專利名稱:數(shù)據(jù)庫安全保護方法和裝置的制作方法
技術領域:
本發(fā)明涉及網絡技術領域,尤其涉及一種數(shù)據(jù)庫安全保護方法和裝置���。
背景技術:
信息社會的發(fā)展使得對于大量的數(shù)據(jù)需要進行組織���、存儲和保護,隨之而來的就是大量的商用數(shù)據(jù)庫及私有數(shù)據(jù)庫的大范圍使用����,如DB2、0racle�、MySQL等等��。數(shù)據(jù)庫的大量使用帶來了許多的安全問題��。入侵檢測及防火墻系統(tǒng)能夠解決來自外部的威脅和攻擊��, 但是對于數(shù)據(jù)庫內部的威脅操作或違規(guī)操作是無能為力的�。而當前流行的數(shù)據(jù)庫業(yè)務審計系統(tǒng)能夠忠實的記錄所有的數(shù)據(jù)庫操作,但是對于這些操作之中是否存在異?����;虬踩[患是缺乏發(fā)現(xiàn)及保護能力的。在金融�����、電信等領域當中�����,大型數(shù)據(jù)庫中存儲的海量數(shù)據(jù)里總包含一些敏感數(shù)據(jù)是必須被保護起來避免一些違規(guī)的增����、刪或篡改的。尤其是對于某些數(shù)值類型的重要數(shù)據(jù)��, 可操作的范圍通常是有一定限制的���,而目前的安全產品是無法發(fā)現(xiàn)違背這些限制的一些操作的��。例如某電信運營商內部有職員利用職權之便在自己的賬號上增加積分�����,雖然每次增加的積分數(shù)量不多�,但是對于該關鍵字段的修改次數(shù)較平時正常狀態(tài)下明顯增多。又如某公司財務人員利用職權之便在個人賬號上挪用公款�,數(shù)額巨大,大大超出了其賬號日常操作的數(shù)值范圍��。這些案例都說明了僅僅能夠審計到內部用戶對于數(shù)據(jù)庫的操作是遠遠不夠的�����,類似于上述的案例當中其操作都是正常的�����,而其中隱藏的異常隱患當被發(fā)現(xiàn)時����,往往已經造成了無法彌補的后果。由此可見���,現(xiàn)有數(shù)據(jù)庫操作方法存在安全漏洞,數(shù)據(jù)庫的安全性較低���。
發(fā)明內容
本發(fā)明的實施例提供了一種數(shù)據(jù)庫安全保護方法��,解決了數(shù)據(jù)庫安全性低的問題�����。一種數(shù)據(jù)庫安全保護方法�����,包括接收并解析數(shù)據(jù)報文�,提取該數(shù)據(jù)報文中對預置的關鍵字段的操作,以及操作相關信息���;統(tǒng)計各關鍵字段被操作的次數(shù)�,并根據(jù)統(tǒng)計結果和所述操作相關信息�����,生成關鍵字段檢測模型���;根據(jù)所述關鍵字段檢測模型檢測關鍵字段訪問異常及關鍵字段操作異常�����。進一步的���,上述數(shù)據(jù)庫安全保護方法還包括根據(jù)數(shù)據(jù)庫協(xié)議格式及預設字段值選擇部分或全部字段作為關鍵字段��。進一步的��,所述操作相關信息包括訪問時間����、訪問用戶����、訪問IP和操作數(shù)值。進一步的���,所述關鍵字段檢測模型包含關鍵字段訪問模型和關鍵字段操作模型��, 所述根據(jù)統(tǒng)計結果生成關鍵字段檢測模型包括根據(jù)當前時刻前一統(tǒng)計周期內多個觀測周期的統(tǒng)計結果�,使用自學習方式���,生成關鍵字段訪問模型���,所述關鍵字段訪問模型中包含訪問模型閾值;根據(jù)當前時刻前一采樣窗口內提取的所述操作相關信息中包含的操作數(shù)值����,使用自學習方式,生成關鍵字段操作模型���,所述關鍵字段操作模型中包含預測值及誤差預測值����。進一步的�����,根據(jù)所述關鍵字段檢測模型檢測關鍵字段訪問異常及關鍵字段操作異常包括將觀測周期內統(tǒng)計的對關鍵字段的操作次數(shù)的實際值�����,與該關鍵字段的關鍵字段訪問模型閾值進行比較�����,根據(jù)偏離程度判斷當前對該關鍵字段的訪問是否存在異常���;和��,將每一次對關鍵字段的操作數(shù)值�����,與該關鍵字段的關鍵字段操作模型的預測值及誤差預測值進行比較�����,根據(jù)偏離程度判斷當前對該關鍵字段的操作是否存在異常���。進一步的�����,上述數(shù)據(jù)庫安全保護方法還包括在檢測到關鍵字段訪問異?;蜿P鍵字段操作異常時發(fā)出告警�����。本發(fā)明還提供了一種數(shù)據(jù)庫安全保護裝置��,包括協(xié)議解析器����、數(shù)據(jù)生成器、檢測模型生成器和異常檢測模塊����;所述協(xié)議解析器�,用于接收并解析數(shù)據(jù)報文���;數(shù)據(jù)生成器,用于提取所述數(shù)據(jù)報文中對預置的關鍵字段的操作�����,以及操作相關信息���,統(tǒng)計各關鍵字段被操作的次數(shù)��;檢測模型生成器����,用于根據(jù)所述數(shù)據(jù)生成器的統(tǒng)計結果和所述操作相關信息��,生成關鍵字段檢測模型���;所述異常檢測模塊�,用于根據(jù)所述關鍵字段檢測模型檢測關鍵字段訪問異常及關鍵字段操作異常�����。進一步的,所述檢測模型生成器包括關鍵字段訪問模型生成單元和關鍵字段操作模型生成單元��;所述關鍵字段訪問模型生成單元�����,用于根據(jù)當前時刻前一統(tǒng)計周期內多個觀測周期的統(tǒng)計結果�����,使用自學習方式��,生成關鍵字段訪問模型���,所述關鍵字段訪問模型中包含訪問模型閾值����;所述關鍵字段操作模型生成單元���,用于根據(jù)當前時刻前一采樣窗口內提取的所述操作相關信息中包含的操作數(shù)值�,使用自學習方式��,生成關鍵字段操作模型,所述關鍵字段操作模型中包含預測值及誤差預測值�����。進一步的��,所述異常檢測模塊�,包括訪問異常檢測單元和操作異常檢測單元�����;所述訪問異常檢測單元����,用于根據(jù)所述關鍵字段訪問模型和各關鍵字段被操作的次數(shù)的統(tǒng)計結果,判斷是否產生關鍵數(shù)據(jù)訪問異常���;所述操作異常檢測單元����,用于根據(jù)所述關鍵字段操作模型和所述操作相關信息中包含的操作數(shù)值�����,判斷是否產生關鍵數(shù)據(jù)操作異常。進一步的�����,所述數(shù)據(jù)生成器���,還用于根據(jù)數(shù)據(jù)庫協(xié)議格式及預設字段值選擇部分或全部字段作為關鍵字段�����。本發(fā)明提供的數(shù)據(jù)庫安全保護方法和裝置�,在接收到數(shù)據(jù)報文時�����,對該數(shù)據(jù)報文進行解析�����,提取該數(shù)據(jù)報文中對預置的關鍵字段的操作����,以及操作相關信息,統(tǒng)計各關鍵字段被操作的次數(shù)和操作相關信息����,并根據(jù)統(tǒng)計結果生成關鍵字段檢測模型���,并根據(jù)所述關鍵字段檢測模型、各關鍵字段被操作的次數(shù)的統(tǒng)計結果和操作相關信息�,檢測關鍵字段訪問異常及關鍵字段操作異常,通過自學習的手段����,使系統(tǒng)實時的發(fā)現(xiàn)數(shù)據(jù)庫異常,解決了數(shù)據(jù)庫安全性低的問題��。
圖1為本發(fā)明的實施例提供的一種數(shù)據(jù)庫安全保護裝置的結構示意圖����;圖2為本發(fā)明的實施例提供的一種數(shù)據(jù)庫安全保護方法的流程圖�����。
具體實施例方式本發(fā)明的實施例提供了一種用于對數(shù)據(jù)庫系統(tǒng)當中指定的關鍵字段進行安全防護的數(shù)據(jù)庫安全保護方法及裝置���,所述的數(shù)據(jù)庫關鍵字段安全防護技術可以滿足在實際數(shù)據(jù)庫業(yè)務環(huán)境下通過對該關鍵字段的各種操作的記錄及統(tǒng)計����,建立該關鍵字段的關鍵字段訪問模型及關鍵字段操作模型,并以生成的兩種模型分別對該關鍵字段的訪問行為及操作行為進行檢測����,同時這兩種模型均可通過自學習方式進行模型更新以適應檢測的需要。 本發(fā)明實施例所提供的數(shù)據(jù)庫安全保護方法和裝置��,可根據(jù)實際捕獲的數(shù)據(jù)庫環(huán)境中對指定關鍵字段的操作信息建立該數(shù)據(jù)庫關鍵字段的訪問模型機操作模型并以自學習方式動態(tài)對模型進行調整��,能夠發(fā)現(xiàn)對該數(shù)據(jù)庫關鍵字段的各類訪問及操作行為當中隱藏的異常行為����,從而在一定程度上反映出可能存在的安全隱患上報給用戶或管理員,為數(shù)據(jù)庫系統(tǒng)提供防護功能��。首先結合附圖�����,對本發(fā)明的實施例提供的一種數(shù)據(jù)庫安全保護裝置進行說明����。如圖1所述,該數(shù)據(jù)庫安全保護裝置��,包括協(xié)議解析器101����、數(shù)據(jù)生成器102�、檢測模型生成器 103和異常檢測裝置104���。所述協(xié)議解析器101��,用于接收并解析數(shù)據(jù)報文���;數(shù)據(jù)生成器102,用于提取所述數(shù)據(jù)報文中對預置的關鍵字段的操作�����,以及操作相關信息���,統(tǒng)計各關鍵字段被操作的次數(shù);檢測模型生成器103�,用于根據(jù)所述數(shù)據(jù)生成器102的統(tǒng)計結果和所述操作相關信息,生成關鍵字段檢測模型���;所述異常檢測裝置104����,用于根據(jù)所述關鍵字段檢測模型、各關鍵字段被操作的次數(shù)的統(tǒng)計結果和操作相關信息�,檢測關鍵字段訪問異常及關鍵字段操作異常。進一步的��,所述檢測模型生成器103包括關鍵字段訪問模型生成單元1031和關鍵字段操作模型生成單元1032 �����;所述關鍵字段訪問模型生成單元1031��,用于根據(jù)統(tǒng)計周期內多個觀測周期的統(tǒng)計結果���,生成關鍵字段訪問模型��,所述關鍵字段訪問模型中包含訪問模型閾值�����;所述關鍵字段操作模型生成單元1032�����,用于根據(jù)所述操作相關信息中包含的操作數(shù)值���,生成關鍵字段操作模型�,所述關鍵字段操作模型中包含預測值及誤差預測值�。進一步的,所述異常檢測裝置104����,包括訪問異常檢測單元1041和操作異常檢測單元1042 ;所述訪問異常檢測單元1041��,用于根據(jù)所述關鍵字段訪問模型和各關鍵字段被操作的次數(shù)的統(tǒng)計結果����,判斷是否產生關鍵數(shù)據(jù)訪問異常;所述操作異常檢測單元1042����,用于根據(jù)所述關鍵字段操作模型和所述操作相關信息中包含的操作數(shù)值,判斷是否產生關鍵數(shù)據(jù)操作異常���。下面結合圖1所示數(shù)據(jù)庫安全保護裝置,對本發(fā)明的實施例提供的一種數(shù)據(jù)庫安全保護方法進行說明�����。使用本發(fā)明的實施例提供的數(shù)據(jù)庫安全保護方法���,對數(shù)據(jù)庫進行安全保護的流程如圖2所示�,包括步驟201、接收并解析數(shù)據(jù)報文�����,提取該數(shù)據(jù)報文中對預置的關鍵字段的操作�����,以及操作相關信息��;本步驟中�����,根據(jù)實際捕獲的數(shù)據(jù)報文進行協(xié)議解析�����,提取報文中的各個字段��,將各字段與本發(fā)明的實施例中所預置的關鍵字段進行比對�����,當發(fā)現(xiàn)報文中存在與預置關鍵字段相同的字段時,提供該字段的操作相關信息��。具體的��,首先����,對捕獲的數(shù)據(jù)報文進行操作,根據(jù)不同的數(shù)據(jù)庫協(xié)議格式進行相應的數(shù)據(jù)庫操作行為提取��。例如提取的信息可能是SELECT fname, Iname��,pcode FROM cust WHERE id = :cust_no ����;exec:cust_no = 674 ;SELECT fname, lname����,pcode FROM cust WHERE id = :cust_no ;exec: cust_no: = 836;假設預先設定的關鍵字段為表名為employees�����,字段名為salary���,則SQL語句UPDATE EMPLOYEES SET GRADE = 16����, SALARY = 40000WHERE FIRST_NAME ='Indiana' AND LAST_NAME =' Jones'���;將作為本步驟處理的對象��。本步驟當中需要統(tǒng)計符合關鍵字段設定的所有數(shù)據(jù)庫操作的操作相關信息����。如上述例子的SQL語句�,需要生成對該字段的訪問時間、訪問用戶�����、訪問IP等��,具體采集的操作相關信息可根據(jù)用戶需求進行設置調整�,這些操作相關信息將提供給檢測模型生成器用以生成關鍵字段訪問模型、此外需要記錄對于該關鍵字段的操作的數(shù)值����,如上例中����,該數(shù)值為 40000�����。統(tǒng)計出的每次對于該關鍵字段的操作的數(shù)值將提供給檢測模型生成器用以生成關鍵字段操作模型�。步驟202、統(tǒng)計各關鍵字段被操作的次數(shù)和操作相關信息���,并根據(jù)統(tǒng)計結果生成關鍵字段檢測模型����;本發(fā)明實施例中�,關鍵字段檢測模型包括關鍵字段訪問模型和關鍵字段操作模型,關鍵字段訪問模型用于發(fā)現(xiàn)關鍵字段訪問異常��,關鍵字段操作模型用于發(fā)現(xiàn)關鍵字段操作異常�。生成關鍵字段訪問模型的方法如下依據(jù)上一步驟中生成的關鍵字段的訪問時間、訪問用戶���、訪問IP等進行各觀測周期(這里的觀測周期是預先設定的��,如5分鐘���,需要統(tǒng)計5分鐘之內的訪問次數(shù),這里需要記錄各觀測周期內的訪問次數(shù)����,在生成模型時使用。一個觀測周期內的統(tǒng)計結果即為一個采樣�。按照基線設定的時間范圍,如1小時為1條基線的話�����,這一小時之內產生的觀測周期為12個�����。如果統(tǒng)計周期取5天的話��,則5天內的60個觀測周期所記錄的統(tǒng)計數(shù)據(jù)均需要保留��。之后由第6天的12個數(shù)據(jù)替代第一天的12個數(shù)據(jù)�����,采樣數(shù)量始終保持為60個)內操作次數(shù)的統(tǒng)計,生成關鍵字段的訪問模型��。
本發(fā)明實施例中采用自學習方式進行模型的生成���,可根據(jù)需要采用周期性的學習方式或非周期性的學習方式進行檢測模型的生成���。不失一般性,本發(fā)明實施例假設采用周期性的學習方式進行關鍵字段訪問模型的生成���,本模型根據(jù)過去5天的8:00-9:00的數(shù)據(jù)庫操作統(tǒng)計數(shù)據(jù)作為訪問模型建立的數(shù)據(jù)對象�����。在該時間段內的觀測周期為5分鐘��,則每天該時間段內的觀測周期為12個�����,過去5天的總觀測周期為60個�。以此生成該時間段內 (8 00-9 00)對該關鍵字段的關鍵字段訪問模型���。本發(fā)明實施例中�����,根據(jù)表達式一計算訪問模型閾值
權利要求
1.一種數(shù)據(jù)庫安全保護方法����,其特征在于,包括接收并解析數(shù)據(jù)報文�,提取該數(shù)據(jù)報文中對預置的關鍵字段的操作��,以及操作相關信息�����;統(tǒng)計各關鍵字段被操作的次數(shù)���,并根據(jù)統(tǒng)計結果和所述操作相關信息����,生成關鍵字段檢測模型��;根據(jù)所述關鍵字段檢測模型檢測關鍵字段訪問異常及關鍵字段操作異常�����。
2.根據(jù)權利要求1所述的數(shù)據(jù)庫安全保護方法,其特征在于���,該方法還包括根據(jù)數(shù)據(jù)庫協(xié)議格式及預設字段值選擇部分或全部字段作為關鍵字段�����。
3.根據(jù)權利要求1所述的數(shù)據(jù)庫安全保護方法�����,其特征在于�����,所述操作相關信息包括訪問時間���、訪問用戶、訪問IP和操作數(shù)值�����。
4.根據(jù)權利要求3所述的數(shù)據(jù)庫安全保護方法����,其特征在于��,所述關鍵字段檢測模型包含關鍵字段訪問模型和關鍵字段操作模型��,所述根據(jù)統(tǒng)計結果生成關鍵字段檢測模型包括根據(jù)當前時刻前一統(tǒng)計周期內多個觀測周期的統(tǒng)計結果�,使用自學習方式����,生成關鍵字段訪問模型,所述關鍵字段訪問模型中包含訪問模型閾值���;根據(jù)當前時刻前一采樣窗口內提取的所述操作相關信息中包含的操作數(shù)值�,使用自學習方式����,生成關鍵字段操作模型����,所述關鍵字段操作模型中包含預測值及誤差預測值。
5.根據(jù)權利要求1或4所述的數(shù)據(jù)庫安全保護方法��,其特征在于�,根據(jù)所述關鍵字段檢測模型檢測關鍵字段訪問異常及關鍵字段操作異常包括將觀測周期內統(tǒng)計的對關鍵字段的操作次數(shù)的實際值,與該關鍵字段的關鍵字段訪問模型閾值進行比較,根據(jù)偏離程度判斷當前對該關鍵字段的訪問是否存在異常��;和��,將每一次對關鍵字段的操作數(shù)值�,與該關鍵字段的關鍵字段操作模型的預測值及誤差預測值進行比較,根據(jù)偏離程度判斷當前對該關鍵字段的操作是否存在異常����。
6.根據(jù)權利要求1所述的數(shù)據(jù)庫安全保護方法,其特征在于�����,該方法還包括在檢測到關鍵字段訪問異?;蜿P鍵字段操作異常時發(fā)出告警。
7.一種數(shù)據(jù)庫安全保護裝置���,其特征在于��,包括協(xié)議解析器�����、數(shù)據(jù)生成器��、檢測模型生成器和異常檢測模塊����;所述協(xié)議解析器,用于接收并解析數(shù)據(jù)報文���;數(shù)據(jù)生成器�,用于提取所述數(shù)據(jù)報文中對預置的關鍵字段的操作�����,以及操作相關信息����, 統(tǒng)計各關鍵字段被操作的次數(shù);檢測模型生成器���,用于根據(jù)所述數(shù)據(jù)生成器的統(tǒng)計結果和所述操作相關信息,生成關鍵字段檢測模型�����;所述異常檢測模塊����,用于根據(jù)所述關鍵字段檢測模型檢測關鍵字段訪問異常及關鍵字段操作異常����。
8.根據(jù)權利要求7所述的數(shù)據(jù)庫安全保護裝置���,其特征在于�,所述檢測模型生成器包括關鍵字段訪問模型生成單元和關鍵字段操作模型生成單元�����;所述關鍵字段訪問模型生成單元�,用于根據(jù)當前時刻前一統(tǒng)計周期內多個觀測周期的統(tǒng)計結果,使用自學習方式����,生成關鍵字段訪問模型,所述關鍵字段訪問模型中包含訪問模型閾值����;所述關鍵字段操作模型生成單元,用于根據(jù)當前時刻前一采樣窗口內提取的所述操作相關信息中包含的操作數(shù)值����,使用自學習方式�����,生成關鍵字段操作模型���,所述關鍵字段操作模型中包含預測值及誤差預測值。
9.根據(jù)權利要求8所述的數(shù)據(jù)庫安全保護裝置�,其特征在于,所述異常檢測模塊���,包括訪問異常檢測單元和操作異常檢測單元����;所述訪問異常檢測單元��,用于根據(jù)所述關鍵字段訪問模型和各關鍵字段被操作的次數(shù)的統(tǒng)計結果���,判斷是否產生關鍵數(shù)據(jù)訪問異常����;所述操作異常檢測單元�����,用于根據(jù)所述關鍵字段操作模型和所述操作相關信息中包含的操作數(shù)值�����,判斷是否產生關鍵數(shù)據(jù)操作異常�。
10.根據(jù)權利要求7所述的數(shù)據(jù)庫安全保護裝置,其特征在于��,所述數(shù)據(jù)生成器�,還用于根據(jù)數(shù)據(jù)庫協(xié)議格式及預設字段值選擇部分或全部字段作為關鍵字段。
全文摘要
本發(fā)明提供了一種數(shù)據(jù)庫安全保護方法和裝置�����。涉及網絡技術領域����;解決了數(shù)據(jù)庫安全性低的問題。該方法包括接收并解析數(shù)據(jù)報文�����,提取該數(shù)據(jù)報文中對預置的關鍵字段的操作���,以及操作相關信息�;統(tǒng)計各關鍵字段被操作的次數(shù),并根據(jù)統(tǒng)計結果和所述操作相關信息��,生成關鍵字段檢測模型����;根據(jù)所述關鍵字段檢測模型檢測關鍵字段訪問異常及關鍵字段操作異常。本發(fā)明提供的技術方案適用于大型數(shù)據(jù)庫��。
文檔編號G06F17/30GK102456032SQ20101052330
公開日2012年5月16日 申請日期2010年10月22日 優(yōu)先權日2010年10月22日
發(fā)明者孫海波 申請人:北京啟明星辰信息安全技術有限公司, 北京啟明星辰信息技術股份有限公司