專利名稱：數(shù)據(jù)庫正常登錄模型建立、登錄行為異常檢測方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及數(shù)據(jù)庫業(yè)務(wù)審計技術(shù)，尤其涉及一種數(shù)據(jù)庫正常登錄模型建立方法及系統(tǒng)，以及一種數(shù)據(jù)庫登錄行為異常檢測方法及系統(tǒng)。
背景技術(shù)：
數(shù)據(jù)庫業(yè)務(wù)審計技術(shù)是目前應(yīng)用日益廣泛的數(shù)據(jù)庫安全防護技術(shù)，它通過對數(shù)據(jù)庫系統(tǒng)中用戶的各種操作行為解析、記錄及分析，幫助管理人員對數(shù)據(jù)庫系統(tǒng)進行規(guī)劃預(yù)防、實時監(jiān)控、違規(guī)行為阻止和事后追查網(wǎng)絡(luò)運營事故，從而幫助用戶加強對數(shù)據(jù)庫系統(tǒng)操作行為監(jiān)管、避免核心資產(chǎn)損失、保障數(shù)據(jù)庫業(yè)務(wù)系統(tǒng)的正常運營等，是企業(yè)實現(xiàn)數(shù)據(jù)庫管理和控制的最佳實踐。目前在金融、電信等行業(yè)當(dāng)中均大量使用有各種類型的數(shù)據(jù)庫系統(tǒng)，如DB2、 Oracle、MySQL等等，這些行業(yè)的企業(yè)需要經(jīng)常對業(yè)務(wù)系統(tǒng)當(dāng)中的用戶操作數(shù)據(jù)庫進行準確詳細的審計，其中對于用戶登錄行為的審計是必需而且重要的。通過對于各類數(shù)據(jù)庫協(xié)議的解析，目前很多的數(shù)據(jù)庫業(yè)務(wù)審計系統(tǒng)都可以準確地提取用戶的登錄信息，包括所使用的用戶名、登錄的IP地址、登錄的時間等等。本發(fā)明的發(fā)明人在實現(xiàn)本發(fā)明的過程中，發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在如下技術(shù)缺陷目前的數(shù)據(jù)庫業(yè)務(wù)發(fā)展趨勢決定了僅僅能夠提取出用戶的登錄信息是不夠的。出于數(shù)據(jù)庫安全防護角度的考慮，需要提供相應(yīng)的技術(shù)，以能夠在大量的登錄信息中發(fā)現(xiàn)可能存在異常的用戶登錄行為。例如某系統(tǒng)的用戶使用同事的賬號多次登錄后臺數(shù)據(jù)庫并修改其中的數(shù)據(jù)，如果僅僅依賴于傳統(tǒng)的數(shù)據(jù)庫業(yè)務(wù)審計系統(tǒng)，雖然可以準確地審計到每一次的登錄事件，但是從系統(tǒng)角度看，每一次的登錄事件均屬于合法的數(shù)據(jù)庫登錄，因此無法發(fā)現(xiàn)其中的賬號被盜用的異常。

發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是需要提供一種建立數(shù)據(jù)庫正常登錄模型的技術(shù)，以克服現(xiàn)有技術(shù)無法在登錄信息中發(fā)現(xiàn)可能存在的異常的用戶登錄行為的技術(shù)問題。為了解決上述技術(shù)問題，本發(fā)明首先提供了一種數(shù)據(jù)庫正常登錄模型建立方法， 包括如下步驟接收用戶正常登錄數(shù)據(jù)庫產(chǎn)生的正常數(shù)據(jù)報文；從所述正常數(shù)據(jù)報文的字段內(nèi)容中提取出登錄信息；根據(jù)所述數(shù)據(jù)庫的系統(tǒng)環(huán)境設(shè)定模型參數(shù)；根據(jù)所述登錄信息及所述模型參數(shù)，為所述數(shù)據(jù)庫建立正常登錄模型。優(yōu)選地，從所述正常數(shù)據(jù)報文的字段內(nèi)容中提取所述登錄信息的步驟，包括根據(jù)所述模型參數(shù)從所述正常數(shù)據(jù)報文的字段內(nèi)容中提取出所述登錄信息。為了解決上述技術(shù)問題，本發(fā)明還提供了一種數(shù)據(jù)庫正常登錄模型建立系統(tǒng)，包括報文接收模塊、解析和提取模塊、參數(shù)設(shè)定模塊以及模型建立模塊，其中
所述報文接收模塊，用于接收用戶正常登錄數(shù)據(jù)庫產(chǎn)生的正常數(shù)據(jù)報文；所述解析和提取模塊，用于從所述正常數(shù)據(jù)報文的字段內(nèi)容中提取出登錄信息；所述參數(shù)設(shè)定模塊，用于根據(jù)所述數(shù)據(jù)庫的系統(tǒng)環(huán)境設(shè)定模型參數(shù)；所述模型建立模塊，用于根據(jù)所述登錄信息及所述模型參數(shù)，為所述數(shù)據(jù)庫建立正常登錄模型。優(yōu)選地，所述報文接收模塊用于根據(jù)所述模型參數(shù)從所述正常數(shù)據(jù)報文的字段內(nèi)容中提取出所述登錄信息。本發(fā)明所要解決的另一技術(shù)問題是需要提供一種檢測用戶登錄數(shù)據(jù)庫的行為是否存在異常的技術(shù)，以克服現(xiàn)有技術(shù)無法在登錄信息中發(fā)現(xiàn)可能存在的異常的用戶登錄行為的技術(shù)問題。為了解決上述技術(shù)問題，本發(fā)明首先提供了一種數(shù)據(jù)庫登錄行為檢測方法，包括如下步驟接收用戶當(dāng)前登錄數(shù)據(jù)庫產(chǎn)生的當(dāng)前數(shù)據(jù)報文；利用如權(quán)利要求1所述的正常登錄模型對所述當(dāng)前數(shù)據(jù)報文進行登錄行為檢測， 獲得用戶當(dāng)前登錄的行為是否存在異常的檢測結(jié)果。優(yōu)選地，根據(jù)所述數(shù)據(jù)庫的系統(tǒng)環(huán)境設(shè)定所述模型參數(shù)的步驟，包括根據(jù)所述模型參數(shù)從所述正常數(shù)據(jù)報文的字段內(nèi)容中提取出所述登錄信息。優(yōu)選地，根據(jù)所述數(shù)據(jù)庫的系統(tǒng)環(huán)境設(shè)定所述模型參數(shù)的步驟，包括根據(jù)所述數(shù)據(jù)庫的系統(tǒng)環(huán)境設(shè)定包括IP地址段和/或用戶組的所述模型參數(shù)。為了解決上述技術(shù)問題，本發(fā)明還提供了一種數(shù)據(jù)庫登錄行為檢測系統(tǒng)，包括報文接收模塊、解析和提取模塊、參數(shù)設(shè)定模塊、模型建立模塊、行為檢測模塊及輸出模塊，其中所述報文接收模塊，用于接收用戶正常登錄數(shù)據(jù)庫產(chǎn)生的正常數(shù)據(jù)報文及用戶當(dāng)前登錄數(shù)據(jù)庫產(chǎn)生的當(dāng)前數(shù)據(jù)報文；所述解析和提取模塊，用于從所述正常數(shù)據(jù)報文的字段內(nèi)容中提取出登錄信息；所述參數(shù)設(shè)定模塊，用于根據(jù)所述數(shù)據(jù)庫的系統(tǒng)環(huán)境設(shè)定模型參數(shù)；所述模型建立模塊，用于根據(jù)所述登錄信息及所述模型參數(shù)，為所述數(shù)據(jù)庫建立正常登錄模型；所述行為檢測模塊，用于利用所述正常登錄模型對所述當(dāng)前數(shù)據(jù)報文進行登錄行為檢測，獲得用戶當(dāng)前登錄行為是否存在異常的檢測結(jié)果。優(yōu)選地，所述報文接收模塊用于根據(jù)所述模型參數(shù)從所述正常數(shù)據(jù)報文的字段內(nèi)容中提取出所述登錄信息。優(yōu)選地，所述參數(shù)設(shè)定模塊用于設(shè)定包括IP地址段和/或用戶組的所述模型參數(shù)。與現(xiàn)有技術(shù)相比，本發(fā)明提出的技術(shù)方案能夠準確地發(fā)現(xiàn)用戶登錄行為當(dāng)中隱藏的異常行為，能夠準確并及時地識別可能的非法使用他人賬號登陸數(shù)據(jù)庫的異常行為、用戶非法時間登陸數(shù)據(jù)庫行為以及觀測周期內(nèi)登陸頻率異常等行為，從而在一定程度上反映出可能存在的安全隱患并上報給用戶或管理員等，為數(shù)據(jù)庫系統(tǒng)提供精確的審計及防護功能，解決了傳統(tǒng)的數(shù)據(jù)庫業(yè)務(wù)審計技術(shù)無法從用戶登錄數(shù)據(jù)庫的行為中發(fā)現(xiàn)異常行為的問題。本發(fā)明技術(shù)方案可廣泛應(yīng)用于數(shù)據(jù)庫業(yè)務(wù)審計產(chǎn)品中。本發(fā)明的其它特征和優(yōu)點將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點可通過在說明書、權(quán)利要求書以及附圖中所特別指出的結(jié)構(gòu)來實現(xiàn)和獲得。


附圖用來提供對本發(fā)明的進一步理解，并且構(gòu)成說明書的一部分，與本發(fā)明的實施例一起用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的限制。在附圖中圖1是本發(fā)明實施例所述數(shù)據(jù)庫正常登錄模型建立方法的流程示意圖；圖2是本發(fā)明實施例所述數(shù)據(jù)庫登錄行為異常檢測方法的流程示意圖；圖3是本發(fā)明實施例所述數(shù)據(jù)庫正常登錄模型建立系統(tǒng)的組成示意圖；圖4是本發(fā)明實施例所述數(shù)據(jù)庫登錄行為異常檢測系統(tǒng)的組成示意圖。
具體實施例方式以下將結(jié)合附圖及實施例來詳細說明本發(fā)明的實施方式，借此對本發(fā)明如何應(yīng)用技術(shù)手段來解決技術(shù)問題，并達成技術(shù)效果的實現(xiàn)過程能充分理解并據(jù)以實施。首先，如果不沖突，本發(fā)明實施例以及實施例中的各個特征的相互結(jié)合，均在本發(fā)明的保護范圍之內(nèi)。另外，在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行，并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。實施例一、一種數(shù)據(jù)庫正常登錄模型建立方法如圖1所示，本實施例主要包括如下步驟步驟S110，接收用戶正常登錄數(shù)據(jù)庫過程中產(chǎn)生的正常數(shù)據(jù)報文；步驟S120，對所接收的正常數(shù)據(jù)報文進行協(xié)議解析和信息提取，從該正常數(shù)據(jù)報文的字段內(nèi)容中提取出有用的登錄信息；步驟S130，根據(jù)數(shù)據(jù)庫的系統(tǒng)環(huán)境設(shè)定模型參數(shù)；這一步驟的實現(xiàn)，可以是用戶針對相應(yīng)需求來實現(xiàn)的，接收用戶根據(jù)數(shù)據(jù)庫的系統(tǒng)環(huán)境設(shè)定的模型參數(shù)即可；步驟S140，根據(jù)該登錄信息及所設(shè)定的該模型參數(shù)，為該數(shù)據(jù)庫建立用戶登錄該數(shù)據(jù)庫的正常登錄模型并存儲；至此，為數(shù)據(jù)庫建立并存儲了正常登錄模型，之后即可根據(jù)該正常登錄模型進行后續(xù)的用戶登錄數(shù)據(jù)庫的行為檢測。上述步驟S120中，對正常數(shù)據(jù)報文進行協(xié)議解析和信息提取的過程，是按照相應(yīng)的數(shù)據(jù)庫協(xié)議格式從正常數(shù)據(jù)報文的字段內(nèi)容中提取出有用的登錄信息；本步驟的實現(xiàn)依賴于對不同應(yīng)用環(huán)境中的不同數(shù)據(jù)庫的協(xié)議解析。具體地，例如對于DB2數(shù)據(jù)庫，可以在類型為1 IaO的數(shù)據(jù)報文當(dāng)中提取用戶名，而對于Oracle數(shù)據(jù)庫，則可以在數(shù)據(jù)包類型為0336的數(shù)據(jù)報文當(dāng)中提取出用戶名。此后，上述步驟S120依據(jù)所提取出的用戶名，根據(jù)正常數(shù)據(jù)報文中的字段內(nèi)容， 生成統(tǒng)一信息格式的登錄信息，該登錄信息中包括用戶名、登錄IP地址、登錄時間以及對象數(shù)據(jù)庫名等等項目。
在本實施例的一個實際應(yīng)用中，所生成的登錄信息如表1所示表 權(quán)利要求
1.一種數(shù)據(jù)庫正常登錄模型建立方法，其特征在于，包括如下步驟 接收用戶正常登錄數(shù)據(jù)庫產(chǎn)生的正常數(shù)據(jù)報文；從所述正常數(shù)據(jù)報文的字段內(nèi)容中提取出登錄信息； 根據(jù)所述數(shù)據(jù)庫的系統(tǒng)環(huán)境設(shè)定模型參數(shù)；根據(jù)所述登錄信息及所述模型參數(shù)，為所述數(shù)據(jù)庫建立正常登錄模型。
2.根據(jù)權(quán)利要求1所述的方法，其特征在于，從所述正常數(shù)據(jù)報文的字段內(nèi)容中提取所述登錄信息的步驟，包括根據(jù)所述模型參數(shù)從所述正常數(shù)據(jù)報文的字段內(nèi)容中提取出所述登錄信息。
3.一種數(shù)據(jù)庫登錄行為異常檢測方法，其特征在于，包括如下步驟 接收用戶當(dāng)前登錄數(shù)據(jù)庫產(chǎn)生的當(dāng)前數(shù)據(jù)報文；利用如權(quán)利要求1所述的正常登錄模型對所述當(dāng)前數(shù)據(jù)報文進行登錄行為檢測，獲得用戶當(dāng)前登錄的行為是否存在異常的檢測結(jié)果。
4.根據(jù)權(quán)利要求3所述的方法，其特征在于，根據(jù)所述數(shù)據(jù)庫的系統(tǒng)環(huán)境設(shè)定所述模型參數(shù)的步驟，包括根據(jù)所述模型參數(shù)從所述正常數(shù)據(jù)報文的字段內(nèi)容中提取出所述登錄信息。
5.根據(jù)權(quán)利要求3所述的方法，其特征在于，根據(jù)所述數(shù)據(jù)庫的系統(tǒng)環(huán)境設(shè)定所述模型參數(shù)的步驟，包括根據(jù)所述數(shù)據(jù)庫的系統(tǒng)環(huán)境設(shè)定包括IP地址段和/或用戶組的所述模型參數(shù)。
6.一種數(shù)據(jù)庫正常登錄模型建立系統(tǒng)，其特征在于，包括報文接收模塊、解析和提取模塊、參數(shù)設(shè)定模塊以及模型建立模塊，其中所述報文接收模塊，用于接收用戶正常登錄數(shù)據(jù)庫產(chǎn)生的正常數(shù)據(jù)報文； 所述解析和提取模塊，用于從所述正常數(shù)據(jù)報文的字段內(nèi)容中提取出登錄信息； 所述參數(shù)設(shè)定模塊，用于根據(jù)所述數(shù)據(jù)庫的系統(tǒng)環(huán)境設(shè)定模型參數(shù)； 所述模型建立模塊，用于根據(jù)所述登錄信息及所述模型參數(shù)，為所述數(shù)據(jù)庫建立正常登錄模型。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)，其特征在于所述報文接收模塊用于根據(jù)所述模型參數(shù)從所述正常數(shù)據(jù)報文的字段內(nèi)容中提取出所述登錄信息。
8.一種數(shù)據(jù)庫登錄行為異常檢測系統(tǒng)，其特征在于，包括報文接收模塊、解析和提取模塊、參數(shù)設(shè)定模塊、模型建立模塊、行為檢測模塊及輸出模塊，其中所述報文接收模塊，用于接收用戶正常登錄數(shù)據(jù)庫產(chǎn)生的正常數(shù)據(jù)報文及用戶當(dāng)前登錄數(shù)據(jù)庫產(chǎn)生的當(dāng)前數(shù)據(jù)報文；所述解析和提取模塊，用于從所述正常數(shù)據(jù)報文的字段內(nèi)容中提取出登錄信息； 所述參數(shù)設(shè)定模塊，用于根據(jù)所述數(shù)據(jù)庫的系統(tǒng)環(huán)境設(shè)定模型參數(shù)； 所述模型建立模塊，用于根據(jù)所述登錄信息及所述模型參數(shù)，為所述數(shù)據(jù)庫建立正常登錄模型；所述行為檢測模塊，用于利用所述正常登錄模型對所述當(dāng)前數(shù)據(jù)報文進行登錄行為檢測，獲得用戶當(dāng)前登錄行為是否存在異常的檢測結(jié)果。
9.根據(jù)權(quán)利要求8所述的系統(tǒng)，其特征在于所述報文接收模塊用于根據(jù)所述模型參數(shù)從所述正常數(shù)據(jù)報文的字段內(nèi)容中提取出所述登錄信息。
10.根據(jù)權(quán)利要求8所述的系統(tǒng)，其特征在于所述參數(shù)設(shè)定模塊用于設(shè)定包括IP地址段和/或用戶組的所述模型參數(shù)。
全文摘要
本發(fā)明公開了一種數(shù)據(jù)庫正常登錄模型建立方法及系統(tǒng)，以及一種數(shù)據(jù)庫登錄行為異常檢測方法及系統(tǒng)，以克服現(xiàn)有技術(shù)無法在登錄信息中發(fā)現(xiàn)可能存在異常的用戶登錄行為的技術(shù)問題，其中數(shù)據(jù)庫正常登錄模型建立方法包括接收用戶正常登錄數(shù)據(jù)庫產(chǎn)生的正常數(shù)據(jù)報文；從所述正常數(shù)據(jù)報文的字段內(nèi)容中提取出登錄信息；根據(jù)所述數(shù)據(jù)庫的系統(tǒng)環(huán)境設(shè)定模型參數(shù)；根據(jù)所述登錄信息及所述模型參數(shù)，為所述數(shù)據(jù)庫建立正常登錄模型。與現(xiàn)有技術(shù)相比，本發(fā)明提出的技術(shù)方案能夠準確地發(fā)現(xiàn)用戶登錄行為當(dāng)中隱藏的異常行為，可廣泛應(yīng)用于數(shù)據(jù)庫業(yè)務(wù)審計產(chǎn)品中。
文檔編號G06F17/30GK102402517SQ201010278808
公開日2012年4月4日 申請日期2010年9月9日 優(yōu)先權(quán)日2010年9月9日
發(fā)明者周濤, 孫海波 申請人:北京啟明星辰信息安全技術(shù)有限公司, 北京啟明星辰信息技術(shù)股份有限公司