[发明专利]一种数据库审计系统及其审计方法

摘要

本发明提供了一种数据库审计系统，包括数据库语句审计模块和数据库用户行为审计模块，其中，所述数据库语句审计模块用于对采集到的审计数据进行解析，得到SQL语句,对得到的SQL语句进行检测；所述数据库用户行为审计模块用于对采集到的审计数据进行分析，得到的用户行为，并对得到的用户行为进行检测。本发明还涉及一种基于数据库审计系统的审计方法。本发明通用性较强且检测效率较高，维护方便，规则库不断更新确保降低误检率。可以实际满足不同用户对数据库安全的需求，在数据库审计行业中有广泛的应用前景。

主权项

一种数据库审计系统，其特征在于：包括数据库语句审计模块和数据库用户行为审计模块，其中，所述数据库语句审计模块用于对采集到的审计数据进行解析，得到SQL语句,对得到的SQL语句进行检测；所述数据库用户行为审计模块用于对采集到的审计数据进行分析，得到的用户行为，并对得到的用户行为进行检测；所述数据库语句审计模块包括数据库语句学习子模块和数据库语句检测子模块，其中，所述数据库语句学习子模块对采集到的正确的审计数据进行解析，得到SQL语句，每条SQL语句建立一个SQL语法树，得到每个SQL语法树的结构特征V(i)，其中V(i)=V(S1 ,S2 ,S3 ,S4,S5)，S1为操作类型、S2为子树的个数、S3为树的高度、S4为节点的个数、S5为第一棵子树节点的个数，对每个SQL语法树的结构特征V(i) 作HASH计算，得到每个SQL语句结构的特征值SQL(i)，将SQL语句结构的特征值SQL(i)存入到SQL语句规则库中；其中V(i)表示第i个SQL语法树的结构特征，SQL(i)表示第i个SQL语句结构的特征值；所述数据库语句检测子模块通过模式匹配，利用SQL(i)做索引查找规则库中的条目，通过匹配找到具有相同模式的SQL语句后，再对各个节点进行逐个匹配；最终确定实时采集到的审计数据解析后的SQL语句是否与SQL语句规则库匹配；若匹配成功结束处理过程；若匹配不成功则将数据提交给人工审计；所述数据库用户行为审计模块包括数据库用户行为审计学习子模块和数据库用户行为审计检测子模块；其中，所述数据库用户行为审计学习子模块对采集到的正确审计数据进行解析，提取用户行为的数据库用户名、操作对象表名和数据库操作类型这三个关键元素，提取每一个用户行为的三个关键元素构成的行为特征进行存储，多个行为特征构成一个项目集，利用Apriori算法对项目集进行关联规则挖掘，设定最小支持度和最小可信度，计算出强关联规则，存入正常用户行为规则库；所述数据库用户行为审计检测子模块对实时采集到的新的审计数据进行解析并聚类分析，将提取的行为特征与正常用户行为规则库进行匹配，若匹配成功，判定提取的行为特征为正常行为，则检测结束；若匹配不成功，对提取的行为特征报警并记录，由审计人员对报警数据人工判定，判定为正常行为，则将这条行为特征更新到正常用户行为规则库。