本發(fā)明屬于計(jì)算機(jī)技術(shù)領(lǐng)域,具體涉及一種數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)方法及裝置。
背景技術(shù):
數(shù)據(jù)安全對(duì)于業(yè)務(wù)系統(tǒng)運(yùn)行至關(guān)重要,數(shù)據(jù)庫不僅是業(yè)務(wù)系統(tǒng)運(yùn)行的基礎(chǔ),也是企業(yè)和管理部門的重要資產(chǎn),因此維護(hù)數(shù)據(jù)庫的安全,保證數(shù)據(jù)的完整性和邏輯一致性非常重要。然而,在利益驅(qū)動(dòng)下,可能存在通過非法修改業(yè)務(wù)數(shù)據(jù)來達(dá)到瞞報(bào)或偽造數(shù)據(jù)的行為。數(shù)據(jù)庫數(shù)據(jù)的非法修改可能會(huì)對(duì)系統(tǒng)數(shù)據(jù)的邏輯完整性和一致性造成損害,導(dǎo)致系統(tǒng)運(yùn)行出錯(cuò)或者輸出錯(cuò)誤的決策信息,導(dǎo)致信息出現(xiàn)信息偏差和信息不對(duì)稱,最終對(duì)實(shí)際業(yè)務(wù)的指導(dǎo)和監(jiān)管出現(xiàn)漏洞。
非法修改的方式包括:授權(quán)用戶通過業(yè)務(wù)系統(tǒng)進(jìn)行不符合規(guī)范的數(shù)據(jù)修改;掌握數(shù)據(jù)庫賬號(hào)的用戶,通過桌面客戶端軟件連接到數(shù)據(jù)庫,直接對(duì)數(shù)據(jù)內(nèi)容進(jìn)行修改;非法入侵業(yè)務(wù)系統(tǒng)或數(shù)據(jù)庫的黑客對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行篡改。大部分通過業(yè)務(wù)應(yīng)用系統(tǒng)執(zhí)行的數(shù)據(jù)操作,其結(jié)果的邏輯完整性和一致性能夠通過系統(tǒng)層次邏輯判斷和數(shù)據(jù)庫約束兩方面進(jìn)行防范,實(shí)現(xiàn)對(duì)非法修改的識(shí)別和阻斷。但是業(yè)務(wù)系統(tǒng)中可能存在漏洞,這些漏洞如果被用戶或者黑客利用,就可能進(jìn)行非法數(shù)據(jù)修改。另外,對(duì)于通過客戶端軟件連接或入侵?jǐn)?shù)據(jù)庫執(zhí)行的數(shù)據(jù)操作,其可能帶來的數(shù)據(jù)邏輯異常則很難進(jìn)行防范。數(shù)據(jù)安全需要通過多層次的安全控制來實(shí)現(xiàn)。在應(yīng)用系統(tǒng)軟件層面需要實(shí)現(xiàn)身份驗(yàn)證、傳輸過程加密、數(shù)據(jù)操作完整性驗(yàn)證等來預(yù)防對(duì)數(shù)據(jù)完整性和一致性的破壞,屬于事前安全防范技術(shù)。在數(shù)據(jù)庫層面,通過數(shù)據(jù)審計(jì)來監(jiān)測(cè)風(fēng)險(xiǎn)操作,通過日志管理提供數(shù)據(jù)故障發(fā)生后的恢復(fù)機(jī)制,屬于事后的安全保障技術(shù)。
通過事前安全措施實(shí)施并不能完全排除非法操作,原因主要有兩方面:系統(tǒng)設(shè)計(jì)本身難以實(shí)現(xiàn)零缺陷,且系統(tǒng)在編程實(shí)現(xiàn)過程可能出現(xiàn)各種漏洞;對(duì)于通過客戶端直接修改數(shù)據(jù)庫方式的不具有防范能力。通過事后數(shù)據(jù)審計(jì)雖然能夠捕獲全部的數(shù)據(jù)變化,并對(duì)某些特定行為進(jìn)行預(yù)警,但這種方式主要針對(duì)數(shù)據(jù)本身,對(duì)業(yè)務(wù)數(shù)據(jù)的邏輯性和數(shù)據(jù)操作行為沒有考慮,因此對(duì)于錯(cuò)誤邏輯以及非法操作途徑的識(shí)別能力較差。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明所要解決的技術(shù)問題是如何從數(shù)據(jù)庫的變化信息出發(fā),結(jié)合業(yè)務(wù)邏輯和操作信息,對(duì)數(shù)據(jù)修改行為的合法性進(jìn)行判斷,對(duì)非法數(shù)據(jù)修改進(jìn)行識(shí)別和預(yù)警。
針對(duì)該技術(shù)問題,本發(fā)明提供了一種數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的方法,包括:
S1:在預(yù)設(shè)的檢測(cè)數(shù)據(jù)庫中讀取具有數(shù)據(jù)修改行為的數(shù)據(jù)修改行為數(shù)據(jù);
S2:將所述數(shù)據(jù)修改行為數(shù)據(jù)與預(yù)先存儲(chǔ)的特征數(shù)據(jù)進(jìn)行對(duì)比,篩選出需要進(jìn)行檢測(cè)的數(shù)據(jù)修改行為數(shù)據(jù),以作為待檢測(cè)數(shù)據(jù);
S3:使用預(yù)先設(shè)定的檢測(cè)規(guī)則,對(duì)所述待檢測(cè)數(shù)據(jù)的數(shù)據(jù)修改行為的預(yù)期結(jié)果進(jìn)行分析,得到預(yù)期結(jié)果,若所述預(yù)期結(jié)果符合判別邏輯的記錄,則判定所述數(shù)據(jù)修改行為合法,否則,將所述數(shù)據(jù)修改行為標(biāo)記為疑似非法操作,記錄所述數(shù)據(jù)修改行為所違反的規(guī)則。
優(yōu)選地,所述S1之前還包括:
提取業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫操作信息,并將所述數(shù)據(jù)庫操作信息按照預(yù)設(shè)的數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)生成數(shù)據(jù)修改行為數(shù)據(jù)并存儲(chǔ),得到所述檢測(cè)數(shù)據(jù)庫;
其中,所述檢測(cè)數(shù)據(jù)庫的檢測(cè)過程與所述業(yè)務(wù)系統(tǒng)的運(yùn)行過程獨(dú)立。
優(yōu)選地,所述檢測(cè)數(shù)據(jù)庫中還包括觸發(fā)器,設(shè)置在存儲(chǔ)所述數(shù)據(jù)修改行為數(shù)據(jù)的數(shù)據(jù)表上;
所述觸發(fā)器用于在檢測(cè)到新的數(shù)據(jù)修改行為數(shù)據(jù)存儲(chǔ)至所述檢測(cè)數(shù)據(jù)庫后,對(duì)所述檢測(cè)數(shù)據(jù)庫中的數(shù)據(jù)修改行為數(shù)據(jù)進(jìn)行檢測(cè)。
優(yōu)選地,所述檢測(cè)規(guī)則包括邏輯檢測(cè)的檢測(cè)規(guī)則和連接來源檢測(cè)的檢測(cè)規(guī)則。
優(yōu)選地,還包括:在將所述數(shù)據(jù)修改行為標(biāo)記為疑似非法操作后,通過郵件或者短信的方式通知管理人員。
另一方面,本發(fā)明還提供了一種數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的裝置,包括:
讀取模塊,用于在預(yù)設(shè)的檢測(cè)數(shù)據(jù)庫中讀取具有數(shù)據(jù)修改行為的數(shù)據(jù)修改行為數(shù)據(jù);
篩選模塊,用于將所述數(shù)據(jù)修改行為數(shù)據(jù)與預(yù)先存儲(chǔ)的特征數(shù)據(jù)進(jìn)行對(duì)比,篩選出需要進(jìn)行檢測(cè)的數(shù)據(jù)修改行為數(shù)據(jù),以作為待檢測(cè)數(shù)據(jù);
檢測(cè)模塊,用于使用預(yù)先設(shè)定的檢測(cè)規(guī)則,對(duì)所述待檢測(cè)數(shù)據(jù)的數(shù)據(jù)修改行為的預(yù)期結(jié)果進(jìn)行分析,得到預(yù)期結(jié)果,若所述預(yù)期結(jié)果符合判別邏輯的記錄,則判定所述數(shù)據(jù)修改行為合法,否則,將所述數(shù)據(jù)修改行為標(biāo)記為疑似非法操作,記錄所述數(shù)據(jù)修改行為所違反的規(guī)則。
優(yōu)選地,還包括提取模塊;
所述提取模塊用于提取業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫操作信息,并將所述數(shù)據(jù)庫操作信息按照預(yù)設(shè)的數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)生成數(shù)據(jù)修改行為數(shù)據(jù)并存儲(chǔ),得到所述檢測(cè)數(shù)據(jù)庫;
其中,所述檢測(cè)數(shù)據(jù)庫的檢測(cè)過程與所述業(yè)務(wù)系統(tǒng)的運(yùn)行過程獨(dú)立。
優(yōu)選地,所述檢測(cè)數(shù)據(jù)庫中還包括觸發(fā)器,設(shè)置在存儲(chǔ)所述數(shù)據(jù)修改行為數(shù)據(jù)的數(shù)據(jù)表上;
所述觸發(fā)器用于在檢測(cè)到新的數(shù)據(jù)修改行為數(shù)據(jù)存儲(chǔ)至所述檢測(cè)數(shù)據(jù)庫后,對(duì)所述檢測(cè)數(shù)據(jù)庫中的數(shù)據(jù)修改行為數(shù)據(jù)進(jìn)行檢測(cè)。
優(yōu)選地,所述檢測(cè)規(guī)則包括邏輯檢測(cè)的檢測(cè)規(guī)則和連接來源檢測(cè)的檢測(cè)規(guī)則。
優(yōu)選地,還包括通知模塊;
所述通知模塊用于在將所述數(shù)據(jù)修改行為標(biāo)記為疑似非法操作后,通過郵件或者短信的方式通知管理人員。
本發(fā)明提供的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的方法及裝置從業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中提取數(shù)據(jù)庫操作信息,生成檢測(cè)數(shù)據(jù)庫,按照預(yù)設(shè)的檢測(cè)規(guī)則對(duì)檢測(cè)數(shù)據(jù)庫中需要檢測(cè)的待檢測(cè)數(shù)據(jù)進(jìn)行非法修改行為的檢測(cè),對(duì)疑似非法的修改操作的數(shù)據(jù)進(jìn)行標(biāo)記,進(jìn)一步生成通知管理人員的信息。在該檢測(cè)方法中,存儲(chǔ)在檢測(cè)數(shù)據(jù)庫中的檢測(cè)規(guī)則,以業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中的邏輯關(guān)系為基礎(chǔ),結(jié)合數(shù)據(jù)訪問連接信息,能夠準(zhǔn)確高效的對(duì)數(shù)據(jù)修改行為的合法性進(jìn)行識(shí)別和預(yù)警。
附圖說明
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹,顯而易見地,下面描述中的附圖是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1是本發(fā)明一實(shí)施例提供的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的方法的流程示意圖;
圖2是本發(fā)明另一實(shí)施例提供的更為具體的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的方法的流程示意圖;
圖3是本發(fā)明一實(shí)施例提供的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的裝置的結(jié)構(gòu)框圖;
圖4是本發(fā)明又一實(shí)施例提供的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的裝置的功能模塊功能實(shí)現(xiàn)過程示意圖。
具體實(shí)施方式
為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
圖1是本發(fā)明提供的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的方法的流程示意圖。參見圖1,該方法包括:
S1:在預(yù)設(shè)的檢測(cè)數(shù)據(jù)庫中讀取具有數(shù)據(jù)修改行為的數(shù)據(jù)修改行為數(shù)據(jù);
S2:將所述數(shù)據(jù)修改行為數(shù)據(jù)與預(yù)先存儲(chǔ)的特征數(shù)據(jù)進(jìn)行對(duì)比,篩選出需要進(jìn)行檢測(cè)的數(shù)據(jù)修改行為數(shù)據(jù),以作為待檢測(cè)數(shù)據(jù);
S3:使用預(yù)先設(shè)定的檢測(cè)規(guī)則,對(duì)所述待檢測(cè)數(shù)據(jù)的數(shù)據(jù)修改行為的預(yù)期結(jié)果進(jìn)行分析,得到預(yù)期結(jié)果,若所述預(yù)期結(jié)果符合判別邏輯的記錄,則判定所述數(shù)據(jù)修改行為合法,否則,將所述數(shù)據(jù)修改行為標(biāo)記為疑似非法操作,記錄所述數(shù)據(jù)修改行為所違反的規(guī)則。
需要說明的是,檢測(cè)數(shù)據(jù)庫中包括了所有對(duì)數(shù)據(jù)進(jìn)行了修改操作行為的數(shù)據(jù),這些數(shù)據(jù)是從業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫中提取的。具體來說,采用以下兩種方法實(shí)現(xiàn)數(shù)據(jù)的提取,一個(gè)是數(shù)據(jù)庫審計(jì)方式,即采用旁路監(jiān)聽方式,在數(shù)據(jù)庫通訊過程中捕獲數(shù)據(jù)庫操作信息;另一種是基于數(shù)據(jù)庫日志方式,通過分析日志對(duì)數(shù)據(jù)庫操作行為數(shù)據(jù)進(jìn)行提取(日志中記載了數(shù)據(jù)的操作行為以及數(shù)據(jù)操作行為前后數(shù)據(jù)的狀態(tài),通過日志分析工具對(duì)日志進(jìn)行分析可以得到數(shù)據(jù)操作的信息)。
當(dāng)然,為了保證業(yè)務(wù)系統(tǒng)的運(yùn)行性能不受影響,以及降低檢測(cè)系統(tǒng)與業(yè)務(wù)系統(tǒng)之間的耦合,對(duì)數(shù)據(jù)庫修改信息的提取需要獨(dú)立于業(yè)務(wù)系統(tǒng)。另一方面,若通過分析日志提取數(shù)據(jù)修改行為數(shù)據(jù),為了避免操作對(duì)數(shù)據(jù)庫產(chǎn)生影響,通常采用歸檔日志作為數(shù)據(jù)源,將其傳輸至檢測(cè)數(shù)據(jù)庫主機(jī)后再進(jìn)行分析和提取操作。
本實(shí)施例提供的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的方法,從業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中提取數(shù)據(jù)庫操作信息,生成檢測(cè)數(shù)據(jù)庫,按照預(yù)設(shè)的檢測(cè)規(guī)則對(duì)檢測(cè)數(shù)據(jù)庫中需要檢測(cè)的待檢測(cè)數(shù)據(jù)進(jìn)行非法修改行為的檢測(cè),對(duì)疑似非法的修改操作的數(shù)據(jù)進(jìn)行標(biāo)記,進(jìn)一步生成通知管理人員的信息。在該檢測(cè)方法中,存儲(chǔ)在檢測(cè)數(shù)據(jù)庫中的檢測(cè)規(guī)則,以業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中的邏輯關(guān)系為基礎(chǔ),結(jié)合數(shù)據(jù)訪問連接信息,能夠準(zhǔn)確高效的對(duì)數(shù)據(jù)修改行為的合法性進(jìn)行識(shí)別和預(yù)警。
作為更為具體的實(shí)施例,所述S1之前還包括:
提取業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫操作信息,并將所述數(shù)據(jù)庫操作信息按照預(yù)設(shè)的數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)生成數(shù)據(jù)修改行為數(shù)據(jù)并存儲(chǔ),得到所述檢測(cè)數(shù)據(jù)庫;
其中,所述檢測(cè)數(shù)據(jù)庫的檢測(cè)過程與所述業(yè)務(wù)系統(tǒng)的運(yùn)行過程獨(dú)立。
檢測(cè)數(shù)據(jù)庫的檢測(cè)過程和業(yè)務(wù)系統(tǒng)運(yùn)行過程獨(dú)立是為了保證對(duì)數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)時(shí),不影響業(yè)務(wù)系統(tǒng)的運(yùn)行。
無論在業(yè)務(wù)系統(tǒng)運(yùn)行過程中提取的數(shù)據(jù)修改行為數(shù)據(jù),還是通過日志解析得到的數(shù)據(jù)修改行為數(shù)據(jù),均需包括修改行為(例如,INSERT、UPDATE、DELETE)的語句,執(zhí)行時(shí)間,用戶,發(fā)起連接的客戶端主機(jī)名或IP。
這些數(shù)據(jù)修改行為的數(shù)據(jù)按照預(yù)設(shè)的存儲(chǔ)結(jié)構(gòu)存儲(chǔ)到檢測(cè)數(shù)據(jù)庫中,例如,數(shù)據(jù)修改行為數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)如表1所示。
表1數(shù)據(jù)修改行為數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)
進(jìn)一步地,所述檢測(cè)數(shù)據(jù)庫中還包括觸發(fā)器,設(shè)置在存儲(chǔ)所述數(shù)據(jù)修改行為數(shù)據(jù)的數(shù)據(jù)表上;
所述觸發(fā)器用于在檢測(cè)到新的數(shù)據(jù)修改行為數(shù)據(jù)存儲(chǔ)至所述檢測(cè)數(shù)據(jù)庫后,對(duì)所述檢測(cè)數(shù)據(jù)庫中的數(shù)據(jù)修改行為數(shù)據(jù)進(jìn)行檢測(cè)。
觸發(fā)器的設(shè)置是為了在檢測(cè)到新的數(shù)據(jù)修改行為數(shù)據(jù)后,自動(dòng)觸發(fā)檢測(cè)機(jī)制,實(shí)現(xiàn)對(duì)數(shù)據(jù)操作非法行為的自動(dòng)檢測(cè)。
當(dāng)有數(shù)據(jù)庫修改行為數(shù)據(jù)被提取進(jìn)入檢測(cè)系統(tǒng),系統(tǒng)需要具有自動(dòng)地執(zhí)行檢測(cè)操作的機(jī)制。
可以理解的是,對(duì)于實(shí)時(shí)性要求較高的應(yīng)用,采用觸發(fā)機(jī)制,即在數(shù)據(jù)修改行為數(shù)據(jù)表上建立觸發(fā)器,當(dāng)有新的數(shù)據(jù)修改行為數(shù)據(jù)被提取至檢測(cè)系統(tǒng),立即通知啟動(dòng)檢測(cè)程序。
當(dāng)然,對(duì)于實(shí)時(shí)性要求較低的應(yīng)用場景,可以采用任務(wù)調(diào)度方式,即在固定時(shí)間周期性地啟動(dòng)檢測(cè)程序,對(duì)檢測(cè)周期的全部數(shù)據(jù)修改行為數(shù)據(jù)進(jìn)行合法性檢測(cè)。
進(jìn)一步地,所述檢測(cè)規(guī)則包括邏輯檢測(cè)的檢測(cè)規(guī)則和連接來源檢測(cè)的檢測(cè)規(guī)則。
檢測(cè)規(guī)則用于定義對(duì)什么樣的數(shù)據(jù)操作行為需要檢測(cè),以及什么樣的數(shù)據(jù)修改行為是非法的。檢測(cè)規(guī)則包括:數(shù)據(jù)操作特征行為,邏輯檢測(cè)規(guī)則和連接來源檢測(cè)規(guī)則,以及特征行為與檢測(cè)規(guī)則的對(duì)應(yīng)關(guān)系。
首先,定義符合哪些特征的數(shù)據(jù)操作需要進(jìn)行檢測(cè),用于從數(shù)據(jù)修改行為數(shù)據(jù)中篩選待檢測(cè)記錄。表2示出了數(shù)據(jù)修改行為特征數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)。
表2數(shù)據(jù)修改行為特征數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)
對(duì)特征數(shù)據(jù)操作行為,需要進(jìn)行邏輯檢測(cè)和連接來源檢測(cè)。邏輯檢測(cè)規(guī)則根據(jù)業(yè)務(wù)數(shù)據(jù)之間的邏輯關(guān)系,對(duì)其前置或后置的關(guān)聯(lián)數(shù)據(jù)是否存在,或值是否在預(yù)期范圍內(nèi)進(jìn)行驗(yàn)證,如符合預(yù)期則認(rèn)為該操作合法,否則標(biāo)記為疑似非法,其數(shù)據(jù)結(jié)存儲(chǔ)構(gòu)見表3。
表3邏輯檢測(cè)規(guī)則存儲(chǔ)結(jié)構(gòu)
連接來源檢測(cè)規(guī)則是通過執(zhí)行數(shù)據(jù)操作的用戶和主機(jī)對(duì)操作合法性進(jìn)行判斷,其數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)見表4。
表4連接檢測(cè)規(guī)則存儲(chǔ)結(jié)構(gòu)
每一個(gè)目標(biāo)數(shù)據(jù)操作行為都需要執(zhí)行若干邏輯或連接檢測(cè),以確定其是否合法,因此需要建立并存儲(chǔ)目標(biāo)數(shù)據(jù)操作行為與檢測(cè)規(guī)則之間的相關(guān)關(guān)系,其數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)見表5。
表5目標(biāo)數(shù)據(jù)操作行為與檢測(cè)規(guī)則關(guān)系
進(jìn)一步地,在將所述數(shù)據(jù)修改行為標(biāo)記為疑似非法操作后,通過郵件或者短信的方式通知管理人員。
圖2是本實(shí)施例提供的更為具體的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的方法的流程示意圖。首先觸發(fā)檢測(cè)操作,具體可以是通過觸發(fā)器進(jìn)行觸發(fā),也可以對(duì)檢測(cè)數(shù)據(jù)庫進(jìn)行周期性檢測(cè),滿足時(shí)間周期要求后就開始數(shù)據(jù)檢測(cè)行為。
然后在檢測(cè)數(shù)據(jù)庫中讀取之前獲取的數(shù)據(jù)修改行為數(shù)據(jù),由于不是所有的數(shù)據(jù)都需要進(jìn)行非法修改行為的檢測(cè),因此需要在檢測(cè)之前進(jìn)行判斷,具體的判斷規(guī)則可以根據(jù)業(yè)務(wù)需要提前設(shè)定。
根據(jù)預(yù)先存儲(chǔ)的特征數(shù)據(jù)進(jìn)行比對(duì),判定其是否為目標(biāo)數(shù)據(jù)操作行為,若是,從預(yù)先存儲(chǔ)的檢測(cè)規(guī)則中獲取該數(shù)據(jù)的檢測(cè)規(guī)則,根據(jù)檢測(cè)規(guī)則對(duì)目標(biāo)數(shù)據(jù)進(jìn)行相應(yīng)的檢測(cè)。主要進(jìn)行邏輯檢測(cè)和連接來源檢測(cè)。根據(jù)檢測(cè)的結(jié)果,對(duì)于非法操作的數(shù)據(jù)進(jìn)行標(biāo)記,同時(shí)通過短信或者其它方式通知管理人員,達(dá)到預(yù)警目的。
總之,從數(shù)據(jù)修改行為數(shù)據(jù)中讀取記錄,與特征數(shù)據(jù)操作行為進(jìn)行對(duì)比,確定該修改行為是否需要進(jìn)行檢測(cè),如果是需要檢測(cè)的修改行為,根據(jù)對(duì)應(yīng)的特征數(shù)據(jù)修改行為記錄獲取檢測(cè)規(guī)則數(shù)據(jù),使用檢測(cè)規(guī)則對(duì)數(shù)據(jù)修改行為的預(yù)期結(jié)果進(jìn)行分析,然后進(jìn)行對(duì)比判斷,符合判別邏輯的記錄為合法操作,否則標(biāo)記為疑似非法操作并記錄所違反的規(guī)則。
在得到疑似非法修改行為數(shù)據(jù)后,需要通知管理人員,以對(duì)疑似非法修改行為進(jìn)行相應(yīng)處置,避免出現(xiàn)損失。對(duì)于預(yù)警實(shí)時(shí)性要求較高的應(yīng)用場景,可通過短信或郵件等方式進(jìn)行實(shí)時(shí)通知,對(duì)于實(shí)時(shí)性要求較低的應(yīng)用場景,可定期生成預(yù)警信息報(bào)表,通過郵件或檢測(cè)系統(tǒng)通知管理人員。
本發(fā)明提供的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的方法,通過對(duì)數(shù)據(jù)修改行為特征進(jìn)行定義,識(shí)別出需要檢測(cè)的數(shù)據(jù)修改行為,與數(shù)據(jù)內(nèi)容審計(jì)方式相比,具有更高的精度和識(shí)別效率,通過定義檢測(cè)規(guī)則對(duì)數(shù)據(jù)修改行為合法性進(jìn)行判別,其規(guī)則定義簡單,適用性強(qiáng),能夠充分體現(xiàn)數(shù)據(jù)的內(nèi)在邏輯,因此安全性更強(qiáng)。
相應(yīng)地,參見圖3,本發(fā)明還提供了一種數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的裝置20,包括讀取模塊21、篩選模塊22和檢測(cè)模塊23。
讀取模塊21,用于在預(yù)設(shè)的檢測(cè)數(shù)據(jù)庫中讀取具有數(shù)據(jù)修改行為的數(shù)據(jù)修改行為數(shù)據(jù);
篩選模塊22,用于將所述數(shù)據(jù)修改行為數(shù)據(jù)與預(yù)先存儲(chǔ)的特征數(shù)據(jù)進(jìn)行對(duì)比,篩選出需要進(jìn)行檢測(cè)的數(shù)據(jù)修改行為數(shù)據(jù),以作為待檢測(cè)數(shù)據(jù);
檢測(cè)模塊23,用于使用預(yù)先設(shè)定的檢測(cè)規(guī)則,對(duì)所述待檢測(cè)數(shù)據(jù)的數(shù)據(jù)修改行為的預(yù)期結(jié)果進(jìn)行分析,得到預(yù)期結(jié)果,若所述預(yù)期結(jié)果符合判別邏輯的記錄,則判定所述數(shù)據(jù)修改行為合法,否則,將所述數(shù)據(jù)修改行為標(biāo)記為疑似非法操作,記錄所述數(shù)據(jù)修改行為所違反的規(guī)則。
本實(shí)施例提供的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的裝置,從業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中提取數(shù)據(jù)庫操作信息,生成檢測(cè)數(shù)據(jù)庫,按照預(yù)設(shè)的檢測(cè)規(guī)則對(duì)檢測(cè)數(shù)據(jù)庫中需要檢測(cè)的待檢測(cè)數(shù)據(jù)進(jìn)行非法修改行為的檢測(cè),對(duì)疑似非法的修改操作的數(shù)據(jù)進(jìn)行標(biāo)記,進(jìn)一步生成通知管理人員的信息。在該檢測(cè)方法中,存儲(chǔ)在檢測(cè)數(shù)據(jù)庫中的檢測(cè)規(guī)則,以業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中的邏輯關(guān)系為基礎(chǔ),結(jié)合數(shù)據(jù)訪問連接信息,能夠準(zhǔn)確高效的對(duì)數(shù)據(jù)修改行為的合法性進(jìn)行識(shí)別和預(yù)警。
進(jìn)一步地,還包括提取模塊;
所述提取模塊用于提取業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫操作信息,并將所述數(shù)據(jù)庫操作信息按照預(yù)設(shè)的數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)生成數(shù)據(jù)修改行為數(shù)據(jù)并存儲(chǔ),得到所述檢測(cè)數(shù)據(jù)庫;
其中,所述檢測(cè)數(shù)據(jù)庫的檢測(cè)過程與所述業(yè)務(wù)系統(tǒng)的運(yùn)行過程獨(dú)立。
進(jìn)一步地,所述檢測(cè)數(shù)據(jù)庫中還包括觸發(fā)器,設(shè)置在存儲(chǔ)所述數(shù)據(jù)修改行為數(shù)據(jù)的數(shù)據(jù)表上;
所述觸發(fā)器用于在檢測(cè)到新的數(shù)據(jù)修改行為數(shù)據(jù)存儲(chǔ)至所述檢測(cè)數(shù)據(jù)庫后,對(duì)所述檢測(cè)數(shù)據(jù)庫中的數(shù)據(jù)修改行為數(shù)據(jù)進(jìn)行檢測(cè)。
進(jìn)一步地,所述檢測(cè)規(guī)則包括邏輯檢測(cè)的檢測(cè)規(guī)則和連接來源檢測(cè)的檢測(cè)規(guī)則。
進(jìn)一步地,還包括通知模塊;
所述通知模塊用于在將所述數(shù)據(jù)修改行為標(biāo)記為疑似非法操作后,通過郵件或者短信的方式通知管理人員。
作為一種更為具體的實(shí)施例,圖4是本實(shí)施例提供的數(shù)據(jù)非法修改行為自動(dòng)檢測(cè)的裝置的功能模塊功能實(shí)現(xiàn)過程示意圖,該裝置包括從業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中提取變化信息的功能模塊、定義檢測(cè)規(guī)則的功能模塊、將數(shù)據(jù)修改行為數(shù)據(jù)存儲(chǔ)至檢測(cè)數(shù)據(jù)庫中的功能模塊、將生成的檢測(cè)規(guī)則數(shù)據(jù)按照一定的規(guī)則存儲(chǔ)在檢測(cè)數(shù)據(jù)庫中的功能模塊。當(dāng)然,還包括對(duì)檢測(cè)數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行非法修改的自動(dòng)檢測(cè)的功能模塊,具體的檢測(cè)過程參照以上實(shí)施例。最后,還包括對(duì)非法修改的數(shù)據(jù)進(jìn)行預(yù)警的功能模塊。
總之,本發(fā)明中的檢測(cè)系統(tǒng)獨(dú)立于業(yè)務(wù)系統(tǒng)自動(dòng)化運(yùn)行,對(duì)現(xiàn)有業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫邏輯和性能沒有影響,易于擴(kuò)展實(shí)現(xiàn)數(shù)據(jù)非法修改自動(dòng)檢測(cè)功能,提升系統(tǒng)數(shù)據(jù)安全性。
通過檢測(cè)規(guī)則定義,以業(yè)務(wù)數(shù)據(jù)的邏輯關(guān)系作為主要判斷規(guī)則,對(duì)數(shù)據(jù)修改行為的合法性進(jìn)行檢測(cè),對(duì)于片段數(shù)據(jù)的非法修改行為有很好的識(shí)別能力,是對(duì)系統(tǒng)安全防護(hù)有力的補(bǔ)充。
可根據(jù)具體場景實(shí)時(shí)性要求,實(shí)現(xiàn)實(shí)時(shí)檢測(cè)預(yù)警或者事后數(shù)據(jù)修改行為審計(jì)。
以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已,并不用于限制本發(fā)明,對(duì)于本領(lǐng)域的技術(shù)人員來說,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。