[发明专利]一种数据库安全审计方法

权利要求书

1.数据库安全审计方法，其特征在于，包括：

采集并分析网络数据包，获取策略审计日志；

遍历业务模型库，判断所述策略审计日志是否具有业务模型规定的必须要素项：若具有根据对应的业务模型则从策略审计日志提取出业务知识，否则丢弃该数据包；

加载预先配置的审计策略，将所述业务知识与审计策略进行匹配，并分别存储匹配成功与匹配失败的业务知识；以及判断匹配失败的业务知识是否符合添加到审计策略的条件。

2.根据权利要求1所述的审计方法，其特征在于，将所述业务知识与审计策略进行匹配，包括：先将业务知识与基线策略进行匹配，若匹配成功则将匹配成功的业务知识存储至已匹配基线策略日志库，否则继续与规则策略进行匹配；若与规则策略匹配成功则判定为异常行为，告警并记录。

3.根据权利要求1所述的审计方法，其特征在于，所述从策略审计日志中提取出的业务知识存储至业务知识库；每一条业务知识包括至少一个业务要素，每个业务要素包括至少一个业务知识点；所述业务要素包括：业务发起者、业务时间、业务地址、业务动作、业务对象。

4.根据权利要求3所述的审计方法，其特征在于，所述业务知识包括单一类型与关联类型，独立的一个单一类型的业务知识即可完整的描述用户的一条业务，至少两个关联类型的业务知识可完整的描述用户的一条业务。

5.根据权利要求3或4所述的审计方法，其特征在于，若所述匹配失败的业务知识具有至少一个业务要素符合预设的条件，以及关联类型业务知识的每一条业务知识均具有至少一个业务要素符合预设的条件，则将该业务知识添加到基线策略。

6.根据权利要求1至3任一所述的审计方法，其特征在于，所述基线策略描述合法的数据库行为，其生成过程包括：从业务知识库取数据进行聚类分析，并对提取到的行为特征进行机器学习，确定用于描述合法数据库行为特征的基线策略。

7.根据权利要求1至3任一所述的审计方法，其特征在于，所述规则策略描述非法的数据库行为，其生成过程包括：将网关设备采集的日志数据转换为结构一致的格式日志，分析确定出威胁信息后形成升级包，并根据所述升级包生成对应的规则策略。