[发明专利]基于相关性分析的日志审计方法

说明书

本发明公开了一种基于相关性分析的日志审计方法，其包括：设置日志采集模块：通过镜像端口和软件探针获得所有访问数据库的数据包，并对数据报文进行解析，还原真实的访问行为；生成安全审计日志；依照常规审计规则和高级审计规则对日志进行审计，生产完整审计记录。本发明公开了一种基于相关性分析的日志审计方法具有步骤简单、报表完善和审计全面等优势，能有效帮助企业提高数据安全管理能力，并快速且经济地满足合规要求。

技术领域

本发明涉及一种网络安全技术。更具体地说，本发明涉及一种基于相关性分析的日志审计方法。

背景技术

在高速信息化的今天，信息安全成为国家安全战略的重要部分。日志，是对IT系统在运行过程中产生的事件的记录。通过日志，IT管理人员可以了解系统的运行状况。而通过对安全相关的日志的分析，IT管理者可以检验信息系统安全机制的有效性，这就是安全日志审计，简称日志审计。而日志的产生、收集、审计分析和存储的全过程称作日志管理。

随着政府、企事业单位等各类组织的正常工作开展对信息化的依赖程度越来越高，信息系统安全防护的重要性也随之增高。对各类日志进行安全审计是信息系统安全维护的重点工作之一，目前，由于日志存放分散、数量多、格式不统一、保存周期短、易被篡改破坏等因素，人为开展日志审计工作已逐渐变为一项不可能完成的任务。

发明内容

本发明的一个目的是解决至少上述问题，并提供至少后面将说明的优点。

本发明还有一个目的是提供一种基于相关性分析的日志审计方法，其包括：设置日志采集模块，通过镜像端口和软件探针获得所有访问数据库的数据包，并对数据报文进行解析，还原真实的访问行为；生成安全审计日志；依照常规审计规则和高级审计规则对日志进行审计，其中，常规审计规则包括：加固点名称、数据库实例、数据库类型-数据库用户、操作系统用户、主机、数据库IP、客户端IP、数据库MAC、客户端MAC、客户端程序、客户端用户名、客户端端口、请求发生时间、执行时长、SQL内容关键字以及SQL结果关键字；高级审计规则包括：多关键字：基于自主的高速多关键字匹配算法，当多个关键字同时出现时，触发该规则；正则表达式：可以使用正则表达式定义复杂审计规则，如身份证号码、邮件地址；语句级规则:SQL语句代表的句型的规则。

优选的是，所述基于相关性分析的日志审计方法还包括：自动学习每一个应用的访问语句，进行模式提取和分类，自动生成行为特征模型，并可以对学习结果进行编辑；通过检查访问行为与基线的偏差来识别风险。

优选的是，所述基于相关性分析的日志审计方法还包括：将学习到的、经过安全管理员判定对数据库正常、无风险的访问SQL加入到系统白名单，对于偏离白名单的访问行为，系统生成报警，并提交安全管理员人工判定。

本发明至少包括以下有益效果：本发明所述基于相关性分析的日志审计方法能够实现敏感数据发现、性能审计、风险评估、数据活动监控等。支持旁路、直连、软件探针等多种部署方式。具有性能卓越、报表完善和审计全面等优势，能有效帮助企业提高数据安全管理能力，并快速且经济地满足合规要求。本发明所述基于相关性分析的日志审计方法通过服务发现、数据库敏感数据发现、分类等功能帮助企业了解数据库服务器和敏感数据的分布情况。实时监控数据库运行状态，在状态异常时进行预警，防止业务瘫痪，保障业务系统的可用性。全面发现各种配置、管理和系统的风险，帮助修复风险和漏洞。追溯到最终用户，提供完整审计记录。

本发明的其它优点、目标和特征将部分通过下面的说明体现，部分还将通过对本发明的研究和实践而为本领域的技术人员所理解。

具体实施方式

下面结合实施例对本发明做进一步的详细说明，以令本领域技术人员参照说明书文字能够据以实施。

应当理解，本文所使用的诸如“具有”、“包含”以及“包括”术语并不排除一个或多个其它元件或其组合的存在或添加。