技術領域

本發明涉及數據庫業務審計技術，尤其涉及一種數據庫正常登錄模型建立方法及系統，以及一種數據庫登錄行為異常檢測方法及系統。

背景技術

數據庫業務審計技術是目前應用日益廣泛的數據庫安全防護技術，它通過對數據庫系統中用戶的各種操作行為解析、記錄及分析，幫助管理人員對數據庫系統進行規劃預防、實時監控、違規行為阻止和事后追查網絡運營事故，從而幫助用戶加強對數據庫系統操作行為監管、避免核心資產損失、保障數據庫業務系統的正常運營等，是企業實現數據庫管理和控制的最佳實踐。

目前在金融、電信等行業當中均大量使用有各種類型的數據庫系統，如DB2、Oracle、MySQL等等，這些行業的企業需要經常對業務系統當中的用戶操作數據庫進行準確詳細的審計，其中對于用戶登錄行為的審計是必需而且重要的。通過對于各類數據庫協議的解析，目前很多的數據庫業務審計系統都可以準確地提取用戶的登錄信息，包括所使用的用戶名、登錄的IP地址、登錄的時間等等。

本發明的發明人在實現本發明的過程中，發現現有技術至少存在如下技術缺陷：

目前的數據庫業務發展趨勢決定了僅僅能夠提取出用戶的登錄信息是不夠的。出于數據庫安全防護角度的考慮，需要提供相應的技術，以能夠在大量的登錄信息中發現可能存在異常的用戶登錄行為。例如某系統的用戶使用同事的賬號多次登錄后臺數據庫并修改其中的數據，如果僅僅依賴于傳統的數據庫業務審計系統，雖然可以準確地審計到每一次的登錄事件，但是從系統角度看，每一次的登錄事件均屬于合法的數據庫登錄，因此無法發現其中的賬號被盜用的異常。

發明內容

本發明所要解決的技術問題是需要提供一種建立數據庫正常登錄模型的技術，以克服現有技術無法在登錄信息中發現可能存在的異常的用戶登錄行為的技術問題。

為了解決上述技術問題，本發明首先提供了一種數據庫正常登錄模型建立方法，包括如下步驟：

接收用戶正常登錄數據庫產生的正常數據報文；

從所述正常數據報文的字段內容中提取出登錄信息；

根據所述數據庫的系統環境設定模型參數；

根據所述登錄信息及所述模型參數，為所述數據庫建立正常登錄模型。

優選地，從所述正常數據報文的字段內容中提取所述登錄信息的步驟，包括：

根據所述模型參數從所述正常數據報文的字段內容中提取出所述登錄信息。

為了解決上述技術問題，本發明還提供了一種數據庫正常登錄模型建立系統，包括報文接收模塊、解析和提取模塊、參數設定模塊以及模型建立模塊，其中：

所述報文接收模塊，用于接收用戶正常登錄數據庫產生的正常數據報文；

所述解析和提取模塊，用于從所述正常數據報文的字段內容中提取出登錄信息；

所述參數設定模塊，用于根據所述數據庫的系統環境設定模型參數；

所述模型建立模塊，用于根據所述登錄信息及所述模型參數，為所述數據庫建立正常登錄模型。

優選地，所述報文接收模塊用于根據所述模型參數從所述正常數據報文的字段內容中提取出所述登錄信息。

本發明所要解決的另一技術問題是需要提供一種檢測用戶登錄數據庫的行為是否存在異常的技術，以克服現有技術無法在登錄信息中發現可能存在的異常的用戶登錄行為的技術問題。

為了解決上述技術問題，本發明首先提供了一種數據庫登錄行為檢測方法，包括如下步驟：

接收用戶當前登錄數據庫產生的當前數據報文；

利用如權利要求1所述的正常登錄模型對所述當前數據報文進行登錄行為檢測，獲得用戶當前登錄的行為是否存在異常的檢測結果。

優選地，根據所述數據庫的系統環境設定所述模型參數的步驟，包括：

根據所述模型參數從所述正常數據報文的字段內容中提取出所述登錄信息。

優選地，根據所述數據庫的系統環境設定所述模型參數的步驟，包括：

根據所述數據庫的系統環境設定包括IP地址段和/或用戶組的所述模型參數。

為了解決上述技術問題，本發明還提供了一種數據庫登錄行為檢測系統，包括報文接收模塊、解析和提取模塊、參數設定模塊、模型建立模塊、行為檢測模塊及輸出模塊，其中：

所述報文接收模塊，用于接收用戶正常登錄數據庫產生的正常數據報文及用戶當前登錄數據庫產生的當前數據報文；

所述解析和提取模塊，用于從所述正常數據報文的字段內容中提取出登錄信息；