[发明专利]基于数据流量及数据探测结果进行安全态势建模的方法

权利要求书

1.一种基于数据流量及数据探测结果进行安全态势建模的方法，其特征在于包括以下步骤：

步骤1、使用数据库内容探测技术及敏感数据特征匹配技术判断数据库中敏感数据种类及分布，建立敏感数据字典；

步骤2、基于敏感数据字典进行数据分类分级；

步骤3、获取数据访问流量并基于流量分析，判断数据访问者的身份特征；

步骤4、基于流量分析，获取访问者访问数据的行为特征及数据对象；

步骤5、根据数据访问者的身份特征及行为特征，对访问数据的行为建立模型；

步骤6、根据模型，进行数据库风险分析及态势感知；

所述步骤5的具体实现方法为：

⑴根据数据访问者是自然人和应用程序建立模型；

⑵分别针对长连接和短连接会话建立会话量模型；

⑶采集单位时间内的会话量，按日、周、月建立会话量模型；

⑷上行流量：采集单位时间内的SQL请求数量或请求包数量，按日、周、月建立上行流量模型；

⑸下行流量：采集单位时间内的SQL应答行数或应答包数量，按日、周、月建立下行流量模型；

所述步骤6进行数据库风险分析的范围包括如下类型：

⑴登录会话异常；⑵新账户登录异常；⑶会话初始登录行为异常；⑷应用关联账户频繁更换异常；⑸应用关联IP异常；⑹应用关联账户异地登录异常；⑺操作异常建模；⑻返回结果异常；⑼敏感数据访问异常；⑽敏感数据访问频次异常。

2.根据权利要求1所述的基于数据流量及数据探测结果进行安全态势建模的方法，其特征在于：所述步骤1的具体实现方法为：通过内容探测并基于数据特征扫描，将具有一定权限的数据库用户与数据库建立连接，遍历数据库中的数据表，从每张数据表中提取部分数据与数据特征进行匹配，得出敏感数据的分布情况，建立敏感数据字典。

3.根据权利要求1所述的基于数据流量及数据探测结果进行安全态势建模的方法，其特征在于：所述步骤2的具体实现方法为：将通过导入数据分类分级规则与敏感数据字典进行匹配，确定目标数据环境中敏感数据的分类分级情况。

4.根据权利要求1所述的基于数据流量及数据探测结果进行安全态势建模的方法，其特征在于：所述步骤3判断数据访问者的身份特征包括以下内容：⑴访问数据库的用户名；访问数据库的主机信息；访问数据库的IP及端口；访问数据库的语句模板；⑵访问数据库的应用程序名；⑶长连接与短连接；⑷是否具有访问系统表的行为，是否初次建立连接后立刻访问系统表；⑸是否执行参数化语句；⑹是否出现几秒内连续执行多条语句的情况。

5.根据权利要求1所述的基于数据流量及数据探测结果进行安全态势建模的方法，其特征在于：所述短连接和长连接的判断方法为：会话生命期小于等于10秒，否则是长连接。