[发明专利]一种基于数据扫描、监控、评估的安全管理审计系统

权利要求书

1.一种基于数据扫描、监控、评估的安全管理审计系统，其特征在于：包括控制器，所述控制器与用于获取数据传输请求的第一数据获取模块相连，所述控制器与用于对数据传输请求携带的数据信息进行重组生成重组数据包的数据重组模块相连，所述控制器与用于接收重组数据包并生成响应数据包的响应生成模块相连，所述控制器与用于存储扫描规则的扫描规则存储模块相连，所述控制器与用于判断响应数据包是否满足扫描规则的第一分析判断模块相连；

所述控制器与用于对通过第一分析判断模块的响应数据包对应的重组数据包进行分布式处理的数据处理模块相连，所述控制器与用于将分布式处理后的数据上传至服务器的数据传输模块相连，所述控制器与用于输入监控策略的监控策略配置模块相连，所述控制器与用于根据监控策略对数据传输模块的上传过程进行监控的数据监控模块相连；

所述控制器与用于根据数据库日志获取数据库访问行为数据的第二数据获取模块相连，所述控制器与用于根据数据库历史日志数据和当前日志数据建立数据库访问行为规则的行为规则建立模块相连，所述控制器与用于对数据库访问行为数据、数据库访问行为规则进行匹配的关联匹配模块相连，所述控制器与用于对关联匹配模块的匹配结果进行分析判断的第二分析判断模块相连。

2.根据权利要求1所述的基于数据扫描、监控、评估的安全管理审计系统，其特征在于：所述数据重组模块提取数据传输请求携带的数据信息，并将数据信息存储至数据库中生成数据信息集合，对数据信息集合进行重组生成重组数据包。

3.根据权利要求2所述的基于数据扫描、监控、评估的安全管理审计系统，其特征在于：所述对数据信息集合进行重组生成重组数据包，包括：

根据数据传输请求的协议结构和请求类型从数据信息集合中读取有效数据信息，将有效数据信息重组生成重组数据包，重组数据包中携带有COOKIE字段。

4.根据权利要求1所述的基于数据扫描、监控、评估的安全管理审计系统，其特征在于：所述第一分析判断模块判断响应数据包中存在不满足扫描规则的数据，则第一分析判断模块判定数据传输请求携带的数据信息存在漏洞，并停止响应生成模块继续生成响应数据包。

5.根据权利要求1所述的基于数据扫描、监控、评估的安全管理审计系统，其特征在于：所述数据处理模块对重组数据包进行状态统计分析、信息分析、性能分析和数据量统计。

6.根据权利要求1所述的基于数据扫描、监控、评估的安全管理审计系统，其特征在于：所述监控策略配置模块供用户输入的监控策略包括：流式数据异常检测，快速检测访问行为是否存在异常；对操作数据进行关联分析，防止隐性敏感数据泄露；将历史数据和当前数据进行融合，挖掘是否存在定向威胁攻击。

7.根据权利要求6所述的基于数据扫描、监控、评估的安全管理审计系统，其特征在于：还包括异常报警模块，所述数据监控模块判断数据传输模块的上传过程中出现监控策略不允许的行为时，所述监控策略立刻停止数据传输模块上传分布式处理的数据，并通过异常报警模块进行消息预警，同时将该分布式处理的数据对应的发布源拉入黑名单。

8.根据权利要求1所述的基于数据扫描、监控、评估的安全管理审计系统，其特征在于：所述行为规则建立模块获取数据库历史日志数据和当前日志数据，对数据库历史日志数据和当前日志数据进行关联分析，获得量化属性的二维数组，并根据最小置信度的频繁项集建立数据库访问行为规则。

9.根据权利要求8所述的基于数据扫描、监控、评估的安全管理审计系统，其特征在于：所述获得量化属性的二维数组，包括：

对数据库历史日志数据和当前日志数据进行格式处理，对格式处理后的数据库历史日志数据和当前日志数据进行量化分箱，获得量化属性，根据量化属性创建二维数组。

10.根据权利要求1所述的基于数据扫描、监控、评估的安全管理审计系统，其特征在于：所述第二分析判断模块根据关联匹配模块的匹配结果判断数据库访问行为数据与数据库访问行为规则之间的匹配程度，并根据匹配程度向服务器发送预警信息。