一种用于动态确定计算机数据库的端到端链路的信任级别的系统和方法包括:在准备阶段中:捕获端到端链路的第一消息集合;压缩第一消息集合中的每个消息的框架以生成第一消息集合中的每个消息的构造,框架包括不具有值字段的消息;创建第一消息集合的构造的特征直方图;在操作阶段期间:捕获端到端链路的第二消息集合;压缩第二消息集合中的每个消息的框架以生成第二消息集合中的每个消息的构造;创建第二消息集合的构造的工作直方图;以及通过将工作直方图与特征直方图进行比较来确定端到端链路的信任级别。端链路的信任级别。端链路的信任级别。
【技术实现步骤摘要】
【国外来华专利技术】动态确定端到端链路的信任级别
[0001]本专利技术一般涉及动态白名单,尤其涉及动态确定从用户到计算机数据库的端到端链路的信任级别。
技术介绍
[0002]数据防火墙通常实时捕获或嗅探对数据库的数据访问(例如,请求和响应),并根据策略规则来分析数据。数据防火墙可以包括数据活动监视器(DAM)和/或文件活动监视器(FAM)。由数据防火墙嗅探的请求和响应可以包括请求(例如,结构化查询语言(SQL)语句)或响应,以及相关联的报头信息。报头可以包括元数据,例如机器信息、网络信息、用户信息、客户端信息等。
[0003]DAM的规范解决方案是在数据源服务器(例如,数据库服务器)上安装代理。代理可以捕获、镜像或嗅探请求和响应,并且将请求和响应发送到安全服务器。安全服务器可以解析数据,实施策略执行,然后根据需要审计、分析、警告或阻止请求和响应。DAM的主要挑战之一是必须捕获和分析大量数据。例如,在典型的企业环境中,DAM可以每秒捕获或嗅探大约100百万个事务(例如,请求和响应)(TPS)。实时或接近实时地嗅探和分析如此大量的数据需要可能非常昂贵的适当的计算机基础设施。
[0004]因此,需要一种用于减少分析数据量的方法。
技术实现思路
[0005]根据本专利技术的实施例,一种用于动态确定计算机数据库的端到端链路的信任级别的系统和方法可以包括:在准备阶段中:捕获第一端到端链路的第一消息集合;压缩第一消息集合中的每个消息的框架(skeleton)框架以生成第一消息集合中的每个消息的构造(construct),其中,框架包括不具有值字段的消息;以及创建第一消息集合的构造的特征直方图;在操作阶段期间:捕获第一端到端链路的第二消息集合;压缩第二消息集合中的每个消息的框架以生成第二消息集合中的每个消息的构造;创建第二消息集合的构造的工作直方图;以及通过将工作直方图与特征直方图进行比较来确定第一端到端链路的信任级别。
[0006]根据本专利技术的实施例,可以根据端到端链路的参数来定义端到端链路,其中,参数选自:主机名称,服务名称,数据库名称,客户端主机名称、操作系统用户,以及数据库用户。
[0007]根据本专利技术的实施例,确定端到端链路的信任级别可以包括:如果第二消息集合的构造中的至少一个构造没有被包括在第一消息集合的构造的特征直方图中,则确定端到端链路的信任级别为不可信。
[0008]根据本专利技术的实施例,压缩框架可包括对框架进行散列以产生散列。
[0009]本专利技术的实施例可以包括:在准备阶段中将被划分为命令组的第一消息集合的命令添加到特征直方图;在操作阶段期间,将被划分为命令组的第二消息集合的命令添加到工作直方图。
[0010]本专利技术的实施例可以包括:在准备阶段中,获得多个消息集合,其中每个集合与端到端链路集合中的端到端链路有关;生成多个消息集合中的每个消息的构造;针对端到端链路集合中的每个端到端链路创建特征直方图,其中,每个特征直方图是从端到端链路集合中的端到端链路的消息集合的构造创建的;以及执行特征直方图的聚类以确定端到端链路的聚类;在操作期间,将工作直方图与第一端到端链路的聚类的每个特征直方图进行比较,以确定第一端到端链路的信任级别。
[0011]根据本专利技术的实施例,可以针对每个新会话和周期性地重复捕获第二消息集合。
[0012]根据本专利技术的实施例,信任级别可以选自可信和不可信,并且本专利技术的实施例可以包括:如果信任级别是可信,则对端到端链路的未来消息不执行综合安全性分析;以及如果信任级别是不可信,则将策略规则应用于端到端链路的未来消息。
[0013]本专利技术的实施例可包括:如果信任级别是可信,则将第二消息集合中的每个消息的构造添加到特征直方图。
[0014]根据本专利技术的实施例,可以通过将工作直方图的方差与特征直方图的方差进行比较,将工作直方图与特征直方图进行比较。
附图说明
[0015]在说明书的结论部分特别指出并清楚地要求保护本专利技术的主题。然而,当结合附图阅读时,通过参考以下详细描述,可以最好地理解本专利技术的实施例的组织和操作方法及其目的、特征和优点。本专利技术的实施例通过示例的方式进行说明,并且不限于附图中的图,在附图中,相同的附图标记表示相应的、类似的或相似的元件,并且其中:
[0016]图1描绘了根据本专利技术的实施例的云计算环境;
[0017]图2描绘了根据本专利技术实施例的抽象模型层;
[0018]图3描绘了根据本专利技术的实施例的系统;
[0019]图4A描绘了根据本专利技术实施例的包括数据库服务器的数据源机器的示例;
[0020]图4B描绘了根据本专利技术实施例的包括网关、网络网关或代理和数据库服务器的组合的数据源机器;
[0021]图5描绘了根据本专利技术的实施例的端到端链路的消息、框架、构造和特征直方图;
[0022]图6A描绘了根据本专利技术实施例的端到端链路的工作直方图与端到端链路的特征直方图的比较;
[0023]图6B描绘了根据本专利技术实施例的端到端链路的工作直方图与多个端到端链路的多个特征直方图的比较,每个特征直方图与端到端链路的聚类有关;
[0024]图6C描绘了根据本专利技术实施例的端到端链路的工作直方图与端到端链路的聚类的共同特征直方图的比较;
[0025]图7是根据本专利技术实施例的用于将消息与端到端链路相关联的方法的流程图;
[0026]图8是根据本专利技术实施例的用于生成特征直方图的方法的流程图
[0027]图9是根据本专利技术实施例的用于动态确定计算机数据库的端到端链路的信任级别的方法的流程图;以及
[0028]图10示出了根据本专利技术的实施例的示例计算设备。
[0029]应当理解,为了说明的简单和清楚,图中所示的元件不一定按比例绘制。例如,为
了清楚起见,一些元件的尺寸可能相对于其他元件被放大。此外,在认为适当的情况下,附图标记可以在附图中重复以指示对应或类似的元件。
具体实施方式
[0030]在以下描述中,将描述本专利技术的各个方面。为了解释的目的,阐述了具体的配置和细节以便提供对本专利技术的透彻理解。然而,对于本领域技术人员来说,显然,本专利技术可以在没有这里给出的特定细节的情况下实施。此外,为了不使本专利技术变得模糊,可以省略或简化公知的特征。
[0031]尽管本专利技术的一些实施例不限于此,但是利用诸如“处理”、“计算”、“运算”、“确定”、“建立”、“分析”、“检查”等术语的讨论可以是指计算机、计算平台、计算系统或其他电子计算设备的(一个或多个)操作和/或(一个或多个)过程,该其他电子计算设备将被表示为计算机的寄存器和/或存储器内的物理(例如,电子)量的数据操纵和/或变换成类似被表示为计算机的寄存器和/或存储器或可存储指令的其他信息瞬态或非瞬态或处理器可读存储介质内的物理量的其他数据,所述指令在由处理器执行时使处理器执行操作和/或过程。尽管本专利技术的实施例不限于此,但是如本文所使用的术语“多个”和“多个”可以包括例如“多个”或“两个或更多”。在整个本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于动态确定计算机数据库的端到端链路的信任级别的方法,所述方法包括:在准备阶段中:捕获第一端到端链路的第一消息集合;压缩所述第一消息集合中的每个消息的框架以生成所述第一消息集合中的每个消息的构造,其中,所述框架包括不具有值字段的所述消息;以及创建所述第一消息集合的所述构造的特征直方图;在操作阶段期间:捕获所述第一端到端链路的第二消息集合;压缩所述第二消息集合中的每个消息的框架以生成所述第二消息集合中的每个消息的构造;创建所述第二消息集合的所述构造的工作直方图;以及通过将所述工作直方图与所述特征直方图进行比较来确定所述第一端到端链路的信任级别。2.根据权利要求1所述的方法,其中,根据端到端链路的参数定义所述端到端链路,其中,所述参数选自包括以下项的列表:主机名称,服务名称,数据库名称,客户端主机名称,操作系统用户,以及数据库用户。3.根据权利要求1所述的方法,其中,确定所述端到端链路的所述信任级别包括:如果所述第二消息集合的所述构造中的至少一个构造未被包括在所述第一消息集合的所述构造的所述特征直方图中,则将所述端到端链路的所述信任级别确定为不可信。4.根据权利要求1所述的方法,其中,压缩框架包括:对所述框架进行散列。5.根据权利要求1所述的方法,包括:在所述准备阶段中:方图;以及在所述操作阶段期间:将被划分成所述命令组的所述第二消息集合的命令添加到所述工作直方图。6.根据权利要求1所述的方法,包括:在所述准备阶段中:获得多个消息集合,其中,每个集合与端到端链路集合中的端到端链路有关;生成所述多个消息集合中的每个消息的构造;针对所述端到端链路集合中的每个端到端链路创建特征直方图,其中,每个特征直方图是从所述端到端链路集合中的端到端链路的消息集合的所述构造创建的;以及执行对所述特征直方图的聚类以确定端到端链路的聚类;以及在操作期间:将所述工作直方图与所述第一端到端链路的聚类的所述特征直方图中的每个特征直方图进行比较,以确定所述第一端到端链路的所述信任级别。7.根据权利要求1所述的方法,其中,针对每个新会话和周期性地重复捕获第二消息集合。8.根据权利要求1所述的方法,其中,所述信任级别选自可信和不可信,所述方法包括:如果信任级别是可信,则针对所述端到端链路的未来消息不执行综合安全性分析;以及
如果所述信任级别是不可信,则将策略规则应用于所述端到端链路的未来消息。9.根据权利要求1所述的方法,包括:如果信任级别是可信,则将所述第二消息集合中的每个消息的所述构造添加到所述特征直方图。10.根据权利要求1所述的方法,其中,通过比较所述工作直方图的方差与所述特征直方图的方差来比较所述工作直方图与所述特征直方图。11.一种用于动态确定端到端链路的信任级别的系统,所述系统包括:存储器;以及处理器,其被配置为:在准备阶段中:获得第一端到端链路的第一消息集合;压缩所述...
【专利技术属性】
技术研发人员:O,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。