本發(fā)明提出了一種針對大規(guī)模數(shù)據(jù)庫集群的安全態(tài)勢感知分析技術(shù)及系統(tǒng)，涉及數(shù)據(jù)庫審計領(lǐng)域。一種針對大規(guī)模數(shù)據(jù)庫集群的安全態(tài)勢感知分析技術(shù)包括：對數(shù)據(jù)庫通信數(shù)據(jù)包進(jìn)行抓包，抓取的數(shù)據(jù)包進(jìn)行數(shù)據(jù)流量解析，將解析結(jié)果發(fā)送到實時流處理引擎進(jìn)行處理和特征提取出實時信息，消息隊列緩沖及轉(zhuǎn)發(fā)實時信息，接收實時信息并存儲在分布式數(shù)倉，進(jìn)行分布式計算，將計算結(jié)果分發(fā)到主題數(shù)據(jù)庫存儲，拉取主題數(shù)據(jù)庫的計算結(jié)果進(jìn)行BI分析展示。此外本發(fā)明還提出了一種針對大規(guī)模數(shù)據(jù)庫集群的安全態(tài)勢感知分析系統(tǒng)。其能夠?qū)Υ笠?guī)模數(shù)據(jù)庫集群進(jìn)行安全審計，實現(xiàn)大規(guī)模數(shù)據(jù)庫集群整體的安全態(tài)勢感知可視化展現(xiàn)。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)庫審計領(lǐng)域，具體而言，涉及一種針對大規(guī)模數(shù)據(jù)庫集群的安全態(tài)勢感知分析技術(shù)及系統(tǒng)。

背景技術(shù)

現(xiàn)有技術(shù)無法滿足大規(guī)模數(shù)據(jù)庫集群的日志信息采集，由于大規(guī)模數(shù)據(jù)庫集群數(shù)據(jù)吞吐高，日志信息在單位時間內(nèi)的數(shù)量大造成傳統(tǒng)數(shù)據(jù)庫安全技術(shù)不能夠?qū)?shù)據(jù)流量進(jìn)行及時解析造成數(shù)據(jù)丟包，最終結(jié)果就是漏審。

傳統(tǒng)數(shù)據(jù)庫安全審計技術(shù)的日志信息一般存儲在關(guān)系型數(shù)據(jù)庫(RDBS)中因此數(shù)據(jù)存儲量比較低，一般是GB-TB級別。由于大規(guī)模數(shù)據(jù)庫集群的日志信息量通常都是PB級別，因此傳統(tǒng)數(shù)據(jù)庫安全設(shè)計技術(shù)存儲資源難以承載PB級別的數(shù)據(jù)量。

傳統(tǒng)數(shù)據(jù)庫安全審計技術(shù)無法針對海量信息(通常指PB級別)進(jìn)行復(fù)雜計算，因為傳統(tǒng)數(shù)據(jù)庫審計技術(shù)通常以單機(jī)(單臺計算機(jī))為載體，計算效率低。

傳統(tǒng)數(shù)據(jù)庫審計技術(shù)主要通過WEB UI通過JDBC驅(qū)動連接本地關(guān)系型數(shù)據(jù)庫進(jìn)行檢索和數(shù)據(jù)展示，不能夠?qū)崟r提供交互式分析結(jié)果展示，另外檢索速度慢，統(tǒng)計維度少，可視化效果差。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種針對大規(guī)模數(shù)據(jù)庫集群的安全態(tài)勢感知分析技術(shù)，其能夠?qū)崿F(xiàn)對大規(guī)模數(shù)據(jù)庫集群進(jìn)行安全審計，針對海量安全審計日志通過分布式計算和豐富的安全算法提供多維度實時數(shù)據(jù)庫安全分析，實現(xiàn)大規(guī)模數(shù)據(jù)庫集群整體的安全態(tài)勢感知可視化展現(xiàn)。

本發(fā)明的另一目的在于提供一種針對大規(guī)模數(shù)據(jù)庫集群的安全態(tài)勢感知分析系統(tǒng)，其能夠運(yùn)行一種針對大規(guī)模數(shù)據(jù)庫集群的安全態(tài)勢感知分析技術(shù)。

本發(fā)明的實施例是這樣實現(xiàn)的：

第一方面，本申請實施例提供一種針對大規(guī)模數(shù)據(jù)庫集群的安全態(tài)勢感知分析技術(shù)，其包括對數(shù)據(jù)庫通信數(shù)據(jù)包進(jìn)行抓包，抓取的數(shù)據(jù)包進(jìn)行數(shù)據(jù)流量解析，將解析結(jié)果發(fā)送到實時流處理引擎進(jìn)行處理和特征提取得到實時信息，消息隊列緩沖及轉(zhuǎn)發(fā)實時信息，接收實時信息并存儲在分布式數(shù)倉，對實時信息進(jìn)行分布式計算，將計算結(jié)果分發(fā)到主題數(shù)據(jù)庫存儲，拉取主題數(shù)據(jù)庫的計算結(jié)果進(jìn)行BI分析展示。

在本發(fā)明的一些實施例中，上述對數(shù)據(jù)庫通信數(shù)據(jù)包進(jìn)行抓包包括：通過網(wǎng)卡接收到數(shù)據(jù)流對數(shù)據(jù)包進(jìn)行重組，重組后對TCP/IP報文進(jìn)行解析提取數(shù)據(jù)庫通訊協(xié)議信息，解析數(shù)據(jù)庫通訊協(xié)議提取SQL語句，將所述SQL語句轉(zhuǎn)發(fā)。

在本發(fā)明的一些實施例中，上述對抓取的數(shù)據(jù)包進(jìn)行數(shù)據(jù)流量解析包括：接收數(shù)據(jù)之后對SQL進(jìn)行流處理，對流數(shù)據(jù)進(jìn)行清洗和轉(zhuǎn)換，對特征進(jìn)行數(shù)據(jù)預(yù)處理，對信息進(jìn)行打標(biāo)簽。

在本發(fā)明的一些實施例中，上述將解析結(jié)果發(fā)送到實時流處理引擎進(jìn)行處理和特征提取出實時信息包括：接收到標(biāo)簽數(shù)據(jù)之后提取特征。

在本發(fā)明的一些實施例中，上述通過消息隊列緩沖及轉(zhuǎn)發(fā)實時信息包括：通過kafka接收實時信息并通過內(nèi)存緩沖機(jī)制將所述實時信息進(jìn)行定時轉(zhuǎn)發(fā)。

在本發(fā)明的一些實施例中，上述接收實時信息并存儲在分布式數(shù)倉包括:由ArgoDB分布式數(shù)據(jù)庫來承擔(dān)數(shù)據(jù)存儲任務(wù)，將Kafka轉(zhuǎn)發(fā)過來的信息以二維表的方式進(jìn)行固化存儲。