[发明专利]一种业务行为异常检测方法和系统

说明书

技术领域

本发明涉及信息安全领域，尤其涉及一种业务行为异常检测方法和系统。

背景技术

随着信息技术的发展，以数据库服务器为核心，面向互联网的业务系统得到了日益广泛的应用，如网上银行系统、电子订票系统等。由于数据库服务器中存储了业务系统的关键数据，又与整个业务流程密切相关，保障数据库服务器的信息安全尤为重要。为了更好地对数据库服务器实施保护，网络安全审计设备得到了广泛的应用。它能够实时监测和记录用户对服务器的访问信息，一旦发现有违规的访问行为(例如未经认证的访问、越权访问)，即可对违规行为进行阻断。

虽然利用安全审计设备能够对违反业务流程的行为进行及时检测和阻断，但在实际应用中却存在大量在业务流程上并不违规、实际上仍然给业务系统带来破坏的攻击行为。例如在某业务系统中，曾经出现过内部人员盗用其他人员的账号信息登录业务系统，多次修改数据库中的记录进行牟利的信息安全事件。由于这种攻击方式的实施过程完全符合业务流程，现有的安全审计产品无法检测出来并进行报警或阻断。

目前的现有技术中，有的解决方案是根据安全配置规则对数据库访问记录进行分析，将数据库访问记录以报警/非报警分类。该方案能够对部分业务行为异常进行检测，但却存在以下不足：首先，依靠管理人员制定一套完整的安全配置规则过于繁琐，一旦出现规则未包含的攻击行为，将会导致对该类攻击行为的漏报；其次，某些攻击行为无法从一次或几次数据库访问行为记录中发现，例如针对某条访问记录在24小时内的修改频率，对于该类攻击行为就无法制定合理的安全配置规则，通过对一条或几条数据库访问记录的分析进行检测。

发明内容

本发明所要解决的技术问题是在于需要提供一种业务行为异常检测系统及方法，用于根据安全审计设备的审计记录，检测在业务流程上并不违规、实际上仍然给业务系统带来破坏的攻击行为。

为了解决上述问题，本发明提供了一种业务行为异常检测方法，包括：

根据安全审计设备当前检测点之前的历史审计记录，建立用户访问业务系统的正常行为模型；

对安全审计设备的实时审计记录进行分析，与所述正常行为模型进行比较，判断用户访问业务系统的行为是否异常。

进一步地，上述方法还可具有以下特点，所述建立用户访问业务系统的正常行为模型的步骤，包括：

设定监控对象及其相应的监控类型；

设定自学习阶段的起止时间；

对设定的起止时间内的历史审计记录进行自学习，根据监控对象其相应的监控类型对该监控对象的信息进行统计，从而建立正常行为模型。

进一步地，上述方法还可具有以下特点，

设定监控对象时，设定需要监控的数据库表名，以及相应的操作类型和字段名；设定监控类型为取值范围和/或出现频率；

对设定的起止时间内的历史审计记录进行学习时，对历史审计记录进行解析，提取数据库表名、操作类型、字段名和操作值；

判断所述历史审计记录是否包含设定的监控对象，对于包含所述监控对象的所述历史审计记录，根据监控对象其相应的监控类型对该监控对象的操作值进行统计，如果该监控对象相应的监控类型为出现频率，则计算指定时间内其指定操作值的平均出现频率；如果该监控对象相应的监控类型为取值范围，计算其操作值的均值和方差。

进一步地，上述方法还可具有以下特点，如果监控对象的字段名为字符型，只允许设定监控类型为出现频率；如果监控对象的字段名为数值型，则设定监控类型为取值范围和/或出现频率。

进一步地，上述方法还可具有以下特点，所述对安全审计设备获取的当前审计记录进行分析，与所述正常行为模型进行比较，判断用户访问业务系统的行为是否异常具体包括：

对实时审计记录进行解析，提取数据库表名、操作类型、字段名和操作值，判断所述实时审计记录是否包含设定的监控对象；

对于包含所述监控对象的所述实时审计记录，根据监控对象相应的监控类型对监控对象的操作值进行处理，判断是否偏离了正常行为模型，如果偏离，则用户访问业务系统的行为异常；

其中，所述判断是否偏离了正常行为模型是指，当所述监控对象相应的监控类型为出现频率时，则统计所述监控对象在指定时间的出现频率，比较监控对象其指定操作值的出现频率与正常行为模型的偏离程度是否超过了设定阈值；当所述监控对象的监控类型为取值范围时，则比较所述监控对象的操作值，与正常行为模型的偏离程度是否超过了设定阈值。

本发明还提出一种业务行为异常检测系统，包括：

存储模块，用于存储所述安全审计设备的审计记录，包括当前观测点的实时审计记录，以及所述当前检测点之前的历史审计记录；