数据库审计的学习期行为模型-凯发k8游戏

数据库审计的学习期行为模型
作者:安华金和 发布时间:2019-03-15

安华金和的数据库防火墙产品中引入了学习期概念,在数据库审计中也构建了全新的学习期,具体是怎么实现的?首先针对每个被审计数据库分别设置学习期,然后利用数据库审计系统一贯擅长的数据统计分析能力,参与建模的元素更广、行为模型的范围更大,以此来为用户的安全审计提供更全面的模型参考。比如以敏感对象表元素频度访问、敏感对象的操作类型、访问源的行为、去参数化的语句模板、去参数化的应用url行为等,通过一定组合方式,形成多样的数据分析模型。

上文提到的敏感对象表经常被访问的访问源、敏感对象表日常被访问的频次和时间周期分布情况、敏感对象被访问的操作类型情况,这些都将成为行为模型的分析元素。此外,还有去参数化的语句模板、去参数化的应用url行为等,通过一定组合方式,形成多样的数据分析模板。

安华金和数据库审计(dbaudit)在引入以应用为视角的审计后,进一步丰富了审计的输出元素:


image.png
图:以数据库为切入点和以应用为切入点各自审计的元素组合

一个成熟的业务生产系统,功能模块相对稳定,具体到每个访问行为,其产生的sql语句模板也想对固定。反之,一个sql语句模板被业务系统请求的来源也相对固定,可见,在一个稳定运行的业务系统中,应用访问行为与sql语句模板存在相对稳定的对应关系;无论应用访问行为出现了新的语句模板,或者产生的语句模板出现了新的应用请求来源,都可能成为可疑的访问行为。比较典型的应用场景:sql注入伪装成正常的数据访问,但在行为模型中发现业务系统应用请求中出现了新的词语,产生疑似非法操作的告警,从而解决sql注入的风险。

dbaudit的数据分析能力除了在审计系统上得到应用外,还将为防护类产品提供策略设置参考,如针对敏感对象设置访问来源、操作行为、应用url、时间周期等元素设置防火墙的拦截策略,针对敏感对象梳理结果设置动态访问脱敏策略,这些将在新的集群管理系统中被串接起来,多个产品的联合形成从敏感数据的识别、分析、建模、到安全使用防护的全过程;这些也将成为ueba模型的数据来源,以及数据资产梳理系统(dbcarding)数据资产动态梳理的来源。

作为数据安全领域的领跑者,我们将继续深耕,不断挖掘产品新的价值点,正是凭着这种敢于向技术壁垒发起攻坚、敢于突破自我的精神,才能打磨出具有领先性和前瞻性的成熟产品。

网站地图