本發(fā)明涉及一種數(shù)據(jù)庫(kù)技術(shù)領(lǐng)域，尤其是涉及一種基于場(chǎng)景感知的數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)及方法。

背景技術(shù)：

數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)主要用于監(jiān)視并記錄對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各類操作行為，通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的分析，實(shí)時(shí)地、智能地解析對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各類操作，并記入數(shù)據(jù)中心以便日后進(jìn)行查詢、分析、過濾，實(shí)現(xiàn)對(duì)目標(biāo)數(shù)據(jù)庫(kù)系統(tǒng)的用戶操作的監(jiān)控和審計(jì)。

因?yàn)樾枰獙?duì)網(wǎng)絡(luò)數(shù)據(jù)包做細(xì)粒度分析，為減少數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)業(yè)務(wù)負(fù)載，提高審計(jì)實(shí)時(shí)性，所以通常情況下需要管理員知道監(jiān)控網(wǎng)絡(luò)中有多少臺(tái)數(shù)據(jù)庫(kù)服務(wù)器，每臺(tái)服務(wù)器的ip地址是多少，分別是什么數(shù)據(jù)庫(kù)，只對(duì)訪問數(shù)據(jù)庫(kù)服務(wù)器的網(wǎng)絡(luò)報(bào)文進(jìn)行解包分析，其他無關(guān)包則全部忽略。

當(dāng)前數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)都給運(yùn)維人員提供業(yè)務(wù)主機(jī)配置入口，進(jìn)行數(shù)據(jù)庫(kù)安全設(shè)計(jì)系統(tǒng)部署時(shí)，運(yùn)維人員需要知道部署環(huán)境有哪些數(shù)據(jù)庫(kù)服務(wù)器、ip是多少，數(shù)據(jù)庫(kù)服務(wù)器使用什么協(xié)議。如果管理人員不能正確提供所需信息，或者提供信息錯(cuò)誤，就不能正確監(jiān)控?cái)?shù)據(jù)庫(kù)服務(wù)器，給運(yùn)維人員帶來不必要的麻煩。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于克服現(xiàn)有技術(shù)的缺陷，提供一種基于場(chǎng)景感知的數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)及方法，能夠自動(dòng)獲得用戶局域網(wǎng)中的數(shù)據(jù)庫(kù)服務(wù)器信息，并且自動(dòng)生成審計(jì)策略，避免了傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)在知道數(shù)據(jù)庫(kù)服務(wù)器ip、協(xié)議類型的情況下配置業(yè)務(wù)主機(jī)、審計(jì)服務(wù)，及審計(jì)策略過程。

為實(shí)現(xiàn)上述目的，本發(fā)明提出如下技術(shù)方案：一種基于場(chǎng)景感知的數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)，包括數(shù)據(jù)采集單元、學(xué)習(xí)引擎單元、自動(dòng)化審計(jì)策略生成單元，以及安全審計(jì)引擎單元，所述數(shù)據(jù)采集單元抓取用戶局域網(wǎng)中的數(shù)據(jù)包，并將數(shù)據(jù)包發(fā)送至學(xué)習(xí)引擎單元中，所述學(xué)習(xí)引擎單元對(duì)數(shù)據(jù)包進(jìn)行深度分析，獲取用戶局域網(wǎng)中存在的所有數(shù)據(jù)庫(kù)服務(wù)器信息，同時(shí)調(diào)用自動(dòng)化審計(jì)策略生成單元，所述自動(dòng)化審計(jì)策略生成單元根據(jù)數(shù)據(jù)庫(kù)服務(wù)器信息自動(dòng)生成業(yè)務(wù)主機(jī)、服務(wù)對(duì)象，并根據(jù)所述業(yè)務(wù)主機(jī)和服務(wù)對(duì)象自動(dòng)形成審計(jì)策略，所述安全審計(jì)引擎單元根據(jù)審計(jì)策略對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全審計(jì)。

優(yōu)選地，所述系統(tǒng)還包括端口配置單元，所述端口配置單元用于配置數(shù)據(jù)采集單元的數(shù)據(jù)采集端口。

優(yōu)選地，所述學(xué)習(xí)引擎單元包括數(shù)據(jù)包分析單元和服務(wù)器信息顯示單元，所述數(shù)據(jù)包分析單元對(duì)數(shù)據(jù)包進(jìn)行深度分析并獲得數(shù)據(jù)庫(kù)服務(wù)器信息，所述服務(wù)器信息顯示單元用于顯示獲得的數(shù)據(jù)庫(kù)服務(wù)器信息。

優(yōu)選地，所述數(shù)據(jù)包分析單元采用ndpi對(duì)數(shù)據(jù)包進(jìn)行深度分析。

優(yōu)選地，所述數(shù)據(jù)庫(kù)服務(wù)器信息包括數(shù)據(jù)庫(kù)服務(wù)器類型、數(shù)據(jù)庫(kù)服務(wù)器ip地址、傳輸層協(xié)議類型，以及使用的端口號(hào)。

優(yōu)選地，所述自動(dòng)化審計(jì)策略生成單元包括自動(dòng)化對(duì)象生成單元、規(guī)則集管理單元，以及自動(dòng)化策略管理單元，所述自動(dòng)化對(duì)象生成單元用于根據(jù)數(shù)據(jù)庫(kù)服務(wù)器ip地址和傳輸層協(xié)議類型自動(dòng)生成業(yè)務(wù)主機(jī)和服務(wù)對(duì)象，所述規(guī)則集管理單元用于配置數(shù)據(jù)庫(kù)安全審計(jì)規(guī)則，所述自動(dòng)化策略管理單元用于將數(shù)據(jù)庫(kù)安全審計(jì)規(guī)則應(yīng)用至業(yè)務(wù)主機(jī)和服務(wù)對(duì)象上，自動(dòng)形成審計(jì)策略。

優(yōu)選地，所述系統(tǒng)還包括告警單元和統(tǒng)計(jì)單元，所述告警單元用于在安全事件發(fā)生時(shí)產(chǎn)生告警信息，所述統(tǒng)計(jì)單元用于統(tǒng)計(jì)局域網(wǎng)中的用戶對(duì)數(shù)據(jù)庫(kù)的操作情況。

一種基于場(chǎng)景感知的數(shù)據(jù)庫(kù)安全審計(jì)方法，包括如下步驟：

步驟s1，在用戶局域網(wǎng)中旁接數(shù)據(jù)采集單元；

步驟s2，學(xué)習(xí)引擎單元對(duì)數(shù)據(jù)采集單元采集的數(shù)據(jù)包進(jìn)行深度分析；

步驟s3，學(xué)習(xí)引擎單元調(diào)用自動(dòng)化審計(jì)策略生成單元自動(dòng)生成業(yè)務(wù)主機(jī)、服務(wù)對(duì)象，并根據(jù)所述業(yè)務(wù)主機(jī)和服務(wù)對(duì)象自動(dòng)形成審計(jì)策略；

步驟s4，安全審計(jì)引擎單元根據(jù)審計(jì)策略對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全審計(jì)。

優(yōu)選地，步驟s2中，學(xué)習(xí)引擎單元采用ndpi對(duì)數(shù)據(jù)包分析獲得數(shù)據(jù)庫(kù)服務(wù)器ip地址、傳輸層協(xié)議類型。

優(yōu)選地，步驟s3中，自動(dòng)化審計(jì)策略生成單元包括自動(dòng)化對(duì)象生成單元、規(guī)則集管理單元，以及自動(dòng)化策略管理單元，所述規(guī)則集管理單元配置數(shù)據(jù)庫(kù)安全審計(jì)規(guī)則，所述自動(dòng)化對(duì)象生成單元根據(jù)數(shù)據(jù)庫(kù)服務(wù)器ip地址和協(xié)議類型自動(dòng)生成業(yè)務(wù)主機(jī)和服務(wù)對(duì)象，所述自動(dòng)化策略管理單元將數(shù)據(jù)庫(kù)安全審計(jì)規(guī)則應(yīng)用至業(yè)務(wù)主機(jī)和服務(wù)對(duì)象上，自動(dòng)形成審計(jì)策略。

本發(fā)明的有益效果是：

與現(xiàn)有技術(shù)相比，通過將本發(fā)明所述的數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)旁接至用戶局域網(wǎng)中，就能夠自動(dòng)獲得用戶局域網(wǎng)中的數(shù)據(jù)庫(kù)服務(wù)器信息，并且自動(dòng)生成審計(jì)策略，避免了傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)在知道數(shù)據(jù)庫(kù)服務(wù)器ip、傳輸層協(xié)議類型的情況下配置業(yè)務(wù)主機(jī)、審計(jì)服務(wù)，及審計(jì)策略過程，簡(jiǎn)化了數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)的配置過程，進(jìn)一步減少了運(yùn)維人員的失誤。

附圖說明

圖1是本發(fā)明的數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)框圖示意圖；

圖2是本發(fā)明的數(shù)據(jù)庫(kù)安全審計(jì)方法流程圖示意圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明的附圖，對(duì)本發(fā)明實(shí)施例的技術(shù)方案進(jìn)行清楚、完整的描述。

本發(fā)明所揭示的一種基于場(chǎng)景感知的數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)及方法，能夠自動(dòng)識(shí)別用戶局域網(wǎng)中數(shù)據(jù)庫(kù)服務(wù)器ip地址，以及使用的協(xié)議類型，可自動(dòng)生成審計(jì)策略，也可手動(dòng)配置審計(jì)策略。

如圖1所示，基于場(chǎng)景感知的數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)包括數(shù)據(jù)采集單元、學(xué)習(xí)引擎單元、自動(dòng)化審計(jì)策略生成單元，以及安全審計(jì)引擎單元。其中，數(shù)據(jù)采集單元用于抓取用戶局域網(wǎng)中的數(shù)據(jù)包，并將數(shù)據(jù)包發(fā)送至學(xué)習(xí)引擎單元中；學(xué)習(xí)引擎單元用于對(duì)數(shù)據(jù)包進(jìn)行深度分析，獲取用戶局域網(wǎng)中存在的所有數(shù)據(jù)庫(kù)服務(wù)器信息，同時(shí)調(diào)用自動(dòng)化審計(jì)策略生成單元。進(jìn)一步地，數(shù)據(jù)庫(kù)服務(wù)器信息包括數(shù)據(jù)庫(kù)服務(wù)器類型(oracle、mysql等)、數(shù)據(jù)庫(kù)服務(wù)器ip地址、傳輸層協(xié)議類型，以及使用的端口號(hào)。自動(dòng)化審計(jì)策略生成單元根據(jù)數(shù)據(jù)庫(kù)服務(wù)器ip地址，以及傳輸層協(xié)議類型自動(dòng)生成業(yè)務(wù)主機(jī)和服務(wù)對(duì)象，并進(jìn)一步自動(dòng)生成審計(jì)策略；安全審計(jì)引擎單元根據(jù)審計(jì)策略對(duì)數(shù)據(jù)庫(kù)進(jìn)行監(jiān)視并記錄數(shù)據(jù)庫(kù)服務(wù)器的各類操作行為。

進(jìn)一步地，基于場(chǎng)景感知的數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)還包括端口配置單元，所述端口配置單元用于配置數(shù)據(jù)采集單元的數(shù)據(jù)采集端口。當(dāng)數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)旁接至用戶的局域網(wǎng)中后，通過配置數(shù)據(jù)采集端口來采集網(wǎng)絡(luò)中的數(shù)據(jù)，可以在采集數(shù)據(jù)的同時(shí)又能夠不影響數(shù)據(jù)庫(kù)服務(wù)器的性能。

所述學(xué)習(xí)引擎單元包括數(shù)據(jù)包分析單元和服務(wù)器信息顯示單元，所述數(shù)據(jù)包分析單元對(duì)數(shù)據(jù)采集單元采集的數(shù)據(jù)進(jìn)行深度分析并獲得數(shù)據(jù)庫(kù)服務(wù)器信息；服務(wù)器信息顯示單元用于顯示獲得的數(shù)據(jù)庫(kù)服務(wù)器信息。

本實(shí)施例中，數(shù)據(jù)包分析單元采用ndpi(一種基于opendpi框架的深度報(bào)文分析的工具)對(duì)數(shù)據(jù)包進(jìn)行分析。具體的，首先構(gòu)建數(shù)據(jù)包分析結(jié)構(gòu)體，其次構(gòu)建各種檢測(cè)函數(shù)，如tcp(transmissioncontrolprotocol，傳輸控制協(xié)議)協(xié)議帶payload(負(fù)載)檢測(cè)函數(shù)、tcp協(xié)議不帶payload檢測(cè)函數(shù)、udp(userdatagramprotocol，用戶數(shù)據(jù)報(bào)協(xié)議)協(xié)議帶payload檢測(cè)函數(shù)、udp協(xié)議不帶payload檢測(cè)函數(shù)等，最后將檢測(cè)函數(shù)添加至數(shù)據(jù)包分析結(jié)構(gòu)體中。如獲得數(shù)據(jù)庫(kù)服務(wù)器使用的傳輸層協(xié)議類型時(shí)，數(shù)據(jù)包分析結(jié)構(gòu)體對(duì)數(shù)據(jù)采集單元采集的數(shù)據(jù)包進(jìn)行分析，并返回protocol協(xié)議號(hào)，若protocol協(xié)議號(hào)為17，則表示使用的傳輸層協(xié)議為udp協(xié)議，若protocol協(xié)議號(hào)為6，則表示使用的傳輸層協(xié)議為tcp協(xié)議。同理，可以獲得數(shù)據(jù)庫(kù)服務(wù)器ip地址等。

所述自動(dòng)化審計(jì)策略生成單元包括自動(dòng)化對(duì)象生成單元、規(guī)則集管理單元，以及自動(dòng)化策略管理單元。其中，所述自動(dòng)化對(duì)象生成單元用于根據(jù)數(shù)據(jù)庫(kù)服務(wù)器ip地址和協(xié)議類型自動(dòng)生成業(yè)務(wù)主機(jī)和服務(wù)對(duì)象，所述規(guī)則集管理單元用于配置數(shù)據(jù)庫(kù)安全審計(jì)規(guī)則，所述自動(dòng)化策略管理單元用于將數(shù)據(jù)庫(kù)安全審計(jì)規(guī)則應(yīng)用至業(yè)務(wù)主機(jī)和服務(wù)對(duì)象上，自動(dòng)形成審計(jì)策略。本實(shí)施例中所述的業(yè)務(wù)主機(jī)和服務(wù)對(duì)象與被安全審計(jì)的數(shù)據(jù)庫(kù)相對(duì)應(yīng)，即業(yè)務(wù)主機(jī)對(duì)應(yīng)數(shù)據(jù)庫(kù)服務(wù)器ip地址，服務(wù)對(duì)象對(duì)應(yīng)數(shù)據(jù)庫(kù)使用的傳輸層協(xié)議。只有將業(yè)務(wù)主機(jī)和服務(wù)對(duì)象與數(shù)據(jù)庫(kù)安全審計(jì)規(guī)則相結(jié)合，才能對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全審計(jì)。

進(jìn)一步地，所述基于場(chǎng)景感知的數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)還包括告警單元和統(tǒng)計(jì)單元(圖未示)，所述告警單元用于在安全事件發(fā)生時(shí)產(chǎn)生告警信息，所述統(tǒng)計(jì)單元用于統(tǒng)計(jì)局域網(wǎng)中的用戶對(duì)數(shù)據(jù)庫(kù)的操作情況。

如圖2所示，一種基于場(chǎng)景感知的數(shù)據(jù)庫(kù)安全審計(jì)方法，包括如下步驟：

步驟s1，在用戶局域網(wǎng)中旁接數(shù)據(jù)采集單元；

具體的，在用戶局域網(wǎng)中旁接數(shù)據(jù)采集單元，并通過端口配置單元配置數(shù)據(jù)采集端口，數(shù)據(jù)采集單元采集局域網(wǎng)中數(shù)據(jù)并傳輸至學(xué)習(xí)引擎單元中。

步驟s2，學(xué)習(xí)引擎單元對(duì)數(shù)據(jù)采集單元采集的數(shù)據(jù)包進(jìn)行深度分析；

具體的，學(xué)習(xí)引擎單元包括數(shù)據(jù)包分析單元和服務(wù)器信息顯示單元，所述數(shù)據(jù)包分析單元采用ndpi對(duì)數(shù)據(jù)包不斷地進(jìn)行深度分析，進(jìn)而獲得數(shù)據(jù)庫(kù)服務(wù)器信息，并在服務(wù)器信息顯示單元顯示獲得的數(shù)據(jù)庫(kù)服務(wù)器信息。若學(xué)習(xí)引擎單元通過對(duì)數(shù)據(jù)包進(jìn)行深度解析后未檢測(cè)到數(shù)據(jù)庫(kù)服務(wù)器，則結(jié)束數(shù)據(jù)采集并停止分析。進(jìn)一步地，數(shù)據(jù)庫(kù)服務(wù)器信息包括數(shù)據(jù)庫(kù)服務(wù)器類型(oracle、mysql等)、數(shù)據(jù)庫(kù)服務(wù)器ip地址、傳輸層協(xié)議類型，以及使用的端口號(hào)等。

步驟s3，學(xué)習(xí)引擎單元調(diào)用自動(dòng)化審計(jì)策略生成單元自動(dòng)生成業(yè)務(wù)主機(jī)、服務(wù)對(duì)象，并根據(jù)所述業(yè)務(wù)主機(jī)和服務(wù)對(duì)象自動(dòng)形成審計(jì)策略；

具體的，自動(dòng)化審計(jì)策略生成單元包括自動(dòng)化對(duì)象生成單元、規(guī)則集管理單元，以及自動(dòng)化策略管理單元。規(guī)則集管理單元配置數(shù)據(jù)庫(kù)安全審計(jì)規(guī)則，同時(shí)，自動(dòng)化對(duì)象生成單元根據(jù)數(shù)據(jù)庫(kù)服務(wù)器ip地址和協(xié)議類型自動(dòng)生成業(yè)務(wù)主機(jī)和服務(wù)對(duì)象，自動(dòng)化策略管理單元將數(shù)據(jù)庫(kù)安全審計(jì)規(guī)則應(yīng)用至業(yè)務(wù)主機(jī)和服務(wù)對(duì)象上，自動(dòng)形成審計(jì)策略。

步驟s4，安全審計(jì)引擎單元根據(jù)審計(jì)策略對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全審計(jì)。

具體的，安全審計(jì)引擎單元根據(jù)審計(jì)策略對(duì)相應(yīng)的數(shù)據(jù)庫(kù)進(jìn)行安全審計(jì)，監(jiān)視并記錄數(shù)據(jù)庫(kù)服務(wù)器的各類操作行為，并在安全事件發(fā)生時(shí)，通過告警單元產(chǎn)生告警信息。

與現(xiàn)有技術(shù)相比，通過將本發(fā)明所述的數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)旁接至用戶局域網(wǎng)中，就能夠自動(dòng)獲得用戶局域網(wǎng)中的數(shù)據(jù)庫(kù)服務(wù)器信息，并且自動(dòng)生成審計(jì)策略，避免了傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)在知道數(shù)據(jù)庫(kù)服務(wù)器ip、協(xié)議類型的情況下配置業(yè)務(wù)主機(jī)、審計(jì)服務(wù)，及審計(jì)策略過程，簡(jiǎn)化了數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)的配置過程，方便運(yùn)維人員部署數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)，并進(jìn)一步減少了運(yùn)維人員的失誤。

本發(fā)明的技術(shù)內(nèi)容及技術(shù)特征已揭示如上，然而熟悉本領(lǐng)域的技術(shù)人員仍可能基于本發(fā)明的教示及揭示而作種種不背離本發(fā)明精神的替換及修飾，因此，本發(fā)明保護(hù)范圍應(yīng)不限于實(shí)施例所揭示的內(nèi)容，而應(yīng)包括各種不背離本發(fā)明的替換及修飾，并為本專利申請(qǐng)權(quán)利要求所涵蓋。