一种基于人员行为基线分析和告警异常行为的方法与流程

1.本发明属于数据库安全审计管理技术领域，具体涉及一种基于人员行为基线分析和告警异常行为的方法。


背景技术：

2.对于大型电力公司来说，用于供应链管理、项目管理、财务管理、人力资源管理、客户服务管理等各种工作场景的应用系统越来越多，这些都属于企业的数字化、网络化建设的内容，对提升工作效率、改进管理模式有很大促进作用。
3.数据库是各种应用系统的重要组成部分，数据库是用于存放数据的仓库，对应用系统的安全管理，必然涉及到对数据库的安全管理。随着电力集团各单位的办公朝着电子化、信息化方向发展，集团对数据库的使用越来越多，由此，对数据库的管理要求越来越广泛和多样化。对于存储有电力企业的员工信息、生产信息、技术资料的数据库，数据库的安全性特别重要。
4.现有技术中，公开号为cn108763957a的中国专利文献记载了一种数据库的安全审计系统、方法及服务器，该安全审计系统包括数据库模块、审计数据收集模块、审计数据存储模块、审计数据分析模块和可视化模块，数据库模块对数据库中的数据进行处理；审计数据收集模块收集数据库模块的操作日志；审计数据存储模块存储审计日志数据，通过引入改进后的存储引擎来保证对审计数据的高效和安全处理；审计数据分析模块对审计日志数据进行分析处理。该数据库的安全审计系统具有以下不足：一是不清楚操作日志中采集了哪些数据；二是不清楚采集哪些操作人员的操作数据，没有对数据库操作人员进行分级；三是在告警判断中，没有可参考的数据，需要人为判读，审计工作量大。


技术实现要素：

5.本发明的目的在于提供一种基于人员行为基线分析和告警异常行为的方法，解决现有技术中对数据库的安全审计标准缺乏参考、安全审计对象不够全面、审计工作量大的技术问题。
6.为解决上述技术问题，本发明采用以下技术方案：
7.提供一种基于人员行为基线分析和告警异常行为的方法，该方法用于数据库安全管理，包括以下步骤：
8.(1)人员行为采集：基于特定的数据库操作对象，采集操作人员的操作行为；
9.(2)人员行为判断：分析所述步骤(1)中采集的同一类型的操作对象的操作行为，建立相应的基线样本；
10.(3)人员行为记录：基于特定的数据库操作对象，记录操作人员的操作行为；
11.(4)异常行为告警：
12.(4.1)分析所述步骤(3)中记录的设定类型的操作对象的操作行为，通过所述步骤(2)建立的相应的基线样本进行对比，如果记录的某操作行为超出相应基线样本的预警范
围，则对相应的操作人员标记上风险符号；
13.(4.2)在某个监控期间，对标记有风险符号的操作人员进行分析，若某操作人员的风险符号超过风险预警阈值，则对数据库进行预警管理，或者对相应的操作人员进行预警管理。
14.优选的，所述步骤(1)中，所述特定的数据库操作对象包括企业外部人员和企业内部人员，其中，所述企业外部人员包括数据库运维人员、企业离职人员和企业外部访问人员，所述企业内部人员包括数据库管理人员和企业内部访问人员。
15.优选的，在所述步骤(2)中，所采集的操作行为包括对数据库的访问目的、每次访问时长、访问权限和访问日期。
16.优选的，对于所述访问目的这一操作行为，采用基于密度的方式建立基线样本，对于密度较大的访问区域，判断为正常访问，出现在密度低的访问区域，判断为异常访问，需要进行重点监控；
17.对于所述每次访问时长这一操作行为，采用均值统计算法建立基线样本，基于标准化的日志对访问时长进行统计，计算出相应的访问时长的均值；
18.对于所述访问权限这一操作行为，采用基于密度的方式建立基线样本，对于密度较大的访问权限，判断为正常访问，出现在密度低的访问权限，判断为异常访问，需要进行重点监控；
19.对于所述访问日期这一操作行为，采用基于同时间长度的方式建立基线样本，以同时间长度和跨度的时间段，对个人的访问日期进行统计，对于出现高密度访问日期的人员，判断为异常访问，需要进行重点监控。
20.优选的，所述风险符号包括多个风险级别的风险符号。
21.优选的，所述风险符号具体包括低风险符号、中风险符号和高风险符号，所述高风险符号的风险评估值为所述中风险符号的2倍，所述中风险符号的风险评估值为所述低风险符号的2倍。
22.优选的，每个监控期间的风险符号所对应的操作行为进行更新，并将上一个监控期间内记录的设定类型的操作对象的操作行为，用于建立下一个监控期间中相应的基线样本。
23.优选的，对于标记有风险符号的人员，后期再登录数据库时采用更加严格的身份认证方式，判断其是否为合法用户，并采用更加严格的授权限制，以确定授权其能够使用哪些服务。
24.与现有技术相比，本发明至少具有如下有益的技术效果：
25.本发明提供的基于人员行为基线分析和告警异常行为的方法通过采集操作人员的操作行为，建立相应的基线样本用于作为参考，后期通过基线样本对相应操作人员的操作行为进行告警判断，使得数据库的安全审计有参考标准；并对操作人员进行多种类的细划，使得建立的基线样本可参考性更好、更全面；另外，由于建立了基线样本，使得审计工作可自动判别，降低审计工作量，有利于整个电力集团。
附图说明
26.图1为本发明基于人员行为基线分析和告警异常行为的方法一实施例的流程图。
27.图2为本发明基于人员行为基线分析和告警异常行为的方法一实施例中数据库操作对象的组成框图。
具体实施方式
28.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
29.请参阅图1和图2，本发明提供的一种基于人员行为基线分析和告警异常行为的方法，具体包括以下步骤：
30.步骤s100、人员行为采集：基于特定的数据库操作对象，采集操作人员的操作行为。
31.在步骤s100中，如图2所示，特定的数据库操作对象包括企业外部人员和企业内部人员，其中，企业外部人员包括数据库运维人员、企业离职人员、企业外部访问人员，企业内部人员包括数据库管理人员、企业内部访问人员。
32.数据库运维人员是负责帮助企业搭建、测试及后期维护数据库，数据库运维人员可以在维护过程中，对数据库的架构、运行方式进行改动，但是不应当具有访问企业数据库中存储的数据的权限；企业离职人员属于外部人员，其对应的访问权限也应当修改为外部人员的权限，而不再是内部人员的权限，员工离职后，在企业管理系统中打上标签，企业管理系统关联到数据库；企业外部访问人员的权限是访问数据库的开放部分；企业内部人员包括数据库管理人员、企业内部访问人员，数据库管理人员对数据库中的数据进行管理，并可管理各人员对数据库的访问权限，企业内部访问人员通过专门的客户端登录账户，来访问数据库中供内部人员访问的区域。
33.在步骤s100中，所采集的操作行为包括对数据库的访问目的、每次访问时长、访问权限、访问日期。
34.其中，对于访问目的这一操作行为，采用基于密度的方式建立基线样本，对于密度较大的访问区域，判断为正常访问，出现在密度低的访问区域，判断为异常访问，需要进行重点监控；
35.对于每次访问时长这一操作行为，采用均值统计算法建立基线样本，基于标准化的日志对访问时长进行统计，计算出相应的访问时长的均值；
36.对于访问权限这一操作行为，采用基于密度的方式建立基线样本，对于密度较大的访问权限，判断为正常访问，出现在密度低的访问权限，判断为异常访问，需要进行重点监控；
37.对于访问日期这一操作行为，采用基于同时间长度的方式建立基线样本，以同时间长度和跨度的时间段，对个人的访问日期进行统计，对于出现高密度访问日期的人员，判断为异常访问，需要进行重点监控。
38.数据库运维人员、企业离职人员、企业外部访问人员、数据库管理人员、企业内部访问人员各自的访问访问目的、访问权限；另外，一般情况下，各人员大概率会在工作日访问数据库；各人员每次访问数据库的时长可作为行为告警的参考因素。
39.步骤s200、人员行为判断：分析步骤s100中采集的同一类型的操作对象的操作行为，建立相应的基线样本。
40.本步骤中，对于数据库运维人员、企业离职人员、企业外部访问人员、数据库管理人员、企业内部访问人员，各类人员在一个监控期间的访问目的、访问权限的基线样本是明确的；各类人员每次访问时长的平均值作为访问时长的基线样本；一个监控期间内，各类人员在哪一天访问数据库，作为访问日期的基线样本。
41.步骤s300、人员行为记录：基于特定的数据库操作对象，记录操作人员的操作行为。
42.本步骤中，在一个监控期间内，记录数据库运维人员、企业离职人员、企业外部访问人员、数据库管理人员、企业内部访问人员各自的操作行为，用于与相应的基线样本进行比对。
43.步骤s400、异常行为告警。
44.具体包括：
45.步骤s410、分析步骤s300中记录的设定类型的操作对象的操作行为，通过步骤s200建立的相应的基线样本进行对比，如果记录的某操作行为超出相应基线样本的预警范围，则对相应的操作人员标记上风险符号。
46.在本步骤s410中，风险符号包括多个风险级别的风险符号，具体包括低风险符号、中风险符号、高风险符号，高风险符号的风险评估值为中风险符号的2倍，中风险符号的风险评估值为低风险符号的2倍。
47.步骤s420、在某个监控期间，对标记有风险符号的操作人员进行分析，若某操作人员的风险符号超过风险预警阈值，则对数据库进行预警管理，或者对相应的操作人员进行预警管理。
48.比如，对于数据库运维人员、企业离职人员、企业外部访问人员、数据库管理人员、企业内部访问人员，各类人员各自的访问访问目的、访问权限不同，若发现数据库运维人员、企业离职人员、企业外部访问人员的操作行为能够访问数据库中仅限于内部人员访问的区域，则相关人员标记上高风险符号，且高风险符号的风险评估值超过风险预警阈值，数据库立即对相关人员的账号进行预警管理，后续，通过数据库管理人员来修改相关人员的访问权限。
49.如果各类人员各自的每次访问时长如果明显高于相应的基线样本，则对该人员标记中风险符号，当标记上2次中风险符号，则数据库立即对相关人员的账号进行预警管理，后续通过数据库管理人员来修改相关人员的访问权限或查明访问原因。
50.如果各类人员各自的每次访问日期如果明显偏离相应的基线样本，比如，基线样本中显示大部分相关人员在工作日访问，而某人员却在休息日访问，则对该人员标记低风险符号，当标记上4次低风险符号，则数据库立即对相关人员的账号进行预警管理，后续通过数据库管理人员来修改相关人员的访问权限或查明访问原因。
51.进一步的，数据库对每个监控期间的风险符号所对应的操作行为进行更新，并将上一个监控期间内记录的设定类型的操作对象的操作行为，用于建立下一个监控期间中相应的基线样本，使得基线样本更加具有参考性。
52.该基于人员行为基线分析和告警异常行为的方法可作为数据库的审计模块嵌入
数据库中。
53.对于有过告警记录的人员，后期再登录数据库时采用更加严格的身份认证方式，判断其是否为合法用户，并采用更加严格的授权限制，以确定授权其可以使用哪些服务。
54.此外，本发明中的认证是对用户的身份进行验证，判断其是否为合法用户。授权是对通过认证的用户，授权其可以使用哪些服务。
55.需要说明的是，在本文中，诸如术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。
56.尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解，在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。