一种面向云的数据库安全态势感知系统的制作方法

本发明涉及网络完全技术领域，具体为一种面向云的数据库安全态势感知系统。

背景技术：

网络安全态势感知是一种由内外部多维数据驱动的、综合性的安全管理与运营体系。网络安全态势感知模型在类别与形态上也随着应用场景变化有所不同。目前对于网络安全态势感知技术的研究和应用，多数为漏洞发现和网络攻击威胁量化过程的研究，通过分析漏洞预警信息和网络攻击流量，展示当前的网络安全态势。但是这类针对外部网络攻击的态势感知模型不适用于数据库的应用场景，无法进行数据安全态势的感知和预测，很难全面掌握企业内部敏感数据的分布及使用安全状态。针对运营商业务标准体系和外部威胁应用场景的数据库安全态势感知研究还处于空白。

技术实现要素：

本发明的目的在于提供一种面向云的数据库安全态势感知系统，包括业务和数据识别模块、数据分析引擎、风险分析引擎、态势展现功能模块，其特征在于：

业务和数据采集模块，用于收集静态存储过程、业务使用过程中不同来源的数据，从中提取出用于后期分析的主成分信息，挖掘出各数据之间的关联性，从而得到用于数据安全态势计算所需的数据资产分布位置、数据资产内容、数据资产流向等信息；

数据分析引擎，经数据关联分析，消除多源数据的冗余性后，根据敏感信息分类和分级标准，结合智能识别算法对敏感信息进行识别、规则匹配，判断是否包含敏感信息，然后对发现的敏感信息进行内容的补全，包括表名、字段、敏感内容、发现时间、数据所属业务信息，通过对发现的敏感信息进一步的分类、统计分析，并按照极敏感、较敏感、敏感、低敏感四个级别对识别出的敏感信息进行分级标识；

结合外部数据库漏洞威胁情报，对识别到的数据库和大数据组件进行基线配置扫描和漏洞扫描，从中得到资产漏洞威胁数据和资产攻击威胁数据，从而得到用于网络安全态势计算所需的漏洞信息、攻击信息和资产信息，并从中得到相应的资产漏洞威胁数据和资产攻击威胁数据；对关联分析产生的资产攻击威胁数据和攻击信息的主成分数据进一步分析和训练，建立攻击特征库；

风险分析引擎，基于风险计算模型及风险量化标准，对数据资产价值、威胁、脆弱性系数进行识别和赋值，计算数据安全事件发生的可能性和安全事件的损失，从而对数据资产面临的风险进行定量的分析，自动分析出全网信息安全状况，并以“高、中、低”及分值来体现当前数据库安全情况；

态势展现功能模块，从资产态势、流转态势、访问态势、预警态势等综合指标分析及呈现数据安全整体态势，呈现全网数据资产分布、变化、异常访问、风险高低等综合指标，从整体上纵观数据安全态势情况。

优选的，完成数据资产的扫描和数据采集，数据的采集分为两种方式：

利用数据库和大数据平台各组件提供的api，结合批处理运算获取存储在数据库和大数据平台中的数据，需要提供数据存储对象的类型ip、端口、账号、密码、数据库名，以定期或周期性任务的模式，进行全量或增量扫描，提取存储的字段和样本信息，对用户信息的存储和使用位置进行识别和定位；

通过镜像或者分光接入业务系统侧核心交换机流量，对业务系统访问的交互流量进行数据采集和特征提取，实现对业务系统交互前台的源码、请求信息中敏感数据精确解析与还原区的车辆的情况进项采样调查，获取一个地区的工况曲线。

优选的，风险分析引擎包括以下方向：

数据资产价值分析，对经过预处理的数据资产按照重要性和保护要求，采用“就高不就低”的原则，结合系统业务特点，分别对各数据库资产的价值予以赋值。

威胁分析，根据有关的统计数据来进行判断，综合考虑两个方面，以形成在某种评估环境中各种威胁出现的频率：

实际环境中通过数据漏洞扫描工具和基线检查工具发现的威胁及其频率的统计；

外部威助情报、安全组织发布的对于数据库和大数据组件的威助及其频率统计，以及发布的威胁预警，可根据漏洞的风险级别进行赋值；

数据库的脆弱性分析，数据使用量不用和不同用户行为产生影响程度不同，对数据库的风险系数影响也不同，使用量越大则对数据库影响系数越大，数据违规使用越多对数据库影响越大，数据库的风险系数由多个因子影响，每个因子下会存在多个数据库操作构成其影响系数，对敏感数据的风险操作涉及：违规接入、审计绕行、非工作时间操作、批量下载，对数据库的影响程度不同；统计出数据库使用过程中涉及的所有操作，然后可通过统计每个月数据库的在线使用量si，定义数据库对业务影响系数进行标准归一化；

一个数据库影响度是由n个数据操作组成的，计算操作影响因子的业务影响度，首先建立该数据集影响的markov链，每种数据操作引起的数据风险有两种，定义违规操作为1，不违规为0，某一数据操作x对数据库d的影响概率是k，则每种操作影响数据库的影响度：

数据库的脆弱性值＝数据操作影响度*业务影响系数

风险计算，数据库风险综合值的计算公式为：

r＝f(l,i)＝f(l(v,t),i(v,z))

其中，l表示安全事件发生的可能性，i表示安全事件的损失，v表示数据库对业务的影响程度系数，t表示威胁，z表示资产的重要程度；

数据风险综合值的计算步骤为：

a)计算数据安全事件发生的可能性：

b)计算安全事件发生后造成的损失：

c)计算风险值，风险值＝安全事件发生的可能性*安全事件带来的损失。

优选的，态势展现功能包括：

数据分布分析展示，识别敏感数据及其分布位置、统计数据库数量、表数量、敏感表数量、字段数量、敏感字段数量、敏感数据类别、敏感数据数量等信息；

展示敏感数据的静态分布和动态访问情况，基于不同维度直观展现数据分布情况和实际访问情况，以数据图的形式展示敏感数据量访问趋势、访问热度，可筛选查询数据分布统计，如：敏感数据数量最多的库表、某一时段访问量最多的敏感表、访问次数最多的敏感表、敏感数据访问量最多的数据类型等；

数据流动分析展示，统计敏感数据访问量、请求总量、访问用户数和应用数等信息，展现敏感数据的流向，包括源数据库、目的数据库、流动路径，绘制敏感数据流向地图，直观展现数据的真实流转情况，分模块展示敏感数据访问量最多的应用、某一时段敏感数据访问量最多的用户id；

用户行为分析展示，统计用户的基础信息，访问目标、访问频次、活跃时间、访问数据总量、使用的源ip、重要操作；

展示用户的敏感数据访问情况，重点对超频次访问、批量访问下载、绕行访问、非工作时间访问等涉嫌违规行为进行告警；

风险预警，根据用户访问行为，结合外部威胁情报，对各数据库的风险值进行动态预测，对用户高风险操作进行预警，规避数据安全风险；

根据整体态势结果，对已经存在安全较突出或可能会出现高危风险的业务系统、数据库等进行专项整治，根据过程数据可调整和优化整治策略，实现对整治过程监控。

与现有技术相比，本发明的有益效果是：

1.本发明提出面向云的数据库安全态势感知，即安全态势的目标从传统模型的网络攻击流变成了敏感数据的访问流，胜任云计算场景的数据安全态势感知。

2.本发明通过对敏感数据自动识别，分类分级并形成可视化呈现，直观的呈现敏感数据在传统数据库和大数据平台的分布状态，便于清楚掌握各数据平台中敏感信息存储和访问情况。

3.本发明在静态数据识别和动态数据流转两个层次上，从内部数据使用和外部数据安全威胁两个角度，制定了全方位多角度高汇聚的安全态势指标体系，最终能为数据管理人员提供全面准确的安全防御决策依据。

附图说明

图1为系统模型架构图；

图2为markov模型层级展示图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合具体实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

实施例1

一种面向云的数据库安全态势感知系统，包括业务和数据识别模块、数据分析引擎、风险分析引擎、态势展现功能模块，

业务和数据采集模块，用于收集静态存储过程、业务使用过程中不同来源的数据，从中提取出用于后期分析的主成分信息，挖掘出各数据之间的关联性，从而得到用于数据安全态势计算所需的数据资产分布位置、数据资产内容、数据资产流向等信息；完成数据资产的扫描和数据采集，数据的采集分为两种方式：

利用数据库和大数据平台各组件提供的api，结合批处理运算获取存储在数据库和大数据平台中的数据，需要提供数据存储对象的类型ip、端口、账号、密码、数据库名，以定期或周期性任务的模式，进行全量或增量扫描，提取存储的字段和样本信息，对用户信息的存储和使用位置进行识别和定位；

通过镜像或者分光接入业务系统侧核心交换机流量，对业务系统访问的交互流量进行数据采集和特征提取，实现对业务系统交互前台的源码、请求信息中敏感数据精确解析与还原区的车辆的情况进项采样调查，获取一个地区的工况曲线。

数据分析引擎，经数据关联分析，消除多源数据的冗余性后，根据敏感信息分类和分级标准，结合智能识别算法对敏感信息进行识别、规则匹配，判断是否包含敏感信息，然后对发现的敏感信息进行内容的补全，包括表名、字段、敏感内容、发现时间、数据所属业务信息，通过对发现的敏感信息进一步的分类、统计分析，并按照极敏感、较敏感、敏感、低敏感四个级别对识别出的敏感信息进行分级标识；

结合外部数据库漏洞威胁情报，对识别到的数据库和大数据组件进行基线配置扫描和漏洞扫描，从中得到资产漏洞威胁数据和资产攻击威胁数据，从而得到用于网络安全态势计算所需的漏洞信息、攻击信息和资产信息，并从中得到相应的资产漏洞威胁数据和资产攻击威胁数据；对关联分析产生的资产攻击威胁数据和攻击信息的主成分数据进一步分析和训练，建立攻击特征库；

风险分析引擎，基于风险计算模型及风险量化标准，对数据资产价值、威胁、脆弱性系数进行识别和赋值，计算数据安全事件发生的可能性和安全事件的损失，从而对数据资产面临的风险进行定量的分析，自动分析出全网信息安全状况，并以“高、中、低”及分值来体现当前数据库安全情况；风险分析引擎包括以下方向：

数据资产价值分析，对经过预处理的数据资产按照重要性和保护要求，采用“就高不就低”的原则，结合系统业务特点，分别对各数据库资产的价值予以赋值。

威胁分析，根据有关的统计数据来进行判断，综合考虑两个方面，以形成在某种评估环境中各种威胁出现的频率：

实际环境中通过数据漏洞扫描工具和基线检查工具发现的威胁及其频率的统计；

外部威胁情报、安全组织发布的对于数据库和大数据组件的威胁及其频率统计，以及发布的威胁预警，可根据漏洞的风险级别进行赋值；

数据库的脆弱性分析，数据使用量不用和不同用户行为产生影响程度不同，对数据库的风险系数影响也不同，使用量越大则对数据库影响系数越大，数据违规使用越多对数据库影响越大，数据库的风险系数由多个因子影响，每个因子下会存在多个数据库操作构成其影响系数，对敏感数据的风险操作涉及：违规接入、审计绕行、非工作时间操作、批量下载，对数据库的影响程度不同；统计出数据库使用过程中涉及的所有操作，然后可通过统计每个月数据库的在线使用量si，定义数据库对业务影响系数进行标准归一化；

一个数据库影响度是由n个数据操作组成的，计算操作影响因子的业务影响度，首先建立该数据集影响的markov链，每种数据操作引起的数据风险有两种，定义违规操作为1，不违规为0，某一数据操作x对数据库d的影响概率是k，则每种操作影响数据库的影响度：

数据库的脆弱性值＝数据操作影响度*业务影响系数

风险计算，数据库风险综合值的计算公式为：

r＝f(l,i)＝f(l(v,t),i(v,z))

其中，l表示安全事件发生的可能性，i表示安全事件的损失，v表示数据库对业务的影响程度系数，t表示威胁，z表示资产的重要程度；

数据风险综合值的计算步骤为：

a)计算数据安全事件发生的可能性：

b)计算安全事件发生后造成的损失：

c)计算风险值，风险值＝安全事件发生的可能性*安全事件带来的损失。

态势展现功能模块，从资产态势、流转态势、访问态势、预警态势等综合指标分析及呈现数据安全整体态势，呈现全网数据资产分布、变化、异常访问、风险高低等综合指标，从整体上纵观数据安全态势情况。态势展现功能包括：

数据分布分析展示，识别敏感数据及其分布位置、统计数据库数量、表数量、敏感表数量、字段数量、敏感字段数量、敏感数据类别、敏感数据数量等信息；

展示敏感数据的静态分布和动态访问情况，基于不同维度直观展现数据分布情况和实际访问情况，以数据图的形式展示敏感数据量访问趋势、访问热度，可筛选查询数据分布统计，如：敏感数据数量最多的库表、某一时段访问量最多的敏感表、访问次数最多的敏感表、敏感数据访问量最多的数据类型等；

数据流动分析展示，统计敏感数据访问量、请求总量、访问用户数和应用数等信息，展现敏感数据的流向，包括源数据库、目的数据库、流动路径，绘制敏感数据流向地图，直观展现数据的真实流转情况，分模块展示敏感数据访问量最多的应用、某一时段敏感数据访问量最多的用户id；

用户行为分析展示，统计用户的基础信息，访问目标、访问频次、活跃时间、访问数据总量、使用的源ip、重要操作；

展示用户的敏感数据访问情况，重点对超频次访问、批量访问下载、绕行访问、非工作时间访问等涉嫌违规行为进行告警；

风险预警，根据用户访问行为，结合外部威胁情报，对各数据库的风险值进行动态预测，对用户高风险操作进行预警，规避数据安全风险；

根据整体态势结果，对已经存在安全较突出或可能会出现高危风险的业务系统、数据库等进行专项整治，根据过程数据可调整和优化整治策略，实现对整治过程监控。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。