專利名稱:數(shù)據(jù)庫用戶行為監(jiān)控系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及管理數(shù)據(jù)庫系統(tǒng)�。具體地����,本發(fā)明涉及用于監(jiān)控數(shù)據(jù)庫系統(tǒng)的方法和裝置。
背景技術(shù):
在聯(lián)網(wǎng)的系統(tǒng)中保護數(shù)據(jù)是非常重要的。能夠威脅有價值數(shù)據(jù)安全的情況類型很多���,并隨著網(wǎng)絡(luò)系統(tǒng)的發(fā)展而增加�����。當發(fā)生安全性破壞時�����,能夠檢測到它們是很重要的����。否則���,往后數(shù)據(jù)易受到相似類型事件的攻擊是常有的事�����。
為了保護有價值數(shù)據(jù)��,網(wǎng)絡(luò)管理器所面臨的問題類型包括例如�����,黑客攻擊�、未授權(quán)使用、內(nèi)部欺詐或錯用����、和智力信息竊取。
對于網(wǎng)絡(luò)系統(tǒng)所遇到的一些普通問題��,已經(jīng)開發(fā)了不同的方法�����。例如�,防火墻和虛擬專用網(wǎng)絡(luò)保護聯(lián)網(wǎng)系統(tǒng)免于外部站點未經(jīng)授權(quán)的訪問。通過使用密碼或指定特權(quán)�,訪問控制提供一定等級的保護。然而����,因為密碼可能被竊取,所以防火墻和虛擬專用網(wǎng)絡(luò)不能防止內(nèi)賊竊取數(shù)據(jù)���;特權(quán)難以被管理��,用戶可以經(jīng)常訪問他們工作范圍之外的數(shù)據(jù)��,并且安全性可以很容易地被破壞�。
本部分中所描述的方法是可執(zhí)行的方法��,但不必是已被先前構(gòu)思或執(zhí)行的方法��。因此��,除非另有說明��,在本部分中描述的任何方法不能僅因為包含在此部分中�����,就認為是現(xiàn)有技術(shù)�����。
發(fā)明內(nèi)容
本發(fā)明的實施例提供了一種用于監(jiān)控異?��;顒拥臄?shù)據(jù)庫系統(tǒng)的技術(shù)����??勺詣邮占⒎治鲫P(guān)于正在被監(jiān)控的主題數(shù)據(jù)庫的用戶行為信息����,并將其與統(tǒng)計得到的標準和/或一個或多個策略進行比較��,以檢測異?��;顒?��。實施例從各種源(包括與數(shù)據(jù)庫的數(shù)據(jù)庫管理系統(tǒng)協(xié)作的稽核記錄和動態(tài)視圖)收集關(guān)于主題數(shù)據(jù)庫的用戶行為信息。實施例使用一個或多個基于統(tǒng)計的侵入竊密檢測(SBID)和基于規(guī)則的侵入竊密檢測(RBID)�,以檢測異常的數(shù)據(jù)庫活動。在基于統(tǒng)計的侵入竊密檢測中�,使用統(tǒng)計輪廓(statistical profiling)分析所收集到的信息,以確定標準使用輪廓�。在基于規(guī)則的侵入竊密檢測中,將所收集到的數(shù)據(jù)與明確安全規(guī)則(explicit security rule)比較����。如果檢測出與標準使用模式偏離的可疑數(shù)據(jù)庫的訪問,則執(zhí)行目標操作���,例如�����,向負責安全的人員報警�、生成報告、電子郵件警報等�����。
在一個實施例中�����,提供一種機制����,以從關(guān)于數(shù)據(jù)庫活動的歷史信息中確定標準使用模式�。以統(tǒng)計有效方式與標準使用模式偏離的數(shù)據(jù)庫訪問將被檢測并報警。使用模式的實例包括一天中每小時的數(shù)據(jù)庫訪問頻率�����。
在一個實施例中��,提供一種機制�����,以使用戶能夠指定明確安全規(guī)則。違反規(guī)則的數(shù)據(jù)庫訪問將被檢測并報警�����。安全規(guī)則的一些實例包括可疑OS用戶或位置�。
在一個實施例中,使用由控制主題數(shù)據(jù)庫的數(shù)據(jù)庫管理系統(tǒng)提供的設(shè)備收集數(shù)據(jù)庫訪問信息��。例如�����,數(shù)據(jù)庫管理系統(tǒng)可提供包括關(guān)于數(shù)據(jù)庫訪問的信息的稽核記錄��。數(shù)據(jù)庫管理系統(tǒng)還提供動態(tài)性能視圖����,其提供有關(guān)當前數(shù)據(jù)庫使用的信息,諸如當前用戶會話和資源利用�����。該信息可與從稽核記錄獲得的信息結(jié)合使用���。
實施例能夠以一級或多級監(jiān)控�����,包括數(shù)據(jù)庫對象等級監(jiān)控�����、數(shù)據(jù)庫用戶等級監(jiān)控����、和數(shù)據(jù)庫會話等級監(jiān)控����。數(shù)據(jù)庫對象等級監(jiān)控旨在特定數(shù)據(jù)庫對象。數(shù)據(jù)庫用戶等級監(jiān)控旨在數(shù)據(jù)庫用戶����。數(shù)據(jù)庫會話等級監(jiān)控旨在數(shù)據(jù)庫注冊會話。實施例可基于各種侵入竊密檢測方法來支持每個監(jiān)控等級的各種安全策略���。
通過附圖中的實例來描述本發(fā)明��,但是本發(fā)明不局限于此��,在附圖中相同的參考標號表示相似的元件�����,其中圖1是示出了網(wǎng)絡(luò)計算系統(tǒng)的高度概括的框圖��,其中�,在一個實施例中可實施用于監(jiān)控數(shù)據(jù)庫的技術(shù);圖2是示出了在一個實施例中在實例數(shù)據(jù)庫稽核引擎中的處理的高度概括的框圖�����;圖3A至圖3E是示出了在一個實施例中的數(shù)據(jù)收集�����、分析���、和異常檢測處理的高度概括的流程框圖�;圖4是示出了在一個實施例中的對數(shù)據(jù)庫訪問的概率分布的實例的視圖�;圖5是示出了在一個實施例中的數(shù)據(jù)庫監(jiān)控系統(tǒng)的高度概括的框圖;圖6A至圖6M是示出了在一個實施例中配置監(jiān)控操作的實例的屏幕抓圖(shot)����;以及圖7是示出了可用于實現(xiàn)實施例的一個或多個部分的示例性計算機系統(tǒng)的硬件框圖。
具體實施例方式
概述描述用于監(jiān)控數(shù)據(jù)庫的方法和裝置。在下面的描述中�,為了解釋的目的,闡述了多個特定細節(jié)�,以提供對本發(fā)明的徹底了解。然而�,很顯然,在沒有這些特定細節(jié)的情況下也可以實現(xiàn)本發(fā)明�。在其它實例中,為了避免不必要地混淆本發(fā)明��,以框圖形式示出已知的結(jié)構(gòu)和設(shè)備����。
參照圖3A�,示出了根據(jù)本發(fā)明的一個實施例的用于監(jiān)控數(shù)據(jù)庫的方法。在圖3A中示出的方法包括收集表示一個或多個用戶怎樣使用數(shù)據(jù)庫的用戶行為數(shù)據(jù)(塊310)���。所示的方法還包括處理數(shù)據(jù)并將其存儲為歷史數(shù)據(jù)(塊320)�。分析歷史數(shù)據(jù)以確定行為模式(塊330)也是所示方法的一部分�。所示方法還包括接收一組表示一個或多個用戶怎樣使用數(shù)據(jù)庫的新數(shù)據(jù)(塊340)。所示方法還包括執(zhí)行新數(shù)據(jù)組和行為模式之間的比較(塊350)���?���;诒容^確定新數(shù)據(jù)組是否滿足一組標準(塊360)也是所示方法的一部分。所示方法還包括如果新數(shù)據(jù)組滿足該組標準�����,則確定新數(shù)據(jù)組表示異?;顒?塊370)。通過執(zhí)行目標操作來響應(yīng)該確定(塊380)也可以包括在所示方法中�。
在一個實施例中,收集用戶行為數(shù)據(jù)還包括從數(shù)據(jù)庫管理器的稽核記錄中讀取信息�。在一個實施例中,收集用戶行為數(shù)據(jù)還包括以監(jiān)控等級收集從(1)關(guān)于一個或多個選取的數(shù)據(jù)庫對象的數(shù)據(jù)庫訪問的信息��,(2)關(guān)于一個或多個選取的數(shù)據(jù)庫用戶的數(shù)據(jù)庫訪問的信息以及(3)關(guān)于一個或多個選取的數(shù)據(jù)庫用戶會話的數(shù)據(jù)庫訪問的信息中選取的信息����。在一個實施例中,收集用戶行為數(shù)據(jù)還包括接收將被監(jiān)控的信息類型�,從信息類型中確定監(jiān)控等級,以及基于確定的監(jiān)控等級激活數(shù)據(jù)庫管理器的稽核選項�����。
在一個實施例中�����,分析歷史數(shù)據(jù)以確定行為模式還包括從歷史數(shù)據(jù)中確定統(tǒng)計模型。在一個實施例中�����,從歷史數(shù)據(jù)確定統(tǒng)計模型還包括由歷史數(shù)據(jù)確定數(shù)據(jù)庫訪問頻率���,確定數(shù)據(jù)庫訪問頻率的概率函數(shù)以及由概率函數(shù)確定累計概率函數(shù)�。在一個實施例中���,概率函數(shù)可以是泊松概率分布或正態(tài)概率分布等����。
在一個實施例中��,執(zhí)行新數(shù)據(jù)組與行為模式的比較還包括使用新數(shù)據(jù)組對照統(tǒng)計模型來驗證假設(shè)��。在一個實施例中�,使用新數(shù)據(jù)組對照統(tǒng)計模型來驗證假設(shè)還包括確定新數(shù)據(jù)組的數(shù)據(jù)庫訪問頻率以及由防護標準和概率函數(shù)參數(shù)確定閾值���。在一個實施例中��,使用新數(shù)據(jù)組對照統(tǒng)計模型來驗證假設(shè)還包括將新數(shù)據(jù)組的數(shù)據(jù)庫訪問頻率與閾值進行比較��。
歷史信息可包括關(guān)于一個或多個選取的數(shù)據(jù)庫對象的數(shù)據(jù)庫訪問的信息�。在各個實施例中,由歷史數(shù)據(jù)確定數(shù)據(jù)庫訪問頻率包括以下一個或多個以一天中每小時計算對象訪問頻率���、以一天中每小時和操作系統(tǒng)用戶計算對象訪問頻率���、以一天中每小時和數(shù)據(jù)庫用戶計算對象訪問頻率、以一天中每小時和位置計算對象訪問頻率����、以及以一天中每小時或操作系統(tǒng)用戶、數(shù)據(jù)庫用戶和位置中至少兩個的組合計算對象訪問頻率��。
歷史信息可包括關(guān)于一個或多個選取的數(shù)據(jù)庫用戶的數(shù)據(jù)庫訪問的信息�。在各個實施例中,由歷史數(shù)據(jù)確定數(shù)據(jù)訪問頻率包括以下一個或多個以一天中每小時計算用戶訪問頻率�、以一天中每小時和操作系統(tǒng)用戶計算用戶訪問頻率、以一天中每小時和數(shù)據(jù)庫用戶計算用戶訪問頻率���、以一天中每小時和位置計算用戶訪問頻率�����、以一天中每小時或操作系統(tǒng)用戶����、數(shù)據(jù)庫用戶和位置中至少兩個的組合計算用戶訪問頻率。
歷史信息可包括關(guān)于一個或多個選取的數(shù)據(jù)庫用戶會話的數(shù)據(jù)庫訪問的信息����。在各個實施例中,由歷史數(shù)據(jù)確定數(shù)據(jù)庫訪問頻率包括以下一個或多個確定每個會話中的頁讀取量���、每個會話期間的訪問持續(xù)時間�、或每單位時間內(nèi)的頁讀取量中的一個或多個的頻率���。
在各個實施例中�,執(zhí)行目標操作包括引發(fā)報警���、發(fā)送電子郵件��、生成報告��、以及執(zhí)行可視化中的一個或多個。
在一個實施例中���,執(zhí)行確定新數(shù)據(jù)組是否違反基于規(guī)則的策略����。如果新數(shù)據(jù)組違反基于規(guī)則的策略,則確定新數(shù)據(jù)組��,以表示異?����;顒?�。在一個實施例中�,異常活動包括可疑活動�。
在其它方面,本發(fā)明的實施例包括用于實現(xiàn)上述過程的裝置和計算機可讀介質(zhì)�。
術(shù)語“數(shù)據(jù)庫”包括用于根據(jù)結(jié)構(gòu)存儲數(shù)據(jù)的任意數(shù)據(jù)結(jié)構(gòu)。數(shù)據(jù)庫包括關(guān)系數(shù)據(jù)庫����、對象數(shù)據(jù)庫、層次數(shù)據(jù)庫�����、網(wǎng)絡(luò)數(shù)據(jù)庫、和多維數(shù)據(jù)庫等����。
“數(shù)據(jù)庫觸發(fā)器”是指響應(yīng)于包括數(shù)據(jù)庫對象的特定事件(例如,無論何時選取或更改桌面或視圖)自動調(diào)用的存儲的數(shù)據(jù)庫程序��。
“數(shù)據(jù)庫會話”是指通過用戶處理的用戶到數(shù)據(jù)庫的特定連接��。會話從用戶連接的時間持續(xù)到用戶斷開或退出數(shù)據(jù)庫應(yīng)用程序的時間����。
“JAVA數(shù)據(jù)庫連接(JDBC)API”為允許用戶訪問JAVA編程語言的任意數(shù)據(jù)源的標準SQL數(shù)據(jù)庫訪問接口。
“泊松分布”是當事件之間的等待時間是指數(shù)分布時�,間隔的事件數(shù)量的概率分布。
“稽核記錄”是一系列計算機事件的記錄�����。其由監(jiān)控系統(tǒng)活動的稽核系統(tǒng)生成��。記錄可以以包括但不限于計算機文件或數(shù)據(jù)庫表的各種形式存儲�。
“特權(quán)”是指允許網(wǎng)絡(luò)或數(shù)據(jù)庫的用戶執(zhí)行的一組動作或操作?���?蛇x地�,特權(quán)可表示為授權(quán)或一組授權(quán)�。
系統(tǒng)描述圖1是示出了可在一個實施例中實施的用于監(jiān)控數(shù)據(jù)庫的技術(shù)的網(wǎng)絡(luò)計算系統(tǒng)的高度概括的框圖��。根據(jù)圖1所示的一個實施例�����,數(shù)據(jù)庫稽核引擎110通過網(wǎng)絡(luò)106連接到包括數(shù)據(jù)庫服務(wù)器130和數(shù)據(jù)庫132的數(shù)據(jù)庫系統(tǒng)����,以提供由用戶和/或處理對數(shù)據(jù)庫132訪問的監(jiān)控。在一個實施例中����,網(wǎng)絡(luò)106通過防火墻124和路由器122連接到互聯(lián)網(wǎng)108。防火墻124用于保護網(wǎng)絡(luò)106和相關(guān)部件免受通過網(wǎng)絡(luò)106發(fā)送的有害程序的影響���。路由器122管理并控制互聯(lián)網(wǎng)108和網(wǎng)絡(luò)106之間的網(wǎng)絡(luò)信息流通量����。
數(shù)據(jù)庫服務(wù)器130維持數(shù)據(jù)庫132中的數(shù)據(jù)�。數(shù)據(jù)庫132中的一些數(shù)據(jù)對于網(wǎng)絡(luò)106上的一個或多個用戶是很關(guān)鍵的。關(guān)鍵數(shù)據(jù)可包括例如但不限于稽核記錄、用戶賬目信息���、和雇員薪金信息�����。在一些實施例中���,數(shù)據(jù)庫132可以是數(shù)據(jù)庫服務(wù)器130的組成部分。管理員站144能夠使管理員執(zhí)行網(wǎng)絡(luò)106上的管理功能��。管理功能可包括監(jiān)控包括用戶活動的網(wǎng)絡(luò)106的安全��。在一些實施例中��,其它元件和部件(圖1中未示出)可與網(wǎng)絡(luò)106連接��。
在一個實施例中�,數(shù)據(jù)庫稽核引擎110包括數(shù)據(jù)收集器112、數(shù)據(jù)分析器114�、和異常檢測器116。數(shù)據(jù)收集器112用于讀取關(guān)于用戶行為的數(shù)據(jù)����,以及用于將該數(shù)據(jù)存儲為歷史數(shù)據(jù),其中,用戶行為涉及以指定的間隔或根據(jù)指定條件(例如����,人工指令)的發(fā)生從數(shù)據(jù)庫服務(wù)器130訪問數(shù)據(jù)庫132。數(shù)據(jù)庫分析器114對由數(shù)據(jù)收集器112存儲的歷史數(shù)據(jù)執(zhí)行分析操作�,以確定涉及訪問數(shù)據(jù)庫132的行為模式����。當接收新數(shù)據(jù)時,基于新數(shù)據(jù)與由歷史數(shù)據(jù)確定的行為模式的比較��,異常檢測器116確定新數(shù)據(jù)是否表示異?���;顒印R恍嵤├秊閿?shù)據(jù)庫稽核引擎110提供了收集��、分析���、以及信號報警的能力����,而不會對數(shù)據(jù)庫服務(wù)器130的性能造成引人注意的影響����。下面將參照圖3A至圖3E論述由數(shù)據(jù)收集器112��、數(shù)據(jù)分析器114���、和異常檢測器116執(zhí)行的處理實例的更詳細的描述。
圖2是示出了一個實施例中的實例數(shù)據(jù)庫稽核引擎處理的高度概括的框圖�����。
在一個實施例中��,數(shù)據(jù)庫稽核引擎110在外部操作數(shù)據(jù)庫服務(wù)器130��,以減小對數(shù)據(jù)庫服務(wù)器的干擾��。在一個實施例中����,數(shù)據(jù)收集器112不必在例如數(shù)據(jù)庫服務(wù)器130上執(zhí)行代理程序就可以操作。在這樣的實施例中�,數(shù)據(jù)收集器112從由數(shù)據(jù)庫服務(wù)器130維持的稽核記錄84收集與用戶行為相關(guān)的信息,和/或采用“只讀”訪問數(shù)據(jù)庫132以收集數(shù)據(jù)�。在一個實施例中,數(shù)據(jù)收集器112基于將被監(jiān)控的信息類型確定監(jiān)控等級�����,并基于該監(jiān)控等級激活數(shù)據(jù)庫服務(wù)器130的稽核選項。然后����,數(shù)據(jù)收集器112讀取由數(shù)據(jù)庫服務(wù)器130創(chuàng)建并維持的稽核記錄用于所配置的稽核選項。在一些實施例中�����,數(shù)據(jù)收集器還獲得動態(tài)性能視圖86���,該視圖包括數(shù)據(jù)庫使用(例如,用戶會話)和通過數(shù)據(jù)庫管理系統(tǒng)(DBMS)維持的資源利用的信息�。數(shù)據(jù)收集器112存儲從稽核記錄84和動態(tài)性能視圖86獲取的用戶行為數(shù)據(jù)作為歷史數(shù)據(jù)88。下面將參照圖3B論述用于收集用戶行為數(shù)據(jù)并將其存儲為歷史數(shù)據(jù)的處理實例的更加詳細的描述�����。
數(shù)據(jù)分析器114對由數(shù)據(jù)收集器112存儲的歷史數(shù)據(jù)88執(zhí)行一個或多個分析處理��。在一個實施例中�,數(shù)據(jù)分析器114執(zhí)行一系列操作,包括分析歷史數(shù)據(jù)88以確定行為模式90����。在一個實施例中���,數(shù)據(jù)分析器114由歷史數(shù)據(jù)88確定數(shù)據(jù)庫訪問頻率?���?梢砸詴r間為單位(例如,一天中的小時等)計算數(shù)據(jù)庫訪問頻率�����。接下來�����,數(shù)據(jù)分析器114確定數(shù)據(jù)庫訪問頻率的概率函數(shù)���。下面將參照圖3C論述用于分析歷史數(shù)據(jù)以確定行為模式的處理實例的更加詳細的描述�����。
當從數(shù)據(jù)庫服務(wù)器130接收一組新數(shù)據(jù)時�,異常檢測器116將該組新數(shù)據(jù)與由歷史數(shù)據(jù)確定的行為模式進行比較���。異常檢測器116基于新數(shù)據(jù)與由歷史數(shù)據(jù)88確定的行為模式的比較來確定新數(shù)據(jù)是否表示異?�;顒?��。在一個實施例中�����,異常檢測器116還將新數(shù)據(jù)與安全規(guī)則92進行比較���,以執(zhí)行基于規(guī)則的侵入竊密檢測。一個或多個分析操作可請求使用安全規(guī)則92或其它規(guī)則�,以及由數(shù)據(jù)庫服務(wù)器130的管理員或操作者所指定的條件。安全規(guī)則92提供能夠使異常檢測器116確定是否可能已經(jīng)發(fā)生違反安全性的機制�����。管理員站144能夠管理安全規(guī)則92�。一旦識別異常數(shù)據(jù)��,異常檢測器116執(zhí)行目標操作��。例如��,異常檢測器116可發(fā)送電子郵件報警96,以向管理員站114發(fā)送侵入信號����。異常檢測器116還可以或額外提供報告94或者創(chuàng)建可視化(visualization)98。
在一個實施例中���,數(shù)據(jù)庫稽核引擎110檢測在什么時候事件會對由數(shù)據(jù)庫服務(wù)器130維持的數(shù)據(jù)產(chǎn)生不利影響�。例如��,數(shù)據(jù)庫稽核引擎110可檢測未知用戶的未授權(quán)訪問和/或?qū)τ蓴?shù)據(jù)庫服務(wù)器維持的數(shù)據(jù)的操作����,該未知用戶通過互聯(lián)網(wǎng)108訪問網(wǎng)絡(luò)106。數(shù)據(jù)庫稽核引擎110還可確定在什么時候網(wǎng)絡(luò)106的用戶會有意或無意地泄露由數(shù)據(jù)庫服務(wù)器130存儲的數(shù)據(jù)�。數(shù)據(jù)庫稽核引擎110可在惡意軟件影響由數(shù)據(jù)庫服務(wù)器130維持的數(shù)據(jù)時檢測通過網(wǎng)絡(luò)106的“惡意軟件”的存在。影響數(shù)據(jù)庫服務(wù)器130以及可由數(shù)據(jù)庫稽核引擎110檢測的事件的其它實例包括但不限于使用竊取的密碼的未授權(quán)訪問��、內(nèi)部欺詐��、誤用���、或特權(quán)濫用��。內(nèi)部欺詐的實例是由銀行出納員復制有價值的客戶信息�。特權(quán)濫用的實例是由數(shù)據(jù)庫管理員(DBA)訪問雇員薪金信息。
圖3A是示出了在一個實施例中的數(shù)據(jù)收集����、分析、和異常檢測處理的高度概括的流程圖����。在塊310中,從數(shù)據(jù)庫服務(wù)器收集包括用戶行為數(shù)據(jù)的數(shù)據(jù)組��。在塊320中�����,將用戶行為數(shù)據(jù)存儲為歷史數(shù)據(jù)����。在塊330中,分析歷史數(shù)據(jù)�����,以確定行為模式�����。在塊340中�,從數(shù)據(jù)庫服務(wù)器接收一組新數(shù)據(jù)。在塊350中�,將新數(shù)據(jù)組與行為模式進行比較。在塊360中��,基于比較來確定新數(shù)據(jù)組是否滿足一組標準��。在塊370中�,確定新數(shù)據(jù)是否表示異常活動�。在塊380中,在由塊370檢測出異?���;顒拥那闆r下,執(zhí)行目標操作�。在各個實施例中,目標操作可包括發(fā)送電子郵件報警�����、生成報告����、執(zhí)行可視化等中的一個或多個�。
本發(fā)明的實施例使用用于收集關(guān)于數(shù)據(jù)庫訪問的信息并將信息作為歷史數(shù)據(jù)存儲在內(nèi)部數(shù)據(jù)庫中的各種技術(shù)中的一種或多種����。從數(shù)據(jù)庫管理系統(tǒng)收集關(guān)于數(shù)據(jù)庫訪問的信息的各種方法包括但不限于數(shù)據(jù)庫觸發(fā)、數(shù)據(jù)庫交易變動記錄���、數(shù)據(jù)庫稽核設(shè)施����、和數(shù)據(jù)庫動態(tài)系統(tǒng)視圖��。
稽核設(shè)施可由各種商業(yè)數(shù)據(jù)庫管理系統(tǒng)提供�����?����;嗽O(shè)施可用于稽核各種事件�����?���;嗽O(shè)施生成包括數(shù)據(jù)庫訪問信息的稽核記錄。通常��,由稽核設(shè)施跟蹤的數(shù)據(jù)庫訪問信息取決于數(shù)據(jù)庫管理系統(tǒng)��,然而���,許多數(shù)據(jù)庫管理系統(tǒng)提供稽核信息(例如�����,用戶名稱�、對象名稱��、動作�、終端、和時間戳(timestamp)等)的跟蹤���。
各種可商用的數(shù)據(jù)庫管理系統(tǒng)還提供動態(tài)系統(tǒng)視圖��。動態(tài)系統(tǒng)視圖提供當前用戶會話和資源利用的信息���。例如����,一個普通的數(shù)據(jù)庫管理系統(tǒng)提供幾個安全性相關(guān)的動態(tài)性能視圖V_$SESSION列出用于每個當前用戶會話的信息�����,V_$SESS_IO列出用于每個用戶會話的I/O統(tǒng)計��,V_$SESSTAT列出用戶會話統(tǒng)計��,V_$ACCESS示出當前鎖存的對象及正在訪問它們的會話����,以及V_$SQL示出SQL池中的SQL命令文本。
當與通常是永久記錄的稽核記錄比較時����,數(shù)據(jù)庫動態(tài)視圖通常包括過渡過程數(shù)據(jù)。數(shù)據(jù)庫動態(tài)視圖可以通過對數(shù)據(jù)庫周期采樣來監(jiān)控�。使用周期采樣的方法可能不能檢測到在監(jiān)控間隔之間所發(fā)生的某些可疑數(shù)據(jù)庫訪問。為了使這種可能最小化����,可以將采樣間隔設(shè)置的非常短�����。相反,稽核方法規(guī)定全部被稽核的事件顯示在稽核記錄中直至被清除����。此外,動態(tài)視圖以相對粗糙的間隔提供關(guān)于數(shù)據(jù)庫訪問的一般信息����,而稽核記錄提供數(shù)據(jù)庫對象等級的相對更詳細、更具體的信息��。在一個實施例中�,當稽核記錄不可用時(例如,當未激活數(shù)據(jù)庫稽核設(shè)施時)��,動態(tài)視圖被用作補充信息或被用作信息的替換源���。
數(shù)據(jù)庫觸發(fā)器是用于從被監(jiān)控的數(shù)據(jù)庫采集消息的另一種技術(shù)��,其在數(shù)據(jù)庫用戶不認為實時監(jiān)控是被打擾的應(yīng)用程序中有用��。數(shù)據(jù)庫交易重做記錄也是一種用于采集數(shù)據(jù)改變的技術(shù)��,其在不需要關(guān)于只讀訪問的信息的應(yīng)用程序中有用��。
圖3B是示出了一個實施例中數(shù)據(jù)收集處理的高度概括的流程圖�����。在塊311中���,接收將被監(jiān)控的信息類型����。在塊312中����,基于將被監(jiān)控的信息類型確定監(jiān)控等級。在塊313中��,基于監(jiān)控等級����,激活數(shù)據(jù)庫管理器的稽核選項。在塊314中���,從稽核記錄中讀取數(shù)據(jù)組����。在塊315中,處理數(shù)據(jù)組�。在塊316中,執(zhí)行測試�,以確定是否存在更多數(shù)據(jù)要被讀取。如果存在更多數(shù)據(jù)要被讀取���,則控制返回到塊314。否則���,控制返回到調(diào)用者���。
數(shù)據(jù)收集器從稽核記錄或動態(tài)性能視圖收集用戶行為數(shù)據(jù)、處理信息�、并將該數(shù)據(jù)存儲為歷史數(shù)據(jù)。歷史數(shù)據(jù)可存儲在例如內(nèi)部數(shù)據(jù)庫中���。在一個實施例中�,各種屬性被記錄在每個感興趣動作的歷史數(shù)據(jù)中�。例如,SELECT或LOGIN動作將包括以下屬性����,例如但不限于(1)操作系統(tǒng)用戶標識符(OSUSER)����;(2)執(zhí)行動作的用戶的數(shù)據(jù)庫用戶標識符(DBUSER)�;(3)主題模式對象標識符(OBJECT);(4)對象的擁有者(OWNER)�����;(5)客戶系統(tǒng)標識符(LOCATION)�;(6)動作標識符(ACTION);(7)動作時間(TIMESTAMP)���;(8)會話的邏輯讀取量(READ)����;(9)會話的邏輯寫入量(WRITE)�;以及(10)成功或失敗原因代碼(RETURNCODE)。
可以由每個具有不同重點的不同方法執(zhí)行數(shù)據(jù)庫用戶行為監(jiān)控�����,其中�����,重點包括例如數(shù)據(jù)庫對象等級、數(shù)據(jù)庫用戶等級�、和數(shù)據(jù)庫會話等級。
例如�����,在一個實施例中����,數(shù)據(jù)庫對象等級監(jiān)控包括監(jiān)控選取的標準或敏感數(shù)據(jù)庫對象的數(shù)據(jù)庫訪問��。數(shù)據(jù)庫對象可以是數(shù)據(jù)庫表格��、數(shù)據(jù)庫視圖��、或數(shù)據(jù)庫存儲的程序���。數(shù)據(jù)庫監(jiān)控將跟蹤何人���、何時、何處�、以及每隔多久由任意用戶訪問該對象��。標準數(shù)據(jù)庫對象的實例是包括雇員薪金信息的公司“雇員”表格����。
在另一實例中�����,在一個實施例中����,數(shù)據(jù)庫用戶等級監(jiān)控包括通過選取的數(shù)據(jù)庫用戶監(jiān)控數(shù)據(jù)庫對象訪問。數(shù)據(jù)庫監(jiān)控將跟蹤什么�����、何時��、何處��、以及每隔多久由該用戶訪問任意對象���。選取的數(shù)據(jù)庫用戶的實例可以是被懷疑從數(shù)據(jù)庫竊取信息的不滿雇員����。
在再一實例中,在一個實施例中��,數(shù)據(jù)庫會話等級監(jiān)控包括由選取的數(shù)據(jù)庫用戶監(jiān)控數(shù)據(jù)庫連接或注冊會話����。數(shù)據(jù)庫監(jiān)控將通過該用戶跟蹤注冊持續(xù)時間、注冊失敗��、和資源利用���。
在一個實施例中�,基于將由數(shù)據(jù)庫稽核引擎執(zhí)行的監(jiān)控等級���,自動地激活數(shù)據(jù)庫中的一個或多個不同稽核選項。被激活的稽核選項取決于主題數(shù)據(jù)庫的數(shù)據(jù)庫管理系統(tǒng)���。例如����,在一個實施例中���,為了支持數(shù)據(jù)庫對象等級監(jiān)控�,數(shù)據(jù)庫監(jiān)控系統(tǒng)自動激活指定對象的對象稽核。為了支持數(shù)據(jù)庫用戶等級或會話等級監(jiān)控����,系統(tǒng)自動激活指定用戶的語句稽核。
數(shù)據(jù)分析本發(fā)明的實施例可實現(xiàn)一種或多種侵入竊密檢測數(shù)據(jù)分析的方法�。在一個實施例中,基于統(tǒng)計的侵入竊密檢測(SBID)和基于規(guī)則的侵入竊密檢測(RBID)可結(jié)合使用�����,以檢測異常數(shù)據(jù)庫訪問�。在使用基于統(tǒng)計的侵入竊密檢測的實施例中,執(zhí)行用戶行為信息歷史的統(tǒng)計分析����,以生成用戶行為模式。顯著背離這些模式的任意后續(xù)數(shù)據(jù)庫訪問將被確定����,以表示異常活動���。使用基于規(guī)則的侵入竊密檢測的實施例維持包括安全規(guī)則或約束(也被稱為策略)的知識庫���。違反策略的數(shù)據(jù)庫訪問可被確定以表示異?����;顒?��。
圖3C是示出了在一個實施例中執(zhí)行基于統(tǒng)計的侵入竊密檢測的數(shù)據(jù)分析處理的高度概括的流程圖。在塊331中���,由歷史數(shù)據(jù)確定數(shù)據(jù)庫訪問頻率����?����;跉v史數(shù)據(jù)�,可構(gòu)建并證實統(tǒng)計模型,用于在檢測異?;顒又惺褂?��。歷史數(shù)據(jù)的統(tǒng)計分析能夠確定正常數(shù)據(jù)庫訪問率����。
在塊332中,從在塊331中確定的數(shù)據(jù)庫訪問頻率確定數(shù)據(jù)庫訪問頻率的概率函數(shù)��。數(shù)據(jù)庫訪問頻率能夠與概率分布相符�。在特定的實施例中,可使用各種概率分布�����,例如但不限于正態(tài)概率分布或泊松概率分布�。
在一個實施例中,在日間或在晚間�,用戶以固定速度隨機訪問數(shù)據(jù)庫。日間和晚間的數(shù)據(jù)庫訪問的速度可以改變��。在這組標準下�����,泊松分布可用于描述數(shù)據(jù)庫訪問頻率��,其中�����,事件之間的時間服從指數(shù)分布。令X表示每個間隔中隨機事件的次數(shù)�,m是每個間隔中隨機事件的平均數(shù),以及P是在間隔中具有n次事件的X的概率
在塊333中����,可確定累積分布函數(shù)(CDF)。在使用泊松分布的實施例中����,累積分布函數(shù)給出具有小于或等于n的X的概率,如方程式(2)所示F(n)=P(X<=n)=Σi=0ne-m[mii!]---(2)]]>數(shù)據(jù)分析器確定概率分布函數(shù)的參數(shù)值�����。在泊松分布的情況下�����,歷史數(shù)據(jù)在每個間隔的隨機事件的平均數(shù)的值為m����。
例如,可將發(fā)生事件定義為向數(shù)據(jù)庫發(fā)布的SELECT命令的數(shù)量����,并可將間隔定義為一天中的一個小時。在其它實施中�,可將事件定義為其它類型的命令或事件,并可將間隔定義為其它時間周期����。在后續(xù)處理中�,異常檢測器基于概率函數(shù)比較新數(shù)據(jù)點與歷史數(shù)據(jù)。
在各個實施例中�����,數(shù)據(jù)分析器基于多維屬性分析歷史數(shù)據(jù)�����,多維屬性包括但不限于OS用戶����、數(shù)據(jù)庫用戶、位置���、和對象�。可計算OS用戶�����、數(shù)據(jù)庫用戶�����、位置��、對象���、或多個屬性的組合中的每個的訪問頻率�����。根據(jù)各維的測量可用于定量比較�。
例如�,在一個實施例中,事件等級監(jiān)控可包括但不限于下列測量中的一個或多個以一天中每小時計算對象訪問頻率����、以一天中每小時和OS用戶計算對象訪問頻率、以一天中每小時和數(shù)據(jù)庫用戶計算對象訪問頻率����、以一天中每小時和位置計算對象訪問頻率�、以及包括以一天中每小時和屬性(OS用戶��、數(shù)據(jù)庫用戶�����、和位置)組合計算對象訪問頻率的多維對象訪問頻率規(guī)則����。
在另一實例中�����,在一個實施例中����,用戶等級監(jiān)控可包括但不限于下列測量中的一個或多個以一天中每小時計算用戶訪問頻率、以一天中每小時和OS用戶計算用戶訪問頻率�、以一天中每小時和數(shù)據(jù)庫用戶計算用戶訪問頻率、以一天中每小時和位置計算用戶訪問頻率��、以及包括以一天中每小時和屬性(OS用戶��、數(shù)據(jù)庫用戶、和位置)組合計算用戶訪問頻率的多維對象訪問頻率規(guī)則��。
除對象或用戶訪問頻率之外�����,在各個實施例中����,其它測量可用于會話等級監(jiān)控,例如但不限于�,通過每個會話所讀取的頁面量來測量的會話的訪問頻率、通過每個會話的小時數(shù)所測量的會話的訪問持續(xù)時間�����、以及通過每分鐘所讀取的頁面量來測量的訪問率��。
異常檢測圖3D是示出了在一個實施例中異常檢測處理的高度概括的流程圖��。在塊351中���,從一組新數(shù)據(jù)中確定數(shù)據(jù)庫訪問頻率����。
在塊352中,由防護標準和概率函數(shù)參數(shù)確定閾值頻率��。在一個實施例中����,概率函數(shù)參數(shù)是歷史數(shù)據(jù)的訪問頻率,其在塊331中由數(shù)據(jù)分析器預先確定�����。在一個實施例中����,訪問頻率是一天中每小時的SELECT操作的平均數(shù)��。
例如����,如果數(shù)據(jù)分析器從歷史數(shù)據(jù)中確定的凌晨2點的平均訪問頻率是1.5,并且接收表示凌晨2點的當前訪問頻率是7的新數(shù)據(jù)��,新數(shù)據(jù)是否在正常范圍之外����?答案以防護標準為依據(jù)。在一個實施例中,防護標準可表示為概率百分比��。異常檢測器從防護標準概率百分比和概率函數(shù)參數(shù)確定閾值訪問頻率值(即�,在塊331中,由數(shù)據(jù)分析器計算的歷史訪問頻率)����。任何超過該閾值的頻率值將使測試失敗并認為該頻率異常。保護百分比越低���,將事件劃分為異常就越困難���,并越少發(fā)生誤報警。
例如��,如果保護概率標準被指定為0.1%����,則異常檢測器計算閾值n,使得具有超過n值的概率小于0.1%��,如方程式(3)所示P(X>n)=1-P(X<=n)<0.1% (3)這相當于確定閾值n�����,使得具有小于或等于n值的概率大于99.9%,如方程式(4)所示F(n)=P(X<=n)>99.9% (4)以方程式(4)中的F(n)>99.9%代替方程式(2)中的累積分布函數(shù)����,值為1.5的m(概率函數(shù)參數(shù)、歷史數(shù)據(jù)的平均訪問頻率)得出n等于6的閾值�。
因為新數(shù)據(jù)組的訪問頻率是7,其超過閾值訪問頻率6�,因此將檢測到異常。
在塊353中�����,比較當前訪問頻率值(來自塊351)與閾值訪問頻率(來自塊352)�。
在一個實施例中�����,異常檢測器基于動態(tài)統(tǒng)計模式和/或靜態(tài)基于規(guī)則的策略來檢測歷史數(shù)據(jù)中可疑的數(shù)據(jù)庫訪問�����,并生成電子郵件報警���。也可以生成報告或曲線圖�。
安全策略可用于監(jiān)控數(shù)據(jù)庫用戶行為。例如���,在實施例中�����,存在兩個不同種類的安全策略(1)訪問頻率策略和(2)訪問違反策略�。訪問頻率策略能夠使數(shù)據(jù)庫稽核引擎基于多維來保護一天中每小時的訪問次數(shù)���。如上所述����,這種侵入竊密檢測可以是基于統(tǒng)計的和/或基于規(guī)則的�����。在實施例中�����,可以根據(jù)一天中每小時等的訪問次數(shù)�����,將保護閾值指定為絕對值。訪問違反策略能夠使數(shù)據(jù)庫稽核引擎能使用明確安全規(guī)則保護每個單獨的數(shù)據(jù)庫訪問��。表1示出了在一個實施例中可以用于監(jiān)控數(shù)據(jù)庫用戶行為的各種安全策略�����。
例如�����,在各個實施例中����,可以為對象等級監(jiān)控指定下列訪問違反規(guī)則(1)對象訪問安全違反,其中���,對任何沒有適當許可而嘗試讀取特定對象的失敗報警��;(2)可疑OS用戶的對象訪問,其中��,對任何由無效OS用戶成功讀取特定對象報警��。在一個實施例中�����,可定義有效OS用戶列表,并且將對任何由不在列表中的OS用戶的訪問報警���。在另一實施例中�,可定義無效OS用戶列表�����,并且將對任何由在列表中的OS用戶的訪問報警�;(3)可疑數(shù)據(jù)庫用戶的對象訪問,其中����,對任何由無效數(shù)據(jù)庫用戶成功讀取特定對象報警。在一個實施例中��,可定義有效和/或無效的數(shù)據(jù)庫用戶列表����。(4)從可疑位置的對象訪問,其中��,對任何從無效客戶系統(tǒng)成功讀取特定對象報警�����。在一個實施例中,可以定義有效和/或無效的位置列表����;以及(5)多維對象訪問規(guī)則,其中�,對任何成功讀取具有屬性(OS用戶、數(shù)據(jù)庫用戶�、和位置)的無效組合的特定對象報警。
在另一實例中��,在各個實施例中����,可以為用戶等級監(jiān)控指定下列訪問違反規(guī)則(1)用戶訪問安全違反,其中����,對任何由沒有適當許可的特定數(shù)據(jù)庫用戶嘗試的失敗讀取報警;(2)可疑OS用戶的用戶訪問�,其中��,對任何來自無效OS用戶的特定數(shù)據(jù)庫用戶的成功讀取報警�。在一個實施例中���,可定義有效和/或無效OS用戶列表;(3)可疑數(shù)據(jù)庫對象的用戶訪問�����,其中���,對任何由特定數(shù)據(jù)庫用戶對無效數(shù)據(jù)庫對象的成功讀取報警�����。在一個實施例中����,可定義有效和/或無效的對象列表���;(4)從可疑位置的用戶訪問�,其中�,對任何來自無效客戶系統(tǒng)的特定數(shù)據(jù)庫用戶的成功讀取報警。在一個實施例中��,可定義有效和/或無效位置列表;以及(5)多維用戶訪問規(guī)則�,其中,對任何具有屬性(OS用戶����、數(shù)據(jù)庫對象、和位置)的無效組合的特定數(shù)據(jù)庫用戶的成功讀取報警����。
在再一實例中,在各個實施例中��,可以為會話等級監(jiān)控指定下列訪問違反規(guī)則(1)注冊失敗�,其中,對由于無效密碼而注冊失敗報警��;(2)可疑時幀的注冊����,其中,對超過指定的正常時間的注冊時間報警�;(3)可疑OS用戶的注冊,對任何特定數(shù)據(jù)庫用戶和無效OS用戶的成功注冊報警�����。在一個實施例中���,可定義有效和/或無效OS用戶列表�����;(4)從可疑位置注冊�����,其中�����,對任何來自無效客戶系統(tǒng)的特定數(shù)據(jù)庫用戶的成功注冊報警����。在一個實施例中���,可以定義有效和/或無效位置列表�;以及(5)多維會話規(guī)則���,其中��,對任何具有屬性(OS用戶和位置)的無效組合的成功注冊報警。
監(jiān)控實例將使用配置和使用參照圖3E的流程和在圖6A至圖6M中示出的屏幕抓圖論述一個實施例中的數(shù)據(jù)庫監(jiān)控的操作����。在一個實施例中,使用網(wǎng)絡(luò)瀏覽器實現(xiàn)的圖形用戶界面執(zhí)行配置監(jiān)控操作��。在由圖6A至圖6M描述的用戶界面屏幕的實例中����,用戶可以跟隨前一/下一導航箭頭���,單步調(diào)試配置監(jiān)控操作的過程�����?���?蛇x地�����,用戶可以從上部屏面上的菜單欄中選擇����,或單擊左側(cè)屏面上的分級樹狀視圖中的鏈接�。
如圖3E所示,在塊410中�,用戶可以通過打開將被監(jiān)控的數(shù)據(jù)庫來開始該過程。在實施例中����,如圖6A所示,打開數(shù)據(jù)庫包括通過指定主機名稱����、數(shù)據(jù)庫名稱�����、用戶名稱�、和密碼來定義數(shù)據(jù)庫連接����。如圖6B所示,用戶連接到指定數(shù)據(jù)庫��。
在塊420中����,用戶配置指定數(shù)據(jù)庫的監(jiān)控進度表。如圖6C所示�����,在配置過程期間�����,監(jiān)控進度表包括用戶指定每隔多久數(shù)據(jù)分析器將‘得知’用戶行為數(shù)據(jù)并重建統(tǒng)計模型��。再次使用圖6C中描述的屏幕,用戶還指定每隔多久異常檢測器將‘防護’異常數(shù)據(jù)并發(fā)出報警�����。
在塊430中����,用戶配置電子郵件接收器。在一個示例性實施例中�,當發(fā)生異常時,用戶使用圖6D中描述的屏幕指定由誰將發(fā)送報警電子郵件�。
在塊440中,用戶配置監(jiān)控策略�。在示例性實施例中,圖6E至圖6F所示出的屏幕示出了監(jiān)控策略的配置����。如圖6E所示�����,用戶為監(jiān)視器選擇‘危急’對象��。如圖6F所示����,用戶選擇訪問違反策略以激活該對象�。用戶指定誰將被允許訪問該對象��。對于多維對象規(guī)則��,可將其定義為屬性組合����。例如,如圖6G所示��,僅當數(shù)據(jù)庫用戶WANI作為OS用戶IPLOCKS/WTANG注冊時并來自客戶系統(tǒng)WLINUX時�,其才可以訪問該對象。如圖6H所示�����,為了監(jiān)控該對象�,用戶還可以指定訪問頻率策略以激活。
在塊450中��,用戶開始監(jiān)控���。在一個實施例中��,如圖6I所示���,通過單擊狀態(tài)屏幕中的復選框開始監(jiān)控�。
在塊460中�,用戶查看報警和/或曲線圖。在假設(shè)實例中����,屬于數(shù)據(jù)庫用戶WANI的數(shù)據(jù)庫密碼被竊取,罪犯試圖通過使用偷來的密碼從不是分配了使用該密碼的機器來訪問數(shù)據(jù)庫對象���。如圖6J所示�,罪犯的試圖使用將導致多維對象規(guī)則的訪問違反���。例如�,配置的多維對象規(guī)則表示數(shù)據(jù)庫用戶WANI只可以通過OS用戶IPLOCKS/WANI并從位置WLINUX(如圖6G所示)來訪問對象HR.EMP����。罪犯試圖作為不同的OS用戶IPLOCKS/CKCHOU并從不同位置CKDESKTOP作為數(shù)據(jù)庫用戶WANI來訪問該對象�,這會導致訪問違反。可觸發(fā)目標操作��。在圖6J所示的實例中���,可以將電子郵件報警發(fā)送到使用由圖6D所示出的屏幕定義的電子郵件接收器�。如圖6K所示��,用戶通過圖形用戶界面查看報警���。如圖6L所示���,用戶還可以查看任何用戶對任意對象的訪問模式。如果用戶違反了訪問頻率閾值或百分點���,則也將發(fā)送報警�����。
在塊470中�,用戶生成報告�。如圖6M所示,用戶生成報警匯總報告���,其可有助于分析問題��。上述參照圖3E和圖6A至圖6M的所描述的過程僅為使用一個實施例的一個實例����。其它實施例將包括在這里為了簡潔而沒有描述的其它過程和屏幕、和/或可省略一些所描述的過程和/或屏幕���。
圖4是示出了在一個實施例中對數(shù)據(jù)庫訪問的概率分布實例的曲線圖���。圖4示出了在24小時期間特定用戶的數(shù)據(jù)庫訪問活動的實例。在圖4中��,每個長條形表示該用戶每小時訪問對象的次數(shù)�。在圖4示出的概率分布實例中,用戶將訪問數(shù)據(jù)庫的概率具有兩個峰值�,一個峰值可能發(fā)生在上午的中間時段,以及另一峰值可能發(fā)生在下午的中間時段���。在這些時幀之外的過度數(shù)據(jù)庫訪問活動可能被懷疑��。
圖5是示出了在一個實施例中的數(shù)據(jù)庫監(jiān)控系統(tǒng)的高度概括的框圖�����。如圖5所示�,數(shù)據(jù)庫監(jiān)控系統(tǒng)包括三層結(jié)構(gòu)����。在第一層中,數(shù)據(jù)庫監(jiān)控系統(tǒng)包括用于提供訪問數(shù)據(jù)庫監(jiān)控功能性的網(wǎng)絡(luò)瀏覽器����。在一個實施例中,Java服務(wù)端網(wǎng)頁(Java Sever Pages(JSP))提供用戶界面����。
在第二層中,數(shù)據(jù)庫監(jiān)控系統(tǒng)使用網(wǎng)絡(luò)服務(wù)器�����,其在一個實施例中使用Apache Tomcat實現(xiàn)�����;以及用于存儲歷史數(shù)據(jù)的內(nèi)部數(shù)據(jù)庫��,其在一個實施例中是使用PostgreSQLTM數(shù)據(jù)庫實現(xiàn)的�。本發(fā)明的實施例可駐留在任意計算平臺上�,例如但不限于�,PentiumTM或與安全Linux操作系統(tǒng)協(xié)作的等效功能性硬件平臺。數(shù)據(jù)庫監(jiān)控系統(tǒng)的部件包括數(shù)據(jù)收集器���、數(shù)據(jù)分析器���、和異常檢測器。支持部件包括下列中的一個或多個(1)配置器�,能夠使用戶根據(jù)實現(xiàn)特定需要來定制數(shù)據(jù)庫監(jiān)控系統(tǒng),例如�����,調(diào)度設(shè)置和策略設(shè)置���;(2)電子郵件報警�����,向指定的安全人員發(fā)送報警信息�����;(3)報告管理器生成診斷報告�;以及(4)可視化器,生成數(shù)據(jù)庫用戶行為模式的圖形表示����。
在第三層中�����,數(shù)據(jù)庫監(jiān)控系統(tǒng)使用Java數(shù)據(jù)庫連接(JDBC)API����,以訪問目標數(shù)據(jù)庫。
硬件概述在一個實施例中��,如圖1所示的計算環(huán)境100的各個部件可作為可由一個或多個處理器執(zhí)行的指令組來實現(xiàn)����。圖7示出可用于執(zhí)行這些部件的計算機系統(tǒng)700的框圖。計算機系統(tǒng)700包括總線702或其它通信裝置��,用于傳遞信息���;以及處理器704�,其與總線702連接��,用于處理信息。計算機系統(tǒng)700還包括連接至總線702的主存儲器706��,諸如隨機訪問存儲器(RAM)或者其它動態(tài)存儲裝置�,用于儲存將由處理器704執(zhí)行的信息和指令。在執(zhí)行將由處理器704執(zhí)行的指令期間���,主存儲器706還可用于儲存臨時變量或其它中間信息��。計算機系統(tǒng)700還包括連接至總線702的只讀存儲器(ROM)708或其它靜態(tài)存儲裝置��,用于存儲處理器704的靜態(tài)信息和指令���。提供諸如磁盤或光盤的存儲裝置710,并連接至總線702用于存儲信息和指令����。
計算機系統(tǒng)700可經(jīng)由總線702連接至諸如陰極射線管(CRT)的用于向計算機用戶顯示信息的顯示器712。包括字母數(shù)字鍵和其它鍵的輸入裝置714連接至總線702���,用于將信息和命令選擇傳送給處理器704�。另一種類型的用戶輸入裝置是光標控制716��,諸如鼠標、跟蹤球����、或光標方向鍵,用于將方向信息和命令選擇傳送給處理器704以及用于控制顯示器712上的光標移動����。輸入裝置通常在兩個軸上(第一個軸(例如X軸)和第二個軸(例如Y軸))具有兩個自由度,允許裝置能指定平面中的位置�。
根據(jù)一個實施例���,響應(yīng)于執(zhí)行包括在主存儲器706中的一個或多個指令的一個或多個序列的處理器704����,通過計算機系統(tǒng)700來實現(xiàn)本發(fā)明的功能性�����。這樣的指令可從諸如存儲裝置710的另一個計算機可讀介質(zhì)讀入主存儲器706����。包括在主存儲器706中的指令序列的執(zhí)行使得處理器704執(zhí)行本文所述的處理步驟。在可選實施例中�����,可使用硬連線電路(hard-wired circuitry)來取代軟件指令或與軟件指令相結(jié)合來實施該發(fā)明。因此�����,本發(fā)明的實施例將不限于硬件電路和軟件的任何特定組合��。
本文使用的術(shù)語“計算機可讀介質(zhì)”是指參與向處理器704提供指令用于執(zhí)行的任何介質(zhì)����。這種介質(zhì)可采取多種形式,包括但不限于非易失性介質(zhì)��、易失性介質(zhì)��、和傳輸介質(zhì)����。例如,非易失性介質(zhì)包括光盤或磁盤���,諸如存儲裝置710�。易失性介質(zhì)包括動態(tài)存儲器�,諸如主存儲器706。傳輸介質(zhì)包括同軸電纜、銅線�����、和光纖����,包括組成總線702的導線。傳輸介質(zhì)還可采取聲波或光波形式�,諸如那些在無線電波和紅外線數(shù)據(jù)通信過程中所產(chǎn)生的聲波和光波。
通常形式的計算機可讀介質(zhì)的普通形式包括如軟盤�����、軟性盤�、硬盤���、磁帶�����,或者任何其它磁性介質(zhì)����、CD-ROM、任何其它光介質(zhì)���、打孔紙���、紙帶、或者任何帶孔圖樣的物理介質(zhì)��、RAM���、PROM�����、EPROM�、FLASH-EPROM���、或者其他任何存儲芯片或者盒式磁帶����,以下提到的載波����、或者計算機可讀的任何其它介質(zhì)����。
各種形式的計算機可讀介質(zhì)可參與將一個或多個指令的一個或多個序列傳送到處理器704用于執(zhí)行�。例如,指令開始可承載在遠程計算機的磁盤中���。遠程計算機可以將指令加載到其動態(tài)存儲器中�,然后使用調(diào)制解調(diào)器通過電話線發(fā)送指令����。計算機系統(tǒng)700本地的調(diào)制解調(diào)器可接收電話線上的數(shù)據(jù),并使用紅外發(fā)射器將該數(shù)據(jù)轉(zhuǎn)換成紅外信號�����。紅外探測器可以接收紅外信號攜帶的數(shù)據(jù)����,并且合適的電路可以將數(shù)據(jù)放到總線702上����。總線702將數(shù)據(jù)傳送到主存儲器706�,處理器704從主存儲器取回并執(zhí)行這些指令���。在由處理器704執(zhí)行這些指令之前或之后,由主存儲器706接收的指令可隨意地存儲在存儲裝置710上����。
計算機系統(tǒng)700還包括連接至總線702的通信接口718。通信接口718提供連接到網(wǎng)絡(luò)鏈路720的雙向數(shù)據(jù)通信���,其中����,網(wǎng)絡(luò)鏈路720連接至局域網(wǎng)722���。例如�����,通信接口718可以是綜合業(yè)務(wù)數(shù)字網(wǎng)(ISDN)卡或者調(diào)制解調(diào)器���,用于提供到相應(yīng)類型的電話線的數(shù)據(jù)通信連接。作為另一實例��,通信接口718可以是局域網(wǎng)(LAN)卡�,用于提供至兼容局域網(wǎng)(LAN)的數(shù)據(jù)通信連接����。也可以使用無線鏈接���。在任何這樣的實施中����,通信接口718發(fā)送和接收承載表示各種類型的信息的數(shù)字數(shù)據(jù)流的電信號�����、電磁信號�、和光學信號。
網(wǎng)絡(luò)鏈路720通??赏ㄟ^一個或者多個網(wǎng)絡(luò)向其它數(shù)據(jù)裝置提供數(shù)據(jù)通信。例如���,網(wǎng)絡(luò)鏈路720可通過局域網(wǎng)722與主機724連接��,或者與互聯(lián)網(wǎng)服務(wù)提供商(ISP)726操作的數(shù)據(jù)設(shè)備連接。ISP726又通過目前通稱為“互聯(lián)網(wǎng)”728的全球分組數(shù)據(jù)通信網(wǎng)絡(luò)提供數(shù)據(jù)通信服務(wù)�。局域網(wǎng)722和互聯(lián)網(wǎng)728都使用承載數(shù)字數(shù)據(jù)流的電信號、電磁信號��、或光學信號。通過各種網(wǎng)絡(luò)的信號和網(wǎng)絡(luò)鏈路720上的信號以及通過通信接口718的信號�����,都傳送數(shù)字數(shù)據(jù)給計算機系統(tǒng)700或者傳送來自計算機系統(tǒng)的數(shù)字數(shù)據(jù)��,是傳輸信息的載波的示例性形式����。
計算機系統(tǒng)700能通過網(wǎng)絡(luò)、網(wǎng)絡(luò)鏈路720��、和通信接口718發(fā)送消息和接收數(shù)據(jù)(包括程序代碼)��。在互聯(lián)網(wǎng)的實例中����,服務(wù)器730可通過互聯(lián)網(wǎng)728、ISP 726�����、局域網(wǎng)722���、和通信接口718�����,傳送用于應(yīng)用程序的所請求的程序代碼��。所接收的代碼可以在其被接收時由處理器704執(zhí)行����,和/或儲存在存儲裝置710或者其它非易失性介質(zhì)中用于隨后執(zhí)行。按照這種方式��,計算機系統(tǒng)700可以以載波的形式獲得應(yīng)用代碼��。
在上述說明書中�����,應(yīng)當注意�,雖然參照指定實施例描述了本發(fā)明,然而不構(gòu)成對本發(fā)明的限定�。在不背離本發(fā)明精神的情況下,受益于本公開的本領(lǐng)域普通技術(shù)人員可以做出各種修改�����。因此本發(fā)明將不限于用于示出本發(fā)明的特定實施例,而只限于所附權(quán)利要求的范圍���。因此,說明書和附圖被認為是說明性的���,而不構(gòu)成限定�����。
權(quán)利要求
1.一種用于監(jiān)控數(shù)據(jù)庫的方法�����,包括收集表示一個或多個用戶如何使用所述數(shù)據(jù)庫的用戶行為數(shù)據(jù)�����;處理并存儲所述數(shù)據(jù)作為歷史數(shù)據(jù)���;分析所述歷史數(shù)據(jù),以確定行為模式����;接收表示一個或多個用戶已經(jīng)如何使用所述數(shù)據(jù)庫的新數(shù)據(jù)組;在所述新數(shù)據(jù)組與所述行為模式之間進行比較;基于所述比較��,確定所述新數(shù)據(jù)組是否滿足標準組��;如果所述新數(shù)據(jù)組滿足所述標準組���,則確定所述新數(shù)據(jù)組表示異?��;顒樱灰约巴ㄟ^執(zhí)行目標操作來響應(yīng)所述確定���。
2.根據(jù)權(quán)利要求1所述的方法��,還包括確定所述新數(shù)據(jù)組是否違反基于規(guī)則的策略�����;以及如果所述新數(shù)據(jù)組違反所述基于規(guī)則的策略����,則確定所述新數(shù)據(jù)組表示異?����;顒印?br>
3.根據(jù)權(quán)利要求2所述的方法�,其中,收集用戶行為數(shù)據(jù)還包括讀取來自數(shù)據(jù)庫管理器的稽核記錄或動態(tài)性能視圖的信息�����。
4.根據(jù)權(quán)利要求3所述的方法����,其中��,收集用戶行為數(shù)據(jù)還包括以從以下至少一個中所選取的監(jiān)控等級來收集信息關(guān)于一個或多個所選取的數(shù)據(jù)庫對象的數(shù)據(jù)庫訪問的信息�;關(guān)于一個或多個所選取的數(shù)據(jù)庫用戶的數(shù)據(jù)庫訪問的信息;以及關(guān)于一個或多個所選取的數(shù)據(jù)庫用戶會話的數(shù)據(jù)庫訪問的信息���。
5.根據(jù)權(quán)利要求3所述的方法���,其中,收集用戶行為數(shù)據(jù)還包括接收將被監(jiān)控的一種類型的信息�����;從所述類型的信息確定監(jiān)控等級�����;以及基于確定的所述監(jiān)控等級,激活所述數(shù)據(jù)庫管理器的稽核選項���。
6.根據(jù)權(quán)利要求2所述的方法�,其中�����,分析所述歷史數(shù)據(jù)以確定行為模式還包括從所述歷史數(shù)據(jù)確定統(tǒng)計模型�����。
7.根據(jù)權(quán)利要求6所述的方法����,其中,從所述歷史數(shù)據(jù)確定統(tǒng)計模型還包括從所述歷史數(shù)據(jù)確定數(shù)據(jù)庫訪問頻率�;確定數(shù)據(jù)庫訪問頻率的概率函數(shù);以及從所述概率函數(shù)確定累積概率函數(shù)�����。
8.根據(jù)權(quán)利要求7所述的方法�,其中��,在所述新數(shù)據(jù)組與所述行為模式之間進行比較還包括使用所述新數(shù)據(jù)組對照所述統(tǒng)計模型來測試假設(shè)���。
9.根據(jù)權(quán)利要求8所述的方法,其中�,使用所述新數(shù)據(jù)組對照所述統(tǒng)計模型來測試假設(shè)還包括確定所述新數(shù)據(jù)組的數(shù)據(jù)庫訪問頻率;以及從防護標準和概率函數(shù)參數(shù)確定閾值�。
10.根據(jù)權(quán)利要求9所述的方法,其中��,使用所述新數(shù)據(jù)組對照所述統(tǒng)計模型來測試假設(shè)還包括將所述新數(shù)據(jù)組的數(shù)據(jù)庫訪問頻率與所述閾值進行比較�。
11.根據(jù)權(quán)利要求7所述的方法�����,其中��,所述歷史信息關(guān)于一個或多個所選取的數(shù)據(jù)庫對象的數(shù)據(jù)庫訪問����,并且其中,從所述歷史數(shù)據(jù)確定數(shù)據(jù)庫訪問頻率還包括確定以下至少一個的頻率以一天中每小時計算的對象訪問頻率�,以一天中每小時和操作系統(tǒng)用戶計算的對象訪問頻率,以一天中每小時和數(shù)據(jù)庫用戶計算的對象訪問頻率����,以一天中每小時和位置計算的對象訪問頻率�����,以及以一天中每小時和操作系統(tǒng)用戶��、數(shù)據(jù)庫用戶�����、和位置中至少兩個的組合計算的對象訪問頻率�����。
12.根據(jù)權(quán)利要求7所述的方法�����,其中����,所述歷史信息關(guān)于一個或多個所選取的數(shù)據(jù)庫用戶的數(shù)據(jù)庫訪問�,并且其中,從所述歷史數(shù)據(jù)確定數(shù)據(jù)庫訪問頻率還包括確定以下至少一個頻率以一天中每小時計算的用戶訪問頻率����,以一天中每小時和操作系統(tǒng)用戶計算的用戶訪問頻率���,以一天中每小時和數(shù)據(jù)庫用戶計算的用戶訪問頻率,以一天中每小時和位置計算的用戶訪問頻率���,以及以一天中每小時和操作系統(tǒng)用戶����、數(shù)據(jù)庫用戶�、和位置中至少兩個的組合計算的用戶訪問頻率。
13.根據(jù)權(quán)利要求7所述的方法�,其中�����,所述歷史信息關(guān)于一個或多個所選取的數(shù)據(jù)庫用戶會話的數(shù)據(jù)庫訪問�����,并且其中��,從所述歷史數(shù)據(jù)確定數(shù)據(jù)庫訪問頻率還包括確定以下至少一個的頻率每個會話所讀取的頁面量���、每個會話的訪問持續(xù)時間�����、每單位時間所讀取的頁面量��。
14.根據(jù)權(quán)利要求1所述的方法����,其中,執(zhí)行目標操作包括以下至少一個產(chǎn)生報警�、發(fā)送電子郵件、生成報告���、執(zhí)行可視化��。
15.一種計算機可讀介質(zhì)�,所述介質(zhì)承載用于響應(yīng)于裝置故障還原到恢復設(shè)置的一個或多個指令序列��,當由一個或多個處理器執(zhí)行時�����,所述指令序列使所述一個或多個處理器執(zhí)行以下步驟收集表示一個或多個用戶如何使用數(shù)據(jù)庫的用戶行為數(shù)據(jù)�;處理并存儲所述數(shù)據(jù)作為歷史數(shù)據(jù)�;分析所述歷史數(shù)據(jù)�����,以確定行為模式�����;接收表示一個或多個用戶已經(jīng)如何使用所述數(shù)據(jù)庫的新數(shù)據(jù)組�����;在所述新數(shù)據(jù)組與所述行為模式之間進行比較�;基于所述比較,確定所述新數(shù)據(jù)組是否滿足標準組��;如果所述新數(shù)據(jù)組滿足所述標準組����,則確定所述新數(shù)據(jù)組表示異?;顒樱灰约巴ㄟ^執(zhí)行目標操作來響應(yīng)所述確定���。
16.根據(jù)權(quán)利要求15所述的計算機可讀介質(zhì)�,還包括當由所述一個或多個處理器執(zhí)行時,使所述一個或多個處理器執(zhí)行以下步驟的指令確定所述新數(shù)據(jù)組是否違反基于規(guī)則的策略����;以及如果所述新數(shù)據(jù)組違反所述基于規(guī)則的策略,則確定所述新數(shù)據(jù)組表示異?�;顒?���。
17.根據(jù)權(quán)利要求16所述的計算機可讀介質(zhì),其中�,用于執(zhí)行所述收集用戶行為數(shù)據(jù)的步驟的指令還包括用于執(zhí)行以下步驟的指令讀取來自所述數(shù)據(jù)庫管理器的稽核記錄的信息。
18.根據(jù)權(quán)利要求17所述的計算機可讀介質(zhì)�,其中,用于執(zhí)行所述收集用戶行為數(shù)據(jù)的步驟的指令還包括用于執(zhí)行以從以下至少一個中所選取的監(jiān)控等級來收集信息的步驟的指令關(guān)于一個或多個所選取的數(shù)據(jù)庫對象的數(shù)據(jù)庫訪問的信息�����;關(guān)于一個或多個所選取的數(shù)據(jù)庫用戶的數(shù)據(jù)庫訪問的信息���;以及關(guān)于一個或多個所選取的數(shù)據(jù)庫用戶會話的數(shù)據(jù)庫訪問的信息�����。
19.根據(jù)權(quán)利要求17所述的計算機可讀介質(zhì)�����,其中�,用于執(zhí)行所述收集用戶行為數(shù)據(jù)的步驟的指令還包括用于執(zhí)行以下步驟的指令接收將被監(jiān)控的一種類型的信息;從所述類型的信息確定監(jiān)控等級��;以及基于確定的所述監(jiān)控等級���,激活所述數(shù)據(jù)庫管理器的稽核選項����。
20.根據(jù)權(quán)利要求16所述的計算機可讀介質(zhì)�����,其中�,用于執(zhí)行所述分析所述歷史數(shù)據(jù)以確定行為模式的步驟的指令還包括用于執(zhí)行以下步驟的指令從所述歷史數(shù)據(jù)確定統(tǒng)計模型。
21.根據(jù)權(quán)利要求20所述的計算機可讀介質(zhì)����,其中�,用于執(zhí)行所述從所述歷史數(shù)據(jù)確定統(tǒng)計模型的步驟的指令還包括用于執(zhí)行以下步驟的指令從所述歷史數(shù)據(jù)確定數(shù)據(jù)庫訪問頻率;確定數(shù)據(jù)庫訪問頻率的概率函數(shù);以及從所述概率函數(shù)確定累積概率函數(shù)�。
22.根據(jù)權(quán)利要求21所述的計算機可讀介質(zhì),其中�����,用于執(zhí)行所述新數(shù)據(jù)組與所述行為模式之間的比較的步驟的指令還包括用于執(zhí)行以下步驟的指令使用所述新數(shù)據(jù)組對照所述統(tǒng)計模型來測試假設(shè)����。
23.根據(jù)權(quán)利要求22所述的計算機可讀介質(zhì),其中�,用于執(zhí)行所述使用所述新數(shù)據(jù)組對照所述統(tǒng)計模型來測試假設(shè)的步驟的指令還包括用于執(zhí)行以下步驟的指令確定所述新數(shù)據(jù)組的數(shù)據(jù)庫訪問頻率;以及從防護標準和概率函數(shù)參數(shù)確定閾值��。
24.根據(jù)權(quán)利要求23所述的計算機可讀介質(zhì)����,其中,用于執(zhí)行所述使用所述新數(shù)據(jù)組對照所述統(tǒng)計模型來測試假設(shè)的步驟的指令還包括用于執(zhí)行以下步驟的指令將所述新數(shù)據(jù)組的數(shù)據(jù)庫訪問頻率與所述閾值進行比較��。
25.根據(jù)權(quán)利要求21所述的計算機可讀介質(zhì)�,其中,所述歷史信息關(guān)于一個或多個所選取的數(shù)據(jù)庫對象的數(shù)據(jù)庫訪問�,并且其中,用于執(zhí)行所述從所述歷史數(shù)據(jù)確定數(shù)據(jù)庫訪問頻率的步驟的指令還包括用于執(zhí)行確定以下至少一個頻率的步驟的指令以一天中每小時計算的對象訪問頻率����,以一天中每小時和操作系統(tǒng)用戶計算的對象訪問頻率��,以一天中每小時和數(shù)據(jù)庫用戶計算的對象訪問頻率��,以一天中每小時和位置計算的對象訪問頻率�����,以及以一天中每小時和操作系統(tǒng)用戶����、數(shù)據(jù)庫用戶���、和位置中至少兩個的組合計算的對象訪問頻率�。
26.根據(jù)權(quán)利要求21所述的計算機可讀介質(zhì)���,其中�,所述歷史信息關(guān)于一個或多個所選取的數(shù)據(jù)庫用戶的數(shù)據(jù)庫訪問�����,并且其中�����,用于執(zhí)行所述從所述歷史數(shù)據(jù)確定數(shù)據(jù)庫訪問頻率的步驟的指令還包括用于執(zhí)行確定以下至少一個頻率的步驟的指令以一天中每小時計算的用戶訪問頻率��,以一天中每小時和操作系統(tǒng)用戶計算的用戶訪問頻率��,以一天中每小時和數(shù)據(jù)庫用戶計算的用戶訪問頻率���,以一天中每小時和位置計算的用戶訪問頻率��,以及以一天中每小時和操作系統(tǒng)用戶����、數(shù)據(jù)庫用戶�����、和位置中至少兩個的組合計算的用戶訪問頻率���。
27.根據(jù)權(quán)利要求21所述的計算機可讀介質(zhì)�����,其中�����,所述歷史信息關(guān)于一個或多個所選取的數(shù)據(jù)庫用戶會話的數(shù)據(jù)庫訪問����,并且其中,用于執(zhí)行所述從所述歷史數(shù)據(jù)確定數(shù)據(jù)庫訪問頻率的步驟的指令還包括用于執(zhí)行確定以下至少一個頻率的步驟的指令每個會話所讀取的頁面量���、每個會話的訪問持續(xù)時間�、每單位時間所讀取的頁面量�����。
28.根據(jù)權(quán)利要求15所述的計算機可讀介質(zhì)����,其中,用于執(zhí)行所述目標操作的步驟的指令包括用于執(zhí)行以下至少一個的指令產(chǎn)生報警���、發(fā)送電子郵件���、生成報告、執(zhí)行可視化���。
29.一種設(shè)備����,其包括用于收集表示一個或多個用戶如何使用數(shù)據(jù)庫的用戶行為數(shù)據(jù)的裝置;用于處理并存儲所述數(shù)據(jù)作為歷史數(shù)據(jù)的裝置����;用于分析所述歷史數(shù)據(jù)以確定行為模式的裝置���;用于接收表示一個或多個用戶已經(jīng)如何使用所述數(shù)據(jù)庫的新數(shù)據(jù)組的裝置�;用于在所述新數(shù)據(jù)組與所述行為模式之間進行比較的裝置�����;用于基于所述比較確定所述新數(shù)據(jù)組是否滿足標準組的裝置�����;用于如果所述新數(shù)據(jù)組滿足所述標準組則確定所述新數(shù)據(jù)組表示異?����;顒拥难b置���;以及用于通過執(zhí)行目標操作來響應(yīng)所述確定的裝置��。
30.一種設(shè)備�,包括數(shù)據(jù)收集器,用于收集表示一個或多個用戶如何使用數(shù)據(jù)庫的用戶行為數(shù)據(jù)���、處理并存儲所述數(shù)據(jù)作為歷史數(shù)據(jù)�����、以及接收表示一個或多個用戶已經(jīng)如何使用所述數(shù)據(jù)庫的新數(shù)據(jù)組�;數(shù)據(jù)分析器�,用于分析所述歷史數(shù)據(jù),以確定行為模式���;以及異常分析器���,用于在所述新數(shù)據(jù)組與所述行為模式之間進行比較、基于所述比較確定所述新數(shù)據(jù)組是否滿足標準組���、如果所述新數(shù)據(jù)組滿足所述標準組則確定所述新數(shù)據(jù)組表示異?;顒?����、以及通過執(zhí)行目標操作來響應(yīng)所述確定。
全文摘要
本發(fā)明的實施例提供了用于監(jiān)控數(shù)據(jù)庫系統(tǒng)異?����;顒拥募夹g(shù)���??梢宰詣拥厥占头治雠c被監(jiān)控的主體數(shù)據(jù)庫有關(guān)的用戶行為信息���,并將其與一個或多個策略比較,以檢測異?;顒印嵤├龔母鱾€來源收集關(guān)于主體數(shù)據(jù)庫的用戶行為數(shù)據(jù)��,其中來源包括與數(shù)據(jù)庫的數(shù)據(jù)庫管理系統(tǒng)相合作的稽核記錄和動態(tài)視圖�。實施例采用基于統(tǒng)計的侵入竊密檢測(SBID)和基于規(guī)則的侵入竊密檢測(RBID)中的一個或多個,以檢測異常的數(shù)據(jù)庫活動���。如果檢測出從標準使用模式得到的可疑數(shù)據(jù)庫的訪問��,則執(zhí)行目標操作�����,例如�����,向負責安全的人員報警����,或生成報告、電子郵件警報等�。
文檔編號G06F21/00GK1950778SQ200580014690
公開日2007年4月18日 申請日期2005年2月16日 優(yōu)先權(quán)日2004年3月9日
發(fā)明者坂本紹夫, 周忠光, 瓦尼·G·唐, 胡建國 申請人:Ip鎖有限公司