一种基于Agent的内部威胁实时检测方法技术

本发明专利技术公开了一种基于Agent的内部威胁实时检测方法，属于信息系统安全技术领域。目的是采用基于Agent技术的检测组件保障内网数据安全。提供一种基于Agent的内部威胁实时检测方法。检测方法具体为：安装客户Agent代理程序，在用户访问数据库服务器主机上的业务数据之前，由Agent代理程序对用户的身份和权限进行判断，只有通过认证的用户才能访问数据；在用户处理授权的业务数据的过程中，Agent代理程序对用户的行为进行实时的监控，并将用户的行为记录到日志文件中；用户处理授权的业务数据处理完毕后，Agent代理程序根据用户的需要调用相应的签名机制对用户所做的处理部分进行签名，使用户对业务数据的修改具有不可否认性。

A method of real time detection of internal threat based on Agent

The invention discloses an internal threat real-time detection method based on Agent, which belongs to the technical field of information system security. The purpose is to use Agent based detection components to protect data security in the intranet. A real-time detection method of internal threat based on Agent is proposed. Detection method of concrete: install the client Agent agent, before the user access to business data database server on the host, judged by the Agent agent identity and privileges to the user, only authenticated users can access the data in the process of business data processing; user authorization in real-time to monitor the behavior of the Agent agent to the user, and the user behavior log file; the user authorized business after data processing, the Agent agent signature according to the processing part of the signature mechanism the user needs to call the corresponding to the user, the user to modify business data with non repudiation.

【技术实现步骤摘要】
一种基于Agent的内部威胁实时检测方法
本专利技术具体涉及一种基于Agent的内部威胁实时检测方法，属于信息系统安全

技术介绍
在信息系统面对的各种安全威胁中，内部威胁虽然数量上远不及外部攻击，但造成的损失和危害性更大。近年来，随着维基解密事件再次引发了各界对内部威胁问题的广泛关注。层出不穷的内部人员威胁事件，使得这个课题历久弥新。由于内部员工要比外部人员更清楚哪些数据是值得窃取的，哪些是窃取后并不具有价值的。而且内部恶意操作更容易被企业组织所忽略，因此内部威胁问题，已逐步成为国内外安全专家重点研究的对象，也是企业组织重点关注的计算机安全问题之一。目前已有的针对内部威胁的检测方法使用较多的是基于人工智能的方法，如统计学习方法、系统动态学方法等。在这些研究中，都毫无例外地以获得恶意内部用户的先验知识为前提，只有充分掌握内部攻击者的知识，才有可能检测资源滥用行为.然而在实际应用中，在成功地检测之前获得攻击者的先验知识是个困难问题，因此这些方法的实用性难以保证。
技术实现思路
因此，针对现有技术的上述问题，本专利技术为保证功能和性能要求，在分析了内部威胁检测技术与产品的安全性需求、综合功能、成本和易实现性等基础上，采用基于Agent技术的检测组件保障内网数据安全。提供一种基于Agent的内部威胁实时检测方法。具体的，所述检测方法具体为：安装客户Agent代理程序，Agent代理程序的逻辑结构分为三层：第一层是检测系统与客户业务主机的接口，实现与客户机的通信和数据采集工作；第二层是检测系统内部安全模块集合，实现检测安全控制功能、审计安全控制功能、响应安全控制功能；第三部分是检测系统与企业数据库服务器的接口，实现与数据库的通信和数据采集工作；在用户访问数据库服务器主机上的业务数据之前，由Agent代理程序对用户的身份和权限进行判断，只有通过认证的用户才能访问数据；在用户处理授权的业务数据的过程中，Agent代理程序对用户的行为进行实时的监控，并将用户的行为记录到日志文件中；用户处理授权的业务数据处理完毕后，Agent代理程序根据用户的需要调用相应的签名机制对用户所做的处理部分进行签名，使用户对业务数据的修改具有不可否认性。进一步的，所述方法中，Agent代理程序对用户的身份和权限进行判断具体为：Agent代理程序接收到用户通过客户业务主机发出的SQL请求后，对SQL语句进行分析，首先找出主体和客体对象，分别进行主体身份识别和客体访问授权检查，然后对SQL语句进行意图分析，过滤敏感词汇，避免SQL注入行为及跨站脚本攻击行为；Agent代理程序将SQL操作动作与规则库中的动作进行匹配，检查异常程度，根据偏离度进行分析，推理和检测行为决策，当发现操作行为异常值超过规则允许的范围，Agent代理程序立即发出警报和提供相关的审计的结果。进一步的，所述方法中数据库服务器主机上的业务数据逻辑上分为六种类型，第一类是请求数据，即用户向数据库服务器提交的SQL命令和客户端信息；第二类是用户及权限数据，是用户身份识别和访问控制的信息ACL；第三类是用户操作日志，记录用户操作行为，用于操作审计；第四类是知识库文件，保存Agent的专家数据，方便Agent进行推理分析；第五类是规则库，制定每类授权用户异常行为标准；第六类是系统配置文件；上述六类信息均采用XML存储模式。进一步的，所述方法中Agent代理程序具体包括：认证Agent，在软件结构中起软件防护墙作用，对各种连接和操作数据库的请求进行安全过滤和审计；漏洞检测Agent，通过检测数据库服务器漏洞，评估其安全风险级别，实现事前预防；操作审计Agent，由操作审计或其它安全软件封装而成，按照事先设定的检测规则和安全策略进行在线实时行为检测或事后数据分析；数据采集Agent，负责屏幕采样，键盘数据和日志数据收集，收集的数据最后传送到服务器端Agent进行集中处理。其中，所述方法中Agent代理程序对用户的身份进行判断具体为：系统中定义员工身份识别类EMP，属性包括主机名、IP地址信息，然后使用Java序列化方法直接将员工对象保存到认证文件中，一个员工对应一个认证文件，认证文件为员工编号.ser，写文件的工作在员工注册时完成，此工作逆过程在用户登录验证时完成，员工类对象属性含登录主机信息，该信息由数据采集Agent在用户登录时自动获取，，实现用户登录地点的锁定，再结合业务系统登录功能实现用户身份识别。其中，所述方法中Agent代理程序对用户的权限进行判断具体为：将主体对客体对象的常见操作行为：增、删、改、查进行简化，简化的规则是在应用系统中去掉记录delete操作和update操作，在要删除的记录中增加删除状态或将update操作转为insert操作，用版本更新号和时间戳记录数据状态。本专利技术的有益效果在于：本专利技术提供一种基于Agent的内部威胁实时检测方法，提出了一种基于Agent的内部威胁检测框架，该框架包括数据采集、身份认证、日志管理、漏洞检测、操作审计等模块。通过将各功能模块构建为智能Agent，在各Agent间协作完成异常行为检测和身份识别任务，从而便于系统进行操作日志动态分析，有利于内部威胁的实时检测和操作干预。借助Agent的灵活性以及基于对象序列化的身份认证技术，提高了内部威胁检测的敏捷性和可靠性，增强了企业内部威胁检测系统的智能性和自适应能力。附图说明图1为基于Agent的内部威胁检测框架逻辑结构图；图2为基于Agent的内部检测系统控制逻辑；图3为基于Agent的内部威胁检测系统Agent类型图。具体实施方式下面对本专利技术的具体实施方式进行说明：本专利技术的具体设计思路是，在用户访问数据库服务器主机上的业务数据之前，由Agent代理程序对用户的身份和权限进行判断，只有通过认证的用户才能访问数据；在用户处理授权的业务数据的过程中，Agent代理程序对用户的行为进行实时的监控，并将用户的行为记录到日志文件中；用户处理授权的业务数据处理完毕后，Agent代理程序根据用户的需要调用相应的签名机制对用户所做的处理部分进行签名，使用户对业务数据的修改具有不可否认性。系统结构逻辑结构：Agent代理程序的逻辑结构分为三层：第一层是检测系统与客户业务主机的接口，实现与客户机的通信和数据采集工作；第二层是检测系统内部安全模块集合，实现检测安全控制功能、审计安全控制功能、响应安全控制功能；第三部分是检测系统与企业数据库服务器的接口，实现与数据库的通信和数据采集工作。图1是三层逻辑结构图。在客户业务机和数据库服务器主机上安装客户Agent代理程序，一方面捕获企业内部员工录入数据和发出的命令，同时可以进行锁屏和上传屏幕截图等任务。通过安全检测系统达到在线实时监控和事后审计的双重作用。访问控制结构：内部威胁检测系统监听程序接收到用户通过业务系统发出的SQL请求后，对SQL语句进行分析，首先找出主体和客体对象，分别进行主体身份识别和客体访问授权检查，然后对SQL语句进行意图分析，过滤敏感词汇，避免SQL注入、跨站脚本攻击等行为。其次，将SQL操作动作与规则库中的动作进行匹配，检查异常程度，根据偏离度进行分析、推理和检测行为决策，当发现操作行为异常值超过规则允许的范围，则其立即发出警报和提本文档来自技高网...

【技术保护点】
一种基于Agent的内部威胁实时检测方法，其特征在于，所述检测方法具体为：安装客户Agent代理程序，Agent代理程序的逻辑结构分为三层：第一层是检测系统与客户业务主机的接口，实现与客户机的通信和数据采集工作；第二层是检测系统内部安全模块集合，实现检测安全控制功能、审计安全控制功能、响应安全控制功能；第三部分是检测系统与企业数据库服务器的接口，实现与数据库的通信和数据采集工作；在用户访问数据库服务器主机上的业务数据之前，由Agent代理程序对用户的身份和权限进行判断，只有通过认证的用户才能访问数据；在用户处理授权的业务数据的过程中，Agent代理程序对用户的行为进行实时的监控，并将用户的行为记录到日志文件中；用户处理授权的业务数据处理完毕后，Agent代理程序根据用户的需要调用相应的签名机制对用户所做的处理部分进行签名，使用户对业务数据的修改具有不可否认性。

【技术特征摘要】
1.一种基于Agent的内部威胁实时检测方法，其特征在于，所述检测方法具体为：安装客户Agent代理程序，Agent代理程序的逻辑结构分为三层：第一层是检测系统与客户业务主机的接口，实现与客户机的通信和数据采集工作；第二层是检测系统内部安全模块集合，实现检测安全控制功能、审计安全控制功能、响应安全控制功能；第三部分是检测系统与企业数据库服务器的接口，实现与数据库的通信和数据采集工作；在用户访问数据库服务器主机上的业务数据之前，由Agent代理程序对用户的身份和权限进行判断，只有通过认证的用户才能访问数据；在用户处理授权的业务数据的过程中，Agent代理程序对用户的行为进行实时的监控，并将用户的行为记录到日志文件中；用户处理授权的业务数据处理完毕后，Agent代理程序根据用户的需要调用相应的签名机制对用户所做的处理部分进行签名，使用户对业务数据的修改具有不可否认性。2.一种基于Agent的内部威胁实时检测方法，其特征在于，所述方法中，Agent代理程序对用户的身份和权限进行判断具体为：Agent代理程序接收到用户通过客户业务主机发出的SQL请求后，对SQL语句进行分析，首先找出主体和客体对象，分别进行主体身份识别和客体访问授权检查，然后对SQL语句进行意图分析，过滤敏感词汇，避免SQL注入行为及跨站脚本攻击行为；Agent代理程序将SQL操作动作与规则库中的动作进行匹配，检查异常程度，根据偏离度进行分析，推理和检测行为决策，当发现操作行为异常值超过规则允许的范围，Agent代理程序立即发出警报和提供相关的审计的结果。3.如权利要求1所述的基于Agent的内部威胁实时检测方法，其特征在于，所述方法中数据库服务器主机上的业务数据逻辑上分为六种类型，第一类是请求数据，即用户向数据库服务器提交的SQL命令和客户端信息；第二类是用户及权限数据，是用户身份识别和访问控制的信息ACL；第三类是...

【专利技术属性】
技术研发人员：王振辉，王振铎，
申请(专利权)人：王振辉，
类型：发明
国别省市：陕西,61