專利名稱:數(shù)據(jù)庫安全保護(hù)方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域�����,尤其涉及一種數(shù)據(jù)庫安全保護(hù)方法和裝置��。
背景技術(shù):
隨著信息化的發(fā)展����,對(duì)于各種數(shù)據(jù)庫如DB2�、Oracle, MySQL等等的使用越來越深入到各行各業(yè)當(dāng)中����。尤其在涉及到金融���、信息等行業(yè)當(dāng)中��,數(shù)據(jù)庫都被用來存儲(chǔ)大量的重要數(shù)據(jù),而對(duì)于各種數(shù)據(jù)的審計(jì)及保護(hù)成為了網(wǎng)絡(luò)安全產(chǎn)品必須要考慮的問題�。目前的各種網(wǎng)絡(luò)安全產(chǎn)品��,如防火墻�、入侵檢測(cè)系統(tǒng)等只能檢測(cè)和防護(hù)外來的攻擊或安全隱患,但是對(duì)于數(shù)據(jù)庫內(nèi)部人員的違規(guī)操作是無法進(jìn)行有效發(fā)現(xiàn)及防護(hù)的��。而對(duì)于普通的數(shù)據(jù)庫業(yè)務(wù)審計(jì)系統(tǒng)目前僅僅能夠?qū)Ξ?dāng)前業(yè)務(wù)系統(tǒng)當(dāng)中的用戶對(duì)各類數(shù)據(jù)庫的操作進(jìn)行操作信息的提取����。其中用戶對(duì)于數(shù)據(jù)庫的操作大體上包含增�����、刪、改�����、查詢等操作類型����,很多的數(shù)據(jù)庫業(yè)務(wù)審計(jì)系統(tǒng)都可以準(zhǔn)確的提取各類的數(shù)據(jù)庫操作信息,包括操作類型�、操作對(duì)象���、操作時(shí)間等等。但是目前的數(shù)據(jù)庫業(yè)務(wù)發(fā)展趨勢(shì)決定了僅僅能夠提取出各種數(shù)據(jù)庫的操作信息是不夠的��,出于數(shù)據(jù)庫安全防護(hù)角度的考慮���,需要能夠在大量的數(shù)據(jù)庫操作信息中檢測(cè)出存在異常的數(shù)據(jù)庫操作行為��。例如一個(gè)實(shí)際發(fā)生的案例當(dāng)中,某醫(yī)藥代表為在采購藥物當(dāng)中收取回扣����,多次查詢數(shù)據(jù)庫當(dāng)中各類藥物的使用情況及價(jià)格,如果僅僅依賴于傳統(tǒng)的數(shù)據(jù)庫業(yè)務(wù)審計(jì)系統(tǒng),雖然可以準(zhǔn)確的審計(jì)到每一次的查詢事件����,但是因?yàn)槊恳淮蔚牟樵儾僮骶鶎儆诤戏ǖ臄?shù)據(jù)庫操作�����,因此無法檢測(cè)到其中的異常��。而反映在該案例的操作當(dāng)中的是某一用戶的查詢次數(shù)及頻率以及操作比例大大異常于一段時(shí)間內(nèi)的數(shù)據(jù)庫操作行為。又如某案例中用戶為謀求私利不停的對(duì)后臺(tái)數(shù)據(jù)庫數(shù)據(jù)進(jìn)行修改,雖然在審計(jì)系統(tǒng)審計(jì)到每一次的修改數(shù)據(jù)行為��,但無法對(duì)這種頻繁的數(shù)據(jù)修改異常行為進(jìn)行發(fā)現(xiàn)���,降低了數(shù)據(jù)庫的安全性。
發(fā)明內(nèi)容
本發(fā)明提供了一種數(shù)據(jù)庫安全保護(hù)方法和裝置,解決了數(shù)據(jù)庫安全性低的問題。一種數(shù)據(jù)庫安全保護(hù)方法����,包括接收并解析報(bào)文�,提取所述報(bào)文中的數(shù)據(jù)庫操作信息���;對(duì)所述數(shù)據(jù)庫操作信息進(jìn)行統(tǒng)計(jì)�;根據(jù)統(tǒng)計(jì)結(jié)果生成正常行為模型;根據(jù)所述正常行為模型��,檢測(cè)數(shù)據(jù)庫操作是否存在異常�。優(yōu)選的����,接收并解析報(bào)文�,提取所述報(bào)文中的數(shù)據(jù)庫操作信息具體為接收?qǐng)?bào)文�,提取報(bào)文中標(biāo)識(shí)數(shù)據(jù)庫操作的結(jié)構(gòu)化查詢語言語句�,從所述結(jié)構(gòu)化查詢語言語句中提取所述數(shù)據(jù)庫操作信息����。優(yōu)選的����,所述數(shù)據(jù)庫操作信息包括操作類型�、操作源IP地址、操作時(shí)間和數(shù)據(jù)庫類型���,所述接收并解析報(bào)文,提取所述報(bào)文中的數(shù)據(jù)庫操作信息的步驟之前�����,還包括制定模型生成策略,所述模型生成策略包括策略參數(shù)��、模型自學(xué)習(xí)周期�����、模型自學(xué)習(xí)算法���、觀測(cè)周期和采樣周期���,所述策略參數(shù)包括有效操作類型和數(shù)據(jù)庫類型����,所述模型自學(xué)習(xí)周期包含至少一個(gè)觀測(cè)周期����。優(yōu)選的�����,所述對(duì)所述數(shù)據(jù)庫操作信息進(jìn)行統(tǒng)計(jì)具體為;對(duì)與所述策略參數(shù)相匹配的數(shù)據(jù)庫操作信息進(jìn)行分類統(tǒng)計(jì)�,得到統(tǒng)計(jì)結(jié)果�����,所述分類統(tǒng)計(jì)具體為按照操作類型統(tǒng)計(jì)一觀測(cè)周期內(nèi)各類操作的操作次數(shù)�����。優(yōu)選的,所述根據(jù)統(tǒng)計(jì)結(jié)果生成正常行為模型包括在每個(gè)模型生成周期���,根據(jù)所述統(tǒng)計(jì)結(jié)果���,分別計(jì)算前一采樣周期內(nèi)各觀測(cè)周期全部操作的操作次數(shù);分別計(jì)算各觀測(cè)周期內(nèi)各類操作的操作次數(shù)占所述全部操作的操作次數(shù)的比例����;根據(jù)所述全部操作的操作次數(shù)和各類操作的操作次數(shù)占所述全部操作的操作次數(shù)的比例,按照所述模型生成策略,生成正常行為模型�。優(yōu)選的�,所述按照所述模型生成策略����,生成正常行為模型包括通過表達(dá)式
權(quán)利要求
1.一種數(shù)據(jù)庫安全保護(hù)方法,其特征在于,包括 接收并解析報(bào)文���,提取所述報(bào)文中的數(shù)據(jù)庫操作信息; 對(duì)所述數(shù)據(jù)庫操作信息進(jìn)行統(tǒng)計(jì)��;根據(jù)統(tǒng)計(jì)結(jié)果生成正常行為模型�; 根據(jù)所述正常行為模型,檢測(cè)數(shù)據(jù)庫操作是否存在異常����。
2.根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫安全保護(hù)方法��,其特征在于���,接收并解析報(bào)文,提取所述報(bào)文中的數(shù)據(jù)庫操作信息具體為接收?qǐng)?bào)文�����,提取報(bào)文中標(biāo)識(shí)數(shù)據(jù)庫操作的結(jié)構(gòu)化查詢語言語句�,從所述結(jié)構(gòu)化查詢語言語句中提取所述數(shù)據(jù)庫操作信息。
3.根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫安全保護(hù)方法���,其特征在于,所述數(shù)據(jù)庫操作信息包括操作類型�、操作源IP地址、操作時(shí)間和數(shù)據(jù)庫類型��,所述接收并解析報(bào)文�,提取所述報(bào)文中的數(shù)據(jù)庫操作信息的步驟之前,還包括制定模型生成策略����,所述模型生成策略包括策略參數(shù)、模型自學(xué)習(xí)周期、模型自學(xué)習(xí)算法���、觀測(cè)周期和采樣周期�,所述策略參數(shù)包括有效操作類型和數(shù)據(jù)庫類型����,所述模型自學(xué)習(xí)周期包含至少一個(gè)觀測(cè)周期��。
4.根據(jù)權(quán)利要求3所述的數(shù)據(jù)庫安全保護(hù)方法����,其特征在于����,所述對(duì)所述數(shù)據(jù)庫操作信息進(jìn)行統(tǒng)計(jì)具體為����;對(duì)與所述策略參數(shù)相匹配的數(shù)據(jù)庫操作信息進(jìn)行分類統(tǒng)計(jì)���,得到統(tǒng)計(jì)結(jié)果�,所述分類統(tǒng)計(jì)具體為按照操作類型統(tǒng)計(jì)一觀測(cè)周期內(nèi)各類操作的操作次數(shù)���。
5.根據(jù)權(quán)利要求4所述的數(shù)據(jù)庫安全保護(hù)方法�,其特征在于���,所述根據(jù)統(tǒng)計(jì)結(jié)果生成正常行為模型包括在每個(gè)模型生成周期,根據(jù)所述統(tǒng)計(jì)結(jié)果��,分別計(jì)算前一采樣周期內(nèi)各觀測(cè)周期全部操作的操作次數(shù)���;分別計(jì)算各觀測(cè)周期內(nèi)各類操作的操作次數(shù)占所述全部操作的操作次數(shù)的比例; 根據(jù)所述全部操作的操作次數(shù)和各類操作的操作次數(shù)占所述全部操作的操作次數(shù)的比例�����,按照所述模型生成策略����,生成正常行為模型。
6.根據(jù)權(quán)利要求5所述的數(shù)據(jù)庫安全保護(hù)方法�,其特征在于,所述按照所述模型生成策略��,生成正常行為模型包括通過表達(dá)式
7.根據(jù)權(quán)利要求1或6所述的數(shù)據(jù)庫安全保護(hù)方法�,其特征在于�����,根據(jù)所述正常行為模型,檢測(cè)數(shù)據(jù)庫操作是否存在異常具體為將當(dāng)前所在觀測(cè)周期內(nèi)對(duì)一類操作的操作次數(shù)與前一采樣周期內(nèi)的該類操作的操作次數(shù)均值之差�,與該類操作的操作次數(shù)的方差值進(jìn)行比較��,根據(jù)比較結(jié)果,判斷是否存在數(shù)據(jù)庫操作異常�。
8.根據(jù)權(quán)利要求1或6所述的數(shù)據(jù)庫安全保護(hù)方法����,其特征在于��,根據(jù)所述正常行為模型��,檢測(cè)數(shù)據(jù)庫操作是否存在異常具體為將當(dāng)前所在觀測(cè)周期內(nèi)對(duì)一類操作的操作次數(shù)占該觀測(cè)周期內(nèi)全部操作次數(shù)的比例與前一模型生成周期內(nèi)的該比例的均值之差,與該類操作的操作次數(shù)占全部操作次數(shù)的比例的方差值進(jìn)行比較�����,根據(jù)比較結(jié)果��,判斷是否存在數(shù)據(jù)庫操作異常��。
9.一種數(shù)據(jù)庫安全保護(hù)裝置,其特征在于��,包括報(bào)文解析模塊��,用于接收并解析報(bào)文,提取所述報(bào)文中的數(shù)據(jù)庫操作信息����; 統(tǒng)計(jì)模塊�,用于對(duì)所述數(shù)據(jù)庫操作信息進(jìn)行統(tǒng)計(jì)���; 模型生成模塊,用于根據(jù)統(tǒng)計(jì)結(jié)果生成正常行為模型����; 異常檢測(cè)模塊�,用于根據(jù)所述正常行為模型,檢測(cè)數(shù)據(jù)庫操作是否存在異常����。
10.根據(jù)權(quán)利要求9所述的數(shù)據(jù)庫安全保護(hù)裝置�����,其特征在于�,該裝置還包括策略制定模塊�,用于制定模型生成策略,所述模型生成策略包括策略參數(shù)���、模型自學(xué)習(xí)周期、模型自學(xué)習(xí)算法和觀測(cè)周期,所述策略參數(shù)包括有效操作類型和數(shù)據(jù)庫類型,所述模型自學(xué)習(xí)周期包含至少一個(gè)觀測(cè)周期���。
全文摘要
本發(fā)明提供了一種數(shù)據(jù)庫安全保護(hù)方法和裝置�。涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域���;解決了數(shù)據(jù)庫安全性低的問題。該方法包括接收并解析報(bào)文�,提取所述報(bào)文中的數(shù)據(jù)庫操作信息����;對(duì)所述數(shù)據(jù)庫操作信息進(jìn)行統(tǒng)計(jì);根據(jù)統(tǒng)計(jì)結(jié)果生成正常行為模型�;根據(jù)所述正常行為模型,檢測(cè)數(shù)據(jù)庫操作是否存在異常。本發(fā)明提供的技術(shù)方案適用于數(shù)據(jù)庫安全保護(hù)�����。
文檔編號(hào)H04L12/24GK102480385SQ20101057037
公開日2012年5月30日 申請(qǐng)日期2010年11月26日 優(yōu)先權(quán)日2010年11月26日
發(fā)明者孫海波 申請(qǐng)人:北京啟明星辰信息安全技術(shù)有限公司, 北京啟明星辰信息技術(shù)股份有限公司