[发明专利]用于数据库系统防黑客入侵的检测系统和方法

说明书

本发明公开了用于数据库系统防黑客入侵的检测系统和方法，涉及数据库防入侵技术领域。本发明的报告上报系统包括数据采集器、误用检测单元、异常检测单元、误用规则库、行为模式规则库、记录器、报警器、关联防火墙、事件数据库、磁盘管理器、客户端实时报警器、与用户交互模块、管理控制台；本发明的检测方法包括：S01：当前系统审计数据；S02：数据采集和预处理；S03：数据挖掘；S04：得到当前用户行为特征；S05：综合规则库进行检测；S06：判断是否遭受入侵。本发明解决对数据库网络和黑客入侵不能实施监测报警，不能对数据库中的入侵事件进行管理和维护，对系统检测的实时性和效率低的问题。

技术领域

本发明属于数据库防入侵技术领域，特别是涉及用于数据库系统防黑客入侵的检测系统及用于数据库系统防黑客入侵的检测方法。

背景技术

随着互联网的飞速发展，数据库的应用也跟上了全球信息化的步伐，越来越多的政府、商业、金融等公司机构以及事业部门将数据库与互联网相连。随着数据库应用功能和范围越来越广和越来越强带，同时带来的还有各种网络和黑客攻击等因素存在的网络安全问题，使数据库面临越来越多的风险。因此如何应对网络和黑客攻击对数据库系统带来的威胁是目前数据库系统亟需解决的问题。目前国内关于数据库系统的入侵检测研究尚不多见，技术上处于研究阶段，尚无完善的实用系统，因此这对以上问题提供一种用于数据库系统防黑客入侵的检测系统及用于数据库系统防黑客入侵的检测方法具有重要意义。

发明内容

本发明的目的在于提供用于数据库系统防黑客入侵的检测系统和方法，通过提供由数据审计系统与数据库相连的数据采集器，数据采集器与误用检测单元和异常检测单元相连，误用检测单元实时检测采集的数据特征与误用规则库内的规则进行比较，异常检测单元实时检测采集的数据特征与行为模式规则库内的规则进行比较，并进行入侵判断，将入侵判断结果反馈至报警器和客户端实时报警器进行报警显示，解决对数据库网络和黑客入侵不能实施监测报警，不能对数据库中的入侵事件进行管理和维护，对系统检测的实时性和效率低的问题。

为解决上述技术问题，本发明是通过以下技术方案实现的：

本发明的用于数据库系统防黑客入侵的检测系统，包括数据采集器、误用检测单元、异常检测单元、误用规则库、行为模式规则库、记录器、报警器、关联防火墙、事件数据库、磁盘管理器、客户端实时报警器、与用户交互模块、管理控制台；

所述数据采集器通过数据库审计系统与数据库相连并进行信息数据交互；所述误用检测单元通过信息数据传输模块分别连接数据采集器、误用规则库、记录器和报警器；所述异常检测单元通过信息数据传输模块分别连接数据采集器、行为模式规则库、报警器；所述报警器通过信息数据传输模块分别与关联防火墙以及客户端实时报警器相连；

所述事件数据库通过信息数据传输模块分别连接记录器、报警器、磁盘管理器、管理控制台、与用户交互模块。

进一步地，所述采集数据库审计系统对数据库中待审计日志生成审计记录；所述数据采集器用于采集数据库审计系统对数据库提取的审计记录进行提取，实现审计数据和数据采集的并行化；

所述误用检测单元与异常检测单元用于分别读取数据采集器中的审计记录的数据，并分别与误用规则库和行为模式规则库中的规则进行检测；

所述误用规则库用于存放已知的攻击模式，由审计系统管理员根据个人的经验和以往审计检测的结果进行建立和维护；

所述行为模式规则库用于存放用户正常行为模式，由异常检测模块根据基于关联规则的数据挖掘算法创建并进行增量更新；

所述报警器用于将误用检测单元和异常检测单元检测出的非正常行为传递给报警器，报警器根据此行为的异常程度采取相应的措施；

所述关联防护墙用于对误用检测单元和异常检测单元检测出的非正常行为进行防御，包括进行访问行为控制和危险操作阻断；