[发明专利]一种数据库审计系统及其审计方法有效

申请号：	201410306453.7	申请日：	2014-06-30
公开（公告）号：	CN104090941B	公开（公告）日：	2017-08-25
发明（设计）人：	吴克河;崔文超;刘晨莹	申请（专利权）人：	北京华电天益信息科技有限公司
主分类号：	G06F17/30	分类号：	G06F17/30;G06F21/62
代理公司：	南京苏高专利商标事务所(普通合伙)32204	代理人：	王云
地址：	102206 北京市昌平区回***	国省代码：	北京;11
权利要求书：	查看更多	说明书：	查看更多
摘要：
搜索关键词：	一种数据库审计系统及其方法
钻瓜网技术展会专利词库专利权人专利榜在售专利公布日期热门专利

【权利要求书】：

1.一种数据库审计系统，其特征在于：包括数据库语句审计模块和数据库用户行为审计模块，其中，所述数据库语句审计模块用于对采集到的审计数据进行解析，得到SQL语句,对得到的SQL语句进行检测；所述数据库用户行为审计模块用于对采集到的审计数据进行分析，得到的用户行为，并对得到的用户行为进行检测；

所述数据库语句审计模块包括数据库语句学习子模块和数据库语句检测子模块，其中，

所述数据库语句学习子模块对采集到的正确的审计数据进行解析，得到SQL语句，每条SQL语句建立一个SQL语法树，得到每个SQL语法树的结构特征V(i)，其中V(i)=V(S1 ,S2 ,S3 ,S4,S5)，S1为操作类型、S2为子树的个数、S3为树的高度、S4为节点的个数、S5为第一棵子树节点的个数，对每个SQL语法树的结构特征V(i) 作HASH计算，得到每个SQL语句结构的特征值SQL(i)，将SQL语句结构的特征值SQL(i)存入到SQL语句规则库中；其中V(i)表示第i个SQL语法树的结构特征，SQL(i)表示第i个SQL语句结构的特征值；

所述数据库语句检测子模块通过模式匹配，利用SQL(i)做索引查找规则库中的条目，通过匹配找到具有相同模式的SQL语句后，再对各个节点进行逐个匹配；最终确定实时采集到的审计数据解析后的SQL语句是否与SQL语句规则库匹配；若匹配成功结束处理过程；若匹配不成功则将数据提交给人工审计；

所述数据库用户行为审计模块包括数据库用户行为审计学习子模块和数据库用户行为审计检测子模块；其中，

所述数据库用户行为审计学习子模块对采集到的正确审计数据进行解析，提取用户行为的数据库用户名、操作对象表名和数据库操作类型这三个关键元素，提取每一个用户行为的三个关键元素构成的行为特征进行存储，多个行为特征构成一个项目集，利用Apriori算法对项目集进行关联规则挖掘，设定最小支持度和最小可信度，计算出强关联规则，存入正常用户行为规则库；

所述数据库用户行为审计检测子模块对实时采集到的新的审计数据进行解析并聚类分析，将提取的行为特征与正常用户行为规则库进行匹配，若匹配成功，判定提取的行为特征为正常行为，则检测结束；若匹配不成功，对提取的行为特征报警并记录，由审计人员对报警数据人工判定，判定为正常行为，则将这条行为特征更新到正常用户行为规则库。

2.采用权利要求1所述的数据库审计系统的数据库审计方法，其特征在于：包括以下步骤：

步骤10：在连接数据库的交换机上配置镜像端口；

步骤20：数据审计系统中的数据库语句审计模块和数据库用户行为审计模块分别根据采集到的正确的审计数据进行学习并建立SQL语句规则库和用户行为规则库；

步骤30：安装数据审计系统的服务器从镜像端口获得镜像数据分别输入到数据审计系统的数据库语句审计模块和数据库用户行为审计模块中；

步骤40：数据库语句审计模块和数据库用户行为审计模块同时对采集到的镜像数据进行解析和检测；

所述步骤20中数据库语句审计模块对采集到的正确的审计数据进行学习的方法为：

步骤210：对采集到的正确的审计数据进行解析得到SQL语句；

步骤211：利用UNIX系统所提供的词法分析工具LEX和语法分析工具YACC进行SQL语句解析处理，每条SQL语句生成一个语法树；

步骤212：对语法树中的用户输入进行统一的字符替换，裁剪为规范语法树；

步骤213：对语法树进行特征提取，表示成SQL规范语法树即为V(i)=V(S1 ,S2 ,S3 ,S4,S5)，其中，S1为操作类型，S2为子树的个数，S3为树的高度，S4为节点的个数，S5为第一棵子树节点的个数；

步骤214：根据SQL语法树的结构特征V(i)，利用HASH算法对V(i)进行HASH计算，从而得到SQL语句结构的特征值SQL(i)；

步骤215：将SQL(i)存入SQL语句规则库，循环执行步骤211-215直至学习阶段结束；