收藏
下载资源 加入会员免费下载

一种自学习的数据库安全审计系统及方法.pdf

上传人:b*** 文档编号:6181637 上传时间:2019-05-17 格式:PDF 页数:7 大小:569.67KB
返回 下载 相关 举报
摘要
申请专利号:

CN201310646496.5

 申请日:

2013.12.04
公开号:

CN103678547A

 公开日:

2014.03.26
当前法律状态:

撤回

 有效性:

无权
法律详情:

发明专利申请公布后的视为撤回IPC(主分类):G06F 17/30申请公布日:20140326|||实质审查的生效IPC(主分类):G06F 17/30申请日:20131204|||公开
IPC分类号:

G06F17/30; G06F15/18

 主分类号:

G06F17/30
申请人:

蓝盾信息安全技术股份有限公司
发明人:

杨育斌; 周炎华
地址:

510665 广东省广州市天河区科韵路16号信息港A栋20-21层
优先权:

专利代理机构:

代理人:

PDF下载: PDF下载
内容摘要

本发明公开了一种自学习的数据库安全审计系统,该系统包括客户端连接审计模块、访问语句审计模块、频率分析模块和人工配置模块。此外,本发明还公开了一种自学习的数据库安全审计方法。通过本发明能够历史访问记录不断地认识系统,然后基于这种认识来分析当前的访问数据,从而发现潜在的风险,而且利用本发明不需要进行复杂的配置,且能较好地适应环境的变化。

权利要求书

权利要求书
1.  一种自学习的数据库安全审计系统,其特征在于,该系统包括客户端连接审计模块、访问语句审计模块、频率分析模块和人工配置模块;
其中,客户端连接审计模块对属性组进行分析并生成特征值;
访问语句审计模块对每一条数据库访问SQL语句,将除去常量值后的剩余部分进行计算生成特征值;
频率分析模块系统周期性地检查特征命中标识,如果命中标识有置位,则重新置空,如果命中标识没有置位,则将此特征值从特征库中删除;
人工配置模块将手动在特征库中添加特征项,节省系统学习时间,快速适应系统变更。

2.  根据权利要求1所述的系统,其特征在于,属性组包括:IP地址和端口号、MAC地址、机器名、客户端工具名、登录用户名。

3.  根据权利要求1所述的系统,其特征在于,常量值包括日期、数字、字符串。

4.  根据权利要求1所述的系统,其特征在于,本发明还可以将客户端的特征与语句结构特征一起组成一个特征,但是这样会将特征限制的过于严格,不容易适应系统的变更。

5.  一种自学习的数据库安全审计方法,其特征在于,该方法包括以下步骤:
首先搭建好系统,初始化系统数据,对每个登录的连接,查找特征库,如果在特征库中存在,则将命中标识置位,如果在特征库中不存在,系统将进行报警,管理员选择是否信任此特征值,如果信任,则将此特征值加入特征库;
对每一条数据库访问SQL语句,将除去常量值,例如日期、数字、字符串,对剩余部分进行计算生成特征值;
同样,对每条访问语句,查找特征库,如果在特征库中存在,则将命中标识置位,如果在特征库中不存在,那么系统将进行报警,管理员可以选择是否信任此特征值,如果信任,则将此特征值加入特征库;
然后让系统不断的分析现场数据,将所有分析到的数据都加入特征库,学习一段时间后,系统就能够正常使用了。

6.  根据权利要求5所述的方法,其特征在于,还可以对不同类型的特征值的命中标识设置为不同的失效阈值。

说明书

说明书一种自学习的数据库安全审计系统及方法
技术领域
本发明涉及数据库审计技术领域,尤其涉及一种自学习的数据库安全审计系统及方法。
背景技术
数据库安全审计是针对某一特定的数据库的访问进行安全监控的一种技术,通过对数据库的访问进行监控,及时发现一些非法的访问和操作,从而做出有效的防范和补救措施。
现有的数据库安全审计系统通常是通过设置策略的方式来发现非法访问,当命中策略后进行报警,从而发现威胁。这种方法将系统的安全范围限制的太小,容易造成误报漏报,从而难以发现真正的威胁。
有一些系统可以将抓取到的数据库访问数据进行统计审计,从而发现威胁。这种方法配置起来非常复杂,并且难以适应环境的变化。
发明内容
本发明的目的是为了克服现有技术的缺陷,提供一种自学习的数据库安全审计系统,该系统包括客户端连接审计模块、访问语句审计模块、频率分析模块和人工配置模块。
其中,客户端连接审计模块对属性组进行分析并生成特征值。
访问语句审计模块对每一条数据库访问SQL语句,将除去常量值后的剩余部分进行计算生成特征值。
频率分析模块系统周期性地检查特征命中标识,如果命中标识有置位,则重新置空,如果命中标识没有置位,则将此特征值从特征库中删除。
人工配置模块将手动在特征库中添加特征项,节省系统学习时间,快速适应系统变更。
此外,本发明还提供了一种自学习的数据库安全审计方法,该方法包括以下步骤:
首先搭建好系统,初始化系统数据,对每个登录的连接,查找特征库,如 果在特征库中存在,则将命中标识置位,如果在特征库中不存在,系统将进行报警,管理员选择是否信任此特征值,如果信任,则将此特征值加入特征库。
对每一条数据库访问SQL语句,将除去常量值,例如日期、数字、字符串,对剩余部分进行计算生成特征值。
同样,对每条访问语句,查找特征库,如果在特征库中存在,则将命中标识置位,如果在特征库中不存在,那么系统将进行报警,管理员可以选择是否信任此特征值,如果信任,则将此特征值加入特征库。
然后让系统不断的分析现场数据,将所有分析到的数据都加入特征库,学习一段时间后,系统就能够正常使用了。
本发明技术方案带来的有益效果:
本发明采用了一种系统自学习的系统及方法,无需人工设置的情况下,通过历史访问记录不断地认识系统,然后基于这种认识来分析当前的访问数据,从而发现潜在的风险。利用这种方法不需要进行复杂的配置,且能较好地适应环境的变化。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明的一种自学习的数据库安全审计方法的流程图;
图2是本发明中检查特征命中标识的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明为了解决现有技术中对一些潜在安全威胁不能及时发现的缺点或不足,,通过历史访问记录不断地认识系统,然后基于这种认识来分析当前的访问数据,从而发现潜在的风险。利用本发明不需要进行复杂的配置,且能较好地适应环境的变化。
本发明所基于的原理是:
(1)访问数据库的终端是稳定的
对于一般的用户,其所访问数据库的网络地址,机器、工具,账号等这些属性是稳定的。
(2)访问数据库的语句是稳定的
一个系统里面访问数据库的语句结构,是在系统实施的时候就设定了,不会经常变更。
(3)访问频率是稳定的
用户的登录频率以及一定的SQL语句访问频率在一般情况下是相对稳定的。
基于以上原理,本发明提供的一种自学习的数据库安全审计系统包括以下模块:
(1)客户端连接审计模块
对属性组进行分析并生成特征值:
属性组包括:IP地址和端口号、MAC地址、机器名、客户端工具名、登录用户名。
对每个登录的连接,查找特征库,如果在特征库中存在,则将命中标识置位,如果在特征库中不存在,系统将进行报警,管理员选择是否信任此特征值,如果信任,则将此特征值加入特征库。
(2)访问语句审计模块
对每一条数据库访问SQL语句,将除去常量值(日期、数字、字符串等)后的剩余部分进行计算生成特征值。
同样,对每条访问语句,查找特征库,如果在特征库中存在,则将命中标识置位,如果在特征库中不存在,那么系统将进行报警。管理员可以选择是否信任此特征值,如果信任,则将此特征值加入特征库。
(3)频率分析模块
系统周期性地检查特征命中标识。如果命中标识有置位,则重新置空。如果命中标识没有置位,则将此特征值从特征库中删除。具体流程如图2所示。
(4)人工配置模块
手动在特征库中添加特征项,这样可以节省系统学习时间,快速适应系统 变更。
本发明提供的一种自学习的数据库安全审计方法,其流程图如图1所示,具体实施方法为:
首先搭建好系统,初始化系统数据,对每个登录的连接,查找特征库,如果在特征库中存在,则将命中标识置位,如果在特征库中不存在,那么系统将进行报警,管理员可以选择是否信任此特征值,如果信任,则将此特征值加入特征库。
对每一条数据库访问SQL语句,将除去常量值,例如日期、数字、字符串等,对剩余部分进行计算生成特征值。
同样,对每条访问语句,查找特征库,如果在特征库中存在,则将命中标识置位,如果在特征库中不存在,那么系统将进行报警,管理员选择是否信任此特征值,如果信任,则将此特征值加入特征库。
然后让系统不断的分析现场数据,将所有分析到的数据都加入特征库,学习一段时间后,系统就能够正常使用了。
本发明在无需人工设置的情况下,很好的适应系统环境,能及时有效的发现潜在的安全隐患。
此外,本发明还可以将客户端的特征与语句结构特征一起组成一个特征,但是这样会将特征限制的过于严格,不容易适应系统的变更。
为了处理更灵活,还可以对不同类型的特征值的命中标识设置为不同的失效阈值。
以上对本发明实施例所提供的一种自学习的数据库安全审计系统及方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

一种自学习的数据库安全审计系统及方法.pdf_第1页
第1页 / 共7页
一种自学习的数据库安全审计系统及方法.pdf_第2页
第2页 / 共7页
一种自学习的数据库安全审计系统及方法.pdf_第3页
第3页 / 共7页
点击查看更多>>
资源描述

《一种自学习的数据库安全审计系统及方法.pdf》由会员分享,可在线阅读,更多相关《一种自学习的数据库安全审计系统及方法.pdf(7页珍藏版)》请在专利查询网上搜索。

1、(10)申请公布号 CN 103678547 A (43)申请公布日 2014.03.26 CN 103678547 A (21)申请号 201310646496.5 (22)申请日 2013.12.04 G06F 17/30(2006.01) G06F 15/18(2006.01) (71)申请人 蓝盾信息安全技术股份有限公司 地址 510665 广东省广州市天河区科韵路 16 号信息港 A 栋 20-21 层 (72)发明人 杨育斌 周炎华 (54) 发明名称 一种自学习的数据库安全审计系统及方法 (57) 摘要 本发明公开了一种自学习的数据库安全审计 系统, 该系统包括客户端连接审计模块。

2、、 访问语句 审计模块、 频率分析模块和人工配置模块。此外, 本发明还公开了一种自学习的数据库安全审计方 法。通过本发明能够历史访问记录不断地认识系 统, 然后基于这种认识来分析当前的访问数据, 从 而发现潜在的风险, 而且利用本发明不需要进行 复杂的配置, 且能较好地适应环境的变化。 (51)Int.Cl. 权利要求书 1 页 说明书 3 页 附图 2 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书1页 说明书3页 附图2页 (10)申请公布号 CN 103678547 A CN 103678547 A 1/1 页 2 1. 一种自学习的数据库安全审计系统, 其特。

3、征在于, 该系统包括客户端连接审计模块、 访问语句审计模块、 频率分析模块和人工配置模块 ; 其中, 客户端连接审计模块对属性组进行分析并生成特征值 ; 访问语句审计模块对每一条数据库访问 SQL 语句, 将除去常量值后的剩余部分进行计 算生成特征值 ; 频率分析模块系统周期性地检查特征命中标识, 如果命中标识有置位, 则重新置空, 如 果命中标识没有置位, 则将此特征值从特征库中删除 ; 人工配置模块将手动在特征库中添加特征项, 节省系统学习时间, 快速适应系统变更。 2. 根据权利要求 1 所述的系统, 其特征在于, 属性组包括 : IP 地址和端口号、 MAC 地址、 机器名、 客户端工。

4、具名、 登录用户名。 3. 根据权利要求 1 所述的系统, 其特征在于, 常量值包括日期、 数字、 字符串。 4. 根据权利要求 1 所述的系统, 其特征在于, 本发明还可以将客户端的特征与语句结 构特征一起组成一个特征, 但是这样会将特征限制的过于严格, 不容易适应系统的变更。 5. 一种自学习的数据库安全审计方法, 其特征在于, 该方法包括以下步骤 : 首先搭建好系统, 初始化系统数据, 对每个登录的连接, 查找特征库, 如果在特征库中 存在, 则将命中标识置位, 如果在特征库中不存在, 系统将进行报警, 管理员选择是否信任 此特征值, 如果信任, 则将此特征值加入特征库 ; 对每一条数据。

5、库访问 SQL 语句, 将除去常量值, 例如日期、 数字、 字符串, 对剩余部分进 行计算生成特征值 ; 同样, 对每条访问语句, 查找特征库, 如果在特征库中存在, 则将命中标识置位, 如果在 特征库中不存在, 那么系统将进行报警, 管理员可以选择是否信任此特征值, 如果信任, 则 将此特征值加入特征库 ; 然后让系统不断的分析现场数据, 将所有分析到的数据都加入特征库, 学习一段时间 后, 系统就能够正常使用了。 6. 根据权利要求 5 所述的方法, 其特征在于, 还可以对不同类型的特征值的命中标识 设置为不同的失效阈值。 权 利 要 求 书 CN 103678547 A 2 1/3 页 。

6、3 一种自学习的数据库安全审计系统及方法 技术领域 0001 本发明涉及数据库审计技术领域, 尤其涉及一种自学习的数据库安全审计系统及 方法。 背景技术 0002 数据库安全审计是针对某一特定的数据库的访问进行安全监控的一种技术, 通过 对数据库的访问进行监控, 及时发现一些非法的访问和操作, 从而做出有效的防范和补救 措施。 0003 现有的数据库安全审计系统通常是通过设置策略的方式来发现非法访问, 当命中 策略后进行报警, 从而发现威胁。 这种方法将系统的安全范围限制的太小, 容易造成误报漏 报, 从而难以发现真正的威胁。 0004 有一些系统可以将抓取到的数据库访问数据进行统计审计, 从。

7、而发现威胁。这种 方法配置起来非常复杂, 并且难以适应环境的变化。 发明内容 0005 本发明的目的是为了克服现有技术的缺陷, 提供一种自学习的数据库安全审计系 统, 该系统包括客户端连接审计模块、 访问语句审计模块、 频率分析模块和人工配置模块。 0006 其中, 客户端连接审计模块对属性组进行分析并生成特征值。 0007 访问语句审计模块对每一条数据库访问 SQL 语句, 将除去常量值后的剩余部分进 行计算生成特征值。 0008 频率分析模块系统周期性地检查特征命中标识, 如果命中标识有置位, 则重新置 空, 如果命中标识没有置位, 则将此特征值从特征库中删除。 0009 人工配置模块将手。

8、动在特征库中添加特征项, 节省系统学习时间, 快速适应系统 变更。 0010 此外, 本发明还提供了一种自学习的数据库安全审计方法, 该方法包括以下步 骤 : 0011 首先搭建好系统, 初始化系统数据, 对每个登录的连接, 查找特征库, 如果在特征 库中存在, 则将命中标识置位, 如果在特征库中不存在, 系统将进行报警, 管理员选择是否 信任此特征值, 如果信任, 则将此特征值加入特征库。 0012 对每一条数据库访问 SQL 语句, 将除去常量值, 例如日期、 数字、 字符串, 对剩余部 分进行计算生成特征值。 0013 同样, 对每条访问语句, 查找特征库, 如果在特征库中存在, 则将命。

9、中标识置位, 如 果在特征库中不存在, 那么系统将进行报警, 管理员可以选择是否信任此特征值, 如果信 任, 则将此特征值加入特征库。 0014 然后让系统不断的分析现场数据, 将所有分析到的数据都加入特征库, 学习一段 时间后, 系统就能够正常使用了。 说 明 书 CN 103678547 A 3 2/3 页 4 0015 本发明技术方案带来的有益效果 : 0016 本发明采用了一种系统自学习的系统及方法, 无需人工设置的情况下, 通过历史 访问记录不断地认识系统, 然后基于这种认识来分析当前的访问数据, 从而发现潜在的风 险。利用这种方法不需要进行复杂的配置, 且能较好地适应环境的变化。 。

10、附图说明 0017 为了更清楚地说明本发明实施例或现有技术中的技术方案, 下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍, 显而易见地, 下面描述中的附图仅仅是本 发明的一些实施例, 对于本领域普通技术人员来讲, 在不付出创造性劳动的前提下, 还可以 根据这些附图获得其它的附图。 0018 图 1 是本发明的一种自学习的数据库安全审计方法的流程图 ; 0019 图 2 是本发明中检查特征命中标识的流程图。 具体实施方式 0020 下面将结合本发明实施例中的附图, 对本发明实施例中的技术方案进行清楚、 完 整地描述, 显然, 所描述的实施例仅仅是本发明一部分实施例, 而不是全部的实。

11、施例。基于 本发明中的实施例, 本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例, 都属于本发明保护的范围。 0021 本发明为了解决现有技术中对一些潜在安全威胁不能及时发现的缺点或不足, , 通过历史访问记录不断地认识系统, 然后基于这种认识来分析当前的访问数据, 从而发现 潜在的风险。利用本发明不需要进行复杂的配置, 且能较好地适应环境的变化。 0022 本发明所基于的原理是 : 0023 (1) 访问数据库的终端是稳定的 0024 对于一般的用户, 其所访问数据库的网络地址, 机器、 工具, 账号等这些属性是稳 定的。 0025 (2) 访问数据库的语句是稳定的 00。

12、26 一个系统里面访问数据库的语句结构, 是在系统实施的时候就设定了, 不会经常 变更。 0027 (3) 访问频率是稳定的 0028 用户的登录频率以及一定的 SQL 语句访问频率在一般情况下是相对稳定的。 0029 基于以上原理, 本发明提供的一种自学习的数据库安全审计系统包括以下模块 : 0030 (1) 客户端连接审计模块 0031 对属性组进行分析并生成特征值 : 0032 属性组包括 : IP 地址和端口号、 MAC 地址、 机器名、 客户端工具名、 登录用户名。 0033 对每个登录的连接, 查找特征库, 如果在特征库中存在, 则将命中标识置位, 如果 在特征库中不存在, 系统将。

13、进行报警, 管理员选择是否信任此特征值, 如果信任, 则将此特 征值加入特征库。 0034 (2) 访问语句审计模块 0035 对每一条数据库访问 SQL 语句, 将除去常量值 (日期、 数字、 字符串等) 后的剩余部 说 明 书 CN 103678547 A 4 3/3 页 5 分进行计算生成特征值。 0036 同样, 对每条访问语句, 查找特征库, 如果在特征库中存在, 则将命中标识置位, 如 果在特征库中不存在, 那么系统将进行报警。管理员可以选择是否信任此特征值, 如果信 任, 则将此特征值加入特征库。 0037 (3) 频率分析模块 0038 系统周期性地检查特征命中标识。如果命中标。

14、识有置位, 则重新置空。如果命中 标识没有置位, 则将此特征值从特征库中删除。具体流程如图 2 所示。 0039 (4) 人工配置模块 0040 手动在特征库中添加特征项, 这样可以节省系统学习时间, 快速适应系统变更。 0041 本发明提供的一种自学习的数据库安全审计方法, 其流程图如图 1 所示, 具体实 施方法为 : 0042 首先搭建好系统, 初始化系统数据, 对每个登录的连接, 查找特征库, 如果在特征 库中存在, 则将命中标识置位, 如果在特征库中不存在, 那么系统将进行报警, 管理员可以 选择是否信任此特征值, 如果信任, 则将此特征值加入特征库。 0043 对每一条数据库访问 。

15、SQL 语句, 将除去常量值, 例如日期、 数字、 字符串等, 对剩余 部分进行计算生成特征值。 0044 同样, 对每条访问语句, 查找特征库, 如果在特征库中存在, 则将命中标识置位, 如 果在特征库中不存在, 那么系统将进行报警, 管理员选择是否信任此特征值, 如果信任, 则 将此特征值加入特征库。 0045 然后让系统不断的分析现场数据, 将所有分析到的数据都加入特征库, 学习一段 时间后, 系统就能够正常使用了。 0046 本发明在无需人工设置的情况下, 很好的适应系统环境, 能及时有效的发现潜在 的安全隐患。 0047 此外, 本发明还可以将客户端的特征与语句结构特征一起组成一个特。

16、征, 但是这 样会将特征限制的过于严格, 不容易适应系统的变更。 0048 为了处理更灵活, 还可以对不同类型的特征值的命中标识设置为不同的失效阈 值。 0049 以上对本发明实施例所提供的一种自学习的数据库安全审计系统及方法进行了 详细介绍, 本文中应用了具体个例对本发明的原理及实施方式进行了阐述, 以上实施例的 说明只是用于帮助理解本发明的方法及其核心思想 ; 同时, 对于本领域的一般技术人员, 依 据本发明的思想, 在具体实施方式及应用范围上均会有改变之处, 综上所述, 本说明书内容 不应理解为对本发明的限制。 说 明 书 CN 103678547 A 5 1/2 页 6 图 1 说 明 书 附 图 CN 103678547 A 6 2/2 页 7 图 2 说 明 书 附 图 CN 103678547 A 7 。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 物理 > 计算;推算;计数


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1