专利名称:数据库正常登录模型建立、登录行为异常检测方法及系统的制作方法
技术领域:
本发明涉及数据库业务审计技术,尤其涉及一种数据库正常登录模型建立方法及系统,以及一种数据库登录行为异常检测方法及系统。
背景技术:
数据库业务审计技术是目前应用日益广泛的数据库安全防护技术,它通过对数据库系统中用户的各种操作行为解析、记录及分析,帮助管理人员对数据库系统进行规划预防、实时监控、违规行为阻止和事后追查网络运营事故,从而帮助用户加强对数据库系统操作行为监管、避免核心资产损失、保障数据库业务系统的正常运营等,是企业实现数据库管理和控制的最佳实践。目前在金融、电信等行业当中均大量使用有各种类型的数据库系统,如DB2、 Oracle、MySQL等等,这些行业的企业需要经常对业务系统当中的用户操作数据库进行准确详细的审计,其中对于用户登录行为的审计是必需而且重要的。通过对于各类数据库协议的解析,目前很多的数据库业务审计系统都可以准确地提取用户的登录信息,包括所使用的用户名、登录的IP地址、登录的时间等等。本发明的发明人在实现本发明的过程中,发现现有技术至少存在如下技术缺陷目前的数据库业务发展趋势决定了仅仅能够提取出用户的登录信息是不够的。出于数据库安全防护角度的考虑,需要提供相应的技术,以能够在大量的登录信息中发现可能存在异常的用户登录行为。例如某系统的用户使用同事的账号多次登录后台数据库并修改其中的数据,如果仅仅依赖于传统的数据库业务审计系统,虽然可以准确地审计到每一次的登录事件,但是从系统角度看,每一次的登录事件均属于合法的数据库登录,因此无法发现其中的账号被盗用的异常。
发明内容
本发明所要解决的技术问题是需要提供一种建立数据库正常登录模型的技术,以克服现有技术无法在登录信息中发现可能存在的异常的用户登录行为的技术问题。为了解决上述技术问题,本发明首先提供了一种数据库正常登录模型建立方法, 包括如下步骤接收用户正常登录数据库产生的正常数据报文;从所述正常数据报文的字段内容中提取出登录信息;根据所述数据库的系统环境设定模型参数;根据所述登录信息及所述模型参数,为所述数据库建立正常登录模型。优选地,从所述正常数据报文的字段内容中提取所述登录信息的步骤,包括根据所述模型参数从所述正常数据报文的字段内容中提取出所述登录信息。为了解决上述技术问题,本发明还提供了一种数据库正常登录模型建立系统,包括报文接收模块、解析和提取模块、参数设定模块以及模型建立模块,其中
所述报文接收模块,用于接收用户正常登录数据库产生的正常数据报文;所述解析和提取模块,用于从所述正常数据报文的字段内容中提取出登录信息;所述参数设定模块,用于根据所述数据库的系统环境设定模型参数;所述模型建立模块,用于根据所述登录信息及所述模型参数,为所述数据库建立正常登录模型。优选地,所述报文接收模块用于根据所述模型参数从所述正常数据报文的字段内容中提取出所述登录信息。本发明所要解决的另一技术问题是需要提供一种检测用户登录数据库的行为是否存在异常的技术,以克服现有技术无法在登录信息中发现可能存在的异常的用户登录行为的技术问题。为了解决上述技术问题,本发明首先提供了一种数据库登录行为检测方法,包括如下步骤接收用户当前登录数据库产生的当前数据报文;利用如权利要求1所述的正常登录模型对所述当前数据报文进行登录行为检测, 获得用户当前登录的行为是否存在异常的检测结果。优选地,根据所述数据库的系统环境设定所述模型参数的步骤,包括根据所述模型参数从所述正常数据报文的字段内容中提取出所述登录信息。优选地,根据所述数据库的系统环境设定所述模型参数的步骤,包括根据所述数据库的系统环境设定包括IP地址段和/或用户组的所述模型参数。为了解决上述技术问题,本发明还提供了一种数据库登录行为检测系统,包括报文接收模块、解析和提取模块、参数设定模块、模型建立模块、行为检测模块及输出模块,其中所述报文接收模块,用于接收用户正常登录数据库产生的正常数据报文及用户当前登录数据库产生的当前数据报文;所述解析和提取模块,用于从所述正常数据报文的字段内容中提取出登录信息;所述参数设定模块,用于根据所述数据库的系统环境设定模型参数;所述模型建立模块,用于根据所述登录信息及所述模型参数,为所述数据库建立正常登录模型;所述行为检测模块,用于利用所述正常登录模型对所述当前数据报文进行登录行为检测,获得用户当前登录行为是否存在异常的检测结果。优选地,所述报文接收模块用于根据所述模型参数从所述正常数据报文的字段内容中提取出所述登录信息。优选地,所述参数设定模块用于设定包括IP地址段和/或用户组的所述模型参数。与现有技术相比,本发明提出的技术方案能够准确地发现用户登录行为当中隐藏的异常行为,能够准确并及时地识别可能的非法使用他人账号登陆数据库的异常行为、用户非法时间登陆数据库行为以及观测周期内登陆频率异常等行为,从而在一定程度上反映出可能存在的安全隐患并上报给用户或管理员等,为数据库系统提供精确的审计及防护功能,解决了传统的数据库业务审计技术无法从用户登录数据库的行为中发现异常行为的问题。本发明技术方案可广泛应用于数据库业务审计产品中。本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中图1是本发明实施例所述数据库正常登录模型建立方法的流程示意图;图2是本发明实施例所述数据库登录行为异常检测方法的流程示意图;图3是本发明实施例所述数据库正常登录模型建立系统的组成示意图;图4是本发明实施例所述数据库登录行为异常检测系统的组成示意图。
具体实施例方式以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。首先,如果不冲突,本发明实施例以及实施例中的各个特征的相互结合,均在本发明的保护范围之内。另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。实施例一、一种数据库正常登录模型建立方法如图1所示,本实施例主要包括如下步骤步骤S110,接收用户正常登录数据库过程中产生的正常数据报文;步骤S120,对所接收的正常数据报文进行协议解析和信息提取,从该正常数据报文的字段内容中提取出有用的登录信息;步骤S130,根据数据库的系统环境设定模型参数;这一步骤的实现,可以是用户针对相应需求来实现的,接收用户根据数据库的系统环境设定的模型参数即可;步骤S140,根据该登录信息及所设定的该模型参数,为该数据库建立用户登录该数据库的正常登录模型并存储;至此,为数据库建立并存储了正常登录模型,之后即可根据该正常登录模型进行后续的用户登录数据库的行为检测。上述步骤S120中,对正常数据报文进行协议解析和信息提取的过程,是按照相应的数据库协议格式从正常数据报文的字段内容中提取出有用的登录信息;本步骤的实现依赖于对不同应用环境中的不同数据库的协议解析。具体地,例如对于DB2数据库,可以在类型为1 IaO的数据报文当中提取用户名,而对于Oracle数据库,则可以在数据包类型为0336的数据报文当中提取出用户名。此后,上述步骤S120依据所提取出的用户名,根据正常数据报文中的字段内容, 生成统一信息格式的登录信息,该登录信息中包括用户名、登录IP地址、登录时间以及对象数据库名等等项目。
在本实施例的一个实际应用中,所生成的登录信息如表1所示表 权利要求
1.一种数据库正常登录模型建立方法,其特征在于,包括如下步骤 接收用户正常登录数据库产生的正常数据报文;从所述正常数据报文的字段内容中提取出登录信息; 根据所述数据库的系统环境设定模型参数;根据所述登录信息及所述模型参数,为所述数据库建立正常登录模型。
2.根据权利要求1所述的方法,其特征在于,从所述正常数据报文的字段内容中提取所述登录信息的步骤,包括根据所述模型参数从所述正常数据报文的字段内容中提取出所述登录信息。
3.一种数据库登录行为异常检测方法,其特征在于,包括如下步骤 接收用户当前登录数据库产生的当前数据报文;利用如权利要求1所述的正常登录模型对所述当前数据报文进行登录行为检测,获得用户当前登录的行为是否存在异常的检测结果。
4.根据权利要求3所述的方法,其特征在于,根据所述数据库的系统环境设定所述模型参数的步骤,包括根据所述模型参数从所述正常数据报文的字段内容中提取出所述登录信息。
5.根据权利要求3所述的方法,其特征在于,根据所述数据库的系统环境设定所述模型参数的步骤,包括根据所述数据库的系统环境设定包括IP地址段和/或用户组的所述模型参数。
6.一种数据库正常登录模型建立系统,其特征在于,包括报文接收模块、解析和提取模块、参数设定模块以及模型建立模块,其中所述报文接收模块,用于接收用户正常登录数据库产生的正常数据报文; 所述解析和提取模块,用于从所述正常数据报文的字段内容中提取出登录信息; 所述参数设定模块,用于根据所述数据库的系统环境设定模型参数; 所述模型建立模块,用于根据所述登录信息及所述模型参数,为所述数据库建立正常登录模型。
7.根据权利要求6所述的系统,其特征在于所述报文接收模块用于根据所述模型参数从所述正常数据报文的字段内容中提取出所述登录信息。
8.一种数据库登录行为异常检测系统,其特征在于,包括报文接收模块、解析和提取模块、参数设定模块、模型建立模块、行为检测模块及输出模块,其中所述报文接收模块,用于接收用户正常登录数据库产生的正常数据报文及用户当前登录数据库产生的当前数据报文;所述解析和提取模块,用于从所述正常数据报文的字段内容中提取出登录信息; 所述参数设定模块,用于根据所述数据库的系统环境设定模型参数; 所述模型建立模块,用于根据所述登录信息及所述模型参数,为所述数据库建立正常登录模型;所述行为检测模块,用于利用所述正常登录模型对所述当前数据报文进行登录行为检测,获得用户当前登录行为是否存在异常的检测结果。
9.根据权利要求8所述的系统,其特征在于所述报文接收模块用于根据所述模型参数从所述正常数据报文的字段内容中提取出所述登录信息。
10.根据权利要求8所述的系统,其特征在于所述参数设定模块用于设定包括IP地址段和/或用户组的所述模型参数。
全文摘要
本发明公开了一种数据库正常登录模型建立方法及系统,以及一种数据库登录行为异常检测方法及系统,以克服现有技术无法在登录信息中发现可能存在异常的用户登录行为的技术问题,其中数据库正常登录模型建立方法包括接收用户正常登录数据库产生的正常数据报文;从所述正常数据报文的字段内容中提取出登录信息;根据所述数据库的系统环境设定模型参数;根据所述登录信息及所述模型参数,为所述数据库建立正常登录模型。与现有技术相比,本发明提出的技术方案能够准确地发现用户登录行为当中隐藏的异常行为,可广泛应用于数据库业务审计产品中。
文档编号G06F17/30GK102402517SQ201010278808
公开日2012年4月4日 申请日期2010年9月9日 优先权日2010年9月9日
发明者周涛, 孙海波 申请人:北京启明星辰信息安全技术有限公司, 北京启明星辰信息技术股份有限公司