一種數(shù)據(jù)庫審計系統(tǒng)及其審計方法
【專利摘要】本發(fā)明提供了一種數(shù)據(jù)庫審計系統(tǒng),包括數(shù)據(jù)庫語句審計模塊和數(shù)據(jù)庫用戶行為審計模塊,其中,所述數(shù)據(jù)庫語句審計模塊用于對采集到的審計數(shù)據(jù)進行解析,得到SQL語句,對得到的SQL語句進行檢測;所述數(shù)據(jù)庫用戶行為審計模塊用于對采集到的審計數(shù)據(jù)進行分析,得到的用戶行為,并對得到的用戶行為進行檢測。本發(fā)明還涉及一種基于數(shù)據(jù)庫審計系統(tǒng)的審計方法。本發(fā)明通用性較強且檢測效率較高,維護方便,規(guī)則庫不斷更新確保降低誤檢率。可以實際滿足不同用戶對數(shù)據(jù)庫安全的需求,在數(shù)據(jù)庫審計行業(yè)中有廣泛的應(yīng)用前景。
【專利說明】一種數(shù)據(jù)庫審計系統(tǒng)及其審計方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于數(shù)據(jù)庫審計領(lǐng)域,特別涉及一種數(shù)據(jù)庫審計系統(tǒng)及其方法。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)與計算機技術(shù)的飛速發(fā)展,數(shù)據(jù)庫的應(yīng)用越發(fā)廣泛,數(shù)據(jù)庫作為信息系 統(tǒng)的核心,其安全性顯得尤為重要。在數(shù)據(jù)庫性能與效率不斷提升的同時,如何有效防止數(shù) 據(jù)庫系統(tǒng)遭受攻擊、保證數(shù)據(jù)庫中數(shù)據(jù)的安全性和有效性,已成為信息安全的重要研究課 題。
[0003] 現(xiàn)有的數(shù)據(jù)庫審計系統(tǒng),對數(shù)據(jù)審計的規(guī)則由審計人員人工配置或者研發(fā)人員預(yù) 設(shè)基礎(chǔ)規(guī)則,然后經(jīng)由旁路部署鏡像出數(shù)據(jù)庫數(shù)據(jù),解析數(shù)據(jù)后,比對設(shè)定的規(guī)則判斷是否 異常。
[0004] 這種數(shù)據(jù)庫審計的方式需要審計人員具備數(shù)據(jù)庫知識,并且對企業(yè)各業(yè)務(wù)系統(tǒng)的 數(shù)據(jù)庫有一定了解,針對各個業(yè)務(wù)系統(tǒng)需要配置大量不同的規(guī)則,規(guī)則涉及廣泛選項條目 繁多,存在一定誤操作的可能。即便有異常數(shù)據(jù)被系統(tǒng)誤判為正常數(shù)據(jù),在沒有造成明顯的 數(shù)據(jù)庫安全問題前,也無法被發(fā)現(xiàn),存在漏檢測的隱患。
【發(fā)明內(nèi)容】
[0005] 發(fā)明目的:本發(fā)明的目的在于針對現(xiàn)有技術(shù)的不足,提供一種通用性強、檢測效率 高的數(shù)據(jù)庫審計系統(tǒng)。
[0006] 技術(shù)方案:本發(fā)明提供了一種數(shù)據(jù)庫審計系統(tǒng),包括數(shù)據(jù)庫語句審計模塊和數(shù)據(jù) 庫用戶行為審計模塊,其中,所述數(shù)據(jù)庫語句審計模塊用于對采集到的審計數(shù)據(jù)進行解析, 得到SQL語句,對得到的SQL語句進行檢測;所述數(shù)據(jù)庫用戶行為審計模塊用于對采集到 的審計數(shù)據(jù)進行分析,得到的用戶行為,并對得到的用戶行為進行檢測。
[0007] 進一步,所述數(shù)據(jù)庫語句審計模塊包括數(shù)據(jù)庫語句學(xué)習(xí)子模塊和數(shù)據(jù)庫語句檢測 子模塊,其中,
[0008] 所述數(shù)據(jù)庫語句學(xué)習(xí)子模塊對采集到的正確的審計數(shù)據(jù)進行解析,得到SQL語 句,每條SQL語句建立一個SQL語法樹,得到每個SQL語法樹的結(jié)構(gòu)特征V (i),其中V (i)= V(S1,S2, S3, S4, S5),S1為操作類型、S2為子樹的個數(shù)、S3為樹的高度、S4為節(jié)點的個數(shù)、 S5為第一棵子樹節(jié)點的個數(shù),對每個SQL語法樹的結(jié)構(gòu)特征V(i)作HASH(MD5散列計算) 計算,得到每個SQL語句結(jié)構(gòu)的特征值SQL (i),將SQL語句結(jié)構(gòu)的特征值SQL (i)存入到 SQL語句規(guī)則庫中;其中V (i)表示第i個SQL語法樹的結(jié)構(gòu)特征,SQL (i)表示第i個SQL 語句結(jié)構(gòu)的特征值。其中,HASH計算為MD5散列計算。
[0009] 所述數(shù)據(jù)庫語句檢測子模塊通過模式匹配,利用SQL(i)做索引查找規(guī)則庫中的 條目,通過匹配找到具有相同模式的SQL語句后,再對各個節(jié)點進行逐個匹配;最終確定實 時采集到的審計數(shù)據(jù)解析后的SQL語句是否與SQL語句規(guī)則庫匹配;若匹配成功結(jié)束處理 過程;若匹配不成功則將數(shù)據(jù)提交給人工審計。
[0010] 進一步,所述數(shù)據(jù)庫用戶行為審計模塊包括數(shù)據(jù)庫用戶行為審計學(xué)習(xí)子模塊和數(shù) 據(jù)庫用戶行為審計檢測子模塊;其中,
[0011] 所述數(shù)據(jù)庫用戶行為審計學(xué)習(xí)子模塊對采集到的正確審計數(shù)據(jù)進行解析,提取 用戶行為的數(shù)據(jù)庫用戶名、操作對象表名和數(shù)據(jù)庫操作類型這三個關(guān)鍵元素,提取每一個 用戶行為的三個關(guān)鍵元素構(gòu)成的行為特征進行存儲,多個行為特征構(gòu)成一個項目集,利用 Apriori算法對項目集進行關(guān)聯(lián)規(guī)則挖掘,設(shè)定最小支持度和最小可信度,計算出強關(guān)聯(lián)規(guī) 貝1J,存入正常用戶行為規(guī)則庫;
[0012] 所述數(shù)據(jù)庫用戶行為審計檢測子模塊對實時采集到的新的審計數(shù)據(jù)進行解析并 聚類分析,將提取的行為特征與正常用戶行為規(guī)則庫進行匹配,若匹配成功,判定提取的行 為特征為正常行為,則檢測結(jié)束;若匹配不成功,對提取的行為特征報警并記錄,由審計人 員對報警數(shù)據(jù)人工判定,判定為正常行為,則將這條行為特征更新到正常用戶行為規(guī)則庫。
[0013] 本發(fā)明還提供了一種基于上述數(shù)據(jù)庫審計系統(tǒng)的數(shù)據(jù)庫審計方法,包括以下步 驟:
[0014] 步驟10 :在連接數(shù)據(jù)庫的交換機上配置鏡像端口;
[0015] 步驟20 :數(shù)據(jù)審計系統(tǒng)中的數(shù)據(jù)庫語句審計模塊和數(shù)據(jù)庫用戶行為審計模塊分 別根據(jù)采集到的正確的審計數(shù)據(jù)進行學(xué)習(xí)并建立SQL語句規(guī)則庫和用戶行為規(guī)則庫;
[0016] 步驟30 :安裝數(shù)據(jù)審計系統(tǒng)的服務(wù)器從鏡像端口獲得鏡像數(shù)據(jù)分別輸入到數(shù)據(jù) 審計系統(tǒng)的數(shù)據(jù)庫語句審計模塊和數(shù)據(jù)庫用戶行為審計模塊中;
[0017] 步驟40 :數(shù)據(jù)庫語句審計模塊和數(shù)據(jù)庫用戶行為審計模塊同時對采集到的鏡像 數(shù)據(jù)進行解析和檢測。
[0018] 進一步,所述步驟20中數(shù)據(jù)庫語句審計模塊對采集到的正確的審計數(shù)據(jù)進行學(xué) 習(xí)的方法為:
[0019] 步驟210 :對采集到的正確的審計數(shù)據(jù)進行解析得到SQL語句;
[0020] 步驟211 :利用UNIX系統(tǒng)所提供的詞法分析工具LEX和語法分析工具YACC進行 SQL語句解析處理,生成語法樹;
[0021] 步驟212 :對語法樹中的用戶輸入進行統(tǒng)一的字符替換,裁剪為規(guī)范語法樹;
[0022] 步驟213 :對語法樹進行特征提取,表示成SQL規(guī)范語法樹即為V(i)= V(S1,S2, S3, S4, S5),其中,S1為操作類型,S2為子樹的個數(shù),S3為樹的高度,S4為節(jié)點的 個數(shù),S5為第一棵子樹節(jié)點的個數(shù);
[0023] 步驟214 :根據(jù)SQL語法樹的結(jié)構(gòu)特征V⑴,利用HASH算法對V⑴進行HASH計 算,從而得到SQL語句結(jié)構(gòu)的特征值SQL(i)。
[0024] 步驟215 :將SQL⑴存入SQL語句規(guī)則庫,循環(huán)執(zhí)行步驟211-215直至學(xué)習(xí)階段 結(jié)束;
[0025] 所述數(shù)據(jù)庫用戶行為審計模塊對采集到的正確的審計數(shù)據(jù)進行學(xué)習(xí)的方法為:
[0026] 步驟220 :對審計數(shù)據(jù)進行聚類分析,提取數(shù)據(jù)庫用戶名、操作對象表名和數(shù)據(jù)庫 操作類型這三個關(guān)鍵元素并記錄,循環(huán)直到所有數(shù)據(jù)都提取完成;
[0027] 步驟221 :利用Apriori算法對記錄結(jié)果進分析,設(shè)定最小支持度和最小可信度, 計算出符合最小支持度和最小可信度的強關(guān)聯(lián)規(guī)則;
[0028] 步驟222 :將強關(guān)聯(lián)規(guī)則存入用戶行為規(guī)則庫。
[0029] 進一步,所述步驟40中數(shù)據(jù)庫語句審計模塊對采集到的鏡像數(shù)據(jù)進行解析和檢 測的方法為:
[0030] 步驟410 :通過步驟210-214得到鏡像數(shù)據(jù)的SQL⑴;
[0031] 步驟411 :通過模式匹配算法,利用SQL(i)做索引查找SQL語句規(guī)則庫中的條目, 通過匹配找到具有相同模式的SQL語句后,再對各個節(jié)點進行逐個匹配;
[0032] 步驟412 :若匹配成功則解析得到的SQL語句為正常語句,結(jié)束處理過程;若匹配 不成功則跳轉(zhuǎn)步驟413 ;
[0033] 步驟413 :報警并記錄,等待人工審計該SQL語句,若判定為正常,將SQL語句對應(yīng) 的SQL (i)更新入SQL語句規(guī)則庫中;
[0034] 所述數(shù)據(jù)庫用戶行為審計模塊對采集到的鏡像數(shù)據(jù)進行解析和檢測的方法為:
[0035] 步驟423 :提取鏡像數(shù)據(jù)的數(shù)據(jù)庫用戶名、操作對象表名和數(shù)據(jù)庫操作類型三大 關(guān)鍵元素,得到鏡像數(shù)據(jù)的行為特征,將鏡像數(shù)據(jù)的行為特征與用戶行為規(guī)則庫中的條目 進行匹配,若匹配成功則認為對應(yīng)的用戶行為正常,結(jié)束處理過程;若匹配不成功則跳轉(zhuǎn) 步驟433 ;
[0036] 步驟433 :報警并且記錄,等待人工審計該用戶行為,若判定為正常行為,將對應(yīng) 的關(guān)聯(lián)規(guī)則更新入用戶行為規(guī)則庫中。
[0037] 有益效果:與現(xiàn)有技術(shù)相比,本發(fā)明通過對用戶行為分析、SQL語句分析,將異常 檢測技術(shù)、關(guān)聯(lián)規(guī)則挖掘技術(shù)和模式匹配等方法混合使用,實現(xiàn)數(shù)據(jù)庫審計自動學(xué)習(xí)和檢 測。本發(fā)明通用性較強且檢測效率較高,只需要經(jīng)歷一段時間的學(xué)習(xí)階段,就可以進入檢 測,維護方便,規(guī)則庫不斷更新確保降低誤檢率。可以實際滿足不同用戶對數(shù)據(jù)庫安全的需 求,在數(shù)據(jù)庫審計行業(yè)中有廣泛的應(yīng)用前景。
【專利附圖】
【附圖說明】
[0038] 圖1為本發(fā)明中Apriori算法流程圖;
[0039] 圖2為本發(fā)明的數(shù)據(jù)庫審計系統(tǒng)檢測階段流程示意圖;
[0040] 圖3為本發(fā)明中SQL語句生成的語法樹的結(jié)構(gòu)示意圖。
【具體實施方式】
[0041] 下面對本發(fā)明技術(shù)方案進行詳細說明,但是本發(fā)明的保護范圍不局限于所述實施 例。
[0042] 實施例:本發(fā)明提供了一種通過關(guān)聯(lián)規(guī)則挖掘技術(shù)對數(shù)據(jù)庫操作行為以及SQL語 句進行雙向分析的數(shù)據(jù)庫審計系統(tǒng)及方法,系統(tǒng)經(jīng)歷學(xué)習(xí)階段形成用戶行為規(guī)則庫和SQL 語句規(guī)則庫,進入檢測階段即可通過匹配規(guī)則庫來審計異常數(shù)據(jù)。
[0043] 本發(fā)明提供了一種數(shù)據(jù)庫審計系統(tǒng),包括數(shù)據(jù)庫語句審計模塊和數(shù)據(jù)庫用戶行為 審計模塊,其中,所述數(shù)據(jù)庫語句審計模塊用于對采集到的審計數(shù)據(jù)進行解析,得到SQL語 句,對得到的SQL語句進行檢測;所述數(shù)據(jù)庫用戶行為審計模塊用于對采集到的審計數(shù)據(jù) 進行分析,得到的用戶行為,并對得到的用戶行為進行檢測,數(shù)據(jù)庫語句審計模塊和數(shù)據(jù)庫 用戶行為審計模塊同時工作。
[0044] 基于上述數(shù)據(jù)庫審計系統(tǒng)的數(shù)據(jù)庫審計方法,包括以下步驟:
[0045] 步驟10 :在連接數(shù)據(jù)庫的交換機上配置鏡像端口;
[0046] 步驟20 :數(shù)據(jù)審計系統(tǒng)中的數(shù)據(jù)庫語句審計模塊和數(shù)據(jù)庫用戶行為審計模塊分 別根據(jù)采集到的正確的審計數(shù)據(jù)進行學(xué)習(xí)并建立SQL語句規(guī)則庫和用戶行為規(guī)則庫。
[0047] 數(shù)據(jù)庫語句審計模塊對采集到的正確的審計數(shù)據(jù)進行學(xué)習(xí)的方法為:
[0048] 步驟210 :對采集到的正確的審計數(shù)據(jù)進行解析得到SQL語句;
[0049] 步驟211 :利用UNIX系統(tǒng)所提供的詞法分析工具LEX和語法分析工具YACC進行 SQL語句解析處理,生成語法樹;
[0050] 步驟212 :對語法樹中的用戶輸入進行統(tǒng)一的字符替換,裁剪為規(guī)范語法樹;
[0051] 步驟213 :對語法樹進行特征提取,表示成SQL規(guī)范語法樹即為V(i)= V(S1,S2, S3, S4, S5),其中,S1為操作類型,S2為子樹的個數(shù),S3為樹的高度,S4為節(jié)點的 個數(shù),S5為第一棵子樹節(jié)點的個數(shù);
[0052] 步驟214 :根據(jù)SQL語法樹的結(jié)構(gòu)特征V⑴,利用HASH算法對V⑴進行HASH計 算,從而得到SQL語句結(jié)構(gòu)的特征值SQL(i)。
[0053] 步驟215 :將SQL(i)存入SQL語句規(guī)則庫,循環(huán)執(zhí)行步驟211-215直至學(xué)習(xí)階段 結(jié)束;
[0054] 數(shù)據(jù)庫用戶行為審計模塊對采集到的正確的審計數(shù)據(jù)進行學(xué)習(xí)的方法為:
[0055] 步驟220 :對審計數(shù)據(jù)進行聚類分析,提取數(shù)據(jù)庫用戶名、操作對象表名和數(shù)據(jù)庫 操作類型這三個關(guān)鍵元素并記錄,循環(huán)直到所有數(shù)據(jù)都提取完成;
[0056] 步驟221 :利用Apriori算法對記錄結(jié)果進分析,設(shè)定最小支持度和最小可信度, 計算出符合最小支持度和最小可信度的強關(guān)聯(lián)規(guī)則;
[0057] 步驟222 :將強關(guān)聯(lián)規(guī)則存入用戶行為規(guī)則庫。
[0058] 其中,如圖1所示,Apriori算法示例圖,假設(shè)用戶經(jīng)歷學(xué)習(xí)階段收集到的行為特 征構(gòu)成一個候選項集,如下表1所示。
[0059] 表 1
【權(quán)利要求】
1. 一種數(shù)據(jù)庫審計系統(tǒng),其特征在于:包括數(shù)據(jù)庫語句審計模塊和數(shù)據(jù)庫用戶行為審 計模塊,其中,所述數(shù)據(jù)庫語句審計模塊用于對采集到的審計數(shù)據(jù)進行解析,得到SQL語 句,對得到的SQL語句進行檢測;所述數(shù)據(jù)庫用戶行為審計模塊用于對采集到的審計數(shù)據(jù) 進行分析,得到的用戶行為,并對得到的用戶行為進行檢測。
2. 根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫審計系統(tǒng),其特征在于:所述數(shù)據(jù)庫語句審計模塊包 括數(shù)據(jù)庫語句學(xué)習(xí)子模塊和數(shù)據(jù)庫語句檢測子模塊,其中, 所述數(shù)據(jù)庫語句學(xué)習(xí)子模塊對采集到的正確的審計數(shù)據(jù)進行解析,得到SQL語句, 每條SQL語句建立一個SQL語法樹,得到每個SQL語法樹的結(jié)構(gòu)特征V(i),其中V(i)= V(S1,S2, S3, S4, S5),S1為操作類型、S2為子樹的個數(shù)、S3為樹的高度、S4為節(jié)點的個數(shù)、S5 為第一棵子樹節(jié)點的個數(shù),對每個SQL語法樹的結(jié)構(gòu)特征V (i)作HASH計算,得到每個SQL 語句結(jié)構(gòu)的特征值SQL(i),將SQL語句結(jié)構(gòu)的特征值SQL(i)存入到SQL語句規(guī)則庫中;其 中V(i)表示第i個SQL語法樹的結(jié)構(gòu)特征,SQL(i)表示第i個SQL語句結(jié)構(gòu)的特征值; 所述數(shù)據(jù)庫語句檢測子模塊通過模式匹配,利用SQL(i)做索引查找規(guī)則庫中的條目, 通過匹配找到具有相同模式的SQL語句后,再對各個節(jié)點進行逐個匹配;最終確定實時采 集到的審計數(shù)據(jù)解析后的SQL語句是否與SQL語句規(guī)則庫匹配;若匹配成功結(jié)束處理過程; 若匹配不成功則將數(shù)據(jù)提交給人工審計。
3. 根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫審計系統(tǒng),其特征在于:所述數(shù)據(jù)庫用戶行為審計模 塊包括數(shù)據(jù)庫用戶行為審計學(xué)習(xí)子模塊和數(shù)據(jù)庫用戶行為審計檢測子模塊;其中, 所述數(shù)據(jù)庫用戶行為審計學(xué)習(xí)子模塊對采集到的正確審計數(shù)據(jù)進行解析,提取用戶行 為的數(shù)據(jù)庫用戶名、操作對象表名和數(shù)據(jù)庫操作類型這三個關(guān)鍵元素,提取每一個用戶行 為的三個關(guān)鍵元素構(gòu)成的行為特征進行存儲,多個行為特征構(gòu)成一個項目集,利用Apriori 算法對項目集進行關(guān)聯(lián)規(guī)則挖掘,設(shè)定最小支持度和最小可信度,計算出強關(guān)聯(lián)規(guī)則,存入 正常用戶行為規(guī)則庫; 所述數(shù)據(jù)庫用戶行為審計檢測子模塊對實時采集到的新的審計數(shù)據(jù)進行解析并聚類 分析,將提取的行為特征與正常用戶行為規(guī)則庫進行匹配,若匹配成功,判定提取的行為特 征為正常行為,則檢測結(jié)束;若匹配不成功,對提取的行為特征報警并記錄,由審計人員對 報警數(shù)據(jù)人工判定,判定為正常行為,則將這條行為特征更新到正常用戶行為規(guī)則庫。
4. 采用權(quán)利要求1所述的數(shù)據(jù)庫審計系統(tǒng)的數(shù)據(jù)庫審計方法,其特征在于:包括以下 步驟: 步驟10 :在連接數(shù)據(jù)庫的交換機上配置鏡像端口; 步驟20 :數(shù)據(jù)審計系統(tǒng)中的數(shù)據(jù)庫語句審計模塊和數(shù)據(jù)庫用戶行為審計模塊分別根 據(jù)采集到的正確的審計數(shù)據(jù)進行學(xué)習(xí)并建立SQL語句規(guī)則庫和用戶行為規(guī)則庫; 步驟30 :安裝數(shù)據(jù)審計系統(tǒng)的服務(wù)器從鏡像端口獲得鏡像數(shù)據(jù)分別輸入到數(shù)據(jù)審計 系統(tǒng)的數(shù)據(jù)庫語句審計模塊和數(shù)據(jù)庫用戶行為審計模塊中; 步驟40 :數(shù)據(jù)庫語句審計模塊和數(shù)據(jù)庫用戶行為審計模塊同時對采集到的鏡像數(shù)據(jù) 進行解析和檢測。
5. 根據(jù)權(quán)利要求4所述數(shù)據(jù)庫審計方法,其特征在于:所述步驟20中數(shù)據(jù)庫語句審計 模塊對采集到的正確的審計數(shù)據(jù)進行學(xué)習(xí)的方法為: 步驟210 :對采集到的正確的審計數(shù)據(jù)進行解析得到SQL語句; 步驟211 :利用UNIX系統(tǒng)所提供的詞法分析工具LEX和語法分析工具YACC進行SQL語 句解析處理,每條SQL語句生成一個語法樹; 步驟212 :對語法樹中的用戶輸入進行統(tǒng)一的字符替換,裁剪為規(guī)范語法樹; 步驟213 :對語法樹進行特征提取,表示成SQL規(guī)范語法樹即為V(i)= V(S1,S2, S3, S4, S5),其中,S1為操作類型,S2為子樹的個數(shù),S3為樹的高度,S4為節(jié)點的 個數(shù),S5為第一棵子樹節(jié)點的個數(shù); 步驟214 :根據(jù)SQL語法樹的結(jié)構(gòu)特征V (i),利用HASH算法對V (i)進行HASH計算,從 而得到SQL語句結(jié)構(gòu)的特征值SQL (i)。 步驟215 :將SQL (i)存入SQL語句規(guī)則庫,循環(huán)執(zhí)行步驟211-215直至學(xué)習(xí)階段結(jié)束; 所述數(shù)據(jù)庫用戶行為審計模塊對采集到的正確的審計數(shù)據(jù)進行學(xué)習(xí)的方法為: 步驟220 :對審計數(shù)據(jù)進行聚類分析,提取數(shù)據(jù)庫用戶名、操作對象表名和數(shù)據(jù)庫操作 類型這三個關(guān)鍵元素并記錄,循環(huán)直到所有數(shù)據(jù)都提取完成; 步驟221 :利用Apriori算法對記錄結(jié)果進分析,設(shè)定最小支持度和最小可信度,計算 出符合最小支持度和最小可信度的強關(guān)聯(lián)規(guī)則; 步驟222 :將強關(guān)聯(lián)規(guī)則存入用戶行為規(guī)則庫。
6.根據(jù)權(quán)利要求4所述數(shù)據(jù)庫審計方法,其特征在于:所述步驟40中數(shù)據(jù)庫語句審計 模塊對采集到的鏡像數(shù)據(jù)進行解析和檢測的方法為: 步驟410 :通過步驟210-214得到鏡像數(shù)據(jù)的SQL (i); 步驟411 :通過模式匹配算法,利用SQL (i)做索引查找SQL語句規(guī)則庫中的條目,通過 匹配找到具有相同模式的SQL語句后,再對各個節(jié)點進行逐個匹配; 步驟412 :若匹配成功則解析得到的SQL語句為正常語句,結(jié)束處理過程;若匹配不成 功則跳轉(zhuǎn)步驟413 ; 步驟413 :報警并記錄,等待人工審計該SQL語句,若判定為正常,將SQL語句對應(yīng)的 SQL (i)更新入SQL語句規(guī)則庫中; 所述數(shù)據(jù)庫用戶行為審計模塊對采集到的鏡像數(shù)據(jù)進行解析和檢測的方法為: 步驟423 :提取鏡像數(shù)據(jù)的數(shù)據(jù)庫用戶名、操作對象表名和數(shù)據(jù)庫操作類型三大關(guān)鍵 元素,得到鏡像數(shù)據(jù)的行為特征,將鏡像數(shù)據(jù)的行為特征與用戶行為規(guī)則庫中的條目進行 匹配,若匹配成功則認為對應(yīng)的用戶行為正常,結(jié)束處理過程;若匹配不成功則跳轉(zhuǎn)步驟 433 ; 步驟433:報警并且記錄,等待人工審計該用戶行為,若判定為正常行為,將對應(yīng)的關(guān) 聯(lián)規(guī)則更新入用戶行為規(guī)則庫中。
【文檔編號】G06F17/30GK104090941SQ201410306453
【公開日】2014年10月8日 申請日期:2014年6月30日 優(yōu)先權(quán)日:2014年6月30日
【發(fā)明者】吳克河, 崔文超, 劉晨瑩 申請人:江蘇華大天益電力科技有限公司