[发明专利]数据库异常访问的监控方法、监控系统、设备和存储介质

说明书

本申请提供了一种数据库异常访问的监控方法，可以应用于信息安全技术领域。该监控方法包括以下步骤：获取访问数据库的初始网络流量；解析所述初始网络流量，得到访问关键信息；筛选出所述访问关键信息中的异常访问信息；基于所述异常访问信息，采集并分析下一时间段的网络流量；汇总所述异常访问信息和所述网络流量，并以报警信息形式输出。根据本申请的数据库异常访问的监控方法，通过仅对初始网络流量进行网络层的解析，一方面可以确保所有访问数据库的操作均已纳入监测范围，解决数据库访问监控不完善的问题。另一方面，采集端的服务器性能资源消耗小，数据传输、存储的资源消耗可控，可保证数据库自身运行的稳定性。

技术领域

本申请涉及信息安全技术领域，具体涉及一种数据库异常访问的监控方法、监控系统、设备和存储介质和程序产品。

背景技术

金融企业的数据库中存放了大量的客户信息和商业数据，通常通过部署数据库异常访问监测模型以及时发现数据外泄风险，企业内部大多采用旁路部署方式，通过解析网络流量中的数据库通讯数据包来获取操作日志，但基于网络流量的异常监测措施存在消耗过大或无法覆盖全网流量的问题。

发明内容

本申请旨在至少解决现有技术中存在的技术问题之一。

例如，本申请的数据库异常访问的监控方法，性能消耗小且可覆盖所有访问数据库的流量，能提升数据库安全监测的全面性，降低信息泄露的风险。

为了解决上述问题，本申请的第一个方面提供了数据库异常访问的监控方法，包括以下步骤：

获取访问数据库的初始网络流量；

解析所述初始网络流量，得到访问关键信息；

筛选出所述访问关键信息中的异常访问信息；

基于所述异常访问信息，采集并分析下一时间段的网络流量；

汇总所述异常访问信息和所述网络流量，并以报警信息形式输出。

根据本申请的数据库异常访问的监控方法，通过仅对初始网络流量进行网络层的解析，一方面可以确保所有访问数据库的操作均已纳入监测范围，解决数据库访问监控不完善的问题。另一方面，采集端的服务器性能资源消耗小，数据传输、存储的资源消耗可控，可保证数据库自身运行的稳定性。

进一步地，解析所述初始网络流量，得到访问关键信息，包括：

查看所述初始网络流量的流量日志；

根据所述流量日志得到访问关键信息。

进一步地，所述关键信息至少包括：源IP、目的IP以及端口信息。

进一步地，筛选出所述访问关键信息中的异常访问信息，包括：

设置源IP的白名单；

在所述访问关键信息的源IP未命中白名单时，确定所述访问关键信息为异常访问信息。

进一步地，筛选出所述访问关键信息中的异常访问信息，包括：

设置源IP的黑名单；

在所述访问关键信息的源IP命中黑名单时，确定所述访问关键信息为异常访问信息。

进一步地，基于所述异常访问信息，采集并分析下一时间段的网络流量，包括：

设置网络流量解析参数；

基于所述异常访问信息，采集下一时间段的网络流量；

根据所述流量解析参数，分析下一时间段的网络流量，得到访问行为。

进一步地，所述网络流量解析参数包括：数据解析时间段和/或数据解析个数。