[发明专利]面向电力信息内外网边界的数据库用户行为安全审计方法

说明书

技术领域

本发明属于电力信息安全和数据库审计领域，具体涉及面向电力信息内外网边界的数据库用户行为安全审计方法。

背景技术

目前已建成的以双网隔离为主要特征的电力信息网络安全防护体系中，电力信息内外网之间部署的信息安全网络隔离装置实现了逻辑强隔离，有力保障了电力信息内网业务的安全可靠运行。然而，随着智能电网的发展，信息内外网边界交互日益频繁，遭受攻击的可能性也不断增加。作为信息网第二道防线的信息内外网边界，承载着大量的外网业务与内网数据库服务的重要信息交互，然而信息安全网络隔离装置目前只能提供实时在线的SQL语句过滤，更详细的安全事件采集和分析工作难以应对，导致难以评估边界安全状态、难以发现和追溯恶意攻击等问题日益突出，所以亟需在保持高强度安全防护能力的基础上，提高面向信息内外网边界的数据库在线监控和综合审计能力，进一步加强提高电力信息网安全整体防护能力。

数据库审计是保护数据库安全的重要措施。1991年，伊丽莎白(Bishop)提出了安全审计由审计和日志两部分组成的理论，该理论对数据库安全审计的研究有着重要的指导意义。针对传统数据库管理系统中审计功能缺乏审计分析及检测入侵的缺陷，LeventV.奥曼(Orman)初步提出了数据库审计的三种策略：基于规则的审计、基于统计的审计、基于数据挖掘的审计。近年来，国内外公司也开发了多种数据库安全审计产品，如美国IBM的InfoSphere Guardium、以色列Imperva公司的SecureSphere和美国ASI公司的DBProtect等，国内的上海复旦光华信息科技股份有限公司的DB-Audit、安恒信息技术有限公司的DAS-DBAuditor和杭州思福迪公司的LOGBASE业务数据库审计系统等。但是由于公司信息内外网边界上部署的隔离装置采用私有安全通信协议和独立的日志系统，市场上通用的安全审计产品很难与当前的隔离装置兼容，因此有必要研究依托于信息内外边界的专用安全审计系统。

SVM是一种基于统计学习理论的机器学习模型，具有小样本学习和泛化能力良好、置信范围和收敛速度可控的优点，其在信息安全中的入侵检测领域获得了大量应用，但 是在入侵检测技术相关性较大的安全审计领域的应用却存在一些不足。

因此，针对现有的信息内外网边界安全监控和边界综合审计方面存在的不足，并且考虑到已有的公司的隔离装置采用私有安全通信协议和独立的日志系统，市场上通用安全审计类产品很难与隔离装置兼容的特点，提出了一种基于OCSVM的数据库用户访问行为的安全审计技术，实现信息内网数据库的安全审计。

发明内容

为解决国网公司信息内外网边界安全监控和边界综合审计方面的不足，本发明提供一种面向电力信息内外网边界的数据库用户行为安全审计方法。本发明提供的技术方案引入SVM的一个重要分支OCSVM作为用户行为的挖掘算法。本发明提供的OCSVM训练样本仅需要一个类别数据，非常适合两类分类中某类数据未知或者难以获取的分类情况，如异常检测。

本发明提供的面向电力信息内外网边界的数据库用户行为安全审计方法，其改进之处在于，所述数据库用户访问行为的安全审计方法包括：

(1)处理原始审计日志数据；

(2)训练数据样本构建用户访问行为模式库；

(3)检测数据库用户访问行为是否异常。

进一步的，处理原始审计日志数据的流程包括：

I、特征提取；

II、SQL语句分析；

III、数值化处理；和

Ⅳ、归一化处理。

进一步的，所述步骤I，分析审计日志中用户操作数据库的信息，选择特征向量代表用户的行为事件；

所述特征向量包括用户名、操作行为、操作对象、操作时间和IP地址。

进一步的，所述步骤II，所述SQL语句分析包括解析SQL语句的词法和语法，得到特征向量中的操作行为和操作对象；

用LEX词法分析器进行所述SQL词法分析；

用YACC语法分析器进行所述SQL语法分析。

进一步的，所述步骤III，对用户行为数据中特征向量中的元素用数值映射，得到数 值化的特征向量；

所述用户行为数据包括特征向量固定的时间段内数量一定的用户对数据库操作行为的记录。

进一步的，所述步骤Ⅳ中，训练样本经由下式(1)将数值化的特征向量中的元素映射到区间[0,1]：