[发明专利]一种数据库审计系统及其审计方法

说明书

技术领域

本发明属于数据库审计领域，特别涉及一种数据库审计系统及其方法。

背景技术

随着网络与计算机技术的飞速发展，数据库的应用越发广泛，数据库作为信息系统的核心，其安全性显得尤为重要。在数据库性能与效率不断提升的同时，如何有效防止数据库系统遭受攻击、保证数据库中数据的安全性和有效性，已成为信息安全的重要研究课题。

现有的数据库审计系统，对数据审计的规则由审计人员人工配置或者研发人员预设基础规则，然后经由旁路部署镜像出数据库数据，解析数据后，比对设定的规则判断是否异常。

这种数据库审计的方式需要审计人员具备数据库知识，并且对企业各业务系统的数据库有一定了解，针对各个业务系统需要配置大量不同的规则，规则涉及广泛选项条目繁多，存在一定误操作的可能。即便有异常数据被系统误判为正常数据，在没有造成明显的数据库安全问题前，也无法被发现，存在漏检测的隐患。

发明内容

发明目的：本发明的目的在于针对现有技术的不足，提供一种通用性强、检测效率高的数据库审计系统。

技术方案：本发明提供了一种数据库审计系统，包括数据库语句审计模块和数据库用户行为审计模块，其中，所述数据库语句审计模块用于对采集到的审计数据进行解析，得到SQL语句,对得到的SQL语句进行检测；所述数据库用户行为审计模块用于对采集到的审计数据进行分析，得到的用户行为，并对得到的用户行为进行检测。

进一步，所述数据库语句审计模块包括数据库语句学习子模块和数据库语句检测子模块，其中，

所述数据库语句学习子模块对采集到的正确的审计数据进行解析，得到SQL语句，每条SQL语句建立一个SQL语法树，得到每个SQL语法树的结构特征V(i)，其中V(i)＝V(S1,S2,S3,S4,S5)，S1为操作类型、S2为子树的个数、S3为树的高度、S4为节点的个数、S5为第一棵子树节点的个数，对每个SQL语法树的结构特征V(i)作HASH(MD5散列计算)计算，得到每个SQL语句结构的特征值SQL(i)，将SQL语句结构的特 征值SQL(i)存入到SQL语句规则库中；其中V(i)表示第i个SQL语法树的结构特征，SQL(i)表示第i个SQL语句结构的特征值。其中，HASH计算为MD5散列计算。

所述数据库语句检测子模块通过模式匹配，利用SQL(i)做索引查找规则库中的条目，通过匹配找到具有相同模式的SQL语句后，再对各个节点进行逐个匹配；最终确定实时采集到的审计数据解析后的SQL语句是否与SQL语句规则库匹配；若匹配成功结束处理过程；若匹配不成功则将数据提交给人工审计。

进一步，所述数据库用户行为审计模块包括数据库用户行为审计学习子模块和数据库用户行为审计检测子模块；其中，

所述数据库用户行为审计学习子模块对采集到的正确审计数据进行解析，提取用户行为的数据库用户名、操作对象表名和数据库操作类型这三个关键元素，提取每一个用户行为的三个关键元素构成的行为特征进行存储，多个行为特征构成一个项目集，利用Apriori算法对项目集进行关联规则挖掘，设定最小支持度和最小可信度，计算出强关联规则，存入正常用户行为规则库；

所述数据库用户行为审计检测子模块对实时采集到的新的审计数据进行解析并聚类分析，将提取的行为特征与正常用户行为规则库进行匹配，若匹配成功，判定提取的行为特征为正常行为，则检测结束；若匹配不成功，对提取的行为特征报警并记录，由审计人员对报警数据人工判定，判定为正常行为，则将这条行为特征更新到正常用户行为规则库。

本发明还提供了一种基于上述数据库审计系统的数据库审计方法，包括以下步骤：

步骤10：在连接数据库的交换机上配置镜像端口；

步骤20：数据审计系统中的数据库语句审计模块和数据库用户行为审计模块分别根据采集到的正确的审计数据进行学习并建立SQL语句规则库和用户行为规则库；

步骤30：安装数据审计系统的服务器从镜像端口获得镜像数据分别输入到数据审计系统的数据库语句审计模块和数据库用户行为审计模块中；

步骤40：数据库语句审计模块和数据库用户行为审计模块同时对采集到的镜像数据进行解析和检测。

进一步，所述步骤20中数据库语句审计模块对采集到的正确的审计数据进行学习的方法为：

步骤210：对采集到的正确的审计数据进行解析得到SQL语句；

步骤211：利用UNIX系统所提供的词法分析工具LEX和语法分析工具YACC进行SQL语句解析处理，生成语法树；