CN1950778A - 数据库用户行为监控系统及方法 - Google Patents
数据库用户行为监控系统及方法 Download PDFInfo
- Publication number
- CN1950778A CN1950778A CNA2005800146905A CN200580014690A CN1950778A CN 1950778 A CN1950778 A CN 1950778A CN A2005800146905 A CNA2005800146905 A CN A2005800146905A CN 200580014690 A CN200580014690 A CN 200580014690A CN 1950778 A CN1950778 A CN 1950778A
- Authority
- CN
- China
- Prior art keywords
- database
- user
- data set
- new data
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B29—WORKING OF PLASTICS; WORKING OF SUBSTANCES IN A PLASTIC STATE IN GENERAL
- B29C—SHAPING OR JOINING OF PLASTICS; SHAPING OF MATERIAL IN A PLASTIC STATE, NOT OTHERWISE PROVIDED FOR; AFTER-TREATMENT OF THE SHAPED PRODUCTS, e.g. REPAIRING
- B29C48/00—Extrusion moulding, i.e. expressing the moulding material through a die or nozzle which imparts the desired form; Apparatus therefor
- B29C48/03—Extrusion moulding, i.e. expressing the moulding material through a die or nozzle which imparts the desired form; Apparatus therefor characterised by the shape of the extruded material at extrusion
- B29C48/12—Articles with an irregular circumference when viewed in cross-section, e.g. window profiles
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B29—WORKING OF PLASTICS; WORKING OF SUBSTANCES IN A PLASTIC STATE IN GENERAL
- B29C—SHAPING OR JOINING OF PLASTICS; SHAPING OF MATERIAL IN A PLASTIC STATE, NOT OTHERWISE PROVIDED FOR; AFTER-TREATMENT OF THE SHAPED PRODUCTS, e.g. REPAIRING
- B29C48/00—Extrusion moulding, i.e. expressing the moulding material through a die or nozzle which imparts the desired form; Apparatus therefor
- B29C48/25—Component parts, details or accessories; Auxiliary operations
- B29C48/88—Thermal treatment of the stream of extruded material, e.g. cooling
- B29C48/91—Heating, e.g. for cross linking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/40—Data acquisition and logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2135—Metering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2137—Time limited access, e.g. to a computer or data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- General Health & Medical Sciences (AREA)
- Mechanical Engineering (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Thermal Sciences (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Alarm Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明的实施例提供了用于监控数据库系统异常活动的技术。可以自动地收集和分析与被监控的主体数据库有关的用户行为信息,并将其与一个或多个策略比较,以检测异常活动。实施例从各个来源收集关于主体数据库的用户行为数据,其中来源包括与数据库的数据库管理系统相合作的稽核记录和动态视图。实施例采用基于统计的侵入窃密检测(SBID)和基于规则的侵入窃密检测(RBID)中的一个或多个,以检测异常的数据库活动。如果检测出从标准使用模式得到的可疑数据库的访问,则执行目标操作,例如,向负责安全的人员报警,或生成报告、电子邮件警报等。
Description
技术领域
本发明涉及管理数据库系统。具体地,本发明涉及用于监控数据库系统的方法和装置。
背景技术
在联网的系统中保护数据是非常重要的。能够威胁有价值数据安全的情况类型很多,并随着网络系统的发展而增加。当发生安全性破坏时,能够检测到它们是很重要的。否则,往后数据易受到相似类型事件的攻击是常有的事。
为了保护有价值数据,网络管理器所面临的问题类型包括:例如,黑客攻击、未授权使用、内部欺诈或错用、和智力信息窃取。
对于网络系统所遇到的一些普通问题,已经开发了不同的方法。例如,防火墙和虚拟专用网络保护联网系统免于外部站点未经授权的访问。通过使用密码或指定特权,访问控制提供一定等级的保护。然而,因为密码可能被窃取,所以防火墙和虚拟专用网络不能防止内贼窃取数据;特权难以被管理,用户可以经常访问他们工作范围之外的数据,并且安全性可以很容易地被破坏。
本部分中所描述的方法是可执行的方法,但不必是已被先前构思或执行的方法。因此,除非另有说明,在本部分中描述的任何方法不能仅因为包含在此部分中,就认为是现有技术。
发明内容
本发明的实施例提供了一种用于监控异常活动的数据库系统的技术。可自动收集并分析关于正在被监控的主题数据库的用户行为信息,并将其与统计得到的标准和/或一个或多个策略进行比较,以检测异常活动。实施例从各种源(包括与数据库的数据库管理系统协作的稽核记录和动态视图)收集关于主题数据库的用户行为信息。实施例使用一个或多个基于统计的侵入窃密检测(SBID)和基于规则的侵入窃密检测(RBID),以检测异常的数据库活动。在基于统计的侵入窃密检测中,使用统计轮廓(statistical profiling)分析所收集到的信息,以确定标准使用轮廓。在基于规则的侵入窃密检测中,将所收集到的数据与明确安全规则(explicit security rule)比较。如果检测出与标准使用模式偏离的可疑数据库的访问,则执行目标操作,例如,向负责安全的人员报警、生成报告、电子邮件警报等。
在一个实施例中,提供一种机制,以从关于数据库活动的历史信息中确定标准使用模式。以统计有效方式与标准使用模式偏离的数据库访问将被检测并报警。使用模式的实例包括一天中每小时的数据库访问频率。
在一个实施例中,提供一种机制,以使用户能够指定明确安全规则。违反规则的数据库访问将被检测并报警。安全规则的一些实例包括可疑OS用户或位置。
在一个实施例中,使用由控制主题数据库的数据库管理系统提供的设备收集数据库访问信息。例如,数据库管理系统可提供包括关于数据库访问的信息的稽核记录。数据库管理系统还提供动态性能视图,其提供有关当前数据库使用的信息,诸如当前用户会话和资源利用。该信息可与从稽核记录获得的信息结合使用。
实施例能够以一级或多级监控,包括数据库对象等级监控、数据库用户等级监控、和数据库会话等级监控。数据库对象等级监控旨在特定数据库对象。数据库用户等级监控旨在数据库用户。数据库会话等级监控旨在数据库注册会话。实施例可基于各种侵入窃密检测方法来支持每个监控等级的各种安全策略。
附图说明
通过附图中的实例来描述本发明,但是本发明不局限于此,在附图中相同的参考标号表示相似的元件,其中:
图1是示出了网络计算系统的高度概括的框图,其中,在一个实施例中可实施用于监控数据库的技术;
图2是示出了在一个实施例中在实例数据库稽核引擎中的处理的高度概括的框图;
图3A至图3E是示出了在一个实施例中的数据收集、分析、和异常检测处理的高度概括的流程框图;
图4是示出了在一个实施例中的对数据库访问的概率分布的实例的视图;
图5是示出了在一个实施例中的数据库监控系统的高度概括的框图;
图6A至图6M是示出了在一个实施例中配置监控操作的实例的屏幕抓图(shot);以及
图7是示出了可用于实现实施例的一个或多个部分的示例性计算机系统的硬件框图。
具体实施方式
概述
描述用于监控数据库的方法和装置。在下面的描述中,为了解释的目的,阐述了多个特定细节,以提供对本发明的彻底了解。然而,很显然,在没有这些特定细节的情况下也可以实现本发明。在其它实例中,为了避免不必要地混淆本发明,以框图形式示出已知的结构和设备。
参照图3A,示出了根据本发明的一个实施例的用于监控数据库的方法。在图3A中示出的方法包括收集表示一个或多个用户怎样使用数据库的用户行为数据(块310)。所示的方法还包括处理数据并将其存储为历史数据(块320)。分析历史数据以确定行为模式(块330)也是所示方法的一部分。所示方法还包括接收一组表示一个或多个用户怎样使用数据库的新数据(块340)。所示方法还包括执行新数据组和行为模式之间的比较(块350)。基于比较确定新数据组是否满足一组标准(块360)也是所示方法的一部分。所示方法还包括如果新数据组满足该组标准,则确定新数据组表示异常活动(块370)。通过执行目标操作来响应该确定(块380)也可以包括在所示方法中。
在一个实施例中,收集用户行为数据还包括从数据库管理器的稽核记录中读取信息。在一个实施例中,收集用户行为数据还包括以监控等级收集从(1)关于一个或多个选取的数据库对象的数据库访问的信息,(2)关于一个或多个选取的数据库用户的数据库访问的信息以及(3)关于一个或多个选取的数据库用户会话的数据库访问的信息中选取的信息。在一个实施例中,收集用户行为数据还包括接收将被监控的信息类型,从信息类型中确定监控等级,以及基于确定的监控等级激活数据库管理器的稽核选项。
在一个实施例中,分析历史数据以确定行为模式还包括从历史数据中确定统计模型。在一个实施例中,从历史数据确定统计模型还包括:由历史数据确定数据库访问频率,确定数据库访问频率的概率函数以及由概率函数确定累计概率函数。在一个实施例中,概率函数可以是泊松概率分布或正态概率分布等。
在一个实施例中,执行新数据组与行为模式的比较还包括使用新数据组对照统计模型来验证假设。在一个实施例中,使用新数据组对照统计模型来验证假设还包括:确定新数据组的数据库访问频率以及由防护标准和概率函数参数确定阈值。在一个实施例中,使用新数据组对照统计模型来验证假设还包括将新数据组的数据库访问频率与阈值进行比较。
历史信息可包括关于一个或多个选取的数据库对象的数据库访问的信息。在各个实施例中,由历史数据确定数据库访问频率包括以下一个或多个:以一天中每小时计算对象访问频率、以一天中每小时和操作系统用户计算对象访问频率、以一天中每小时和数据库用户计算对象访问频率、以一天中每小时和位置计算对象访问频率、以及以一天中每小时或操作系统用户、数据库用户和位置中至少两个的组合计算对象访问频率。
历史信息可包括关于一个或多个选取的数据库用户的数据库访问的信息。在各个实施例中,由历史数据确定数据访问频率包括以下一个或多个:以一天中每小时计算用户访问频率、以一天中每小时和操作系统用户计算用户访问频率、以一天中每小时和数据库用户计算用户访问频率、以一天中每小时和位置计算用户访问频率、以一天中每小时或操作系统用户、数据库用户和位置中至少两个的组合计算用户访问频率。
历史信息可包括关于一个或多个选取的数据库用户会话的数据库访问的信息。在各个实施例中,由历史数据确定数据库访问频率包括以下一个或多个:确定每个会话中的页读取量、每个会话期间的访问持续时间、或每单位时间内的页读取量中的一个或多个的频率。
在各个实施例中,执行目标操作包括引发报警、发送电子邮件、生成报告、以及执行可视化中的一个或多个。
在一个实施例中,执行确定新数据组是否违反基于规则的策略。如果新数据组违反基于规则的策略,则确定新数据组,以表示异常活动。在一个实施例中,异常活动包括可疑活动。
在其它方面,本发明的实施例包括用于实现上述过程的装置和计算机可读介质。
术语
“数据库”包括用于根据结构存储数据的任意数据结构。数据库包括关系数据库、对象数据库、层次数据库、网络数据库、和多维数据库等。
“数据库触发器”是指响应于包括数据库对象的特定事件(例如,无论何时选取或更改桌面或视图)自动调用的存储的数据库程序。
“数据库会话”是指通过用户处理的用户到数据库的特定连接。会话从用户连接的时间持续到用户断开或退出数据库应用程序的时间。
“JAVA数据库连接(JDBC)API”为允许用户访问JAVA编程语言的任意数据源的标准SQL数据库访问接口。
“泊松分布”是当事件之间的等待时间是指数分布时,间隔的事件数量的概率分布。
“稽核记录”是一系列计算机事件的记录。其由监控系统活动的稽核系统生成。记录可以以包括但不限于计算机文件或数据库表的各种形式存储。
“特权”是指允许网络或数据库的用户执行的一组动作或操作。可选地,特权可表示为授权或一组授权。
系统描述
图1是示出了可在一个实施例中实施的用于监控数据库的技术的网络计算系统的高度概括的框图。根据图1所示的一个实施例,数据库稽核引擎110通过网络106连接到包括数据库服务器130和数据库132的数据库系统,以提供由用户和/或处理对数据库132访问的监控。在一个实施例中,网络106通过防火墙124和路由器122连接到互联网108。防火墙124用于保护网络106和相关部件免受通过网络106发送的有害程序的影响。路由器122管理并控制互联网108和网络106之间的网络信息流通量。
数据库服务器130维持数据库132中的数据。数据库132中的一些数据对于网络106上的一个或多个用户是很关键的。关键数据可包括例如但不限于稽核记录、用户账目信息、和雇员薪金信息。在一些实施例中,数据库132可以是数据库服务器130的组成部分。管理员站144能够使管理员执行网络106上的管理功能。管理功能可包括监控包括用户活动的网络106的安全。在一些实施例中,其它元件和部件(图1中未示出)可与网络106连接。
在一个实施例中,数据库稽核引擎110包括数据收集器112、数据分析器114、和异常检测器116。数据收集器112用于读取关于用户行为的数据,以及用于将该数据存储为历史数据,其中,用户行为涉及以指定的间隔或根据指定条件(例如,人工指令)的发生从数据库服务器130访问数据库132。数据库分析器114对由数据收集器112存储的历史数据执行分析操作,以确定涉及访问数据库132的行为模式。当接收新数据时,基于新数据与由历史数据确定的行为模式的比较,异常检测器116确定新数据是否表示异常活动。一些实施例为数据库稽核引擎110提供了收集、分析、以及信号报警的能力,而不会对数据库服务器130的性能造成引人注意的影响。下面将参照图3A至图3E论述由数据收集器112、数据分析器114、和异常检测器116执行的处理实例的更详细的描述。
图2是示出了一个实施例中的实例数据库稽核引擎处理的高度概括的框图。
在一个实施例中,数据库稽核引擎110在外部操作数据库服务器130,以减小对数据库服务器的干扰。在一个实施例中,数据收集器112不必在例如数据库服务器130上执行代理程序就可以操作。在这样的实施例中,数据收集器112从由数据库服务器130维持的稽核记录84收集与用户行为相关的信息,和/或采用“只读”访问数据库132以收集数据。在一个实施例中,数据收集器112基于将被监控的信息类型确定监控等级,并基于该监控等级激活数据库服务器130的稽核选项。然后,数据收集器112读取由数据库服务器130创建并维持的稽核记录用于所配置的稽核选项。在一些实施例中,数据收集器还获得动态性能视图86,该视图包括数据库使用(例如,用户会话)和通过数据库管理系统(DBMS)维持的资源利用的信息。数据收集器112存储从稽核记录84和动态性能视图86获取的用户行为数据作为历史数据88。下面将参照图3B论述用于收集用户行为数据并将其存储为历史数据的处理实例的更加详细的描述。
数据分析器114对由数据收集器112存储的历史数据88执行一个或多个分析处理。在一个实施例中,数据分析器114执行一系列操作,包括分析历史数据88以确定行为模式90。在一个实施例中,数据分析器114由历史数据88确定数据库访问频率。可以以时间为单位(例如,一天中的小时等)计算数据库访问频率。接下来,数据分析器114确定数据库访问频率的概率函数。下面将参照图3C论述用于分析历史数据以确定行为模式的处理实例的更加详细的描述。
当从数据库服务器130接收一组新数据时,异常检测器116将该组新数据与由历史数据确定的行为模式进行比较。异常检测器116基于新数据与由历史数据88确定的行为模式的比较来确定新数据是否表示异常活动。在一个实施例中,异常检测器116还将新数据与安全规则92进行比较,以执行基于规则的侵入窃密检测。一个或多个分析操作可请求使用安全规则92或其它规则,以及由数据库服务器130的管理员或操作者所指定的条件。安全规则92提供能够使异常检测器116确定是否可能已经发生违反安全性的机制。管理员站144能够管理安全规则92。一旦识别异常数据,异常检测器116执行目标操作。例如,异常检测器116可发送电子邮件报警96,以向管理员站114发送侵入信号。异常检测器116还可以或额外提供报告94或者创建可视化(visualization)98。
在一个实施例中,数据库稽核引擎110检测在什么时候事件会对由数据库服务器130维持的数据产生不利影响。例如,数据库稽核引擎110可检测未知用户的未授权访问和/或对由数据库服务器维持的数据的操作,该未知用户通过互联网108访问网络106。数据库稽核引擎110还可确定在什么时候网络106的用户会有意或无意地泄露由数据库服务器130存储的数据。数据库稽核引擎110可在恶意软件影响由数据库服务器130维持的数据时检测通过网络106的“恶意软件”的存在。影响数据库服务器130以及可由数据库稽核引擎110检测的事件的其它实例包括但不限于使用窃取的密码的未授权访问、内部欺诈、误用、或特权滥用。内部欺诈的实例是由银行出纳员复制有价值的客户信息。特权滥用的实例是由数据库管理员(DBA)访问雇员薪金信息。
图3A是示出了在一个实施例中的数据收集、分析、和异常检测处理的高度概括的流程图。在块310中,从数据库服务器收集包括用户行为数据的数据组。在块320中,将用户行为数据存储为历史数据。在块330中,分析历史数据,以确定行为模式。在块340中,从数据库服务器接收一组新数据。在块350中,将新数据组与行为模式进行比较。在块360中,基于比较来确定新数据组是否满足一组标准。在块370中,确定新数据是否表示异常活动。在块380中,在由块370检测出异常活动的情况下,执行目标操作。在各个实施例中,目标操作可包括发送电子邮件报警、生成报告、执行可视化等中的一个或多个。
本发明的实施例使用用于收集关于数据库访问的信息并将信息作为历史数据存储在内部数据库中的各种技术中的一种或多种。从数据库管理系统收集关于数据库访问的信息的各种方法包括但不限于数据库触发、数据库交易变动记录、数据库稽核设施、和数据库动态系统视图。
稽核设施可由各种商业数据库管理系统提供。稽核设施可用于稽核各种事件。稽核设施生成包括数据库访问信息的稽核记录。通常,由稽核设施跟踪的数据库访问信息取决于数据库管理系统,然而,许多数据库管理系统提供稽核信息(例如,用户名称、对象名称、动作、终端、和时间戳(timestamp)等)的跟踪。
各种可商用的数据库管理系统还提供动态系统视图。动态系统视图提供当前用户会话和资源利用的信息。例如,一个普通的数据库管理系统提供几个安全性相关的动态性能视图:V_$SESSION列出用于每个当前用户会话的信息,V_$SESS_IO列出用于每个用户会话的I/O统计,V_$SESSTAT列出用户会话统计,V_$ACCESS示出当前锁存的对象及正在访问它们的会话,以及V_$SQL示出SQL池中的SQL命令文本。
当与通常是永久记录的稽核记录比较时,数据库动态视图通常包括过渡过程数据。数据库动态视图可以通过对数据库周期采样来监控。使用周期采样的方法可能不能检测到在监控间隔之间所发生的某些可疑数据库访问。为了使这种可能最小化,可以将采样间隔设置的非常短。相反,稽核方法规定全部被稽核的事件显示在稽核记录中直至被清除。此外,动态视图以相对粗糙的间隔提供关于数据库访问的一般信息,而稽核记录提供数据库对象等级的相对更详细、更具体的信息。在一个实施例中,当稽核记录不可用时(例如,当未激活数据库稽核设施时),动态视图被用作补充信息或被用作信息的替换源。
数据库触发器是用于从被监控的数据库采集消息的另一种技术,其在数据库用户不认为实时监控是被打扰的应用程序中有用。数据库交易重做记录也是一种用于采集数据改变的技术,其在不需要关于只读访问的信息的应用程序中有用。
图3B是示出了一个实施例中数据收集处理的高度概括的流程图。在块311中,接收将被监控的信息类型。在块312中,基于将被监控的信息类型确定监控等级。在块313中,基于监控等级,激活数据库管理器的稽核选项。在块314中,从稽核记录中读取数据组。在块315中,处理数据组。在块316中,执行测试,以确定是否存在更多数据要被读取。如果存在更多数据要被读取,则控制返回到块314。否则,控制返回到调用者。
数据收集器从稽核记录或动态性能视图收集用户行为数据、处理信息、并将该数据存储为历史数据。历史数据可存储在例如内部数据库中。在一个实施例中,各种属性被记录在每个感兴趣动作的历史数据中。例如,SELECT或LOGIN动作将包括以下属性,例如但不限于:(1)操作系统用户标识符(OSUSER);(2)执行动作的用户的数据库用户标识符(DBUSER);(3)主题模式对象标识符(OBJECT);(4)对象的拥有者(OWNER);(5)客户系统标识符(LOCATION);(6)动作标识符(ACTION);(7)动作时间(TIMESTAMP);(8)会话的逻辑读取量(READ);(9)会话的逻辑写入量(WRITE);以及(10)成功或失败原因代码(RETURNCODE)。
可以由每个具有不同重点的不同方法执行数据库用户行为监控,其中,重点包括例如数据库对象等级、数据库用户等级、和数据库会话等级。
例如,在一个实施例中,数据库对象等级监控包括监控选取的标准或敏感数据库对象的数据库访问。数据库对象可以是数据库表格、数据库视图、或数据库存储的程序。数据库监控将跟踪何人、何时、何处、以及每隔多久由任意用户访问该对象。标准数据库对象的实例是包括雇员薪金信息的公司“雇员”表格。
在另一实例中,在一个实施例中,数据库用户等级监控包括通过选取的数据库用户监控数据库对象访问。数据库监控将跟踪什么、何时、何处、以及每隔多久由该用户访问任意对象。选取的数据库用户的实例可以是被怀疑从数据库窃取信息的不满雇员。
在再一实例中,在一个实施例中,数据库会话等级监控包括由选取的数据库用户监控数据库连接或注册会话。数据库监控将通过该用户跟踪注册持续时间、注册失败、和资源利用。
在一个实施例中,基于将由数据库稽核引擎执行的监控等级,自动地激活数据库中的一个或多个不同稽核选项。被激活的稽核选项取决于主题数据库的数据库管理系统。例如,在一个实施例中,为了支持数据库对象等级监控,数据库监控系统自动激活指定对象的对象稽核。为了支持数据库用户等级或会话等级监控,系统自动激活指定用户的语句稽核。
数据分析
本发明的实施例可实现一种或多种侵入窃密检测数据分析的方法。在一个实施例中,基于统计的侵入窃密检测(SBID)和基于规则的侵入窃密检测(RBID)可结合使用,以检测异常数据库访问。在使用基于统计的侵入窃密检测的实施例中,执行用户行为信息历史的统计分析,以生成用户行为模式。显著背离这些模式的任意后续数据库访问将被确定,以表示异常活动。使用基于规则的侵入窃密检测的实施例维持包括安全规则或约束(也被称为策略)的知识库。违反策略的数据库访问可被确定以表示异常活动。
图3C是示出了在一个实施例中执行基于统计的侵入窃密检测的数据分析处理的高度概括的流程图。在块331中,由历史数据确定数据库访问频率。基于历史数据,可构建并证实统计模型,用于在检测异常活动中使用。历史数据的统计分析能够确定正常数据库访问率。
在块332中,从在块331中确定的数据库访问频率确定数据库访问频率的概率函数。数据库访问频率能够与概率分布相符。在特定的实施例中,可使用各种概率分布,例如但不限于正态概率分布或泊松概率分布。
在一个实施例中,在日间或在晚间,用户以固定速度随机访问数据库。日间和晚间的数据库访问的速度可以改变。在这组标准下,泊松分布可用于描述数据库访问频率,其中,事件之间的时间服从指数分布。令X表示每个间隔中随机事件的次数,m是每个间隔中随机事件的平均数,以及P是在间隔中具有n次事件的X的概率:
在块333中,可确定累积分布函数(CDF)。在使用泊松分布的实施例中,累积分布函数给出具有小于或等于n的X的概率,如方程式(2)所示:
数据分析器确定概率分布函数的参数值。在泊松分布的情况下,历史数据在每个间隔的随机事件的平均数的值为m。
例如,可将发生事件定义为向数据库发布的SELECT命令的数量,并可将间隔定义为一天中的一个小时。在其它实施中,可将事件定义为其它类型的命令或事件,并可将间隔定义为其它时间周期。在后续处理中,异常检测器基于概率函数比较新数据点与历史数据。
在各个实施例中,数据分析器基于多维属性分析历史数据,多维属性包括但不限于OS用户、数据库用户、位置、和对象。可计算OS用户、数据库用户、位置、对象、或多个属性的组合中的每个的访问频率。根据各维的测量可用于定量比较。
例如,在一个实施例中,事件等级监控可包括但不限于下列测量中的一个或多个:以一天中每小时计算对象访问频率、以一天中每小时和OS用户计算对象访问频率、以一天中每小时和数据库用户计算对象访问频率、以一天中每小时和位置计算对象访问频率、以及包括以一天中每小时和属性(OS用户、数据库用户、和位置)组合计算对象访问频率的多维对象访问频率规则。
在另一实例中,在一个实施例中,用户等级监控可包括但不限于下列测量中的一个或多个:以一天中每小时计算用户访问频率、以一天中每小时和OS用户计算用户访问频率、以一天中每小时和数据库用户计算用户访问频率、以一天中每小时和位置计算用户访问频率、以及包括以一天中每小时和属性(OS用户、数据库用户、和位置)组合计算用户访问频率的多维对象访问频率规则。
除对象或用户访问频率之外,在各个实施例中,其它测量可用于会话等级监控,例如但不限于,通过每个会话所读取的页面量来测量的会话的访问频率、通过每个会话的小时数所测量的会话的访问持续时间、以及通过每分钟所读取的页面量来测量的访问率。
异常检测
图3D是示出了在一个实施例中异常检测处理的高度概括的流程图。在块351中,从一组新数据中确定数据库访问频率。
在块352中,由防护标准和概率函数参数确定阈值频率。在一个实施例中,概率函数参数是历史数据的访问频率,其在块331中由数据分析器预先确定。在一个实施例中,访问频率是一天中每小时的SELECT操作的平均数。
例如,如果数据分析器从历史数据中确定的凌晨2点的平均访问频率是1.5,并且接收表示凌晨2点的当前访问频率是7的新数据,新数据是否在正常范围之外?答案以防护标准为依据。在一个实施例中,防护标准可表示为概率百分比。异常检测器从防护标准概率百分比和概率函数参数确定阈值访问频率值(即,在块331中,由数据分析器计算的历史访问频率)。任何超过该阈值的频率值将使测试失败并认为该频率异常。保护百分比越低,将事件划分为异常就越困难,并越少发生误报警。
例如,如果保护概率标准被指定为0.1%,则异常检测器计算阈值n,使得具有超过n值的概率小于0.1%,如方程式(3)所示:
P(X>n)=1-P(X<=n)<0.1% (3)
这相当于确定阈值n,使得具有小于或等于n值的概率大于99.9%,如方程式(4)所示:
F(n)=P(X<=n)>99.9% (4)
以方程式(4)中的F(n)>99.9%代替方程式(2)中的累积分布函数,值为1.5的m(概率函数参数、历史数据的平均访问频率)得出n等于6的阈值。
因为新数据组的访问频率是7,其超过阈值访问频率6,因此将检测到异常。
在块353中,比较当前访问频率值(来自块351)与阈值访问频率(来自块352)。
在一个实施例中,异常检测器基于动态统计模式和/或静态基于规则的策略来检测历史数据中可疑的数据库访问,并生成电子邮件报警。也可以生成报告或曲线图。
安全策略可用于监控数据库用户行为。例如,在实施例中,存在两个不同种类的安全策略:(1)访问频率策略和(2)访问违反策略。访问频率策略能够使数据库稽核引擎基于多维来保护一天中每小时的访问次数。如上所述,这种侵入窃密检测可以是基于统计的和/或基于规则的。在实施例中,可以根据一天中每小时等的访问次数,将保护阈值指定为绝对值。访问违反策略能够使数据库稽核引擎能使用明确安全规则保护每个单独的数据库访问。表1示出了在一个实施例中可以用于监控数据库用户行为的各种安全策略。
表1:安全策略 | |||
监控等级 | 种类 | 安全策略 | 侵入窃密检测方法 |
对象等级监控 | 访问频率 | 一天中每小时的对象访问频率 | 基于统计或基于规则 |
一天中每小时和OS用户的对象访问频率 | 基于统计或基于规则 | ||
一天中每小时和数据库用户的对象访问频率 | 基于统计或基于规则 | ||
一天中每小时和位置的对象访问频率 | 基于统计或基于规则 | ||
多维对象访问频率规则 | 基于统计或基于规则 | ||
访问违反 | 对象访问安全违反 | 基于规则 | |
可疑OS用户的对象访问 | 基于规则 | ||
可疑数据库用户的对象访问 | 基于规则 | ||
可疑位置的对象访问 | 基于规则 | ||
多维对象访问违反规则 | 基于规则 | ||
用户等级监控 | 访问频率 | 一天中每小时的用户访问频率 | 基于统计或基于规则 |
一天中每小时和OS用户的用户访问频率 | 基于统计或基于规则 | ||
一天中每小时和数据库对象的用户访问频率 | 基于统计或基于规则 | ||
一天中每小时和位置的用户访问频率 | 基于统计或基于规则 | ||
多维用户访问频率规则 | 基于统计或基于规则 |
访问违反 | 用户访问安全违反 | 基于规则 | |
可疑OS用户的用户访问 | 基于规则 | ||
可疑数据库对象的用户访问 | 基于规则 | ||
可疑位置的用户访问 | 基于规则 | ||
多维用户访问违反规则 | 基于规则 | ||
对话等级监控 | 访问频率 | 高读取率(页/分钟) | 基于统计或基于规则 |
过度读取活动 | 基于统计或基于规则 | ||
极长注册会话 | 基于统计或基于规则 | ||
访问违反 | 注册失败 | 基于规则 | |
在可疑时帧注册 | 基于规则 | ||
可疑OS用户注册 | 基于规则 | ||
从可疑位置注册 | 基于规则 | ||
多维会话规则 | 基于规则 |
例如,在各个实施例中,可以为对象等级监控指定下列访问违反规则:(1)对象访问安全违反,其中,对任何没有适当许可而尝试读取特定对象的失败报警;(2)可疑OS用户的对象访问,其中,对任何由无效OS用户成功读取特定对象报警。在一个实施例中,可定义有效OS用户列表,并且将对任何由不在列表中的OS用户的访问报警。在另一实施例中,可定义无效OS用户列表,并且将对任何由在列表中的OS用户的访问报警;(3)可疑数据库用户的对象访问,其中,对任何由无效数据库用户成功读取特定对象报警。在一个实施例中,可定义有效和/或无效的数据库用户列表。(4)从可疑位置的对象访问,其中,对任何从无效客户系统成功读取特定对象报警。在一个实施例中,可以定义有效和/或无效的位置列表;以及(5)多维对象访问规则,其中,对任何成功读取具有属性(OS用户、数据库用户、和位置)的无效组合的特定对象报警。
在另一实例中,在各个实施例中,可以为用户等级监控指定下列访问违反规则:(1)用户访问安全违反,其中,对任何由没有适当许可的特定数据库用户尝试的失败读取报警;(2)可疑OS用户的用户访问,其中,对任何来自无效OS用户的特定数据库用户的成功读取报警。在一个实施例中,可定义有效和/或无效OS用户列表;(3)可疑数据库对象的用户访问,其中,对任何由特定数据库用户对无效数据库对象的成功读取报警。在一个实施例中,可定义有效和/或无效的对象列表;(4)从可疑位置的用户访问,其中,对任何来自无效客户系统的特定数据库用户的成功读取报警。在一个实施例中,可定义有效和/或无效位置列表;以及(5)多维用户访问规则,其中,对任何具有属性(OS用户、数据库对象、和位置)的无效组合的特定数据库用户的成功读取报警。
在再一实例中,在各个实施例中,可以为会话等级监控指定下列访问违反规则:(1)注册失败,其中,对由于无效密码而注册失败报警;(2)可疑时帧的注册,其中,对超过指定的正常时间的注册时间报警;(3)可疑OS用户的注册,对任何特定数据库用户和无效OS用户的成功注册报警。在一个实施例中,可定义有效和/或无效OS用户列表;(4)从可疑位置注册,其中,对任何来自无效客户系统的特定数据库用户的成功注册报警。在一个实施例中,可以定义有效和/或无效位置列表;以及(5)多维会话规则,其中,对任何具有属性(OS用户和位置)的无效组合的成功注册报警。
监控实例
将使用配置和使用参照图3E的流程和在图6A至图6M中示出的屏幕抓图论述一个实施例中的数据库监控的操作。在一个实施例中,使用网络浏览器实现的图形用户界面执行配置监控操作。在由图6A至图6M描述的用户界面屏幕的实例中,用户可以跟随前一/下一导航箭头,单步调试配置监控操作的过程。可选地,用户可以从上部屏面上的菜单栏中选择,或单击左侧屏面上的分级树状视图中的链接。
如图3E所示,在块410中,用户可以通过打开将被监控的数据库来开始该过程。在实施例中,如图6A所示,打开数据库包括通过指定主机名称、数据库名称、用户名称、和密码来定义数据库连接。如图6B所示,用户连接到指定数据库。
在块420中,用户配置指定数据库的监控进度表。如图6C所示,在配置过程期间,监控进度表包括用户指定每隔多久数据分析器将‘得知’用户行为数据并重建统计模型。再次使用图6C中描述的屏幕,用户还指定每隔多久异常检测器将‘防护’异常数据并发出报警。
在块430中,用户配置电子邮件接收器。在一个示例性实施例中,当发生异常时,用户使用图6D中描述的屏幕指定由谁将发送报警电子邮件。
在块440中,用户配置监控策略。在示例性实施例中,图6E至图6F所示出的屏幕示出了监控策略的配置。如图6E所示,用户为监视器选择‘危急’对象。如图6F所示,用户选择访问违反策略以激活该对象。用户指定谁将被允许访问该对象。对于多维对象规则,可将其定义为属性组合。例如,如图6G所示,仅当数据库用户WANI作为OS用户IPLOCKS/WTANG注册时并来自客户系统WLINUX时,其才可以访问该对象。如图6H所示,为了监控该对象,用户还可以指定访问频率策略以激活。
在块450中,用户开始监控。在一个实施例中,如图6I所示,通过单击状态屏幕中的复选框开始监控。
在块460中,用户查看报警和/或曲线图。在假设实例中,属于数据库用户WANI的数据库密码被窃取,罪犯试图通过使用偷来的密码从不是分配了使用该密码的机器来访问数据库对象。如图6J所示,罪犯的试图使用将导致多维对象规则的访问违反。例如,配置的多维对象规则表示:数据库用户WANI只可以通过OS用户IPLOCKS/WANI并从位置WLINUX(如图6G所示)来访问对象HR.EMP。罪犯试图作为不同的OS用户IPLOCKS/CKCHOU并从不同位置CKDESKTOP作为数据库用户WANI来访问该对象,这会导致访问违反。可触发目标操作。在图6J所示的实例中,可以将电子邮件报警发送到使用由图6D所示出的屏幕定义的电子邮件接收器。如图6K所示,用户通过图形用户界面查看报警。如图6L所示,用户还可以查看任何用户对任意对象的访问模式。如果用户违反了访问频率阈值或百分点,则也将发送报警。
在块470中,用户生成报告。如图6M所示,用户生成报警汇总报告,其可有助于分析问题。上述参照图3E和图6A至图6M的所描述的过程仅为使用一个实施例的一个实例。其它实施例将包括在这里为了简洁而没有描述的其它过程和屏幕、和/或可省略一些所描述的过程和/或屏幕。
图4是示出了在一个实施例中对数据库访问的概率分布实例的曲线图。图4示出了在24小时期间特定用户的数据库访问活动的实例。在图4中,每个长条形表示该用户每小时访问对象的次数。在图4示出的概率分布实例中,用户将访问数据库的概率具有两个峰值,一个峰值可能发生在上午的中间时段,以及另一峰值可能发生在下午的中间时段。在这些时帧之外的过度数据库访问活动可能被怀疑。
图5是示出了在一个实施例中的数据库监控系统的高度概括的框图。如图5所示,数据库监控系统包括三层结构。在第一层中,数据库监控系统包括用于提供访问数据库监控功能性的网络浏览器。在一个实施例中,Java服务端网页(Java Sever Pages(JSP))提供用户界面。
在第二层中,数据库监控系统使用网络服务器,其在一个实施例中使用Apache Tomcat实现;以及用于存储历史数据的内部数据库,其在一个实施例中是使用PostgreSQLTM数据库实现的。本发明的实施例可驻留在任意计算平台上,例如但不限于,PentiumTM或与安全Linux操作系统协作的等效功能性硬件平台。数据库监控系统的部件包括数据收集器、数据分析器、和异常检测器。支持部件包括下列中的一个或多个:(1)配置器,能够使用户根据实现特定需要来定制数据库监控系统,例如,调度设置和策略设置;(2)电子邮件报警,向指定的安全人员发送报警信息;(3)报告管理器生成诊断报告;以及(4)可视化器,生成数据库用户行为模式的图形表示。
在第三层中,数据库监控系统使用Java数据库连接(JDBC)API,以访问目标数据库。
硬件概述
在一个实施例中,如图1所示的计算环境100的各个部件可作为可由一个或多个处理器执行的指令组来实现。图7示出可用于执行这些部件的计算机系统700的框图。计算机系统700包括:总线702或其它通信装置,用于传递信息;以及处理器704,其与总线702连接,用于处理信息。计算机系统700还包括连接至总线702的主存储器706,诸如随机访问存储器(RAM)或者其它动态存储装置,用于储存将由处理器704执行的信息和指令。在执行将由处理器704执行的指令期间,主存储器706还可用于储存临时变量或其它中间信息。计算机系统700还包括连接至总线702的只读存储器(ROM)708或其它静态存储装置,用于存储处理器704的静态信息和指令。提供诸如磁盘或光盘的存储装置710,并连接至总线702用于存储信息和指令。
计算机系统700可经由总线702连接至诸如阴极射线管(CRT)的用于向计算机用户显示信息的显示器712。包括字母数字键和其它键的输入装置714连接至总线702,用于将信息和命令选择传送给处理器704。另一种类型的用户输入装置是光标控制716,诸如鼠标、跟踪球、或光标方向键,用于将方向信息和命令选择传送给处理器704以及用于控制显示器712上的光标移动。输入装置通常在两个轴上(第一个轴(例如X轴)和第二个轴(例如Y轴))具有两个自由度,允许装置能指定平面中的位置。
根据一个实施例,响应于执行包括在主存储器706中的一个或多个指令的一个或多个序列的处理器704,通过计算机系统700来实现本发明的功能性。这样的指令可从诸如存储装置710的另一个计算机可读介质读入主存储器706。包括在主存储器706中的指令序列的执行使得处理器704执行本文所述的处理步骤。在可选实施例中,可使用硬连线电路(hard-wired circuitry)来取代软件指令或与软件指令相结合来实施该发明。因此,本发明的实施例将不限于硬件电路和软件的任何特定组合。
本文使用的术语“计算机可读介质”是指参与向处理器704提供指令用于执行的任何介质。这种介质可采取多种形式,包括但不限于非易失性介质、易失性介质、和传输介质。例如,非易失性介质包括光盘或磁盘,诸如存储装置710。易失性介质包括动态存储器,诸如主存储器706。传输介质包括同轴电缆、铜线、和光纤,包括组成总线702的导线。传输介质还可采取声波或光波形式,诸如那些在无线电波和红外线数据通信过程中所产生的声波和光波。
通常形式的计算机可读介质的普通形式包括如软盘、软性盘、硬盘、磁带,或者任何其它磁性介质、CD-ROM、任何其它光介质、打孔纸、纸带、或者任何带孔图样的物理介质、RAM、PROM、EPROM、FLASH-EPROM、或者其他任何存储芯片或者盒式磁带,以下提到的载波、或者计算机可读的任何其它介质。
各种形式的计算机可读介质可参与将一个或多个指令的一个或多个序列传送到处理器704用于执行。例如,指令开始可承载在远程计算机的磁盘中。远程计算机可以将指令加载到其动态存储器中,然后使用调制解调器通过电话线发送指令。计算机系统700本地的调制解调器可接收电话线上的数据,并使用红外发射器将该数据转换成红外信号。红外探测器可以接收红外信号携带的数据,并且合适的电路可以将数据放到总线702上。总线702将数据传送到主存储器706,处理器704从主存储器取回并执行这些指令。在由处理器704执行这些指令之前或之后,由主存储器706接收的指令可随意地存储在存储装置710上。
计算机系统700还包括连接至总线702的通信接口718。通信接口718提供连接到网络链路720的双向数据通信,其中,网络链路720连接至局域网722。例如,通信接口718可以是综合业务数字网(ISDN)卡或者调制解调器,用于提供到相应类型的电话线的数据通信连接。作为另一实例,通信接口718可以是局域网(LAN)卡,用于提供至兼容局域网(LAN)的数据通信连接。也可以使用无线链接。在任何这样的实施中,通信接口718发送和接收承载表示各种类型的信息的数字数据流的电信号、电磁信号、和光学信号。
网络链路720通常可通过一个或者多个网络向其它数据装置提供数据通信。例如,网络链路720可通过局域网722与主机724连接,或者与互联网服务提供商(ISP)726操作的数据设备连接。ISP726又通过目前通称为“互联网”728的全球分组数据通信网络提供数据通信服务。局域网722和互联网728都使用承载数字数据流的电信号、电磁信号、或光学信号。通过各种网络的信号和网络链路720上的信号以及通过通信接口718的信号,都传送数字数据给计算机系统700或者传送来自计算机系统的数字数据,是传输信息的载波的示例性形式。
计算机系统700能通过网络、网络链路720、和通信接口718发送消息和接收数据(包括程序代码)。在互联网的实例中,服务器730可通过互联网728、ISP 726、局域网722、和通信接口718,传送用于应用程序的所请求的程序代码。所接收的代码可以在其被接收时由处理器704执行,和/或储存在存储装置710或者其它非易失性介质中用于随后执行。按照这种方式,计算机系统700可以以载波的形式获得应用代码。
在上述说明书中,应当注意,虽然参照指定实施例描述了本发明,然而不构成对本发明的限定。在不背离本发明精神的情况下,受益于本公开的本领域普通技术人员可以做出各种修改。因此本发明将不限于用于示出本发明的特定实施例,而只限于所附权利要求的范围。因此,说明书和附图被认为是说明性的,而不构成限定。
Claims (30)
1.一种用于监控数据库的方法,包括:
收集表示一个或多个用户如何使用所述数据库的用户行为数据;
处理并存储所述数据作为历史数据;
分析所述历史数据,以确定行为模式;
接收表示一个或多个用户已经如何使用所述数据库的新数据组;
在所述新数据组与所述行为模式之间进行比较;
基于所述比较,确定所述新数据组是否满足标准组;
如果所述新数据组满足所述标准组,则确定所述新数据组表示异常活动;以及
通过执行目标操作来响应所述确定。
2.根据权利要求1所述的方法,还包括:
确定所述新数据组是否违反基于规则的策略;以及
如果所述新数据组违反所述基于规则的策略,则确定所述新数据组表示异常活动。
3.根据权利要求2所述的方法,其中,收集用户行为数据还包括:
读取来自数据库管理器的稽核记录或动态性能视图的信息。
4.根据权利要求3所述的方法,其中,收集用户行为数据还包括以从以下至少一个中所选取的监控等级来收集信息:
关于一个或多个所选取的数据库对象的数据库访问的信息;
关于一个或多个所选取的数据库用户的数据库访问的信息;以及
关于一个或多个所选取的数据库用户会话的数据库访问的信息。
5.根据权利要求3所述的方法,其中,收集用户行为数据还包括:
接收将被监控的一种类型的信息;
从所述类型的信息确定监控等级;以及
基于确定的所述监控等级,激活所述数据库管理器的稽核选项。
6.根据权利要求2所述的方法,其中,分析所述历史数据以确定行为模式还包括:
从所述历史数据确定统计模型。
7.根据权利要求6所述的方法,其中,从所述历史数据确定统计模型还包括:
从所述历史数据确定数据库访问频率;
确定数据库访问频率的概率函数;以及
从所述概率函数确定累积概率函数。
8.根据权利要求7所述的方法,其中,在所述新数据组与所述行为模式之间进行比较还包括:
使用所述新数据组对照所述统计模型来测试假设。
9.根据权利要求8所述的方法,其中,使用所述新数据组对照所
述统计模型来测试假设还包括:
确定所述新数据组的数据库访问频率;以及
从防护标准和概率函数参数确定阈值。
10.根据权利要求9所述的方法,其中,使用所述新数据组对照所述统计模型来测试假设还包括:
将所述新数据组的数据库访问频率与所述阈值进行比较。
11.根据权利要求7所述的方法,其中,所述历史信息关于一个或多个所选取的数据库对象的数据库访问,并且其中,从所述历史数据确定数据库访问频率还包括确定以下至少一个的频率:
以一天中每小时计算的对象访问频率,以一天中每小时和操作系统用户计算的对象访问频率,以一天中每小时和数据库用户计算的对象访问频率,以一天中每小时和位置计算的对象访问频率,以及以一天中每小时和操作系统用户、数据库用户、和位置中至少两个的组合计算的对象访问频率。
12.根据权利要求7所述的方法,其中,所述历史信息关于一个或多个所选取的数据库用户的数据库访问,并且其中,从所述历史数据确定数据库访问频率还包括确定以下至少一个频率:
以一天中每小时计算的用户访问频率,以一天中每小时和操作系统用户计算的用户访问频率,以一天中每小时和数据库用户计算的用户访问频率,以一天中每小时和位置计算的用户访问频率,以及以一天中每小时和操作系统用户、数据库用户、和位置中至少两个的组合计算的用户访问频率。
13.根据权利要求7所述的方法,其中,所述历史信息关于一个或多个所选取的数据库用户会话的数据库访问,并且其中,从所述历史数据确定数据库访问频率还包括确定以下至少一个的频率:
每个会话所读取的页面量、每个会话的访问持续时间、每单位时间所读取的页面量。
14.根据权利要求1所述的方法,其中,执行目标操作包括以下至少一个:产生报警、发送电子邮件、生成报告、执行可视化。
15.一种计算机可读介质,所述介质承载用于响应于装置故障还原到恢复设置的一个或多个指令序列,当由一个或多个处理器执行时,所述指令序列使所述一个或多个处理器执行以下步骤:
收集表示一个或多个用户如何使用数据库的用户行为数据;
处理并存储所述数据作为历史数据;
分析所述历史数据,以确定行为模式;
接收表示一个或多个用户已经如何使用所述数据库的新数据组;
在所述新数据组与所述行为模式之间进行比较;
基于所述比较,确定所述新数据组是否满足标准组;
如果所述新数据组满足所述标准组,则确定所述新数据组表示异常活动;以及
通过执行目标操作来响应所述确定。
16.根据权利要求15所述的计算机可读介质,还包括当由所述一个或多个处理器执行时,使所述一个或多个处理器执行以下步骤的指令:
确定所述新数据组是否违反基于规则的策略;以及
如果所述新数据组违反所述基于规则的策略,则确定所述新数据组表示异常活动。
17.根据权利要求16所述的计算机可读介质,其中,用于执行所述收集用户行为数据的步骤的指令还包括用于执行以下步骤的指令:
读取来自所述数据库管理器的稽核记录的信息。
18.根据权利要求17所述的计算机可读介质,其中,用于执行所述收集用户行为数据的步骤的指令还包括用于执行以从以下至少一个中所选取的监控等级来收集信息的步骤的指令:
关于一个或多个所选取的数据库对象的数据库访问的信息;
关于一个或多个所选取的数据库用户的数据库访问的信息;以及
关于一个或多个所选取的数据库用户会话的数据库访问的信息。
19.根据权利要求17所述的计算机可读介质,其中,用于执行所述收集用户行为数据的步骤的指令还包括用于执行以下步骤的指令:
接收将被监控的一种类型的信息;
从所述类型的信息确定监控等级;以及
基于确定的所述监控等级,激活所述数据库管理器的稽核选项。
20.根据权利要求16所述的计算机可读介质,其中,用于执行所述分析所述历史数据以确定行为模式的步骤的指令还包括用于执行以下步骤的指令:
从所述历史数据确定统计模型。
21.根据权利要求20所述的计算机可读介质,其中,用于执行所述从所述历史数据确定统计模型的步骤的指令还包括用于执行以下步骤的指令:
从所述历史数据确定数据库访问频率;
确定数据库访问频率的概率函数;以及
从所述概率函数确定累积概率函数。
22.根据权利要求21所述的计算机可读介质,其中,用于执行所述新数据组与所述行为模式之间的比较的步骤的指令还包括用于执行以下步骤的指令:
使用所述新数据组对照所述统计模型来测试假设。
23.根据权利要求22所述的计算机可读介质,其中,用于执行所述使用所述新数据组对照所述统计模型来测试假设的步骤的指令还包括用于执行以下步骤的指令:
确定所述新数据组的数据库访问频率;以及
从防护标准和概率函数参数确定阈值。
24.根据权利要求23所述的计算机可读介质,其中,用于执行所述使用所述新数据组对照所述统计模型来测试假设的步骤的指令还包括用于执行以下步骤的指令:
将所述新数据组的数据库访问频率与所述阈值进行比较。
25.根据权利要求21所述的计算机可读介质,其中,所述历史信息关于一个或多个所选取的数据库对象的数据库访问,并且其中,用于执行所述从所述历史数据确定数据库访问频率的步骤的指令还包括用于执行确定以下至少一个频率的步骤的指令:
以一天中每小时计算的对象访问频率,以一天中每小时和操作系统用户计算的对象访问频率,以一天中每小时和数据库用户计算的对象访问频率,以一天中每小时和位置计算的对象访问频率,以及以一天中每小时和操作系统用户、数据库用户、和位置中至少两个的组合计算的对象访问频率。
26.根据权利要求21所述的计算机可读介质,其中,所述历史信息关于一个或多个所选取的数据库用户的数据库访问,并且其中,用于执行所述从所述历史数据确定数据库访问频率的步骤的指令还包括用于执行确定以下至少一个频率的步骤的指令:
以一天中每小时计算的用户访问频率,以一天中每小时和操作系统用户计算的用户访问频率,以一天中每小时和数据库用户计算的用户访问频率,以一天中每小时和位置计算的用户访问频率,以及以一天中每小时和操作系统用户、数据库用户、和位置中至少两个的组合计算的用户访问频率。
27.根据权利要求21所述的计算机可读介质,其中,所述历史信息关于一个或多个所选取的数据库用户会话的数据库访问,并且其中,用于执行所述从所述历史数据确定数据库访问频率的步骤的指令还包括用于执行确定以下至少一个频率的步骤的指令:
每个会话所读取的页面量、每个会话的访问持续时间、每单位时间所读取的页面量。
28.根据权利要求15所述的计算机可读介质,其中,用于执行所述目标操作的步骤的指令包括用于执行以下至少一个的指令:产生报警、发送电子邮件、生成报告、执行可视化。
29.一种设备,其包括:
用于收集表示一个或多个用户如何使用数据库的用户行为数据的装置;
用于处理并存储所述数据作为历史数据的装置;
用于分析所述历史数据以确定行为模式的装置;
用于接收表示一个或多个用户已经如何使用所述数据库的新数据组的装置;
用于在所述新数据组与所述行为模式之间进行比较的装置;
用于基于所述比较确定所述新数据组是否满足标准组的装置;
用于如果所述新数据组满足所述标准组则确定所述新数据组表示异常活动的装置;以及
用于通过执行目标操作来响应所述确定的装置。
30.一种设备,包括:
数据收集器,用于收集表示一个或多个用户如何使用数据库的用户行为数据、处理并存储所述数据作为历史数据、以及接收表示一个或多个用户已经如何使用所述数据库的新数据组;
数据分析器,用于分析所述历史数据,以确定行为模式;以及
异常分析器,用于在所述新数据组与所述行为模式之间进行比较、基于所述比较确定所述新数据组是否满足标准组、如果所述新数据组满足所述标准组则确定所述新数据组表示异常活动、以及通过执行目标操作来响应所述确定。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/796,932 | 2004-03-09 | ||
US10/796,932 US20050203881A1 (en) | 2004-03-09 | 2004-03-09 | Database user behavior monitor system and method |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1950778A true CN1950778A (zh) | 2007-04-18 |
Family
ID=34919953
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2005800146905A Pending CN1950778A (zh) | 2004-03-09 | 2005-02-16 | 数据库用户行为监控系统及方法 |
Country Status (10)
Country | Link |
---|---|
US (1) | US20050203881A1 (zh) |
EP (1) | EP1723490A1 (zh) |
JP (1) | JP2005259140A (zh) |
KR (1) | KR20070039478A (zh) |
CN (1) | CN1950778A (zh) |
AU (1) | AU2005225996A1 (zh) |
CA (1) | CA2559034A1 (zh) |
IL (1) | IL177935A0 (zh) |
TW (1) | TW200530805A (zh) |
WO (1) | WO2005093546A1 (zh) |
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101770626A (zh) * | 2010-01-11 | 2010-07-07 | 中国联合网络通信集团有限公司 | 具有洗卡行为的代理商识别方法、装置及系统 |
CN102308299A (zh) * | 2009-01-21 | 2012-01-04 | 林仲宇 | 以电话号码及授权码及来源识别码作为建置网络犯罪侦防之方法及其系统 |
CN102571481A (zh) * | 2011-11-14 | 2012-07-11 | 北京安天电子设备有限公司 | 一种客户端监控状态分析的方法及系统 |
CN102722521A (zh) * | 2012-04-24 | 2012-10-10 | 深圳市神盾信息技术有限公司 | 监控数据比对的方法及系统 |
CN103136253A (zh) * | 2011-11-30 | 2013-06-05 | 腾讯科技(深圳)有限公司 | 获取信息的方法和装置 |
CN103500221A (zh) * | 2013-10-15 | 2014-01-08 | 北京国双科技有限公司 | 分析服务数据库的监控方法和装置 |
CN101854340B (zh) * | 2009-04-03 | 2015-04-01 | 瞻博网络公司 | 基于访问控制信息进行的基于行为的通信剖析 |
CN104852824A (zh) * | 2014-02-19 | 2015-08-19 | 联想(北京)有限公司 | 一种信息处理方法和装置 |
CN104933096A (zh) * | 2015-05-22 | 2015-09-23 | 北京奇虎科技有限公司 | 数据库的异常键识别方法、装置与数据系统 |
CN105009132A (zh) * | 2013-03-11 | 2015-10-28 | 惠普发展公司,有限责任合伙企业 | 基于置信因子的事件关联 |
CN105302657A (zh) * | 2015-11-05 | 2016-02-03 | 网易宝有限公司 | 一种异常情况分析方法和装置 |
CN106415578A (zh) * | 2014-06-03 | 2017-02-15 | 三菱电机株式会社 | 日志分析装置和日志分析方法 |
CN106682101A (zh) * | 2016-12-05 | 2017-05-17 | 福建天晴数码有限公司 | 一种数据库脚本运行异常检测的方法及系统 |
CN108140075A (zh) * | 2015-07-27 | 2018-06-08 | 皮沃塔尔软件公司 | 将用户行为分类为异常 |
CN109255211A (zh) * | 2017-07-12 | 2019-01-22 | 波音公司 | 移动安全对策 |
CN112149036A (zh) * | 2020-09-28 | 2020-12-29 | 微梦创科网络科技(中国)有限公司 | 一种批量非正常互动行为的识别方法及系统 |
CN112740133A (zh) * | 2018-09-24 | 2021-04-30 | Abb瑞士股份有限公司 | 监测技术设备的技术状态的系统和方法 |
CN112765598A (zh) * | 2019-10-21 | 2021-05-07 | 中国移动通信集团重庆有限公司 | 识别异常操作指令的方法、装置及设备 |
CN113407760A (zh) * | 2021-08-18 | 2021-09-17 | 云上(江西)大数据发展有限公司 | 一种用于共享平台的政务数据分析系统 |
Families Citing this family (150)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7778981B2 (en) * | 2000-12-01 | 2010-08-17 | Netapp, Inc. | Policy engine to control the servicing of requests received by a storage server |
KR100732789B1 (ko) | 2002-02-22 | 2007-06-27 | 아이피록스, 인코포레이티드 | 데이터 베이스 시스템을 모니터링하기 위한 방법 및 장치 |
EP1540446A2 (en) | 2002-08-27 | 2005-06-15 | TD Security, Inc., dba Trust Digital, LLC | Enterprise-wide security system for computer devices |
EP1709556A4 (en) * | 2003-12-23 | 2011-08-10 | Trust Digital Llc | SYSTEM AND METHOD FOR IMPLEMENTING A SAFETY GUIDELINE ON MOBILE DEVICES USING DYNAMICALLY PRODUCED SAFETY PROFILES |
US8255879B2 (en) * | 2004-05-17 | 2012-08-28 | Ca, Inc. | Method and apparatus for improving a software product |
US20060117004A1 (en) * | 2004-11-30 | 2006-06-01 | Hunt Charles L | System and method for contextually understanding and analyzing system use and misuse |
US7250855B2 (en) * | 2004-12-27 | 2007-07-31 | Sap Aktiengesellschaft | False alarm mitigation using a sensor network |
US7593942B2 (en) * | 2004-12-30 | 2009-09-22 | Oracle International Corporation | Mandatory access control base |
US8732856B2 (en) | 2004-12-30 | 2014-05-20 | Oracle International Corporation | Cross-domain security for data vault |
US7814075B2 (en) * | 2004-12-30 | 2010-10-12 | Oracle International Corporation | Dynamic auditing |
US7831570B2 (en) * | 2004-12-30 | 2010-11-09 | Oracle International Corporation | Mandatory access control label security |
US7814076B2 (en) * | 2004-12-30 | 2010-10-12 | Oracle International Corporation | Data vault |
US8386449B2 (en) * | 2005-01-27 | 2013-02-26 | International Business Machines Corporation | Customer statistics based on database lock use |
US8572676B2 (en) | 2008-11-06 | 2013-10-29 | Mcafee, Inc. | System, method, and device for mediating connections between policy source servers, corporate repositories, and mobile devices |
WO2006093917A2 (en) * | 2005-02-28 | 2006-09-08 | Trust Digital | Mobile data security system and methods |
US7606801B2 (en) * | 2005-06-07 | 2009-10-20 | Varonis Inc. | Automatic management of storage access control |
US20070005665A1 (en) * | 2005-06-30 | 2007-01-04 | Lumigent Technologies, Inc. | Separation of duties in a data audit system |
US7631362B2 (en) * | 2005-09-20 | 2009-12-08 | International Business Machines Corporation | Method and system for adaptive identity analysis, behavioral comparison, compliance, and application protection using usage information |
US8069153B2 (en) * | 2005-12-02 | 2011-11-29 | Salesforce.Com, Inc. | Systems and methods for securing customer data in a multi-tenant environment |
US8244745B2 (en) | 2005-12-29 | 2012-08-14 | Nextlabs, Inc. | Analyzing usage information of an information management system |
US20070204345A1 (en) * | 2006-02-28 | 2007-08-30 | Elton Pereira | Method of detecting computer security threats |
US7555502B2 (en) * | 2006-03-10 | 2009-06-30 | Oracle International Corporation | Detecting database events using recovery logs |
US20090260075A1 (en) * | 2006-03-28 | 2009-10-15 | Richard Gedge | Subject identification |
US8561146B2 (en) * | 2006-04-14 | 2013-10-15 | Varonis Systems, Inc. | Automatic folder access management |
FR2902546B1 (fr) * | 2006-06-16 | 2008-12-26 | Olfeo Sarl | Procede et systeme de traitement de donnees de securite d'un reseau informatique. |
US20080047009A1 (en) * | 2006-07-20 | 2008-02-21 | Kevin Overcash | System and method of securing networks against applications threats |
US20080034424A1 (en) * | 2006-07-20 | 2008-02-07 | Kevin Overcash | System and method of preventing web applications threats |
US7934253B2 (en) * | 2006-07-20 | 2011-04-26 | Trustwave Holdings, Inc. | System and method of securing web applications across an enterprise |
US8259568B2 (en) * | 2006-10-23 | 2012-09-04 | Mcafee, Inc. | System and method for controlling mobile device access to a network |
US9747349B2 (en) * | 2006-10-30 | 2017-08-29 | Execue, Inc. | System and method for distributing queries to a group of databases and expediting data access |
US7979494B1 (en) | 2006-11-03 | 2011-07-12 | Quest Software, Inc. | Systems and methods for monitoring messaging systems |
WO2008094661A1 (en) * | 2007-01-31 | 2008-08-07 | Leader Technologies, Inc. | Merchandise location system |
US20080201643A1 (en) | 2007-02-01 | 2008-08-21 | 7 Billion People, Inc. | System for creating customized web content based on user behavioral portraits |
JP4202398B2 (ja) * | 2007-04-10 | 2008-12-24 | Sky株式会社 | 誤操作防止システム |
US7613888B2 (en) | 2007-04-11 | 2009-11-03 | International Bsuiness Machines Corporation | Maintain owning application information of data for a data storage system |
US7610459B2 (en) * | 2007-04-11 | 2009-10-27 | International Business Machines Corporation | Maintain owning application information of data for a data storage system |
US8239925B2 (en) * | 2007-04-26 | 2012-08-07 | Varonis Systems, Inc. | Evaluating removal of access permissions |
JP2008293173A (ja) * | 2007-05-23 | 2008-12-04 | Nec Corp | 携帯電子機器、データ処理装置、データ通信システム、コンピュータプログラム、データ処理方法 |
US9032514B1 (en) * | 2007-08-21 | 2015-05-12 | Mcafee, Inc. | Potential data leakage reporting system, method, and computer program product |
US8032497B2 (en) * | 2007-09-26 | 2011-10-04 | International Business Machines Corporation | Method and system providing extended and end-to-end data integrity through database and other system layers |
US7783666B1 (en) * | 2007-09-26 | 2010-08-24 | Netapp, Inc. | Controlling access to storage resources by using access pattern based quotas |
US8131784B1 (en) | 2007-09-26 | 2012-03-06 | Network Appliance, Inc. | Multiple node quota filter |
US8438611B2 (en) | 2007-10-11 | 2013-05-07 | Varonis Systems Inc. | Visualization of access permission status |
US8959624B2 (en) * | 2007-10-31 | 2015-02-17 | Bank Of America Corporation | Executable download tracking system |
US8438612B2 (en) | 2007-11-06 | 2013-05-07 | Varonis Systems Inc. | Visualization of access permission status |
US8180886B2 (en) * | 2007-11-15 | 2012-05-15 | Trustwave Holdings, Inc. | Method and apparatus for detection of information transmission abnormalities |
US8214364B2 (en) * | 2008-05-21 | 2012-07-03 | International Business Machines Corporation | Modeling user access to computer resources |
JP5083042B2 (ja) * | 2008-05-30 | 2012-11-28 | 富士通株式会社 | アクセス制御ポリシーの遵守チェック用プログラム |
US20090328210A1 (en) * | 2008-06-30 | 2009-12-31 | Microsoft Corporation | Chain of events tracking with data tainting for automated security feedback |
US7809824B2 (en) * | 2008-09-29 | 2010-10-05 | Yahoo! Inc. | Classification and cluster analysis spam detection and reduction |
WO2010088550A2 (en) * | 2009-01-29 | 2010-08-05 | Breach Security, Inc. | A method and apparatus for excessive access rate detection |
US8713068B2 (en) * | 2009-06-11 | 2014-04-29 | Yahoo! Inc. | Media identification system with fingerprint database balanced according to search loads |
US9641334B2 (en) * | 2009-07-07 | 2017-05-02 | Varonis Systems, Inc. | Method and apparatus for ascertaining data access permission of groups of users to groups of data elements |
US8443448B2 (en) | 2009-08-20 | 2013-05-14 | Federal Reserve Bank Of New York | System and method for detection of non-compliant software installation |
US10229191B2 (en) | 2009-09-09 | 2019-03-12 | Varonis Systems Ltd. | Enterprise level data management |
CN102656553B (zh) | 2009-09-09 | 2016-02-10 | 瓦欧尼斯系统有限公司 | 企业级数据管理 |
US8578507B2 (en) | 2009-09-09 | 2013-11-05 | Varonis Systems, Inc. | Access permissions entitlement review |
US20110061093A1 (en) * | 2009-09-09 | 2011-03-10 | Ohad Korkus | Time dependent access permissions |
US20110145525A1 (en) * | 2009-12-14 | 2011-06-16 | International Business Machines Corporation | Method and System for Storing and Operating on Advanced Historical Access Data |
CN102111920B (zh) * | 2009-12-23 | 2014-02-19 | 大唐移动通信设备有限公司 | 一种性能报表管理的方法及装置 |
US8793789B2 (en) | 2010-07-22 | 2014-07-29 | Bank Of America Corporation | Insider threat correlation tool |
US8800034B2 (en) | 2010-01-26 | 2014-08-05 | Bank Of America Corporation | Insider threat correlation tool |
US9038187B2 (en) * | 2010-01-26 | 2015-05-19 | Bank Of America Corporation | Insider threat correlation tool |
US8782209B2 (en) * | 2010-01-26 | 2014-07-15 | Bank Of America Corporation | Insider threat correlation tool |
US8868728B2 (en) * | 2010-03-11 | 2014-10-21 | Accenture Global Services Limited | Systems and methods for detecting and investigating insider fraud |
US8782794B2 (en) | 2010-04-16 | 2014-07-15 | Bank Of America Corporation | Detecting secure or encrypted tunneling in a computer network |
US8544100B2 (en) | 2010-04-16 | 2013-09-24 | Bank Of America Corporation | Detecting secure or encrypted tunneling in a computer network |
US8935384B2 (en) | 2010-05-06 | 2015-01-13 | Mcafee Inc. | Distributed data revocation using data commands |
US8533787B2 (en) | 2011-05-12 | 2013-09-10 | Varonis Systems, Inc. | Automatic resource ownership assignment system and method |
US10296596B2 (en) | 2010-05-27 | 2019-05-21 | Varonis Systems, Inc. | Data tagging |
CN108920502B (zh) | 2010-05-27 | 2021-11-23 | 瓦欧尼斯系统有限公司 | 数据分类 |
US9870480B2 (en) | 2010-05-27 | 2018-01-16 | Varonis Systems, Inc. | Automatic removal of global user security groups |
CN103026336B (zh) | 2010-05-27 | 2017-07-14 | 瓦欧尼斯系统有限公司 | 自动操作架构 |
KR101377462B1 (ko) * | 2010-08-24 | 2014-03-25 | 한국전자통신연구원 | CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치 |
US9147180B2 (en) | 2010-08-24 | 2015-09-29 | Varonis Systems, Inc. | Data governance for email systems |
US9680839B2 (en) | 2011-01-27 | 2017-06-13 | Varonis Systems, Inc. | Access permissions management system and method |
EP2668562A4 (en) | 2011-01-27 | 2015-05-20 | Varonis Systems Inc | SYSTEM AND METHOD FOR MANAGING ACCESS RIGHTS |
US8909673B2 (en) | 2011-01-27 | 2014-12-09 | Varonis Systems, Inc. | Access permissions management system and method |
US8813227B2 (en) * | 2011-03-29 | 2014-08-19 | Mcafee, Inc. | System and method for below-operating system regulation and control of self-modifying code |
US9047464B2 (en) * | 2011-04-11 | 2015-06-02 | NSS Lab Works LLC | Continuous monitoring of computer user and computer activities |
WO2013036269A1 (en) | 2011-09-09 | 2013-03-14 | Hewlett-Packard Development Company, L.P. | Systems and methods for evaluation of events based on a reference baseline according to temporal position in a sequence of events |
US8875293B2 (en) | 2011-09-22 | 2014-10-28 | Raytheon Company | System, method, and logic for classifying communications |
US9058486B2 (en) * | 2011-10-18 | 2015-06-16 | Mcafee, Inc. | User behavioral risk assessment |
CN103186733B (zh) * | 2011-12-30 | 2016-01-27 | 中国移动通信集团广东有限公司 | 数据库用户行为管理系统和数据库用户行为管理方法 |
EP3522492A1 (en) | 2012-03-22 | 2019-08-07 | Triad National Security, LLC | Path scanning for the detection of anomalous subgraphs, anomaly/change detection and network situational awareness |
US8856923B1 (en) * | 2012-06-29 | 2014-10-07 | Emc Corporation | Similarity-based fraud detection in adaptive authentication systems |
US10592978B1 (en) * | 2012-06-29 | 2020-03-17 | EMC IP Holding Company LLC | Methods and apparatus for risk-based authentication between two servers on behalf of a user |
US11151515B2 (en) | 2012-07-31 | 2021-10-19 | Varonis Systems, Inc. | Email distribution list membership governance method and system |
US9124619B2 (en) | 2012-12-08 | 2015-09-01 | International Business Machines Corporation | Directing audited data traffic to specific repositories |
US9336388B2 (en) * | 2012-12-10 | 2016-05-10 | Palo Alto Research Center Incorporated | Method and system for thwarting insider attacks through informational network analysis |
RU2530210C2 (ru) * | 2012-12-25 | 2014-10-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы |
US8793207B1 (en) | 2013-01-24 | 2014-07-29 | Kaspersky Lab Zao | System and method for adaptive control of user actions based on user's behavior |
US8984151B1 (en) * | 2013-02-05 | 2015-03-17 | Google Inc. | Content developer abuse detection |
US9251363B2 (en) | 2013-02-20 | 2016-02-02 | Varonis Systems, Inc. | Systems and methodologies for controlling access to a file system |
CN103294966B (zh) * | 2013-03-12 | 2016-02-24 | 中国工商银行股份有限公司 | 一种数据库的安全访问控制方法以及系统 |
EP2801925B1 (en) * | 2013-05-10 | 2019-07-17 | BlackBerry Limited | Methods and devices for detecting unauthorized access to credentials of a credential store |
US9088556B2 (en) | 2013-05-10 | 2015-07-21 | Blackberry Limited | Methods and devices for detecting unauthorized access to credentials of a credential store |
US9384342B2 (en) | 2013-05-10 | 2016-07-05 | Blackberry Limited | Methods and devices for providing warnings associated with credentials to be stored in a credential store |
CN103455575A (zh) * | 2013-08-22 | 2013-12-18 | 北京炎黄盈动科技发展有限责任公司 | 数据统计分析方法和装置 |
US9336294B2 (en) * | 2013-09-04 | 2016-05-10 | International Business Machines Corporation | Autonomically defining hot storage and heavy workloads |
US9471250B2 (en) | 2013-09-04 | 2016-10-18 | International Business Machines Corporation | Intermittent sampling of storage access frequency |
US20150121461A1 (en) * | 2013-10-24 | 2015-04-30 | Cyber-Ark Software Ltd. | Method and system for detecting unauthorized access to and use of network resources with targeted analytics |
US9712548B2 (en) | 2013-10-27 | 2017-07-18 | Cyber-Ark Software Ltd. | Privileged analytics system |
US9195669B2 (en) | 2014-02-26 | 2015-11-24 | Iboss, Inc. | Detecting and managing abnormal data behavior |
US9497206B2 (en) | 2014-04-16 | 2016-11-15 | Cyber-Ark Software Ltd. | Anomaly detection in groups of network addresses |
US10015329B2 (en) * | 2014-05-16 | 2018-07-03 | Ricoh Company, Ltd. | Information management apparatus, information management method, and information device |
US10409665B2 (en) * | 2014-06-09 | 2019-09-10 | Northrup Grumman Systems Corporation | System and method for real-time detection of anomalies in database usage |
US10482404B2 (en) * | 2014-09-25 | 2019-11-19 | Oracle International Corporation | Delegated privileged access grants |
US10530790B2 (en) * | 2014-09-25 | 2020-01-07 | Oracle International Corporation | Privileged session analytics |
US10027689B1 (en) * | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
US9565203B2 (en) * | 2014-11-13 | 2017-02-07 | Cyber-Ark Software Ltd. | Systems and methods for detection of anomalous network behavior |
WO2016094472A1 (en) * | 2014-12-09 | 2016-06-16 | Trustlayers, Inc. | System and method for enabling tracking of data usage |
CN104504116B (zh) * | 2014-12-30 | 2018-08-28 | 青岛海信网络科技股份有限公司 | 一种实时数据库的存储方法 |
EP3075315B1 (en) * | 2015-04-02 | 2024-02-07 | Essilor International | System and computer-implemented method for monitoring the visual behavior of a person |
US20160306967A1 (en) * | 2015-04-17 | 2016-10-20 | Symantec Corporation | Method to Detect Malicious Behavior by Computing the Likelihood of Data Accesses |
US10263929B2 (en) * | 2015-05-08 | 2019-04-16 | International Business Machines Corporation | Cloud based chat governance system based on behavioral patterns and situational-awareness |
US9882852B2 (en) * | 2015-05-11 | 2018-01-30 | Whatsapp Inc. | Techniques for escalating temporary messaging bans |
US9756067B2 (en) * | 2015-08-10 | 2017-09-05 | Accenture Global Services Limited | Network security |
US10043026B1 (en) * | 2015-11-09 | 2018-08-07 | 8X8, Inc. | Restricted replication for protection of replicated databases |
US10021120B1 (en) | 2015-11-09 | 2018-07-10 | 8X8, Inc. | Delayed replication for protection of replicated databases |
CN105429826A (zh) * | 2015-12-25 | 2016-03-23 | 北京奇虎科技有限公司 | 一种数据库集群的故障检测方法和装置 |
CN105868256A (zh) * | 2015-12-28 | 2016-08-17 | 乐视网信息技术(北京)股份有限公司 | 处理用户行为数据的方法和系统 |
US10740207B2 (en) * | 2016-01-19 | 2020-08-11 | Unisys Corporation | Capturing and comparing database performances across platforms |
KR101905771B1 (ko) * | 2016-01-29 | 2018-10-11 | 주식회사 엔오디비즈웨어 | 시스템 환경 및 사용자 행동 분석 기반의 자기 방어 보안 서버와 이의 작동 방법 |
US11120343B2 (en) | 2016-05-11 | 2021-09-14 | Cisco Technology, Inc. | Intelligent anomaly identification and alerting system based on smart ranking of anomalies |
US11706227B2 (en) | 2016-07-20 | 2023-07-18 | Varonis Systems Inc | Systems and methods for processing access permission type-specific access permission requests in an enterprise |
CN106027577B (zh) * | 2016-08-04 | 2019-04-30 | 四川无声信息技术有限公司 | 一种异常访问行为检测方法及装置 |
CN106453355A (zh) * | 2016-10-25 | 2017-02-22 | 东软集团股份有限公司 | 数据分析方法及装置 |
US10489584B2 (en) | 2017-02-14 | 2019-11-26 | Microsoft Technology Licensing, Llc | Local and global evaluation of multi-database system |
NO20170249A1 (en) * | 2017-02-20 | 2018-08-21 | Jazz Networks Ltd | Secure access by behavior recognition |
US10977361B2 (en) | 2017-05-16 | 2021-04-13 | Beyondtrust Software, Inc. | Systems and methods for controlling privileged operations |
US11087330B2 (en) | 2017-06-29 | 2021-08-10 | Paypal, Inc. | System and method for malware detection |
US20190005501A1 (en) * | 2017-06-29 | 2019-01-03 | Paypal, Inc. | System and method for malware detection |
CN107491499B (zh) * | 2017-07-27 | 2018-09-04 | 杭州中奥科技有限公司 | 一种基于非结构化数据的舆情预警方法 |
US20190108256A1 (en) * | 2017-10-09 | 2019-04-11 | Switch Commerce, Llc | System for scalable database security |
US10685107B2 (en) * | 2017-10-24 | 2020-06-16 | International Business Machines Corporation | Detection of malicious intent in privileged identity environments |
US10691827B2 (en) * | 2017-12-18 | 2020-06-23 | International Business Machines Corporation | Cognitive systems for allocating medical data access permissions using historical correlations |
CN108616389B (zh) * | 2018-04-10 | 2021-09-17 | 深信服科技股份有限公司 | 基于云服务器的网络评估方法、设备、存储介质及装置 |
US11593505B2 (en) * | 2018-09-20 | 2023-02-28 | Idera, Inc. | Database access, monitoring, and control system and method for reacting to suspicious database activities |
CN109561092B (zh) * | 2018-12-03 | 2021-01-26 | 北京安华金和科技有限公司 | 基于数据流量及数据探测结果进行安全态势建模的方法 |
CN111352992B (zh) * | 2018-12-21 | 2023-09-29 | 北京金山云网络技术有限公司 | 数据一致性检测方法、装置及服务器 |
GB2584018B (en) | 2019-04-26 | 2022-04-13 | Beyondtrust Software Inc | Root-level application selective configuration |
US11449506B2 (en) | 2019-05-08 | 2022-09-20 | Datameer, Inc | Recommendation model generation and use in a hybrid multi-cloud database environment |
CN110866278A (zh) * | 2019-11-14 | 2020-03-06 | 吉林亿联银行股份有限公司 | 一种数据库实时入侵阻断方法及装置 |
CN111177779B (zh) * | 2019-12-24 | 2023-04-25 | 深圳昂楷科技有限公司 | 数据库审计方法、其装置、电子设备及计算机存储介质 |
KR102395550B1 (ko) | 2020-09-29 | 2022-05-09 | 주식회사 에임시스 | 기밀정보 분석 방법 및 장치 |
US11755697B2 (en) | 2021-01-04 | 2023-09-12 | Bank Of America Corporation | Secure access control framework using dynamic resource replication |
CN114553535A (zh) * | 2022-02-22 | 2022-05-27 | 中国建设银行股份有限公司 | 用户行为异常的告警方法及装置 |
CN115514562B (zh) * | 2022-09-22 | 2023-03-28 | 国网山东省电力公司 | 一种用于数据安全预警方法及系统 |
CN116319099A (zh) * | 2023-05-22 | 2023-06-23 | 威海海洋职业学院 | 一种多终端的财务数据管理方法和系统 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH02304643A (ja) * | 1989-05-19 | 1990-12-18 | Hitachi Ltd | データベース管理システムにおける異常データの検査方法 |
JPH09265473A (ja) * | 1996-03-28 | 1997-10-07 | Hitachi Software Eng Co Ltd | 個人情報管理システム |
JPH10198418A (ja) * | 1997-01-14 | 1998-07-31 | Toshiba Corp | 監視制御システムのヒューマンインタフェース装置 |
US6041327A (en) * | 1997-12-12 | 2000-03-21 | Telefonaktiebolaget Lm Ericsson | Implementation of notification capabilities in relational databases |
JP2000148276A (ja) * | 1998-11-05 | 2000-05-26 | Fujitsu Ltd | セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体 |
US6597777B1 (en) * | 1999-06-29 | 2003-07-22 | Lucent Technologies Inc. | Method and apparatus for detecting service anomalies in transaction-oriented networks |
EP1315065B1 (en) * | 2001-11-23 | 2007-10-10 | Protegrity Research & Development | Method for intrusion detection in a database system |
KR100732789B1 (ko) * | 2002-02-22 | 2007-06-27 | 아이피록스, 인코포레이티드 | 데이터 베이스 시스템을 모니터링하기 위한 방법 및 장치 |
JP4084971B2 (ja) * | 2002-08-07 | 2008-04-30 | 三菱電機株式会社 | 電子データ交換システムにおけるデータ保護装置及びデータ保護方法並びにそれに用いるプログラム |
US20050086529A1 (en) * | 2003-10-21 | 2005-04-21 | Yair Buchsbaum | Detection of misuse or abuse of data by authorized access to database |
-
2004
- 2004-03-09 US US10/796,932 patent/US20050203881A1/en not_active Abandoned
- 2004-09-24 TW TW093129012A patent/TW200530805A/zh unknown
-
2005
- 2005-02-16 EP EP05713668A patent/EP1723490A1/en not_active Withdrawn
- 2005-02-16 AU AU2005225996A patent/AU2005225996A1/en not_active Abandoned
- 2005-02-16 CN CNA2005800146905A patent/CN1950778A/zh active Pending
- 2005-02-16 KR KR1020067020969A patent/KR20070039478A/ko not_active Application Discontinuation
- 2005-02-16 CA CA002559034A patent/CA2559034A1/en not_active Abandoned
- 2005-02-16 WO PCT/US2005/004934 patent/WO2005093546A1/en active Application Filing
- 2005-03-08 JP JP2005064244A patent/JP2005259140A/ja active Pending
-
2006
- 2006-09-07 IL IL177935A patent/IL177935A0/en unknown
Cited By (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102308299A (zh) * | 2009-01-21 | 2012-01-04 | 林仲宇 | 以电话号码及授权码及来源识别码作为建置网络犯罪侦防之方法及其系统 |
CN102308299B (zh) * | 2009-01-21 | 2013-12-18 | 林仲宇 | 以电话号码及授权码及来源识别码作为建置网络犯罪侦防之方法及其系统 |
CN101854340B (zh) * | 2009-04-03 | 2015-04-01 | 瞻博网络公司 | 基于访问控制信息进行的基于行为的通信剖析 |
CN101770626A (zh) * | 2010-01-11 | 2010-07-07 | 中国联合网络通信集团有限公司 | 具有洗卡行为的代理商识别方法、装置及系统 |
CN102571481A (zh) * | 2011-11-14 | 2012-07-11 | 北京安天电子设备有限公司 | 一种客户端监控状态分析的方法及系统 |
CN102571481B (zh) * | 2011-11-14 | 2014-07-16 | 北京安天电子设备有限公司 | 一种客户端监控状态分析的方法及系统 |
CN103136253A (zh) * | 2011-11-30 | 2013-06-05 | 腾讯科技(深圳)有限公司 | 获取信息的方法和装置 |
CN102722521A (zh) * | 2012-04-24 | 2012-10-10 | 深圳市神盾信息技术有限公司 | 监控数据比对的方法及系统 |
CN102722521B (zh) * | 2012-04-24 | 2015-01-21 | 深圳市神盾信息技术有限公司 | 监控数据比对的方法及系统 |
CN105009132A (zh) * | 2013-03-11 | 2015-10-28 | 惠普发展公司,有限责任合伙企业 | 基于置信因子的事件关联 |
CN103500221A (zh) * | 2013-10-15 | 2014-01-08 | 北京国双科技有限公司 | 分析服务数据库的监控方法和装置 |
CN104852824A (zh) * | 2014-02-19 | 2015-08-19 | 联想(北京)有限公司 | 一种信息处理方法和装置 |
CN106415578A (zh) * | 2014-06-03 | 2017-02-15 | 三菱电机株式会社 | 日志分析装置和日志分析方法 |
CN106415578B (zh) * | 2014-06-03 | 2018-07-03 | 三菱电机株式会社 | 日志分析装置和日志分析方法 |
CN104933096B (zh) * | 2015-05-22 | 2018-06-19 | 北京奇虎科技有限公司 | 数据库的异常键识别方法、装置与数据系统 |
CN104933096A (zh) * | 2015-05-22 | 2015-09-23 | 北京奇虎科技有限公司 | 数据库的异常键识别方法、装置与数据系统 |
CN108140075A (zh) * | 2015-07-27 | 2018-06-08 | 皮沃塔尔软件公司 | 将用户行为分类为异常 |
CN105302657A (zh) * | 2015-11-05 | 2016-02-03 | 网易宝有限公司 | 一种异常情况分析方法和装置 |
CN106682101B (zh) * | 2016-12-05 | 2019-09-20 | 福建天晴数码有限公司 | 一种数据库脚本运行异常检测的方法及系统 |
CN106682101A (zh) * | 2016-12-05 | 2017-05-17 | 福建天晴数码有限公司 | 一种数据库脚本运行异常检测的方法及系统 |
CN109255211A (zh) * | 2017-07-12 | 2019-01-22 | 波音公司 | 移动安全对策 |
CN109255211B (zh) * | 2017-07-12 | 2023-09-15 | 波音公司 | 移动安全对策 |
CN112740133A (zh) * | 2018-09-24 | 2021-04-30 | Abb瑞士股份有限公司 | 监测技术设备的技术状态的系统和方法 |
CN112765598A (zh) * | 2019-10-21 | 2021-05-07 | 中国移动通信集团重庆有限公司 | 识别异常操作指令的方法、装置及设备 |
CN112149036A (zh) * | 2020-09-28 | 2020-12-29 | 微梦创科网络科技(中国)有限公司 | 一种批量非正常互动行为的识别方法及系统 |
CN112149036B (zh) * | 2020-09-28 | 2023-11-10 | 微梦创科网络科技(中国)有限公司 | 一种批量非正常互动行为的识别方法及系统 |
CN113407760A (zh) * | 2021-08-18 | 2021-09-17 | 云上(江西)大数据发展有限公司 | 一种用于共享平台的政务数据分析系统 |
Also Published As
Publication number | Publication date |
---|---|
CA2559034A1 (en) | 2005-10-06 |
US20050203881A1 (en) | 2005-09-15 |
JP2005259140A (ja) | 2005-09-22 |
TW200530805A (en) | 2005-09-16 |
AU2005225996A1 (en) | 2005-10-06 |
KR20070039478A (ko) | 2007-04-12 |
EP1723490A1 (en) | 2006-11-22 |
WO2005093546A1 (en) | 2005-10-06 |
IL177935A0 (en) | 2006-12-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1950778A (zh) | 数据库用户行为监控系统及方法 | |
US9984344B2 (en) | Systems, structures, and processes for interconnected devices and risk management | |
CN106411578B (zh) | 一种适应于电力行业的网站监控系统及方法 | |
US9324119B2 (en) | Identity and asset risk score intelligence and threat mitigation | |
CN113515433B (zh) | 告警日志处理方法、装置、设备及存储介质 | |
US9973536B2 (en) | Directing audited data traffic to specific repositories | |
Salem et al. | A survey of insider attack detection research | |
US9838419B1 (en) | Detection and remediation of watering hole attacks directed against an enterprise | |
US9479518B1 (en) | Low false positive behavioral fraud detection | |
US8624720B2 (en) | Security infrastructure | |
CN1643520A (zh) | 用于监控数据库系统的方法和装置 | |
KR100912794B1 (ko) | 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법 | |
CN102906756A (zh) | 与安全事件和参与者分类模型相关联的安全威胁检测 | |
EP3539043A1 (en) | Digital auditing system and method for detecting unauthorized activities on websites | |
CN109889485A (zh) | 一种用户异常操作行为检测方法、系统及存储介质 | |
CN1417690A (zh) | 基于构件的应用过程审计平台系统 | |
CN1556490A (zh) | 基于状态转换表的多源审计数据业务一致性判断方法 | |
CN113282474A (zh) | 基于堡垒机的用户行为监控方法、系统、设备及介质 | |
US9231971B2 (en) | Protecting a user from a compromised web resource | |
KR101973728B1 (ko) | 통합 보안 이상징후 모니터링 시스템 | |
Anderson et al. | Insider attack and real-time data mining of user behavior | |
KR20200054495A (ko) | 보안관제 서비스 방법 및 그를 위한 장치 | |
CN116684121A (zh) | 一种电力行业网络安全日志审计分析方法和系统 | |
Chen et al. | Network Equipment Safety Assessment Based on Alert Data | |
CN117749411A (zh) | 一种可视化电子数据防护方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20070418 |
|
C20 | Patent right or utility model deemed to be abandoned or is abandoned |