[发明专利]数据库实时审计分析系统及方法无效
| 申请号: | 200710100360.9 | 申请日: | 2007-06-08 |
| 公开(公告)号: | CN101075256A | 公开(公告)日: | 2007-11-21 |
| 发明(设计)人: | 王渊 | 申请(专利权)人: | 北京神舟航天软件技术有限公司 |
| 主分类号: | G06F17/30 | 分类号: | G06F17/30 |
| 代理公司: | 北京北新智诚知识产权代理有限公司 | 代理人: | 张卫华 |
| 地址: | 100036北京*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 数据库 实时 审计 分析 系统 方法 | ||
1、一种数据库实时审计分析系统,其特征在于包括日志收集、安全事件筛选、阈值分析及安全响应诸单元,以及日志配置表、日志踪迹表、安全事件配置表、安全事件踪迹表、阈值配置信息表、阈值配置表、阈值状态表、触发事件表,其中:
日志收集单元依照日志配置表中的日志配置规则,对数据库用户的各种操作语句进行处理,并将处理后的结果整理记录到日志踪迹表中;
安全事件筛选单元根据安全事件配置表中的安全事件配置规则,对日志踪迹表中的日志信息进行筛选,选择出与阈值相关的日志信息送到阈值分析单元;
阈值分析单元根据阈值状态表中的阈值规则,对安全事件筛选单元输出的日志信息进行阈值分析,并将分析后的结果整理记录到阈值踪迹表中;
安全响应单元对阈值踪迹表中的违背阈值规则的用户操作语句进行响应。
2、一种数据库实时审计分析方法,其特征在于包括以下步骤:
日志匹配步骤:日志收集单元依照日志配置表,对数据库用户的各种操作语句进行处理,并将处理后的结果整理记录到日志踪迹表中;
安全事件筛选步骤:安全事件筛选单元根据安全事件配置表,对日志踪迹表中的日志信息进行筛选,选择出与阈值相关的日志信息,然后将该用户操作信息写入安全事件踪迹表中,这些日志信息称为安全事件;
阈值分析步骤:阈值分析单元根据阈值状态表,对安全事件筛选单元输出的安全事件进行阈值分析,并将分析后的结果整理记录到阈值踪迹表中;
实时响应步骤:安全响应单元对阈值踪迹表中的违背阈值规则的用户操作语句进行响应。
3、根据权利要求2所述的数据库实时审计分析方法,其特征在于:
所述日志匹配步骤包括:当数据库服务器端收到用户发送的SQL语句后,日志收集单元查找日志配置表中是否存在与用户SQL语句的操作相匹配的日志配置记录,如果不存在,则流程结束;如果存在,则将与该语句相关的操作信息记录到日志踪迹表中,并将与用户操作相关的配置信息发送到安全事件筛选单元;
所述安全事件筛选步骤包括:安全事件筛选单元获取日志收集单元发送的日志配置信息,查找安全事件配置表中是否存在该日志配置信息,如果存在,则将该用户操作信息写入安全事件踪迹表中,并从阈值配置信息表中获取与该日志配置相关的阈值配置信息;
所述阈值分析步骤包括:当发生与阈值相关的数据库事件后,阈值分析单元查找阈值状态表中是否存在将要达到阈值的状态信息,如果没有,便将信息中的阈值完成步骤数加一并增加一条阈值状态信息,如果存在,则修改该状态信息状态为“已达到阈值”并触发响应事件;
所述实时响应步骤包括:如果用户操作达到了审计员定制的阈值大小,则触发响应事件,安全响应单元从阈值配置表中获取与阈值相关的触发事件ID,然后读取触发事件表,按照触发事件表中定义的操作进行实时响应。
4、根据权利要求3所述的数据库实时审计分析方法,其特征在于:
所述日志匹配步骤进一步包括:
将数据库操作信息解析,得到数据库操作、操作主体、操作客体、操作结果;
查找日志配置表,查询是否存在与上一步骤中得出的信息相关的配置信息,如果不存在,流程结束;否则生成一条日志踪迹信息记录,并将该记录写入日志踪迹表中。
5、根据权利要求3所述的数据库实时审计分析方法,其特征在于:
在所述安全事件筛选步骤中,从安全事件配置表中获取与该日志配置相关的阈值配置信息的过程是:首先从安全事件配置表中获取与日志配置相关的安全事件配置ID,然后查找阈值配置信息表,判断阈值配置表中是否存在与安全事件配置ID相关的阈值信息,如果存在,则返回阈值配置表中相关阈值配置信息。
6、根据权利要求3所述的数据库实时审计分析方法,其特征在于所述阈值分析步骤进一步包括:
判断安全事件对应的阈值是属于事件类阈值还是序列类阈值;
如果是事件类阈值,则进行以下处理:
查找阈值状态表,获取一组相关的事件类阈值状态信息,筛选出作用时间未超过阈值定制的有效时间的阈值信息;
判断这组状态信息中是否存在将要达到阈值的状态信息,如果存在,则修改该状态信息状态为“已达到阈值”,并删除其他相关的状态信息,事件类阈值的阈值分析过程结束,触发响应事件,如果没有,则继续下面的步骤;
修改这组状态信息,将信息中的阈值完成步骤数加一;
增加一条阈值状态信息,该状态信息包含以下内容:该阈值状态ID、阈值状态开启的起始时间、阈值状态的完成步骤、与阈值状态相关的阈值配置ID、阈值状态类型;
事件类阈值的阈值分析过程结束;
如果是序列类阈值,则进行以下处理:
查找阈值状态表,获取相关的序列类阈值状态信息,并对这组阈值状态信息进行筛选,筛选条件包括以下两条:阈值状态没有过期,安全事件为阈值状态的下一状态相关事件;
判断该安全事件是否会使某条序列类阈值状态达到阈值,如果存在相关阈值状态信息,则修改该状态信息状态为“已达到阈值”,并删除其他相关的状态信息,阈值分析过程结束,触发响应事件,如果没有达到阈值的状态,则继续下面的步骤;
修改这组状态信息,将信息中的阈值状态发生次数加一;
判断该安全事件是否对应了序列类阈值配置的第一条安全事件,如果是,增加一条新的阈值状态信息。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京神舟航天软件技术有限公司,未经北京神舟航天软件技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/200710100360.9/1.html,转载请声明来源钻瓜专利网。
