一种审计规则匹配方法与数据库审计系统与流程

本发明属于信息安全，尤其是涉及一种对网络访问进行审计规则匹配的方法以及应用该方法的数据库审计系统。

背景技术：

1、数据库审计是一种以数据库协议、网络安全协议的审计与防护为主，提供包含事前、事中和事后安全防护的网络技术。具体而言，事前通过数据库扫描，对数据库进行配置核查和弱口令检测；事中对数据库传输协议进行深度解析，对数据库的各种操作进行实时细粒度访问控制、风险行为识别和告警；事后进行数据取证、事故追踪溯源和合规报告。

2、其中，对数据库操作实现风险行为识别，实质上是对包含数据库操作的数据报文进行解析，进一步根据预设的审计规则对具体涉及的特征字段特别是sql请求和响应进行审计以判断是否包含可疑行为，而审计规则与特征字段进行匹配的处理效率，直接决定风险识别是否及时准确，从而影响数据库审计的有效性。因此对不同类型的审计规则进行优先级的合理调整，以及采用合适的规则匹配算法对于实现数据库安全防护具有重要作用。

技术实现思路

1、鉴于上述背景，本发明旨在提供一种提高审计规则匹配效率的方法以及应用该匹配方法的数据库审计系统。具体技术方案如下所述：

2、一方面，提出一种审计规则匹配方法，包括以下步骤：

3、根据数据报文五元组信息，判断当前是否已存在该会话，若会话已存在则进入下一步，若会话不存在则新建会话并进入下一步；

4、若会话标记命中黑名单则发送阻断报文，并继续处理下一个报文；若会话标记未命中黑名单则判断是否命中第一过滤规则，若命中则转发报文，否则进入下一步；若会话无标记则直接进入下一步；

5、将报文依字节偏移到传输层，若报文信息匹配到黑名单规则则为该会话添加标记，否则将报文信息与第一过滤规则进行匹配，若匹配成功则转发报文；若和黑名单规则与第一过滤规则都匹配失败则将报文进行排序重组，进入下一步；

6、进行应用层解析并与审计规则进行匹配，若匹配成功则执行预设的响应动作。

7、较佳的，上述的审计规则匹配，包括调用各sql协议解析插件，解析数据包中的sql信息，经公共插件sql语法解析和模版化后，再进行规则匹配。

8、进一步的，上述审计规则包括第二过滤规则与安全规则，其中，过滤规则又包括信任子规则，上述的安全规则又包括白名单子规则；

9、并且，不同类型的审计规则具有不同优先级，规则匹配时按第二过滤规则、信任子规则、安全规则、白名单子规则的优先级从高到低顺序依次进行；

10、以及，不同类型的规则匹配成功时具有不同的响应动作，包括：第二过滤规则匹配成功，不记录日志、不告警；信任规则匹配成功，记录日志、不告警；安全规则匹配成功且白名单规则匹配成功，或安全规则匹配失败，记录日志、不告警；安全规则匹配成功且白名单规则匹配失败，记录日志、告警。

11、较佳的，上述的第二过滤规则包括对符合条件的可信任操作予以过滤，不进行审计；上述的条件包括符合特定ip发起、特定sql模版、特定服务端的sql请求或响应结果。

12、上述的安全规则包括规则库内置规则与自定义规则。

13、较佳的，存储会话信息的哈希表为每个会话设置标记位，用于标记是否与黑名单和/或第一过滤规则匹配成功。

14、上述的审计规则匹配，通过rete算法实现。

15、另一方面，提出一种数据库审计系统，包括：

16、sql解析模块，用于sql语句的解析与字段获取；

17、规则库模块，用于维护审计规则数据；

18、规则匹配模块，用于判断sql信息是否命中审计规则，上述的审计规则包括第二过滤规则与安全规则，其中，过滤规则又包括信任子规则，上述的安全规则又包括白名单子规则；

19、告警模块，用于根据规则匹配结果执行是否告警。

20、该审计系统实现规则匹配的过程，包括：根据数据报文五元组信息，判断当前是否已存在该会话，若会话已存在则进入下一步，若会话不存在则新建会话并进入下一步；

21、若会话标记命中黑名单则发送阻断报文，并继续处理下一个报文；若会话标记未命中黑名单则判断是否命中第一过滤规则，若命中则转发报文，否则进入下一步；若会话无标记则直接进入下一步；

22、将报文依字节偏移到传输层，若报文信息匹配到黑名单规则则为该会话添加标记，否则将报文信息与第一过滤规则进行匹配，若匹配成功则转发报文；若和黑名单规则与第一过滤规则都匹配失败则将报文进行排序重组，进入下一步；

23、进行应用层解析并与审计规则进行匹配，若匹配成功则执行预设的响应动作。

24、采用以上技术方案的本发明的审计规则匹配方法及数据库审计系统实施例，至少具有以下有益效果：抓包后先根据五元组信息进行会话是否被标记的查询，对于已标记的会话则不需重复进行解析审计，节省设备资源。增加规则的层级关系，即为不同类型的审计规则配置不同的匹配优先级，既能实现策略配置易操作性，也能更加精细的控制各类权限。选用rete匹配算法实现不同优先级规则的匹配，能提高规则匹配效率。

技术特征：

1.一种审计规则匹配方法，其特征在于，包括：

2.根据权利要求1所述的规则匹配方法，其特征在于，所述审计规则匹配，包括调用各sql协议解析插件，解析数据包中的sql信息，经公共插件sql语法解析和模版化后，再进行规则匹配。

3.根据权利要求1所述的规则匹配方法，其特征在于，所述审计规则包括第二过滤规则与安全规则，其中，过滤规则又包括信任子规则，所述安全规则又包括白名单子规则；

4.根据权利要求3所述的规则匹配方法，其特征在于，不同类型的规则匹配成功时具有不同的响应动作，包括：第二过滤规则匹配成功，不记录日志、不告警；信任规则匹配成功，记录日志、不告警；安全规则匹配成功且白名单规则匹配成功，或安全规则匹配失败，记录日志、不告警；安全规则匹配成功且白名单规则匹配失败，记录日志、告警。

5.根据权利要求4所述的规则匹配方法，其特征在于，所述第二过滤规则包括对符合条件的可信任操作予以过滤，不进行审计；所述条件包括符合特定ip发起、特定sql模版、特定服务端的sql请求或响应结果。

6.根据权利要求4所述的规则匹配方法，其特征在于，所述安全规则包括规则库内置规则与自定义规则。

7.根据权利要求1所述的规则匹配方法，其特征在于，存储会话信息的哈希表为每个会话设置标记位，用于标记是否与黑名单和/或第一过滤规则匹配成功。

8.根据权利要求1所述的规则匹配方法，其特征在于，所述审计规则匹配，通过rete算法实现。

9.一种数据库审计系统，其特征在于，包括：

10.根据权利要求7所述的审计系统，其特征在于，该审计系统实现规则匹配的过程，包括：根据数据报文五元组信息，判断当前是否已存在该会话，若会话已存在则进入下一步，若会话不存在则新建会话并进入下一步；

技术总结
本发明公开一种审计规则匹配方法及数据库审计系统，抓包后先根据五元组信息进行会话是否被标记的查询，对于已标记的会话则不需重复进行解析审计，节省设备资源。增加规则的层级关系，即为不同类型的审计规则配置不同的匹配优先级，既能实现策略配置易操作性，也能更加精细的控制各类权限。选用rete匹配算法实现不同优先级规则的匹配，能提高规则匹配效率。

技术研发人员：何建锋,龚建国
受保护的技术使用者：西安交大捷普网络科技有限公司
技术研发日：
技术公布日：2024/3/11