (ko) 다중 fds 시스템 기반 실시간 블랙리스트 공유 방법 및 이를 사용한 트래커 서버
CN112468364B (zh) Cip资产的探测方法、装置、计算机设备及可读存储介质
CN113711559B (zh) 检测异常的系统和方法
CN112953917B (zh) 一种网络攻击源识别方法、装置、计算机设备及存储介质
JP4823813B2 (ja) 異常検知装置、異常検知プログラム、および記録媒体
US20220035806A1 (en) Method and system for anomaly detection based on statistical closed-form isolation forest analysis
KR20130094522A (ko) 보안 진단을 위한 휴대 단말기 및 보안 진단 방법
CN108234426B (zh) Apt攻击告警方法和apt攻击告警装置
CN111679968A (zh) 接口调用异常的检测方法、装置、计算机设备及存储介质
CN111064719B (zh) 文件异常下载行为的检测方法及装置
CN114138590A (zh) Kubernetes集群的运维处理方法、装置及电子设备
CN116455679B (zh) 异常数据库运维流量监控方法、装置及计算机设备
CN111752819B (zh) 一种异常监控方法、装置、系统、设备和存储介质
CN114969744A (zh) 进程拦截方法及系统、电子设备、存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant