專利名稱:一種業(yè)務(wù)行為異常檢測方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域,尤其涉及一種業(yè)務(wù)行為異常檢測方法和系統(tǒng)。
背景技術(shù):
隨著信息技術(shù)的發(fā)展,以數(shù)據(jù)庫服務(wù)器為核心,面向互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)得到了日 益廣泛的應(yīng)用,如網(wǎng)上銀行系統(tǒng)、電子訂票系統(tǒng)等。由于數(shù)據(jù)庫服務(wù)器中存儲了業(yè)務(wù)系統(tǒng)的 關(guān)鍵數(shù)據(jù),又與整個業(yè)務(wù)流程密切相關(guān),保障數(shù)據(jù)庫服務(wù)器的信息安全尤為重要。為了更好 地對數(shù)據(jù)庫服務(wù)器實施保護(hù),網(wǎng)絡(luò)安全審計設(shè)備得到了廣泛的應(yīng)用。它能夠?qū)崟r監(jiān)測和記 錄用戶對服務(wù)器的訪問信息,一旦發(fā)現(xiàn)有違規(guī)的訪問行為(例如未經(jīng)認(rèn)證的訪問、越權(quán)訪 問),即可對違規(guī)行為進(jìn)行阻斷。雖然利用安全審計設(shè)備能夠?qū)`反業(yè)務(wù)流程的行為進(jìn)行及時檢測和阻斷,但在實 際應(yīng)用中卻存在大量在業(yè)務(wù)流程上并不違規(guī)、實際上仍然給業(yè)務(wù)系統(tǒng)帶來破壞的攻擊行 為。例如在某業(yè)務(wù)系統(tǒng)中,曾經(jīng)出現(xiàn)過內(nèi)部人員盜用其他人員的賬號信息登錄業(yè)務(wù)系統(tǒng),多 次修改數(shù)據(jù)庫中的記錄進(jìn)行牟利的信息安全事件。由于這種攻擊方式的實施過程完全符合 業(yè)務(wù)流程,現(xiàn)有的安全審計產(chǎn)品無法檢測出來并進(jìn)行報警或阻斷。目前的現(xiàn)有技術(shù)中,有的解決方案是根據(jù)安全配置規(guī)則對數(shù)據(jù)庫訪問記錄進(jìn)行分 析,將數(shù)據(jù)庫訪問記錄以報警/非報警分類。該方案能夠?qū)Σ糠謽I(yè)務(wù)行為異常進(jìn)行檢測,但 卻存在以下不足首先,依靠管理人員制定一套完整的安全配置規(guī)則過于繁瑣,一旦出現(xiàn)規(guī) 則未包含的攻擊行為,將會導(dǎo)致對該類攻擊行為的漏報;其次,某些攻擊行為無法從一次或 幾次數(shù)據(jù)庫訪問行為記錄中發(fā)現(xiàn),例如針對某條訪問記錄在24小時內(nèi)的修改頻率,對于該 類攻擊行為就無法制定合理的安全配置規(guī)則,通過對一條或幾條數(shù)據(jù)庫訪問記錄的分析進(jìn) 行檢測。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是在于需要提供一種業(yè)務(wù)行為異常檢測系統(tǒng)及方法, 用于根據(jù)安全審計設(shè)備的審計記錄,檢測在業(yè)務(wù)流程上并不違規(guī)、實際上仍然給業(yè)務(wù)系統(tǒng) 帶來破壞的攻擊行為。為了解決上述問題,本發(fā)明提供了一種業(yè)務(wù)行為異常檢測方法,包括根據(jù)安全審計設(shè)備當(dāng)前檢測點(diǎn)之前的歷史審計記錄,建立用戶訪問業(yè)務(wù)系統(tǒng)的正 常行為模型;對安全審計設(shè)備的實時審計記錄進(jìn)行分析,與所述正常行為模型進(jìn)行比較,判斷 用戶訪問業(yè)務(wù)系統(tǒng)的行為是否異常。進(jìn)一步地,上述方法還可具有以下特點(diǎn),所述建立用戶訪問業(yè)務(wù)系統(tǒng)的正常行為 模型的步驟,包括設(shè)定監(jiān)控對象及其相應(yīng)的監(jiān)控類型;設(shè)定自學(xué)習(xí)階段的起止時間;
對設(shè)定的起止時間內(nèi)的歷史審計記錄進(jìn)行自學(xué)習(xí),根據(jù)監(jiān)控對象其相應(yīng)的監(jiān)控類 型對該監(jiān)控對象的信息進(jìn)行統(tǒng)計,從而建立正常行為模型。進(jìn)一步地,上述方法還可具有以下特點(diǎn),設(shè)定監(jiān)控對象時,設(shè)定需要監(jiān)控的數(shù)據(jù)庫表名,以及相應(yīng)的操作類型和字段名;設(shè) 定監(jiān)控類型為取值范圍和/或出現(xiàn)頻率;對設(shè)定的起止時間內(nèi)的歷史審計記錄進(jìn)行學(xué)習(xí)時,對歷史審計記錄進(jìn)行解析,提 取數(shù)據(jù)庫表名、操作類型、字段名和操作值;判斷所述歷史審計記錄是否包含設(shè)定的監(jiān)控對象,對于包含所述監(jiān)控對象的所述 歷史審計記錄,根據(jù)監(jiān)控對象其相應(yīng)的監(jiān)控類型對該監(jiān)控對象的操作值進(jìn)行統(tǒng)計,如果該 監(jiān)控對象相應(yīng)的監(jiān)控類型為出現(xiàn)頻率,則計算指定時間內(nèi)其指定操作值的平均出現(xiàn)頻率; 如果該監(jiān)控對象相應(yīng)的監(jiān)控類型為取值范圍,計算其操作值的均值和方差。進(jìn)一步地,上述方法還可具有以下特點(diǎn),如果監(jiān)控對象的字段名為字符型,只允許 設(shè)定監(jiān)控類型為出現(xiàn)頻率;如果監(jiān)控對象的字段名為數(shù)值型,則設(shè)定監(jiān)控類型為取值范圍 和/或出現(xiàn)頻率。進(jìn)一步地,上述方法還可具有以下特點(diǎn),所述對安全審計設(shè)備獲取的當(dāng)前審計記 錄進(jìn)行分析,與所述正常行為模型進(jìn)行比較,判斷用戶訪問業(yè)務(wù)系統(tǒng)的行為是否異常具體 包括對實時審計記錄進(jìn)行解析,提取數(shù)據(jù)庫表名、操作類型、字段名和操作值,判斷所 述實時審計記錄是否包含設(shè)定的監(jiān)控對象;對于包含所述監(jiān)控對象的所述實時審計記錄,根據(jù)監(jiān)控對象相應(yīng)的監(jiān)控類型對監(jiān) 控對象的操作值進(jìn)行處理,判斷是否偏離了正常行為模型,如果偏離,則用戶訪問業(yè)務(wù)系統(tǒng) 的行為異常;其中,所述判斷是否偏離了正常行為模型是指,當(dāng)所述監(jiān)控對象相應(yīng)的監(jiān)控類型 為出現(xiàn)頻率時,則統(tǒng)計所述監(jiān)控對象在指定時間的出現(xiàn)頻率,比較監(jiān)控對象其指定操作值 的出現(xiàn)頻率與正常行為模型的偏離程度是否超過了設(shè)定閾值;當(dāng)所述監(jiān)控對象的監(jiān)控類型 為取值范圍時,則比較所述監(jiān)控對象的操作值,與正常行為模型的偏離程度是否超過了設(shè) 定閾值。本發(fā)明還提出一種業(yè)務(wù)行為異常檢測系統(tǒng),包括存儲模塊,用于存儲所述安全審計設(shè)備的審計記錄,包括當(dāng)前觀測點(diǎn)的實時審計 記錄,以及所述當(dāng)前檢測點(diǎn)之前的歷史審計記錄;模型建立模塊,與所述存儲模塊和評估模塊相連,根據(jù)所述歷史審計記錄,建立用 戶訪問業(yè)務(wù)系統(tǒng)的正常行為模型;評估模塊,與所述存儲模塊和模型建立模塊相連,用于對所述安全審計設(shè)備的實 時審計記錄進(jìn)行分析,與所述正常行為模型進(jìn)行比較,判斷用戶訪問業(yè)務(wù)系統(tǒng)的行為是否異常。進(jìn)一步地,上述系統(tǒng)還可具有以下特點(diǎn),所述系統(tǒng)還包括設(shè)置模塊,與所述模型建立模塊及評估模塊相連,用于設(shè)定監(jiān)控對象和監(jiān)控類型; 還用于設(shè)定自學(xué)習(xí)階段的起止時間;所述模型建立模塊,用于根據(jù)設(shè)置模塊設(shè)定的起止時間內(nèi)的歷史審計記錄進(jìn)行自學(xué)習(xí),根據(jù)監(jiān)控對象其相應(yīng)的監(jiān)控類型對該監(jiān)控對象的信息進(jìn)行統(tǒng)計,從而建立正常行為 模型。進(jìn)一步地,上述系統(tǒng)還可具有以下特點(diǎn),所述設(shè)置模塊,設(shè)定監(jiān)控對象時,設(shè)定需要監(jiān)控的數(shù)據(jù)庫表名,以及相應(yīng)的操作類 型和字段名,還設(shè)定監(jiān)控類型為取值范圍和/或出現(xiàn)頻率; 所述模型建立模塊包括解析單元和統(tǒng)計單元解析單元,對設(shè)定的起止時間內(nèi)的歷史審計記錄進(jìn)行學(xué)習(xí)時,對歷史審計記錄進(jìn) 行解析,提取數(shù)據(jù)庫表名、操作類型、字段名和操作值,判斷所述歷史審計記錄是否包含設(shè) 定的監(jiān)控對象;統(tǒng)計單元,用于對包含所述監(jiān)控對象的所述歷史審計記錄,根據(jù)監(jiān)控對象其相應(yīng) 的監(jiān)控類型對該監(jiān)控對象的信息進(jìn)行統(tǒng)計時,如果該監(jiān)控對象相應(yīng)的監(jiān)控類型為出現(xiàn)頻 率,則計算指定時間內(nèi)其指定操作值的平均出現(xiàn)頻率;如果該監(jiān)控對象相應(yīng)的監(jiān)控類型為 取值范圍,計算其操作值的均值和方差。進(jìn)一步地,上述系統(tǒng)還可具有以下特點(diǎn),所述設(shè)置模塊設(shè)定監(jiān)控類型時,如果監(jiān)控 對象的字段名為字符型,只允許設(shè)定監(jiān)控類型為出現(xiàn)頻率;如果監(jiān)控對象的字段名為數(shù)值 型,則設(shè)定監(jiān)控類型為取值范圍和/或出現(xiàn)頻率。進(jìn)一步地,上述系統(tǒng)還可具有以下特點(diǎn),所述評估模塊包括解析單元,用于對實時審計記錄進(jìn)行解析,提取數(shù)據(jù)庫表名、操作類型、字段名和 操作值,判斷所述實時審計記錄是否包含設(shè)定的監(jiān)控對象;判斷單元,用于對包含所述監(jiān)控對象的所述實時審計記錄,根據(jù)監(jiān)控對象相應(yīng)的 監(jiān)控類型對監(jiān)控對象的信息進(jìn)行處理,判斷是否偏離了正常行為模型,如果偏離,則用戶訪 問業(yè)務(wù)系統(tǒng)的行為異常;其中,所述判斷是否偏離了正常行為模型是指,當(dāng)所述監(jiān)控對象相應(yīng)的監(jiān)控類型 為出現(xiàn)頻率時,則統(tǒng)計所述監(jiān)控對象在指定時間的出現(xiàn)頻率,比較監(jiān)控對象的出現(xiàn)頻率與 正常行為模型的偏離程度是否超過了設(shè)定閾值;當(dāng)所述監(jiān)控對象的監(jiān)控類型為取值范圍 時,則比較所述監(jiān)控對象的操作值,與正常行為模型的偏離程度是否超過了設(shè)定閾值。本發(fā)明提出的業(yè)務(wù)行為異常檢測系統(tǒng)及方法,能夠根據(jù)安全審計設(shè)備的審計記 錄,檢測在業(yè)務(wù)流程上并不違規(guī)、實際上仍然給業(yè)務(wù)系統(tǒng)帶來破壞的攻擊行為。與現(xiàn)有技術(shù) 相比,本發(fā)明通過自學(xué)習(xí)的方式建立用戶訪問業(yè)務(wù)系統(tǒng)的正常行為模型,避免了依賴管理 人員設(shè)定安全配置規(guī)則的繁瑣過程,也更能反映業(yè)務(wù)系統(tǒng)的真實情況。本發(fā)明通過設(shè)定監(jiān) 控類型,既能對出現(xiàn)頻率型的異常進(jìn)行檢測,又能對取值范圍型的異常進(jìn)行檢測,使得對于 無法通過設(shè)置簡單的安全配置規(guī)則進(jìn)行檢測的業(yè)務(wù)異常也能進(jìn)行準(zhǔn)確檢測。
圖1為本發(fā)明中業(yè)務(wù)行為異常檢測方法實施例的流程示意圖。圖2為本發(fā)明中業(yè)務(wù)行為異常檢測系統(tǒng)實施例組成示意圖。
具體實施例方式以下將結(jié)合附圖及實施例來詳細(xì)說明本發(fā)明的實施方式,借此對本發(fā)明如何應(yīng)用技術(shù)手段來解決技術(shù)問題,并達(dá)成技術(shù)效果的實現(xiàn)過程能充分理解并據(jù)以實施。圖1為本發(fā)明中業(yè)務(wù)行為異常檢測方法實施例的流程示意圖。如圖1所示,該方 法實施例主要包括如下步驟步驟S110,存儲安全審計設(shè)備的審計記錄,包括當(dāng)前觀測點(diǎn)的實時審計記錄,以及 當(dāng)前觀測點(diǎn)之前的歷史審計記錄;步驟S120,設(shè)定需要進(jìn)行監(jiān)控的監(jiān)控對象,以及監(jiān)控對象相應(yīng)的監(jiān)控類型;監(jiān)控對象包括數(shù)據(jù)庫表名,以及相應(yīng)的操作類型、字段名;監(jiān)控類型為取值范圍和/或出現(xiàn)頻率,如果監(jiān)控對象的字段名為字符型,只允許 監(jiān)控出現(xiàn)頻率;如果監(jiān)控對象的字段名為數(shù)值型,可以選擇監(jiān)控取值范圍和/或出現(xiàn)頻率;步驟S130,通過對安全審計設(shè)備的歷史審計記錄進(jìn)行學(xué)習(xí),建立用戶訪問業(yè)務(wù)系 統(tǒng)的正常行為模型;具體建立方法為設(shè)定自學(xué)習(xí)階段的起止時間;根據(jù)設(shè)定的監(jiān)控類型,對設(shè)定起止時間內(nèi)的歷史審計記錄進(jìn)行學(xué)習(xí);對歷史審計 記錄進(jìn)行SQL語句解析,提取數(shù)據(jù)庫表名、操作類型、字段名、操作值;判斷所述歷史審計記錄是否包含設(shè)定的監(jiān)控對象;具體判斷方法是將數(shù)據(jù)庫表名、操作類型和字段名與監(jiān)控對象進(jìn)行比較,如果相 同,則歷史審計記錄中包含所述監(jiān)控對象。對于包含所述監(jiān)控對象的所述歷史審計記錄,根據(jù)監(jiān)控對象其相應(yīng)的監(jiān)控類型對 該監(jiān)控對象的信息進(jìn)行統(tǒng)計,建立正常行為模型,其中如果監(jiān)控對象的監(jiān)控類型為出現(xiàn)頻率,則計算其指定時間(比如24小時,也可為 其他指定時間,本發(fā)明對此不作限定)內(nèi)其指定操作值的平均出現(xiàn)頻率;如果監(jiān)控對象的 監(jiān)控類型為取值范圍,則計算其每次操作值的均值和方差。步驟S140,對安全審計設(shè)備的實時審計記錄進(jìn)行分析,與正常行為模型進(jìn)行比較, 判斷用戶訪問業(yè)務(wù)系統(tǒng)的行為是否異常,具體包括對實時審計記錄進(jìn)行SQL語句解析,提取數(shù)據(jù)庫表名、操作類型、字段名和操作 值;判斷所述實時審計記錄是否包含設(shè)定的監(jiān)控對象;具體判斷方法是將數(shù)據(jù)庫表名、操作類型和字段名與監(jiān)控對象進(jìn)行比較,如果相 同,則歷史審計記錄中包含所述監(jiān)控對象。對于包含所述監(jiān)控對象的所述實時審計記錄,根據(jù)監(jiān)控對象相應(yīng)的監(jiān)控類型對監(jiān) 控對象的信息進(jìn)行處理,判斷是否偏離了正常行為模型,即評估對監(jiān)控對象的操作是否偏 離了正常行為模型;如果偏離,則用戶訪問業(yè)務(wù)系統(tǒng)的行為異常;其中,判斷是否偏離了正常行為模型具體是指,如果是對監(jiān)控對象的出現(xiàn)頻率進(jìn) 行監(jiān)控(即監(jiān)控對象相應(yīng)的監(jiān)控類型為出現(xiàn)頻率),則比較所述監(jiān)控對象在指定時間內(nèi)的 出現(xiàn)頻率,與正常行為模型的偏離程度是否超過了設(shè)定閾值;如果是對監(jiān)控對象的取值范 圍進(jìn)行監(jiān)控(即監(jiān)控對象相應(yīng)的監(jiān)控類型為取值范圍),則比較所述監(jiān)控對象的操作值,與 正常行為模型的偏離程度是否超過了設(shè)定閾值。步驟S150,如果檢測出用戶訪問業(yè)務(wù)系統(tǒng)的行為異常,對異常進(jìn)行報警。也可以設(shè)置報警條件,在到達(dá)報警條件時才進(jìn)行報警,比如多次異常后才報警。還可以將異常進(jìn)行記 錄,生成異常日志,以進(jìn)行后續(xù)統(tǒng)計管理。需要說明的是,整個評估過程分為兩個階段,自學(xué)習(xí)階段和檢測階段。先進(jìn)行自學(xué) 習(xí)階段,通過自學(xué)習(xí)階段建立用戶訪問業(yè)務(wù)系統(tǒng)的正常行為模型,再利用該正常行為模型 進(jìn)行業(yè)務(wù)行為異常的檢測,即進(jìn)行第二個階段。在自學(xué)習(xí)階段完成后,實際應(yīng)用時的檢測過 程,就不需要再進(jìn)行自學(xué)習(xí)了,直接利用自學(xué)習(xí)階段建立的業(yè)務(wù)系統(tǒng)的正常行為模型進(jìn)行 檢測即可,不用反復(fù)學(xué)習(xí)并建立正常行為模型。當(dāng)然由于用戶操作行為的變更、用戶增加或 減少等,也可以根據(jù)需要每隔一段時間更新正常行為模型。以下是業(yè)務(wù)行為異常檢測系統(tǒng)的一個應(yīng)用實例,借以更清楚地描述本發(fā)明的實施 方式。假設(shè)用戶的某個業(yè)務(wù)行為中,需要登錄到業(yè)務(wù)系統(tǒng)中修改自己的某項數(shù)據(jù)。假 設(shè)用戶Bob的該業(yè)務(wù)行為,會導(dǎo)致數(shù)據(jù)庫服務(wù)器中執(zhí)行如下的SQL (Structured Query Language,結(jié)構(gòu)化查詢語言)語句update userscore set score = 2000 where username = 'Bob,;上述SQL語句中,“userscore”為數(shù)據(jù)庫表名,“socre”、“username”為數(shù)據(jù)庫字 段名,"update"為操作類型,“2000”、“Bob”為操作值。假設(shè)管理人員設(shè)定的監(jiān)控對象和監(jiān)控類型分別為監(jiān)控對象1 操作類型“update”,數(shù)據(jù)庫表名“userscore”,數(shù)據(jù)庫字段名 “username”,監(jiān)控類型出現(xiàn)頻率。監(jiān)控對象2 操作類型“update”,數(shù)據(jù)庫表名“userscore”,數(shù)據(jù)庫字段名 “socre”,監(jiān)控類型取值范圍。假設(shè)設(shè)定的自學(xué)習(xí)階段的起止時間為2009. 1. 1 0:0:0至2009. 1.31 24:0:0,則
在自學(xué)習(xí)階段,所述業(yè)務(wù)行為異常檢測系統(tǒng)將會對該時間段內(nèi)的歷史記錄進(jìn)行學(xué)習(xí),計算 監(jiān)控對象1在24小時內(nèi)其指定操作值的出現(xiàn)頻率的均值和方差,以及監(jiān)控對象2的操作值 的取值范圍的均值和方差。假設(shè)自學(xué)習(xí)階段得到的業(yè)務(wù)行為正常模型為監(jiān)控對象1的均值為10,方差為2 ; 監(jiān)控對象2的均值為3000,方差為100。其實際意義為用戶Bob平均每天使用該業(yè)務(wù)行為 10次,平均每次的操作值為3000。假設(shè)管理人員設(shè)定的閾值為用戶業(yè)務(wù)行為與正常模型 的偏差大于2倍方差時進(jìn)行報警。假設(shè)在完成自學(xué)習(xí)后,所述業(yè)務(wù)行為異常檢測系統(tǒng)檢測到一次業(yè)務(wù)行為,導(dǎo)致數(shù) 據(jù)庫服務(wù)器中執(zhí)行如下的SQL語句update userscore set score = 4000 where username = 'Bob,;通過對該SQL語句進(jìn)行SQL解析,可以發(fā)現(xiàn)該行為包含了設(shè)定的監(jiān)控對象1和監(jiān) 控對象2。假設(shè)進(jìn)一步的檢測發(fā)現(xiàn),監(jiān)控對象1中,“Bob”在24小時的出現(xiàn)頻率已經(jīng)達(dá)到了 12次。由于與正常模型的偏差為2,而2倍方差值為2X2 = 4,因此監(jiān)控對象1未偏離正常 模型。對于監(jiān)控對象2,其取值為4000,與正常模型的偏差為1000,而2倍方差值為 100X2 = 200,因此監(jiān)控對象2偏離了正常模型,所述業(yè)務(wù)行為異常檢測系統(tǒng)將會對該次行 為進(jìn)行報警。
圖2為本發(fā)明中業(yè)務(wù)行為異常檢測系統(tǒng)一實施例組成示意圖。如圖2所示,該業(yè) 務(wù)行為異常檢測系統(tǒng)包括存儲模塊210、設(shè)置模塊220、模型建立模塊230及評估模塊240, 其中存儲模塊210,與所述模型建立模塊230及評估模塊240相連,用于存儲所述安全 審計設(shè)備的審計記錄,包括當(dāng)前觀測點(diǎn)的實時審計記錄,以及所述當(dāng)前檢測點(diǎn)之前的歷史 審計記錄;設(shè)置模塊220,與所述模型建立模塊230及評估模塊240相連,設(shè)定監(jiān)控對象,包括 但不限于數(shù)據(jù)庫表名、操作類型、字段名;設(shè)定監(jiān)控類型;還用于設(shè)定自學(xué)習(xí)階段的起止 時間;設(shè)定監(jiān)控對象時,設(shè)定需要監(jiān)控的數(shù)據(jù)庫表名,以及相應(yīng)的操作類型和字段名,還設(shè) 定監(jiān)控類型為取值范圍和/或出現(xiàn)頻率;如果監(jiān)控對象的字段名為字符型,只允許設(shè)定監(jiān) 控類型為出現(xiàn)頻率;如果監(jiān)控對象的字段名為數(shù)值型,則設(shè)定監(jiān)控類型為取值范圍和/或 出現(xiàn)頻率;模型建立模塊230,與所述存儲模塊210、設(shè)置模塊220及評估模塊240相連,根 據(jù)所述歷史審計記錄及設(shè)定的監(jiān)控對象進(jìn)行自學(xué)習(xí),建立用戶訪問業(yè)務(wù)系統(tǒng)的正常行為模 型;具體地,根據(jù)設(shè)置模塊設(shè)定的起止時間內(nèi)的歷史審計記錄進(jìn)行自學(xué)習(xí),根據(jù)監(jiān)控對象其 相應(yīng)的監(jiān)控類型對該監(jiān)控對象的信息進(jìn)行統(tǒng)計,從而建立正常行為模型。評估模塊240,與所述存儲模塊210、設(shè)置模塊220及模型建立模塊230相連,用于 對所述安全審計設(shè)備的實時審計記錄進(jìn)行分析,與所述正常行為模型進(jìn)行比較,判斷用戶 訪問業(yè)務(wù)系統(tǒng)的行為是否異常,即判斷對監(jiān)控對象的操作是否偏離了正常行為模型,如果 異常時進(jìn)行報警。進(jìn)一步地,所述模型建立模塊230包括解析單元和統(tǒng)計單元解析單元,對設(shè)定的起止時間內(nèi)的歷史審計記錄進(jìn)行學(xué)習(xí)時,對歷史審計記錄進(jìn) 行解析,提取數(shù)據(jù)庫表名、操作類型、字段名和操作值,判斷所述歷史審計記錄是否包含設(shè) 定的監(jiān)控對象;統(tǒng)計單元,用于對包含所述監(jiān)控對象的所述歷史審計記錄,根據(jù)監(jiān)控對象其相應(yīng) 的監(jiān)控類型對該監(jiān)控對象的信息進(jìn)行統(tǒng)計時,如果該監(jiān)控對象相應(yīng)的監(jiān)控類型為出現(xiàn)頻 率,則計算指定時間內(nèi)其指定操作值的平均出現(xiàn)頻率;如果該監(jiān)控對象相應(yīng)的監(jiān)控類型為 取值范圍,計算其操作值的均值和方差。進(jìn)一步地,所述評估模塊240包括解析單元,用于對實時審計記錄進(jìn)行解析,提取數(shù)據(jù)庫表名、操作類型、字段名和 操作值,判斷所述實時審計記錄是否包含設(shè)定的監(jiān)控對象;判斷單元,用于對包含所述監(jiān)控對象的所述實時審計記錄,根據(jù)監(jiān)控對象相應(yīng)的 監(jiān)控類型對監(jiān)控對象的信息進(jìn)行處理,判斷是否偏離了正常行為模型,如果偏離,則用戶訪 問業(yè)務(wù)系統(tǒng)的行為異常;其中,所述判斷是否偏離了正常行為模型是指,當(dāng)所述監(jiān)控對象相應(yīng)的監(jiān)控類型 為出現(xiàn)頻率時,則統(tǒng)計所述監(jiān)控對象在指定時間的出現(xiàn)頻率,比較監(jiān)控對象的出現(xiàn)頻率與 正常行為模型的偏離程度是否超過了設(shè)定閾值;當(dāng)所述監(jiān)控對象的監(jiān)控類型為取值范圍 時,則比較所述監(jiān)控對象的操作值,與正常行為模型的偏離程度是否超過了設(shè)定閾值。雖然本發(fā)明所揭露的實施方式如上,但所述的內(nèi)容只是為了便于理解本發(fā)明而采用的實施方式,并非用以限定本發(fā)明。任何本發(fā)明所屬技術(shù)領(lǐng)域內(nèi)的技術(shù)人員,在不脫離本 發(fā)明所揭露的精神和范圍的前提下,可以在實施的形式上及細(xì)節(jié)上作任何的修改與變化, 但本發(fā)明的專利保護(hù)范圍,仍須以所附的權(quán)利要求書所界定的范圍為準(zhǔn)。
權(quán)利要求
一種業(yè)務(wù)行為異常檢測方法,其特征在于,包括根據(jù)安全審計設(shè)備當(dāng)前檢測點(diǎn)之前的歷史審計記錄,建立用戶訪問業(yè)務(wù)系統(tǒng)的正常行為模型;對安全審計設(shè)備的實時審計記錄進(jìn)行分析,與所述正常行為模型進(jìn)行比較,判斷用戶訪問業(yè)務(wù)系統(tǒng)的行為是否異常。
2.如權(quán)利要求1所述的方法,其特征在于,所述建立用戶訪問業(yè)務(wù)系統(tǒng)的正常行為模 型的步驟,包括設(shè)定監(jiān)控對象及其相應(yīng)的監(jiān)控類型;設(shè)定自學(xué)習(xí)階段的起止時間;對設(shè)定的起止時間內(nèi)的歷史審計記錄進(jìn)行自學(xué)習(xí),根據(jù)監(jiān)控對象其相應(yīng)的監(jiān)控類型對 該監(jiān)控對象的信息進(jìn)行統(tǒng)計,從而建立正常行為模型。
3.如權(quán)利要求2所述的方法,其特征在于,設(shè)定監(jiān)控對象時,設(shè)定需要監(jiān)控的數(shù)據(jù)庫表名,以及相應(yīng)的操作類型和字段名;設(shè)定監(jiān) 控類型為取值范圍和/或出現(xiàn)頻率;對設(shè)定的起止時間內(nèi)的歷史審計記錄進(jìn)行學(xué)習(xí)時,對歷史審計記錄進(jìn)行解析,提取數(shù) 據(jù)庫表名、操作類型、字段名和操作值;判斷所述歷史審計記錄是否包含設(shè)定的監(jiān)控對象,對于包含所述監(jiān)控對象的所述歷史 審計記錄,根據(jù)監(jiān)控對象其相應(yīng)的監(jiān)控類型對該監(jiān)控對象的操作值進(jìn)行統(tǒng)計,如果該監(jiān)控 對象相應(yīng)的監(jiān)控類型為出現(xiàn)頻率,則計算指定時間內(nèi)其指定操作值的平均出現(xiàn)頻率;如果 該監(jiān)控對象相應(yīng)的監(jiān)控類型為取值范圍,計算其操作值的均值和方差。
4.如權(quán)利要求3所述的方法,其特征在于,如果監(jiān)控對象的字段名為字符型,只允許設(shè) 定監(jiān)控類型為出現(xiàn)頻率;如果監(jiān)控對象的字段名為數(shù)值型,則設(shè)定監(jiān)控類型為取值范圍和 /或出現(xiàn)頻率。
5.如權(quán)利要求3或4所述的方法,其特征在于,所述對安全審計設(shè)備獲取的當(dāng)前審計記 錄進(jìn)行分析,與所述正常行為模型進(jìn)行比較,判斷用戶訪問業(yè)務(wù)系統(tǒng)的行為是否異常具體 包括對實時審計記錄進(jìn)行解析,提取數(shù)據(jù)庫表名、操作類型、字段名和操作值,判斷所述實 時審計記錄是否包含設(shè)定的監(jiān)控對象;對于包含所述監(jiān)控對象的所述實時審計記錄,根據(jù)監(jiān)控對象相應(yīng)的監(jiān)控類型對監(jiān)控對 象的操作值進(jìn)行處理,判斷是否偏離了正常行為模型,如果偏離,則用戶訪問業(yè)務(wù)系統(tǒng)的行 為異常;其中,所述判斷是否偏離了正常行為模型是指,當(dāng)所述監(jiān)控對象相應(yīng)的監(jiān)控類型為出 現(xiàn)頻率時,則統(tǒng)計所述監(jiān)控對象在指定時間的出現(xiàn)頻率,比較監(jiān)控對象其指定操作值的出 現(xiàn)頻率與正常行為模型的偏離程度是否超過了設(shè)定閾值;當(dāng)所述監(jiān)控對象的監(jiān)控類型為取 值范圍時,則比較所述監(jiān)控對象的操作值,與正常行為模型的偏離程度是否超過了設(shè)定閾值。
6.一種業(yè)務(wù)行為異常檢測系統(tǒng),其特征在于,包括存儲模塊,用于存儲所述安全審計設(shè)備的審計記錄,包括當(dāng)前觀測點(diǎn)的實時審計記錄, 以及所述當(dāng)前檢測點(diǎn)之前的歷史審計記錄;2模型建立模塊,與所述存儲模塊和評估模塊相連,根據(jù)所述歷史審計記錄,建立用戶訪 問業(yè)務(wù)系統(tǒng)的正常行為模型;評估模塊,與所述存儲模塊和模型建立模塊相連,用于對所述安全審計設(shè)備的實時審 計記錄進(jìn)行分析,與所述正常行為模型進(jìn)行比較,判斷用戶訪問業(yè)務(wù)系統(tǒng)的行為是否異常。
7.如權(quán)利要求6所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括設(shè)置模塊,與所述模型建立模塊及評估模塊相連,用于設(shè)定監(jiān)控對象和監(jiān)控類型;還用 于設(shè)定自學(xué)習(xí)階段的起止時間;所述模型建立模塊,用于根據(jù)設(shè)置模塊設(shè)定的起止時間內(nèi)的歷史審計記錄進(jìn)行自學(xué) 習(xí),根據(jù)監(jiān)控對象其相應(yīng)的監(jiān)控類型對該監(jiān)控對象的信息進(jìn)行統(tǒng)計,從而建立正常行為模 型。
8.如權(quán)利要求7所述的系統(tǒng),其特征在于,所述設(shè)置模塊,設(shè)定監(jiān)控對象時,設(shè)定需要監(jiān)控的數(shù)據(jù)庫表名,以及相應(yīng)的操作類型和 字段名,還設(shè)定監(jiān)控類型為取值范圍和/或出現(xiàn)頻率;所述模型建立模塊包括解析單元和統(tǒng)計單元解析單元,對設(shè)定的起止時間內(nèi)的歷史審計記錄進(jìn)行學(xué)習(xí)時,對歷史審計記錄進(jìn)行解 析,提取數(shù)據(jù)庫表名、操作類型、字段名和操作值,判斷所述歷史審計記錄是否包含設(shè)定的 監(jiān)控對象;統(tǒng)計單元,用于對包含所述監(jiān)控對象的所述歷史審計記錄,根據(jù)監(jiān)控對象其相應(yīng)的監(jiān) 控類型對該監(jiān)控對象的信息進(jìn)行統(tǒng)計時,如果該監(jiān)控對象相應(yīng)的監(jiān)控類型為出現(xiàn)頻率,則 計算指定時間內(nèi)其指定操作值的平均出現(xiàn)頻率;如果該監(jiān)控對象相應(yīng)的監(jiān)控類型為取值范 圍,計算其操作值的均值和方差。
9.如權(quán)利要求8所述的系統(tǒng),其特征在于,所述設(shè)置模塊設(shè)定監(jiān)控類型時,如果監(jiān)控對 象的字段名為字符型,只允許設(shè)定監(jiān)控類型為出現(xiàn)頻率;如果監(jiān)控對象的字段名為數(shù)值型, 則設(shè)定監(jiān)控類型為取值范圍和/或出現(xiàn)頻率。
10.如權(quán)利要求8或9所述的系統(tǒng),其特征在于,所述評估模塊包括解析單元,用于對實時審計記錄進(jìn)行解析,提取數(shù)據(jù)庫表名、操作類型、字段名和操作 值,判斷所述實時審計記錄是否包含設(shè)定的監(jiān)控對象;判斷單元,用于對包含所述監(jiān)控對象的所述實時審計記錄,根據(jù)監(jiān)控對象相應(yīng)的監(jiān)控 類型對監(jiān)控對象的信息進(jìn)行處理,判斷是否偏離了正常行為模型,如果偏離,則用戶訪問業(yè) 務(wù)系統(tǒng)的行為異常;其中,所述判斷是否偏離了正常行為模型是指,當(dāng)所述監(jiān)控對象相應(yīng)的監(jiān)控類型為出 現(xiàn)頻率時,則統(tǒng)計所述監(jiān)控對象在指定時間的出現(xiàn)頻率,比較監(jiān)控對象的出現(xiàn)頻率與正常 行為模型的偏離程度是否超過了設(shè)定閾值;當(dāng)所述監(jiān)控對象的監(jiān)控類型為取值范圍時,則 比較所述監(jiān)控對象的操作值,與正常行為模型的偏離程度是否超過了設(shè)定閾值。
全文摘要
本發(fā)明提供了一種業(yè)務(wù)行為異常檢測方法,包括根據(jù)安全審計設(shè)備當(dāng)前檢測點(diǎn)之前的歷史審計記錄,建立用戶訪問業(yè)務(wù)系統(tǒng)的正常行為模型;對安全審計設(shè)備的實時審計記錄進(jìn)行分析,與所述正常行為模型進(jìn)行比較,判斷用戶訪問業(yè)務(wù)系統(tǒng)的行為是否異常。本發(fā)明還提供了一種業(yè)務(wù)行為異常檢測系統(tǒng)。本發(fā)明提出的業(yè)務(wù)行為異常檢測系統(tǒng)及方法,能夠根據(jù)安全審計設(shè)備的審計記錄,檢測在業(yè)務(wù)流程上并不違規(guī)、實際上仍然給業(yè)務(wù)系統(tǒng)帶來破壞的攻擊行為。
文檔編號H04L12/24GK101902366SQ20091008503
公開日2010年12月1日 申請日期2009年5月27日 優(yōu)先權(quán)日2009年5月27日
發(fā)明者劉暉, 葉潤國, 周濤, 姚熙 申請人:北京啟明星辰信息技術(shù)股份有限公司;北京啟明星辰信息安全技術(shù)有限公司