本發(fā)明屬于計(jì)算機(jī)技術(shù)領(lǐng)域，具體涉及一種數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)方法及裝置。

背景技術(shù)：

數(shù)據(jù)安全對(duì)于業(yè)務(wù)系統(tǒng)運(yùn)行至關(guān)重要，數(shù)據(jù)庫不僅是業(yè)務(wù)系統(tǒng)運(yùn)行的基礎(chǔ)，也是企業(yè)和管理部門的重要資產(chǎn)，因此維護(hù)數(shù)據(jù)庫的安全，保證數(shù)據(jù)的完整性和邏輯一致性非常重要。然而，在利益驅(qū)動(dòng)下，可能存在通過非法修改業(yè)務(wù)數(shù)據(jù)來達(dá)到瞞報(bào)或偽造數(shù)據(jù)的行為。數(shù)據(jù)庫數(shù)據(jù)的非法修改可能會(huì)對(duì)系統(tǒng)數(shù)據(jù)的邏輯完整性和一致性造成損害，導(dǎo)致系統(tǒng)運(yùn)行出錯(cuò)或者輸出錯(cuò)誤的決策信息，導(dǎo)致信息出現(xiàn)信息偏差和信息不對(duì)稱，最終對(duì)實(shí)際業(yè)務(wù)的指導(dǎo)和監(jiān)管出現(xiàn)漏洞。

非法修改的方式包括：授權(quán)用戶通過業(yè)務(wù)系統(tǒng)進(jìn)行不符合規(guī)范的數(shù)據(jù)修改；掌握數(shù)據(jù)庫賬號(hào)的用戶，通過桌面客戶端軟件連接到數(shù)據(jù)庫，直接對(duì)數(shù)據(jù)內(nèi)容進(jìn)行修改；非法入侵業(yè)務(wù)系統(tǒng)或數(shù)據(jù)庫的黑客對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行篡改。大部分通過業(yè)務(wù)應(yīng)用系統(tǒng)執(zhí)行的數(shù)據(jù)操作，其結(jié)果的邏輯完整性和一致性能夠通過系統(tǒng)層次邏輯判斷和數(shù)據(jù)庫約束兩方面進(jìn)行防范，實(shí)現(xiàn)對(duì)非法修改的識(shí)別和阻斷。但是業(yè)務(wù)系統(tǒng)中可能存在漏洞，這些漏洞如果被用戶或者黑客利用，就可能進(jìn)行非法數(shù)據(jù)修改。另外，對(duì)于通過客戶端軟件連接或入侵?jǐn)?shù)據(jù)庫執(zhí)行的數(shù)據(jù)操作，其可能帶來的數(shù)據(jù)邏輯異常則很難進(jìn)行防范。數(shù)據(jù)安全需要通過多層次的安全控制來實(shí)現(xiàn)。在應(yīng)用系統(tǒng)軟件層面需要實(shí)現(xiàn)身份驗(yàn)證、傳輸過程加密、數(shù)據(jù)操作完整性驗(yàn)證等來預(yù)防對(duì)數(shù)據(jù)完整性和一致性的破壞，屬于事前安全防范技術(shù)。在數(shù)據(jù)庫層面，通過數(shù)據(jù)審計(jì)來監(jiān)測(cè)風(fēng)險(xiǎn)操作，通過日志管理提供數(shù)據(jù)故障發(fā)生后的恢復(fù)機(jī)制，屬于事后的安全保障技術(shù)。

通過事前安全措施實(shí)施并不能完全排除非法操作，原因主要有兩方面：系統(tǒng)設(shè)計(jì)本身難以實(shí)現(xiàn)零缺陷，且系統(tǒng)在編程實(shí)現(xiàn)過程可能出現(xiàn)各種漏洞；對(duì)于通過客戶端直接修改數(shù)據(jù)庫方式的不具有防范能力。通過事后數(shù)據(jù)審計(jì)雖然能夠捕獲全部的數(shù)據(jù)變化，并對(duì)某些特定行為進(jìn)行預(yù)警，但這種方式主要針對(duì)數(shù)據(jù)本身，對(duì)業(yè)務(wù)數(shù)據(jù)的邏輯性和數(shù)據(jù)操作行為沒有考慮，因此對(duì)于錯(cuò)誤邏輯以及非法操作途徑的識(shí)別能力較差。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明所要解決的技術(shù)問題是如何從數(shù)據(jù)庫的變化信息出發(fā)，結(jié)合業(yè)務(wù)邏輯和操作信息，對(duì)數(shù)據(jù)修改行為的合法性進(jìn)行判斷，對(duì)非法數(shù)據(jù)修改進(jìn)行識(shí)別和預(yù)警。

針對(duì)該技術(shù)問題，本發(fā)明提供了一種數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的方法，包括：

S1：在預(yù)設(shè)的檢測(cè)數(shù)據(jù)庫中讀取具有數(shù)據(jù)修改行為的數(shù)據(jù)修改行為數(shù)據(jù)；

S2：將所述數(shù)據(jù)修改行為數(shù)據(jù)與預(yù)先存儲(chǔ)的特征數(shù)據(jù)進(jìn)行對(duì)比，篩選出需要進(jìn)行檢測(cè)的數(shù)據(jù)修改行為數(shù)據(jù)，以作為待檢測(cè)數(shù)據(jù)；

S3：使用預(yù)先設(shè)定的檢測(cè)規(guī)則，對(duì)所述待檢測(cè)數(shù)據(jù)的數(shù)據(jù)修改行為的預(yù)期結(jié)果進(jìn)行分析，得到預(yù)期結(jié)果，若所述預(yù)期結(jié)果符合判別邏輯的記錄，則判定所述數(shù)據(jù)修改行為合法，否則，將所述數(shù)據(jù)修改行為標(biāo)記為疑似非法操作，記錄所述數(shù)據(jù)修改行為所違反的規(guī)則。

優(yōu)選地，所述S1之前還包括：

提取業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫操作信息，并將所述數(shù)據(jù)庫操作信息按照預(yù)設(shè)的數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)生成數(shù)據(jù)修改行為數(shù)據(jù)并存儲(chǔ)，得到所述檢測(cè)數(shù)據(jù)庫；

其中，所述檢測(cè)數(shù)據(jù)庫的檢測(cè)過程與所述業(yè)務(wù)系統(tǒng)的運(yùn)行過程獨(dú)立。

優(yōu)選地，所述檢測(cè)數(shù)據(jù)庫中還包括觸發(fā)器，設(shè)置在存儲(chǔ)所述數(shù)據(jù)修改行為數(shù)據(jù)的數(shù)據(jù)表上；

所述觸發(fā)器用于在檢測(cè)到新的數(shù)據(jù)修改行為數(shù)據(jù)存儲(chǔ)至所述檢測(cè)數(shù)據(jù)庫后，對(duì)所述檢測(cè)數(shù)據(jù)庫中的數(shù)據(jù)修改行為數(shù)據(jù)進(jìn)行檢測(cè)。

優(yōu)選地，所述檢測(cè)規(guī)則包括邏輯檢測(cè)的檢測(cè)規(guī)則和連接來源檢測(cè)的檢測(cè)規(guī)則。

優(yōu)選地，還包括：在將所述數(shù)據(jù)修改行為標(biāo)記為疑似非法操作后，通過郵件或者短信的方式通知管理人員。

另一方面，本發(fā)明還提供了一種數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的裝置，包括：

讀取模塊，用于在預(yù)設(shè)的檢測(cè)數(shù)據(jù)庫中讀取具有數(shù)據(jù)修改行為的數(shù)據(jù)修改行為數(shù)據(jù)；

篩選模塊，用于將所述數(shù)據(jù)修改行為數(shù)據(jù)與預(yù)先存儲(chǔ)的特征數(shù)據(jù)進(jìn)行對(duì)比，篩選出需要進(jìn)行檢測(cè)的數(shù)據(jù)修改行為數(shù)據(jù)，以作為待檢測(cè)數(shù)據(jù)；

檢測(cè)模塊，用于使用預(yù)先設(shè)定的檢測(cè)規(guī)則，對(duì)所述待檢測(cè)數(shù)據(jù)的數(shù)據(jù)修改行為的預(yù)期結(jié)果進(jìn)行分析，得到預(yù)期結(jié)果，若所述預(yù)期結(jié)果符合判別邏輯的記錄，則判定所述數(shù)據(jù)修改行為合法，否則，將所述數(shù)據(jù)修改行為標(biāo)記為疑似非法操作，記錄所述數(shù)據(jù)修改行為所違反的規(guī)則。

優(yōu)選地，還包括提取模塊；

所述提取模塊用于提取業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫操作信息，并將所述數(shù)據(jù)庫操作信息按照預(yù)設(shè)的數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)生成數(shù)據(jù)修改行為數(shù)據(jù)并存儲(chǔ)，得到所述檢測(cè)數(shù)據(jù)庫；

其中，所述檢測(cè)數(shù)據(jù)庫的檢測(cè)過程與所述業(yè)務(wù)系統(tǒng)的運(yùn)行過程獨(dú)立。

優(yōu)選地，所述檢測(cè)數(shù)據(jù)庫中還包括觸發(fā)器，設(shè)置在存儲(chǔ)所述數(shù)據(jù)修改行為數(shù)據(jù)的數(shù)據(jù)表上；

所述觸發(fā)器用于在檢測(cè)到新的數(shù)據(jù)修改行為數(shù)據(jù)存儲(chǔ)至所述檢測(cè)數(shù)據(jù)庫后，對(duì)所述檢測(cè)數(shù)據(jù)庫中的數(shù)據(jù)修改行為數(shù)據(jù)進(jìn)行檢測(cè)。

優(yōu)選地，所述檢測(cè)規(guī)則包括邏輯檢測(cè)的檢測(cè)規(guī)則和連接來源檢測(cè)的檢測(cè)規(guī)則。

優(yōu)選地，還包括通知模塊；

所述通知模塊用于在將所述數(shù)據(jù)修改行為標(biāo)記為疑似非法操作后，通過郵件或者短信的方式通知管理人員。

本發(fā)明提供的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的方法及裝置從業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中提取數(shù)據(jù)庫操作信息，生成檢測(cè)數(shù)據(jù)庫，按照預(yù)設(shè)的檢測(cè)規(guī)則對(duì)檢測(cè)數(shù)據(jù)庫中需要檢測(cè)的待檢測(cè)數(shù)據(jù)進(jìn)行非法修改行為的檢測(cè)，對(duì)疑似非法的修改操作的數(shù)據(jù)進(jìn)行標(biāo)記，進(jìn)一步生成通知管理人員的信息。在該檢測(cè)方法中，存儲(chǔ)在檢測(cè)數(shù)據(jù)庫中的檢測(cè)規(guī)則，以業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中的邏輯關(guān)系為基礎(chǔ)，結(jié)合數(shù)據(jù)訪問連接信息，能夠準(zhǔn)確高效的對(duì)數(shù)據(jù)修改行為的合法性進(jìn)行識(shí)別和預(yù)警。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本發(fā)明一實(shí)施例提供的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的方法的流程示意圖；

圖2是本發(fā)明另一實(shí)施例提供的更為具體的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的方法的流程示意圖；

圖3是本發(fā)明一實(shí)施例提供的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的裝置的結(jié)構(gòu)框圖；

圖4是本發(fā)明又一實(shí)施例提供的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的裝置的功能模塊功能實(shí)現(xiàn)過程示意圖。

具體實(shí)施方式

為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

圖1是本發(fā)明提供的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的方法的流程示意圖。參見圖1，該方法包括：

S1：在預(yù)設(shè)的檢測(cè)數(shù)據(jù)庫中讀取具有數(shù)據(jù)修改行為的數(shù)據(jù)修改行為數(shù)據(jù)；

S2：將所述數(shù)據(jù)修改行為數(shù)據(jù)與預(yù)先存儲(chǔ)的特征數(shù)據(jù)進(jìn)行對(duì)比，篩選出需要進(jìn)行檢測(cè)的數(shù)據(jù)修改行為數(shù)據(jù)，以作為待檢測(cè)數(shù)據(jù)；

S3：使用預(yù)先設(shè)定的檢測(cè)規(guī)則，對(duì)所述待檢測(cè)數(shù)據(jù)的數(shù)據(jù)修改行為的預(yù)期結(jié)果進(jìn)行分析，得到預(yù)期結(jié)果，若所述預(yù)期結(jié)果符合判別邏輯的記錄，則判定所述數(shù)據(jù)修改行為合法，否則，將所述數(shù)據(jù)修改行為標(biāo)記為疑似非法操作，記錄所述數(shù)據(jù)修改行為所違反的規(guī)則。

需要說明的是，檢測(cè)數(shù)據(jù)庫中包括了所有對(duì)數(shù)據(jù)進(jìn)行了修改操作行為的數(shù)據(jù)，這些數(shù)據(jù)是從業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫中提取的。具體來說，采用以下兩種方法實(shí)現(xiàn)數(shù)據(jù)的提取，一個(gè)是數(shù)據(jù)庫審計(jì)方式，即采用旁路監(jiān)聽方式，在數(shù)據(jù)庫通訊過程中捕獲數(shù)據(jù)庫操作信息；另一種是基于數(shù)據(jù)庫日志方式，通過分析日志對(duì)數(shù)據(jù)庫操作行為數(shù)據(jù)進(jìn)行提取(日志中記載了數(shù)據(jù)的操作行為以及數(shù)據(jù)操作行為前后數(shù)據(jù)的狀態(tài)，通過日志分析工具對(duì)日志進(jìn)行分析可以得到數(shù)據(jù)操作的信息)。

當(dāng)然，為了保證業(yè)務(wù)系統(tǒng)的運(yùn)行性能不受影響，以及降低檢測(cè)系統(tǒng)與業(yè)務(wù)系統(tǒng)之間的耦合，對(duì)數(shù)據(jù)庫修改信息的提取需要獨(dú)立于業(yè)務(wù)系統(tǒng)。另一方面，若通過分析日志提取數(shù)據(jù)修改行為數(shù)據(jù)，為了避免操作對(duì)數(shù)據(jù)庫產(chǎn)生影響，通常采用歸檔日志作為數(shù)據(jù)源，將其傳輸至檢測(cè)數(shù)據(jù)庫主機(jī)后再進(jìn)行分析和提取操作。

本實(shí)施例提供的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的方法，從業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中提取數(shù)據(jù)庫操作信息，生成檢測(cè)數(shù)據(jù)庫，按照預(yù)設(shè)的檢測(cè)規(guī)則對(duì)檢測(cè)數(shù)據(jù)庫中需要檢測(cè)的待檢測(cè)數(shù)據(jù)進(jìn)行非法修改行為的檢測(cè)，對(duì)疑似非法的修改操作的數(shù)據(jù)進(jìn)行標(biāo)記，進(jìn)一步生成通知管理人員的信息。在該檢測(cè)方法中，存儲(chǔ)在檢測(cè)數(shù)據(jù)庫中的檢測(cè)規(guī)則，以業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中的邏輯關(guān)系為基礎(chǔ)，結(jié)合數(shù)據(jù)訪問連接信息，能夠準(zhǔn)確高效的對(duì)數(shù)據(jù)修改行為的合法性進(jìn)行識(shí)別和預(yù)警。

作為更為具體的實(shí)施例，所述S1之前還包括：

提取業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫操作信息，并將所述數(shù)據(jù)庫操作信息按照預(yù)設(shè)的數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)生成數(shù)據(jù)修改行為數(shù)據(jù)并存儲(chǔ)，得到所述檢測(cè)數(shù)據(jù)庫；

其中，所述檢測(cè)數(shù)據(jù)庫的檢測(cè)過程與所述業(yè)務(wù)系統(tǒng)的運(yùn)行過程獨(dú)立。

檢測(cè)數(shù)據(jù)庫的檢測(cè)過程和業(yè)務(wù)系統(tǒng)運(yùn)行過程獨(dú)立是為了保證對(duì)數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)時(shí)，不影響業(yè)務(wù)系統(tǒng)的運(yùn)行。

無論在業(yè)務(wù)系統(tǒng)運(yùn)行過程中提取的數(shù)據(jù)修改行為數(shù)據(jù)，還是通過日志解析得到的數(shù)據(jù)修改行為數(shù)據(jù)，均需包括修改行為(例如，INSERT、UPDATE、DELETE)的語句，執(zhí)行時(shí)間，用戶，發(fā)起連接的客戶端主機(jī)名或IP。

這些數(shù)據(jù)修改行為的數(shù)據(jù)按照預(yù)設(shè)的存儲(chǔ)結(jié)構(gòu)存儲(chǔ)到檢測(cè)數(shù)據(jù)庫中，例如，數(shù)據(jù)修改行為數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)如表1所示。

表1數(shù)據(jù)修改行為數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)

進(jìn)一步地，所述檢測(cè)數(shù)據(jù)庫中還包括觸發(fā)器，設(shè)置在存儲(chǔ)所述數(shù)據(jù)修改行為數(shù)據(jù)的數(shù)據(jù)表上；

所述觸發(fā)器用于在檢測(cè)到新的數(shù)據(jù)修改行為數(shù)據(jù)存儲(chǔ)至所述檢測(cè)數(shù)據(jù)庫后，對(duì)所述檢測(cè)數(shù)據(jù)庫中的數(shù)據(jù)修改行為數(shù)據(jù)進(jìn)行檢測(cè)。

觸發(fā)器的設(shè)置是為了在檢測(cè)到新的數(shù)據(jù)修改行為數(shù)據(jù)后，自動(dòng)觸發(fā)檢測(cè)機(jī)制，實(shí)現(xiàn)對(duì)數(shù)據(jù)操作非法行為的自動(dòng)檢測(cè)。

當(dāng)有數(shù)據(jù)庫修改行為數(shù)據(jù)被提取進(jìn)入檢測(cè)系統(tǒng)，系統(tǒng)需要具有自動(dòng)地執(zhí)行檢測(cè)操作的機(jī)制。

可以理解的是，對(duì)于實(shí)時(shí)性要求較高的應(yīng)用，采用觸發(fā)機(jī)制，即在數(shù)據(jù)修改行為數(shù)據(jù)表上建立觸發(fā)器，當(dāng)有新的數(shù)據(jù)修改行為數(shù)據(jù)被提取至檢測(cè)系統(tǒng)，立即通知啟動(dòng)檢測(cè)程序。

當(dāng)然，對(duì)于實(shí)時(shí)性要求較低的應(yīng)用場景，可以采用任務(wù)調(diào)度方式，即在固定時(shí)間周期性地啟動(dòng)檢測(cè)程序，對(duì)檢測(cè)周期的全部數(shù)據(jù)修改行為數(shù)據(jù)進(jìn)行合法性檢測(cè)。

進(jìn)一步地，所述檢測(cè)規(guī)則包括邏輯檢測(cè)的檢測(cè)規(guī)則和連接來源檢測(cè)的檢測(cè)規(guī)則。

檢測(cè)規(guī)則用于定義對(duì)什么樣的數(shù)據(jù)操作行為需要檢測(cè)，以及什么樣的數(shù)據(jù)修改行為是非法的。檢測(cè)規(guī)則包括：數(shù)據(jù)操作特征行為，邏輯檢測(cè)規(guī)則和連接來源檢測(cè)規(guī)則，以及特征行為與檢測(cè)規(guī)則的對(duì)應(yīng)關(guān)系。

首先，定義符合哪些特征的數(shù)據(jù)操作需要進(jìn)行檢測(cè)，用于從數(shù)據(jù)修改行為數(shù)據(jù)中篩選待檢測(cè)記錄。表2示出了數(shù)據(jù)修改行為特征數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)。

表2數(shù)據(jù)修改行為特征數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)

對(duì)特征數(shù)據(jù)操作行為，需要進(jìn)行邏輯檢測(cè)和連接來源檢測(cè)。邏輯檢測(cè)規(guī)則根據(jù)業(yè)務(wù)數(shù)據(jù)之間的邏輯關(guān)系，對(duì)其前置或后置的關(guān)聯(lián)數(shù)據(jù)是否存在，或值是否在預(yù)期范圍內(nèi)進(jìn)行驗(yàn)證，如符合預(yù)期則認(rèn)為該操作合法，否則標(biāo)記為疑似非法，其數(shù)據(jù)結(jié)存儲(chǔ)構(gòu)見表3。

表3邏輯檢測(cè)規(guī)則存儲(chǔ)結(jié)構(gòu)

連接來源檢測(cè)規(guī)則是通過執(zhí)行數(shù)據(jù)操作的用戶和主機(jī)對(duì)操作合法性進(jìn)行判斷，其數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)見表4。

表4連接檢測(cè)規(guī)則存儲(chǔ)結(jié)構(gòu)

每一個(gè)目標(biāo)數(shù)據(jù)操作行為都需要執(zhí)行若干邏輯或連接檢測(cè)，以確定其是否合法，因此需要建立并存儲(chǔ)目標(biāo)數(shù)據(jù)操作行為與檢測(cè)規(guī)則之間的相關(guān)關(guān)系，其數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)見表5。

表5目標(biāo)數(shù)據(jù)操作行為與檢測(cè)規(guī)則關(guān)系

進(jìn)一步地，在將所述數(shù)據(jù)修改行為標(biāo)記為疑似非法操作后，通過郵件或者短信的方式通知管理人員。

圖2是本實(shí)施例提供的更為具體的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的方法的流程示意圖。首先觸發(fā)檢測(cè)操作，具體可以是通過觸發(fā)器進(jìn)行觸發(fā)，也可以對(duì)檢測(cè)數(shù)據(jù)庫進(jìn)行周期性檢測(cè)，滿足時(shí)間周期要求后就開始數(shù)據(jù)檢測(cè)行為。

然后在檢測(cè)數(shù)據(jù)庫中讀取之前獲取的數(shù)據(jù)修改行為數(shù)據(jù)，由于不是所有的數(shù)據(jù)都需要進(jìn)行非法修改行為的檢測(cè)，因此需要在檢測(cè)之前進(jìn)行判斷，具體的判斷規(guī)則可以根據(jù)業(yè)務(wù)需要提前設(shè)定。

根據(jù)預(yù)先存儲(chǔ)的特征數(shù)據(jù)進(jìn)行比對(duì)，判定其是否為目標(biāo)數(shù)據(jù)操作行為，若是，從預(yù)先存儲(chǔ)的檢測(cè)規(guī)則中獲取該數(shù)據(jù)的檢測(cè)規(guī)則，根據(jù)檢測(cè)規(guī)則對(duì)目標(biāo)數(shù)據(jù)進(jìn)行相應(yīng)的檢測(cè)。主要進(jìn)行邏輯檢測(cè)和連接來源檢測(cè)。根據(jù)檢測(cè)的結(jié)果，對(duì)于非法操作的數(shù)據(jù)進(jìn)行標(biāo)記，同時(shí)通過短信或者其它方式通知管理人員，達(dá)到預(yù)警目的。

總之，從數(shù)據(jù)修改行為數(shù)據(jù)中讀取記錄，與特征數(shù)據(jù)操作行為進(jìn)行對(duì)比，確定該修改行為是否需要進(jìn)行檢測(cè)，如果是需要檢測(cè)的修改行為，根據(jù)對(duì)應(yīng)的特征數(shù)據(jù)修改行為記錄獲取檢測(cè)規(guī)則數(shù)據(jù)，使用檢測(cè)規(guī)則對(duì)數(shù)據(jù)修改行為的預(yù)期結(jié)果進(jìn)行分析，然后進(jìn)行對(duì)比判斷，符合判別邏輯的記錄為合法操作，否則標(biāo)記為疑似非法操作并記錄所違反的規(guī)則。

在得到疑似非法修改行為數(shù)據(jù)后，需要通知管理人員，以對(duì)疑似非法修改行為進(jìn)行相應(yīng)處置，避免出現(xiàn)損失。對(duì)于預(yù)警實(shí)時(shí)性要求較高的應(yīng)用場景，可通過短信或郵件等方式進(jìn)行實(shí)時(shí)通知，對(duì)于實(shí)時(shí)性要求較低的應(yīng)用場景，可定期生成預(yù)警信息報(bào)表，通過郵件或檢測(cè)系統(tǒng)通知管理人員。

本發(fā)明提供的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的方法，通過對(duì)數(shù)據(jù)修改行為特征進(jìn)行定義，識(shí)別出需要檢測(cè)的數(shù)據(jù)修改行為，與數(shù)據(jù)內(nèi)容審計(jì)方式相比，具有更高的精度和識(shí)別效率，通過定義檢測(cè)規(guī)則對(duì)數(shù)據(jù)修改行為合法性進(jìn)行判別，其規(guī)則定義簡單，適用性強(qiáng)，能夠充分體現(xiàn)數(shù)據(jù)的內(nèi)在邏輯，因此安全性更強(qiáng)。

相應(yīng)地，參見圖3，本發(fā)明還提供了一種數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的裝置20，包括讀取模塊21、篩選模塊22和檢測(cè)模塊23。

讀取模塊21，用于在預(yù)設(shè)的檢測(cè)數(shù)據(jù)庫中讀取具有數(shù)據(jù)修改行為的數(shù)據(jù)修改行為數(shù)據(jù)；

篩選模塊22，用于將所述數(shù)據(jù)修改行為數(shù)據(jù)與預(yù)先存儲(chǔ)的特征數(shù)據(jù)進(jìn)行對(duì)比，篩選出需要進(jìn)行檢測(cè)的數(shù)據(jù)修改行為數(shù)據(jù)，以作為待檢測(cè)數(shù)據(jù)；

檢測(cè)模塊23，用于使用預(yù)先設(shè)定的檢測(cè)規(guī)則，對(duì)所述待檢測(cè)數(shù)據(jù)的數(shù)據(jù)修改行為的預(yù)期結(jié)果進(jìn)行分析，得到預(yù)期結(jié)果，若所述預(yù)期結(jié)果符合判別邏輯的記錄，則判定所述數(shù)據(jù)修改行為合法，否則，將所述數(shù)據(jù)修改行為標(biāo)記為疑似非法操作，記錄所述數(shù)據(jù)修改行為所違反的規(guī)則。

本實(shí)施例提供的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的裝置，從業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中提取數(shù)據(jù)庫操作信息，生成檢測(cè)數(shù)據(jù)庫，按照預(yù)設(shè)的檢測(cè)規(guī)則對(duì)檢測(cè)數(shù)據(jù)庫中需要檢測(cè)的待檢測(cè)數(shù)據(jù)進(jìn)行非法修改行為的檢測(cè)，對(duì)疑似非法的修改操作的數(shù)據(jù)進(jìn)行標(biāo)記，進(jìn)一步生成通知管理人員的信息。在該檢測(cè)方法中，存儲(chǔ)在檢測(cè)數(shù)據(jù)庫中的檢測(cè)規(guī)則，以業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中的邏輯關(guān)系為基礎(chǔ)，結(jié)合數(shù)據(jù)訪問連接信息，能夠準(zhǔn)確高效的對(duì)數(shù)據(jù)修改行為的合法性進(jìn)行識(shí)別和預(yù)警。

進(jìn)一步地，還包括提取模塊；

所述提取模塊用于提取業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫操作信息，并將所述數(shù)據(jù)庫操作信息按照預(yù)設(shè)的數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)生成數(shù)據(jù)修改行為數(shù)據(jù)并存儲(chǔ)，得到所述檢測(cè)數(shù)據(jù)庫；

其中，所述檢測(cè)數(shù)據(jù)庫的檢測(cè)過程與所述業(yè)務(wù)系統(tǒng)的運(yùn)行過程獨(dú)立。

進(jìn)一步地，所述檢測(cè)數(shù)據(jù)庫中還包括觸發(fā)器，設(shè)置在存儲(chǔ)所述數(shù)據(jù)修改行為數(shù)據(jù)的數(shù)據(jù)表上；

所述觸發(fā)器用于在檢測(cè)到新的數(shù)據(jù)修改行為數(shù)據(jù)存儲(chǔ)至所述檢測(cè)數(shù)據(jù)庫后，對(duì)所述檢測(cè)數(shù)據(jù)庫中的數(shù)據(jù)修改行為數(shù)據(jù)進(jìn)行檢測(cè)。

進(jìn)一步地，所述檢測(cè)規(guī)則包括邏輯檢測(cè)的檢測(cè)規(guī)則和連接來源檢測(cè)的檢測(cè)規(guī)則。

進(jìn)一步地，還包括通知模塊；

所述通知模塊用于在將所述數(shù)據(jù)修改行為標(biāo)記為疑似非法操作后，通過郵件或者短信的方式通知管理人員。

作為一種更為具體的實(shí)施例，圖4是本實(shí)施例提供的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的裝置的功能模塊功能實(shí)現(xiàn)過程示意圖，該裝置包括從業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中提取變化信息的功能模塊、定義檢測(cè)規(guī)則的功能模塊、將數(shù)據(jù)修改行為數(shù)據(jù)存儲(chǔ)至檢測(cè)數(shù)據(jù)庫中的功能模塊、將生成的檢測(cè)規(guī)則數(shù)據(jù)按照一定的規(guī)則存儲(chǔ)在檢測(cè)數(shù)據(jù)庫中的功能模塊。當(dāng)然，還包括對(duì)檢測(cè)數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行非法修改的自動(dòng)檢測(cè)的功能模塊，具體的檢測(cè)過程參照以上實(shí)施例。最后，還包括對(duì)非法修改的數(shù)據(jù)進(jìn)行預(yù)警的功能模塊。

總之，本發(fā)明中的檢測(cè)系統(tǒng)獨(dú)立于業(yè)務(wù)系統(tǒng)自動(dòng)化運(yùn)行，對(duì)現(xiàn)有業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫邏輯和性能沒有影響，易于擴(kuò)展實(shí)現(xiàn)數(shù)據(jù)非法修改自動(dòng)檢測(cè)功能，提升系統(tǒng)數(shù)據(jù)安全性。

通過檢測(cè)規(guī)則定義，以業(yè)務(wù)數(shù)據(jù)的邏輯關(guān)系作為主要判斷規(guī)則，對(duì)數(shù)據(jù)修改行為的合法性進(jìn)行檢測(cè)，對(duì)于片段數(shù)據(jù)的非法修改行為有很好的識(shí)別能力，是對(duì)系統(tǒng)安全防護(hù)有力的補(bǔ)充。

可根據(jù)具體場景實(shí)時(shí)性要求，實(shí)現(xiàn)實(shí)時(shí)檢測(cè)預(yù)警或者事后數(shù)據(jù)修改行為審計(jì)。

以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已，并不用于限制本發(fā)明，對(duì)于本領(lǐng)域的技術(shù)人員來說，本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。