本发明专利技术公开了一种基于相关性分析的日志审计方法,其包括:设置日志采集模块:通过镜像端口和软件探针获得所有访问数据库的数据包,并对数据报文进行解析,还原真实的访问行为;生成安全审计日志;依照常规审计规则和高级审计规则对日志进行审计,生产完整审计记录。本发明专利技术公开了一种基于相关性分析的日志审计方法具有步骤简单、报表完善和审计全面等优势,能有效帮助企业提高数据安全管理能力,并快速且经济地满足合规要求。
【技术实现步骤摘要】
基于相关性分析的日志审计方法
本专利技术涉及一种网络安全技术。更具体地说,本专利技术涉及一种基于相关性分析的日志审计方法。
技术介绍
在高速信息化的今天,信息安全成为国家安全战略的重要部分。日志,是对IT系统在运行过程中产生的事件的记录。通过日志,IT管理人员可以了解系统的运行状况。而通过对安全相关的日志的分析,IT管理者可以检验信息系统安全机制的有效性,这就是安全日志审计,简称日志审计。而日志的产生、收集、审计分析和存储的全过程称作日志管理。随着政府、企事业单位等各类组织的正常工作开展对信息化的依赖程度越来越高,信息系统安全防护的重要性也随之增高。对各类日志进行安全审计是信息系统安全维护的重点工作之一,目前,由于日志存放分散、数量多、格式不统一、保存周期短、易被篡改破坏等因素,人为开展日志审计工作已逐渐变为一项不可能完成的任务。
技术实现思路
本专利技术的一个目的是解决至少上述问题,并提供至少后面将说明的优点。本专利技术还有一个目的是提供一种基于相关性分析的日志审计方法,其包括:设置日志采集模块,通过镜像端口和软件探针获得所有访问数据库的数据包,并对数据报文进行解析,还原真实的访问行为;生成安全审计日志;依照常规审计规则和高级审计规则对日志进行审计,其中,常规审计规则包括:加固点名称、数据库实例、数据库类型-数据库用户、操作系统用户、主机、数据库IP、客户端IP、数据库MAC、客户端MAC、客户端程序、客户端用户名、客户端端口、请求发生时间、执行时长、SQL内容关键字以及SQL结果关键字;高级审计规则包括:多关键字:基于自主的高速多关键字匹配算法,当多个关键字同时出现时,触发该规则;正则表达式:可以使用正则表达式定义复杂审计规则,如身份证号码、邮件地址;语句级规则:SQL语句代表的句型的规则。优选的是,所述基于相关性分析的日志审计方法还包括:自动学习每一个应用的访问语句,进行模式提取和分类,自动生成行为特征模型,并可以对学习结果进行编辑;通过检查访问行为与基线的偏差来识别风险。优选的是,所述基于相关性分析的日志审计方法还包括:将学习到的、经过安全管理员判定对数据库正常、无风险的访问SQL加入到系统白名单,对于偏离白名单的访问行为,系统生成报警,并提交安全管理员人工判定。本专利技术至少包括以下有益效果:本专利技术所述基于相关性分析的日志审计方法能够实现敏感数据发现、性能审计、风险评估、数据活动监控等。支持旁路、直连、软件探针等多种部署方式。具有性能卓越、报表完善和审计全面等优势,能有效帮助企业提高数据安全管理能力,并快速且经济地满足合规要求。本专利技术所述基于相关性分析的日志审计方法通过服务发现、数据库敏感数据发现、分类等功能帮助企业了解数据库服务器和敏感数据的分布情况。实时监控数据库运行状态,在状态异常时进行预警,防止业务瘫痪,保障业务系统的可用性。全面发现各种配置、管理和系统的风险,帮助修复风险和漏洞。追溯到最终用户,提供完整审计记录。本专利技术的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本专利技术的研究和实践而为本领域的技术人员所理解。具体实施方式下面结合实施例对本专利技术做进一步的详细说明,以令本领域技术人员参照说明书文字能够据以实施。应当理解,本文所使用的诸如“具有”、“包含”以及“包括”术语并不排除一个或多个其它元件或其组合的存在或添加。本专利技术提供一种基于相关性分析的日志审计方法,其包括:设置日志采集模块,通过镜像端口和软件探针获得所有访问数据库的数据包,并对数据报文进行解析,还原真实的访问行为;生成安全审计日志;依照常规审计规则和高级审计规则对日志进行审计,其中,常规审计规则包括:加固点名称、数据库实例、数据库类型-数据库用户、操作系统用户、主机、数据库IP、客户端IP、数据库MAC、客户端MAC、客户端程序、客户端用户名、客户端端口、请求发生时间、执行时长、SQL内容关键字以及SQL结果关键字;高级审计规则包括:多关键字:基于自主的高速多关键字匹配算法,当多个关键字同时出现时,触发该规则;正则表达式:可以使用正则表达式定义复杂审计规则,如身份证号码、邮件地址;语句级规则:SQL语句代表的句型的规则。所述基于相关性分析的日志审计方法还包括:自动学习每一个应用的访问语句,进行模式提取和分类,自动生成行为特征模型,并可以对学习结果进行编辑;通过检查访问行为与基线的偏差来识别风险。所述基于相关性分析的日志审计方法还包括:将学习到的、经过安全管理员判定对数据库正常、无风险的访问SQL加入到系统白名单,对于偏离白名单的访问行为,系统生成报警,并提交安全管理员人工判定。本专利技术所述基于相关性分析的日志审计方法应用于医院系统,具体步骤包括:通过旁路部署并配合软件探针部署方式,在数据中心部署了日志采集模块。该模块从交换机的镜像端口和软件探针获得所有访问数据库的数据包,并对数据报文进行解析,还原真实的访问行为,实现对HIS等系统访问情况的监控和审计。结合管理手段,对应用系统和数据库的不同权限人员,实施不同的审计策略,全面监控数据库的访问行为,并定期生成等保、防统方、敏感数据访问情况等各类报表。本专利技术所述基于相关性分析的日志审计方法应用于金融系统,具体步骤为:在数据中心部署了日志采集模块,采用镜像方式进行数据库访问行为监控,并针对部署在虚拟化或者云平台上的数据库系统,采用软件探针的方式实现访问行为监控。开启系统的白名单功能,将学习到的、经过安全管理员判定对数据库正常、无风险的访问SQL加入到系统白名单。对于偏离白名单的访问行为,系统生成报警,并提交安全管理员人工判定。系统定期生成敏感数据访问情况、风险识别和处理结果等各类报表。尽管本专利技术的实施方案已公开如上,但其并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本专利技术的领域,对于熟悉本领域的人员而言,可容易地实现另外的修改,因此在不背离权利要求及等同范围所限定的一般概念下,本专利技术并不限于特定的细节和这里示出与描述的实施例。本文档来自技高网...
【技术保护点】
1.一种基于相关性分析的日志审计方法,其特征在于,包括:设置日志采集模块:通过镜像端口和软件探针获得所有访问数据库的数据包,并对数据报文进行解析,还原真实的访问行为;生成安全审计日志;依照常规审计规则和高级审计规则对日志进行审计,其中,常规审计规则包括:加固点名称、数据库实例、数据库类型‑数据库用户、操作系统用户、主机、数据库IP、客户端IP、数据库MAC、客户端MAC、客户端程序、客户端用户名、客户端端口、请求发生时间、执行时长、SQL内容关键字以及SQL结果关键字;高级审计规则包括:多关键字:基于自主的高速多关键字匹配算法,当多个关键字同时出现时,触发该规则;正则表达式:可以使用正则表达式定义复杂审计规则,如身份证号码、邮件地址;语句级规则:SQL语句代表的句型的规则;生产完整审计记录。
【技术特征摘要】
1.一种基于相关性分析的日志审计方法,其特征在于,包括:设置日志采集模块:通过镜像端口和软件探针获得所有访问数据库的数据包,并对数据报文进行解析,还原真实的访问行为;生成安全审计日志;依照常规审计规则和高级审计规则对日志进行审计,其中,常规审计规则包括:加固点名称、数据库实例、数据库类型-数据库用户、操作系统用户、主机、数据库IP、客户端IP、数据库MAC、客户端MAC、客户端程序、客户端用户名、客户端端口、请求发生时间、执行时长、SQL内容关键字以及SQL结果关键字;高级审计规则包括:多关键字:基于自主的高速多关键字匹配算法,当多个关键字同时出现时,触...
【专利技术属性】
技术研发人员:田新远,
申请(专利权)人:南京骏腾信息技术有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。