JP2005259140A - データベースを監視するための方法、命令の1つ以上のシーケンスを保持するコンピュータ読み取り可能な媒体、および装置 - Google Patents

データベースを監視するための方法、命令の1つ以上のシーケンスを保持するコンピュータ読み取り可能な媒体、および装置 Download PDF

Info

Publication number
JP2005259140A
JP2005259140A JP2005064244A JP2005064244A JP2005259140A JP 2005259140 A JP2005259140 A JP 2005259140A JP 2005064244 A JP2005064244 A JP 2005064244A JP 2005064244 A JP2005064244 A JP 2005064244A JP 2005259140 A JP2005259140 A JP 2005259140A
Authority
JP
Japan
Prior art keywords
database
data
user
determining
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005064244A
Other languages
English (en)
Other versions
JP2005259140A5 (ja
Inventor
Akio Sakamoto
昭夫 坂本
Chung-Kuang Chou
チュン−クアン・チョウ
G Tang Wani
ワニ・ジィ・タン
Jianguo Hu
ジアングオ・フ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
IPLocks Inc
Original Assignee
IPLocks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by IPLocks Inc filed Critical IPLocks Inc
Publication of JP2005259140A publication Critical patent/JP2005259140A/ja
Publication of JP2005259140A5 publication Critical patent/JP2005259140A5/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B29WORKING OF PLASTICS; WORKING OF SUBSTANCES IN A PLASTIC STATE IN GENERAL
    • B29CSHAPING OR JOINING OF PLASTICS; SHAPING OF MATERIAL IN A PLASTIC STATE, NOT OTHERWISE PROVIDED FOR; AFTER-TREATMENT OF THE SHAPED PRODUCTS, e.g. REPAIRING
    • B29C48/00Extrusion moulding, i.e. expressing the moulding material through a die or nozzle which imparts the desired form; Apparatus therefor
    • B29C48/03Extrusion moulding, i.e. expressing the moulding material through a die or nozzle which imparts the desired form; Apparatus therefor characterised by the shape of the extruded material at extrusion
    • B29C48/12Articles with an irregular circumference when viewed in cross-section, e.g. window profiles
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B29WORKING OF PLASTICS; WORKING OF SUBSTANCES IN A PLASTIC STATE IN GENERAL
    • B29CSHAPING OR JOINING OF PLASTICS; SHAPING OF MATERIAL IN A PLASTIC STATE, NOT OTHERWISE PROVIDED FOR; AFTER-TREATMENT OF THE SHAPED PRODUCTS, e.g. REPAIRING
    • B29C48/00Extrusion moulding, i.e. expressing the moulding material through a die or nozzle which imparts the desired form; Apparatus therefor
    • B29C48/25Component parts, details or accessories; Auxiliary operations
    • B29C48/88Thermal treatment of the stream of extruded material, e.g. cooling
    • B29C48/91Heating, e.g. for cross linking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/40Data acquisition and logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2135Metering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Mechanical Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Thermal Sciences (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Debugging And Monitoring (AREA)
  • Alarm Systems (AREA)

Abstract

【課題】 異例のアクティビティについてデータベースシステムを監視するための手法を提供する。
【解決手段】 監視中の対象データベースに関するユーザ挙動情報は、異例のアクティビティを検出するために、自動的に収集され、分析され、1つ以上の方針と比較される。実施例は、対象データベースに関するユーザ挙動データを、監査証跡および動的ビューを含むさまざまなソースから、データベースのデータベース管理システムと連携して収集する。実施例は、異例のデータベースアクティビティを検出するために、統計ベースの侵入検出(SBID)および規則ベースの侵入検出(RBID)のうちの1つ以上を採用する。正規の使用パターンから逸脱する不審なデータベースアクセスが検出されると、責任を有する機密保護担当者への警告、報告生成、eメール警告などの目標とされる動作が行なわれる。
【選択図】 図2

Description

発明の分野
この発明はデータベースシステムを管理することに関する。特に、この発明はデータベースシステムを監視するための方法および装置に関する。
背景
ネットワーク化されたシステムにおいてデータを保護することは重大である。ネットワークシステムが発展するにつれ、貴重なデータの機密保護を脅かすおそれがある状況の種類は数多く、かつ増加している。機密保護違反が起こった場合、それを検出できることが重要である。さもなければ、よくあることだが、データは将来における同様の種類の事象に無防備なままとなる。
ネットワーク管理者が貴重なデータを保護する際に直面する問題の種類は、たとえば、不正侵入攻撃、無断使用、インサイダー詐欺または誤用、および知的情報窃盗を含む。
ネットワーク化されたシステムが遭遇する共通の問題のいくつかについて、異なるアプローチが開発されてきた。たとえば、ファイヤウォールおよび仮想プライベートネットワークは、ネットワーク化されたシステムを外部サイトからの無断アクセスから防護する。パスワードの使用または特権の指定を介するアクセス制御は、あるレベルの保護を提供する。しかしながら、ファイヤウォールおよび仮想プライベートネットワークは、データをインサイダー窃盗から保護することはできない。なぜなら、パスワードが盗まれるおそれがあるためである。特権は管理が難しく、ユーザはしばしば自分の仕事の範囲外のデータにアクセス可能であり、機密保護は容易に破られ得る。
このセクションで説明するアプローチは、遂行可能なアプローチであるが、必ずしも、以前に考えられたかまたは遂行されたアプローチではない。したがって、他に指示がない限り、このセクションで説明するどのアプローチも、単にこのセクションに含まれるという理由で先行技術として適格であると仮定されるべきではない。
概要
この発明の実施例は、異例のアクティビティについてデータベースシステムを監視するための手法を提供する。監視中の対象データベースに関するユーザ挙動情報は、異例のアクティビティを検出するために、自動的に収集され、分析され、統計的に得られた標準および/または1つ以上の方針と比較され得る。実施例は、対象データベースに関するユーザ挙動データを、監査証跡および動的ビューを含むさまざまなソースから、データベースのデータベース管理システムと連携して収集する。実施例は、統計ベースの侵入検出(SBID)および規則ベースの侵入検出(RBID)の1つ以上を採用して、異例のデータベースアクティビティを検出する。統計ベースの侵入検出では、収集された情報は正規使用プロファイルを決定するために統計的プロファイリングを用いて分析される。規則ベースの侵入検出では、収集されたデータは明示的な機密保護規則と比較される。正規使用パターンから逸脱している不審なデータベースアクセスが検出された場合、責任を有する機密保護担当者に警告する、報告、eメール警告などを生成するといった、目標とされる動
作が行なわれる。
一実施例では、データベースアクティビティについての履歴情報から正規使用パターンを決定するメカニズムが提供される。正規使用パターンから統計的に著しく逸脱しているデータベースアクセスは検出され、警告される。使用パターンの一例は、1日の時間別のデータベースアクセス頻度を含む。
一実施例では、ユーザが明示的な機密保護規則を特定できるようにするメカニズムが提供される。規則に違反しているデータベースアクセスは検出され、警告される。機密保護規則のいくつかの例は、不審なOSユーザまたは場所を含む。
一実施例では、データベースアクセス情報は、対象データベースを制御するデータベース管理システムによって提供される機能を用いて収集される。たとえば、データベース管理システムは監査証跡を提供してもよく、それはデータベースアクセスについての情報を含んでいる。データベース管理システムはまた、現在のユーザセッションおよびリソース利用といった現在のデータベース使用に関する情報を提供する動的性能ビューも提供する。この情報は、監査証跡から得られた情報とともに使用可能である。
実施例は、データベースオブジェクトレベル監視、データベースユーザレベル監視、およびデータベースセッションレベル監視を含む1つ以上のレベルでの監視を可能にする。データベースオブジェクトレベル監視は、ある特定のデータベースオブジェクトに焦点を合せる。データベースユーザレベル監視は、あるデータベースユーザに焦点を合せる。データベースセッションレベル監視は、あるデータベースログインセッションに焦点を合せる。実施例は、さまざまな侵入検出アプローチに基づいて、各監視レベルのためのさまざまな機密保護方針をサポート可能である。
この発明を、添付図面の図において、限定のためではなく例示のために図示する。図中、同様の参照符号は同様の要素を指す。
実施例の詳細な説明
概要
データベースを監視するための方法および装置を記載する。以下の記載では、説明のために、多数の特定の詳細が、この発明の完全な理解を提供するために述べられる。しかしながら、この発明がこれらの特定の詳細なしで実践されてもよいことは明らかである。他の点では、この発明を不必要に不明瞭にしないよう、周知の構造および装置はブロック図の形で示される。
図3Aを参照すると、それは、この発明の一実施例に従った、データベースを監視するための方法を示している。図3Aに示す方法は、1人以上のユーザがデータベースをどのように使用するかを示すユーザ挙動データを収集するステップ(ブロック310)を含む。図示された方法はさらに、データを履歴データとして処理し、記憶するステップ(ブロック320)を含む。挙動パターンを決定するために履歴データを分析するステップ(ブロック330)も、図示された方法の一部である。図示された方法はさらに、1人以上のユーザがデータベースをどのように使用したかを示す新しい1組のデータを受信するステップ(ブロック340)を含む。図示された方法はまた、新しい1組のデータと挙動パターンとの比較を行なうステップ(ブロック350)も含む。比較に基づき、新しい1組のデータが1組の基準を満たすかどうかを判断するステップ(ブロック360)も、図示された方法の一部である。図示された方法はまた、新しい1組のデータが1組の基準を満たす場合に、新しい1組のデータが異例のアクティビティを表わしていると判断するステッ
プ(ブロック370)も含む。目標とされる動作を行なうことによって判断に応じるステップ(ブロック380)も、図示された方法に含まれていてもよい。
一実施例では、ユーザ挙動データを収集するステップは、データベースマネージャの監査証跡から情報を読出すステップをさらに含む。一実施例では、ユーザ挙動データを収集するステップはさらに、(1)1つ以上の選択されたデータベースオブジェクトについてのデータベースアクセスに関する情報、(2)1人以上の選択されたデータベースユーザについてのデータベースアクセスに関する情報、および(3)1つ以上の選択されたデータベースユーザセッションについてのデータベースアクセスに関する情報から選択された監視レベルで情報を収集するステップを含む。一実施例では、ユーザ挙動データを収集するステップはさらに、監視されるべき情報の種類を受信するステップと、情報の種類から監視レベルを決定するステップと、決定された監視レベルに基づいてデータベースマネージャ監査オプションを起動するステップとを含む。
一実施例では、挙動パターンを決定するために履歴データを分析するステップはさらに、履歴データから統計的モデルを決定するステップを含む。一実施例では、履歴データから統計的モデルを決定するステップはさらに、履歴データからデータベースアクセスの頻度を決定するステップと、データベースアクセスの頻度についての確率関数を決定するステップと、確率関数から累積確率関数を決定するステップとを含む。一実施例では、確率関数は、ポアソン確率分布、正規確率分布などであってもよい。
一実施例では、新しい1組のデータと挙動パターンとの比較を行なうステップはさらに、統計的モデルに対して新しい1組のデータを用いて仮説を検証するステップを含む。一実施例では、統計的モデルに対して新しい1組のデータを用いて仮説を検証するステップはさらに、新しい1組のデータについてのデータベースアクセスの頻度を決定するステップと、防護基準および確率関数パラメータからしきい値を決定するステップとを含む。一実施例では、統計的モデルパターンに対して新しい1組のデータを用いて仮説を検証するステップはさらに、新しい1組のデータについてのデータベースアクセスの頻度をしきい値と比較するステップを含む。
履歴情報は、1つ以上の選択されたデータベースオブジェクトについてのデータベースアクセスに関する情報を含んでいてもよい。さまざまな実施例において、履歴データからデータベースアクセスの頻度を決定するステップは、1日の時間別のオブジェクトアクセス頻度、1日の時間およびオペレーティングシステムユーザ別のオブジェクトアクセス頻度、1日の時間およびデータベースユーザ別のオブジェクトアクセス頻度、1日の時間および場所別のオブジェクトアクセス頻度、1日の時間またはオペレーティングシステムユーザ、データベースユーザおよび場所のうちの少なくとも2つの組合せ別のオブジェクトアクセス頻度のうちの1つ以上の頻度を決定するステップのうちの1つ以上を含む。
履歴情報は、1つ以上の選択されたデータベースユーザについてのデータベースアクセスに関する情報を含んでいてもよい。さまざまな実施例において、履歴データからデータベースアクセスの頻度を決定するステップは、1日の時間別のユーザアクセス頻度、1日の時間およびオペレーティングシステムユーザ別のユーザアクセス頻度、1日の時間およびデータベースユーザ別のユーザアクセス頻度、1日の時間および場所別のユーザアクセス頻度、1日の時間またはオペレーティングシステムユーザ、データベースユーザおよび場所のうちの少なくとも2つの組合せ別のユーザアクセス頻度のうちの1つ以上の頻度を決定するステップのうちの1つ以上を含む。
履歴情報は、1つ以上の選択されたデータベースユーザセッションについてのデータベースアクセスに関する情報を含んでいてもよい。さまざまな実施例において、履歴データ
からデータベースアクセスの頻度を決定するステップは、セッションごとのページ読出の数、セッションごとのアクセス期間、または単位時間ごとのページ読出の数のうちの1つ以上の頻度を決定するステップのうちの1つ以上を含む。
さまざまな実施例において、目標とされる動作を行なうステップは、警告を発するステップ、eメールを送信するステップ、報告を作成するステップ、および視覚化を行なうステップのうちの1つ以上を含む。
一実施例では、新しい1組のデータが規則ベースの方針に違反しているかどうかを判断するステップが行なわれる。新しい1組のデータが規則ベースの方針に違反している場合、新しい1組のデータは異例のアクティビティを表わしていると判断される。一実施例では、異例のアクティビティは不審なアクティビティを含む。
他の点では、この発明の実施例は、前述のプロセスを実行するよう設定された装置およびコンピュータ読み取り可能な媒体を包含する。
用語
「データベース」は、ある編成に従ってデータを記憶するための使用される任意のデータ構造を含む。データベースは、リレーショナルデータベース、オブジェクトデータベース、階層型データベース、ネットワークデータベース、多次元データベースなどを含む。
「データベーストリガ」は、データベースオブジェクトに関与するある特定のイベントに応じて、たとえばテーブルまたはビューが選択または修正される場合にはいつでも、自動的に呼出される記憶されたデータベースプロシージャを指す。
「データベースセッション」は、ユーザプロセスを介した、ユーザのデータベースへの特定の接続を指す。セッションは、ユーザがデータベースアプリケーションに接続した時点から、ユーザがデータベースアプリケーションとの接続を排除するかまたはデータベースアプリケーションから出る時点まで続く。
「Java(登録商標)データベースコネクティビティ(JDBC)API」は、ユーザがJava(登録商標)プログラミング言語からどのデータソースにもアクセスできるようにする、標準SQLデータベースアクセスインターフェイスである。
「ポアソン分布」は、イベント間の待機時間が指数的に分布している場合の間隔におけるイベントの数の確率分布である。
「監査証跡」は、コンピュータイベントの一連の記録である。それは、システムアクティビティを監視する監査システムによって生成される。記録は、コンピュータファイル、またはデータベーステーブルを含むもののこれらに限定されないさまざまな形で記憶されてもよい。
「特権」は、ネットワークまたはデータベースのユーザが実行を許可された1組のアクションまたは動作を指す。また、これに代えて、特権は、認可または1組の認可として言及されてもよい。
システム説明
図1は、一実施例においてデータベースを監視するための手法が実現され得るネットワークコンピューティングシステムの高レベル概要を示すブロック図である。図1に示す一実施例によれば、データベース監査エンジン110は、ユーザおよび/またはプロセスに
よるデータベース132へのアクセスの監視を提供するために、データベースサーバ130およびデータベース132から構成されるデータベースシステムにネットワーク106によって結合されている。一実施例では、ネットワーク106は、ファイヤウォール124およびルータ122を介してインターネット108に接続されている。ファイヤウォール124は、ネットワーク106および関連する構成要素を、インターネット108を越えて送信される有害なプログラムから保護するよう設定されている。ルータ122は、インターネット108とネットワーク106との間のネットワークトラフィックを管理し、制御する。
データベースサーバ130は、データベース132内のデータを保持する。データベース132内のデータの中には、ネットワーク106上の1人以上のユーザにとって重大なものもあるかもしれない。重大なデータは、監査記録、顧客口座情報および従業員給与情報を、例として、かつこれらに限定されずに含んでいてもよい。実施例によっては、データベース132はデータベース130の不可欠な部分であるかもしれない。アドミニストレータステーション144は、アドミニストレータがネットワーク106上で管理機能を行なうことができるようにする。管理機能は、ユーザのアクティビティを含め、ネットワーク106の機密保護を監視することを含んでいてもよい。実施例によっては、ネットワーク106に他の要素および構成要素(図1には図示せず)が接続されていてもよい。
一実施例では、データベース監査エンジン110は、データコレクタ112、データ分析器114および異例検出器116を含む。データコレクタ112は、データベース132にアクセスすることに関するユーザ挙動についてのデータを、データベースサーバ130から、指定された間隔で、または指定された条件(手動コマンドなど)の発生時に読出し、データを履歴データとして記憶するよう設定されている。データベース分析器114は、データコレクタ112によって記憶された履歴データに対して分析動作を行ない、データベース132にアクセスすることに関する挙動パターンを決定する。新規データが受信されると、異例検出器116は、新規データと履歴データから決定された挙動パターンとの比較に基づき、新規データが異例のアクティビティを表わしているかどうかを判断する。実施例の中には、データベース監査エンジン110が、データベースサーバ130の性能に顕著な影響を与えることなく、警告を収集し、分析し、信号で送る能力を提供するものもある。データコレクタ112、データ分析器114および異例検出器116によって行なわれる処理の一例のより詳細な説明を、図3A〜図3Eを参照して、以下に述べる。
図2は、一実施例における例示的なデータベース監査エンジンでの処理の高レベル概要を示すブロック図である。
一実施例では、データベース監査エンジン110は、データベースサーバとの干渉を低減するために、データベースサーバ130の外部で作動する。一実施例では、データコレクタ112は、たとえばデータベースサーバ130上でエージェントを実行する必要なく作動する。そのような実施例では、データコレクタ112は、ユーザ挙動に関する情報を、データベースサーバ130によって保持される監査証跡84から収集し、および/または、データベース132への「読出専用」アクセスを採用してデータを収集する。一実施例では、データコレクタ112は、監視されるべき情報の種類に基づいて監視レベルを決定し、この監視レベルに基づいてデータベースマネージャ130の監査オプションを起動する。次に、データコレクタ112は、設定された監査オプションのためにデータベースサーバによって作成され保持された監査証跡を読出す。いくつかの実施例では、データコレクタは、ユーザセッション、および、データベース管理システム(DBMS)によって保持されているリソース利用といった、データベース使用についての情報を含む動的性能ビュー86も含む。データコレクタ112は、監査証跡84および動的性能ビュー86か
ら得たユーザ挙動データを、履歴データ88として記憶する。ユーザ挙動データを収集し、それを履歴データとして記憶するための処理の一例のより詳細な説明を、図3Bを参照して以下に述べる。
データ分析器114は、データコレクタ112によって記憶された履歴データ88に対して1つ以上の分析プロセスを実行する。一実施例では、データ分析器114は、履歴データ88の分析を含む一連の動作を実行して挙動パターン90を決定する。一実施例では、データ分析器114は、データベースアクセスの頻度を履歴データ88から決定する。データベースアクセスの頻度は、1日の時間などの時間単位について計算されてもよい。次に、データ分析器114は、データベースアクセスの頻度についての確率関数を決定する。挙動パターンを決定するために履歴データを分析するための処理の一例のより詳細な説明を、図3Cを参照して以下に述べる。
新しい1組のデータがデータベースサーバ130から受信されると、異例検出器116は、この新しい1組のデータを、履歴データから決定された挙動パターンと比較する。異例検出器116は、新規データと履歴データ88から決定された挙動パターンとの比較に基づき、新規データが異例のアクティビティを表わしているかどうかを判断する。一実施例では、異例検出器116は、規則ベースの侵入検出を行なうために、新規データを機密保護規則92とも比較する。分析動作の1つ以上は、機密保護規則92または他の規則と、データベースサーバ130のアドミニストレータまたはオペレータによって指定される条件との使用を必要とするかもしれない。機密保護規則92は、機密保護違反が起こったかどうかを異例検出器116が判断できるようにするためのメカニズムを提供する。アドミニストレータステーション144は、機密保護規則92の管理を可能にする。異例なデータが一旦識別されると、異例検出器116は目標とされる動作を行なう。たとえば、異例検出器116はeメール警告96を送信して、アドミニストレータステーション144に侵入を信号で知らせてもよい。異例検出器116はまた、または加えて、報告94を提供するか、もしくは視覚化98を作成してもよい。
一実施例では、データベース監査エンジン110は、あるイベントがいつ、データベースサーバ130によって保持されるデータに悪影響を与えるかを検出する。たとえば、データベース監査エンジン110は、インターネット108を越えてネットワーク106にアクセスする身元不明のユーザからの、データベースサーバにより保持されるデータの無断アクセスおよび/または操作を検出してもよい。データベース監査エンジン110はまた、ネットワーク106のユーザがいつ、データベースサーバ130によって記憶されたデータを故意にまたは意図せずに損なうかも判断してもよい。データベース監査エンジン110は、ネットワークを通って渡された「有害ソフト」の存在を、その有害ソフトがデータベースサーバ130により保持されるデータに影響を与える際に検出してもよい。データベースサーバ130に影響を与え、データベース監査エンジン110によって検出可能なイベントの他の例は、盗まれたパスワードを用いた無断アクセス、インサイダー詐欺、誤用、または特権濫用を含むもののこれらに限定されない。インサイダー詐欺の一例は、銀行の出納係による貴重な顧客口座情報の複製である。特権濫用の一例は、データベースアドミニストレータ(DBA)による従業員給与情報へのアクセスである。
図3Aは、一実施例におけるデータ収集、分析および異例検出処理の高レベル概要を示すフローチャートである。ブロック310で、ユーザ挙動データを含むデータセットがデータベースサーバから収集される。ブロック320で、ユーザ挙動データは履歴データとして記憶される。ブロック330で、履歴データは、挙動パターンを決定するために分析される。ブロック340で、データベースサーバから新しい1組のデータが受信される。ブロック350で、新しい1組のデータは挙動パターンと比較される。ブロック360で、比較に基づき、新しいデータセットが1組の基準を満たすかどうか、判断が下される。
ブロック370で、新規データが異例のアクティビティを表わしているかどうか、判断が下される。ブロック380で、ブロック370によって異例のアクティビティが検出された場合には、目標とされる動作が行なわれる。目標とされる動作は、さまざまな実施例において、eメール警告を送信するステップ、報告を作成するステップ、視覚化を行なうステップなどのうちの1つ以上を含んでいてもよい。
データ収集
この発明の実施例は、データベースアクセスに関する情報を収集し、情報を内部データベースに履歴データとして記憶するためのさまざまな手法のうちの1つ以上を用いる。データベースアクセスに関する情報をデータベース管理システムから収集するさまざまな方法は、データベーストリガ、データベーストランザクション変更ログ、データベース監査機能、およびデータベース動的システムビューを含むもののこれらに限定されない。
監査機能は、さまざまな市販のデータベース管理システムによって提供されてもよい。この監査機能はさまざまなイベントを監査するよう設定可能である。監査機能は、データベースアクセス情報を含む監査証跡を生成する。通常、監査機能によって追跡されるデータベースアクセス情報はデータベース管理システムに依存するが、多くのデータベース管理システムは、ユーザ名、オブジェクト名、アクション、端末、タイムスタンプなどの監査情報の追跡を提供する。
商業的に入手可能なさまざまなデータベース管理システムはまた、動的システムビューも提供する。動的システムビューは、現在のユーザセッションおよびリソース利用に関する情報を提供する。たとえば、ある人気のあるデータベース管理システムは、機密保護に関連するいくつかの動的性能ビューを提供し、V_$SESSIONは各々の現在のユーザセッションについての情報を列挙し、V_$SESS_IOは各ユーザセッションについてのI/O統計を列挙し、V_$SESSTATはユーザセッション統計を列挙し、V_$ACCESSは、現在ロックされているオブジェクトとそれらにアクセス中のセッションとを示し、V_$SQLは、SQLプールにおけるSQLコマンドテキストを示している。
通常は常駐記録である監査証跡と比較して、データベース動的ビューは通常、非常駐データを含む。データベース動的ビューは、データベースの定期的サンプリングをとることによって監視可能である。定期的サンプリングを用いるアプローチが監視間隔間で発生する或る不審なデータベースアクセスを検出し損なう、ということは起こり得る。この可能性を最小限に抑えるため、サンプリング間隔はかなり短くなるよう設定されてもよい。これに対し、監査アプローチは、監査される全イベントを、パージされるまで監査証跡に出現するよう提供する。また、動的ビューは、データベースアクセスに関する一般的な情報を比較的粗めの細分性で提供するが、一方、監査証跡は、比較的より詳細で特定の情報をデータベースオブジェクトレベルの細分性で提供する。一実施例では、動的ビューは、監査証跡が利用できない場合、たとえばデータベース監査機能がアクティブでない場合などに、補助情報として、または情報の代替的な源として使用可能である。
データベーストリガは、監視中のデータベースから情報を収集するための別の手法であり、それは、リアルタイム監視がデータベースのユーザによって侵入的すぎると考えられていないアプリケーションにおいて有用であり得る。データベーストランザクション再実行ログは、読出専用アクセスに関する情報が必要とされないアプリケーションにおいて有用であり得る、データ変更に関する情報を収集するためのさらに別の手法である。
図3Bは、一実施例におけるデータ収集処理の高レベル概要を示すフローチャートである。ブロック311で、監視されるべき情報の種類が受信される。ブロック312で、監
視されるべき情報の種類に基づいて監視レベルが決定される。ブロック313で、監視レベルに基づいてデータベースマネージャの監査オプションが起動される。ブロック314で、データセットが監査証跡から読出される。ブロック315で、データセットは処理される。ブロック316で、読出すべきデータが他にないかどうかを判断するために検証が行なわれる。読出すべきデータが他にある場合、制御はブロック314に戻って続く。その他の場合、制御は呼出元に戻る。
データコレクタは、監査証跡または動的性能ビューからユーザ挙動データを収集し、情報を処理し、そのデータを履歴データとして記憶する。履歴データはたとえば内部データベースに保存可能である。一実施例では、対象となっている各アクションについて、さまざまな属性が履歴データに記憶される。たとえば、SELECTまたはLOGINアクションは、(1)オペレーティングシステムユーザ識別子(OSUSER)、(2)アクションを行なうユーザのデータベースユーザ識別子(DBUSER)、(3)対象スキーマオブジェクト識別子(OBJECT)、(4)オブジェクトのオーナー(OWNER)、(5)クライアントシステム識別子(LOCATION)、(6)アクション識別子(ACTION)、(7)アクションの時点(TIMESTAMP)、(8)セッション用論理読出の数(READ)、(9)セッション用論理書込の数(WRITE)、および(10)成功または失敗理由コード(RETURNCODE)などの属性を含むものの、これらに限定されない。
データベースユーザ挙動監視は、たとえばデータベースオブジェクトレベル、データベースユーザレベル、およびデータベースセッションレベルを含む異なる焦点を各々有する異なる観点から実行可能である。
たとえば、一実施例では、データベースオブジェクトレベル監視は、選択された重大な、または敏感なデータベースオブジェクトについてデータベースアクセスを監視することを含む。データベースオブジェクトは、データベーステーブル、データベースビュー、または、データベースに記憶されたプロシージャであり得る。データベース監視は、このオブジェクトがだれに、いつ、どこで、およびどのぐらいの頻度で任意のユーザによってアクセスされるかを追跡する。重大なデータベースオブジェクトの一例は、企業の「従業員」テーブルであり、それは従業員の給与情報を含んでいる。
別の例では、一実施例において、データベースユーザレベル監視は、選択されたデータベースユーザによるデータベースオブジェクトアクセスを監視することを含む。データベース監視は、このユーザが何に、いつ、どこで、およびどのくらいの頻度で任意のオブジェクトにアクセスするかを追跡する。選択されたデータベースユーザの一例は、データベースから情報を盗んだ疑いがかけられている、不満をもつ従業員であり得る。
さらに別の例では、一実施例において、データベースセッションレベル監視は、選択されたデータベースユーザによるデータベース接続またはログインセッションを監視することを含む。データベース監視は、このユーザによるログイン期間、ログイン失敗、およびリソース利用を追跡する。
一実施例では、データベースにおける1つ以上の異なる監査オプションが、データベース監査エンジンによって実行されるべき監視のレベルに基づいて自動的にイネーブルにされる。イネーブルにされた監査オプションは、対象データベースのデータベース管理システムに依存している。たとえば、一実施例では、データベースオブジェクトレベル監視をサポートするには、データベース監視システムは、ある特定のオブジェクトについてのオブジェクト監査を自動的にイネーブルにする。データベースユーザレベルまたはセッションレベル監視をサポートするには、このシステムは、ある特定のユーザについてのステー
トメント監査を自動的にイネーブルにする。
データ分析
この発明の実施例は、侵入検出データ分析への1つ以上のアプローチを実現してもよい。一実施例では、異例のデータベースアクセスを検出するために、統計ベースの侵入検出(SBID)および規則ベースの侵入検出(RBID)がともに用いられてもよい。統計ベースの侵入検出を用いる実施例では、ユーザ挙動情報の履歴の統計的分析が、ユーザ挙動パターンを生成するために行なわれる。これらのパターンから著しく逸脱するその後のどのデータベースアクセスも、異例のアクティビティを表わしていると判断される。規則ベースの侵入検出を用いる実施例は、方針としても知られる機密保護規則または制約から構成される知識ベースを維持する。方針に違反しているデータベースアクセスは、異例のアクティビティを表わしていると判断されてもよい。
図3Cは、一実施例において統計ベースの侵入検出を実現するデータ分析処理の高レベル概要を示すフローチャートである。ブロック331で、データベースアクセスの頻度が履歴データから決定される。履歴データに基づき、統計的モデルが構築され、異例なアクティビティの検出において使用するために妥当性を検証されてもよい。履歴データの統計的分析は、正規のデータベースアクセスレートを決定可能である。
ブロック332で、ブロック331で決定されたデータベースアクセスの頻度から、データベースアクセスの頻度についての確率関数が決定される。データベースアクセスの頻度は確率分布に適合可能である。特定の実施例では、正規確率分布またはポアソン確率分布などを含むもののこれらに限定されないさまざまな確率分布が使用されてもよい。
一例では、ユーザは昼間または夜間、一定のレートでランダムにデータベースにアクセスする。データベースアクセスのレートは、昼間と夜間とでは異なる場合がある。この1組の基準の下で、ポアソン分布を用いて、イベント間の時間が指数分布に従うデータベースアクセス頻度を記述してもよい。Xは間隔ごとのランダム発生の数、mは間隔ごとのランダム発生の平均数、Pは間隔内でn回発生するXの確率とすると、以下のようになる。
ブロック333で、累積分布関数(CDF:Cumulative Distribution Function)が決定可能である。ポアソン分布を用いる実施例では、累積分布関数は、式(2)に示すように、nよりも小さいかまたは等しい値を有するXの確率を与える。
データ分析器は、確率分布関数のパラメータ値を決定する。ポアソン分布の場合、それは、履歴データのための間隔ごとのランダム発生の平均数mの値である。
たとえば、発生はデータベースに対して発行されるSELECTコマンドの数として定
義されてもよく、間隔は1日の1時間として定義されてもよい。他の実現化例では、発生は他の種類のコマンドまたはイベントとして定義されてもよく、間隔は他の時間周期として定義されてもよい。次に続く処理では、異例検出器が確率関数に基づいて新しいデータポイントを履歴データと比較する。
さまざまな実施例において、データ分析器は、OSユーザ、データベースユーザ、場所、およびオブジェクトを含むもののこれらに限定されない多数の次元の属性に基づいて、履歴データを分析する。アクセス頻度は、各OSユーザ、データベースユーザ、場所、オブジェクト、または多数の属性の組合せについて計算可能である。さまざまな次元に基づく測定値が定量的な比較のために使用されてもよい。
たとえば、一実施例では、オブジェクトレベル監視は、1日の時間別のオブジェクトアクセス頻度、1日の時間およびOSユーザ別のオブジェクトアクセス頻度、1日の時間およびデータベースユーザ別のオブジェクトアクセス頻度、1日の時間および場所別のオブジェクトアクセス頻度、1日の時間および属性(OSユーザ、データベースユーザ、ならびに場所)の組合せ別のオブジェクトアクセス頻度を含む多次元のオブジェクトアクセス頻度規則、といった測定値のうちの1つ以上を含んでいてもよいが、それらに限定されない。
別の例では、一実施例において、ユーザレベル監視は、1日の時間別のユーザアクセス頻度、1日の時間およびOSユーザ別のユーザアクセス頻度、1日の時間およびデータベースユーザ別のユーザアクセス頻度、1日の時間および場所別のユーザアクセス頻度、1日の時間および属性(OSユーザ、データベースユーザ、ならびに場所)の組合せ別のユーザアクセス頻度を含む多次元のオブジェクトアクセス頻度規則、といった測定値のうちの1つ以上を含んでいてもよいが、それらに限定されない。
オブジェクトまたはユーザアクセス頻度に加え、さまざまな実施例において他の測定値がセッションレベル監視のために使用可能であり、たとえば、セッションごとのページ読出の数によって測定されるセッション別アクセス頻度、セッションごとの時間数によって測定されるセッション別アクセス期間、および毎分あたりのページ読出の数によって測定されるアクセス比率を含むものの、それらに限定されない。
異例検出
図3Dは、一実施例における異例検出処理の高レベル概要を示すフローチャートである。ブロック351で、データベースアクセスの頻度が、新しい1組のデータから決定される。
ブロック352で、しきい値頻度が、防護基準および確率関数パラメータから決定される。一実施例では、確率関数パラメータは、前にブロック331でデータ分析器によって決定された履歴データのアクセス頻度である。一実施例では、アクセス頻度は、1日の時間別のSELECT動作の平均数である。
たとえば、午前2時についての平均アクセス頻度が1.5であるとデータ分析器が履歴データから判断し、午前2時についての現在のアクセス頻度が7であることを示す新規データが受信された場合、その新規データは異常であろうか?答えは防護基準による。一実施例では、防護基準は確率百分位として表わされてもよい。異例検出器は、しきい値アクセス頻度値を、防護基準確率百分位および確率関数パラメータ、つまりブロック331でデータ分析器によって計算された履歴アクセス頻度から決定する。しきい値を越える頻度値はどれも検証に合格せず、異例であると考えられる。防護百分位が低くなるにつれて、イベントが異例であるとして分類されることがより難しくなり、失敗警告の発生がより少
なくなる。
たとえば、防護確率基準が0.1%として特定される場合、異例検出器はしきい値nを、式(3)に示すように、nを越える値を有する確率が0.1%よりも小さくなるように計算する。
これは、式(4)に示すように、nより小さいかまたは等しい値を有する確率が99.9%よりも大きくなるようにしきい値nを決めることと同等である。
式(2)の累積分布関数に代えて、式(4)からのF(n)>99.9%、および値が1.5のm(確率関数パラメータ、履歴データの平均アクセス頻度)を用いることは、nのためのしきい値が6という結果をもたらす。
新規データセットのアクセス頻度は7で、アクセス頻度しきい値6を上回っているため、異例が検出される。
ブロック353で、(ブロック351からの)現在のアクセス頻度の値が、(ブロック352からの)しきい値アクセス頻度と比較される。
一実施例では、異例検出器は、動的な統計パターンおよび/または静的な不規則ベースの方針のいずれかに基づいて、履歴データにおける不審なデータベースアクセスを検出し、eメール警告を生成する。報告またはグラフも生成可能である。
機密保護方針を用いてデータベースユーザ挙動を監視することが可能である。たとえば、一実施例では、機密保護方針の2つの異なるカテゴリ、つまり(1)アクセス頻度方針と(2)アクセス違反方針とがある。アクセス頻度方針は、データベース監査エンジンがさまざまな次元に基づいて1日の時間別のアクセス数を防護できるようにする。そのような侵入検出は、前に述べたように統計ベースであってもよく、および/または規則ベースであってもよい。一実施例では、防護しきい値は、1日の時間別のアクセス数などの点で絶対値として特定可能である。アクセス違反方針は、データベース監査エンジンが明示的な機密保護規則を用いて各個々のデータベースアクセスを防護できるようにする。表1は、一実施例においてデータベースユーザ挙動を監視するために使用可能なさまざまな機密保護方針を示す。
たとえば、さまざまな実施例において、以下のアクセス違反規則がオブジェクトレベル監視に対して特定可能である。(1)オブジェクトアクセス機密保護違反:適正な許可なく特定のオブジェクトを読出そうとして失敗した試みはどれも警告される。(2)不審なOSユーザによるオブジェクトアクセス:無効なOSユーザによる特定のオブジェクトの
うまくいった読出はどれも警告される。一実施例では、有効なOSユーザのリストが定義可能であり、リストにないOSユーザによるアクセスはどれも警告される。別の実施例では、無効なOSユーザのリストが定義可能であり、リストにあるOSユーザによるアクセスはどれも警告される。(3)不審なデータベースユーザによるオブジェクトアクセス:無効なデータベースユーザによる特定のオブジェクトのうまくいった読出はどれも警告される。一実施例では、有効な、および/または無効なデータベースユーザのリストが定義可能である。(4)不審な場所からのオブジェクトアクセス:無効なクライアントシステムからの特定のオブジェクトのうまくいった読出はどれも警告される。一実施例では、有効な、および/または無効な場所のリストが定義可能である。(5)多次元オブジェクトアクセス規則:属性(OSユーザ、データベースユーザ、および場所)の無効な組合せでの特定のオブジェクトのうまくいった読出はどれも警告される。
別の例では、さまざまな実施例において、以下のアクセス違反規則がユーザレベル監視に対して特定可能である。(1)ユーザアクセス機密保護違反:特定のデータベースユーザが適正な許可なく読出そうとして失敗した試みはどれも警告される。(2)不審なOSユーザによるユーザアクセス:無効なOSユーザからの特定のデータベースユーザによるうまくいった読出はどれも警告される。一実施例では、有効な、および/または無効なOSユーザのリストが定義可能である。(3)不審なデータベースオブジェクトのユーザアクセス:特定のデータベースユーザによる無効なデータベースオブジェクトへのうまくいった読出はどれも警告される。一実施例では、有効な、および/または無効なオブジェクトのリストが定義可能である。(4)不審な場所からのユーザアクセス:無効なクライアントシステムからの特定のデータベースユーザによるうまくいった読出はどれも警告される。一実施例では、有効な、および/または無効な場所のリストが定義可能である。(5)多次元ユーザアクセス規則:属性(OSユーザ、データベースオブジェクト、および場所)の無効な組合せでの特定のデータベースユーザによるうまくいった読出はどれも警告される。
さらに別の例では、さまざまな実施例において、以下のアクセス違反規則がセッションレベル監視に対して特定可能であり、以下のアクセス違反規則は次のように特定可能である。(1)ログイン失敗:無効のパスワードによるログインの失敗は警告される。(2)不審な時間枠でのログイン:特定された正規の時間外のログイン時間は警告される。(3)不審なOSユーザによるログイン:特定のデータベースユーザおよび無効なOSユーザによるうまくいったログインはどれも警告される。一実施例では、有効な、および/または無効なOSユーザのリストが定義可能である。(4)不審な場所からのログイン:無効のクライアントシステムからの特定のデータベースユーザによるうまくいったログインはどれも警告される。一実施例では、有効な、および/または無効な場所のリストが定義可能である。(5)多次元セッション規則:属性(OSユーザおよび場所)の無効な組合せでのうまくいったログインはどれも警告される。
監視例
一実施例におけるデータベース監視の動作を、図3Eのフローチャートおよび図6A〜図6Mで示すスクリーンショットを参照して述べられるデータベース用監視動作を設定し、使用する一例を用いて示す。一実施例では、監視動作の設定は、グラフィカルユーザインターフェイスがウェブブラウザを用いて実現された状態で行なわれる。図6A〜図6Mで示す例示的なユーザインターフェイススクリーンでは、ユーザは前の/次の誘導矢印に従って、監視動作を設定するプロセスをたどって1ステップずつ実行できる。また、これに代えて、ユーザはパネル上部のメニューバーから項目を選択してもよく、または、パネル左側の階層型ツリービューからリンクをクリックしてもよい。
ユーザは、図3E、ブロック410に示すように、監視されるべきデータベースを開く
ことによってプロセスを開始してもよい。一実施例では、データベースを開くステップは、図6Aに示すように、ホスト名、データベース名、ユーザ名およびパスワードを特定することによってデータベース接続を定義するステップを含む。ユーザは、図6Bに示すように、特定されたデータベースに接続する。
ブロック420で、ユーザは、特定されたデータベースのための監視スケジュールを設定する。監視スケジュールを設定するプロセスの間、ユーザは、図6Cに示すように、データ分析器がどれぐらいの頻度でユーザ挙動データを「学習」し、統計的モデルを再構築するかを特定する。ユーザはまた、図6Cに示すスクリーンを再度用いて、異例検出器がどれぐらいの頻度で異例データに対して「防護」し、警告を送信するかを特定する。
ブロック430で、ユーザはeメール受信者を設定する。ユーザは、例示的な一実施例において、図6Dに示すスクリーンを用いて、異例が生じた際に誰に警告eメールを送信するかを特定する。
ブロック440で、ユーザは監視方針を設定する。図6E〜図6Fに示すスクリーンは、例示的な一実施例における監視方針の設定を示している。ユーザは、図6Eに示すように、監視する「重大な」オブジェクトを選択する。ユーザは、図6Fに示すように、このオブジェクトのために起動するアクセス違反方針を選択する。ユーザは、誰がこのオブジェクトにアクセスすることを許可されるかを特定する。多次元オブジェクト規則については、それは属性の組合せとして定義可能である。たとえば、図6Gに示すように、データベースユーザWANIは、自分がOSユーザIPLOCKS/WTANGとして、クライアントシステムWLINUXからログインされる場合に限り、このオブジェクトにアクセス可能である。このユーザはまた、図6Hに示すように、このオブジェクトを監視するために起動するアクセス頻度方針も特定する。
ブロック450で、ユーザは監視を開始する。一実施例では、監視は、図6Iに示すようなステータススクリーンのチェックボックスをクリックすることによって開始される。
ブロック460で、ユーザは警告および/またはグラフを見る。階層型の一例では、データベースユーザWANIに属するデータベースパスワードが盗まれ、不法行為者が盗まれたパスワードを用いて、そのパスワードが使用を割当てられたもの以外のマシンからデータベースオブジェクトにアクセスしようとする。不法行為者が使用を試みると、図6Jに示すような多次元オブジェクト規則のアクセス違反を引起こす。たとえば、設定された多次元オブジェクト規則は、(図6Gに示すように)データベースユーザWANIが、OSユーザIPLOCKS/WANIによって、かつ場所WLINUXからしか、オブジェクトHR.EMPにアクセスできないことを示している。不法行為者は、データベースユーザWANIとして、異なるOSユーザIPLOCKS/CKCHOUによって、かつ異なる場所CKDESKTOPから、オブジェクトにアクセスしようとすると、それはアクセス違反を引起こす。目標とされる動作がトリガされてもよい。図6Jに示す例では、図6Dに示すスクリーンを用いて定義されたeメール受信者に、eメール警告が送信される。ユーザは、図6Kに示すように、グラフィックユーザインターフェイスを介して警告を見る。ユーザはまた、図6Lに示すような、任意のユーザによる任意のオブジェクトについてのアクセスパターンを見る。ユーザがアクセス頻度しきい値または百分位に違反している場合、警告が同様に送信される。
ブロック470で、ユーザは報告を生成する。ユーザは警告についての概要報告を生成し、それは、図6Mに示すように問題の分析を支援できる。図3Eおよび図6A〜図6Mを参照して上に説明したプロセスは単に、一実施例を用いた一例である。他の実施例は、簡略のためここでは述べられなかった他のプロセスおよびスクリーンを含み、および/ま
たは、説明された処理および/またはスクリーンのいくつかを省略してもよい。
図4は、一実施例におけるデータベースへのアクセスの例示的な確率分布を示すグラフである。図4は、24時間の期間中での或る特定のユーザによるデータベースアクセスアクティビティの一例を示している。図4では、各棒は、このユーザによる1時間当たりのオブジェクトアクセスの数を表わしている。図4に示す例示的な確率分布では、ユーザがデータベースにアクセスする確率は2つのピークを有し、一方のピークは午前の中頃の時間に起る可能性があり、別のピークは午後の中頃の時間に起る可能性がある。これらの時間枠外の過度のデータベースアクセスアクティビティは疑わしい可能性がある。
図5は、一実施例におけるデータベース監視システムの高レベル概要を示すブロック図である。図5に示すように、データベース監視システムは3層アーキテクチャを含む。第1の層では、データベース監視システムは、データベース監視機能性へのアクセスを提供するためのウェブブラウザを含む。一実施例では、Java(登録商標)サーバページ(JSP)がユーザインターフェイスを提供する。
第2の層では、データベース監視システムは、一実施例ではアパッチトムキャット(Apache Tomcat)を用いて実現されているウェブサーバと、一実施例ではポストグレ(Postgre)SQL(登録商標)データベースを用いて実現されている履歴データの記憶用の内部データベースとを用いる。この発明の実施例は、安全なリナックス(Linux)オペレーティングシステムとともに実行されるペンティアム(Pentium)(登録商標)または同等の機能性のハードウェアプラットフォームを含むもののこれらに限定されない任意のコンピューティングプラットフォーム上にあり得る。データベース監視システムの構成要素は、データコレクタ、データ分析器、および異例検出器を含む。支持構成要素は、(1)ユーザがスケジュール設定および方針設定といった実現化に特有の必要性に従ってデータベース監視システムをカスタマイズできるようにするコンフィギュレータ、(2)指定された機密保護担当者に警告メッセージを送信するEメール警告、(3)診断報告を生成する報告マネージャ、(4)データベースユーザ挙動パターンのグラフィック表現を生成するビジュアライザのうちの1つ以上を含む。
第3の層では、データベース監視システムはJava(登録商標)データベースコネクティビティ(JDBC)APIを用いてターゲットデータベースにアクセスする。
ハードウェア概要
一実施例では、図1に示すコンピューティング環境100のさまざまな構成要素は、1つ以上のプロセッサによって実行可能な命令の組として実現可能である。図7は、これらの構成要素を実行させるために使用され得るコンピュータシステム700のブロック図を示す。コンピュータシステム700は、情報を通信するためのバス702または他の通信メカニズムと、情報を処理するためにバス702と結合されたプロセッサ704とを含む。コンピュータシステム700はまた、プロセッサ704により実行されるべき命令および情報を記憶するためにバス702に結合された、ランダムアクセスメモリ(RAM)または他のダイナミック記憶装置といったメインメモリ706も含む。メインメモリ706は、プロセッサ704により実行されるべき命令の実行中に一時的な変数または他の中間情報を記憶するためにも使用されてもよい。コンピュータシステム700はさらに、プロセッサ704用の命令およびスタティック情報を記憶するためにバス702に結合された読出専用メモリ(ROM)708または他のスタティック記憶装置を含む。磁気ディスクまたは光ディスクといった記憶装置710が、情報および命令を記憶するために提供され、バス702に結合されている。
コンピュータシステム700は、情報をコンピュータユーザに表示するためのブラウン
管(CRT)などのディスプレイ712に、バス702を介して結合されていてもよい。英数字キーおよび他のキーを含む入力装置714が、情報およびコマンド選択をプロセッサ704に通信するためにバス702に結合されている。ユーザ入力装置の別の種類は、方向情報およびコマンド選択をプロセッサ704に通信し、ディスプレイ712上のカーソルの動きを制御するための、マウス、トラックボール、またはカーソル方向キーといったカーソル制御716である。この入力装置は通常、2つの軸、つまり第1の軸(たとえばx)および第2の軸(たとえばy)において2つの自由度を有しており、それによりこの装置は平面における場所を特定することができる。
一実施例によれば、この発明の機能性は、プロセッサ704がメインメモリ706に含まれる1つ以上の命令の1つ以上のシーケンスを実行するのに応じて、コンピュータシステム700によって提供される。そのような命令は、記憶装置710などの別のコンピュータ読み取り可能な媒体からメインメモリ706に読込まれてもよい。メインメモリ706に含まれる命令のシーケンスの実行により、プロセッサ704は、ここに説明されたプロセスステップを行なうようになる。代替的な実施例では、この発明を実現するために、ソフトウェア命令の代わりに、またはソフトウェア命令と組合わせて、配線接続回路が使用されてもよい。このため、この発明の実施例は、配線接続回路とソフトウェアとのどの特定の組合せにも限定されない。
ここで用いられるような用語「コンピュータ読み取り可能な媒体」とは、プロセッサ704に命令を実行用に提供することに関与するあらゆる媒体を指す。そのような媒体は、不揮発性媒体、揮発性媒体、および通信媒体を含むもののそれらに限定されない多くの形態を取り得る。不揮発性媒体はたとえば、記憶装置710などの光ディスクまたは磁気ディスクを含む。揮発性媒体は、メインメモリ706などのダイナミックメモリを含む。通信媒体は、バス702を構成する配線を含む、同軸ケーブル、銅線および光ファイバを含む。通信媒体はまた、無線周波数および赤外線データ通信中に発生するものといった音波または光波の形も取り得る。
コンピュータ読み取り可能な媒体の一般的な形態は、たとえば、フロッピー(登録商標)ディスク、フレキシブルディスク、ハードディスク、磁気テープ、または任意の他の磁気媒体、CD−ROM、任意の他の光媒体、パンチカード、紙テープ、孔のパターンを有する任意の他の物理的媒体、RAM、PROM、EPROM、FLASH−EPROM、任意の他のメモリチップまたはカートリッジ、以下に説明するような搬送波、または、コンピュータがそこから読み取り可能な任意の他の媒体を含む。
コンピュータ読み取り可能な媒体のさまざまな形態は、プロセッサ704に1つ以上の命令の1つ以上のシーケンスを実行用に保持することに関与していてもよい。たとえば、命令はまず、遠隔コンピュータの磁気ディスク上に保持されてもよい。遠隔コンピュータは命令をそのダイナミックメモリにロードし、電話回線を通してモデムを用いて命令を送信することができる。コンピュータシステム700にとってローカルなモデムは、電話回線上のデータを受信し、赤外線送信機を用いてデータを赤外線信号に変換することができる。赤外線検出器は赤外線信号で搬送されたデータを受信でき、適切な回路がデータをバス702上に配置することができる。バス702はデータをメインメモリ706に搬送し、そこからプロセッサ704が命令を検索して実行する。メインメモリ706によって受信された命令は、プロセッサ704による実行の前または後のいずれかで、記憶装置710上に随意に記憶されてもよい。
コンピュータシステム700はまた、バス702に結合された通信インターフェイス718も含む。通信インターフェイス718は、ローカルネットワーク722に接続されたネットワークリンク720に双方向データ通信結合を提供する。たとえば、通信インター
フェイス718は、データ通信接続を対応する種類の電話回線に提供するデジタル相互サービス網(ISDN)カード、またはモデムであってもよい。別の例として、通信インターフェイス718は、データ通信接続を互換性があるLAMに提供するローカルエリアネットワーク(LAN)カードであってもよい。無線リンクも実現され得る。任意のそのような実現化例では、通信インターフェイス718は、さまざまな種類の情報を表わすデジタルデータストリームを搬送する電気信号、電磁信号、または光信号を送信および受信する。
ネットワークリンク720は通常、1つ以上のネットワークを介して、他のデータ装置にデータ通信を提供する。たとえば、ネットワークリンク720は、ローカルネットワーク722を介して、ホストコンピュータ724に、またはインターネットサービスプロバイダ(ISP)726により運営されるデータ装置に、接続を提供してもよい。ISP726は次に、現在一般に「インターネット」728と呼ばれている全世界的パケットデータ通信ネットワークを介して、データ通信サービスを提供する。ローカルネットワーク722およびインターネット728は双方とも、デジタルデータストリームを搬送する電気信号、電磁信号または光信号を使用する。コンピュータシステム700へ、またはコンピュータシステム700からデジタルデータを搬送する、さまざまなネットワークを通る信号、ネットワークリンク720上の信号、および通信インターフェイス718を通る信号は、情報を運ぶ搬送波の例示的な形態である。
コンピュータシステム700は、ネットワーク、ネットワークリンク720および通信インターフェイス718を介して、メッセージを送信し、プログラムコードを含むデータを受信する。インターネットの例では、サーバ730は、アプリケーションプログラム用の要求されたコードを、インターネット728、ISP726、ローカルネットワーク722、および通信インターフェイス718を介して送信してもよい。受信されたコードは、受信された際にプロセッサ704によって実行されてもよく、および/または、後の実行用に記憶装置710または他の不揮発性記憶装置に記憶されてもよい。このように、コンピュータシステム700は、搬送波の形をしたアプリケーションコードを取得し得る。
前述の明細書においてこの発明を特定の実施例を参照して説明してきたが、それがそのように限定されると解釈されるべきではないことに留意するべきである。さまざまな修正が当業者により、この開示の恩恵を用いて、この発明の精神から逸脱することなく行なわれてもよい。このため、この発明は、それを例示するために用いられた特定の実施例によって限定されるべきではなく、発行された特許請求の範囲のみによって限定されるべきである。したがって、明細書および図面は、限定的というよりはむしろ例示的であると考えられるべきである。
データベースを監視するための手法が一実施例において実現され得るネットワークコンピューティングシステムの高レベル概要を示すブロック図である。 一実施例における例示的なデータベース監査エンジンでのプロセスの高レベル概要を示すブロック図である。 一実施例におけるデータ収集、分析および異例検出処理の高レベル概要を示すブロックフローチャートである。 一実施例におけるデータ収集、分析および異例検出処理の高レベル概要を示すブロックフローチャートである。 一実施例におけるデータ収集、分析および異例検出処理の高レベル概要を示すブロックフローチャートである。 一実施例におけるデータ収集、分析および異例検出処理の高レベル概要を示すブロックフローチャートである。 一実施例におけるデータ収集、分析および異例検出処理の高レベル概要を示すブロックフローチャートである。 一実施例におけるデータベースへのアクセスの例示的な確率分布を示すグラフである。 一実施例におけるデータベース監視システムの高レベル概要を示すブロック図である。 一実施例において監視動作を設定する一例を示すスクリーンショットである。 一実施例において監視動作を設定する一例を示すスクリーンショットである。 一実施例において監視動作を設定する一例を示すスクリーンショットである。 一実施例において監視動作を設定する一例を示すスクリーンショットである。 一実施例において監視動作を設定する一例を示すスクリーンショットである。 一実施例において監視動作を設定する一例を示すスクリーンショットである。 一実施例において監視動作を設定する一例を示すスクリーンショットである。 一実施例において監視動作を設定する一例を示すスクリーンショットである。 一実施例において監視動作を設定する一例を示すスクリーンショットである。 一実施例において監視動作を設定する一例を示すスクリーンショットである。 一実施例において監視動作を設定する一例を示すスクリーンショットである。 一実施例において監視動作を設定する一例を示すスクリーンショットである。 一実施例において監視動作を設定する一例を示すスクリーンショットである。 一実施例の1つ以上の構成要素を具体化するために使用され得る代表的なコンピュータシステムを示すハードウェアブロック図である。
符号の説明
84 監査証跡、86 動的性能ビュー、88 履歴データ、90 挙動パターン、92 機密保護規則、94 報告、96 Eメール警告、98 視覚化、100 コンピューティング環境、106 ネットワーク、108 インターネット、110 データベース監査エンジン、112 データコレクタ、114 データ分析器、116 異例検出器、122 ルータ、124 ファイヤウォール、130 データベースサーバ、132 データベース、144 アドミニストレータ。

Claims (30)

  1. データベースを監視するための方法であって、
    1人以上のユーザが前記データベースをどのように使用するかを示すユーザ挙動データを収集するステップと、
    前記データを履歴データとして処理し、記憶するステップと、
    挙動パターンを決定するために前記履歴データを分析するステップと、
    1人以上のユーザが前記データベースをどのように使用したかを示す新しい1組のデータを受信するステップと、
    前記新しい1組のデータと前記挙動パターンとの比較を行なうステップと、
    前記比較に基づき、前記新しい1組のデータが1組の基準を満たすかどうかを判断するステップと、
    前記新しい1組のデータが前記1組の基準を満たす場合、前記新しい1組のデータは異例の活動を表わしていると判断するステップと、
    目標とされる動作を行なうことによって前記判断に応じるステップとを含む、データベース監視するための方法。
  2. 前記新しい1組のデータが規則ベースの方針に違反しているかどうかを判断するステップと、
    前記新しい1組のデータが前記規則ベースの方針に違反している場合、前記新しい1組のデータは異例の活動を表わしていると判断するステップとをさらに含む、請求項1に記載の方法。
  3. ユーザ挙動データを収集するステップは、データベースマネージャの監査証跡または動的性能ビューから情報を読出すステップをさらに含む、請求項2に記載の方法。
  4. ユーザ挙動データを収集するステップは、監視レベルで、
    1つ以上の選択されたデータベースオブジェクトについてのデータベースアクセスに関する情報、
    1人以上の選択されたデータベースユーザについてのデータベースアクセスに関する情報、および、
    1つ以上の選択されたデータベースユーザセッションについてのデータベースアクセスに関する情報のうちの少なくとも1つから選択される情報を収集するステップをさらに含む、請求項3に記載の方法。
  5. ユーザ挙動データを収集するステップは、
    監視されるべき情報の種類を受信するステップと、
    前記情報の種類から監視レベルを決定するステップと、
    決定された前記監視レベルに基づいて前記データベースマネージャの監視オプションを起動するステップとをさらに含む、請求項3に記載の方法。
  6. 挙動パターンを決定するために前記履歴データを分析するステップは、前記履歴データから統計的モデルを決定するステップをさらに含む、請求項2に記載の方法。
  7. 前記履歴データから統計的モデルを決定するステップは、
    前記履歴データからデータベースアクセスの頻度を決定するステップと、
    データベースアクセスの頻度についての確率関数を決定するステップと、
    前記確率関数から累積確率関数を決定するステップとをさらに含む、請求項6に記載の方法。
  8. 前記新しい1組のデータと前記挙動パターンとの比較を行なうステップは、前記統計的モデルに対して前記新しい1組のデータを用いて仮説を検証するステップをさらに含む、請求項7に記載の方法。
  9. 前記統計的モデルに対して前記新しい1組のデータを用いて仮説を検証するステップは、
    前記新しい1組のデータについてのデータベースアクセスの頻度を決定するステップと、
    防護基準および確率関数パラメータからしきい値を決定するステップとをさらに含む、請求項8に記載の方法。
  10. 前記統計的モデルパターンに対して前記新しい1組のデータを用いて仮説を検証するステップは、前記新しい1組のデータについてのデータベースアクセスの頻度を前記しきい値と比較するステップをさらに含む、請求項9に記載の方法。
  11. 履歴情報は1つ以上の選択されたデータベースオブジェクトについてのデータベースアクセスに関するものであり、前記履歴データからデータベースアクセスの頻度を決定するステップは、
    1日の時間別のオブジェクトアクセス頻度、1日の時間およびオペレーティングシステムユーザ別のオブジェクトアクセス頻度、1日の時間およびデータベースユーザ別のオブジェクトアクセス頻度、1日の時間および場所別のオブジェクトアクセス頻度、1日の時間およびオペレーティングシステムユーザ、データベースユーザならびに場所のうちの少なくとも2つの組合せ別のオブジェクトアクセス頻度のうちの少なくとも1つの頻度を決定するステップをさらに含む、請求項7に記載の方法。
  12. 履歴情報は1つ以上の選択されたデータベースユーザについてのデータベースアクセスに関するものであり、前記履歴データからデータベースアクセスの頻度を決定するステップは、
    1日の時間別のユーザアクセス頻度、1日の時間およびオペレーティングシステムユーザ別のユーザアクセス頻度、1日の時間およびデータベースユーザ別のユーザアクセス頻度、1日の時間および場所別のユーザアクセス頻度、1日の時間およびオペレーティングシステムユーザ、データベースユーザならびに場所のうちの少なくとも2つの組合せ別のユーザアクセス頻度のうちの少なくとも1つの頻度を決定するステップをさらに含む、請求項7に記載の方法。
  13. 履歴情報は1つ以上の選択されたデータベースユーザセッションについてのデータベースアクセスに関するものであり、前記履歴データからデータベースアクセスの頻度を決定するステップは、
    セッションごとのページ読出の数、セッションごとのアクセス期間、時間単位ごとのページ読出の数のうちの少なくとも1つの頻度を決定するステップをさらに含む、請求項7に記載の方法。
  14. 目標とされる動作を行なうステップは、警告を発するステップ、eメールを送信するステップ、報告を生成するステップ、視覚化を行なうステップのうちの少なくとも1つを含む、請求項1に記載の方法。
  15. 装置の障害に応じて回復設定へ戻るための命令の1つ以上のシーケンスを保持するコンピュータ読み取り可能な媒体であって、前記命令は、1つ以上のプロセッサによって実行される際、前記1つ以上のプロセッサに、
    1人以上のユーザがデータベースをどのように使用するかを示すユーザ挙動データを収
    集するステップと、
    前記データを履歴データとして処理し、記憶するステップと、
    挙動パターンを決定するために前記履歴データを分析するステップと、
    1人以上のユーザが前記データベースをどのように使用したかを示す新しい1組のデータを受信するステップと、
    前記新しい1組のデータと前記挙動パターンとの比較を行なうステップと、
    前記比較に基づき、前記新しい1組のデータが1組の基準を満たすかどうかを判断するステップと、
    前記新しい1組のデータが前記1組の基準を満たす場合、前記新しい1組のデータは異例の活動を表わしていると判断するステップと、
    目標とされる動作を行なうことによって前記判断に応じるステップとを実行させる、命令の1つ以上のシーケンスを保持するコンピュータ読み取り可能な媒体。
  16. 前記1つ以上のプロセッサによって実行される際、前記1つ以上のプロセッサに、
    前記新しい1組のデータが規則ベースの方針に違反しているかどうかを判断するステップと、
    前記新しい1組のデータが前記規則ベースの方針に違反している場合、前記新しい1組のデータは異例の活動を表わしていると判断するステップとを実行させる命令をさらに含む、請求項15に記載のコンピュータ読み取り可能な媒体。
  17. ユーザ挙動データを収集するステップを実行するための命令は、データベースマネージャの監査証跡から情報を読出すステップを実行するための命令をさらに含む、請求項16に記載のコンピュータ読み取り可能な媒体。
  18. ユーザ挙動データを収集するステップを実行するための命令は、
    1つ以上の選択されたデータベースオブジェクトについてのデータベースアクセスに関する情報、
    1人以上の選択されたデータベースユーザについてのデータベースアクセスに関する情報、および、
    1つ以上の選択されたデータベースユーザセッションについてのデータベースアクセスに関する情報のうちの少なくとも1つから選択される情報を監視レベルで収集するステップを実行するための命令をさらに含む、請求項17に記載のコンピュータ読み取り可能な媒体。
  19. ユーザ挙動データを収集するステップを実行するための命令は、
    監視されるべき情報の種類を受信するステップと、
    前記情報の種類から監視レベルを決定するステップと、
    決定された前記監視レベルに基づいて前記データベースマネージャの監視オプションを起動するステップとを実行するための命令をさらに含む、請求項17に記載のコンピュータ読み取り可能な媒体。
  20. 挙動パターンを決定するために前記履歴データを分析するステップを実行するための命令は、前記履歴データから統計的モデルを決定するステップを実行するための命令をさらに含む、請求項16に記載のコンピュータ読み取り可能な媒体。
  21. 前記履歴データから統計的モデルを決定するステップを実行するための命令は、
    前記履歴データからデータベースアクセスの頻度を決定するステップと、
    データベースアクセスの頻度についての確率関数を決定するステップと、
    前記確率関数から累積確率関数を決定するステップとを実行するための命令をさらに含む、請求項20に記載のコンピュータ読み取り可能な媒体。
  22. 前記新しい1組のデータと前記挙動パターンとの比較を行なうステップを実行するための命令は、前記統計的モデルに対して前記新しい1組のデータを用いて仮説を検証するステップを実行するための命令をさらに含む、請求項21に記載のコンピュータ読み取り可能な媒体。
  23. 前記統計的モデルに対して前記新しい1組のデータを用いて仮説を検証するステップを実行するための命令は、
    前記新しい1組のデータについてのデータベースアクセスの頻度を決定するステップと、
    防護基準および確率関数パラメータからしきい値を決定するステップとを実行するための命令をさらに含む、請求項22に記載のコンピュータ読み取り可能な媒体。
  24. 前記統計的モデルに対して前記新しい1組のデータを用いて仮説を検証するステップを実行するための命令は、前記新しい1組のデータについてのデータベースアクセスの頻度を前記しきい値と比較するステップを実行するための命令をさらに含む、請求項23に記載のコンピュータ読み取り可能な媒体。
  25. 履歴情報は1つ以上の選択されたデータベースオブジェクトについてのデータベースアクセスに関するものであり、前記履歴データからデータベースアクセスの頻度を決定するステップを実行するための命令は、
    1日の時間別のオブジェクトアクセス頻度、1日の時間およびオペレーティングシステムユーザ別のオブジェクトアクセス頻度、1日の時間およびデータベースユーザ別のオブジェクトアクセス頻度、1日の時間および場所別のオブジェクトアクセス頻度、1日の時間およびオペレーティングシステムユーザ、データベースユーザならびに場所のうちの少なくとも2つの組合せ別のオブジェクトアクセス頻度のうちの少なくとも1つの頻度を決定するステップを実行するための命令をさらに含む、請求項21に記載のコンピュータ読み取り可能な媒体。
  26. 履歴情報は1つ以上の選択されたデータベースユーザについてのデータベースアクセスに関するものであり、前記履歴データからデータベースアクセスの頻度を決定するステップを実行するための命令は、
    1日の時間別のユーザアクセス頻度、1日の時間およびオペレーティングシステムユーザ別のユーザアクセス頻度、1日の時間およびデータベースユーザ別のユーザアクセス頻度、1日の時間および場所別のユーザアクセス頻度、1日の時間およびオペレーティングシステムユーザ、データベースユーザならびに場所のうちの少なくとも2つの組合せ別のユーザアクセス頻度のうちの少なくとも1つの頻度を決定するステップを実行するための命令をさらに含む、請求項21に記載のコンピュータ読み取り可能な媒体。
  27. 履歴情報は1つ以上の選択されたデータベースユーザセッションについてのデータベースアクセスに関するものであり、前記履歴データからデータベースアクセスの頻度を決定するステップを実行するための命令は、
    セッションごとのページ読出の数、セッションごとのアクセス期間、時間単位ごとのページ読出の数のうちの少なくとも1つの頻度を決定するステップを実行するための命令をさらに含む、請求項21に記載のコンピュータ読み取り可能な媒体。
  28. 目標とされる動作を行なうステップを実行するための命令は、警告を発するステップ、eメールを送信するステップ、報告を生成するステップ、視覚化を行なうステップのうちの少なくとも1つを実行するための命令を含む、請求項15に記載のコンピュータ読み取り可能な媒体。
  29. 1人以上のユーザがデータベースをどのように使用するかを示すユーザ挙動データを収集するための手段と、
    前記データを履歴データとして処理し、記憶するための手段と、
    挙動パターンを決定するために前記履歴データを分析するための手段と、
    1人以上のユーザが前記データベースをどのように使用したかを示す新しい1組のデータを受信するための手段と、
    前記新しい1組のデータと前記挙動パターンとの比較を行なうための手段と、
    前記比較に基づき、前記新しい1組のデータが1組の基準を満たすかどうかを判断するための手段と、
    前記新しい1組のデータが前記1組の基準を満たす場合、前記新しい1組のデータは異例の活動を表わしていると判断するための手段と、
    目標とされる動作を行なうことによって前記判断に応じるための手段とを含む、装置。
  30. 1人以上のユーザがデータベースをどのように使用するかを示すユーザ挙動データを収集し、前記データを履歴データとして処理して記憶し、1人以上のユーザが前記データベースをどのように使用したかを示す新しい1組のデータを受信するためのデータコレクタと、
    挙動パターンを決定するために前記履歴データを分析するためのデータ分析器と、
    前記新しい1組のデータと前記挙動パターンとの比較を行ない、前記比較に基づき、前記新しい1組のデータが1組の基準を満たすかどうかを判断し、前記新しい1組のデータが前記1組の基準を満たす場合、前記新しい1組のデータは異例の活動を表わしていると判断し、目標とされる動作を行なうことによって前記判断に応じるための異例分析器とを含む、装置。
JP2005064244A 2004-03-09 2005-03-08 データベースを監視するための方法、命令の1つ以上のシーケンスを保持するコンピュータ読み取り可能な媒体、および装置 Pending JP2005259140A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/796,932 US20050203881A1 (en) 2004-03-09 2004-03-09 Database user behavior monitor system and method

Publications (2)

Publication Number Publication Date
JP2005259140A true JP2005259140A (ja) 2005-09-22
JP2005259140A5 JP2005259140A5 (ja) 2008-04-03

Family

ID=34919953

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005064244A Pending JP2005259140A (ja) 2004-03-09 2005-03-08 データベースを監視するための方法、命令の1つ以上のシーケンスを保持するコンピュータ読み取り可能な媒体、および装置

Country Status (10)

Country Link
US (1) US20050203881A1 (ja)
EP (1) EP1723490A1 (ja)
JP (1) JP2005259140A (ja)
KR (1) KR20070039478A (ja)
CN (1) CN1950778A (ja)
AU (1) AU2005225996A1 (ja)
CA (1) CA2559034A1 (ja)
IL (1) IL177935A0 (ja)
TW (1) TW200530805A (ja)
WO (1) WO2005093546A1 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008262258A (ja) * 2007-04-10 2008-10-30 Sky Kk 誤操作防止システム
JP2009529729A (ja) * 2006-03-10 2009-08-20 オラクル・インターナショナル・コーポレイション 回復ログを用いたデータベース事象の検出
JP2019503021A (ja) * 2016-01-29 2019-01-31 エヌオーディ ビズウェア カンパニー リミテッドNod Bizware Co.,Ltd. システム環境及びユーザ行動分析基盤の自己防御保安装置とその作動方法
JPWO2021176620A1 (ja) * 2020-03-04 2021-09-10
US11436530B2 (en) 2015-07-27 2022-09-06 Pivotal Software, Inc. Classifying user behavior as anomalous
US12003523B2 (en) 2020-01-23 2024-06-04 Mitsubishi Electric Corporation Model generation apparatus, model generation method, and computer readable medium

Families Citing this family (167)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7778981B2 (en) * 2000-12-01 2010-08-17 Netapp, Inc. Policy engine to control the servicing of requests received by a storage server
WO2003073332A2 (en) 2002-02-22 2003-09-04 Iplocks, Inc. Method and apparatus for monitoring a database system
AU2003260071A1 (en) 2002-08-27 2004-03-19 Td Security, Inc., Dba Trust Digital, Llc Enterprise-wide security system for computer devices
EP2733656A1 (en) * 2003-12-23 2014-05-21 Trust Digital, LLC System and method for enforcing a security policy on mobile devices using dynamically generated security profiles
US8255879B2 (en) * 2004-05-17 2012-08-28 Ca, Inc. Method and apparatus for improving a software product
US20060117004A1 (en) * 2004-11-30 2006-06-01 Hunt Charles L System and method for contextually understanding and analyzing system use and misuse
US7250855B2 (en) * 2004-12-27 2007-07-31 Sap Aktiengesellschaft False alarm mitigation using a sensor network
US7814075B2 (en) * 2004-12-30 2010-10-12 Oracle International Corporation Dynamic auditing
US7593942B2 (en) * 2004-12-30 2009-09-22 Oracle International Corporation Mandatory access control base
US7814076B2 (en) * 2004-12-30 2010-10-12 Oracle International Corporation Data vault
US8732856B2 (en) 2004-12-30 2014-05-20 Oracle International Corporation Cross-domain security for data vault
US7831570B2 (en) * 2004-12-30 2010-11-09 Oracle International Corporation Mandatory access control label security
US8386449B2 (en) * 2005-01-27 2013-02-26 International Business Machines Corporation Customer statistics based on database lock use
EP1866789B8 (en) * 2005-02-28 2020-04-15 McAfee, LLC Mobile data security system and methods
US20100115581A1 (en) * 2008-11-06 2010-05-06 Trust Digital System method and device for mediating connections between policy source servers, corporate respositories, and mobile devices
US7606801B2 (en) * 2005-06-07 2009-10-20 Varonis Inc. Automatic management of storage access control
US20070005665A1 (en) * 2005-06-30 2007-01-04 Lumigent Technologies, Inc. Separation of duties in a data audit system
US7631362B2 (en) * 2005-09-20 2009-12-08 International Business Machines Corporation Method and system for adaptive identity analysis, behavioral comparison, compliance, and application protection using usage information
US8069153B2 (en) * 2005-12-02 2011-11-29 Salesforce.Com, Inc. Systems and methods for securing customer data in a multi-tenant environment
US8544058B2 (en) 2005-12-29 2013-09-24 Nextlabs, Inc. Techniques of transforming policies to enforce control in an information management system
US20070204345A1 (en) * 2006-02-28 2007-08-30 Elton Pereira Method of detecting computer security threats
US20090260075A1 (en) * 2006-03-28 2009-10-15 Richard Gedge Subject identification
US8561146B2 (en) * 2006-04-14 2013-10-15 Varonis Systems, Inc. Automatic folder access management
FR2902546B1 (fr) * 2006-06-16 2008-12-26 Olfeo Sarl Procede et systeme de traitement de donnees de securite d'un reseau informatique.
US20080034424A1 (en) * 2006-07-20 2008-02-07 Kevin Overcash System and method of preventing web applications threats
US20080047009A1 (en) * 2006-07-20 2008-02-21 Kevin Overcash System and method of securing networks against applications threats
US7934253B2 (en) * 2006-07-20 2011-04-26 Trustwave Holdings, Inc. System and method of securing web applications across an enterprise
US8259568B2 (en) 2006-10-23 2012-09-04 Mcafee, Inc. System and method for controlling mobile device access to a network
US9747349B2 (en) * 2006-10-30 2017-08-29 Execue, Inc. System and method for distributing queries to a group of databases and expediting data access
US7979494B1 (en) 2006-11-03 2011-07-12 Quest Software, Inc. Systems and methods for monitoring messaging systems
US20080215460A1 (en) * 2007-01-31 2008-09-04 Mckibben Michael T Merchandise location system
US20080201206A1 (en) 2007-02-01 2008-08-21 7 Billion People, Inc. Use of behavioral portraits in the conduct of E-commerce
US7610459B2 (en) * 2007-04-11 2009-10-27 International Business Machines Corporation Maintain owning application information of data for a data storage system
US7613888B2 (en) 2007-04-11 2009-11-03 International Bsuiness Machines Corporation Maintain owning application information of data for a data storage system
US8239925B2 (en) * 2007-04-26 2012-08-07 Varonis Systems, Inc. Evaluating removal of access permissions
JP2008293173A (ja) * 2007-05-23 2008-12-04 Nec Corp 携帯電子機器、データ処理装置、データ通信システム、コンピュータプログラム、データ処理方法
US9032514B1 (en) * 2007-08-21 2015-05-12 Mcafee, Inc. Potential data leakage reporting system, method, and computer program product
US8131784B1 (en) 2007-09-26 2012-03-06 Network Appliance, Inc. Multiple node quota filter
US7783666B1 (en) * 2007-09-26 2010-08-24 Netapp, Inc. Controlling access to storage resources by using access pattern based quotas
US8032497B2 (en) * 2007-09-26 2011-10-04 International Business Machines Corporation Method and system providing extended and end-to-end data integrity through database and other system layers
US8438611B2 (en) 2007-10-11 2013-05-07 Varonis Systems Inc. Visualization of access permission status
US8959624B2 (en) * 2007-10-31 2015-02-17 Bank Of America Corporation Executable download tracking system
US8438612B2 (en) 2007-11-06 2013-05-07 Varonis Systems Inc. Visualization of access permission status
US8180886B2 (en) * 2007-11-15 2012-05-15 Trustwave Holdings, Inc. Method and apparatus for detection of information transmission abnormalities
US8214364B2 (en) * 2008-05-21 2012-07-03 International Business Machines Corporation Modeling user access to computer resources
JP5083042B2 (ja) * 2008-05-30 2012-11-28 富士通株式会社 アクセス制御ポリシーの遵守チェック用プログラム
US20090328210A1 (en) * 2008-06-30 2009-12-31 Microsoft Corporation Chain of events tracking with data tainting for automated security feedback
US7809824B2 (en) * 2008-09-29 2010-10-05 Yahoo! Inc. Classification and cluster analysis spam detection and reduction
US8532271B2 (en) * 2009-01-21 2013-09-10 Chung-Yu Lin Cybercrime detecting and preventing method and system established by telephone number code, authorization codes and source identification code
US20100192201A1 (en) * 2009-01-29 2010-07-29 Breach Security, Inc. Method and Apparatus for Excessive Access Rate Detection
CN101854340B (zh) 2009-04-03 2015-04-01 瞻博网络公司 基于访问控制信息进行的基于行为的通信剖析
US8713068B2 (en) * 2009-06-11 2014-04-29 Yahoo! Inc. Media identification system with fingerprint database balanced according to search loads
US9641334B2 (en) * 2009-07-07 2017-05-02 Varonis Systems, Inc. Method and apparatus for ascertaining data access permission of groups of users to groups of data elements
US8443448B2 (en) 2009-08-20 2013-05-14 Federal Reserve Bank Of New York System and method for detection of non-compliant software installation
US10229191B2 (en) 2009-09-09 2019-03-12 Varonis Systems Ltd. Enterprise level data management
US8578507B2 (en) 2009-09-09 2013-11-05 Varonis Systems, Inc. Access permissions entitlement review
CN102656553B (zh) 2009-09-09 2016-02-10 瓦欧尼斯系统有限公司 企业级数据管理
US20110061093A1 (en) * 2009-09-09 2011-03-10 Ohad Korkus Time dependent access permissions
US20110145525A1 (en) * 2009-12-14 2011-06-16 International Business Machines Corporation Method and System for Storing and Operating on Advanced Historical Access Data
CN102111920B (zh) * 2009-12-23 2014-02-19 大唐移动通信设备有限公司 一种性能报表管理的方法及装置
CN101770626A (zh) * 2010-01-11 2010-07-07 中国联合网络通信集团有限公司 具有洗卡行为的代理商识别方法、装置及系统
US9038187B2 (en) * 2010-01-26 2015-05-19 Bank Of America Corporation Insider threat correlation tool
US8800034B2 (en) 2010-01-26 2014-08-05 Bank Of America Corporation Insider threat correlation tool
US8793789B2 (en) 2010-07-22 2014-07-29 Bank Of America Corporation Insider threat correlation tool
US8782209B2 (en) * 2010-01-26 2014-07-15 Bank Of America Corporation Insider threat correlation tool
US8868728B2 (en) * 2010-03-11 2014-10-21 Accenture Global Services Limited Systems and methods for detecting and investigating insider fraud
US8544100B2 (en) 2010-04-16 2013-09-24 Bank Of America Corporation Detecting secure or encrypted tunneling in a computer network
US8782794B2 (en) 2010-04-16 2014-07-15 Bank Of America Corporation Detecting secure or encrypted tunneling in a computer network
US8935384B2 (en) 2010-05-06 2015-01-13 Mcafee Inc. Distributed data revocation using data commands
US8533787B2 (en) 2011-05-12 2013-09-10 Varonis Systems, Inc. Automatic resource ownership assignment system and method
CN103026336B (zh) 2010-05-27 2017-07-14 瓦欧尼斯系统有限公司 自动操作架构
US10296596B2 (en) 2010-05-27 2019-05-21 Varonis Systems, Inc. Data tagging
CN103026334A (zh) 2010-05-27 2013-04-03 瓦欧尼斯系统有限公司 数据分类
US9870480B2 (en) 2010-05-27 2018-01-16 Varonis Systems, Inc. Automatic removal of global user security groups
KR101377462B1 (ko) * 2010-08-24 2014-03-25 한국전자통신연구원 CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치
US9147180B2 (en) 2010-08-24 2015-09-29 Varonis Systems, Inc. Data governance for email systems
US9680839B2 (en) 2011-01-27 2017-06-13 Varonis Systems, Inc. Access permissions management system and method
CN103348316B (zh) 2011-01-27 2016-08-24 瓦欧尼斯系统有限公司 访问权限管理系统和方法
US8909673B2 (en) 2011-01-27 2014-12-09 Varonis Systems, Inc. Access permissions management system and method
US8813227B2 (en) * 2011-03-29 2014-08-19 Mcafee, Inc. System and method for below-operating system regulation and control of self-modifying code
US9047464B2 (en) * 2011-04-11 2015-06-02 NSS Lab Works LLC Continuous monitoring of computer user and computer activities
JP5941149B2 (ja) 2011-09-09 2016-06-29 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法
US8875293B2 (en) 2011-09-22 2014-10-28 Raytheon Company System, method, and logic for classifying communications
US9058486B2 (en) 2011-10-18 2015-06-16 Mcafee, Inc. User behavioral risk assessment
CN102571481B (zh) * 2011-11-14 2014-07-16 北京安天电子设备有限公司 一种客户端监控状态分析的方法及系统
CN103136253A (zh) * 2011-11-30 2013-06-05 腾讯科技(深圳)有限公司 获取信息的方法和装置
CN103186733B (zh) * 2011-12-30 2016-01-27 中国移动通信集团广东有限公司 数据库用户行为管理系统和数据库用户行为管理方法
CN104303152B (zh) 2012-03-22 2017-06-13 洛斯阿拉莫斯国家安全股份有限公司 在内网检测异常以识别协同群组攻击的方法、装置和系统
CN102722521B (zh) * 2012-04-24 2015-01-21 深圳市神盾信息技术有限公司 监控数据比对的方法及系统
US8856923B1 (en) * 2012-06-29 2014-10-07 Emc Corporation Similarity-based fraud detection in adaptive authentication systems
US10592978B1 (en) * 2012-06-29 2020-03-17 EMC IP Holding Company LLC Methods and apparatus for risk-based authentication between two servers on behalf of a user
US11151515B2 (en) 2012-07-31 2021-10-19 Varonis Systems, Inc. Email distribution list membership governance method and system
US9124619B2 (en) 2012-12-08 2015-09-01 International Business Machines Corporation Directing audited data traffic to specific repositories
US9336388B2 (en) * 2012-12-10 2016-05-10 Palo Alto Research Center Incorporated Method and system for thwarting insider attacks through informational network analysis
RU2530210C2 (ru) * 2012-12-25 2014-10-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы
US8793207B1 (en) * 2013-01-24 2014-07-29 Kaspersky Lab Zao System and method for adaptive control of user actions based on user's behavior
US8984151B1 (en) * 2013-02-05 2015-03-17 Google Inc. Content developer abuse detection
US9251363B2 (en) 2013-02-20 2016-02-02 Varonis Systems, Inc. Systems and methodologies for controlling access to a file system
US10296739B2 (en) 2013-03-11 2019-05-21 Entit Software Llc Event correlation based on confidence factor
CN103294966B (zh) * 2013-03-12 2016-02-24 中国工商银行股份有限公司 一种数据库的安全访问控制方法以及系统
EP2801925B1 (en) * 2013-05-10 2019-07-17 BlackBerry Limited Methods and devices for detecting unauthorized access to credentials of a credential store
US9384342B2 (en) 2013-05-10 2016-07-05 Blackberry Limited Methods and devices for providing warnings associated with credentials to be stored in a credential store
US9088556B2 (en) 2013-05-10 2015-07-21 Blackberry Limited Methods and devices for detecting unauthorized access to credentials of a credential store
CN103455575A (zh) * 2013-08-22 2013-12-18 北京炎黄盈动科技发展有限责任公司 数据统计分析方法和装置
US9471250B2 (en) 2013-09-04 2016-10-18 International Business Machines Corporation Intermittent sampling of storage access frequency
US9471249B2 (en) 2013-09-04 2016-10-18 International Business Machines Corporation Intermittent sampling of storage access frequency
CN103500221A (zh) * 2013-10-15 2014-01-08 北京国双科技有限公司 分析服务数据库的监控方法和装置
US20150121461A1 (en) * 2013-10-24 2015-04-30 Cyber-Ark Software Ltd. Method and system for detecting unauthorized access to and use of network resources with targeted analytics
US9712548B2 (en) 2013-10-27 2017-07-18 Cyber-Ark Software Ltd. Privileged analytics system
CN104852824A (zh) * 2014-02-19 2015-08-19 联想(北京)有限公司 一种信息处理方法和装置
US9195669B2 (en) 2014-02-26 2015-11-24 Iboss, Inc. Detecting and managing abnormal data behavior
US9497206B2 (en) 2014-04-16 2016-11-15 Cyber-Ark Software Ltd. Anomaly detection in groups of network addresses
US10015329B2 (en) * 2014-05-16 2018-07-03 Ricoh Company, Ltd. Information management apparatus, information management method, and information device
WO2015186155A1 (ja) * 2014-06-03 2015-12-10 三菱電機株式会社 ログ分析装置、及びログ分析方法
EP3152697A4 (en) * 2014-06-09 2018-04-11 Northrop Grumman Systems Corporation System and method for real-time detection of anomalies in database usage
US10482404B2 (en) * 2014-09-25 2019-11-19 Oracle International Corporation Delegated privileged access grants
US10530790B2 (en) * 2014-09-25 2020-01-07 Oracle International Corporation Privileged session analytics
US10027689B1 (en) * 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9565203B2 (en) * 2014-11-13 2017-02-07 Cyber-Ark Software Ltd. Systems and methods for detection of anomalous network behavior
WO2016094472A1 (en) * 2014-12-09 2016-06-16 Trustlayers, Inc. System and method for enabling tracking of data usage
CN104504116B (zh) * 2014-12-30 2018-08-28 青岛海信网络科技股份有限公司 一种实时数据库的存储方法
EP3075315B1 (en) * 2015-04-02 2024-02-07 Essilor International System and computer-implemented method for monitoring the visual behavior of a person
US20160306967A1 (en) * 2015-04-17 2016-10-20 Symantec Corporation Method to Detect Malicious Behavior by Computing the Likelihood of Data Accesses
US10263929B2 (en) * 2015-05-08 2019-04-16 International Business Machines Corporation Cloud based chat governance system based on behavioral patterns and situational-awareness
US9882852B2 (en) * 2015-05-11 2018-01-30 Whatsapp Inc. Techniques for escalating temporary messaging bans
CN104933096B (zh) * 2015-05-22 2018-06-19 北京奇虎科技有限公司 数据库的异常键识别方法、装置与数据系统
US9756067B2 (en) * 2015-08-10 2017-09-05 Accenture Global Services Limited Network security
CN105302657B (zh) * 2015-11-05 2020-12-15 网易宝有限公司 一种异常情况分析方法和装置
US10021120B1 (en) 2015-11-09 2018-07-10 8X8, Inc. Delayed replication for protection of replicated databases
US10043026B1 (en) * 2015-11-09 2018-08-07 8X8, Inc. Restricted replication for protection of replicated databases
CN105429826A (zh) * 2015-12-25 2016-03-23 北京奇虎科技有限公司 一种数据库集群的故障检测方法和装置
CN105868256A (zh) * 2015-12-28 2016-08-17 乐视网信息技术(北京)股份有限公司 处理用户行为数据的方法和系统
US10740207B2 (en) * 2016-01-19 2020-08-11 Unisys Corporation Capturing and comparing database performances across platforms
US11120343B2 (en) 2016-05-11 2021-09-14 Cisco Technology, Inc. Intelligent anomaly identification and alerting system based on smart ranking of anomalies
US11706227B2 (en) 2016-07-20 2023-07-18 Varonis Systems Inc Systems and methods for processing access permission type-specific access permission requests in an enterprise
CN106027577B (zh) * 2016-08-04 2019-04-30 四川无声信息技术有限公司 一种异常访问行为检测方法及装置
CN106453355A (zh) * 2016-10-25 2017-02-22 东软集团股份有限公司 数据分析方法及装置
CN106682101B (zh) * 2016-12-05 2019-09-20 福建天晴数码有限公司 一种数据库脚本运行异常检测的方法及系统
US10489584B2 (en) 2017-02-14 2019-11-26 Microsoft Technology Licensing, Llc Local and global evaluation of multi-database system
NO20170249A1 (en) * 2017-02-20 2018-08-21 Jazz Networks Ltd Secure access by behavior recognition
US10977361B2 (en) 2017-05-16 2021-04-13 Beyondtrust Software, Inc. Systems and methods for controlling privileged operations
US20190005501A1 (en) * 2017-06-29 2019-01-03 Paypal, Inc. System and method for malware detection
US11087330B2 (en) 2017-06-29 2021-08-10 Paypal, Inc. System and method for malware detection
US11095678B2 (en) * 2017-07-12 2021-08-17 The Boeing Company Mobile security countermeasures
CN107491499B (zh) * 2017-07-27 2018-09-04 杭州中奥科技有限公司 一种基于非结构化数据的舆情预警方法
US20190108256A1 (en) * 2017-10-09 2019-04-11 Switch Commerce, Llc System for scalable database security
US10685107B2 (en) * 2017-10-24 2020-06-16 International Business Machines Corporation Detection of malicious intent in privileged identity environments
US10691827B2 (en) * 2017-12-18 2020-06-23 International Business Machines Corporation Cognitive systems for allocating medical data access permissions using historical correlations
EP3776396B1 (en) * 2018-04-09 2023-08-02 Carrier Corporation Detecting abnormal behavior in smart buildings
CN108616389B (zh) * 2018-04-10 2021-09-17 深信服科技股份有限公司 基于云服务器的网络评估方法、设备、存储介质及装置
GB2580467A (en) * 2018-09-20 2020-07-22 Idera Inc Database access, monitoring, and control system and method for reacting to suspicious database activities
EP3627263B8 (en) 2018-09-24 2021-11-17 ABB Schweiz AG System and methods monitoring the technical status of technical equipment
CN109561092B (zh) * 2018-12-03 2021-01-26 北京安华金和科技有限公司 基于数据流量及数据探测结果进行安全态势建模的方法
CN111352992B (zh) * 2018-12-21 2023-09-29 北京金山云网络技术有限公司 数据一致性检测方法、装置及服务器
US11528149B2 (en) 2019-04-26 2022-12-13 Beyondtrust Software, Inc. Root-level application selective configuration
US20200356563A1 (en) 2019-05-08 2020-11-12 Datameer, Inc. Query performance model generation and use in a hybrid multi-cloud database environment
CN112765598A (zh) * 2019-10-21 2021-05-07 中国移动通信集团重庆有限公司 识别异常操作指令的方法、装置及设备
CN110866278A (zh) * 2019-11-14 2020-03-06 吉林亿联银行股份有限公司 一种数据库实时入侵阻断方法及装置
CN111177779B (zh) * 2019-12-24 2023-04-25 深圳昂楷科技有限公司 数据库审计方法、其装置、电子设备及计算机存储介质
CN112149036B (zh) * 2020-09-28 2023-11-10 微梦创科网络科技(中国)有限公司 一种批量非正常互动行为的识别方法及系统
KR102395550B1 (ko) 2020-09-29 2022-05-09 주식회사 에임시스 기밀정보 분석 방법 및 장치
US11755697B2 (en) 2021-01-04 2023-09-12 Bank Of America Corporation Secure access control framework using dynamic resource replication
CN113407760B (zh) * 2021-08-18 2021-11-12 云上(江西)大数据发展有限公司 一种用于共享平台的政务数据分析系统
CN114553535A (zh) * 2022-02-22 2022-05-27 中国建设银行股份有限公司 用户行为异常的告警方法及装置
CN115514562B (zh) * 2022-09-22 2023-03-28 国网山东省电力公司 一种用于数据安全预警方法及系统
CN116319099A (zh) * 2023-05-22 2023-06-23 威海海洋职业学院 一种多终端的财务数据管理方法和系统
CN118555135B (zh) * 2024-07-26 2024-10-01 国网思极网安科技(北京)有限公司 基于态势感知的网络信息分析方法、装置、设备与介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH02304643A (ja) * 1989-05-19 1990-12-18 Hitachi Ltd データベース管理システムにおける異常データの検査方法
JPH09265473A (ja) * 1996-03-28 1997-10-07 Hitachi Software Eng Co Ltd 個人情報管理システム
JPH10198418A (ja) * 1997-01-14 1998-07-31 Toshiba Corp 監視制御システムのヒューマンインタフェース装置
JP2000148276A (ja) * 1998-11-05 2000-05-26 Fujitsu Ltd セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体
WO2003073332A2 (en) * 2002-02-22 2003-09-04 Iplocks, Inc. Method and apparatus for monitoring a database system
JP2004070674A (ja) * 2002-08-07 2004-03-04 Mitsubishi Electric Corp 電子データ交換システムにおけるデータ保護装置及びデータ保護方法並びにそれに用いるプログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6041327A (en) * 1997-12-12 2000-03-21 Telefonaktiebolaget Lm Ericsson Implementation of notification capabilities in relational databases
US6597777B1 (en) * 1999-06-29 2003-07-22 Lucent Technologies Inc. Method and apparatus for detecting service anomalies in transaction-oriented networks
DE60130902T2 (de) * 2001-11-23 2008-07-17 Protegrity Research & Development Verfahren zum Erkennen des Eindringens in ein Datenbanksystem
US20050086529A1 (en) * 2003-10-21 2005-04-21 Yair Buchsbaum Detection of misuse or abuse of data by authorized access to database

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH02304643A (ja) * 1989-05-19 1990-12-18 Hitachi Ltd データベース管理システムにおける異常データの検査方法
JPH09265473A (ja) * 1996-03-28 1997-10-07 Hitachi Software Eng Co Ltd 個人情報管理システム
JPH10198418A (ja) * 1997-01-14 1998-07-31 Toshiba Corp 監視制御システムのヒューマンインタフェース装置
JP2000148276A (ja) * 1998-11-05 2000-05-26 Fujitsu Ltd セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体
WO2003073332A2 (en) * 2002-02-22 2003-09-04 Iplocks, Inc. Method and apparatus for monitoring a database system
JP2005526311A (ja) * 2002-02-22 2005-09-02 アイピーロックス・インコーポレイテッド データベースシステムを監視するための方法および装置
JP2004070674A (ja) * 2002-08-07 2004-03-04 Mitsubishi Electric Corp 電子データ交換システムにおけるデータ保護装置及びデータ保護方法並びにそれに用いるプログラム

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009529729A (ja) * 2006-03-10 2009-08-20 オラクル・インターナショナル・コーポレイション 回復ログを用いたデータベース事象の検出
JP2008262258A (ja) * 2007-04-10 2008-10-30 Sky Kk 誤操作防止システム
US11436530B2 (en) 2015-07-27 2022-09-06 Pivotal Software, Inc. Classifying user behavior as anomalous
JP2019503021A (ja) * 2016-01-29 2019-01-31 エヌオーディ ビズウェア カンパニー リミテッドNod Bizware Co.,Ltd. システム環境及びユーザ行動分析基盤の自己防御保安装置とその作動方法
US12003523B2 (en) 2020-01-23 2024-06-04 Mitsubishi Electric Corporation Model generation apparatus, model generation method, and computer readable medium
JPWO2021176620A1 (ja) * 2020-03-04 2021-09-10

Also Published As

Publication number Publication date
CA2559034A1 (en) 2005-10-06
TW200530805A (en) 2005-09-16
CN1950778A (zh) 2007-04-18
WO2005093546A1 (en) 2005-10-06
US20050203881A1 (en) 2005-09-15
EP1723490A1 (en) 2006-11-22
KR20070039478A (ko) 2007-04-12
IL177935A0 (en) 2006-12-31
AU2005225996A1 (en) 2005-10-06

Similar Documents

Publication Publication Date Title
JP2005259140A (ja) データベースを監視するための方法、命令の1つ以上のシーケンスを保持するコンピュータ読み取り可能な媒体、および装置
Salem et al. A survey of insider attack detection research
AU2003219885B2 (en) Method and apparatus for monitoring a database system
Lunt Automated audit trail analysis and intrusion detection: A survey
US6347374B1 (en) Event detection
US7555482B2 (en) Automatic detection of abnormal data access activities
CN112787992A (zh) 一种敏感数据的检测与防护的方法、装置、设备和介质
US20060123101A1 (en) Application instrumentation and monitoring
CN102906756A (zh) 与安全事件和参与者分类模型相关联的安全威胁检测
CN109992961A (zh) 用于数据库系统防黑客入侵的检测系统和方法
WO2019220363A1 (en) Creation and verification of behavioral baselines for the detection of cybersecurity anomalies using machine learning techniques
Eom et al. A framework of defense system for prevention of insider's malicious behaviors
US8572744B2 (en) Information security auditing and incident investigation system
Jin et al. Architecture for data collection in database intrusion detection systems
Chari et al. A platform and analytics for usage and entitlement analytics
Evina et al. Attacks Scenarios in a Correlated Anomalies Context: Case of Medical System Database Application.
Jaiswal et al. Database intrusion prevention cum detection system with appropriate response
Gertz et al. Monitoring mission critical data for integrity and availability
EP4399604A1 (en) Subject logging
Singh et al. A proposed model for data warehouse user behaviour using intrusion detection system
Saban et al. An event based framework for facilitating database activity tracking
Liu et al. Research and design of security audit system for compliance
Csaba MONITORING MISSION CRITICAL DATA FOR INTEGRITY AND AVAILABILITY
Yamoyany et al. Utilizing Fuzzy Logic and Audit Logs for Effective Intrusion Detection
Lunt Automated Instruction Detection

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050606

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080213

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101130

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110419