一种基于人员行为基线分析和告警异常行为的方法技术

本发明专利技术属于数据库安全审计管理技术领域，尤其为一种基于人员行为基线分析和告警异常行为的方法，该基于人员行为基线分析和告警异常行为的方法首先基于特定的数据库操作对象，采集操作人员的操作行为，然后分析采集的同一类型的操作对象的操作行为，建立相应的基线样本，后期基于特定的数据库操作对象，记录操作人员的操作行为，通过基线样本对相应操作人员的操作行为进行告警判断，使得数据库的安全审计有参考标准；并对操作人员进行多种类的细划，使得建立的基线样本可参考性更好、更全面；另外，由于建立了基线样本，使得审计工作可自动判别，降低审计工作量。对于标记有风险符号的人员，采用更加严格的身份认证方式，以及更加严格的授权限制。加严格的授权限制。加严格的授权限制。

【技术实现步骤摘要】
一种基于人员行为基线分析和告警异常行为的方法


[0001]本专利技术属于数据库安全审计管理
，具体涉及一种基于人员行为基线分析和告警异常行为的方法。

技术介绍

[0002]对于大型电力公司来说，用于供应链管理、项目管理、财务管理、人力资源管理、客户服务管理等各种工作场景的应用系统越来越多，这些都属于企业的数字化、网络化建设的内容，对提升工作效率、改进管理模式有很大促进作用。
[0003]数据库是各种应用系统的重要组成部分，数据库是用于存放数据的仓库，对应用系统的安全管理，必然涉及到对数据库的安全管理。随着电力集团各单位的办公朝着电子化、信息化方向发展，集团对数据库的使用越来越多，由此，对数据库的管理要求越来越广泛和多样化。对于存储有电力企业的员工信息、生产信息、技术资料的数据库，数据库的安全性特别重要。
[0004]现有技术中，公开号为CN108763957A的中国专利文献记载了一种数据库的安全审计系统、方法及服务器，该安全审计系统包括数据库模块、审计数据收集模块、审计数据存储模块、审计数据分析模块和可视化模块，数据库模块对数据库中的数据进行处理；审计数据收集模块收集数据库模块的操作日志；审计数据存储模块存储审计日志数据，通过引入改进后的存储引擎来保证对审计数据的高效和安全处理；审计数据分析模块对审计日志数据进行分析处理。该数据库的安全审计系统具有以下不足：一是不清楚操作日志中采集了哪些数据；二是不清楚采集哪些操作人员的操作数据，没有对数据库操作人员进行分级；三是在告警判断中，没有可参考的数据，需要人为判读，审计工作量大。

技术实现思路

[0005]本专利技术的目的在于提供一种基于人员行为基线分析和告警异常行为的方法，解决现有技术中对数据库的安全审计标准缺乏参考、安全审计对象不够全面、审计工作量大的技术问题。
[0006]为解决上述技术问题，本专利技术采用以下技术方案：
[0007]提供一种基于人员行为基线分析和告警异常行为的方法，该方法用于数据库安全管理，包括以下步骤：
[0008](1)人员行为采集：基于特定的数据库操作对象，采集操作人员的操作行为；
[0009](2)人员行为判断：分析所述步骤(1)中采集的同一类型的操作对象的操作行为，建立相应的基线样本；
[0010](3)人员行为记录：基于特定的数据库操作对象，记录操作人员的操作行为；
[0011](4)异常行为告警：
[0012](4.1)分析所述步骤(3)中记录的设定类型的操作对象的操作行为，通过所述步骤(2)建立的相应的基线样本进行对比，如果记录的某操作行为超出相应基线样本的预警范
围，则对相应的操作人员标记上风险符号；
[0013](4.2)在某个监控期间，对标记有风险符号的操作人员进行分析，若某操作人员的风险符号超过风险预警阈值，则对数据库进行预警管理，或者对相应的操作人员进行预警管理。
[0014]优选的，所述步骤(1)中，所述特定的数据库操作对象包括企业外部人员和企业内部人员，其中，所述企业外部人员包括数据库运维人员、企业离职人员和企业外部访问人员，所述企业内部人员包括数据库管理人员和企业内部访问人员。
[0015]优选的，在所述步骤(2)中，所采集的操作行为包括对数据库的访问目的、每次访问时长、访问权限和访问日期。
[0016]优选的，对于所述访问目的这一操作行为，采用基于密度的方式建立基线样本，对于密度较大的访问区域，判断为正常访问，出现在密度低的访问区域，判断为异常访问，需要进行重点监控；
[0017]对于所述每次访问时长这一操作行为，采用均值统计算法建立基线样本，基于标准化的日志对访问时长进行统计，计算出相应的访问时长的均值；
[0018]对于所述访问权限这一操作行为，采用基于密度的方式建立基线样本，对于密度较大的访问权限，判断为正常访问，出现在密度低的访问权限，判断为异常访问，需要进行重点监控；
[0019]对于所述访问日期这一操作行为，采用基于同时间长度的方式建立基线样本，以同时间长度和跨度的时间段，对个人的访问日期进行统计，对于出现高密度访问日期的人员，判断为异常访问，需要进行重点监控。
[0020]优选的，所述风险符号包括多个风险级别的风险符号。
[0021]优选的，所述风险符号具体包括低风险符号、中风险符号和高风险符号，所述高风险符号的风险评估值为所述中风险符号的2倍，所述中风险符号的风险评估值为所述低风险符号的2倍。
[0022]优选的，每个监控期间的风险符号所对应的操作行为进行更新，并将上一个监控期间内记录的设定类型的操作对象的操作行为，用于建立下一个监控期间中相应的基线样本。
[0023]优选的，对于标记有风险符号的人员，后期再登录数据库时采用更加严格的身份认证方式，判断其是否为合法用户，并采用更加严格的授权限制，以确定授权其能够使用哪些服务。
[0024]与现有技术相比，本专利技术至少具有如下有益的技术效果：
[0025]本专利技术提供的基于人员行为基线分析和告警异常行为的方法通过采集操作人员的操作行为，建立相应的基线样本用于作为参考，后期通过基线样本对相应操作人员的操作行为进行告警判断，使得数据库的安全审计有参考标准；并对操作人员进行多种类的细划，使得建立的基线样本可参考性更好、更全面；另外，由于建立了基线样本，使得审计工作可自动判别，降低审计工作量，有利于整个电力集团。
附图说明
[0026]图1为本专利技术基于人员行为基线分析和告警异常行为的方法一实施例的流程图。
[0027]图2为本专利技术基于人员行为基线分析和告警异常行为的方法一实施例中数据库操作对象的组成框图。
具体实施方式
[0028]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0029]请参阅图1和图2，本专利技术提供的一种基于人员行为基线分析和告警异常行为的方法，具体包括以下步骤：
[0030]步骤S100、人员行为采集：基于特定的数据库操作对象，采集操作人员的操作行为。
[0031]在步骤S100中，如图2所示，特定的数据库操作对象包括企业外部人员和企业内部人员，其中，企业外部人员包括数据库运维人员、企业离职人员、企业外部访问人员，企业内部人员包括数据库管理人员、企业内部访问人员。
[0032]数据库运维人员是负责帮助企业搭建、测试及后期维护数据库，数据库运维人员可以在维护过程中，对数据库的架构、运行方式进行改动，但是不应当具有访问企业数据库中存储的数据的权限；企业离职人员属于外部人员，其对应的访问权限也应当修改为外部人员的权限，而不再是内部人员的权限，员工离职后，在企业管理系统中打上标签，企业管理系统关联到数据库；企业外本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于人员行为基线分析和告警异常行为的方法，其特征在于，该方法用于数据库安全管理，包括以下步骤：(1)人员行为采集：基于特定的数据库操作对象，采集操作人员的操作行为；(2)人员行为判断：分析所述步骤(1)中采集的同一类型的操作对象的操作行为，建立相应的基线样本；(3)人员行为记录：基于特定的数据库操作对象，记录操作人员的操作行为；(4)异常行为告警：(4.1)分析所述步骤(3)中记录的设定类型的操作对象的操作行为，通过所述步骤(2)建立的相应的基线样本进行对比，如果记录的某操作行为超出相应基线样本的预警范围，则对相应的操作人员标记上风险符号；(4.2)在某个监控期间，对标记有风险符号的操作人员进行分析，若某操作人员的风险符号超过风险预警阈值，则对数据库进行预警管理，或者对相应的操作人员进行预警管理。2.根据权利要求1所述的基于人员行为基线分析和告警异常行为的方法，其特征在于，所述步骤(1)中，所述特定的数据库操作对象包括企业外部人员和企业内部人员，其中，所述企业外部人员包括数据库运维人员、企业离职人员和企业外部访问人员，所述企业内部人员包括数据库管理人员和企业内部访问人员。3.根据权利要求2所述的基于人员行为基线分析和告警异常行为的方法，其特征在于，在所述步骤(2)中，所采集的操作行为包括对数据库的访问目的、每次访问时长、访问权限和访问日期。4.根据权利要求3所述的基于人员行为基线分析和告警异常行为的方法，其特征在于：对于所述访问目的这一操作行为，采用基于密度的方式建立基线样本，对于密度较大的访问区域，判断为正常访问，出现在密...

【专利技术属性】
技术研发人员：毕玉冰，杨东，肖力炀，崔逸群，刘超飞，曾荣汉，胥冠军，朱博迪，刘迪，刘骁，王文庆，邓楠轶，董夏昕，朱召鹏，介银娟，王艺杰，崔鑫，陈祥勇，唐哲，
申请(专利权)人：华能集团技术创新中心有限公司，
类型：发明
国别省市：