CN111159706A - 数据库安全检测方法、装置、设备及存储介质 - Google Patents
数据库安全检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111159706A CN111159706A CN201911363333.XA CN201911363333A CN111159706A CN 111159706 A CN111159706 A CN 111159706A CN 201911363333 A CN201911363333 A CN 201911363333A CN 111159706 A CN111159706 A CN 111159706A
- Authority
- CN
- China
- Prior art keywords
- database
- user
- model
- access log
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 121
- 230000002159 abnormal effect Effects 0.000 claims abstract description 74
- 238000000034 method Methods 0.000 claims abstract description 28
- 230000006399 behavior Effects 0.000 claims description 77
- 238000012549 training Methods 0.000 claims description 26
- 238000004590 computer program Methods 0.000 claims description 12
- 238000010801 machine learning Methods 0.000 claims description 10
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 4
- 230000009286 beneficial effect Effects 0.000 abstract 1
- 230000001360 synchronised effect Effects 0.000 description 6
- 230000005856 abnormality Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000012550 audit Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/219—Managing data history or versioning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种数据库安全检测方法、装置、设备及存储介质。其中,该方法包括:获取访问数据库的流量数据;对所述流量数据进行解析,得到用于反映用户访问行为的当前访问日志;对所述当前访问日志基于基线模型进行行为检测,得到当前访问是否异常的检测结果;其中,所述基线模型是基于所述数据库的历史访问日志生成的。本发明实施例可以对获取的访问数据库的流量数据进行解析,得到用于反映用户访问行为的当前访问日志,对所述当前访问日志基于基线模型进行行为检测,可以基于用户访问行为来判断数据库是否存在安全隐患,利于提升数据库的安全性。
Description
技术领域
本发明涉及数据库安全领域,尤其涉及一种数据库安全检测方法、装置、设备及存储介质。
背景技术
数据库(Database)是按照数据结构来组织、存储和管理数据的仓库,是一个计算机软件***。数据库是以一定方式储存在一起、能与多个用户共享、具有尽可能小的冗余度、与应用程序彼此独立的数据集合。用户可以对集合中的数据进行新增、查询、更新、删除等操作。
入侵是数据库的应用***面临的主要安全威胁,如何准确、快速的对数据库进行安全检测,找出可疑的入侵行为,是数据库安全领域的一个难题。相关技术中,针对数据库的安全检测往往仅停留在SQL(Structured Query Language,结构化查询语言)层面,比如恶意的SQL注入等,难以满足数据库的安全性要求。
发明内容
有鉴于此,本发明实施例提供了一种数据库安全检测方法、装置、设备及存储介质,旨在提高数据库的安全性。
本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种数据库安全检测方法,包括:
获取访问数据库的流量数据;
对所述流量数据进行解析,得到用于反映用户访问行为的当前访问日志;
对所述当前访问日志基于基线模型进行行为检测,得到当前访问是否异常的检测结果;
其中,所述基线模型是基于所述数据库的历史访问日志生成的。
本发明实施例还提供了一种数据库安全检测装置,包括:
获取模块,用于获取访问数据库的流量数据;
解析模块,用于对所述流量数据进行解析,得到用于反映用户访问行为的当前访问日志;
检测模块,用于对所述当前访问日志基于基线模型进行行为检测,得到当前访问是否异常的检测结果;
其中,所述基线模型是基于所述数据库的历史访问日志生成的。
本发明实施例又提供了一种数据库安全检测设备,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器,用于运行计算机程序时,执行本发明任一实施例所述方法的步骤。
本发明实施例还提供了一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本发明任一实施例所述方法的步骤。
本发明实施例提供的技术方案,获取访问数据库的流量数据后;可以对获取的访问数据库的流量数据进行解析,得到用于反映用户访问行为的当前访问日志,对所述当前访问日志基于基线模型进行行为检测,可以基于用户访问行为来判断数据库是否存在安全隐患,利于提升数据库的安全性。
附图说明
图1为本发明实施例数据库安全检测方法的流程示意图;
图2为本发明应用实施例数据库安全检测方法的流程示意图;
图3为本发明实施例数据库安全检测装置的结构示意图;
图4为本发明实施例数据库安全检测设备的结构示意图。
具体实施方式
下面结合附图及实施例对本发明再作进一步详细的描述。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
本发明实施例提供了一种数据库安全检测方法,应用于数据库安全检测设备,如图1所示,该方法包括:
步骤101,获取访问数据库的流量数据;
这里,数据库可以为各种类型的数据库,包括:关系型数据库和非关系型数据库。其中,关系型数据库可以为Oracle、MySQL、SQLserver、Sybase、DB2等,非关系型数据库可以为MongoDB、HBase等。
数据库安全检测设备可以通过防火墙等流量监听装置获取访问数据库的流量数据。这里,流量数据可以包括:对数据库的各种操作对应的访问请求及访问响应的数据,各种操作可以包括:登录、退出、查询记录、新增记录、修改记录、删除记录、创建表、修改表结构等操作。
步骤102,对所述流量数据进行解析,得到用于反映用户访问行为的当前访问日志;
这里,数据库安全检测设备可以调用数据库对应的解析器,对所述流量数据进行解析,得到用于反映用户访问行为的当前访问日志。
在一实施例中,所述对所述流量数据进行解析,得到用于反映用户访问行为的当前访问日志,包括:对所述流量数据基于所述数据库的协议类型进行解析,得到统一格式的结构化数据,所述结构化数据作为用于反映用户访问行为的当前访问日志。
这里,解析是指根据数据库的协议类型,将访问请求及访问响应的数据转换成统一格式的结构化数据,从而形成统一格式的访问日志。示例性地,访问日志可以包括:源IP、源端口、目的IP、目的端口、操作类型、操作结果、操作的数据库名、操作的表名、操作时间、用户名、原始SQL、响应结果、影响的行数等。
实际应用中,每种数据库使用的通信协议类型可能不同,因此,不同的数据库可以对应不同的解析器。比如,MySQL数据库使用的协议是mysql;Oracle数据库使用的协议是TNS;SQLserver和Sybase使用的协议是TDS;DB2使用的协议是DRDA协议。可以根据相应的协议类型设置相应的用于解析协议的解析器。
需要说明的是,对于同一数据库,若不同的数据库版本采用不同的协议版本,该数据库对应的解析器需要兼容不同的协议版本。
步骤103,对所述当前访问日志基于基线模型进行行为检测,得到当前访问是否异常的检测结果。
这里,所述基线模型是基于所述数据库的历史访问日志生成的。历史访问日志是指对访问所述数据库的历史流量数据进行解析后,得到的统一格式的访问日志。
本发明实施例数据库安全检测方法,获取访问数据库的流量数据后;可以对获取的访问数据库的流量数据进行解析,得到用于反映用户访问行为的当前访问日志,对所述当前访问日志基于基线模型进行行为检测,可以基于用户访问行为来判断数据库是否存在安全隐患,利于提升数据库的安全性。
由于需要利用基线模型对当前访问日志进行行为检测,基于此,在一实施例中,数据库安全检测方法还包括:对所述数据库的历史访问日志基于机器学习进行模型训练,得到所述基线模型。
在一实施例中,所述对所述数据库的历史访问日志基于机器学习进行模型训练,得到所述基线模型,包括以下至少之一:
根据所述数据库的历史访问日志中的用户标识信息,得到用于确定连接的用户是否异常的第一模型;
根据所述数据库的历史访问日志中的互联网协议(IP)地址,得到用于确定连接IP是否异常的第二模型;
根据所述数据库的历史访问日志中的各用户或者各IP地址对应的连接方式,得到用于确定连接方式是否异常的第三模型;
根据所述数据库的历史访问日志中的各用户的访问时间,得到用于确定访问时间是否异常的第四模型;
根据所述数据库的历史访问日志中的各用户的访问对象,得到用于确定访问对象是否异常的第五模型;
根据所述数据库的历史访问日志中的各用户的访问数据量,得到用于确定访问数据量是否异常的第六模型;
根据所述数据库的历史访问日志中的各用户的访问频率,得到用于确定访问频率是否异常的第七模型;
根据所述数据库的历史访问日志中的各用户的操作类型,得到用于确定操作类型是否异常的第八模型;
根据所述数据库的历史访问日志中的各用户的登录数据,得到用于确定登录行为是否异常的第九模型。
需要说明的是,基线模型包括但不限于上述罗列的模型。可以理解的是,只要能通过历史访问日志进行分析建模的,都可以包含进来。这样,基线模型可以全方位、多角度对当前访问日志进行行为检测,可以更好的检测数据库可能存在的安全隐患,从而保障数据库的安全性。
实际应用中,对于任一数据库,可以选取设定时长的历史访问日志来进行模型训练,得到相应的基线模型。模型的具体训练方法,可以采用相关机器学习的建模方法,在此不再赘述。该设定时长可以根据需求进行合理设置,比如,选取7天或者30天为一个训练周期,确保能够获取到足够多的能够反映用户正常行为数据的访问日志,从而训练得到基线模型。
对于上述的第一模型,可以根据数据库的历史访问日志中的用户标识信息,比如,用户名,训练得到连接数据库的用户列表。这样,在对当前访问日志进行行为检测时,可以根据第一模型对不在用户列表中的用户名,生成连接用户异常的检测结果。实际应用中,训练第一模型时,还可以根据历史访问日志中不同访问IP对应的用户标识信息,训练得到各访问IP对应的用户列表。这样,可以根据各访问IP对应的用户列表,判断当前的访问IP的用户是否为异常用户。
对于上述的第二模型,可以根据数据库的历史访问日志中的IP地址,训练得到经常连接数据库的IP列表。这样,在对当前访问日志进行行为检测时,可以根据第二模型对不在IP列表中的IP地址,生成连接IP异常的检测结果。
对于上述的第三模型,可以根据数据库的历史访问日志中的各用户或者各IP地址对应的连接方式,训练得到各用户或者各IP地址对应的常用连接方式。这样,在对当前访问日志进行行为检测时,可以根据第三模型对不在常用连接方式中的访问,生成连接方式异常的检测结果。这里,连接方式可以通过以下方式表征:应用名称、终端名称、访问工具类型、操作***主机名等。
对于上述的第四模型,可以根据数据库的历史访问日志中的各用户的访问时间,训练得到各用户对应的访问时段。这样,在对当前访问日志进行行为检测时,可以根据第四模型对不在该访问时段的访问,生成访问时间异常的检测结果。
对于上述的第五模型,可以根据所述数据库的历史访问日志中的各用户的访问对象,训练得到各用户经常访问的访问对象。这样,在对当前访问日志进行行为检测时,可以根据第五模型对用户越权的访问,生成访问对象异常的检测结果。这里,访问对象可以包括:数据库、表、视图、存储过程等。
对于上述的第六模型,可以根据所述数据库的历史访问日志中的各用户的访问数据量,训练得到各用户对应的流量基线。这样,在对当前访问日志进行行为检测时,若访问流量超出流量基线达到设定阈值,则可以生成访问数据量异常的检测结果,可以有效检测出用户的拖库行为。实际应用中,训练第六模型时,还可以根据历史访问日志中各用户相应于不同访问对象对应的访问数据量,训练得到各用户相应于不同访问对象的流量基线。这样,可以根据连接用户的访问对象,选择相应的流量基线,判断是否存在拖库行为。
对于上述的第七模型,可以根据所述数据库的历史访问日志中的各用户的访问频率,训练得到各用户访问数据的频率基线。这样,在对当前访问日志进行行为检测时,若用户的访问频率超过频率基线达到设定阈值,则可以生成访问频率异常的检测结果。实际应用中,训练第七模型时,还可以根据历史访问日志中各用户相应于不同访问对象对应的访问频率,训练得到各用户相应于不同访问对象的频率基线。这样,可以根据连接用户的访问对象,选择相应的频率基线,判断是否存在频率异常。
对于上述的第八模型,可以根据所述数据库的历史访问日志中的各用户的操作类型,训练得到各用户的常用操作类型。这样,在对当前访问日志进行行为检测时,若用户的操作类型不属于常用操作类型,则可以生成操作类型异常的检测结果。这里,操作类型可以包括:DML(data manipulation language,数据操纵语言)、DDL(data definitionlanguage,数据定义语言)、DCL(Data Control Language,数据操作语言)等。实际应用中,训练第八模型时,还可以根据历史访问日志中各用户相应于不同访问对象对应的操作类型,训练得到各用户相应于不同访问对象的常用操作类型。这样,可以根据连接用户的访问对象,选择相应的常用操作类型,判断是否存在操作类型异常。
对于上述的第九模型,可以根据所述数据库的历史访问日志中的各用户的登录数据,训练得到各用户的登录的周期性规律。这样,在对当前访问日志进行行为检测时,若检测到用户的多次尝试登录且失败的行为不符合该周期性规律,则认定用户的多次尝试登录行为为暴力破解行为,生成登录异常的检测结果。
在一实施例中,所述对所述当前访问日志基于基线模型进行行为检测,得到当前访问是否异常的检测结果,包括:
根据所述当前访问日志中的用户标识信息和所述基线模型中用于确定连接的用户是否异常的第一模型,对所述当前访问日志对应的用户进行行为检测;
确定连接的用户正常,对所述当前访问日志根据所述基线模型中与所述用户对应的模型进行检测,得到当前访问是否异常的检测结果;
确定连接的用户异常,生成连接用户异常的检测结果。
实际应用中,若当前访问日志中的用户名不属于该数据库的用户列表中的用户名,则确定访问的用户为异常用户,生成连接用户异常的检测结果。可选地,通过人工复核,确定该用户为非异常用户后,还可以记录该用户的历史访问日志,基于该用户的历史访问日志更新所述基线模型,从而可以对新增的用户进行行为检测,提高行为检测的准确性,避免误报。
这里,若用户属于第一模型中的用户列表的用户,则确定连接的用户正常,可以利用该用户对应的模型进行更为全面的行为检测,比如,采用该用户对应的第二模型、第三模型、第四模型、第五模型、第六模型、第七模型、第八模型及第九模型中的至少一种进行相关的行为检测,从而可以检测出连接IP异常、连接方式异常、访问时间异常、访问对象异常(又称为越权访问)、访问数据量异常、访问频率异常、操作类型异常、登录异常等异常数据库行为。
可以理解的是,当第一模型训练得到的是各访问IP对应的用户列表,基于第一模型进行行为检测时,还可以获取当前访问日志中的访问IP,根据访问IP在用户列表中查询该访问IP对应的用户列表,基于查询得到的用户列表,判断当前访问的用户是否为异常用户,若属于用户列表,则为正常的连接用户,若不属于用户列表,则为异常的连接用户。
在一实施例中,所述对所述当前访问日志根据所述基线模型中与所述用户对应的模型进行检测,得到当前访问是否异常的检测结果,包括:
根据所述当前访问日志中的目标特征和所述基线模型中目标行为基线进行行为检测,若所述目标特征与所述目标行为基线间的偏离量大于设定阈值,确定所述用户存在所述目标特征对应的目标异常行为;
其中,所述目标行为基线为所述基线模型中所述用户的所述目标特征对应的行为基线。
以访问数据量异常检测为例,在一应用示例中,可以利用第六模型中生成的流量基线检测该用户的访问数据量是否异常,若访问数据量超出流量基线达到设定阈值,则生成访问数据量异常的检测结果,可以有效检测出用户的拖库行为,保障数据库的安全。
在一实施例中,所述方法还包括:
周期性更新所述基线模型。
实际应用中,可以根据设定的周期,比如,一天或者一个星期,对数据库基于最近的历史访问日志更新该数据库的基线模型,使得基线模型能够适应用户访问行为的变化。这里,最近的历史访问日志可以为最近设定时长内的历史访问日志,比如,对数据库最近一个月的历史访问日志进行机器学习,得到新的基线模型,并将新生成的基线模型替换原有的基线模型,实现基线模型的更新。
本发明实施例数据库安全检测方法,通过将数据库的原始流量解析成统一的访问日志,并使用机器学习的训练得到基线模型,可以基于基线模型对数据库的当前访问日志进行行为检测,从而检测可能的异常行为。可以从连接的用户异常、连接IP异常、连接方式异常、访问时间异常、访问对象异常、访问数据量异常、访问频率异常、操作类型异常、登录异常等多个角度进行数据库安全检测,大大丰富了数据库安全检测场景,保障了数据库的安全。
下面结合图2,对本发明应用实施例数据库安全检测方法进行说明。如图2所示,在该应用实施例中,数据库安全检测设备包括两个子***:子***1和子***2。其中,子***1用于流量审计及协议解析,子***2用于基线模型的训练和基于基线模型进行行为检测。
实际应用中,数据库安全检测方法包括:
1、流量审计
这里,流量审计主要是将访问数据库的所有请求和响应的流量记录下来。具体可以参照上述步骤101,在此不再赘述。
2、协议解析
这里,协议解析是指根据数据库协议类型将审计下来的流量转换成访问日志,具体可以参照上述步骤102,在此不再赘述。
3、获取访问日志
***2获取***1流量审计及协议解析后生成的历史访问日志,比如,获取该数据库7天的历史访问日志,用于训练基线模型。
4、学习基线模型
***2对所述数据库的历史访问日志基于机器学习进行模型训练,得到所述基线模型。这里,所述基线模型可以包括前述的第一模型、第二模型、第三模型、第四模型、第五模型、第六模型、第七模型、第八模型及第九模型。
5、行为检测
***2接收***1输出的当前访问日志,对当前访问日志基于基线模型进行行为检测,得到当前访问是否异常的检测结果。具体可以参照上述步骤103,在此不再赘述。
实际应用中,***2可以基于最近的历史访问日志,根据设定的周期,更新数据库的基线模型,使得基线模型能够适应用户访问行为的变化。这里,最近的历史访问日志可以为最近设定时长内的历史访问日志,比如,对数据库最近一个月的历史访问日志进行机器学习,得到新的基线模型,并将新生成的基线模型替换原有的基线模型,实现基线模型的更新。
为了实现本发明实施例的方法,本发明实施例还提供一种数据库安全检测装置,该数据库安全检测装置对应于上述实施例的数据库安全检测方法,上述数据库安全检测方法的各步骤也完全适用于本实施例。
如图3所示,该装置包括:获取模块301、解析模块302、检测模块303。
其中,获取模块301,用于获取访问数据库的流量数据;解析模块302,用于对所述流量数据进行解析,得到用于反映用户访问行为的当前访问日志;检测模块303,用于对所述当前访问日志基于基线模型进行行为检测,得到当前访问是否异常的检测结果。所述基线模型是基于所述数据库的历史访问日志生成的。
在一实施例中,所述装置还包括训练模块304,用于对所述数据库的历史访问日志基于机器学习进行模型训练,得到所述基线模型。
在一实施例中,训练模块304用于以下至少之一:
根据所述数据库的历史访问日志中的用户标识信息,得到用于确定连接的用户是否异常的第一模型;
根据所述数据库的历史访问日志中的互联网协议IP地址,得到用于确定连接IP是否异常的第二模型;
根据所述数据库的历史访问日志中的各用户或者各IP地址对应的连接方式,得到用于确定连接方式是否异常的第三模型;
根据所述数据库的历史访问日志中的各用户的访问时间,得到用于确定访问时间是否异常的第四模型;
根据所述数据库的历史访问日志中的各用户的访问对象,得到用于确定访问对象是否异常的第五模型;
根据所述数据库的历史访问日志中的各用户的访问数据量,得到用于确定访问数据量是否异常的第六模型;
根据所述数据库的历史访问日志中的各用户的访问频率,得到用于确定访问频率是否异常的第七模型;
根据所述数据库的历史访问日志中的各用户的操作类型,得到用于确定操作类型是否异常的第八模型;
根据所述数据库的历史访问日志中的各用户的登录数据,得到用于确定登录行为是否异常的第九模型。
在一实施例中,检测模块303具体用于:
根据所述当前访问日志中的用户标识信息和所述基线模型中用于确定连接的用户是否异常的第一模型,对所述当前访问日志对应的用户进行行为检测;
确定连接的用户正常,对所述当前访问日志根据所述基线模型中与所述用户对应的模型进行检测,得到当前访问是否异常的检测结果;
确定连接的用户异常,生成连接用户异常的检测结果。
在一实施例中,检测模块303具体用于:
根据所述当前访问日志中的目标特征和所述基线模型中目标行为基线进行行为检测,若所述目标特征与所述目标行为基线间的偏离量大于设定阈值,确定所述用户存在所述目标特征对应的目标异常行为;
其中,所述目标行为基线为所述基线模型中所述用户的所述目标特征对应的行为基线。
在一实施例中,解析模块302具体用于:
对所述流量数据基于所述数据库的协议类型进行解析,得到统一格式的结构化数据,所述结构化数据作为用于反映用户访问行为的当前访问日志。
在一实施例中,训练模块304还用于:
周期性更新所述基线模型。
实际应用时,获取模块301、解析模块302、检测模块303及训练模块304,可以由数据库安全检测装置中的处理器来实现。当然,处理器需要运行存储器中的计算机程序来实现它的功能。
需要说明的是:上述实施例提供的数据库安全检测装置在进行数据库安全检测时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的数据库安全检测装置与数据库安全检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本发明实施例的方法,本发明实施例还提供一种数据库安全检测设备。图4仅仅示出了该数据库安全检测设备的示例性结构而非全部结构,根据需要可以实施图4示出的部分结构或全部结构。
如图4所示,本发明实施例提供的数据库安全检测设备400包括:至少一个处理器401、存储器402、用户接口403和至少一个网络接口404。数据库安全检测设备400中的各个组件通过总线***405耦合在一起。可以理解,总线***405用于实现这些组件之间的连接通信。总线***405除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图4中将各种总线都标为总线***405。
其中,用户接口403可以包括显示器、键盘、鼠标、轨迹球、点击轮、按键、按钮、触感板或者触摸屏等。
本发明实施例中的存储器402用于存储各种类型的数据以支持数据库安全检测设备400的操作。这些数据的示例包括:用于在数据库安全检测设备400上操作的任何计算机程序。
本发明实施例揭示的数据库安全检测方法可以应用于处理器401中,或者由处理器401实现。处理器401可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,数据库安全检测方法的各步骤可以通过处理器401中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器401可以是通用处理器、数字信号处理器(DSP,Digital SignalProcessor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器401可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器402,处理器401读取存储器402中的信息,结合其硬件完成本发明实施例提供的数据库安全检测方法的步骤。
在示例性实施例中,数据库安全检测设备400可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,Programmable Logic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable LogicDevice)、FPGA、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现,用于执行前述方法。
可以理解,存储器402可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
在示例性实施例中,本发明实施例还提供了一种存储介质,即计算机存储介质,具体可以是计算机可读存储介质,例如包括存储计算机程序的存储器402,上述计算机程序可由数据库安全检测设备400的处理器401执行,以完成本发明实施例方法所述的步骤。计算机可读存储介质可以是ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
需要说明的是:“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
另外,本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种数据库安全检测方法,其特征在于,包括:
获取访问数据库的流量数据;
对所述流量数据进行解析,得到用于反映用户访问行为的当前访问日志;
对所述当前访问日志基于基线模型进行行为检测,得到当前访问是否异常的检测结果;
其中,所述基线模型是基于所述数据库的历史访问日志生成的。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对所述数据库的历史访问日志基于机器学习进行模型训练,得到所述基线模型。
3.根据权利要求2所述的方法,其特征在于,所述对所述数据库的历史访问日志基于机器学习进行模型训练,得到所述基线模型,包括以下至少之一:
根据所述数据库的历史访问日志中的用户标识信息,得到用于确定连接的用户是否异常的第一模型;
根据所述数据库的历史访问日志中的互联网协议IP地址,得到用于确定连接IP是否异常的第二模型;
根据所述数据库的历史访问日志中的各用户或者各IP地址对应的连接方式,得到用于确定连接方式是否异常的第三模型;
根据所述数据库的历史访问日志中的各用户的访问时间,得到用于确定访问时间是否异常的第四模型;
根据所述数据库的历史访问日志中的各用户的访问对象,得到用于确定访问对象是否异常的第五模型;
根据所述数据库的历史访问日志中的各用户的访问数据量,得到用于确定访问数据量是否异常的第六模型;
根据所述数据库的历史访问日志中的各用户的访问频率,得到用于确定访问频率是否异常的第七模型;
根据所述数据库的历史访问日志中的各用户的操作类型,得到用于确定操作类型是否异常的第八模型;
根据所述数据库的历史访问日志中的各用户的登录数据,得到用于确定登录行为是否异常的第九模型。
4.根据权利要求1所述的方法,其特征在于,所述对所述当前访问日志基于基线模型进行行为检测,得到当前访问是否异常的检测结果,包括:
根据所述当前访问日志中的用户标识信息和所述基线模型中用于确定连接的用户是否异常的第一模型,对所述当前访问日志对应的用户进行行为检测;
确定连接的用户正常,对所述当前访问日志根据所述基线模型中与所述用户对应的模型进行检测,得到当前访问是否异常的检测结果;
确定连接的用户异常,生成连接用户异常的检测结果。
5.根据权利要求4所述的方法,其特征在于,所述对所述当前访问日志根据所述基线模型中与所述用户对应的模型进行检测,得到当前访问是否异常的检测结果,包括:
根据所述当前访问日志中的目标特征和所述基线模型中目标行为基线进行行为检测,若所述目标特征与所述目标行为基线间的偏离量大于设定阈值,确定所述用户存在所述目标特征对应的目标异常行为;
其中,所述目标行为基线为所述基线模型中所述用户的所述目标特征对应的行为基线。
6.根据权利要求1所述的方法,其特征在于,所述对所述流量数据进行解析,得到用于反映用户访问行为的当前访问日志,包括:
对所述流量数据基于所述数据库的协议类型进行解析,得到统一格式的结构化数据,所述结构化数据作为用于反映用户访问行为的当前访问日志。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
周期性更新所述基线模型。
8.一种数据库安全检测装置,其特征在于,包括:
获取模块,用于获取访问数据库的流量数据;
解析模块,用于对所述流量数据进行解析,得到用于反映用户访问行为的当前访问日志;
检测模块,用于对所述当前访问日志基于基线模型进行行为检测,得到当前访问是否异常的检测结果;
其中,所述基线模型是基于所述数据库的历史访问日志生成的。
9.一种数据库安全检测设备,其特征在于,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,
所述处理器,用于运行计算机程序时,执行权利要求1至7任一项所述方法的步骤。
10.一种存储介质,所述存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911363333.XA CN111159706A (zh) | 2019-12-26 | 2019-12-26 | 数据库安全检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911363333.XA CN111159706A (zh) | 2019-12-26 | 2019-12-26 | 数据库安全检测方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111159706A true CN111159706A (zh) | 2020-05-15 |
Family
ID=70556846
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911363333.XA Pending CN111159706A (zh) | 2019-12-26 | 2019-12-26 | 数据库安全检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111159706A (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111967778A (zh) * | 2020-08-19 | 2020-11-20 | 杭州铂钰信息科技有限公司 | 一种基于安全基线模型的数据安全检测方法及*** |
| CN112287390A (zh) * | 2020-10-23 | 2021-01-29 | 杭州数梦工场科技有限公司 | 基线的自适应调整方法及装置 |
| CN112364348A (zh) * | 2020-11-30 | 2021-02-12 | 杭州美创科技有限公司 | 一种数据库安全异常识别方法及*** |
| CN112597532A (zh) * | 2020-12-04 | 2021-04-02 | 光大科技有限公司 | 敏感数据访问的监控方法及装置 |
| CN112749410A (zh) * | 2021-01-08 | 2021-05-04 | 广州锦行网络科技有限公司 | 一种数据库安全保护方法及装置 |
| CN112866279A (zh) * | 2021-02-03 | 2021-05-28 | 恒安嘉新(北京)科技股份公司 | 网页安全检测方法、装置、设备及介质 |
| CN112906048A (zh) * | 2021-02-09 | 2021-06-04 | 上海凯馨信息科技有限公司 | 一种针对db2数据的密态数据访问防护方法 |
| CN113141274A (zh) * | 2021-04-26 | 2021-07-20 | 合肥全息网御科技有限公司 | 基于网络全息图实时检测敏感数据泄露的方法、***和存储介质 |
| CN113255929A (zh) * | 2021-05-27 | 2021-08-13 | 支付宝(杭州)信息技术有限公司 | 异常用户可解释原因的获取方法和装置 |
| CN113642023A (zh) * | 2021-08-25 | 2021-11-12 | 北京恒安嘉新安全技术有限公司 | 数据安全检测模型训练、数据安全检测方法、装置及设备 |
| CN113949525A (zh) * | 2021-09-07 | 2022-01-18 | 中云网安科技有限公司 | 异常访问行为的检测方法、装置、存储介质及电子设备 |
| CN114024764A (zh) * | 2021-11-12 | 2022-02-08 | 中国工商银行股份有限公司 | 数据库异常访问的监控方法、监控***、设备和存储介质 |
| CN114615039A (zh) * | 2022-03-03 | 2022-06-10 | 奇安信科技集团股份有限公司 | 异常行为检测方法、装置、设备和存储介质 |
| CN114640509A (zh) * | 2022-03-02 | 2022-06-17 | 奇安信科技集团股份有限公司 | 用于安全分析的实时频率行为安全基线生成方法及装置 |
| CN114640530A (zh) * | 2022-03-24 | 2022-06-17 | 深信服科技股份有限公司 | 一种数据泄露检测方法、装置、电子设备及可读存储介质 |
| CN115017181A (zh) * | 2022-06-23 | 2022-09-06 | 北京市燃气集团有限责任公司 | 一种基于机器学习的数据库基线确定方法及装置 |
| CN115134164A (zh) * | 2022-07-18 | 2022-09-30 | 深信服科技股份有限公司 | 一种上传行为检测方法、***、设备及计算机存储介质 |
| CN115189963A (zh) * | 2022-08-02 | 2022-10-14 | 杭州安恒信息技术股份有限公司 | 异常行为检测方法、装置、计算机设备及可读存储介质 |
| CN115225385A (zh) * | 2022-07-20 | 2022-10-21 | 深信服科技股份有限公司 | 一种流量监控方法、***、设备及计算机可读存储介质 |
| CN115664743A (zh) * | 2022-10-17 | 2023-01-31 | 浙江网商银行股份有限公司 | 行为检测方法以及装置 |
| CN116070246A (zh) * | 2023-03-06 | 2023-05-05 | 北京中安星云软件技术有限公司 | 一种基于数据库访问异常行为识别的方法及装置 |
| CN117171787A (zh) * | 2023-08-24 | 2023-12-05 | 湖北交投襄阳高速公路运营管理有限公司 | 高速路收费专网移动存储设备的访问管控方法及*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102480385A (zh) * | 2010-11-26 | 2012-05-30 | 北京启明星辰信息技术股份有限公司 | 数据库安全保护方法和装置 |
| CN104484474A (zh) * | 2014-12-31 | 2015-04-01 | 南京盾垒网络科技有限公司 | 数据库安全审计方法 |
| CN107888574A (zh) * | 2017-10-27 | 2018-04-06 | 深信服科技股份有限公司 | 检测数据库风险的方法、服务器及存储介质 |
| CN109561092A (zh) * | 2018-12-03 | 2019-04-02 | 北京安华金和科技有限公司 | 基于数据流量及数据探测结果进行安全态势建模的方法 |
| CN110222525A (zh) * | 2019-05-14 | 2019-09-10 | 新华三大数据技术有限公司 | 数据库操作审计方法、装置、电子设备及存储介质 |
-
2019
- 2019-12-26 CN CN201911363333.XA patent/CN111159706A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102480385A (zh) * | 2010-11-26 | 2012-05-30 | 北京启明星辰信息技术股份有限公司 | 数据库安全保护方法和装置 |
| CN104484474A (zh) * | 2014-12-31 | 2015-04-01 | 南京盾垒网络科技有限公司 | 数据库安全审计方法 |
| CN107888574A (zh) * | 2017-10-27 | 2018-04-06 | 深信服科技股份有限公司 | 检测数据库风险的方法、服务器及存储介质 |
| CN109561092A (zh) * | 2018-12-03 | 2019-04-02 | 北京安华金和科技有限公司 | 基于数据流量及数据探测结果进行安全态势建模的方法 |
| CN110222525A (zh) * | 2019-05-14 | 2019-09-10 | 新华三大数据技术有限公司 | 数据库操作审计方法、装置、电子设备及存储介质 |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111967778A (zh) * | 2020-08-19 | 2020-11-20 | 杭州铂钰信息科技有限公司 | 一种基于安全基线模型的数据安全检测方法及*** |
| CN112287390A (zh) * | 2020-10-23 | 2021-01-29 | 杭州数梦工场科技有限公司 | 基线的自适应调整方法及装置 |
| CN112287390B (zh) * | 2020-10-23 | 2024-05-10 | 杭州数梦工场科技有限公司 | 基线的自适应调整方法及装置 |
| CN112364348A (zh) * | 2020-11-30 | 2021-02-12 | 杭州美创科技有限公司 | 一种数据库安全异常识别方法及*** |
| CN112597532A (zh) * | 2020-12-04 | 2021-04-02 | 光大科技有限公司 | 敏感数据访问的监控方法及装置 |
| CN112749410A (zh) * | 2021-01-08 | 2021-05-04 | 广州锦行网络科技有限公司 | 一种数据库安全保护方法及装置 |
| CN112866279A (zh) * | 2021-02-03 | 2021-05-28 | 恒安嘉新(北京)科技股份公司 | 网页安全检测方法、装置、设备及介质 |
| CN112906048A (zh) * | 2021-02-09 | 2021-06-04 | 上海凯馨信息科技有限公司 | 一种针对db2数据的密态数据访问防护方法 |
| CN113141274A (zh) * | 2021-04-26 | 2021-07-20 | 合肥全息网御科技有限公司 | 基于网络全息图实时检测敏感数据泄露的方法、***和存储介质 |
| CN113255929A (zh) * | 2021-05-27 | 2021-08-13 | 支付宝(杭州)信息技术有限公司 | 异常用户可解释原因的获取方法和装置 |
| CN113642023A (zh) * | 2021-08-25 | 2021-11-12 | 北京恒安嘉新安全技术有限公司 | 数据安全检测模型训练、数据安全检测方法、装置及设备 |
| CN113949525A (zh) * | 2021-09-07 | 2022-01-18 | 中云网安科技有限公司 | 异常访问行为的检测方法、装置、存储介质及电子设备 |
| CN114024764A (zh) * | 2021-11-12 | 2022-02-08 | 中国工商银行股份有限公司 | 数据库异常访问的监控方法、监控***、设备和存储介质 |
| CN114640509A (zh) * | 2022-03-02 | 2022-06-17 | 奇安信科技集团股份有限公司 | 用于安全分析的实时频率行为安全基线生成方法及装置 |
| CN114615039A (zh) * | 2022-03-03 | 2022-06-10 | 奇安信科技集团股份有限公司 | 异常行为检测方法、装置、设备和存储介质 |
| CN114640530B (zh) * | 2022-03-24 | 2023-12-29 | 深信服科技股份有限公司 | 一种数据泄露检测方法、装置、电子设备及可读存储介质 |
| CN114640530A (zh) * | 2022-03-24 | 2022-06-17 | 深信服科技股份有限公司 | 一种数据泄露检测方法、装置、电子设备及可读存储介质 |
| CN115017181A (zh) * | 2022-06-23 | 2022-09-06 | 北京市燃气集团有限责任公司 | 一种基于机器学习的数据库基线确定方法及装置 |
| CN115134164A (zh) * | 2022-07-18 | 2022-09-30 | 深信服科技股份有限公司 | 一种上传行为检测方法、***、设备及计算机存储介质 |
| CN115134164B (zh) * | 2022-07-18 | 2024-02-23 | 深信服科技股份有限公司 | 一种上传行为检测方法、***、设备及计算机存储介质 |
| CN115225385A (zh) * | 2022-07-20 | 2022-10-21 | 深信服科技股份有限公司 | 一种流量监控方法、***、设备及计算机可读存储介质 |
| CN115225385B (zh) * | 2022-07-20 | 2024-02-23 | 深信服科技股份有限公司 | 一种流量监控方法、***、设备及计算机可读存储介质 |
| CN115189963A (zh) * | 2022-08-02 | 2022-10-14 | 杭州安恒信息技术股份有限公司 | 异常行为检测方法、装置、计算机设备及可读存储介质 |
| CN115664743A (zh) * | 2022-10-17 | 2023-01-31 | 浙江网商银行股份有限公司 | 行为检测方法以及装置 |
| CN116070246A (zh) * | 2023-03-06 | 2023-05-05 | 北京中安星云软件技术有限公司 | 一种基于数据库访问异常行为识别的方法及装置 |
| CN117171787A (zh) * | 2023-08-24 | 2023-12-05 | 湖北交投襄阳高速公路运营管理有限公司 | 高速路收费专网移动存储设备的访问管控方法及*** |
| CN117171787B (zh) * | 2023-08-24 | 2024-05-31 | 湖北交投襄阳高速公路运营管理有限公司 | 高速路收费专网移动存储设备的访问管控方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111159706A (zh) | 数据库安全检测方法、装置、设备及存储介质 | |
| CN109739867B (zh) | 一种工业元数据管理方法及*** | |
| CN108667855B (zh) | 网络流量异常监测方法、装置、电子设备及存储介质 | |
| CN109474640B (zh) | 恶意爬虫检测方法、装置、电子设备及存储介质 | |
| US11436358B2 (en) | Data based web application firewall | |
| US20140280261A1 (en) | Method and apparatus for substitution scheme for anonymizing personally identifiable information | |
| US20120131670A1 (en) | Global Variable Security Analysis | |
| US11074238B2 (en) | Real-time anonymization | |
| CN111046036A (zh) | 数据同步方法、装置、***及存储介质 | |
| CN111767573A (zh) | 数据库安全管理方法、装置、电子设备及可读存储介质 | |
| US20180129675A1 (en) | Dynamic column synopsis for analytical databases | |
| CN115150261B (zh) | 告警分析的方法、装置、电子设备及存储介质 | |
| KR101620601B1 (ko) | 보안성 진단 방법 및 이를 위한 컴퓨터 프로그램, 그 기록매체 | |
| US10901977B2 (en) | Database independent detection of data changes | |
| CN113961930A (zh) | Sql注入漏洞检测方法、装置及电子设备 | |
| CN115017526A (zh) | 数据库访问方法、装置、电子设备及存储介质 | |
| US7702642B1 (en) | Method, system and computer-readable code for instrumenting code for logging database-related strings | |
| CN111966747A (zh) | 数据同步方法、***、终端设备及存储介质 | |
| US11693834B2 (en) | Model generation service for data retrieval | |
| CN107169356B (zh) | 统方分析方法及设备 | |
| KR101104300B1 (ko) | 개인정보 데이터베이스의 접근을 위한 전용 툴을 포함한 접근 관리 시스템 및 방법 | |
| CN115361182A (zh) | 一种僵尸网络行为分析方法、装置、电子设备及介质 | |
| CN116010480A (zh) | 一种时序数据库审计方法及*** | |
| US11481513B2 (en) | Decentralized storage of personal data | |
| CN112989403B (zh) | 一种数据库破坏的检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200515 |