本發(fā)明涉及一種數(shù)據(jù)庫技術(shù)領(lǐng)域，尤其是涉及一種基于場景感知的數(shù)據(jù)庫安全審計系統(tǒng)及方法。

背景技術(shù)：

數(shù)據(jù)庫安全審計系統(tǒng)主要用于監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為，通過對網(wǎng)絡(luò)數(shù)據(jù)的分析，實時地、智能地解析對數(shù)據(jù)庫服務(wù)器的各類操作，并記入數(shù)據(jù)中心以便日后進(jìn)行查詢、分析、過濾，實現(xiàn)對目標(biāo)數(shù)據(jù)庫系統(tǒng)的用戶操作的監(jiān)控和審計。

因為需要對網(wǎng)絡(luò)數(shù)據(jù)包做細(xì)粒度分析，為減少數(shù)據(jù)庫審計系統(tǒng)業(yè)務(wù)負(fù)載，提高審計實時性，所以通常情況下需要管理員知道監(jiān)控網(wǎng)絡(luò)中有多少臺數(shù)據(jù)庫服務(wù)器，每臺服務(wù)器的ip地址是多少，分別是什么數(shù)據(jù)庫，只對訪問數(shù)據(jù)庫服務(wù)器的網(wǎng)絡(luò)報文進(jìn)行解包分析，其他無關(guān)包則全部忽略。

當(dāng)前數(shù)據(jù)庫安全審計系統(tǒng)都給運維人員提供業(yè)務(wù)主機(jī)配置入口，進(jìn)行數(shù)據(jù)庫安全設(shè)計系統(tǒng)部署時，運維人員需要知道部署環(huán)境有哪些數(shù)據(jù)庫服務(wù)器、ip是多少，數(shù)據(jù)庫服務(wù)器使用什么協(xié)議。如果管理人員不能正確提供所需信息，或者提供信息錯誤，就不能正確監(jiān)控數(shù)據(jù)庫服務(wù)器，給運維人員帶來不必要的麻煩。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的在于克服現(xiàn)有技術(shù)的缺陷，提供一種基于場景感知的數(shù)據(jù)庫安全審計系統(tǒng)及方法，能夠自動獲得用戶局域網(wǎng)中的數(shù)據(jù)庫服務(wù)器信息，并且自動生成審計策略，避免了傳統(tǒng)數(shù)據(jù)庫審計系統(tǒng)在知道數(shù)據(jù)庫服務(wù)器ip、協(xié)議類型的情況下配置業(yè)務(wù)主機(jī)、審計服務(wù)，及審計策略過程。

為實現(xiàn)上述目的，本發(fā)明提出如下技術(shù)方案：一種基于場景感知的數(shù)據(jù)庫安全審計系統(tǒng)，包括數(shù)據(jù)采集單元、學(xué)習(xí)引擎單元、自動化審計策略生成單元，以及安全審計引擎單元，所述數(shù)據(jù)采集單元抓取用戶局域網(wǎng)中的數(shù)據(jù)包，并將數(shù)據(jù)包發(fā)送至學(xué)習(xí)引擎單元中，所述學(xué)習(xí)引擎單元對數(shù)據(jù)包進(jìn)行深度分析，獲取用戶局域網(wǎng)中存在的所有數(shù)據(jù)庫服務(wù)器信息，同時調(diào)用自動化審計策略生成單元，所述自動化審計策略生成單元根據(jù)數(shù)據(jù)庫服務(wù)器信息自動生成業(yè)務(wù)主機(jī)、服務(wù)對象，并根據(jù)所述業(yè)務(wù)主機(jī)和服務(wù)對象自動形成審計策略，所述安全審計引擎單元根據(jù)審計策略對數(shù)據(jù)庫進(jìn)行安全審計。

優(yōu)選地，所述系統(tǒng)還包括端口配置單元，所述端口配置單元用于配置數(shù)據(jù)采集單元的數(shù)據(jù)采集端口。

優(yōu)選地，所述學(xué)習(xí)引擎單元包括數(shù)據(jù)包分析單元和服務(wù)器信息顯示單元，所述數(shù)據(jù)包分析單元對數(shù)據(jù)包進(jìn)行深度分析并獲得數(shù)據(jù)庫服務(wù)器信息，所述服務(wù)器信息顯示單元用于顯示獲得的數(shù)據(jù)庫服務(wù)器信息。

優(yōu)選地，所述數(shù)據(jù)包分析單元采用ndpi對數(shù)據(jù)包進(jìn)行深度分析。

優(yōu)選地，所述數(shù)據(jù)庫服務(wù)器信息包括數(shù)據(jù)庫服務(wù)器類型、數(shù)據(jù)庫服務(wù)器ip地址、傳輸層協(xié)議類型，以及使用的端口號。

優(yōu)選地，所述自動化審計策略生成單元包括自動化對象生成單元、規(guī)則集管理單元，以及自動化策略管理單元，所述自動化對象生成單元用于根據(jù)數(shù)據(jù)庫服務(wù)器ip地址和傳輸層協(xié)議類型自動生成業(yè)務(wù)主機(jī)和服務(wù)對象，所述規(guī)則集管理單元用于配置數(shù)據(jù)庫安全審計規(guī)則，所述自動化策略管理單元用于將數(shù)據(jù)庫安全審計規(guī)則應(yīng)用至業(yè)務(wù)主機(jī)和服務(wù)對象上，自動形成審計策略。

優(yōu)選地，所述系統(tǒng)還包括告警單元和統(tǒng)計單元，所述告警單元用于在安全事件發(fā)生時產(chǎn)生告警信息，所述統(tǒng)計單元用于統(tǒng)計局域網(wǎng)中的用戶對數(shù)據(jù)庫的操作情況。

一種基于場景感知的數(shù)據(jù)庫安全審計方法，包括如下步驟：

步驟s1，在用戶局域網(wǎng)中旁接數(shù)據(jù)采集單元；

步驟s2，學(xué)習(xí)引擎單元對數(shù)據(jù)采集單元采集的數(shù)據(jù)包進(jìn)行深度分析；

步驟s3，學(xué)習(xí)引擎單元調(diào)用自動化審計策略生成單元自動生成業(yè)務(wù)主機(jī)、服務(wù)對象，并根據(jù)所述業(yè)務(wù)主機(jī)和服務(wù)對象自動形成審計策略；

步驟s4，安全審計引擎單元根據(jù)審計策略對數(shù)據(jù)庫進(jìn)行安全審計。

優(yōu)選地，步驟s2中，學(xué)習(xí)引擎單元采用ndpi對數(shù)據(jù)包分析獲得數(shù)據(jù)庫服務(wù)器ip地址、傳輸層協(xié)議類型。

優(yōu)選地，步驟s3中，自動化審計策略生成單元包括自動化對象生成單元、規(guī)則集管理單元，以及自動化策略管理單元，所述規(guī)則集管理單元配置數(shù)據(jù)庫安全審計規(guī)則，所述自動化對象生成單元根據(jù)數(shù)據(jù)庫服務(wù)器ip地址和協(xié)議類型自動生成業(yè)務(wù)主機(jī)和服務(wù)對象，所述自動化策略管理單元將數(shù)據(jù)庫安全審計規(guī)則應(yīng)用至業(yè)務(wù)主機(jī)和服務(wù)對象上，自動形成審計策略。

本發(fā)明的有益效果是：

與現(xiàn)有技術(shù)相比，通過將本發(fā)明所述的數(shù)據(jù)庫安全審計系統(tǒng)旁接至用戶局域網(wǎng)中，就能夠自動獲得用戶局域網(wǎng)中的數(shù)據(jù)庫服務(wù)器信息，并且自動生成審計策略，避免了傳統(tǒng)數(shù)據(jù)庫審計系統(tǒng)在知道數(shù)據(jù)庫服務(wù)器ip、傳輸層協(xié)議類型的情況下配置業(yè)務(wù)主機(jī)、審計服務(wù)，及審計策略過程，簡化了數(shù)據(jù)庫安全審計系統(tǒng)的配置過程，進(jìn)一步減少了運維人員的失誤。

附圖說明

圖1是本發(fā)明的數(shù)據(jù)庫安全審計系統(tǒng)框圖示意圖；

圖2是本發(fā)明的數(shù)據(jù)庫安全審計方法流程圖示意圖。

具體實施方式

下面將結(jié)合本發(fā)明的附圖，對本發(fā)明實施例的技術(shù)方案進(jìn)行清楚、完整的描述。

本發(fā)明所揭示的一種基于場景感知的數(shù)據(jù)庫安全審計系統(tǒng)及方法，能夠自動識別用戶局域網(wǎng)中數(shù)據(jù)庫服務(wù)器ip地址，以及使用的協(xié)議類型，可自動生成審計策略，也可手動配置審計策略。

如圖1所示，基于場景感知的數(shù)據(jù)庫安全審計系統(tǒng)包括數(shù)據(jù)采集單元、學(xué)習(xí)引擎單元、自動化審計策略生成單元，以及安全審計引擎單元。其中，數(shù)據(jù)采集單元用于抓取用戶局域網(wǎng)中的數(shù)據(jù)包，并將數(shù)據(jù)包發(fā)送至學(xué)習(xí)引擎單元中；學(xué)習(xí)引擎單元用于對數(shù)據(jù)包進(jìn)行深度分析，獲取用戶局域網(wǎng)中存在的所有數(shù)據(jù)庫服務(wù)器信息，同時調(diào)用自動化審計策略生成單元。進(jìn)一步地，數(shù)據(jù)庫服務(wù)器信息包括數(shù)據(jù)庫服務(wù)器類型(oracle、mysql等)、數(shù)據(jù)庫服務(wù)器ip地址、傳輸層協(xié)議類型，以及使用的端口號。自動化審計策略生成單元根據(jù)數(shù)據(jù)庫服務(wù)器ip地址，以及傳輸層協(xié)議類型自動生成業(yè)務(wù)主機(jī)和服務(wù)對象，并進(jìn)一步自動生成審計策略；安全審計引擎單元根據(jù)審計策略對數(shù)據(jù)庫進(jìn)行監(jiān)視并記錄數(shù)據(jù)庫服務(wù)器的各類操作行為。

進(jìn)一步地，基于場景感知的數(shù)據(jù)庫安全審計系統(tǒng)還包括端口配置單元，所述端口配置單元用于配置數(shù)據(jù)采集單元的數(shù)據(jù)采集端口。當(dāng)數(shù)據(jù)庫安全審計系統(tǒng)旁接至用戶的局域網(wǎng)中后，通過配置數(shù)據(jù)采集端口來采集網(wǎng)絡(luò)中的數(shù)據(jù)，可以在采集數(shù)據(jù)的同時又能夠不影響數(shù)據(jù)庫服務(wù)器的性能。

所述學(xué)習(xí)引擎單元包括數(shù)據(jù)包分析單元和服務(wù)器信息顯示單元，所述數(shù)據(jù)包分析單元對數(shù)據(jù)采集單元采集的數(shù)據(jù)進(jìn)行深度分析并獲得數(shù)據(jù)庫服務(wù)器信息；服務(wù)器信息顯示單元用于顯示獲得的數(shù)據(jù)庫服務(wù)器信息。

本實施例中，數(shù)據(jù)包分析單元采用ndpi(一種基于opendpi框架的深度報文分析的工具)對數(shù)據(jù)包進(jìn)行分析。具體的，首先構(gòu)建數(shù)據(jù)包分析結(jié)構(gòu)體，其次構(gòu)建各種檢測函數(shù)，如tcp(transmissioncontrolprotocol，傳輸控制協(xié)議)協(xié)議帶payload(負(fù)載)檢測函數(shù)、tcp協(xié)議不帶payload檢測函數(shù)、udp(userdatagramprotocol，用戶數(shù)據(jù)報協(xié)議)協(xié)議帶payload檢測函數(shù)、udp協(xié)議不帶payload檢測函數(shù)等，最后將檢測函數(shù)添加至數(shù)據(jù)包分析結(jié)構(gòu)體中。如獲得數(shù)據(jù)庫服務(wù)器使用的傳輸層協(xié)議類型時，數(shù)據(jù)包分析結(jié)構(gòu)體對數(shù)據(jù)采集單元采集的數(shù)據(jù)包進(jìn)行分析，并返回protocol協(xié)議號，若protocol協(xié)議號為17，則表示使用的傳輸層協(xié)議為udp協(xié)議，若protocol協(xié)議號為6，則表示使用的傳輸層協(xié)議為tcp協(xié)議。同理，可以獲得數(shù)據(jù)庫服務(wù)器ip地址等。

所述自動化審計策略生成單元包括自動化對象生成單元、規(guī)則集管理單元，以及自動化策略管理單元。其中，所述自動化對象生成單元用于根據(jù)數(shù)據(jù)庫服務(wù)器ip地址和協(xié)議類型自動生成業(yè)務(wù)主機(jī)和服務(wù)對象，所述規(guī)則集管理單元用于配置數(shù)據(jù)庫安全審計規(guī)則，所述自動化策略管理單元用于將數(shù)據(jù)庫安全審計規(guī)則應(yīng)用至業(yè)務(wù)主機(jī)和服務(wù)對象上，自動形成審計策略。本實施例中所述的業(yè)務(wù)主機(jī)和服務(wù)對象與被安全審計的數(shù)據(jù)庫相對應(yīng)，即業(yè)務(wù)主機(jī)對應(yīng)數(shù)據(jù)庫服務(wù)器ip地址，服務(wù)對象對應(yīng)數(shù)據(jù)庫使用的傳輸層協(xié)議。只有將業(yè)務(wù)主機(jī)和服務(wù)對象與數(shù)據(jù)庫安全審計規(guī)則相結(jié)合，才能對數(shù)據(jù)庫進(jìn)行安全審計。

進(jìn)一步地，所述基于場景感知的數(shù)據(jù)庫安全審計系統(tǒng)還包括告警單元和統(tǒng)計單元(圖未示)，所述告警單元用于在安全事件發(fā)生時產(chǎn)生告警信息，所述統(tǒng)計單元用于統(tǒng)計局域網(wǎng)中的用戶對數(shù)據(jù)庫的操作情況。

如圖2所示，一種基于場景感知的數(shù)據(jù)庫安全審計方法，包括如下步驟：

步驟s1，在用戶局域網(wǎng)中旁接數(shù)據(jù)采集單元；

具體的，在用戶局域網(wǎng)中旁接數(shù)據(jù)采集單元，并通過端口配置單元配置數(shù)據(jù)采集端口，數(shù)據(jù)采集單元采集局域網(wǎng)中數(shù)據(jù)并傳輸至學(xué)習(xí)引擎單元中。

步驟s2，學(xué)習(xí)引擎單元對數(shù)據(jù)采集單元采集的數(shù)據(jù)包進(jìn)行深度分析；

具體的，學(xué)習(xí)引擎單元包括數(shù)據(jù)包分析單元和服務(wù)器信息顯示單元，所述數(shù)據(jù)包分析單元采用ndpi對數(shù)據(jù)包不斷地進(jìn)行深度分析，進(jìn)而獲得數(shù)據(jù)庫服務(wù)器信息，并在服務(wù)器信息顯示單元顯示獲得的數(shù)據(jù)庫服務(wù)器信息。若學(xué)習(xí)引擎單元通過對數(shù)據(jù)包進(jìn)行深度解析后未檢測到數(shù)據(jù)庫服務(wù)器，則結(jié)束數(shù)據(jù)采集并停止分析。進(jìn)一步地，數(shù)據(jù)庫服務(wù)器信息包括數(shù)據(jù)庫服務(wù)器類型(oracle、mysql等)、數(shù)據(jù)庫服務(wù)器ip地址、傳輸層協(xié)議類型，以及使用的端口號等。

步驟s3，學(xué)習(xí)引擎單元調(diào)用自動化審計策略生成單元自動生成業(yè)務(wù)主機(jī)、服務(wù)對象，并根據(jù)所述業(yè)務(wù)主機(jī)和服務(wù)對象自動形成審計策略；

具體的，自動化審計策略生成單元包括自動化對象生成單元、規(guī)則集管理單元，以及自動化策略管理單元。規(guī)則集管理單元配置數(shù)據(jù)庫安全審計規(guī)則，同時，自動化對象生成單元根據(jù)數(shù)據(jù)庫服務(wù)器ip地址和協(xié)議類型自動生成業(yè)務(wù)主機(jī)和服務(wù)對象，自動化策略管理單元將數(shù)據(jù)庫安全審計規(guī)則應(yīng)用至業(yè)務(wù)主機(jī)和服務(wù)對象上，自動形成審計策略。

步驟s4，安全審計引擎單元根據(jù)審計策略對數(shù)據(jù)庫進(jìn)行安全審計。

具體的，安全審計引擎單元根據(jù)審計策略對相應(yīng)的數(shù)據(jù)庫進(jìn)行安全審計，監(jiān)視并記錄數(shù)據(jù)庫服務(wù)器的各類操作行為，并在安全事件發(fā)生時，通過告警單元產(chǎn)生告警信息。

與現(xiàn)有技術(shù)相比，通過將本發(fā)明所述的數(shù)據(jù)庫安全審計系統(tǒng)旁接至用戶局域網(wǎng)中，就能夠自動獲得用戶局域網(wǎng)中的數(shù)據(jù)庫服務(wù)器信息，并且自動生成審計策略，避免了傳統(tǒng)數(shù)據(jù)庫審計系統(tǒng)在知道數(shù)據(jù)庫服務(wù)器ip、協(xié)議類型的情況下配置業(yè)務(wù)主機(jī)、審計服務(wù)，及審計策略過程，簡化了數(shù)據(jù)庫安全審計系統(tǒng)的配置過程，方便運維人員部署數(shù)據(jù)庫安全審計系統(tǒng)，并進(jìn)一步減少了運維人員的失誤。

本發(fā)明的技術(shù)內(nèi)容及技術(shù)特征已揭示如上，然而熟悉本領(lǐng)域的技術(shù)人員仍可能基于本發(fā)明的教示及揭示而作種種不背離本發(fā)明精神的替換及修飾，因此，本發(fā)明保護(hù)范圍應(yīng)不限于實施例所揭示的內(nèi)容，而應(yīng)包括各種不背離本發(fā)明的替換及修飾，并為本專利申請權(quán)利要求所涵蓋。