專利名稱:數(shù)據(jù)庫(kù)用戶行為監(jiān)控系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及管理數(shù)據(jù)庫(kù)系統(tǒng)���。具體地�����,本發(fā)明涉及用于監(jiān)控?cái)?shù)據(jù)庫(kù)系統(tǒng)的方法和裝置�。
背景技術(shù):
在聯(lián)網(wǎng)的系統(tǒng)中保護(hù)數(shù)據(jù)是非常重要的�。能夠威脅有價(jià)值數(shù)據(jù)安全的情況類型很多,并隨著網(wǎng)絡(luò)系統(tǒng)的發(fā)展而增加��。當(dāng)發(fā)生安全性破壞時(shí)���,能夠檢測(cè)到它們是很重要的����。否則���,往后數(shù)據(jù)易受到相似類型事件的攻擊是常有的事����。
為了保護(hù)有價(jià)值數(shù)據(jù)���,網(wǎng)絡(luò)管理器所面臨的問(wèn)題類型包括例如,黑客攻擊、未授權(quán)使用��、內(nèi)部欺詐或錯(cuò)用���、和智力信息竊取�。
對(duì)于網(wǎng)絡(luò)系統(tǒng)所遇到的一些普通問(wèn)題�,已經(jīng)開(kāi)發(fā)了不同的方法。例如����,防火墻和虛擬專用網(wǎng)絡(luò)保護(hù)聯(lián)網(wǎng)系統(tǒng)免于外部站點(diǎn)未經(jīng)授權(quán)的訪問(wèn)。通過(guò)使用密碼或指定特權(quán)�,訪問(wèn)控制提供一定等級(jí)的保護(hù)。然而���,因?yàn)槊艽a可能被竊取����,所以防火墻和虛擬專用網(wǎng)絡(luò)不能防止內(nèi)賊竊取數(shù)據(jù)�;特權(quán)難以被管理,用戶可以經(jīng)常訪問(wèn)他們工作范圍之外的數(shù)據(jù)��,并且安全性可以很容易地被破壞�����。
本部分中所描述的方法是可執(zhí)行的方法,但不必是已被先前構(gòu)思或執(zhí)行的方法���。因此����,除非另有說(shuō)明��,在本部分中描述的任何方法不能僅因?yàn)榘诖瞬糠种?���,就認(rèn)為是現(xiàn)有技術(shù)。
發(fā)明內(nèi)容
本發(fā)明的實(shí)施例提供了一種用于監(jiān)控異?���;顒?dòng)的數(shù)據(jù)庫(kù)系統(tǒng)的技術(shù)?�?勺詣?dòng)收集并分析關(guān)于正在被監(jiān)控的主題數(shù)據(jù)庫(kù)的用戶行為信息���,并將其與統(tǒng)計(jì)得到的標(biāo)準(zhǔn)和/或一個(gè)或多個(gè)策略進(jìn)行比較���,以檢測(cè)異常活動(dòng)����。實(shí)施例從各種源(包括與數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)管理系統(tǒng)協(xié)作的稽核記錄和動(dòng)態(tài)視圖)收集關(guān)于主題數(shù)據(jù)庫(kù)的用戶行為信息。實(shí)施例使用一個(gè)或多個(gè)基于統(tǒng)計(jì)的侵入竊密檢測(cè)(SBID)和基于規(guī)則的侵入竊密檢測(cè)(RBID)�,以檢測(cè)異常的數(shù)據(jù)庫(kù)活動(dòng)。在基于統(tǒng)計(jì)的侵入竊密檢測(cè)中�,使用統(tǒng)計(jì)輪廓(statistical profiling)分析所收集到的信息,以確定標(biāo)準(zhǔn)使用輪廓�����。在基于規(guī)則的侵入竊密檢測(cè)中���,將所收集到的數(shù)據(jù)與明確安全規(guī)則(explicit security rule)比較���。如果檢測(cè)出與標(biāo)準(zhǔn)使用模式偏離的可疑數(shù)據(jù)庫(kù)的訪問(wèn),則執(zhí)行目標(biāo)操作����,例如,向負(fù)責(zé)安全的人員報(bào)警�、生成報(bào)告、電子郵件警報(bào)等�����。
在一個(gè)實(shí)施例中,提供一種機(jī)制��,以從關(guān)于數(shù)據(jù)庫(kù)活動(dòng)的歷史信息中確定標(biāo)準(zhǔn)使用模式�。以統(tǒng)計(jì)有效方式與標(biāo)準(zhǔn)使用模式偏離的數(shù)據(jù)庫(kù)訪問(wèn)將被檢測(cè)并報(bào)警。使用模式的實(shí)例包括一天中每小時(shí)的數(shù)據(jù)庫(kù)訪問(wèn)頻率���。
在一個(gè)實(shí)施例中�,提供一種機(jī)制����,以使用戶能夠指定明確安全規(guī)則。違反規(guī)則的數(shù)據(jù)庫(kù)訪問(wèn)將被檢測(cè)并報(bào)警����。安全規(guī)則的一些實(shí)例包括可疑OS用戶或位置。
在一個(gè)實(shí)施例中�,使用由控制主題數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)管理系統(tǒng)提供的設(shè)備收集數(shù)據(jù)庫(kù)訪問(wèn)信息。例如���,數(shù)據(jù)庫(kù)管理系統(tǒng)可提供包括關(guān)于數(shù)據(jù)庫(kù)訪問(wèn)的信息的稽核記錄��。數(shù)據(jù)庫(kù)管理系統(tǒng)還提供動(dòng)態(tài)性能視圖���,其提供有關(guān)當(dāng)前數(shù)據(jù)庫(kù)使用的信息��,諸如當(dāng)前用戶會(huì)話和資源利用。該信息可與從稽核記錄獲得的信息結(jié)合使用�����。
實(shí)施例能夠以一級(jí)或多級(jí)監(jiān)控�����,包括數(shù)據(jù)庫(kù)對(duì)象等級(jí)監(jiān)控��、數(shù)據(jù)庫(kù)用戶等級(jí)監(jiān)控�����、和數(shù)據(jù)庫(kù)會(huì)話等級(jí)監(jiān)控��。數(shù)據(jù)庫(kù)對(duì)象等級(jí)監(jiān)控旨在特定數(shù)據(jù)庫(kù)對(duì)象�。數(shù)據(jù)庫(kù)用戶等級(jí)監(jiān)控旨在數(shù)據(jù)庫(kù)用戶。數(shù)據(jù)庫(kù)會(huì)話等級(jí)監(jiān)控旨在數(shù)據(jù)庫(kù)注冊(cè)會(huì)話�。實(shí)施例可基于各種侵入竊密檢測(cè)方法來(lái)支持每個(gè)監(jiān)控等級(jí)的各種安全策略。
通過(guò)附圖中的實(shí)例來(lái)描述本發(fā)明,但是本發(fā)明不局限于此�,在附圖中相同的參考標(biāo)號(hào)表示相似的元件,其中圖1是示出了網(wǎng)絡(luò)計(jì)算系統(tǒng)的高度概括的框圖�����,其中����,在一個(gè)實(shí)施例中可實(shí)施用于監(jiān)控?cái)?shù)據(jù)庫(kù)的技術(shù);圖2是示出了在一個(gè)實(shí)施例中在實(shí)例數(shù)據(jù)庫(kù)稽核引擎中的處理的高度概括的框圖����;圖3A至圖3E是示出了在一個(gè)實(shí)施例中的數(shù)據(jù)收集、分析��、和異常檢測(cè)處理的高度概括的流程框圖����;圖4是示出了在一個(gè)實(shí)施例中的對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的概率分布的實(shí)例的視圖;圖5是示出了在一個(gè)實(shí)施例中的數(shù)據(jù)庫(kù)監(jiān)控系統(tǒng)的高度概括的框圖�;圖6A至圖6M是示出了在一個(gè)實(shí)施例中配置監(jiān)控操作的實(shí)例的屏幕抓圖(shot);以及圖7是示出了可用于實(shí)現(xiàn)實(shí)施例的一個(gè)或多個(gè)部分的示例性計(jì)算機(jī)系統(tǒng)的硬件框圖��。
具體實(shí)施例方式
概述描述用于監(jiān)控?cái)?shù)據(jù)庫(kù)的方法和裝置����。在下面的描述中��,為了解釋的目的�,闡述了多個(gè)特定細(xì)節(jié)�����,以提供對(duì)本發(fā)明的徹底了解��。然而����,很顯然�,在沒(méi)有這些特定細(xì)節(jié)的情況下也可以實(shí)現(xiàn)本發(fā)明。在其它實(shí)例中�,為了避免不必要地混淆本發(fā)明,以框圖形式示出已知的結(jié)構(gòu)和設(shè)備���。
參照?qǐng)D3A�����,示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于監(jiān)控?cái)?shù)據(jù)庫(kù)的方法�。在圖3A中示出的方法包括收集表示一個(gè)或多個(gè)用戶怎樣使用數(shù)據(jù)庫(kù)的用戶行為數(shù)據(jù)(塊310)。所示的方法還包括處理數(shù)據(jù)并將其存儲(chǔ)為歷史數(shù)據(jù)(塊320)���。分析歷史數(shù)據(jù)以確定行為模式(塊330)也是所示方法的一部分�����。所示方法還包括接收一組表示一個(gè)或多個(gè)用戶怎樣使用數(shù)據(jù)庫(kù)的新數(shù)據(jù)(塊340)���。所示方法還包括執(zhí)行新數(shù)據(jù)組和行為模式之間的比較(塊350)?�;诒容^確定新數(shù)據(jù)組是否滿足一組標(biāo)準(zhǔn)(塊360)也是所示方法的一部分�����。所示方法還包括如果新數(shù)據(jù)組滿足該組標(biāo)準(zhǔn)����,則確定新數(shù)據(jù)組表示異常活動(dòng)(塊370)�����。通過(guò)執(zhí)行目標(biāo)操作來(lái)響應(yīng)該確定(塊380)也可以包括在所示方法中����。
在一個(gè)實(shí)施例中�,收集用戶行為數(shù)據(jù)還包括從數(shù)據(jù)庫(kù)管理器的稽核記錄中讀取信息���。在一個(gè)實(shí)施例中��,收集用戶行為數(shù)據(jù)還包括以監(jiān)控等級(jí)收集從(1)關(guān)于一個(gè)或多個(gè)選取的數(shù)據(jù)庫(kù)對(duì)象的數(shù)據(jù)庫(kù)訪問(wèn)的信息���,(2)關(guān)于一個(gè)或多個(gè)選取的數(shù)據(jù)庫(kù)用戶的數(shù)據(jù)庫(kù)訪問(wèn)的信息以及(3)關(guān)于一個(gè)或多個(gè)選取的數(shù)據(jù)庫(kù)用戶會(huì)話的數(shù)據(jù)庫(kù)訪問(wèn)的信息中選取的信息。在一個(gè)實(shí)施例中�����,收集用戶行為數(shù)據(jù)還包括接收將被監(jiān)控的信息類型�����,從信息類型中確定監(jiān)控等級(jí)����,以及基于確定的監(jiān)控等級(jí)激活數(shù)據(jù)庫(kù)管理器的稽核選項(xiàng)���。
在一個(gè)實(shí)施例中�,分析歷史數(shù)據(jù)以確定行為模式還包括從歷史數(shù)據(jù)中確定統(tǒng)計(jì)模型。在一個(gè)實(shí)施例中���,從歷史數(shù)據(jù)確定統(tǒng)計(jì)模型還包括由歷史數(shù)據(jù)確定數(shù)據(jù)庫(kù)訪問(wèn)頻率��,確定數(shù)據(jù)庫(kù)訪問(wèn)頻率的概率函數(shù)以及由概率函數(shù)確定累計(jì)概率函數(shù)��。在一個(gè)實(shí)施例中����,概率函數(shù)可以是泊松概率分布或正態(tài)概率分布等�����。
在一個(gè)實(shí)施例中�,執(zhí)行新數(shù)據(jù)組與行為模式的比較還包括使用新數(shù)據(jù)組對(duì)照統(tǒng)計(jì)模型來(lái)驗(yàn)證假設(shè)。在一個(gè)實(shí)施例中���,使用新數(shù)據(jù)組對(duì)照統(tǒng)計(jì)模型來(lái)驗(yàn)證假設(shè)還包括確定新數(shù)據(jù)組的數(shù)據(jù)庫(kù)訪問(wèn)頻率以及由防護(hù)標(biāo)準(zhǔn)和概率函數(shù)參數(shù)確定閾值���。在一個(gè)實(shí)施例中,使用新數(shù)據(jù)組對(duì)照統(tǒng)計(jì)模型來(lái)驗(yàn)證假設(shè)還包括將新數(shù)據(jù)組的數(shù)據(jù)庫(kù)訪問(wèn)頻率與閾值進(jìn)行比較�����。
歷史信息可包括關(guān)于一個(gè)或多個(gè)選取的數(shù)據(jù)庫(kù)對(duì)象的數(shù)據(jù)庫(kù)訪問(wèn)的信息。在各個(gè)實(shí)施例中���,由歷史數(shù)據(jù)確定數(shù)據(jù)庫(kù)訪問(wèn)頻率包括以下一個(gè)或多個(gè)以一天中每小時(shí)計(jì)算對(duì)象訪問(wèn)頻率�����、以一天中每小時(shí)和操作系統(tǒng)用戶計(jì)算對(duì)象訪問(wèn)頻率�����、以一天中每小時(shí)和數(shù)據(jù)庫(kù)用戶計(jì)算對(duì)象訪問(wèn)頻率�����、以一天中每小時(shí)和位置計(jì)算對(duì)象訪問(wèn)頻率�、以及以一天中每小時(shí)或操作系統(tǒng)用戶�、數(shù)據(jù)庫(kù)用戶和位置中至少兩個(gè)的組合計(jì)算對(duì)象訪問(wèn)頻率���。
歷史信息可包括關(guān)于一個(gè)或多個(gè)選取的數(shù)據(jù)庫(kù)用戶的數(shù)據(jù)庫(kù)訪問(wèn)的信息���。在各個(gè)實(shí)施例中,由歷史數(shù)據(jù)確定數(shù)據(jù)訪問(wèn)頻率包括以下一個(gè)或多個(gè)以一天中每小時(shí)計(jì)算用戶訪問(wèn)頻率����、以一天中每小時(shí)和操作系統(tǒng)用戶計(jì)算用戶訪問(wèn)頻率���、以一天中每小時(shí)和數(shù)據(jù)庫(kù)用戶計(jì)算用戶訪問(wèn)頻率、以一天中每小時(shí)和位置計(jì)算用戶訪問(wèn)頻率����、以一天中每小時(shí)或操作系統(tǒng)用戶、數(shù)據(jù)庫(kù)用戶和位置中至少兩個(gè)的組合計(jì)算用戶訪問(wèn)頻率�����。
歷史信息可包括關(guān)于一個(gè)或多個(gè)選取的數(shù)據(jù)庫(kù)用戶會(huì)話的數(shù)據(jù)庫(kù)訪問(wèn)的信息���。在各個(gè)實(shí)施例中�,由歷史數(shù)據(jù)確定數(shù)據(jù)庫(kù)訪問(wèn)頻率包括以下一個(gè)或多個(gè)確定每個(gè)會(huì)話中的頁(yè)讀取量��、每個(gè)會(huì)話期間的訪問(wèn)持續(xù)時(shí)間���、或每單位時(shí)間內(nèi)的頁(yè)讀取量中的一個(gè)或多個(gè)的頻率�����。
在各個(gè)實(shí)施例中��,執(zhí)行目標(biāo)操作包括引發(fā)報(bào)警��、發(fā)送電子郵件�、生成報(bào)告、以及執(zhí)行可視化中的一個(gè)或多個(gè)�����。
在一個(gè)實(shí)施例中�,執(zhí)行確定新數(shù)據(jù)組是否違反基于規(guī)則的策略。如果新數(shù)據(jù)組違反基于規(guī)則的策略�����,則確定新數(shù)據(jù)組��,以表示異?;顒?dòng)。在一個(gè)實(shí)施例中���,異常活動(dòng)包括可疑活動(dòng)��。
在其它方面�����,本發(fā)明的實(shí)施例包括用于實(shí)現(xiàn)上述過(guò)程的裝置和計(jì)算機(jī)可讀介質(zhì)。
術(shù)語(yǔ)“數(shù)據(jù)庫(kù)”包括用于根據(jù)結(jié)構(gòu)存儲(chǔ)數(shù)據(jù)的任意數(shù)據(jù)結(jié)構(gòu)���。數(shù)據(jù)庫(kù)包括關(guān)系數(shù)據(jù)庫(kù)��、對(duì)象數(shù)據(jù)庫(kù)����、層次數(shù)據(jù)庫(kù)�����、網(wǎng)絡(luò)數(shù)據(jù)庫(kù)����、和多維數(shù)據(jù)庫(kù)等。
“數(shù)據(jù)庫(kù)觸發(fā)器”是指響應(yīng)于包括數(shù)據(jù)庫(kù)對(duì)象的特定事件(例如��,無(wú)論何時(shí)選取或更改桌面或視圖)自動(dòng)調(diào)用的存儲(chǔ)的數(shù)據(jù)庫(kù)程序�。
“數(shù)據(jù)庫(kù)會(huì)話”是指通過(guò)用戶處理的用戶到數(shù)據(jù)庫(kù)的特定連接。會(huì)話從用戶連接的時(shí)間持續(xù)到用戶斷開(kāi)或退出數(shù)據(jù)庫(kù)應(yīng)用程序的時(shí)間��。
“JAVA數(shù)據(jù)庫(kù)連接(JDBC)API”為允許用戶訪問(wèn)JAVA編程語(yǔ)言的任意數(shù)據(jù)源的標(biāo)準(zhǔn)SQL數(shù)據(jù)庫(kù)訪問(wèn)接口。
“泊松分布”是當(dāng)事件之間的等待時(shí)間是指數(shù)分布時(shí)����,間隔的事件數(shù)量的概率分布。
“稽核記錄”是一系列計(jì)算機(jī)事件的記錄���。其由監(jiān)控系統(tǒng)活動(dòng)的稽核系統(tǒng)生成����。記錄可以以包括但不限于計(jì)算機(jī)文件或數(shù)據(jù)庫(kù)表的各種形式存儲(chǔ)���。
“特權(quán)”是指允許網(wǎng)絡(luò)或數(shù)據(jù)庫(kù)的用戶執(zhí)行的一組動(dòng)作或操作�?�?蛇x地���,特權(quán)可表示為授權(quán)或一組授權(quán)��。
系統(tǒng)描述圖1是示出了可在一個(gè)實(shí)施例中實(shí)施的用于監(jiān)控?cái)?shù)據(jù)庫(kù)的技術(shù)的網(wǎng)絡(luò)計(jì)算系統(tǒng)的高度概括的框圖����。根據(jù)圖1所示的一個(gè)實(shí)施例�����,數(shù)據(jù)庫(kù)稽核引擎110通過(guò)網(wǎng)絡(luò)106連接到包括數(shù)據(jù)庫(kù)服務(wù)器130和數(shù)據(jù)庫(kù)132的數(shù)據(jù)庫(kù)系統(tǒng)���,以提供由用戶和/或處理對(duì)數(shù)據(jù)庫(kù)132訪問(wèn)的監(jiān)控�。在一個(gè)實(shí)施例中���,網(wǎng)絡(luò)106通過(guò)防火墻124和路由器122連接到互聯(lián)網(wǎng)108��。防火墻124用于保護(hù)網(wǎng)絡(luò)106和相關(guān)部件免受通過(guò)網(wǎng)絡(luò)106發(fā)送的有害程序的影響���。路由器122管理并控制互聯(lián)網(wǎng)108和網(wǎng)絡(luò)106之間的網(wǎng)絡(luò)信息流通量。
數(shù)據(jù)庫(kù)服務(wù)器130維持?jǐn)?shù)據(jù)庫(kù)132中的數(shù)據(jù)����。數(shù)據(jù)庫(kù)132中的一些數(shù)據(jù)對(duì)于網(wǎng)絡(luò)106上的一個(gè)或多個(gè)用戶是很關(guān)鍵的。關(guān)鍵數(shù)據(jù)可包括例如但不限于稽核記錄����、用戶賬目信息、和雇員薪金信息���。在一些實(shí)施例中���,數(shù)據(jù)庫(kù)132可以是數(shù)據(jù)庫(kù)服務(wù)器130的組成部分�。管理員站144能夠使管理員執(zhí)行網(wǎng)絡(luò)106上的管理功能���。管理功能可包括監(jiān)控包括用戶活動(dòng)的網(wǎng)絡(luò)106的安全����。在一些實(shí)施例中��,其它元件和部件(圖1中未示出)可與網(wǎng)絡(luò)106連接����。
在一個(gè)實(shí)施例中,數(shù)據(jù)庫(kù)稽核引擎110包括數(shù)據(jù)收集器112����、數(shù)據(jù)分析器114、和異常檢測(cè)器116��。數(shù)據(jù)收集器112用于讀取關(guān)于用戶行為的數(shù)據(jù)�����,以及用于將該數(shù)據(jù)存儲(chǔ)為歷史數(shù)據(jù)�,其中�,用戶行為涉及以指定的間隔或根據(jù)指定條件(例如�,人工指令)的發(fā)生從數(shù)據(jù)庫(kù)服務(wù)器130訪問(wèn)數(shù)據(jù)庫(kù)132。數(shù)據(jù)庫(kù)分析器114對(duì)由數(shù)據(jù)收集器112存儲(chǔ)的歷史數(shù)據(jù)執(zhí)行分析操作����,以確定涉及訪問(wèn)數(shù)據(jù)庫(kù)132的行為模式�。當(dāng)接收新數(shù)據(jù)時(shí),基于新數(shù)據(jù)與由歷史數(shù)據(jù)確定的行為模式的比較�,異常檢測(cè)器116確定新數(shù)據(jù)是否表示異常活動(dòng)��。一些實(shí)施例為數(shù)據(jù)庫(kù)稽核引擎110提供了收集���、分析�、以及信號(hào)報(bào)警的能力����,而不會(huì)對(duì)數(shù)據(jù)庫(kù)服務(wù)器130的性能造成引人注意的影響。下面將參照?qǐng)D3A至圖3E論述由數(shù)據(jù)收集器112�����、數(shù)據(jù)分析器114�����、和異常檢測(cè)器116執(zhí)行的處理實(shí)例的更詳細(xì)的描述。
圖2是示出了一個(gè)實(shí)施例中的實(shí)例數(shù)據(jù)庫(kù)稽核引擎處理的高度概括的框圖��。
在一個(gè)實(shí)施例中����,數(shù)據(jù)庫(kù)稽核引擎110在外部操作數(shù)據(jù)庫(kù)服務(wù)器130,以減小對(duì)數(shù)據(jù)庫(kù)服務(wù)器的干擾�。在一個(gè)實(shí)施例中,數(shù)據(jù)收集器112不必在例如數(shù)據(jù)庫(kù)服務(wù)器130上執(zhí)行代理程序就可以操作�。在這樣的實(shí)施例中,數(shù)據(jù)收集器112從由數(shù)據(jù)庫(kù)服務(wù)器130維持的稽核記錄84收集與用戶行為相關(guān)的信息���,和/或采用“只讀”訪問(wèn)數(shù)據(jù)庫(kù)132以收集數(shù)據(jù)����。在一個(gè)實(shí)施例中����,數(shù)據(jù)收集器112基于將被監(jiān)控的信息類型確定監(jiān)控等級(jí),并基于該監(jiān)控等級(jí)激活數(shù)據(jù)庫(kù)服務(wù)器130的稽核選項(xiàng)���。然后�,數(shù)據(jù)收集器112讀取由數(shù)據(jù)庫(kù)服務(wù)器130創(chuàng)建并維持的稽核記錄用于所配置的稽核選項(xiàng)。在一些實(shí)施例中��,數(shù)據(jù)收集器還獲得動(dòng)態(tài)性能視圖86�����,該視圖包括數(shù)據(jù)庫(kù)使用(例如�,用戶會(huì)話)和通過(guò)數(shù)據(jù)庫(kù)管理系統(tǒng)(DBMS)維持的資源利用的信息。數(shù)據(jù)收集器112存儲(chǔ)從稽核記錄84和動(dòng)態(tài)性能視圖86獲取的用戶行為數(shù)據(jù)作為歷史數(shù)據(jù)88���。下面將參照?qǐng)D3B論述用于收集用戶行為數(shù)據(jù)并將其存儲(chǔ)為歷史數(shù)據(jù)的處理實(shí)例的更加詳細(xì)的描述。
數(shù)據(jù)分析器114對(duì)由數(shù)據(jù)收集器112存儲(chǔ)的歷史數(shù)據(jù)88執(zhí)行一個(gè)或多個(gè)分析處理�����。在一個(gè)實(shí)施例中����,數(shù)據(jù)分析器114執(zhí)行一系列操作,包括分析歷史數(shù)據(jù)88以確定行為模式90����。在一個(gè)實(shí)施例中,數(shù)據(jù)分析器114由歷史數(shù)據(jù)88確定數(shù)據(jù)庫(kù)訪問(wèn)頻率����?�?梢砸詴r(shí)間為單位(例如�����,一天中的小時(shí)等)計(jì)算數(shù)據(jù)庫(kù)訪問(wèn)頻率��。接下來(lái)�����,數(shù)據(jù)分析器114確定數(shù)據(jù)庫(kù)訪問(wèn)頻率的概率函數(shù)����。下面將參照?qǐng)D3C論述用于分析歷史數(shù)據(jù)以確定行為模式的處理實(shí)例的更加詳細(xì)的描述���。
當(dāng)從數(shù)據(jù)庫(kù)服務(wù)器130接收一組新數(shù)據(jù)時(shí)��,異常檢測(cè)器116將該組新數(shù)據(jù)與由歷史數(shù)據(jù)確定的行為模式進(jìn)行比較���。異常檢測(cè)器116基于新數(shù)據(jù)與由歷史數(shù)據(jù)88確定的行為模式的比較來(lái)確定新數(shù)據(jù)是否表示異常活動(dòng)�����。在一個(gè)實(shí)施例中,異常檢測(cè)器116還將新數(shù)據(jù)與安全規(guī)則92進(jìn)行比較���,以執(zhí)行基于規(guī)則的侵入竊密檢測(cè)����。一個(gè)或多個(gè)分析操作可請(qǐng)求使用安全規(guī)則92或其它規(guī)則�����,以及由數(shù)據(jù)庫(kù)服務(wù)器130的管理員或操作者所指定的條件���。安全規(guī)則92提供能夠使異常檢測(cè)器116確定是否可能已經(jīng)發(fā)生違反安全性的機(jī)制。管理員站144能夠管理安全規(guī)則92��。一旦識(shí)別異常數(shù)據(jù)�����,異常檢測(cè)器116執(zhí)行目標(biāo)操作��。例如��,異常檢測(cè)器116可發(fā)送電子郵件報(bào)警96,以向管理員站114發(fā)送侵入信號(hào)����。異常檢測(cè)器116還可以或額外提供報(bào)告94或者創(chuàng)建可視化(visualization)98。
在一個(gè)實(shí)施例中��,數(shù)據(jù)庫(kù)稽核引擎110檢測(cè)在什么時(shí)候事件會(huì)對(duì)由數(shù)據(jù)庫(kù)服務(wù)器130維持的數(shù)據(jù)產(chǎn)生不利影響�。例如,數(shù)據(jù)庫(kù)稽核引擎110可檢測(cè)未知用戶的未授權(quán)訪問(wèn)和/或?qū)τ蓴?shù)據(jù)庫(kù)服務(wù)器維持的數(shù)據(jù)的操作�,該未知用戶通過(guò)互聯(lián)網(wǎng)108訪問(wèn)網(wǎng)絡(luò)106。數(shù)據(jù)庫(kù)稽核引擎110還可確定在什么時(shí)候網(wǎng)絡(luò)106的用戶會(huì)有意或無(wú)意地泄露由數(shù)據(jù)庫(kù)服務(wù)器130存儲(chǔ)的數(shù)據(jù)����。數(shù)據(jù)庫(kù)稽核引擎110可在惡意軟件影響由數(shù)據(jù)庫(kù)服務(wù)器130維持的數(shù)據(jù)時(shí)檢測(cè)通過(guò)網(wǎng)絡(luò)106的“惡意軟件”的存在。影響數(shù)據(jù)庫(kù)服務(wù)器130以及可由數(shù)據(jù)庫(kù)稽核引擎110檢測(cè)的事件的其它實(shí)例包括但不限于使用竊取的密碼的未授權(quán)訪問(wèn)�����、內(nèi)部欺詐����、誤用、或特權(quán)濫用���。內(nèi)部欺詐的實(shí)例是由銀行出納員復(fù)制有價(jià)值的客戶信息����。特權(quán)濫用的實(shí)例是由數(shù)據(jù)庫(kù)管理員(DBA)訪問(wèn)雇員薪金信息。
圖3A是示出了在一個(gè)實(shí)施例中的數(shù)據(jù)收集����、分析、和異常檢測(cè)處理的高度概括的流程圖�����。在塊310中�,從數(shù)據(jù)庫(kù)服務(wù)器收集包括用戶行為數(shù)據(jù)的數(shù)據(jù)組。在塊320中�����,將用戶行為數(shù)據(jù)存儲(chǔ)為歷史數(shù)據(jù)����。在塊330中���,分析歷史數(shù)據(jù)�,以確定行為模式。在塊340中�����,從數(shù)據(jù)庫(kù)服務(wù)器接收一組新數(shù)據(jù)��。在塊350中�����,將新數(shù)據(jù)組與行為模式進(jìn)行比較�。在塊360中,基于比較來(lái)確定新數(shù)據(jù)組是否滿足一組標(biāo)準(zhǔn)�。在塊370中,確定新數(shù)據(jù)是否表示異?���;顒?dòng)。在塊380中��,在由塊370檢測(cè)出異?;顒?dòng)的情況下,執(zhí)行目標(biāo)操作���。在各個(gè)實(shí)施例中���,目標(biāo)操作可包括發(fā)送電子郵件報(bào)警�����、生成報(bào)告�����、執(zhí)行可視化等中的一個(gè)或多個(gè)���。
本發(fā)明的實(shí)施例使用用于收集關(guān)于數(shù)據(jù)庫(kù)訪問(wèn)的信息并將信息作為歷史數(shù)據(jù)存儲(chǔ)在內(nèi)部數(shù)據(jù)庫(kù)中的各種技術(shù)中的一種或多種。從數(shù)據(jù)庫(kù)管理系統(tǒng)收集關(guān)于數(shù)據(jù)庫(kù)訪問(wèn)的信息的各種方法包括但不限于數(shù)據(jù)庫(kù)觸發(fā)�����、數(shù)據(jù)庫(kù)交易變動(dòng)記錄����、數(shù)據(jù)庫(kù)稽核設(shè)施、和數(shù)據(jù)庫(kù)動(dòng)態(tài)系統(tǒng)視圖��。
稽核設(shè)施可由各種商業(yè)數(shù)據(jù)庫(kù)管理系統(tǒng)提供�����?���;嗽O(shè)施可用于稽核各種事件?�;嗽O(shè)施生成包括數(shù)據(jù)庫(kù)訪問(wèn)信息的稽核記錄��。通常�,由稽核設(shè)施跟蹤的數(shù)據(jù)庫(kù)訪問(wèn)信息取決于數(shù)據(jù)庫(kù)管理系統(tǒng),然而�����,許多數(shù)據(jù)庫(kù)管理系統(tǒng)提供稽核信息(例如���,用戶名稱�����、對(duì)象名稱����、動(dòng)作��、終端、和時(shí)間戳(timestamp)等)的跟蹤��。
各種可商用的數(shù)據(jù)庫(kù)管理系統(tǒng)還提供動(dòng)態(tài)系統(tǒng)視圖�。動(dòng)態(tài)系統(tǒng)視圖提供當(dāng)前用戶會(huì)話和資源利用的信息。例如��,一個(gè)普通的數(shù)據(jù)庫(kù)管理系統(tǒng)提供幾個(gè)安全性相關(guān)的動(dòng)態(tài)性能視圖V_$SESSION列出用于每個(gè)當(dāng)前用戶會(huì)話的信息�����,V_$SESS_IO列出用于每個(gè)用戶會(huì)話的I/O統(tǒng)計(jì)��,V_$SESSTAT列出用戶會(huì)話統(tǒng)計(jì)����,V_$ACCESS示出當(dāng)前鎖存的對(duì)象及正在訪問(wèn)它們的會(huì)話,以及V_$SQL示出SQL池中的SQL命令文本���。
當(dāng)與通常是永久記錄的稽核記錄比較時(shí)���,數(shù)據(jù)庫(kù)動(dòng)態(tài)視圖通常包括過(guò)渡過(guò)程數(shù)據(jù)。數(shù)據(jù)庫(kù)動(dòng)態(tài)視圖可以通過(guò)對(duì)數(shù)據(jù)庫(kù)周期采樣來(lái)監(jiān)控���。使用周期采樣的方法可能不能檢測(cè)到在監(jiān)控間隔之間所發(fā)生的某些可疑數(shù)據(jù)庫(kù)訪問(wèn)����。為了使這種可能最小化�����,可以將采樣間隔設(shè)置的非常短�。相反,稽核方法規(guī)定全部被稽核的事件顯示在稽核記錄中直至被清除��。此外�����,動(dòng)態(tài)視圖以相對(duì)粗糙的間隔提供關(guān)于數(shù)據(jù)庫(kù)訪問(wèn)的一般信息���,而稽核記錄提供數(shù)據(jù)庫(kù)對(duì)象等級(jí)的相對(duì)更詳細(xì)����、更具體的信息�����。在一個(gè)實(shí)施例中��,當(dāng)稽核記錄不可用時(shí)(例如,當(dāng)未激活數(shù)據(jù)庫(kù)稽核設(shè)施時(shí))�,動(dòng)態(tài)視圖被用作補(bǔ)充信息或被用作信息的替換源。
數(shù)據(jù)庫(kù)觸發(fā)器是用于從被監(jiān)控的數(shù)據(jù)庫(kù)采集消息的另一種技術(shù)���,其在數(shù)據(jù)庫(kù)用戶不認(rèn)為實(shí)時(shí)監(jiān)控是被打擾的應(yīng)用程序中有用��。數(shù)據(jù)庫(kù)交易重做記錄也是一種用于采集數(shù)據(jù)改變的技術(shù)�,其在不需要關(guān)于只讀訪問(wèn)的信息的應(yīng)用程序中有用���。
圖3B是示出了一個(gè)實(shí)施例中數(shù)據(jù)收集處理的高度概括的流程圖���。在塊311中�,接收將被監(jiān)控的信息類型。在塊312中��,基于將被監(jiān)控的信息類型確定監(jiān)控等級(jí)。在塊313中��,基于監(jiān)控等級(jí)����,激活數(shù)據(jù)庫(kù)管理器的稽核選項(xiàng)。在塊314中,從稽核記錄中讀取數(shù)據(jù)組�。在塊315中,處理數(shù)據(jù)組�����。在塊316中�,執(zhí)行測(cè)試�����,以確定是否存在更多數(shù)據(jù)要被讀取�����。如果存在更多數(shù)據(jù)要被讀取��,則控制返回到塊314�。否則,控制返回到調(diào)用者�。
數(shù)據(jù)收集器從稽核記錄或動(dòng)態(tài)性能視圖收集用戶行為數(shù)據(jù)、處理信息���、并將該數(shù)據(jù)存儲(chǔ)為歷史數(shù)據(jù)�����。歷史數(shù)據(jù)可存儲(chǔ)在例如內(nèi)部數(shù)據(jù)庫(kù)中���。在一個(gè)實(shí)施例中��,各種屬性被記錄在每個(gè)感興趣動(dòng)作的歷史數(shù)據(jù)中�。例如��,SELECT或LOGIN動(dòng)作將包括以下屬性����,例如但不限于(1)操作系統(tǒng)用戶標(biāo)識(shí)符(OSUSER);(2)執(zhí)行動(dòng)作的用戶的數(shù)據(jù)庫(kù)用戶標(biāo)識(shí)符(DBUSER)�����;(3)主題模式對(duì)象標(biāo)識(shí)符(OBJECT)�;(4)對(duì)象的擁有者(OWNER);(5)客戶系統(tǒng)標(biāo)識(shí)符(LOCATION)�����;(6)動(dòng)作標(biāo)識(shí)符(ACTION)����;(7)動(dòng)作時(shí)間(TIMESTAMP)�����;(8)會(huì)話的邏輯讀取量(READ)�;(9)會(huì)話的邏輯寫(xiě)入量(WRITE)�;以及(10)成功或失敗原因代碼(RETURNCODE)。
可以由每個(gè)具有不同重點(diǎn)的不同方法執(zhí)行數(shù)據(jù)庫(kù)用戶行為監(jiān)控��,其中�,重點(diǎn)包括例如數(shù)據(jù)庫(kù)對(duì)象等級(jí)�����、數(shù)據(jù)庫(kù)用戶等級(jí)���、和數(shù)據(jù)庫(kù)會(huì)話等級(jí)�����。
例如����,在一個(gè)實(shí)施例中,數(shù)據(jù)庫(kù)對(duì)象等級(jí)監(jiān)控包括監(jiān)控選取的標(biāo)準(zhǔn)或敏感數(shù)據(jù)庫(kù)對(duì)象的數(shù)據(jù)庫(kù)訪問(wèn)�。數(shù)據(jù)庫(kù)對(duì)象可以是數(shù)據(jù)庫(kù)表格、數(shù)據(jù)庫(kù)視圖����、或數(shù)據(jù)庫(kù)存儲(chǔ)的程序。數(shù)據(jù)庫(kù)監(jiān)控將跟蹤何人�����、何時(shí)����、何處、以及每隔多久由任意用戶訪問(wèn)該對(duì)象�����。標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)對(duì)象的實(shí)例是包括雇員薪金信息的公司“雇員”表格����。
在另一實(shí)例中,在一個(gè)實(shí)施例中�����,數(shù)據(jù)庫(kù)用戶等級(jí)監(jiān)控包括通過(guò)選取的數(shù)據(jù)庫(kù)用戶監(jiān)控?cái)?shù)據(jù)庫(kù)對(duì)象訪問(wèn)。數(shù)據(jù)庫(kù)監(jiān)控將跟蹤什么�、何時(shí)、何處�、以及每隔多久由該用戶訪問(wèn)任意對(duì)象。選取的數(shù)據(jù)庫(kù)用戶的實(shí)例可以是被懷疑從數(shù)據(jù)庫(kù)竊取信息的不滿雇員�。
在再一實(shí)例中,在一個(gè)實(shí)施例中����,數(shù)據(jù)庫(kù)會(huì)話等級(jí)監(jiān)控包括由選取的數(shù)據(jù)庫(kù)用戶監(jiān)控?cái)?shù)據(jù)庫(kù)連接或注冊(cè)會(huì)話。數(shù)據(jù)庫(kù)監(jiān)控將通過(guò)該用戶跟蹤注冊(cè)持續(xù)時(shí)間�、注冊(cè)失敗、和資源利用�。
在一個(gè)實(shí)施例中,基于將由數(shù)據(jù)庫(kù)稽核引擎執(zhí)行的監(jiān)控等級(jí)��,自動(dòng)地激活數(shù)據(jù)庫(kù)中的一個(gè)或多個(gè)不同稽核選項(xiàng)����。被激活的稽核選項(xiàng)取決于主題數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)管理系統(tǒng)�����。例如��,在一個(gè)實(shí)施例中,為了支持?jǐn)?shù)據(jù)庫(kù)對(duì)象等級(jí)監(jiān)控����,數(shù)據(jù)庫(kù)監(jiān)控系統(tǒng)自動(dòng)激活指定對(duì)象的對(duì)象稽核。為了支持?jǐn)?shù)據(jù)庫(kù)用戶等級(jí)或會(huì)話等級(jí)監(jiān)控�,系統(tǒng)自動(dòng)激活指定用戶的語(yǔ)句稽核。
數(shù)據(jù)分析本發(fā)明的實(shí)施例可實(shí)現(xiàn)一種或多種侵入竊密檢測(cè)數(shù)據(jù)分析的方法���。在一個(gè)實(shí)施例中����,基于統(tǒng)計(jì)的侵入竊密檢測(cè)(SBID)和基于規(guī)則的侵入竊密檢測(cè)(RBID)可結(jié)合使用�,以檢測(cè)異常數(shù)據(jù)庫(kù)訪問(wèn)。在使用基于統(tǒng)計(jì)的侵入竊密檢測(cè)的實(shí)施例中���,執(zhí)行用戶行為信息歷史的統(tǒng)計(jì)分析�,以生成用戶行為模式��。顯著背離這些模式的任意后續(xù)數(shù)據(jù)庫(kù)訪問(wèn)將被確定�����,以表示異?;顒?dòng)����。使用基于規(guī)則的侵入竊密檢測(cè)的實(shí)施例維持包括安全規(guī)則或約束(也被稱為策略)的知識(shí)庫(kù)���。違反策略的數(shù)據(jù)庫(kù)訪問(wèn)可被確定以表示異?���;顒?dòng)��。
圖3C是示出了在一個(gè)實(shí)施例中執(zhí)行基于統(tǒng)計(jì)的侵入竊密檢測(cè)的數(shù)據(jù)分析處理的高度概括的流程圖��。在塊331中�,由歷史數(shù)據(jù)確定數(shù)據(jù)庫(kù)訪問(wèn)頻率?;跉v史數(shù)據(jù),可構(gòu)建并證實(shí)統(tǒng)計(jì)模型���,用于在檢測(cè)異?;顒?dòng)中使用�。歷史數(shù)據(jù)的統(tǒng)計(jì)分析能夠確定正常數(shù)據(jù)庫(kù)訪問(wèn)率�����。
在塊332中,從在塊331中確定的數(shù)據(jù)庫(kù)訪問(wèn)頻率確定數(shù)據(jù)庫(kù)訪問(wèn)頻率的概率函數(shù)�����。數(shù)據(jù)庫(kù)訪問(wèn)頻率能夠與概率分布相符��。在特定的實(shí)施例中�,可使用各種概率分布,例如但不限于正態(tài)概率分布或泊松概率分布��。
在一個(gè)實(shí)施例中�,在日間或在晚間,用戶以固定速度隨機(jī)訪問(wèn)數(shù)據(jù)庫(kù)���。日間和晚間的數(shù)據(jù)庫(kù)訪問(wèn)的速度可以改變�。在這組標(biāo)準(zhǔn)下����,泊松分布可用于描述數(shù)據(jù)庫(kù)訪問(wèn)頻率,其中���,事件之間的時(shí)間服從指數(shù)分布�����。令X表示每個(gè)間隔中隨機(jī)事件的次數(shù)����,m是每個(gè)間隔中隨機(jī)事件的平均數(shù),以及P是在間隔中具有n次事件的X的概率
在塊333中���,可確定累積分布函數(shù)(CDF)���。在使用泊松分布的實(shí)施例中,累積分布函數(shù)給出具有小于或等于n的X的概率���,如方程式(2)所示F(n)=P(X<=n)=Σi=0ne-m[mii!]---(2)]]>數(shù)據(jù)分析器確定概率分布函數(shù)的參數(shù)值��。在泊松分布的情況下�����,歷史數(shù)據(jù)在每個(gè)間隔的隨機(jī)事件的平均數(shù)的值為m���。
例如,可將發(fā)生事件定義為向數(shù)據(jù)庫(kù)發(fā)布的SELECT命令的數(shù)量���,并可將間隔定義為一天中的一個(gè)小時(shí)���。在其它實(shí)施中,可將事件定義為其它類型的命令或事件�����,并可將間隔定義為其它時(shí)間周期����。在后續(xù)處理中,異常檢測(cè)器基于概率函數(shù)比較新數(shù)據(jù)點(diǎn)與歷史數(shù)據(jù)���。
在各個(gè)實(shí)施例中�����,數(shù)據(jù)分析器基于多維屬性分析歷史數(shù)據(jù)����,多維屬性包括但不限于OS用戶��、數(shù)據(jù)庫(kù)用戶����、位置�、和對(duì)象�。可計(jì)算OS用戶���、數(shù)據(jù)庫(kù)用戶��、位置�����、對(duì)象��、或多個(gè)屬性的組合中的每個(gè)的訪問(wèn)頻率��。根據(jù)各維的測(cè)量可用于定量比較����。
例如��,在一個(gè)實(shí)施例中�����,事件等級(jí)監(jiān)控可包括但不限于下列測(cè)量中的一個(gè)或多個(gè)以一天中每小時(shí)計(jì)算對(duì)象訪問(wèn)頻率、以一天中每小時(shí)和OS用戶計(jì)算對(duì)象訪問(wèn)頻率��、以一天中每小時(shí)和數(shù)據(jù)庫(kù)用戶計(jì)算對(duì)象訪問(wèn)頻率����、以一天中每小時(shí)和位置計(jì)算對(duì)象訪問(wèn)頻率���、以及包括以一天中每小時(shí)和屬性(OS用戶����、數(shù)據(jù)庫(kù)用戶����、和位置)組合計(jì)算對(duì)象訪問(wèn)頻率的多維對(duì)象訪問(wèn)頻率規(guī)則。
在另一實(shí)例中���,在一個(gè)實(shí)施例中��,用戶等級(jí)監(jiān)控可包括但不限于下列測(cè)量中的一個(gè)或多個(gè)以一天中每小時(shí)計(jì)算用戶訪問(wèn)頻率��、以一天中每小時(shí)和OS用戶計(jì)算用戶訪問(wèn)頻率���、以一天中每小時(shí)和數(shù)據(jù)庫(kù)用戶計(jì)算用戶訪問(wèn)頻率、以一天中每小時(shí)和位置計(jì)算用戶訪問(wèn)頻率、以及包括以一天中每小時(shí)和屬性(OS用戶����、數(shù)據(jù)庫(kù)用戶、和位置)組合計(jì)算用戶訪問(wèn)頻率的多維對(duì)象訪問(wèn)頻率規(guī)則��。
除對(duì)象或用戶訪問(wèn)頻率之外����,在各個(gè)實(shí)施例中,其它測(cè)量可用于會(huì)話等級(jí)監(jiān)控��,例如但不限于���,通過(guò)每個(gè)會(huì)話所讀取的頁(yè)面量來(lái)測(cè)量的會(huì)話的訪問(wèn)頻率��、通過(guò)每個(gè)會(huì)話的小時(shí)數(shù)所測(cè)量的會(huì)話的訪問(wèn)持續(xù)時(shí)間�����、以及通過(guò)每分鐘所讀取的頁(yè)面量來(lái)測(cè)量的訪問(wèn)率�。
異常檢測(cè)圖3D是示出了在一個(gè)實(shí)施例中異常檢測(cè)處理的高度概括的流程圖����。在塊351中�,從一組新數(shù)據(jù)中確定數(shù)據(jù)庫(kù)訪問(wèn)頻率����。
在塊352中,由防護(hù)標(biāo)準(zhǔn)和概率函數(shù)參數(shù)確定閾值頻率�。在一個(gè)實(shí)施例中,概率函數(shù)參數(shù)是歷史數(shù)據(jù)的訪問(wèn)頻率���,其在塊331中由數(shù)據(jù)分析器預(yù)先確定。在一個(gè)實(shí)施例中�,訪問(wèn)頻率是一天中每小時(shí)的SELECT操作的平均數(shù)。
例如����,如果數(shù)據(jù)分析器從歷史數(shù)據(jù)中確定的凌晨2點(diǎn)的平均訪問(wèn)頻率是1.5,并且接收表示凌晨2點(diǎn)的當(dāng)前訪問(wèn)頻率是7的新數(shù)據(jù)�,新數(shù)據(jù)是否在正常范圍之外?答案以防護(hù)標(biāo)準(zhǔn)為依據(jù)�����。在一個(gè)實(shí)施例中��,防護(hù)標(biāo)準(zhǔn)可表示為概率百分比�。異常檢測(cè)器從防護(hù)標(biāo)準(zhǔn)概率百分比和概率函數(shù)參數(shù)確定閾值訪問(wèn)頻率值(即�,在塊331中���,由數(shù)據(jù)分析器計(jì)算的歷史訪問(wèn)頻率)�����。任何超過(guò)該閾值的頻率值將使測(cè)試失敗并認(rèn)為該頻率異常���。保護(hù)百分比越低,將事件劃分為異常就越困難�����,并越少發(fā)生誤報(bào)警���。
例如��,如果保護(hù)概率標(biāo)準(zhǔn)被指定為0.1%�����,則異常檢測(cè)器計(jì)算閾值n�,使得具有超過(guò)n值的概率小于0.1%��,如方程式(3)所示P(X>n)=1-P(X<=n)<0.1% (3)這相當(dāng)于確定閾值n,使得具有小于或等于n值的概率大于99.9%���,如方程式(4)所示F(n)=P(X<=n)>99.9% (4)以方程式(4)中的F(n)>99.9%代替方程式(2)中的累積分布函數(shù)��,值為1.5的m(概率函數(shù)參數(shù)����、歷史數(shù)據(jù)的平均訪問(wèn)頻率)得出n等于6的閾值����。
因?yàn)樾聰?shù)據(jù)組的訪問(wèn)頻率是7,其超過(guò)閾值訪問(wèn)頻率6���,因此將檢測(cè)到異常。
在塊353中����,比較當(dāng)前訪問(wèn)頻率值(來(lái)自塊351)與閾值訪問(wèn)頻率(來(lái)自塊352)。
在一個(gè)實(shí)施例中����,異常檢測(cè)器基于動(dòng)態(tài)統(tǒng)計(jì)模式和/或靜態(tài)基于規(guī)則的策略來(lái)檢測(cè)歷史數(shù)據(jù)中可疑的數(shù)據(jù)庫(kù)訪問(wèn),并生成電子郵件報(bào)警����。也可以生成報(bào)告或曲線圖�。
安全策略可用于監(jiān)控?cái)?shù)據(jù)庫(kù)用戶行為����。例如,在實(shí)施例中����,存在兩個(gè)不同種類的安全策略(1)訪問(wèn)頻率策略和(2)訪問(wèn)違反策略。訪問(wèn)頻率策略能夠使數(shù)據(jù)庫(kù)稽核引擎基于多維來(lái)保護(hù)一天中每小時(shí)的訪問(wèn)次數(shù)�。如上所述,這種侵入竊密檢測(cè)可以是基于統(tǒng)計(jì)的和/或基于規(guī)則的���。在實(shí)施例中���,可以根據(jù)一天中每小時(shí)等的訪問(wèn)次數(shù),將保護(hù)閾值指定為絕對(duì)值�。訪問(wèn)違反策略能夠使數(shù)據(jù)庫(kù)稽核引擎能使用明確安全規(guī)則保護(hù)每個(gè)單獨(dú)的數(shù)據(jù)庫(kù)訪問(wèn)。表1示出了在一個(gè)實(shí)施例中可以用于監(jiān)控?cái)?shù)據(jù)庫(kù)用戶行為的各種安全策略�。
例如,在各個(gè)實(shí)施例中����,可以為對(duì)象等級(jí)監(jiān)控指定下列訪問(wèn)違反規(guī)則(1)對(duì)象訪問(wèn)安全違反�,其中����,對(duì)任何沒(méi)有適當(dāng)許可而嘗試讀取特定對(duì)象的失敗報(bào)警;(2)可疑OS用戶的對(duì)象訪問(wèn)����,其中,對(duì)任何由無(wú)效OS用戶成功讀取特定對(duì)象報(bào)警���。在一個(gè)實(shí)施例中�,可定義有效OS用戶列表���,并且將對(duì)任何由不在列表中的OS用戶的訪問(wèn)報(bào)警�。在另一實(shí)施例中����,可定義無(wú)效OS用戶列表����,并且將對(duì)任何由在列表中的OS用戶的訪問(wèn)報(bào)警;(3)可疑數(shù)據(jù)庫(kù)用戶的對(duì)象訪問(wèn)�����,其中,對(duì)任何由無(wú)效數(shù)據(jù)庫(kù)用戶成功讀取特定對(duì)象報(bào)警�。在一個(gè)實(shí)施例中,可定義有效和/或無(wú)效的數(shù)據(jù)庫(kù)用戶列表�����。(4)從可疑位置的對(duì)象訪問(wèn)���,其中�����,對(duì)任何從無(wú)效客戶系統(tǒng)成功讀取特定對(duì)象報(bào)警���。在一個(gè)實(shí)施例中,可以定義有效和/或無(wú)效的位置列表�;以及(5)多維對(duì)象訪問(wèn)規(guī)則,其中��,對(duì)任何成功讀取具有屬性(OS用戶��、數(shù)據(jù)庫(kù)用戶、和位置)的無(wú)效組合的特定對(duì)象報(bào)警�����。
在另一實(shí)例中�����,在各個(gè)實(shí)施例中��,可以為用戶等級(jí)監(jiān)控指定下列訪問(wèn)違反規(guī)則(1)用戶訪問(wèn)安全違反���,其中���,對(duì)任何由沒(méi)有適當(dāng)許可的特定數(shù)據(jù)庫(kù)用戶嘗試的失敗讀取報(bào)警;(2)可疑OS用戶的用戶訪問(wèn)����,其中,對(duì)任何來(lái)自無(wú)效OS用戶的特定數(shù)據(jù)庫(kù)用戶的成功讀取報(bào)警��。在一個(gè)實(shí)施例中�,可定義有效和/或無(wú)效OS用戶列表���;(3)可疑數(shù)據(jù)庫(kù)對(duì)象的用戶訪問(wèn)�����,其中���,對(duì)任何由特定數(shù)據(jù)庫(kù)用戶對(duì)無(wú)效數(shù)據(jù)庫(kù)對(duì)象的成功讀取報(bào)警�。在一個(gè)實(shí)施例中���,可定義有效和/或無(wú)效的對(duì)象列表���;(4)從可疑位置的用戶訪問(wèn),其中�,對(duì)任何來(lái)自無(wú)效客戶系統(tǒng)的特定數(shù)據(jù)庫(kù)用戶的成功讀取報(bào)警。在一個(gè)實(shí)施例中��,可定義有效和/或無(wú)效位置列表���;以及(5)多維用戶訪問(wèn)規(guī)則����,其中�,對(duì)任何具有屬性(OS用戶、數(shù)據(jù)庫(kù)對(duì)象、和位置)的無(wú)效組合的特定數(shù)據(jù)庫(kù)用戶的成功讀取報(bào)警��。
在再一實(shí)例中����,在各個(gè)實(shí)施例中,可以為會(huì)話等級(jí)監(jiān)控指定下列訪問(wèn)違反規(guī)則(1)注冊(cè)失敗�����,其中����,對(duì)由于無(wú)效密碼而注冊(cè)失敗報(bào)警;(2)可疑時(shí)幀的注冊(cè)�,其中,對(duì)超過(guò)指定的正常時(shí)間的注冊(cè)時(shí)間報(bào)警�;(3)可疑OS用戶的注冊(cè),對(duì)任何特定數(shù)據(jù)庫(kù)用戶和無(wú)效OS用戶的成功注冊(cè)報(bào)警����。在一個(gè)實(shí)施例中,可定義有效和/或無(wú)效OS用戶列表����;(4)從可疑位置注冊(cè)����,其中�,對(duì)任何來(lái)自無(wú)效客戶系統(tǒng)的特定數(shù)據(jù)庫(kù)用戶的成功注冊(cè)報(bào)警����。在一個(gè)實(shí)施例中,可以定義有效和/或無(wú)效位置列表����;以及(5)多維會(huì)話規(guī)則,其中�,對(duì)任何具有屬性(OS用戶和位置)的無(wú)效組合的成功注冊(cè)報(bào)警。
監(jiān)控實(shí)例將使用配置和使用參照?qǐng)D3E的流程和在圖6A至圖6M中示出的屏幕抓圖論述一個(gè)實(shí)施例中的數(shù)據(jù)庫(kù)監(jiān)控的操作����。在一個(gè)實(shí)施例中,使用網(wǎng)絡(luò)瀏覽器實(shí)現(xiàn)的圖形用戶界面執(zhí)行配置監(jiān)控操作��。在由圖6A至圖6M描述的用戶界面屏幕的實(shí)例中��,用戶可以跟隨前一/下一導(dǎo)航箭頭���,單步調(diào)試配置監(jiān)控操作的過(guò)程���?���?蛇x地���,用戶可以從上部屏面上的菜單欄中選擇�����,或單擊左側(cè)屏面上的分級(jí)樹(shù)狀視圖中的鏈接����。
如圖3E所示��,在塊410中���,用戶可以通過(guò)打開(kāi)將被監(jiān)控的數(shù)據(jù)庫(kù)來(lái)開(kāi)始該過(guò)程����。在實(shí)施例中����,如圖6A所示����,打開(kāi)數(shù)據(jù)庫(kù)包括通過(guò)指定主機(jī)名稱���、數(shù)據(jù)庫(kù)名稱、用戶名稱����、和密碼來(lái)定義數(shù)據(jù)庫(kù)連接。如圖6B所示��,用戶連接到指定數(shù)據(jù)庫(kù)�����。
在塊420中����,用戶配置指定數(shù)據(jù)庫(kù)的監(jiān)控進(jìn)度表。如圖6C所示��,在配置過(guò)程期間���,監(jiān)控進(jìn)度表包括用戶指定每隔多久數(shù)據(jù)分析器將‘得知’用戶行為數(shù)據(jù)并重建統(tǒng)計(jì)模型����。再次使用圖6C中描述的屏幕,用戶還指定每隔多久異常檢測(cè)器將‘防護(hù)’異常數(shù)據(jù)并發(fā)出報(bào)警�����。
在塊430中���,用戶配置電子郵件接收器��。在一個(gè)示例性實(shí)施例中�,當(dāng)發(fā)生異常時(shí)��,用戶使用圖6D中描述的屏幕指定由誰(shuí)將發(fā)送報(bào)警電子郵件�。
在塊440中,用戶配置監(jiān)控策略�����。在示例性實(shí)施例中����,圖6E至圖6F所示出的屏幕示出了監(jiān)控策略的配置。如圖6E所示��,用戶為監(jiān)視器選擇‘危急’對(duì)象。如圖6F所示����,用戶選擇訪問(wèn)違反策略以激活該對(duì)象。用戶指定誰(shuí)將被允許訪問(wèn)該對(duì)象��。對(duì)于多維對(duì)象規(guī)則���,可將其定義為屬性組合。例如����,如圖6G所示,僅當(dāng)數(shù)據(jù)庫(kù)用戶WANI作為OS用戶IPLOCKS/WTANG注冊(cè)時(shí)并來(lái)自客戶系統(tǒng)WLINUX時(shí)�����,其才可以訪問(wèn)該對(duì)象���。如圖6H所示�,為了監(jiān)控該對(duì)象��,用戶還可以指定訪問(wèn)頻率策略以激活���。
在塊450中�����,用戶開(kāi)始監(jiān)控���。在一個(gè)實(shí)施例中�����,如圖6I所示��,通過(guò)單擊狀態(tài)屏幕中的復(fù)選框開(kāi)始監(jiān)控���。
在塊460中,用戶查看報(bào)警和/或曲線圖�����。在假設(shè)實(shí)例中�,屬于數(shù)據(jù)庫(kù)用戶WANI的數(shù)據(jù)庫(kù)密碼被竊取,罪犯試圖通過(guò)使用偷來(lái)的密碼從不是分配了使用該密碼的機(jī)器來(lái)訪問(wèn)數(shù)據(jù)庫(kù)對(duì)象�。如圖6J所示,罪犯的試圖使用將導(dǎo)致多維對(duì)象規(guī)則的訪問(wèn)違反。例如��,配置的多維對(duì)象規(guī)則表示數(shù)據(jù)庫(kù)用戶WANI只可以通過(guò)OS用戶IPLOCKS/WANI并從位置WLINUX(如圖6G所示)來(lái)訪問(wèn)對(duì)象HR.EMP��。罪犯試圖作為不同的OS用戶IPLOCKS/CKCHOU并從不同位置CKDESKTOP作為數(shù)據(jù)庫(kù)用戶WANI來(lái)訪問(wèn)該對(duì)象��,這會(huì)導(dǎo)致訪問(wèn)違反�。可觸發(fā)目標(biāo)操作��。在圖6J所示的實(shí)例中�,可以將電子郵件報(bào)警發(fā)送到使用由圖6D所示出的屏幕定義的電子郵件接收器。如圖6K所示��,用戶通過(guò)圖形用戶界面查看報(bào)警���。如圖6L所示,用戶還可以查看任何用戶對(duì)任意對(duì)象的訪問(wèn)模式����。如果用戶違反了訪問(wèn)頻率閾值或百分點(diǎn),則也將發(fā)送報(bào)警����。
在塊470中,用戶生成報(bào)告。如圖6M所示����,用戶生成報(bào)警匯總報(bào)告,其可有助于分析問(wèn)題��。上述參照?qǐng)D3E和圖6A至圖6M的所描述的過(guò)程僅為使用一個(gè)實(shí)施例的一個(gè)實(shí)例����。其它實(shí)施例將包括在這里為了簡(jiǎn)潔而沒(méi)有描述的其它過(guò)程和屏幕、和/或可省略一些所描述的過(guò)程和/或屏幕�����。
圖4是示出了在一個(gè)實(shí)施例中對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的概率分布實(shí)例的曲線圖�����。圖4示出了在24小時(shí)期間特定用戶的數(shù)據(jù)庫(kù)訪問(wèn)活動(dòng)的實(shí)例�。在圖4中,每個(gè)長(zhǎng)條形表示該用戶每小時(shí)訪問(wèn)對(duì)象的次數(shù)����。在圖4示出的概率分布實(shí)例中,用戶將訪問(wèn)數(shù)據(jù)庫(kù)的概率具有兩個(gè)峰值���,一個(gè)峰值可能發(fā)生在上午的中間時(shí)段���,以及另一峰值可能發(fā)生在下午的中間時(shí)段���。在這些時(shí)幀之外的過(guò)度數(shù)據(jù)庫(kù)訪問(wèn)活動(dòng)可能被懷疑。
圖5是示出了在一個(gè)實(shí)施例中的數(shù)據(jù)庫(kù)監(jiān)控系統(tǒng)的高度概括的框圖���。如圖5所示���,數(shù)據(jù)庫(kù)監(jiān)控系統(tǒng)包括三層結(jié)構(gòu)。在第一層中���,數(shù)據(jù)庫(kù)監(jiān)控系統(tǒng)包括用于提供訪問(wèn)數(shù)據(jù)庫(kù)監(jiān)控功能性的網(wǎng)絡(luò)瀏覽器���。在一個(gè)實(shí)施例中,Java服務(wù)端網(wǎng)頁(yè)(Java Sever Pages(JSP))提供用戶界面��。
在第二層中�,數(shù)據(jù)庫(kù)監(jiān)控系統(tǒng)使用網(wǎng)絡(luò)服務(wù)器����,其在一個(gè)實(shí)施例中使用Apache Tomcat實(shí)現(xiàn);以及用于存儲(chǔ)歷史數(shù)據(jù)的內(nèi)部數(shù)據(jù)庫(kù),其在一個(gè)實(shí)施例中是使用PostgreSQLTM數(shù)據(jù)庫(kù)實(shí)現(xiàn)的���。本發(fā)明的實(shí)施例可駐留在任意計(jì)算平臺(tái)上�����,例如但不限于�,PentiumTM或與安全Linux操作系統(tǒng)協(xié)作的等效功能性硬件平臺(tái)����。數(shù)據(jù)庫(kù)監(jiān)控系統(tǒng)的部件包括數(shù)據(jù)收集器、數(shù)據(jù)分析器����、和異常檢測(cè)器。支持部件包括下列中的一個(gè)或多個(gè)(1)配置器���,能夠使用戶根據(jù)實(shí)現(xiàn)特定需要來(lái)定制數(shù)據(jù)庫(kù)監(jiān)控系統(tǒng)�����,例如����,調(diào)度設(shè)置和策略設(shè)置;(2)電子郵件報(bào)警�����,向指定的安全人員發(fā)送報(bào)警信息��;(3)報(bào)告管理器生成診斷報(bào)告����;以及(4)可視化器,生成數(shù)據(jù)庫(kù)用戶行為模式的圖形表示�����。
在第三層中�,數(shù)據(jù)庫(kù)監(jiān)控系統(tǒng)使用Java數(shù)據(jù)庫(kù)連接(JDBC)API,以訪問(wèn)目標(biāo)數(shù)據(jù)庫(kù)���。
硬件概述在一個(gè)實(shí)施例中���,如圖1所示的計(jì)算環(huán)境100的各個(gè)部件可作為可由一個(gè)或多個(gè)處理器執(zhí)行的指令組來(lái)實(shí)現(xiàn)。圖7示出可用于執(zhí)行這些部件的計(jì)算機(jī)系統(tǒng)700的框圖���。計(jì)算機(jī)系統(tǒng)700包括總線702或其它通信裝置���,用于傳遞信息;以及處理器704�,其與總線702連接,用于處理信息�����。計(jì)算機(jī)系統(tǒng)700還包括連接至總線702的主存儲(chǔ)器706��,諸如隨機(jī)訪問(wèn)存儲(chǔ)器(RAM)或者其它動(dòng)態(tài)存儲(chǔ)裝置�����,用于儲(chǔ)存將由處理器704執(zhí)行的信息和指令���。在執(zhí)行將由處理器704執(zhí)行的指令期間�����,主存儲(chǔ)器706還可用于儲(chǔ)存臨時(shí)變量或其它中間信息����。計(jì)算機(jī)系統(tǒng)700還包括連接至總線702的只讀存儲(chǔ)器(ROM)708或其它靜態(tài)存儲(chǔ)裝置�����,用于存儲(chǔ)處理器704的靜態(tài)信息和指令。提供諸如磁盤(pán)或光盤(pán)的存儲(chǔ)裝置710�����,并連接至總線702用于存儲(chǔ)信息和指令�。
計(jì)算機(jī)系統(tǒng)700可經(jīng)由總線702連接至諸如陰極射線管(CRT)的用于向計(jì)算機(jī)用戶顯示信息的顯示器712。包括字母數(shù)字鍵和其它鍵的輸入裝置714連接至總線702����,用于將信息和命令選擇傳送給處理器704。另一種類型的用戶輸入裝置是光標(biāo)控制716����,諸如鼠標(biāo)、跟蹤球��、或光標(biāo)方向鍵�,用于將方向信息和命令選擇傳送給處理器704以及用于控制顯示器712上的光標(biāo)移動(dòng)。輸入裝置通常在兩個(gè)軸上(第一個(gè)軸(例如X軸)和第二個(gè)軸(例如Y軸))具有兩個(gè)自由度���,允許裝置能指定平面中的位置��。
根據(jù)一個(gè)實(shí)施例��,響應(yīng)于執(zhí)行包括在主存儲(chǔ)器706中的一個(gè)或多個(gè)指令的一個(gè)或多個(gè)序列的處理器704�����,通過(guò)計(jì)算機(jī)系統(tǒng)700來(lái)實(shí)現(xiàn)本發(fā)明的功能性�。這樣的指令可從諸如存儲(chǔ)裝置710的另一個(gè)計(jì)算機(jī)可讀介質(zhì)讀入主存儲(chǔ)器706��。包括在主存儲(chǔ)器706中的指令序列的執(zhí)行使得處理器704執(zhí)行本文所述的處理步驟�。在可選實(shí)施例中,可使用硬連線電路(hard-wired circuitry)來(lái)取代軟件指令或與軟件指令相結(jié)合來(lái)實(shí)施該發(fā)明����。因此,本發(fā)明的實(shí)施例將不限于硬件電路和軟件的任何特定組合���。
本文使用的術(shù)語(yǔ)“計(jì)算機(jī)可讀介質(zhì)”是指參與向處理器704提供指令用于執(zhí)行的任何介質(zhì)����。這種介質(zhì)可采取多種形式�,包括但不限于非易失性介質(zhì)、易失性介質(zhì)���、和傳輸介質(zhì)��。例如��,非易失性介質(zhì)包括光盤(pán)或磁盤(pán)��,諸如存儲(chǔ)裝置710�。易失性介質(zhì)包括動(dòng)態(tài)存儲(chǔ)器,諸如主存儲(chǔ)器706���。傳輸介質(zhì)包括同軸電纜�����、銅線���、和光纖,包括組成總線702的導(dǎo)線����。傳輸介質(zhì)還可采取聲波或光波形式,諸如那些在無(wú)線電波和紅外線數(shù)據(jù)通信過(guò)程中所產(chǎn)生的聲波和光波��。
通常形式的計(jì)算機(jī)可讀介質(zhì)的普通形式包括如軟盤(pán)����、軟性盤(pán)�、硬盤(pán)�����、磁帶���,或者任何其它磁性介質(zhì)、CD-ROM���、任何其它光介質(zhì)���、打孔紙、紙帶�、或者任何帶孔圖樣的物理介質(zhì)、RAM��、PROM�、EPROM、FLASH-EPROM���、或者其他任何存儲(chǔ)芯片或者盒式磁帶�,以下提到的載波、或者計(jì)算機(jī)可讀的任何其它介質(zhì)�。
各種形式的計(jì)算機(jī)可讀介質(zhì)可參與將一個(gè)或多個(gè)指令的一個(gè)或多個(gè)序列傳送到處理器704用于執(zhí)行。例如����,指令開(kāi)始可承載在遠(yuǎn)程計(jì)算機(jī)的磁盤(pán)中。遠(yuǎn)程計(jì)算機(jī)可以將指令加載到其動(dòng)態(tài)存儲(chǔ)器中�����,然后使用調(diào)制解調(diào)器通過(guò)電話線發(fā)送指令�����。計(jì)算機(jī)系統(tǒng)700本地的調(diào)制解調(diào)器可接收電話線上的數(shù)據(jù)����,并使用紅外發(fā)射器將該數(shù)據(jù)轉(zhuǎn)換成紅外信號(hào)。紅外探測(cè)器可以接收紅外信號(hào)攜帶的數(shù)據(jù)����,并且合適的電路可以將數(shù)據(jù)放到總線702上?��?偩€702將數(shù)據(jù)傳送到主存儲(chǔ)器706�����,處理器704從主存儲(chǔ)器取回并執(zhí)行這些指令���。在由處理器704執(zhí)行這些指令之前或之后��,由主存儲(chǔ)器706接收的指令可隨意地存儲(chǔ)在存儲(chǔ)裝置710上�����。
計(jì)算機(jī)系統(tǒng)700還包括連接至總線702的通信接口718�。通信接口718提供連接到網(wǎng)絡(luò)鏈路720的雙向數(shù)據(jù)通信�,其中���,網(wǎng)絡(luò)鏈路720連接至局域網(wǎng)722���。例如,通信接口718可以是綜合業(yè)務(wù)數(shù)字網(wǎng)(ISDN)卡或者調(diào)制解調(diào)器�,用于提供到相應(yīng)類型的電話線的數(shù)據(jù)通信連接。作為另一實(shí)例���,通信接口718可以是局域網(wǎng)(LAN)卡��,用于提供至兼容局域網(wǎng)(LAN)的數(shù)據(jù)通信連接����。也可以使用無(wú)線鏈接。在任何這樣的實(shí)施中�,通信接口718發(fā)送和接收承載表示各種類型的信息的數(shù)字?jǐn)?shù)據(jù)流的電信號(hào)、電磁信號(hào)�����、和光學(xué)信號(hào)��。
網(wǎng)絡(luò)鏈路720通?��?赏ㄟ^(guò)一個(gè)或者多個(gè)網(wǎng)絡(luò)向其它數(shù)據(jù)裝置提供數(shù)據(jù)通信���。例如,網(wǎng)絡(luò)鏈路720可通過(guò)局域網(wǎng)722與主機(jī)724連接��,或者與互聯(lián)網(wǎng)服務(wù)提供商(ISP)726操作的數(shù)據(jù)設(shè)備連接��。ISP726又通過(guò)目前通稱為“互聯(lián)網(wǎng)”728的全球分組數(shù)據(jù)通信網(wǎng)絡(luò)提供數(shù)據(jù)通信服務(wù)����。局域網(wǎng)722和互聯(lián)網(wǎng)728都使用承載數(shù)字?jǐn)?shù)據(jù)流的電信號(hào)�、電磁信號(hào)�、或光學(xué)信號(hào)。通過(guò)各種網(wǎng)絡(luò)的信號(hào)和網(wǎng)絡(luò)鏈路720上的信號(hào)以及通過(guò)通信接口718的信號(hào)�,都傳送數(shù)字?jǐn)?shù)據(jù)給計(jì)算機(jī)系統(tǒng)700或者傳送來(lái)自計(jì)算機(jī)系統(tǒng)的數(shù)字?jǐn)?shù)據(jù),是傳輸信息的載波的示例性形式����。
計(jì)算機(jī)系統(tǒng)700能通過(guò)網(wǎng)絡(luò)、網(wǎng)絡(luò)鏈路720����、和通信接口718發(fā)送消息和接收數(shù)據(jù)(包括程序代碼)。在互聯(lián)網(wǎng)的實(shí)例中�,服務(wù)器730可通過(guò)互聯(lián)網(wǎng)728、ISP 726���、局域網(wǎng)722、和通信接口718����,傳送用于應(yīng)用程序的所請(qǐng)求的程序代碼。所接收的代碼可以在其被接收時(shí)由處理器704執(zhí)行�����,和/或儲(chǔ)存在存儲(chǔ)裝置710或者其它非易失性介質(zhì)中用于隨后執(zhí)行。按照這種方式���,計(jì)算機(jī)系統(tǒng)700可以以載波的形式獲得應(yīng)用代碼�。
在上述說(shuō)明書(shū)中��,應(yīng)當(dāng)注意�����,雖然參照指定實(shí)施例描述了本發(fā)明����,然而不構(gòu)成對(duì)本發(fā)明的限定。在不背離本發(fā)明精神的情況下���,受益于本公開(kāi)的本領(lǐng)域普通技術(shù)人員可以做出各種修改��。因此本發(fā)明將不限于用于示出本發(fā)明的特定實(shí)施例��,而只限于所附權(quán)利要求的范圍�����。因此�,說(shuō)明書(shū)和附圖被認(rèn)為是說(shuō)明性的,而不構(gòu)成限定���。
權(quán)利要求
1.一種用于監(jiān)控?cái)?shù)據(jù)庫(kù)的方法��,包括收集表示一個(gè)或多個(gè)用戶如何使用所述數(shù)據(jù)庫(kù)的用戶行為數(shù)據(jù)�;處理并存儲(chǔ)所述數(shù)據(jù)作為歷史數(shù)據(jù)�;分析所述歷史數(shù)據(jù),以確定行為模式��;接收表示一個(gè)或多個(gè)用戶已經(jīng)如何使用所述數(shù)據(jù)庫(kù)的新數(shù)據(jù)組��;在所述新數(shù)據(jù)組與所述行為模式之間進(jìn)行比較���;基于所述比較����,確定所述新數(shù)據(jù)組是否滿足標(biāo)準(zhǔn)組����;如果所述新數(shù)據(jù)組滿足所述標(biāo)準(zhǔn)組��,則確定所述新數(shù)據(jù)組表示異?�;顒?dòng);以及通過(guò)執(zhí)行目標(biāo)操作來(lái)響應(yīng)所述確定��。
2.根據(jù)權(quán)利要求1所述的方法���,還包括確定所述新數(shù)據(jù)組是否違反基于規(guī)則的策略�;以及如果所述新數(shù)據(jù)組違反所述基于規(guī)則的策略����,則確定所述新數(shù)據(jù)組表示異常活動(dòng)�。
3.根據(jù)權(quán)利要求2所述的方法,其中�����,收集用戶行為數(shù)據(jù)還包括讀取來(lái)自數(shù)據(jù)庫(kù)管理器的稽核記錄或動(dòng)態(tài)性能視圖的信息����。
4.根據(jù)權(quán)利要求3所述的方法,其中����,收集用戶行為數(shù)據(jù)還包括以從以下至少一個(gè)中所選取的監(jiān)控等級(jí)來(lái)收集信息關(guān)于一個(gè)或多個(gè)所選取的數(shù)據(jù)庫(kù)對(duì)象的數(shù)據(jù)庫(kù)訪問(wèn)的信息;關(guān)于一個(gè)或多個(gè)所選取的數(shù)據(jù)庫(kù)用戶的數(shù)據(jù)庫(kù)訪問(wèn)的信息;以及關(guān)于一個(gè)或多個(gè)所選取的數(shù)據(jù)庫(kù)用戶會(huì)話的數(shù)據(jù)庫(kù)訪問(wèn)的信息��。
5.根據(jù)權(quán)利要求3所述的方法�����,其中�,收集用戶行為數(shù)據(jù)還包括接收將被監(jiān)控的一種類型的信息;從所述類型的信息確定監(jiān)控等級(jí)����;以及基于確定的所述監(jiān)控等級(jí),激活所述數(shù)據(jù)庫(kù)管理器的稽核選項(xiàng)��。
6.根據(jù)權(quán)利要求2所述的方法�����,其中�,分析所述歷史數(shù)據(jù)以確定行為模式還包括從所述歷史數(shù)據(jù)確定統(tǒng)計(jì)模型。
7.根據(jù)權(quán)利要求6所述的方法�����,其中��,從所述歷史數(shù)據(jù)確定統(tǒng)計(jì)模型還包括從所述歷史數(shù)據(jù)確定數(shù)據(jù)庫(kù)訪問(wèn)頻率��;確定數(shù)據(jù)庫(kù)訪問(wèn)頻率的概率函數(shù)��;以及從所述概率函數(shù)確定累積概率函數(shù)��。
8.根據(jù)權(quán)利要求7所述的方法����,其中,在所述新數(shù)據(jù)組與所述行為模式之間進(jìn)行比較還包括使用所述新數(shù)據(jù)組對(duì)照所述統(tǒng)計(jì)模型來(lái)測(cè)試假設(shè)�����。
9.根據(jù)權(quán)利要求8所述的方法�����,其中�,使用所述新數(shù)據(jù)組對(duì)照所述統(tǒng)計(jì)模型來(lái)測(cè)試假設(shè)還包括確定所述新數(shù)據(jù)組的數(shù)據(jù)庫(kù)訪問(wèn)頻率;以及從防護(hù)標(biāo)準(zhǔn)和概率函數(shù)參數(shù)確定閾值��。
10.根據(jù)權(quán)利要求9所述的方法��,其中�,使用所述新數(shù)據(jù)組對(duì)照所述統(tǒng)計(jì)模型來(lái)測(cè)試假設(shè)還包括將所述新數(shù)據(jù)組的數(shù)據(jù)庫(kù)訪問(wèn)頻率與所述閾值進(jìn)行比較。
11.根據(jù)權(quán)利要求7所述的方法,其中���,所述歷史信息關(guān)于一個(gè)或多個(gè)所選取的數(shù)據(jù)庫(kù)對(duì)象的數(shù)據(jù)庫(kù)訪問(wèn)���,并且其中,從所述歷史數(shù)據(jù)確定數(shù)據(jù)庫(kù)訪問(wèn)頻率還包括確定以下至少一個(gè)的頻率以一天中每小時(shí)計(jì)算的對(duì)象訪問(wèn)頻率����,以一天中每小時(shí)和操作系統(tǒng)用戶計(jì)算的對(duì)象訪問(wèn)頻率,以一天中每小時(shí)和數(shù)據(jù)庫(kù)用戶計(jì)算的對(duì)象訪問(wèn)頻率�����,以一天中每小時(shí)和位置計(jì)算的對(duì)象訪問(wèn)頻率��,以及以一天中每小時(shí)和操作系統(tǒng)用戶����、數(shù)據(jù)庫(kù)用戶、和位置中至少兩個(gè)的組合計(jì)算的對(duì)象訪問(wèn)頻率�����。
12.根據(jù)權(quán)利要求7所述的方法�,其中�����,所述歷史信息關(guān)于一個(gè)或多個(gè)所選取的數(shù)據(jù)庫(kù)用戶的數(shù)據(jù)庫(kù)訪問(wèn)�,并且其中����,從所述歷史數(shù)據(jù)確定數(shù)據(jù)庫(kù)訪問(wèn)頻率還包括確定以下至少一個(gè)頻率以一天中每小時(shí)計(jì)算的用戶訪問(wèn)頻率���,以一天中每小時(shí)和操作系統(tǒng)用戶計(jì)算的用戶訪問(wèn)頻率���,以一天中每小時(shí)和數(shù)據(jù)庫(kù)用戶計(jì)算的用戶訪問(wèn)頻率,以一天中每小時(shí)和位置計(jì)算的用戶訪問(wèn)頻率���,以及以一天中每小時(shí)和操作系統(tǒng)用戶�、數(shù)據(jù)庫(kù)用戶����、和位置中至少兩個(gè)的組合計(jì)算的用戶訪問(wèn)頻率。
13.根據(jù)權(quán)利要求7所述的方法�����,其中,所述歷史信息關(guān)于一個(gè)或多個(gè)所選取的數(shù)據(jù)庫(kù)用戶會(huì)話的數(shù)據(jù)庫(kù)訪問(wèn)��,并且其中��,從所述歷史數(shù)據(jù)確定數(shù)據(jù)庫(kù)訪問(wèn)頻率還包括確定以下至少一個(gè)的頻率每個(gè)會(huì)話所讀取的頁(yè)面量�����、每個(gè)會(huì)話的訪問(wèn)持續(xù)時(shí)間�、每單位時(shí)間所讀取的頁(yè)面量。
14.根據(jù)權(quán)利要求1所述的方法�,其中,執(zhí)行目標(biāo)操作包括以下至少一個(gè)產(chǎn)生報(bào)警���、發(fā)送電子郵件���、生成報(bào)告、執(zhí)行可視化�。
15.一種計(jì)算機(jī)可讀介質(zhì),所述介質(zhì)承載用于響應(yīng)于裝置故障還原到恢復(fù)設(shè)置的一個(gè)或多個(gè)指令序列�����,當(dāng)由一個(gè)或多個(gè)處理器執(zhí)行時(shí)����,所述指令序列使所述一個(gè)或多個(gè)處理器執(zhí)行以下步驟收集表示一個(gè)或多個(gè)用戶如何使用數(shù)據(jù)庫(kù)的用戶行為數(shù)據(jù)����;處理并存儲(chǔ)所述數(shù)據(jù)作為歷史數(shù)據(jù)����;分析所述歷史數(shù)據(jù),以確定行為模式�;接收表示一個(gè)或多個(gè)用戶已經(jīng)如何使用所述數(shù)據(jù)庫(kù)的新數(shù)據(jù)組�����;在所述新數(shù)據(jù)組與所述行為模式之間進(jìn)行比較�;基于所述比較,確定所述新數(shù)據(jù)組是否滿足標(biāo)準(zhǔn)組��;如果所述新數(shù)據(jù)組滿足所述標(biāo)準(zhǔn)組��,則確定所述新數(shù)據(jù)組表示異?�;顒?dòng)��;以及通過(guò)執(zhí)行目標(biāo)操作來(lái)響應(yīng)所述確定����。
16.根據(jù)權(quán)利要求15所述的計(jì)算機(jī)可讀介質(zhì)��,還包括當(dāng)由所述一個(gè)或多個(gè)處理器執(zhí)行時(shí)���,使所述一個(gè)或多個(gè)處理器執(zhí)行以下步驟的指令確定所述新數(shù)據(jù)組是否違反基于規(guī)則的策略;以及如果所述新數(shù)據(jù)組違反所述基于規(guī)則的策略�,則確定所述新數(shù)據(jù)組表示異常活動(dòng)��。
17.根據(jù)權(quán)利要求16所述的計(jì)算機(jī)可讀介質(zhì)����,其中,用于執(zhí)行所述收集用戶行為數(shù)據(jù)的步驟的指令還包括用于執(zhí)行以下步驟的指令讀取來(lái)自所述數(shù)據(jù)庫(kù)管理器的稽核記錄的信息�。
18.根據(jù)權(quán)利要求17所述的計(jì)算機(jī)可讀介質(zhì),其中���,用于執(zhí)行所述收集用戶行為數(shù)據(jù)的步驟的指令還包括用于執(zhí)行以從以下至少一個(gè)中所選取的監(jiān)控等級(jí)來(lái)收集信息的步驟的指令關(guān)于一個(gè)或多個(gè)所選取的數(shù)據(jù)庫(kù)對(duì)象的數(shù)據(jù)庫(kù)訪問(wèn)的信息���;關(guān)于一個(gè)或多個(gè)所選取的數(shù)據(jù)庫(kù)用戶的數(shù)據(jù)庫(kù)訪問(wèn)的信息;以及關(guān)于一個(gè)或多個(gè)所選取的數(shù)據(jù)庫(kù)用戶會(huì)話的數(shù)據(jù)庫(kù)訪問(wèn)的信息����。
19.根據(jù)權(quán)利要求17所述的計(jì)算機(jī)可讀介質(zhì)�����,其中��,用于執(zhí)行所述收集用戶行為數(shù)據(jù)的步驟的指令還包括用于執(zhí)行以下步驟的指令接收將被監(jiān)控的一種類型的信息�����;從所述類型的信息確定監(jiān)控等級(jí)�����;以及基于確定的所述監(jiān)控等級(jí),激活所述數(shù)據(jù)庫(kù)管理器的稽核選項(xiàng)����。
20.根據(jù)權(quán)利要求16所述的計(jì)算機(jī)可讀介質(zhì),其中�����,用于執(zhí)行所述分析所述歷史數(shù)據(jù)以確定行為模式的步驟的指令還包括用于執(zhí)行以下步驟的指令從所述歷史數(shù)據(jù)確定統(tǒng)計(jì)模型��。
21.根據(jù)權(quán)利要求20所述的計(jì)算機(jī)可讀介質(zhì)�,其中����,用于執(zhí)行所述從所述歷史數(shù)據(jù)確定統(tǒng)計(jì)模型的步驟的指令還包括用于執(zhí)行以下步驟的指令從所述歷史數(shù)據(jù)確定數(shù)據(jù)庫(kù)訪問(wèn)頻率�;確定數(shù)據(jù)庫(kù)訪問(wèn)頻率的概率函數(shù);以及從所述概率函數(shù)確定累積概率函數(shù)�。
22.根據(jù)權(quán)利要求21所述的計(jì)算機(jī)可讀介質(zhì),其中��,用于執(zhí)行所述新數(shù)據(jù)組與所述行為模式之間的比較的步驟的指令還包括用于執(zhí)行以下步驟的指令使用所述新數(shù)據(jù)組對(duì)照所述統(tǒng)計(jì)模型來(lái)測(cè)試假設(shè)�����。
23.根據(jù)權(quán)利要求22所述的計(jì)算機(jī)可讀介質(zhì)����,其中,用于執(zhí)行所述使用所述新數(shù)據(jù)組對(duì)照所述統(tǒng)計(jì)模型來(lái)測(cè)試假設(shè)的步驟的指令還包括用于執(zhí)行以下步驟的指令確定所述新數(shù)據(jù)組的數(shù)據(jù)庫(kù)訪問(wèn)頻率�;以及從防護(hù)標(biāo)準(zhǔn)和概率函數(shù)參數(shù)確定閾值。
24.根據(jù)權(quán)利要求23所述的計(jì)算機(jī)可讀介質(zhì)�����,其中�����,用于執(zhí)行所述使用所述新數(shù)據(jù)組對(duì)照所述統(tǒng)計(jì)模型來(lái)測(cè)試假設(shè)的步驟的指令還包括用于執(zhí)行以下步驟的指令將所述新數(shù)據(jù)組的數(shù)據(jù)庫(kù)訪問(wèn)頻率與所述閾值進(jìn)行比較。
25.根據(jù)權(quán)利要求21所述的計(jì)算機(jī)可讀介質(zhì)�����,其中����,所述歷史信息關(guān)于一個(gè)或多個(gè)所選取的數(shù)據(jù)庫(kù)對(duì)象的數(shù)據(jù)庫(kù)訪問(wèn),并且其中�,用于執(zhí)行所述從所述歷史數(shù)據(jù)確定數(shù)據(jù)庫(kù)訪問(wèn)頻率的步驟的指令還包括用于執(zhí)行確定以下至少一個(gè)頻率的步驟的指令以一天中每小時(shí)計(jì)算的對(duì)象訪問(wèn)頻率,以一天中每小時(shí)和操作系統(tǒng)用戶計(jì)算的對(duì)象訪問(wèn)頻率���,以一天中每小時(shí)和數(shù)據(jù)庫(kù)用戶計(jì)算的對(duì)象訪問(wèn)頻率�,以一天中每小時(shí)和位置計(jì)算的對(duì)象訪問(wèn)頻率��,以及以一天中每小時(shí)和操作系統(tǒng)用戶�����、數(shù)據(jù)庫(kù)用戶����、和位置中至少兩個(gè)的組合計(jì)算的對(duì)象訪問(wèn)頻率。
26.根據(jù)權(quán)利要求21所述的計(jì)算機(jī)可讀介質(zhì)��,其中�,所述歷史信息關(guān)于一個(gè)或多個(gè)所選取的數(shù)據(jù)庫(kù)用戶的數(shù)據(jù)庫(kù)訪問(wèn),并且其中���,用于執(zhí)行所述從所述歷史數(shù)據(jù)確定數(shù)據(jù)庫(kù)訪問(wèn)頻率的步驟的指令還包括用于執(zhí)行確定以下至少一個(gè)頻率的步驟的指令以一天中每小時(shí)計(jì)算的用戶訪問(wèn)頻率�,以一天中每小時(shí)和操作系統(tǒng)用戶計(jì)算的用戶訪問(wèn)頻率����,以一天中每小時(shí)和數(shù)據(jù)庫(kù)用戶計(jì)算的用戶訪問(wèn)頻率,以一天中每小時(shí)和位置計(jì)算的用戶訪問(wèn)頻率�,以及以一天中每小時(shí)和操作系統(tǒng)用戶、數(shù)據(jù)庫(kù)用戶����、和位置中至少兩個(gè)的組合計(jì)算的用戶訪問(wèn)頻率。
27.根據(jù)權(quán)利要求21所述的計(jì)算機(jī)可讀介質(zhì)�,其中,所述歷史信息關(guān)于一個(gè)或多個(gè)所選取的數(shù)據(jù)庫(kù)用戶會(huì)話的數(shù)據(jù)庫(kù)訪問(wèn)��,并且其中���,用于執(zhí)行所述從所述歷史數(shù)據(jù)確定數(shù)據(jù)庫(kù)訪問(wèn)頻率的步驟的指令還包括用于執(zhí)行確定以下至少一個(gè)頻率的步驟的指令每個(gè)會(huì)話所讀取的頁(yè)面量����、每個(gè)會(huì)話的訪問(wèn)持續(xù)時(shí)間、每單位時(shí)間所讀取的頁(yè)面量��。
28.根據(jù)權(quán)利要求15所述的計(jì)算機(jī)可讀介質(zhì)�����,其中�,用于執(zhí)行所述目標(biāo)操作的步驟的指令包括用于執(zhí)行以下至少一個(gè)的指令產(chǎn)生報(bào)警、發(fā)送電子郵件����、生成報(bào)告、執(zhí)行可視化����。
29.一種設(shè)備,其包括用于收集表示一個(gè)或多個(gè)用戶如何使用數(shù)據(jù)庫(kù)的用戶行為數(shù)據(jù)的裝置����;用于處理并存儲(chǔ)所述數(shù)據(jù)作為歷史數(shù)據(jù)的裝置;用于分析所述歷史數(shù)據(jù)以確定行為模式的裝置���;用于接收表示一個(gè)或多個(gè)用戶已經(jīng)如何使用所述數(shù)據(jù)庫(kù)的新數(shù)據(jù)組的裝置;用于在所述新數(shù)據(jù)組與所述行為模式之間進(jìn)行比較的裝置;用于基于所述比較確定所述新數(shù)據(jù)組是否滿足標(biāo)準(zhǔn)組的裝置�����;用于如果所述新數(shù)據(jù)組滿足所述標(biāo)準(zhǔn)組則確定所述新數(shù)據(jù)組表示異?��;顒?dòng)的裝置�;以及用于通過(guò)執(zhí)行目標(biāo)操作來(lái)響應(yīng)所述確定的裝置�����。
30.一種設(shè)備����,包括數(shù)據(jù)收集器,用于收集表示一個(gè)或多個(gè)用戶如何使用數(shù)據(jù)庫(kù)的用戶行為數(shù)據(jù)�����、處理并存儲(chǔ)所述數(shù)據(jù)作為歷史數(shù)據(jù)�、以及接收表示一個(gè)或多個(gè)用戶已經(jīng)如何使用所述數(shù)據(jù)庫(kù)的新數(shù)據(jù)組;數(shù)據(jù)分析器���,用于分析所述歷史數(shù)據(jù)�����,以確定行為模式�;以及異常分析器,用于在所述新數(shù)據(jù)組與所述行為模式之間進(jìn)行比較����、基于所述比較確定所述新數(shù)據(jù)組是否滿足標(biāo)準(zhǔn)組、如果所述新數(shù)據(jù)組滿足所述標(biāo)準(zhǔn)組則確定所述新數(shù)據(jù)組表示異?;顒?dòng)、以及通過(guò)執(zhí)行目標(biāo)操作來(lái)響應(yīng)所述確定����。
全文摘要
本發(fā)明的實(shí)施例提供了用于監(jiān)控?cái)?shù)據(jù)庫(kù)系統(tǒng)異常活動(dòng)的技術(shù)���?����?梢宰詣?dòng)地收集和分析與被監(jiān)控的主體數(shù)據(jù)庫(kù)有關(guān)的用戶行為信息���,并將其與一個(gè)或多個(gè)策略比較,以檢測(cè)異?���;顒?dòng)。實(shí)施例從各個(gè)來(lái)源收集關(guān)于主體數(shù)據(jù)庫(kù)的用戶行為數(shù)據(jù)���,其中來(lái)源包括與數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)管理系統(tǒng)相合作的稽核記錄和動(dòng)態(tài)視圖��。實(shí)施例采用基于統(tǒng)計(jì)的侵入竊密檢測(cè)(SBID)和基于規(guī)則的侵入竊密檢測(cè)(RBID)中的一個(gè)或多個(gè)����,以檢測(cè)異常的數(shù)據(jù)庫(kù)活動(dòng)����。如果檢測(cè)出從標(biāo)準(zhǔn)使用模式得到的可疑數(shù)據(jù)庫(kù)的訪問(wèn),則執(zhí)行目標(biāo)操作��,例如�����,向負(fù)責(zé)安全的人員報(bào)警��,或生成報(bào)告�����、電子郵件警報(bào)等。
文檔編號(hào)G06F21/00GK1950778SQ200580014690
公開(kāi)日2007年4月18日 申請(qǐng)日期2005年2月16日 優(yōu)先權(quán)日2004年3月9日
發(fā)明者坂本紹夫, 周忠光, 瓦尼·G·唐, 胡建國(guó) 申請(qǐng)人:Ip鎖有限公司