专利名称:数据库安全保护方法和装置的制作方法
技术领域:
本发明涉及网络技术领域,尤其涉及一种数据库安全保护方法和装置。
背景技术:
随着信息化的发展,对于各种数据库如DB2、Oracle, MySQL等等的使用越来越深入到各行各业当中。尤其在涉及到金融、信息等行业当中,数据库都被用来存储大量的重要数据,而对于各种数据的审计及保护成为了网络安全产品必须要考虑的问题。目前的各种网络安全产品,如防火墙、入侵检测系统等只能检测和防护外来的攻击或安全隐患,但是对于数据库内部人员的违规操作是无法进行有效发现及防护的。而对于普通的数据库业务审计系统目前仅仅能够对当前业务系统当中的用户对各类数据库的操作进行操作信息的提取。其中用户对于数据库的操作大体上包含增、删、改、查询等操作类型,很多的数据库业务审计系统都可以准确的提取各类的数据库操作信息,包括操作类型、操作对象、操作时间等等。但是目前的数据库业务发展趋势决定了仅仅能够提取出各种数据库的操作信息是不够的,出于数据库安全防护角度的考虑,需要能够在大量的数据库操作信息中检测出存在异常的数据库操作行为。例如一个实际发生的案例当中,某医药代表为在采购药物当中收取回扣,多次查询数据库当中各类药物的使用情况及价格,如果仅仅依赖于传统的数据库业务审计系统,虽然可以准确的审计到每一次的查询事件,但是因为每一次的查询操作均属于合法的数据库操作,因此无法检测到其中的异常。而反映在该案例的操作当中的是某一用户的查询次数及频率以及操作比例大大异常于一段时间内的数据库操作行为。又如某案例中用户为谋求私利不停的对后台数据库数据进行修改,虽然在审计系统审计到每一次的修改数据行为,但无法对这种频繁的数据修改异常行为进行发现,降低了数据库的安全性。
发明内容
本发明提供了一种数据库安全保护方法和装置,解决了数据库安全性低的问题。一种数据库安全保护方法,包括接收并解析报文,提取所述报文中的数据库操作信息;对所述数据库操作信息进行统计;根据统计结果生成正常行为模型;根据所述正常行为模型,检测数据库操作是否存在异常。优选的,接收并解析报文,提取所述报文中的数据库操作信息具体为接收报文,提取报文中标识数据库操作的结构化查询语言语句,从所述结构化查询语言语句中提取所述数据库操作信息。优选的,所述数据库操作信息包括操作类型、操作源IP地址、操作时间和数据库类型,所述接收并解析报文,提取所述报文中的数据库操作信息的步骤之前,还包括制定模型生成策略,所述模型生成策略包括策略参数、模型自学习周期、模型自学习算法、观测周期和采样周期,所述策略参数包括有效操作类型和数据库类型,所述模型自学习周期包含至少一个观测周期。优选的,所述对所述数据库操作信息进行统计具体为;对与所述策略参数相匹配的数据库操作信息进行分类统计,得到统计结果,所述分类统计具体为按照操作类型统计一观测周期内各类操作的操作次数。优选的,所述根据统计结果生成正常行为模型包括在每个模型生成周期,根据所述统计结果,分别计算前一采样周期内各观测周期全部操作的操作次数;分别计算各观测周期内各类操作的操作次数占所述全部操作的操作次数的比例;根据所述全部操作的操作次数和各类操作的操作次数占所述全部操作的操作次数的比例,按照所述模型生成策略,生成正常行为模型。优选的,所述按照所述模型生成策略,生成正常行为模型包括通过表达式
权利要求
1.一种数据库安全保护方法,其特征在于,包括 接收并解析报文,提取所述报文中的数据库操作信息; 对所述数据库操作信息进行统计;根据统计结果生成正常行为模型; 根据所述正常行为模型,检测数据库操作是否存在异常。
2.根据权利要求1所述的数据库安全保护方法,其特征在于,接收并解析报文,提取所述报文中的数据库操作信息具体为接收报文,提取报文中标识数据库操作的结构化查询语言语句,从所述结构化查询语言语句中提取所述数据库操作信息。
3.根据权利要求1所述的数据库安全保护方法,其特征在于,所述数据库操作信息包括操作类型、操作源IP地址、操作时间和数据库类型,所述接收并解析报文,提取所述报文中的数据库操作信息的步骤之前,还包括制定模型生成策略,所述模型生成策略包括策略参数、模型自学习周期、模型自学习算法、观测周期和采样周期,所述策略参数包括有效操作类型和数据库类型,所述模型自学习周期包含至少一个观测周期。
4.根据权利要求3所述的数据库安全保护方法,其特征在于,所述对所述数据库操作信息进行统计具体为;对与所述策略参数相匹配的数据库操作信息进行分类统计,得到统计结果,所述分类统计具体为按照操作类型统计一观测周期内各类操作的操作次数。
5.根据权利要求4所述的数据库安全保护方法,其特征在于,所述根据统计结果生成正常行为模型包括在每个模型生成周期,根据所述统计结果,分别计算前一采样周期内各观测周期全部操作的操作次数;分别计算各观测周期内各类操作的操作次数占所述全部操作的操作次数的比例; 根据所述全部操作的操作次数和各类操作的操作次数占所述全部操作的操作次数的比例,按照所述模型生成策略,生成正常行为模型。
6.根据权利要求5所述的数据库安全保护方法,其特征在于,所述按照所述模型生成策略,生成正常行为模型包括通过表达式
7.根据权利要求1或6所述的数据库安全保护方法,其特征在于,根据所述正常行为模型,检测数据库操作是否存在异常具体为将当前所在观测周期内对一类操作的操作次数与前一采样周期内的该类操作的操作次数均值之差,与该类操作的操作次数的方差值进行比较,根据比较结果,判断是否存在数据库操作异常。
8.根据权利要求1或6所述的数据库安全保护方法,其特征在于,根据所述正常行为模型,检测数据库操作是否存在异常具体为将当前所在观测周期内对一类操作的操作次数占该观测周期内全部操作次数的比例与前一模型生成周期内的该比例的均值之差,与该类操作的操作次数占全部操作次数的比例的方差值进行比较,根据比较结果,判断是否存在数据库操作异常。
9.一种数据库安全保护装置,其特征在于,包括报文解析模块,用于接收并解析报文,提取所述报文中的数据库操作信息; 统计模块,用于对所述数据库操作信息进行统计; 模型生成模块,用于根据统计结果生成正常行为模型; 异常检测模块,用于根据所述正常行为模型,检测数据库操作是否存在异常。
10.根据权利要求9所述的数据库安全保护装置,其特征在于,该装置还包括策略制定模块,用于制定模型生成策略,所述模型生成策略包括策略参数、模型自学习周期、模型自学习算法和观测周期,所述策略参数包括有效操作类型和数据库类型,所述模型自学习周期包含至少一个观测周期。
全文摘要
本发明提供了一种数据库安全保护方法和装置。涉及网络技术领域;解决了数据库安全性低的问题。该方法包括接收并解析报文,提取所述报文中的数据库操作信息;对所述数据库操作信息进行统计;根据统计结果生成正常行为模型;根据所述正常行为模型,检测数据库操作是否存在异常。本发明提供的技术方案适用于数据库安全保护。
文档编号H04L12/24GK102480385SQ20101057037
公开日2012年5月30日 申请日期2010年11月26日 优先权日2010年11月26日
发明者孙海波 申请人:北京启明星辰信息安全技术有限公司, 北京启明星辰信息技术股份有限公司