[发明专利]一种基于聚类分析和关联规则的数据库审计系统及方法

说明书

本发明公开了一种基于聚类分析和关联规则的数据库审计系统及方法，涉及数据库审计。若干数据采集探针，采集用户数据和行为数据并输出；第一审计分析模块，机器学习模型对用户数据进行识别得到用户画像，用户画像为正常用户时输出第一分析结果，否则输出第二分析结果；第二审计分析模块，用第一分析结果的行为数据与规则库进行匹配，匹配时输出第三分析结果，不能匹配则输出第四分析结果；第一报警单元根据第二分析结果生成第一告警信息；第二报警单元根据第四分析结果生成第二告警信息；审计报告模块根据第三分析结果、第一、二告警信息生成审计报告。提升了数据库性能，为数据库的安全运行提供了保障，实现实时审计和安全检测。

技术领域

本发明涉及数据库审计领域，尤其涉及一种基于聚类分析和关联规则的数据库审计系统及方法。

背景技术

数据库审计系统主要用于监视并记录对数据库服务器的各类操作行为，通过对网络数据的分析，实时地、智能地解析对数据库服务器的各种操作，并记入审计数据库中以便日后进行查询、分析、过滤，实现对目标数据库审计系统的用户操作的监控和审计。当前，数据库审计系统的安全机制包括：身份识别和鉴别、访问控制、存取控制、加密、备份与恢复、推理控制与隐私保护、数据库审计七个方面，但上述身份鉴别、访问控制等机制是以防御为主的被动安全机制，并不能完全满足数据库的安全需求。数据库审计系统是一个复杂而又关键的系统，存在各种管理和技术上的风险，如果这些风险变为现实，那么企业数据将遭受严重的经济损失和法律风险，数据库产生安全问题非常难以追查和定位，因为无法查找问题发生的痕迹和证据。因此，数据库安全实时审计系统成为当下的时兴技术，这是一种基于动态安全的防御技术，但在实际应用中存在一定局限性，例如如果只实施粗粒度的审计则难以察觉入侵和攻击行为，而细粒度的审计，则有可能严重影响数据库的性能，因此在不过多影响数据库性能的情况下实现细粒度审计是非常有必要的。

发明内容

本发明为了解决上述问题，现提出一种基于聚类分析和关联规则的数据库审计系统，包括：

若干数据采集探针，设置于网络中配置的中心交换机与数据库服务器的连接链路上，用于采集所述连接链路中的实时流量数据并输出；

所述实时流量数据包括用户数据和与所述用户数据对应的行为数据；

第一审计分析模块，连接所述数据采集探针，用于根据预设的机器学习模型对所述用户数据进行识别，得到所述用户数据的用户画像，并在所述用户画像表示所述用户数据对应的用户为正常用户时输出第一分析结果，以及在所述用户画像表示所述用户数据对应的用户为异常用户时输出第二分析结果；

第二审计分析模块，分别连接所述数据采集探针和所述第一审计分析模块，用于根据所述第一分析结果，将所述正常用户的所述行为数据与预设的行为规则库中包含的若干行为规则进行匹配，并在匹配得到相应的所述行为规则时输出第三分析结果，以及在未匹配得到相应的所述行为规则时输出第四分析结果；

报警模块，分别连接所述第一审计分析模块和所述第二审计分析模块，所述报警模块具体包括：

第一报警单元，用于根据所述第二分析结果生成相应的第一告警信息并输出；

第二报警单元，用于根据所述第四分析结果生成相应的第二告警信息并输出；

审计报告模块，分别连接所述第二审计分析模块和所述报警模块，用于根据所述第三分析结果、所述第一告警信息和所述第二告警信息生成相应的审计报告。

优选的，还包括一人机交互模块，分别连接所述审计报告模块和所述报警模块，用于供审计人员查看所述审计报告。

优选的，还包括一审计资源配置模块，连接所述人机交互模块，用于通过所述人机交互模块并根据所述审计报告中审计业务的不同需求进行审计项目管理安排。