[发明专利]数据库实时审计分析系统及方法

说明书

技术领域

本发明涉及数据库审计分析系统及方法，具体地说，是一种可实时定制审计分析规则、实时进行审计分析的数据库实时审计分析系统及基于阈值分析的审计分析方法。

背景技术

随着数据库在各个领域内的广泛应用，数据库管理系统的安全问题也得到了越来越多的重视。传统数据库的安全是通过访问控制、身份鉴别、授权控制等方法来进行保障的，但事实上，数据库入侵不可能被完全阻止。

目前，公知的大多数主流数据库管理系统都提供了一种审计分析方法，如图1所示，数据库用户对数据库进行操作，数据库服务器依照日志配置表中的日志配置规则，将数据库操作记录到数据库系统中的日志踪迹表内。日志踪迹表(可称为数据库审计日志)是审计管理员进行审计分析的依据。当发现入侵或犯罪迹象后，审计管理员通过SQL语句对日志踪迹表中的信息进行查询分析，或者通过外部入侵检测工具进行审计分析，以此发现数据库中存在的异常事件，并做出相应响应。这种审计分析方法存在如下问题：

1、使用外部入侵检测工具进行审计分析的效果差，且引入的外部工具给数据库带来了潜在的危险。

2、用于审计分析的SQL语句或存储过程给数据库引入了较多的代码，使数据库系统管理员的管理难度加大。且使用SQL语句或存储过程定制审计分析规则难度较大，工作量较重，审计管理员编制的审计分析语义模糊，难以准确实现审计分析目的。

3、外部入侵检测工具或审计管理员进行审计分析均为一种事后分析方法，缺乏对数据库审计日志进行实时处理的功能。当数据库存在威胁操作时，系统无法进行实时响应，不能避免入侵所造成的重大损失。

发明内容

为了解决上述问题，本发明提供了一种可实时定制审计分析规则、实时进行审计分析的数据库实时审计分析系统及基于阈值分析的审计分析方法。

为此，本发明采用以下技术方案：

一种数据库实时审计分析系统，包括日志收集单元、安全事件筛选单元、阈值分析单元及安全响应单元，以及日志配置表、日志踪迹表、安全事件配置表、安全事件踪迹表、阈值配置信息表、阈值配置表、阈值状态表、触发事件表，其中：

日志收集单元依照日志配置表中的日志配置规则，对数据库用户的各种操作语句进行处理，并将处理后的结果整理记录到日志踪迹表中；

安全事件筛选单元根据安全事件配置表中的安全事件配置规则，对日志踪迹表中的日志信息进行筛选，选择出与阈值相关的日志信息送到阈值分析单元；

阈值分析单元根据阈值状态表中的阈值规则，对安全事件筛选单元输出的日志信息进行阈值分析，并将分析后的结果整理记录到阈值踪迹表中；

安全响应单元对阈值踪迹表中的违背阈值规则的用户操作语句进行响应。

一种数据库实时审计分析方法，包括以下步骤：

日志匹配步骤：日志收集单元依照日志配置表，对数据库用户的各种操作语句进行处理，并将处理后的结果整理记录到日志踪迹表中；

安全事件筛选步骤：安全事件筛选单元根据安全事件配置表，对日志踪迹表中的日志信息进行筛选，选择出与阈值相关的日志信息，然后将该用户操作信息写入安全事件踪迹表中，这些日志信息称为安全事件；

阈值分析步骤：阈值分析单元根据阈值状态表，对安全事件筛选单元输出的安全事件进行阈值分析，并将分析后的结果整理记录到阈值踪迹表中；

实时响应步骤：安全响应单元对阈值踪迹表中违背阈值规则的用户操作语句进行响应。

本发明不仅对数据库用户操作进行记录，还提供了日志信息分析功能，由审计管理员定制异常库，数据库实时审计分析系统依照审计管理员定制的规则对数据库日志信息进行实时分析。

在本发明中，日志踪迹表中的日志信息为入侵检测数据源，在审计分析系统中设有阈值分析单元，它对系统外部的入侵进行实时误用检测，检测规则(即阈值规则)由审计管理员定制为异常库。当发生异常事件时，系统可依照审计管理员定制的检测规则实时分析日志信息，并依照响应策略进行实时响应，以保护数据库的安全。

在本发明中，审计管理员可以定制两类阈值规则：事件类阈值与序列类阈值。事件类阈值对某一特定的数据库操作进行阈值分析，在一定时间内，如果某一连接会话执行某一数据库操作达到了指定的次数，则触发了事件类阈值；序列类阈值对一组指定的数据库操作进行阈值分析，在一定的时间内，如果某一连接会话先后执行了一组指定的数据库操作，则达到了序列类阈值。审计员可以通过灵活应用这两类阈值，设置数据库误用检测规则。