数据库拖库检测 —— 还是使用审计日志 UEBA思路做比较好

一种数据库拖库行为的检测方法、装置及电子设备制造方法及图纸

技术编号:22076518阅读:181留言:0更新日期:2019-09-12 14:24
本发明专利技术实施例提供了一种数据库拖库行为的检测方法、装置及电子设备。首先,获取待检测数据库的审计日志;从审计日志中,获取用户对待检测数据库的操作行为数据;最后,将操作行为数据和预先创建的用户行为基线进行比较,获得数据库拖库检测结果。由于操作行为数据是根据审计日志中记录的用户的操作行为动态获得的,其中包括:预设的与拖库行为相关的操作行为的统计数据,因此将其与用户行为基线的比较结果作为检测依据,能够获得数据库拖库行为检测结果,减少误报、提高数据库拖库行为检测的准确率。

A Detection Method, Device and Electronic Equipment for Database Drag Behavior

 

 

【技术实现步骤摘要】
一种数据库拖库行为的检测方法、装置及电子设备
本专利技术涉及网络安全
,特别是涉及一种数据库拖库行为的检测方法、装置及电子设备。
技术介绍
拖库,指攻击者入侵有价值的网络站点并窃取数据库的行为。目前,SQL注入是对互联网中的数据库进行拖库攻击的主要方式之一,攻击者利用SQL注入漏洞发起攻击,将容易触发SQL异常的代码写入SQL查询语句中,造成SQL所支持数据库的异常,以达到操作数据库、获取用户敏感信息的目的。因此,现有技术往往通过检测SQL注入的方法来进行拖库检测。具体的,由于攻击者会通过构造注释语句、“恒真”条件、使用连接符等方式进行SQL恶意注入,因而检测SQL注入时,根据预设规则对注释语句、恒真条件、连接符等进行正则匹配,根据匹配结果判断是否存在上述语句;若存在,则认为是恶意注入,存在拖库行为。但是,用户在正常使用的过程中,也可能使用注释语句、恒真条件或出现提交非法字符等误操作的情况,如果上述语句每出现一次都进行告警,就会导致大量误报,降低了检测的准确率。
技术实现思路
本专利技术实施例的目的在于提供一种数据库拖库行为的检测方法、装置及电子设备,以提高数据库拖库行为检测的准确率。具体技术方案如下:第一方面,本专利技术实施例提供了一种数据库拖库行为的检测方法,其特征在于,应用于服务器,所述方法包括:获取待检测数据库的审计日志;从所述审计日志中,获取用户对所述待检测数据库的操作行为数据;所述操作行为数据,包括:预设的与拖库行为相关的各种操作行为的统计数据;将所述操作行为数据和预先创建的用户行为基线进行比较,获得数据库拖库行为检测结果;所述用户行为基线,...

【技术保护点】
1.一种数据库拖库行为的检测方法,其特征在于,应用于服务器,所述方法包括:获取待检测数据库的审计日志;从所述审计日志中,获取用户对所述待检测数据库的操作行为数据;所述操作行为数据,包括:预设的与拖库行为相关的各种操作行为的统计数据;将所述操作行为数据和预先创建的用户行为基线进行比较,获得数据库拖库行为检测结果;所述用户行为基线,为:所述待检测数据库在未受到拖库攻击的状态下的操作行为数据。

【技术特征摘要】
1.一种数据库拖库行为的检测方法,其特征在于,应用于服务器,所述方法包括:获取待检测数据库的审计日志;从所述审计日志中,获取用户对所述待检测数据库的操作行为数据;所述操作行为数据,包括:预设的与拖库行为相关的各种操作行为的统计数据;将所述操作行为数据和预先创建的用户行为基线进行比较,获得数据库拖库行为检测结果;所述用户行为基线,为:所述待检测数据库在未受到拖库攻击的状态下的操作行为数据。2.根据权利要求1所述的方法,其特征在于,所述获取待检测数据库的审计日志的步骤,包括:获取待检测数据库在当前检测周期中生成的审计日志;所述从所述审计日志中,获取用户对所述待检测数据库的操作行为数据的步骤,包括:从所述待检测数据库在当前检测周期中生成的审计日志中,获取用户在当前检测周期内对所述待检测数据库的操作行为数据;所述用户行为基线,为:用户在上一个检测周期中,对处于未受到拖库攻击状态下的所述待检测数据库的操作行为数据。3.根据权利要求2所述的方法,其特征在于,所述从所述审计日志中,获取用户对所述待检测数据库的操作行为数据的步骤,包括:获取所述审计日志中的所有操作语句;按照预先构建的第一行为识别规则对所述所有操作语句进行语句匹配,识别出所述预设的与拖库行为相关的各种操作行为;对所述预设的与拖库行为相关的各种操作行为进行统计,获得用户对所述待检测数据库的操作行为数据。4.根据权利要求3所述的方法,其特征在于,所述预设的与拖库行为相关的各种操作行为,包括:寻找系统注入点、判断回显、数据库刺探、数据库数据导出和删除库或表操作;所述的操作行为数据,包括:注入次数、爆库次数、数据库数据导出操作次数和危险行为次数;所述对所述预设的与拖库行为相关的各种操作行为进行统计,获得用户对所述待检测数据库的操作行为数据的步骤,包括:统计寻找注入点和判断回显的操作的次数的和,作为注入次数;统计数据库刺探操作的次数,作为爆库次数;统计数据库数据导出操作次数;统计删除库或表的操作次数,作为危险行为次数。5.根据权利要求2所述的方法,其特征在于,所述操作行为数据,还包括:预设的各种正常操作行为的统计数据;所述从所述审计日志中,获取用户对所述待检测数据库的操作行为数据的步骤,包括:获取所述审计日志中的所有操作语句;按照预先构建的第二行为识别规则对所述所有操作语句进行语句匹配,识别出所述预设的与拖库行为相关的各种操作行为,和预设的各种正常操作行为;对所述预设的与拖库行为相关的各种操作行为和预设的各种正常操作行为进行统计,获得用户对所述待检测数据库的操作行为数据。6.根据权利要求5所述的方法,其特征在于,所述预设的与拖库行为相关的各种操作行为,包括:寻找系统注入点、判断回显、数据库刺探、数据库数据导出和删除库或表操作;所述预设的各种正常操作行为包括:查询操作;所述的操作行为数据,包括:注入次数、爆库次数、数据库数据导出操作次数、危险行为次数和正常操作次数;所述对所述预设的与拖库行为相关的各种操作行为进行统计,获得用户对所述待检测数据库的操作行为数据的步骤,包括:统计寻找注入点和判断回显的操作的次数的和,作为注入次数;统计数据库刺探操作的次数,作为爆库次数;统计数据库数据导出操作次数;统计删除库或表的操作次数,作为危险行为次数;统计查询操作的次数,作为正常操作次数。7.根据权利要求2所述的方法,其特征在于,在所述将所述操作行为数据和预先创建的用户行为基线进行比较,获得数据库拖库行为检测结果的步骤之后,还包括:如果检测结果为所述待检测数据库未受到拖库攻击,则保存所述待检测数据库在当前检测周期的操作行为数据,作为下一检测周期的用户行为基线。8.根据权利要求1所述的方法,其特征在于,将所述操作行为数据和预先创建的用户行为基线进行比较,获得数据库拖库检测结果的步骤,包括:计算所述操作行为数据和预先创建的用户行为基线之间的偏离度;根据偏离度的计算结果,判断所述待检测数据库是否受到拖库攻击。9.根据权利要求8所述的方法,其特征在于,所述根据偏离度的计算结果,判断所述待检测数据库是否受到拖库攻击的步骤,包括:如果所述偏离度小于预设阈值,则所述待检测数据库被判断为未受到拖库攻击;如果所述偏离度大于预设阈值,则所述待检测数据库被判断为受到拖库攻击。10.根据权利要求8所述的方法,其特征在于,所述偏离度,采用如下公式计算得到:其中,n表示所述操作行为数据和所述用户行为基线的数据维度,Xi为所述用户行为基线中的第i维数据,Yi为所述操作行为数据中的第i维数据。11.一种数据库拖库行为的检测装置,其特征在于,应用于服务器,所述装置包括:日志获取模块,用于获取待检测数据库的审计日志;...

【专利技术属性】
技术研发人员:王巍巍
申请(专利权)人:北京奇艺世纪科技有限公司
类型:发明
国别省市:北京,11

posted @ 2020-03-15 18:21  bonelee  阅读(780)  评论(0编辑  收藏  举报