[发明专利]一种基于工控数据库的三层关联审计方法及系统

说明书

本发明公开了一种基于工控数据库的三层关联审计方法，包括：通过交换机的端口镜像功能将所述中间件层的访问流量数据和所述数据库层的访问流量数据镜像传输至数据库审计系统，并将所述中间件层的访问流量数据和所述数据库层的访问流量数据加入审计监控范围，确定HTTP访问和数据库访问的关联。通过上述方式，本发明基于工控数据库的三层关联审计方法通过三层关联审计技术结合当前工控数据库系统环境，将应用层审计数据与工控数据库层审计数据综合起来进行关联分析，从而将应用层操作准确对应到数据库层的操作，在基于工控数据库的三层关联审计方法的普及上有着广泛的市场前景。

技术领域

本发明涉及工控数据库安全领域，特别是涉及一种基于工控数据库的三层关联审计方法及系统。

背景技术

工业控制系统所采用的数据库类型多种多样，有传统的关系型数据库、大数据型数据库和时序数据库，业务主机通过客户端或中间件使用数据库中的数据。

目前的工控系统数据库安全审计技术对于中间件与数据库系统之间的连接、访问等行为能做到全面审计，但是现有技术用户访问中间件的行为没有有效审计手段，这造成审计结果不全面，因而存在相关安全风险。

发明内容

本发明主要解决的技术问题是提供一种基于工控数据库的三层关联审计方法，通过采用三层关联审计技术结合当前工控数据库系统环境，将应用层审计数据与工控数据库层审计数据综合起来进行关联分析，从而将应用层操作准确对应到数据库层的操作，当发生安全事件时，根据关联审计记录的日志信息，可快速定位到网络中的责任人，在基于工控数据库的三层关联审计方法的普及上有着广泛的市场前景。

为解决上述技术问题，本发明提供一种基于工控数据库的三层关联审计方法，应用于数据库审计系统，包括：

响应于中间件应用层开启应用服务器日志转发功能后发送的前端用户层访问日志，数据库审计系统对前端用户层访问日志进行存储；

响应于中间件应用层通过应用服务器日志转发功能发送的工控数据库层访问日志，数据库审计系统对工控数据库层访问日志进行存储；

数据库审计系统对前端用户层访问日志和工控数据库层访问日志进行关联审计分析，确定前端用户层访问和工控数据库层访问的关联。

在本发明一个较佳实施例中，中间件应用层在接收到前端用户层的访问请求后做应用层协议解析与处理，将解析与处理结果记录在前端用户层访问日志中，然后中间件应用层开启应用服务器日志转发功能，将前端用户层访问日志转发到数据库审计系统。

在本发明一个较佳实施例中，中间件应用层对前端应用层的访问请求解析处理完成后，向工控数据库层发送数据请求，并记录对工控数据库层的请求、返回及调用过程至工控数据库层访问日志中，通过开启的应用服务器日志转发功能，将工控数据库层访问日志转发到数据库审计系统。

在本发明一个较佳实施例中，对前端用户层访问日志和工控数据库层访问日志进行关联审计分析，包括但不限于如下分析方式：

①分析前端用户层访问中间件应用层的URL发生时刻的TCP报文中的时间戳、会话ID，与中间件应用层访问工控数据库层的SQL命令发生时刻的TCP报文中的时间戳、会话ID；

②分析前端用户层访问中间件应用层的URL，与中间件应用层访问工控数据库层的SQL模板发生的次数及概率，加入关联审计模板；

③分析前端用户层访问中间件应用层的URL，与中间件应用层访问工控数据库层的SQL模板携带的参数长度、类型等特征。

本申请还提供一种数据库审计系统，所述数据库审计系统执行上述任一项所述的基于工控数据库的三层关联审计方法。

本申请还提供一种基于工控数据库的三层关联审计总控系统，包括所述数据库审计系统，以及工控数据库系统；所述工控数据库系统包括前端用户层、中间件应用层和工控数据库层。