一種面向數據庫訪問的用戶行為管控方法及系統，面向數據庫訪問的用戶行為管控方法包括：設置用戶行為過濾鏈，過濾鏈包括預定數量的過濾條件，預定數量的過濾條件按照預定的過濾邏輯排列；根據用戶行為過濾鏈對用戶訪問行為進行過濾；當用戶訪問行為不符合任一過濾條件時，觸發預定的與該過濾條件對應的用戶行為管控機制。通過設置用戶行為過濾鏈，可實現動態監控用戶訪問行為并進行管控，能夠有效解決用戶進行數據庫訪問時，數據庫系統本身不能動態監控用戶訪問行為以及不能預警的問題。

技術領域

本發明屬于數據庫領域，更具體地，涉及一種面向數據庫訪問的用戶行為管控方法及系統。

背景技術

隨著網絡與計算機技術的飛速發展，使用數據庫作為信息存儲的應用越來越多。數據庫作為應用信息存儲的核心，對于其安全性的要求也越來越高，由于越來越多的應用接入網絡，在網絡環境下，數據庫面臨的異常訪問也越來越多。

現有技術中，數據庫訪問主要有以下兩種主要做法：一種方法是應用程序中調用現有數據庫驅動接口或第三方提供的數據訪問接口訪問數據庫，另一種方法是應用程序開發方自己封裝開發數據庫訪問接口訪問數據庫；以上兩種數據庫訪問方式中都是由數據庫系統本身提供的權限設置策略進行訪問控制，具有不能動態監控用戶訪問行為以及不能預警的缺點。

因此，期待發明一種面向數據庫訪問的用戶行為管控方法，能夠有效解決現有技術中用戶進行數據庫訪問時，數據庫系統本身不能動態監控用戶訪問行為以及不能預警的問題。

發明內容

本發明的目的是提供一種面向數據庫訪問的用戶行為管控方法，以解決現有技術中用戶進行數據庫訪問時，數據庫系統本身不能動態監控用戶訪問行為以及不能預警的問題。

為了實現上述目的，本發明提供一種面向數據庫訪問的用戶行為管控方法，包括：

設置用戶行為過濾鏈，所述過濾鏈包括預定數量的過濾條件，所述預定數量的過濾條件按照預定的過濾邏輯排列；

根據所述用戶行為過濾鏈對用戶訪問行為進行過濾；

當所述用戶訪問行為不符合任一所述過濾條件時，觸發預定的與該所述過濾條件對應的用戶行為管控機制。

可選地，所述預定數量的過濾條件包括數據訪問量限制、白名單、用戶權限和數據庫表讀寫權限。

可選地，所述根據所述用戶行為過濾鏈對用戶訪問行為進行過濾，包括：

以所述數據訪問量限制為所述過濾條件對所述用戶訪問行為進行過濾，具體為：

統計所述用戶訪問行為的流量值；

判斷所述流量值是否超出所述過濾條件中的所述數據訪問量限制，如果是，則所述用戶訪問行為為異常訪問行為并觸發所述用戶行為管控機制；如果否，則觸發所述過濾鏈中其他過濾條件。

可選地，所述觸發所述過濾鏈中其他過濾條件包括：

判斷所述用戶訪問行為的訪問信息是否超出所述過濾條件中的所述白名單、所述用戶權限和所述數據庫表讀寫權限，如果是，則所述用戶訪問行為為異常訪問行為并觸發所述用戶行為管控機制。

可選地，所述異常訪問行為包括源MAC地址不在所述白名單內、訪問所述數據庫核心表的讀寫權限與過濾條件中的所述數據庫表讀寫權限不一致和訪問所述數據庫的語句與所述用戶權限不一致。

可選地，所述用戶行為管控機制依次包括：

記錄所述異常訪問行為；

終止所述異常訪問行為；

推送預警消息。

可選地，所述推送預警消息的方式包括短信、電話和郵件。