本发明专利技术提供一种数据库安全审计方法、装置及电子设备。所述方法包括:实时获取DPI数据库日志数据,根据所述日志数据获取SQL语句访问事件;将所述SQL语句访问事件与预设用户行为规则库进行匹配,所述预设用户行为规则库为根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库;若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级。本发明专利技术可根据数据库本身的结构变化及用户的新行为进行关联规则的调整,动态发现用户行为和调整审计策略,从而适应不同的应用场景及新型的用户行为,能够提供有效的数据库安全保障。
A Database Security Audit Method, Device and Electronic Equipment
【技术实现步骤摘要】
一种数据库安全审计方法、装置及电子设备
本专利技术涉及信息安全领域,更具体地,涉及一种数据库安全审计方法、装置及电子设备。
技术介绍
数据库安全审计服务最基本要解决的问题是安全要素采集,以及事件归一化及事件审计规则定义。在安全要素采集方面,一种方式是采用网络镜像方式采集访问数据库的数据包、通过协议解析数据包,提取数据库访问语句和返回数据内容作为安全分析对象,再通过一定的规则进行安全要素提取;这种方式的优点在于数据库特定端口采集信息较全面,既包含访问信息又包含返回信息,缺点在于硬件部署成本较高,需要产品支持相应协议。另一种是通过SIEM(安全信息与事件管理)方式对数据库日志进行解析,提取安全分析对象;在日志管理中,日志已经包含了数据库事件的关键信息,如时间、账户、语句、错误信息等,通过正则匹配,可获取到关键安全要素;这种方式的优点在于部署简单,成本较低,缺点是采集信息的多少依赖于日志的记录级别和详细程度。事件归一化是把单个事件的多个特征或者多个事件的多个特征归类成一个事件,即把事件的特征约定在一个范围内。比如,一条长SELECT语句,可归一化为SELECT操作,也可归一化为SELECT某个表的某些字段的操作。有一些事件需要多个事件特征归一化成一个,如SELECT一个视图事件,视图的内容在上一次CREATE视图事件中定义,所以,两个事件才能确定一个SELECT某个表的某些字段操作的事件。安全审计的重点和难点在于事件归一化的精度。现有技术采用SQL语句解析、特征归类、会话信息关联等技术来进行事件归一化,其自动分析功能来源于对已知事件特征的软件定制、不同业务场景及异构数据库场景中,这种方式面临着很多挑战。现有技术采用特征归类来进行事件归一化处理,能够实现已知事件的精确定位,但是不能针对特殊的场景自动调整算法。传统特征归类一般由已知的攻击行为特征进行SQL特征提取,特征与特征之间的关联关系需要预先确定,然后固化到软件流程中,实现自动化检测。这种方式不能针对特殊场景进行辨别,用户在数据库中获取敏感信息的行为可能根据数据库本身的结构变化而变化,然而审计无法自定义这些特征行为;也不能发现新的用户行为,所以无法对新的用户行为进行审计。
技术实现思路
本专利技术提供一种克服上述问题或者至少部分地解决上述问题的数据库安全审计方法、装置及电子设备。根据本专利技术的一个方面,提供一种数据库安全审计方法,包括:实时获取DPI数据库日志数据,根据所述日志数据获取SQL语句访问事件;将所述SQL语句访问事件与预设用户行为规则库进行匹配,所述预设用户行为规则库为根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库;若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级。根据本专利技术的另一个方面,还提供一种数据库安全审计装置,包括日志获取模块、规则匹配模块和危险等级模块;所述日志获取模块,用于实时获取DPI数据库日志数据,根据所述日志数据获取SQL语句访问事件;所述规则匹配模块,用于将所述SQL语句访问事件与预设用户行为规则库进行匹配,所述预设用户行为规则库为根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库;所述危险等级模块,用于若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级。根据本专利技术的另一个方面,还提供一种电子设备,包括:至少一个处理器;以及与所述处理器通信连接的至少一个存储器,其中:所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行本专利技术数据库安全审计方法及其任一可选实施例的方法。根据本专利技术的另一个方面,提供一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行本专利技术数据库安全审计方法及其任一可选实施例的方法。本专利技术提出一种数据库安全审计方法,采用以DPI数据库日志记录数据库事件为基础,实时采集DPI数据库访问日志文件,进行日志解析,获取SQL语句访问事件,然后根据预设用户行为规则库经过正则匹配,获得审计结果;对于匹配不一致的结果确认危险等级。本专利技术的预设用户行为规则库是根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到,因此可以根据数据库本身的结构变化及用户的新行为进行关联规则的调整,动态发现用户行为和调整审计策略,从而可以适应不同的应用场景及新型的用户行为,能够为数据库安全提供有效的推理决策和数据支持,保证数据库敏感信息不被泄露。附图说明图1为本专利技术实施例一种数据库安全审计方法流程示意图;图2为本专利技术实施例一种数据库安全审计方法第二流程示意图;图3为本专利技术实施例一种电子设备的框架示意图。具体实施方式下面结合附图和实施例,对本专利技术的具体实施方式作进一步详细描述。以下实施例用于说明本专利技术,但不用来限制本专利技术的范围。图1为本专利技术实施例一种数据库安全审计方法流程示意图,如图1所示的数据库安全审计方法,包括:S100,实时获取DPI数据库日志数据,根据所述日志数据获取SQL语句访问事件;DPI(Deeppacketinspection,深度数据包检测)大数据系统包含用户位置、业务使用等敏感信息数据,而日常维护工作不仅涉及第三方人员的介入,而且涉及不同操作具有不同权限的复杂环境要求。如何保证DPI数据是在正常授权的情况下完成工作,是每一个DPI数据管理者的责任,也是企业不可推卸的职责。S200,将所述SQL语句访问事件与预设用户行为规则库进行匹配,所述预设用户行为规则库为根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库;具体的,要对数据库日志的用户行为进行是否异常的判断,首先需要建立正常用户行为模式的规则即预设用户行为规则库,然后对当前行为进行比对,以检测异常行为。所述预设用户行为规则库可以根据所述DPI数据库的历史日志数据进行关联分析得到,也可以根据实时日志数据进行关联分析得到的,或者也可以根据历史日志数据和实时日志数据进行关联分析得到的。S300,若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级。所述危险等级可根据匹配或不匹配的程度确定。本专利技术实施例采用以DPI数据库日志记录数据库事件为基础,实时采集DPI数据库访问日志文件,进行日志解析,获取SQL语句访问事件,然后根据预设用户行为规则库经过正则匹配,获得审计结果;对于匹配不一致的结果确认危险等级。本专利技术的预设用户行为规则库是根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到,因此可以根据数据库本身的结构变化及用户的新行为进行关联规则的调整,动态发现用户行为和调整审计策略,从而可以适应不同的应用场景及新型的用户行为,能够为数据库安全提供有效的推理决策和数据支持,保证数据库敏感信息不被泄露。在一个可选的实施例中,步骤S200中所述根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库,具体包括:获取所述DPI数据库的历史日志数据和/或采集所述DPI数据库的实时日志数据;本文档来自技高网...
【技术保护点】
1.一种数据库安全审计方法,其特征在于,包括:实时获取DPI数据库日志数据,根据所述日志数据获取SQL语句访问事件;将所述SQL语句访问事件与预设用户行为规则库进行匹配,所述预设用户行为规则库为根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库;若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级。
【技术特征摘要】
1.一种数据库安全审计方法,其特征在于,包括:实时获取DPI数据库日志数据,根据所述日志数据获取SQL语句访问事件;将所述SQL语句访问事件与预设用户行为规则库进行匹配,所述预设用户行为规则库为根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库;若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级。2.根据权利要求1所述的方法,其特征在于,所述根据所述DPI数据库的历史日志数据和/或实时日志数据进行关联分析得到的用户行为的规则库,具体包括:获取所述DPI数据库的历史日志数据和/或采集所述DPI数据库的实时日志数据;对所述历史日志数据和/或实时日志数据进行关联规则挖掘,获得每两个量化属性的二维数组;扫描所有二维数组,获取满足最小置信度的频繁项集,根据所述频繁项集产生关联规则,根据所述关联规则建立所述预设用户行为规则库。3.根据权利要求2所述的方法,其特征在于,所述对所述历史日志数据和/或实时日志数据进行关联规则挖掘,获得每两个量化属性的二维数组,具体包括:对所述历史日志数据和/或实时日志数据进行格式统一化处理;对格式统一处理后的历史日志数据和/或实时日志数据中的属性进行量化分箱,获得量化属性;基于所有的量化属性,根据每两个量化属性的所有的箱组成创建二维数组,所述二维数组的每个数组单元存放规则的右部分属性。4.根据权利要求1所述的方法,其特征在于,所述若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的危险等级,还包括:若所述SQL语句访问事件与预设用户行为规则库匹配,则按照预定义方式给出对应的响应。5.根据权利要求4所述的方法,其特征在于,所述若所述SQL语句访问事件与预设用户行为规则库不匹配或部分不匹配,则确定所述SQL语句访问事件的...
【专利技术属性】
技术研发人员:范永方,罗志全,毛平平,詹晓航,陈章耀,戴天弓,谢识常,张兵战,陈焕文,
申请(专利权)人:中国移动通信集团广东有限公司,中国移动通信集团公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。