一种数据非法修改行为自动检测的方法及装置与流程

本发明属于计算机技术领域，具体涉及一种数据非法修改行为自动检测方法及装置。

背景技术：

数据安全对于业务系统运行至关重要，数据库不仅是业务系统运行的基础，也是企业和管理部门的重要资产，因此维护数据库的安全，保证数据的完整性和逻辑一致性非常重要。然而，在利益驱动下，可能存在通过非法修改业务数据来达到瞒报或伪造数据的行为。数据库数据的非法修改可能会对系统数据的逻辑完整性和一致性造成损害，导致系统运行出错或者输出错误的决策信息，导致信息出现信息偏差和信息不对称，最终对实际业务的指导和监管出现漏洞。

非法修改的方式包括：授权用户通过业务系统进行不符合规范的数据修改；掌握数据库账号的用户，通过桌面客户端软件连接到数据库，直接对数据内容进行修改；非法入侵业务系统或数据库的黑客对系统数据进行篡改。大部分通过业务应用系统执行的数据操作，其结果的逻辑完整性和一致性能够通过系统层次逻辑判断和数据库约束两方面进行防范，实现对非法修改的识别和阻断。但是业务系统中可能存在漏洞，这些漏洞如果被用户或者黑客利用，就可能进行非法数据修改。另外，对于通过客户端软件连接或入侵数据库执行的数据操作，其可能带来的数据逻辑异常则很难进行防范。数据安全需要通过多层次的安全控制来实现。在应用系统软件层面需要实现身份验证、传输过程加密、数据操作完整性验证等来预防对数据完整性和一致性的破坏，属于事前安全防范技术。在数据库层面，通过数据审计来监测风险操作，通过日志管理提供数据故障发生后的恢复机制，属于事后的安全保障技术。

通过事前安全措施实施并不能完全排除非法操作，原因主要有两方面：系统设计本身难以实现零缺陷，且系统在编程实现过程可能出现各种漏洞；对于通过客户端直接修改数据库方式的不具有防范能力。通过事后数据审计虽然能够捕获全部的数据变化，并对某些特定行为进行预警，但这种方式主要针对数据本身，对业务数据的逻辑性和数据操作行为没有考虑，因此对于错误逻辑以及非法操作途径的识别能力较差。

技术实现要素：

本发明所要解决的技术问题是如何从数据库的变化信息出发，结合业务逻辑和操作信息，对数据修改行为的合法性进行判断，对非法数据修改进行识别和预警。

针对该技术问题，本发明提供了一种数据非法修改行为自动检测的方法，包括：

S1：在预设的检测数据库中读取具有数据修改行为的数据修改行为数据；

S2：将所述数据修改行为数据与预先存储的特征数据进行对比，筛选出需要进行检测的数据修改行为数据，以作为待检测数据；

S3：使用预先设定的检测规则，对所述待检测数据的数据修改行为的预期结果进行分析，得到预期结果，若所述预期结果符合判别逻辑的记录，则判定所述数据修改行为合法，否则，将所述数据修改行为标记为疑似非法操作，记录所述数据修改行为所违反的规则。

优选地，所述S1之前还包括：

提取业务系统的数据库操作信息，并将所述数据库操作信息按照预设的数据存储结构生成数据修改行为数据并存储，得到所述检测数据库；

其中，所述检测数据库的检测过程与所述业务系统的运行过程独立。

优选地，所述检测数据库中还包括触发器，设置在存储所述数据修改行为数据的数据表上；

所述触发器用于在检测到新的数据修改行为数据存储至所述检测数据库后，对所述检测数据库中的数据修改行为数据进行检测。

优选地，所述检测规则包括逻辑检测的检测规则和连接来源检测的检测规则。

优选地，还包括：在将所述数据修改行为标记为疑似非法操作后，通过邮件或者短信的方式通知管理人员。

另一方面，本发明还提供了一种数据非法修改行为自动检测的装置，包括：

读取模块，用于在预设的检测数据库中读取具有数据修改行为的数据修改行为数据；

筛选模块，用于将所述数据修改行为数据与预先存储的特征数据进行对比，筛选出需要进行检测的数据修改行为数据，以作为待检测数据；

检测模块，用于使用预先设定的检测规则，对所述待检测数据的数据修改行为的预期结果进行分析，得到预期结果，若所述预期结果符合判别逻辑的记录，则判定所述数据修改行为合法，否则，将所述数据修改行为标记为疑似非法操作，记录所述数据修改行为所违反的规则。

优选地，还包括提取模块；

所述提取模块用于提取业务系统的数据库操作信息，并将所述数据库操作信息按照预设的数据存储结构生成数据修改行为数据并存储，得到所述检测数据库；

其中，所述检测数据库的检测过程与所述业务系统的运行过程独立。

优选地，所述检测数据库中还包括触发器，设置在存储所述数据修改行为数据的数据表上；

所述触发器用于在检测到新的数据修改行为数据存储至所述检测数据库后，对所述检测数据库中的数据修改行为数据进行检测。

优选地，所述检测规则包括逻辑检测的检测规则和连接来源检测的检测规则。

优选地，还包括通知模块；

所述通知模块用于在将所述数据修改行为标记为疑似非法操作后，通过邮件或者短信的方式通知管理人员。

本发明提供的数据非法修改行为自动检测的方法及装置从业务系统数据库中提取数据库操作信息，生成检测数据库，按照预设的检测规则对检测数据库中需要检测的待检测数据进行非法修改行为的检测，对疑似非法的修改操作的数据进行标记，进一步生成通知管理人员的信息。在该检测方法中，存储在检测数据库中的检测规则，以业务系统数据库中的逻辑关系为基础，结合数据访问连接信息，能够准确高效的对数据修改行为的合法性进行识别和预警。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一实施例提供的数据非法修改行为自动检测的方法的流程示意图；

图2是本发明另一实施例提供的更为具体的数据非法修改行为自动检测的方法的流程示意图；

图3是本发明一实施例提供的数据非法修改行为自动检测的装置的结构框图；

图4是本发明又一实施例提供的数据非法修改行为自动检测的装置的功能模块功能实现过程示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1是本发明提供的数据非法修改行为自动检测的方法的流程示意图。参见图1，该方法包括：

S1：在预设的检测数据库中读取具有数据修改行为的数据修改行为数据；

S2：将所述数据修改行为数据与预先存储的特征数据进行对比，筛选出需要进行检测的数据修改行为数据，以作为待检测数据；

S3：使用预先设定的检测规则，对所述待检测数据的数据修改行为的预期结果进行分析，得到预期结果，若所述预期结果符合判别逻辑的记录，则判定所述数据修改行为合法，否则，将所述数据修改行为标记为疑似非法操作，记录所述数据修改行为所违反的规则。

需要说明的是，检测数据库中包括了所有对数据进行了修改操作行为的数据，这些数据是从业务系统的数据库中提取的。具体来说，采用以下两种方法实现数据的提取，一个是数据库审计方式，即采用旁路监听方式，在数据库通讯过程中捕获数据库操作信息；另一种是基于数据库日志方式，通过分析日志对数据库操作行为数据进行提取(日志中记载了数据的操作行为以及数据操作行为前后数据的状态，通过日志分析工具对日志进行分析可以得到数据操作的信息)。

当然，为了保证业务系统的运行性能不受影响，以及降低检测系统与业务系统之间的耦合，对数据库修改信息的提取需要独立于业务系统。另一方面，若通过分析日志提取数据修改行为数据，为了避免操作对数据库产生影响，通常采用归档日志作为数据源，将其传输至检测数据库主机后再进行分析和提取操作。

本实施例提供的数据非法修改行为自动检测的方法，从业务系统数据库中提取数据库操作信息，生成检测数据库，按照预设的检测规则对检测数据库中需要检测的待检测数据进行非法修改行为的检测，对疑似非法的修改操作的数据进行标记，进一步生成通知管理人员的信息。在该检测方法中，存储在检测数据库中的检测规则，以业务系统数据库中的逻辑关系为基础，结合数据访问连接信息，能够准确高效的对数据修改行为的合法性进行识别和预警。

作为更为具体的实施例，所述S1之前还包括：

提取业务系统的数据库操作信息，并将所述数据库操作信息按照预设的数据存储结构生成数据修改行为数据并存储，得到所述检测数据库；

其中，所述检测数据库的检测过程与所述业务系统的运行过程独立。

检测数据库的检测过程和业务系统运行过程独立是为了保证对数据非法修改行为自动检测时，不影响业务系统的运行。

无论在业务系统运行过程中提取的数据修改行为数据，还是通过日志解析得到的数据修改行为数据，均需包括修改行为(例如，INSERT、UPDATE、DELETE)的语句，执行时间，用户，发起连接的客户端主机名或IP。

这些数据修改行为的数据按照预设的存储结构存储到检测数据库中，例如，数据修改行为数据存储结构如表1所示。

表1数据修改行为数据存储结构

进一步地，所述检测数据库中还包括触发器，设置在存储所述数据修改行为数据的数据表上；

所述触发器用于在检测到新的数据修改行为数据存储至所述检测数据库后，对所述检测数据库中的数据修改行为数据进行检测。

触发器的设置是为了在检测到新的数据修改行为数据后，自动触发检测机制，实现对数据操作非法行为的自动检测。

当有数据库修改行为数据被提取进入检测系统，系统需要具有自动地执行检测操作的机制。

可以理解的是，对于实时性要求较高的应用，采用触发机制，即在数据修改行为数据表上建立触发器，当有新的数据修改行为数据被提取至检测系统，立即通知启动检测程序。

当然，对于实时性要求较低的应用场景，可以采用任务调度方式，即在固定时间周期性地启动检测程序，对检测周期的全部数据修改行为数据进行合法性检测。

进一步地，所述检测规则包括逻辑检测的检测规则和连接来源检测的检测规则。

检测规则用于定义对什么样的数据操作行为需要检测，以及什么样的数据修改行为是非法的。检测规则包括：数据操作特征行为，逻辑检测规则和连接来源检测规则，以及特征行为与检测规则的对应关系。

首先，定义符合哪些特征的数据操作需要进行检测，用于从数据修改行为数据中筛选待检测记录。表2示出了数据修改行为特征数据存储结构。

表2数据修改行为特征数据存储结构

对特征数据操作行为，需要进行逻辑检测和连接来源检测。逻辑检测规则根据业务数据之间的逻辑关系，对其前置或后置的关联数据是否存在，或值是否在预期范围内进行验证，如符合预期则认为该操作合法，否则标记为疑似非法，其数据结存储构见表3。

表3逻辑检测规则存储结构

连接来源检测规则是通过执行数据操作的用户和主机对操作合法性进行判断，其数据存储结构见表4。

表4连接检测规则存储结构

每一个目标数据操作行为都需要执行若干逻辑或连接检测，以确定其是否合法，因此需要建立并存储目标数据操作行为与检测规则之间的相关关系，其数据存储结构见表5。

表5目标数据操作行为与检测规则关系

进一步地，在将所述数据修改行为标记为疑似非法操作后，通过邮件或者短信的方式通知管理人员。

图2是本实施例提供的更为具体的数据非法修改行为自动检测的方法的流程示意图。首先触发检测操作，具体可以是通过触发器进行触发，也可以对检测数据库进行周期性检测，满足时间周期要求后就开始数据检测行为。

然后在检测数据库中读取之前获取的数据修改行为数据，由于不是所有的数据都需要进行非法修改行为的检测，因此需要在检测之前进行判断，具体的判断规则可以根据业务需要提前设定。

根据预先存储的特征数据进行比对，判定其是否为目标数据操作行为，若是，从预先存储的检测规则中获取该数据的检测规则，根据检测规则对目标数据进行相应的检测。主要进行逻辑检测和连接来源检测。根据检测的结果，对于非法操作的数据进行标记，同时通过短信或者其它方式通知管理人员，达到预警目的。

总之，从数据修改行为数据中读取记录，与特征数据操作行为进行对比，确定该修改行为是否需要进行检测，如果是需要检测的修改行为，根据对应的特征数据修改行为记录获取检测规则数据，使用检测规则对数据修改行为的预期结果进行分析，然后进行对比判断，符合判别逻辑的记录为合法操作，否则标记为疑似非法操作并记录所违反的规则。

在得到疑似非法修改行为数据后，需要通知管理人员，以对疑似非法修改行为进行相应处置，避免出现损失。对于预警实时性要求较高的应用场景，可通过短信或邮件等方式进行实时通知，对于实时性要求较低的应用场景，可定期生成预警信息报表，通过邮件或检测系统通知管理人员。

本发明提供的数据非法修改行为自动检测的方法，通过对数据修改行为特征进行定义，识别出需要检测的数据修改行为，与数据内容审计方式相比，具有更高的精度和识别效率，通过定义检测规则对数据修改行为合法性进行判别，其规则定义简单，适用性强，能够充分体现数据的内在逻辑，因此安全性更强。

相应地，参见图3，本发明还提供了一种数据非法修改行为自动检测的装置20，包括读取模块21、筛选模块22和检测模块23。

读取模块21，用于在预设的检测数据库中读取具有数据修改行为的数据修改行为数据；

筛选模块22，用于将所述数据修改行为数据与预先存储的特征数据进行对比，筛选出需要进行检测的数据修改行为数据，以作为待检测数据；

检测模块23，用于使用预先设定的检测规则，对所述待检测数据的数据修改行为的预期结果进行分析，得到预期结果，若所述预期结果符合判别逻辑的记录，则判定所述数据修改行为合法，否则，将所述数据修改行为标记为疑似非法操作，记录所述数据修改行为所违反的规则。

本实施例提供的数据非法修改行为自动检测的装置，从业务系统数据库中提取数据库操作信息，生成检测数据库，按照预设的检测规则对检测数据库中需要检测的待检测数据进行非法修改行为的检测，对疑似非法的修改操作的数据进行标记，进一步生成通知管理人员的信息。在该检测方法中，存储在检测数据库中的检测规则，以业务系统数据库中的逻辑关系为基础，结合数据访问连接信息，能够准确高效的对数据修改行为的合法性进行识别和预警。

进一步地，还包括提取模块；

所述提取模块用于提取业务系统的数据库操作信息，并将所述数据库操作信息按照预设的数据存储结构生成数据修改行为数据并存储，得到所述检测数据库；

其中，所述检测数据库的检测过程与所述业务系统的运行过程独立。

进一步地，所述检测数据库中还包括触发器，设置在存储所述数据修改行为数据的数据表上；

所述触发器用于在检测到新的数据修改行为数据存储至所述检测数据库后，对所述检测数据库中的数据修改行为数据进行检测。

进一步地，所述检测规则包括逻辑检测的检测规则和连接来源检测的检测规则。

进一步地，还包括通知模块；

所述通知模块用于在将所述数据修改行为标记为疑似非法操作后，通过邮件或者短信的方式通知管理人员。

作为一种更为具体的实施例，图4是本实施例提供的数据非法修改行为自动检测的装置的功能模块功能实现过程示意图，该装置包括从业务系统数据库中提取变化信息的功能模块、定义检测规则的功能模块、将数据修改行为数据存储至检测数据库中的功能模块、将生成的检测规则数据按照一定的规则存储在检测数据库中的功能模块。当然，还包括对检测数据库中的数据进行非法修改的自动检测的功能模块，具体的检测过程参照以上实施例。最后，还包括对非法修改的数据进行预警的功能模块。

总之，本发明中的检测系统独立于业务系统自动化运行，对现有业务系统的数据库逻辑和性能没有影响，易于扩展实现数据非法修改自动检测功能，提升系统数据安全性。

通过检测规则定义，以业务数据的逻辑关系作为主要判断规则，对数据修改行为的合法性进行检测，对于片段数据的非法修改行为有很好的识别能力，是对系统安全防护有力的补充。

可根据具体场景实时性要求，实现实时检测预警或者事后数据修改行为审计。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。