用于数据库系统防黑客入侵的检测系统和方法与流程

本发明属于数据库防入侵技术领域，特别是涉及用于数据库系统防黑客入侵的检测系统及用于数据库系统防黑客入侵的检测方法。

背景技术：

随着互联网的飞速发展，数据库的应用也跟上了全球信息化的步伐，越来越多的政府、商业、金融等公司机构以及事业部门将数据库与互联网相连。随着数据库应用功能和范围越来越广和越来越强带，同时带来的还有各种网络和黑客攻击等因素存在的网络安全问题，使数据库面临越来越多的风险。因此如何应对网络和黑客攻击对数据库系统带来的威胁是目前数据库系统亟需解决的问题。目前国内关于数据库系统的入侵检测研究尚不多见，技术上处于研究阶段，尚无完善的实用系统，因此这对以上问题提供一种用于数据库系统防黑客入侵的检测系统及用于数据库系统防黑客入侵的检测方法具有重要意义。

技术实现要素：

本发明的目的在于提供用于数据库系统防黑客入侵的检测系统和方法，通过提供由数据审计系统与数据库相连的数据采集器，数据采集器与误用检测单元和异常检测单元相连，误用检测单元实时检测采集的数据特征与误用规则库内的规则进行比较，异常检测单元实时检测采集的数据特征与行为模式规则库内的规则进行比较，并进行入侵判断，将入侵判断结果反馈至报警器和客户端实时报警器进行报警显示，解决对数据库网络和黑客入侵不能实施监测报警，不能对数据库中的入侵事件进行管理和维护，对系统检测的实时性和效率低的问题。

为解决上述技术问题，本发明是通过以下技术方案实现的：

本发明的用于数据库系统防黑客入侵的检测系统，包括数据采集器、误用检测单元、异常检测单元、误用规则库、行为模式规则库、记录器、报警器、关联防火墙、事件数据库、磁盘管理器、客户端实时报警器、与用户交互模块、管理控制台；

所述数据采集器通过数据库审计系统与数据库相连并进行信息数据交互；所述误用检测单元通过信息数据传输模块分别连接数据采集器、误用规则库、记录器和报警器；所述异常检测单元通过信息数据传输模块分别连接数据采集器、行为模式规则库、报警器；所述报警器通过信息数据传输模块分别与关联防火墙以及客户端实时报警器相连；

所述事件数据库通过信息数据传输模块分别连接记录器、报警器、磁盘管理器、管理控制台、与用户交互模块。

进一步地，所述采集数据库审计系统对数据库中待审计日志生成审计记录；所述数据采集器用于采集数据库审计系统对数据库提取的审计记录进行提取，实现审计数据和数据采集的并行化；

所述误用检测单元与异常检测单元用于分别读取数据采集器中的审计记录的数据，并分别与误用规则库和行为模式规则库中的规则进行检测；

所述误用规则库用于存放已知的攻击模式，由审计系统管理员根据个人的经验和以往审计检测的结果进行建立和维护；

所述行为模式规则库用于存放用户正常行为模式，由异常检测模块根据基于关联规则的数据挖掘算法创建并进行增量更新；

所述报警器用于将误用检测单元和异常检测单元检测出的非正常行为传递给报警器，报警器根据此行为的异常程度采取相应的措施；

所述关联防护墙用于对误用检测单元和异常检测单元检测出的非正常行为进行防御，包括进行访问行为控制和危险操作阻断；

所述记录器用于对误用检测单元和异常检测单元检测产生的行为结果作出一个缓存；

所述磁盘管理器用于记录确实有效的检测结果信息；

所述事件数据库用于存放系统在检测过程中产生的各种监测结果，系统管理员根据存放在数据库表中的数据生成各种所需要的报表进行审计分析；

所述与用户交互模块用于用户对数据库和检测系统进行交互动作，包括数据库访问和数据库入侵事件实时查看；

所述管理控制台用于系统管理员根据当前数据库的运行环境，指定新的检测策略，以便更好地再现监控数据库。

进一步地，所述管理控制台包括用户登录界面模块和系统主界面模块；

所述用户登录界面模块用于系统管理员输入用户名和登录密码进行登录，并进入系统主界面模块；

所述系统主界面模块包括菜单栏、工具栏、主窗体和状态栏；所述菜单栏包括实时监控、审计维护、工具、窗口配置管理、攻击信息、帮助菜单项。

用于数据库系统防黑客入侵的检测方法，包括如下步骤：

s01：当前系统审计数据：通过所述采集数据库审计系统对数据库中待审计日志生成审计记录数据；

s02：数据采集和预处理：通过所述数据采集器收集用户历史行为数据进行特征提取，并对收集到的用户历史行为数据进行集成和并行化的预处理，为下一步的数据挖掘座准备；

s03：数据挖掘：采用数据挖掘技术从采集数据库审计系统中提取有关行为特征和规则，并建立入侵行为模式规则；

s04：得到当前用户行为特征：通过数据挖掘得到当前用户的行为特征数据；

s05：综合规则库进行检测：行为模式规则库中存有系统需要的异常模式和正常模式，通过将当前用户的行为特征数据与异常模式和正常模式进行比较判断，判断当前用户的行为是否为入侵行为；

s06：判断是否遭受入侵：系统根据一定的算法，从误用规则库和行为模式规则库中提取相关规则数据，对当前用户行为特征进行入侵检测，并根据检测的结果作出相应的行动；

若判断是入侵行为，则报警器响应，并将报警信号传输至客户端实时报警器进行报警，关联防护墙对入侵行为进行访问行为控制和危险操作阻断，同时记录器对入侵行为进行记录并存储于事件数据库和磁盘管理器；

若判断为非入侵行为，则系统继续监控同时在误用规则库和行为模式规则库内进行规则增量更新，并将该非入侵行为进行记录并存储于事件数据库和磁盘管理器。

进一步地，位于所述步骤s01之前，所述误用规则库和行为模式规则库创建；

位于所述步骤s01-s06过程中，所述误用规则库和行为模式规则库同步进行规则增量更新和管理。

进一步地，对所述误用规则库的管理包括浏览规则、修改规则、添加规则、删除规则。

进一步地，对所述行为模式规则库的管理包括如下步骤：

t01：对用户历史行为数据进行采集并存储；

t02：对数据采集和预处理；

t03：对数据进行提取有关行为特征和规则；

t04：合并规则；

t05：将规则写入行为模式规则库。

本发明具有以下有益效果：

本发明通过提供由数据审计系统与数据库相连的数据采集器，数据采集器与误用检测单元和异常检测单元相连，误用检测单元实时检测采集的数据特征与误用规则库内的规则进行比较，异常检测单元实时检测采集的数据特征与行为模式规则库内的规则进行比较，并进行入侵判断，将入侵判断结果反馈至报警器和客户端实时报警器进行报警显示，具有对数据库网络和黑客入侵可进行实施监测报警，方便对数据库中的入侵事件进行管理和维护，方便对误用规则库中的规则进行添加、删除、修改等管理，对系统检测的实时性和效率高的优点。

当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的用于数据库系统防黑客入侵的检测系统的结构示意图；

图2本发明的用于数据库系统防黑客入侵的检测方法的步骤示意图；

图3本发明的误用规则库管理的结构示意图；

图4本发明对行为模式规则库的管理的方法步骤图；

图5本发明的误用规则库和行为模式规则库同步进行规则增量更新的步骤示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1所示，本发明的用于数据库系统防黑客入侵的检测系统，包括数据采集器、误用检测单元、异常检测单元、误用规则库、行为模式规则库、记录器、报警器、关联防火墙、事件数据库、磁盘管理器、客户端实时报警器、与用户交互模块、管理控制台；

数据采集器通过数据库审计系统与数据库相连并进行信息数据交互；误用检测单元通过信息数据传输模块分别连接数据采集器、误用规则库、记录器和报警器；异常检测单元通过信息数据传输模块分别连接数据采集器、行为模式规则库、报警器；报警器通过信息数据传输模块分别与关联防火墙以及客户端实时报警器相连；

事件数据库通过信息数据传输模块分别连接记录器、报警器、磁盘管理器、管理控制台、与用户交互模块。

其中，采集数据库审计系统对数据库中待审计日志生成审计记录；数据采集器用于采集数据库审计系统对数据库提取的审计记录进行提取，实现审计数据和数据采集的并行化；

误用检测单元与异常检测单元用于分别读取数据采集器中的审计记录的数据，并分别与误用规则库和行为模式规则库中的规则进行检测；

误用规则库用于存放已知的攻击模式，由审计系统管理员根据个人的经验和以往审计检测的结果进行建立和维护；

行为模式规则库用于存放用户正常行为模式，由异常检测模块根据基于关联规则的数据挖掘算法创建并进行增量更新；

报警器用于将误用检测单元和异常检测单元检测出的非正常行为传递给报警器，报警器根据此行为的异常程度采取相应的措施；

关联防护墙用于对误用检测单元和异常检测单元检测出的非正常行为进行防御，包括进行访问行为控制和危险操作阻断；

记录器用于对误用检测单元和异常检测单元检测产生的行为结果作出一个缓存；

磁盘管理器用于记录确实有效的检测结果信息；

事件数据库用于存放系统在检测过程中产生的各种监测结果，系统管理员根据存放在数据库表中的数据生成各种所需要的报表进行审计分析；

与用户交互模块用于用户对数据库和检测系统进行交互动作，包括数据库访问和数据库入侵事件实时查看；

管理控制台用于系统管理员根据当前数据库的运行环境，指定新的检测策略，以便更好地再现监控数据库。

其中，管理控制台包括用户登录界面模块和系统主界面模块；

用户登录界面模块用于系统管理员输入用户名和登录密码进行登录，并进入系统主界面模块；

系统主界面模块包括菜单栏、工具栏、主窗体和状态栏；菜单栏包括实时监控、审计维护、工具、窗口配置管理、攻击信息、帮助菜单项。

如图2所示，用于数据库系统防黑客入侵的检测方法，包括如下步骤：

s01：当前系统审计数据：通过采集数据库审计系统对数据库中待审计日志生成审计记录数据；

s02：数据采集和预处理：通过数据采集器收集用户历史行为数据进行特征提取，并对收集到的用户历史行为数据进行集成和并行化的预处理，为下一步的数据挖掘座准备；

s03：数据挖掘：采用数据挖掘技术从采集数据库审计系统中提取有关行为特征和规则，并建立入侵行为模式规则；

s04：得到当前用户行为特征：通过数据挖掘得到当前用户的行为特征数据；

s05：综合规则库进行检测：行为模式规则库中存有系统需要的异常模式和正常模式，通过将当前用户的行为特征数据与异常模式和正常模式进行比较判断，判断当前用户的行为是否为入侵行为；

s06：判断是否遭受入侵：系统根据一定的算法，从误用规则库和行为模式规则库中提取相关规则数据，对当前用户行为特征进行入侵检测，并根据检测的结果作出相应的行动；

若判断是入侵行为，则报警器响应，并将报警信号传输至客户端实时报警器进行报警，关联防护墙对入侵行为进行访问行为控制和危险操作阻断，同时记录器对入侵行为进行记录并存储于事件数据库和磁盘管理器；

若判断为非入侵行为，则系统继续监控同时在误用规则库和行为模式规则库内进行规则增量更新，并将该非入侵行为进行记录并存储于事件数据库和磁盘管理器。

如图3-5所示，其中，位于步骤s01之前，误用规则库和行为模式规则库创建；

位于步骤s01-s06过程中，误用规则库和行为模式规则库同步进行规则增量更新和管理。

其中，对误用规则库的管理包括浏览规则、修改规则、添加规则、删除规则。

其中，对行为模式规则库的管理包括如下步骤：

t01：对用户历史行为数据进行采集并存储；

t02：对数据采集和预处理；

t03：对数据进行提取有关行为特征和规则；

t04：合并规则；

t05：将规则写入行为模式规则库。

有益效果：

本发明通过提供由数据审计系统与数据库相连的数据采集器，数据采集器与误用检测单元和异常检测单元相连，误用检测单元实时检测采集的数据特征与误用规则库内的规则进行比较，异常检测单元实时检测采集的数据特征与行为模式规则库内的规则进行比较，并进行入侵判断，将入侵判断结果反馈至报警器和客户端实时报警器进行报警显示，具有对数据库网络和黑客入侵可进行实施监测报警，方便对数据库中的入侵事件进行管理和维护，方便对误用规则库中的规则进行添加、删除、修改等管理，对系统检测的实时性和效率高的优点。

在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。