用于数据库系统防黑客入侵的检测系统和方法技术方案

本发明专利技术公开了用于数据库系统防黑客入侵的检测系统和方法，涉及数据库防入侵技术领域。本发明专利技术的报告上报系统包括数据采集器、误用检测单元、异常检测单元、误用规则库、行为模式规则库、记录器、报警器、关联防火墙、事件数据库、磁盘管理器、客户端实时报警器、与用户交互模块、管理控制台；本发明专利技术的检测方法包括：S01：当前系统审计数据；S02：数据采集和预处理；S03：数据挖掘；S04：得到当前用户行为特征；S05：综合规则库进行检测；S06：判断是否遭受入侵。本发明专利技术解决对数据库网络和黑客入侵不能实施监测报警，不能对数据库中的入侵事件进行管理和维护，对系统检测的实时性和效率低的问题。

Detection System and System for Anti-hacker Invasion of Database System

【技术实现步骤摘要】
用于数据库系统防黑客入侵的检测系统和方法
本专利技术属于数据库防入侵
，特别是涉及用于数据库系统防黑客入侵的检测系统及用于数据库系统防黑客入侵的检测方法。
技术介绍
随着互联网的飞速发展，数据库的应用也跟上了全球信息化的步伐，越来越多的政府、商业、金融等公司机构以及事业部门将数据库与互联网相连。随着数据库应用功能和范围越来越广和越来越强带，同时带来的还有各种网络和黑客攻击等因素存在的网络安全问题，使数据库面临越来越多的风险。因此如何应对网络和黑客攻击对数据库系统带来的威胁是目前数据库系统亟需解决的问题。目前国内关于数据库系统的入侵检测研究尚不多见，技术上处于研究阶段，尚无完善的实用系统，因此这对以上问题提供一种用于数据库系统防黑客入侵的检测系统及用于数据库系统防黑客入侵的检测方法具有重要意义。
技术实现思路
本专利技术的目的在于提供用于数据库系统防黑客入侵的检测系统和方法，通过提供由数据审计系统与数据库相连的数据采集器，数据采集器与误用检测单元和异常检测单元相连，误用检测单元实时检测采集的数据特征与误用规则库内的规则进行比较，异常检测单元实时检测采集的数据特征与行为模式规则库内的规则进行比较，并进行入侵判断，将入侵判断结果反馈至报警器和客户端实时报警器进行报警显示，解决对数据库网络和黑客入侵不能实施监测报警，不能对数据库中的入侵事件进行管理和维护，对系统检测的实时性和效率低的问题。为解决上述技术问题，本专利技术是通过以下技术方案实现的：本专利技术的用于数据库系统防黑客入侵的检测系统，包括数据采集器、误用检测单元、异常检测单元、误用规则库、行为模式规则库、记录器、报警器、关联防火墙、事件数据库、磁盘管理器、客户端实时报警器、与用户交互模块、管理控制台；所述数据采集器通过数据库审计系统与数据库相连并进行信息数据交互；所述误用检测单元通过信息数据传输模块分别连接数据采集器、误用规则库、记录器和报警器；所述异常检测单元通过信息数据传输模块分别连接数据采集器、行为模式规则库、报警器；所述报警器通过信息数据传输模块分别与关联防火墙以及客户端实时报警器相连；所述事件数据库通过信息数据传输模块分别连接记录器、报警器、磁盘管理器、管理控制台、与用户交互模块。进一步地，所述采集数据库审计系统对数据库中待审计日志生成审计记录；所述数据采集器用于采集数据库审计系统对数据库提取的审计记录进行提取，实现审计数据和数据采集的并行化；所述误用检测单元与异常检测单元用于分别读取数据采集器中的审计记录的数据，并分别与误用规则库和行为模式规则库中的规则进行检测；所述误用规则库用于存放已知的攻击模式，由审计系统管理员根据个人的经验和以往审计检测的结果进行建立和维护；所述行为模式规则库用于存放用户正常行为模式，由异常检测模块根据基于关联规则的数据挖掘算法创建并进行增量更新；所述报警器用于将误用检测单元和异常检测单元检测出的非正常行为传递给报警器，报警器根据此行为的异常程度采取相应的措施；所述关联防护墙用于对误用检测单元和异常检测单元检测出的非正常行为进行防御，包括进行访问行为控制和危险操作阻断；所述记录器用于对误用检测单元和异常检测单元检测产生的行为结果作出一个缓存；所述磁盘管理器用于记录确实有效的检测结果信息；所述事件数据库用于存放系统在检测过程中产生的各种监测结果，系统管理员根据存放在数据库表中的数据生成各种所需要的报表进行审计分析；所述与用户交互模块用于用户对数据库和检测系统进行交互动作，包括数据库访问和数据库入侵事件实时查看；所述管理控制台用于系统管理员根据当前数据库的运行环境，指定新的检测策略，以便更好地再现监控数据库。进一步地，所述管理控制台包括用户登录界面模块和系统主界面模块；所述用户登录界面模块用于系统管理员输入用户名和登录密码进行登录，并进入系统主界面模块；所述系统主界面模块包括菜单栏、工具栏、主窗体和状态栏；所述菜单栏包括实时监控、审计维护、工具、窗口配置管理、攻击信息、帮助菜单项。用于数据库系统防黑客入侵的检测方法，包括如下步骤：S01：当前系统审计数据：通过所述采集数据库审计系统对数据库中待审计日志生成审计记录数据；S02：数据采集和预处理：通过所述数据采集器收集用户历史行为数据进行特征提取，并对收集到的用户历史行为数据进行集成和并行化的预处理，为下一步的数据挖掘座准备；S03：数据挖掘：采用数据挖掘技术从采集数据库审计系统中提取有关行为特征和规则，并建立入侵行为模式规则；S04：得到当前用户行为特征：通过数据挖掘得到当前用户的行为特征数据；S05：综合规则库进行检测：行为模式规则库中存有系统需要的异常模式和正常模式，通过将当前用户的行为特征数据与异常模式和正常模式进行比较判断，判断当前用户的行为是否为入侵行为；S06：判断是否遭受入侵：系统根据一定的算法，从误用规则库和行为模式规则库中提取相关规则数据，对当前用户行为特征进行入侵检测，并根据检测的结果作出相应的行动；若判断是入侵行为，则报警器响应，并将报警信号传输至客户端实时报警器进行报警，关联防护墙对入侵行为进行访问行为控制和危险操作阻断，同时记录器对入侵行为进行记录并存储于事件数据库和磁盘管理器；若判断为非入侵行为，则系统继续监控同时在误用规则库和行为模式规则库内进行规则增量更新，并将该非入侵行为进行记录并存储于事件数据库和磁盘管理器。进一步地，位于所述步骤S01之前，所述误用规则库和行为模式规则库创建；位于所述步骤S01-S06过程中，所述误用规则库和行为模式规则库同步进行规则增量更新和管理。进一步地，对所述误用规则库的管理包括浏览规则、修改规则、添加规则、删除规则。进一步地，对所述行为模式规则库的管理包括如下步骤：T01：对用户历史行为数据进行采集并存储；T02：对数据采集和预处理；T03：对数据进行提取有关行为特征和规则；T04：合并规则；T05：将规则写入行为模式规则库。本专利技术具有以下有益效果：本专利技术通过提供由数据审计系统与数据库相连的数据采集器，数据采集器与误用检测单元和异常检测单元相连，误用检测单元实时检测采集的数据特征与误用规则库内的规则进行比较，异常检测单元实时检测采集的数据特征与行为模式规则库内的规则进行比较，并进行入侵判断，将入侵判断结果反馈至报警器和客户端实时报警器进行报警显示，具有对数据库网络和黑客入侵可进行实施监测报警，方便对数据库中的入侵事件进行管理和维护，方便对误用规则库中的规则进行添加、删除、修改等管理，对系统检测的实时性和效率高的优点。当然，实施本专利技术的任一产品并不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术的用于数据库系统防黑客入侵的检测系统的结构示意图；图2本专利技术的用于数据库系统防黑客入侵的检测方法的步骤示意图；图3本专利技术的误用规则库管理的结构示意图；图4本专利技术对行为模式规则库的管理的方法步骤图；图5本专利技术的误用规则库和行为模式规则库同步进行规则增量更新的步骤示意图。具体实施方式下面将结本文档来自技高网...

【技术保护点】
1.用于数据库系统防黑客入侵的检测系统，其特征在于：包括数据采集器、误用检测单元、异常检测单元、误用规则库、行为模式规则库、记录器、报警器、关联防火墙、事件数据库、磁盘管理器、客户端实时报警器、与用户交互模块、管理控制台；所述数据采集器通过数据库审计系统与数据库相连并进行信息数据交互；所述误用检测单元通过信息数据传输模块分别连接数据采集器、误用规则库、记录器和报警器；所述异常检测单元通过信息数据传输模块分别连接数据采集器、行为模式规则库、报警器；所述报警器通过信息数据传输模块分别与关联防火墙以及客户端实时报警器相连；所述事件数据库通过信息数据传输模块分别连接记录器、报警器、磁盘管理器、管理控制台、与用户交互模块。

【技术特征摘要】
1.用于数据库系统防黑客入侵的检测系统，其特征在于：包括数据采集器、误用检测单元、异常检测单元、误用规则库、行为模式规则库、记录器、报警器、关联防火墙、事件数据库、磁盘管理器、客户端实时报警器、与用户交互模块、管理控制台；所述数据采集器通过数据库审计系统与数据库相连并进行信息数据交互；所述误用检测单元通过信息数据传输模块分别连接数据采集器、误用规则库、记录器和报警器；所述异常检测单元通过信息数据传输模块分别连接数据采集器、行为模式规则库、报警器；所述报警器通过信息数据传输模块分别与关联防火墙以及客户端实时报警器相连；所述事件数据库通过信息数据传输模块分别连接记录器、报警器、磁盘管理器、管理控制台、与用户交互模块。2.根据权利要求1所述的用于数据库系统防黑客入侵的检测系统，其特征在于，所述采集数据库审计系统对数据库中待审计日志生成审计记录；所述数据采集器用于采集数据库审计系统对数据库提取的审计记录进行提取，实现审计数据和数据采集的并行化；所述误用检测单元与异常检测单元用于分别读取数据采集器中的审计记录的数据，并分别与误用规则库和行为模式规则库中的规则进行检测；所述误用规则库用于存放已知的攻击模式，由审计系统管理员根据个人的经验和以往审计检测的结果进行建立和维护；所述行为模式规则库用于存放用户正常行为模式，由异常检测模块根据基于关联规则的数据挖掘算法创建并进行增量更新；所述报警器用于将误用检测单元和异常检测单元检测出的非正常行为传递给报警器，报警器根据此行为的异常程度采取相应的措施；所述关联防护墙用于对误用检测单元和异常检测单元检测出的非正常行为进行防御，包括进行访问行为控制和危险操作阻断；所述记录器用于对误用检测单元和异常检测单元检测产生的行为结果作出一个缓存；所述磁盘管理器用于记录确实有效的检测结果信息；所述事件数据库用于存放系统在检测过程中产生的各种监测结果，系统管理员根据存放在数据库表中的数据生成各种所需要的报表进行审计分析；所述与用户交互模块用于用户对数据库和检测系统进行交互动作，包括数据库访问和数据库入侵事件实时查看；所述管理控制台用于系统管理员根据当前数据库的运行环境，指定新的检测策略，以便更好地再现监控数据库。3.根据权利要求1所述的用于数据库系统防黑客入侵的检测系统，其特征在于，所述管理控制台包括用户登录界面模块和系统主界面模块；所述用户登录界面模块用于系...

【专利技术属性】
技术研发人员：胡磊，
申请(专利权)人：北京华安普特网络科技有限公司，
类型：发明
国别省市：北京,11