压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

1.當(dāng)前市場(chǎng)和技術(shù)發(fā)展趨勢(shì)

隨著數(shù)據(jù)庫(kù)技術(shù)的蓬勃發(fā)展，絕大多數(shù)的業(yè)務(wù)系統(tǒng)均圍繞數(shù)據(jù)庫(kù)構(gòu)建，由于數(shù)據(jù)庫(kù)中存放了大量的業(yè)務(wù)數(shù)據(jù)和敏感信息，為了更好地對(duì)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行監(jiān)管，網(wǎng)絡(luò)安全審計(jì)產(chǎn)品得到了廣泛的應(yīng)用。它能夠?qū)崟r(shí)監(jiān)測(cè)和記錄用戶對(duì)數(shù)據(jù)庫(kù)服務(wù)器的訪問(wèn)信息，并按照設(shè)定的規(guī)則對(duì)訪問(wèn)行為進(jìn)行報(bào)警、記錄、阻斷會(huì)話等操作。

但是，由于數(shù)據(jù)庫(kù)訪問(wèn)行為是與具體的業(yè)務(wù)操作行為相關(guān)，單純的數(shù)據(jù)庫(kù)審計(jì)已經(jīng)無(wú)法滿足對(duì)單個(gè)用戶業(yè)務(wù)行為進(jìn)行監(jiān)管的需求，而這些用戶的業(yè)務(wù)行為又往往涉及大量的財(cái)物信息等敏感數(shù)據(jù)，違規(guī)操作帶來(lái)的損失是無(wú)法估量的。

IT業(yè)務(wù)系統(tǒng)的監(jiān)管不僅關(guān)系到企業(yè)自身的運(yùn)營(yíng)安全，特別是某些行業(yè)（比如電力、金融、電信、社保等）的IT業(yè)務(wù)系統(tǒng)的能否有效監(jiān)管，更關(guān)系到社會(huì)的穩(wěn)定，國(guó)家的安全。啟明星辰公司自主研發(fā)的面向web中間件的業(yè)務(wù)關(guān)聯(lián)分析系統(tǒng)能夠讓監(jiān)管制度落到實(shí)處，有效的促進(jìn)業(yè)務(wù)監(jiān)管水平的提升。

當(dāng)前業(yè)務(wù)系統(tǒng)普遍采用三層結(jié)構(gòu)：瀏覽器客戶端、Web服務(wù)器/中間件、數(shù)據(jù)庫(kù)服務(wù)器。通常的流程是：用戶通過(guò)瀏覽器客戶端，利用自己的帳戶登錄Web服務(wù)器，向服務(wù)器提交訪問(wèn)數(shù)據(jù)；Web服務(wù)器根據(jù)用戶提交的數(shù)據(jù)構(gòu)造SQL語(yǔ)句，并利用單一共享賬號(hào)訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器，提交SQL語(yǔ)句，接收數(shù)據(jù)庫(kù)服務(wù)器返回結(jié)果并返回給用戶。

在這種基于Web的業(yè)務(wù)行為訪問(wèn)模式下，傳統(tǒng)的信息安全審計(jì)產(chǎn)品一般可審計(jì)從瀏覽器到Web服務(wù)器的前臺(tái)訪問(wèn)事件，以及從Web服務(wù)器到數(shù)據(jù)庫(kù)服務(wù)器的后臺(tái)訪問(wèn)事件。但由于后臺(tái)訪問(wèn)事件采用的是唯一的帳戶，對(duì)每個(gè)后臺(tái)訪問(wèn)事件，難以確定是哪個(gè)前臺(tái)訪問(wèn)事件觸發(fā)了該事件。如果在后臺(tái)訪問(wèn)事件中出現(xiàn)了越權(quán)訪問(wèn)、惡意訪問(wèn)等行為，難以定位到具體的前臺(tái)用戶上。舉一個(gè)典型的例子，內(nèi)部違規(guī)操作人員利用前臺(tái)的業(yè)務(wù)系統(tǒng)，以此作為跳板對(duì)后臺(tái)數(shù)據(jù)庫(kù)內(nèi)容進(jìn)行了篡改和竊取，這種情況下，通常審計(jì)產(chǎn)品只能發(fā)現(xiàn)來(lái)自某個(gè)數(shù)據(jù)庫(kù)賬號(hào)，而無(wú)法判斷最終的發(fā)起源頭。

面向web中間件的業(yè)務(wù)關(guān)聯(lián)分析系統(tǒng)能夠幫助用戶及時(shí)發(fā)現(xiàn)內(nèi)部違規(guī)行為，順利地通過(guò)內(nèi)部審計(jì)和外部審計(jì)，實(shí)現(xiàn)真正基于業(yè)務(wù)的審計(jì)和監(jiān)管。

隨著各行業(yè)在業(yè)務(wù)監(jiān)管水平的不斷提高，作為一種創(chuàng)新的監(jiān)管手段，“面向Web中間件的業(yè)務(wù)審計(jì)系統(tǒng)”將會(huì)成為國(guó)內(nèi)外網(wǎng)絡(luò)安全技術(shù)發(fā)展的主流方向之一。

2.業(yè)務(wù)審計(jì)系統(tǒng)的主要目標(biāo)

通過(guò)研究面向Web中間件的業(yè)務(wù)關(guān)聯(lián)分析技術(shù)，通過(guò)機(jī)器學(xué)習(xí)與人工智能技術(shù)，從海量審計(jì)日志中挖掘出應(yīng)用系統(tǒng)的業(yè)務(wù)邏輯描述，并以此為基礎(chǔ)，實(shí)現(xiàn)海量日志中異常訪問(wèn)、違規(guī)訪問(wèn)的自動(dòng)發(fā)現(xiàn)和追蹤溯源。要完成上述目標(biāo)，需要解決以下幾個(gè)方面的技術(shù)難題：

2.1面向大型數(shù)據(jù)庫(kù)的協(xié)議解析技術(shù)

目前大部分的業(yè)務(wù)系統(tǒng)都采用了Oracle、MS SQL Server、DB2等大型數(shù)據(jù)庫(kù)，出于商業(yè)利益與安全考慮，這些數(shù)據(jù)庫(kù)的訪問(wèn)協(xié)議都是私有的，且經(jīng)常隨版本升級(jí)而變化。為了實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)的關(guān)聯(lián)分析，必須首先獲得從Web中間件到數(shù)據(jù)庫(kù)服務(wù)器訪問(wèn)行為的內(nèi)容描述，需要研究面向主流數(shù)據(jù)庫(kù)的協(xié)議解析技術(shù)。

2.2高并發(fā)下Http訪問(wèn)流重組與高速解析技術(shù)

在基于Web中間件的業(yè)務(wù)系統(tǒng)中，用戶一般通過(guò)Http頁(yè)面提交訪問(wèn)請(qǐng)求，無(wú)法直接對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作。要建立用戶的訪問(wèn)行為序列，就必須對(duì)Http訪問(wèn)數(shù)據(jù)進(jìn)行流重組和協(xié)議解析。在高并發(fā)下，如何實(shí)現(xiàn)對(duì)用戶訪問(wèn)行為的實(shí)時(shí)分析，是實(shí)現(xiàn)業(yè)務(wù)審計(jì)的難點(diǎn)。

2.3應(yīng)用系統(tǒng)業(yè)務(wù)邏輯挖掘技術(shù)

通過(guò)對(duì)數(shù)據(jù)庫(kù)訪問(wèn)和Http訪問(wèn)進(jìn)行協(xié)議解析，可以對(duì)業(yè)務(wù)系統(tǒng)的工作流程進(jìn)行建模。業(yè)務(wù)審計(jì)系統(tǒng)采用機(jī)器學(xué)習(xí)的方法，挖掘用戶訪問(wèn)行為序列間的時(shí)序關(guān)系，以及Http訪問(wèn)與數(shù)據(jù)庫(kù)訪問(wèn)間的關(guān)聯(lián)關(guān)系，并以此描述應(yīng)用系統(tǒng)的業(yè)務(wù)邏輯。

2.4面向復(fù)雜業(yè)務(wù)邏輯的違規(guī)訪問(wèn)行為提取技術(shù)

在得到業(yè)務(wù)邏輯描述后，需要依據(jù)描述規(guī)則對(duì)審計(jì)日志進(jìn)行分類(lèi)，將符合規(guī)則描述的日志標(biāo)記為正常訪問(wèn)行為，從而發(fā)現(xiàn)淹沒(méi)在大量日志中難以進(jìn)行人工分析的異常訪問(wèn)記錄。但應(yīng)用系統(tǒng)的業(yè)務(wù)邏輯具有復(fù)雜性，用戶的訪問(wèn)行為具有高并發(fā)性，如何實(shí)時(shí)處理得到的審計(jì)日志、提取異常訪問(wèn)，是關(guān)鍵點(diǎn)所在。

2.5基于孤立點(diǎn)挖掘的異常訪問(wèn)行為發(fā)現(xiàn)技術(shù)

有些用戶的操作行為從業(yè)務(wù)流程上看沒(méi)有異常，但其操作內(nèi)容卻具有明顯異常。業(yè)務(wù)審計(jì)系統(tǒng)在建立應(yīng)用系統(tǒng)的業(yè)務(wù)邏輯描述后，還將利用孤立點(diǎn)挖掘的方法，建立每個(gè)操作內(nèi)容的正常輪廓。這樣當(dāng)觀測(cè)到用戶提交的操作具有明顯異常時(shí)，將及時(shí)發(fā)現(xiàn)并產(chǎn)生報(bào)警，從而保障業(yè)務(wù)系統(tǒng)的運(yùn)行安全。

3.業(yè)務(wù)審計(jì)系統(tǒng)設(shè)計(jì)思路

當(dāng)前網(wǎng)絡(luò)安全審計(jì)產(chǎn)品的廣泛部署，一方面有效保護(hù)了業(yè)務(wù)系統(tǒng)的安全，另一方面由于需要對(duì)業(yè)務(wù)系統(tǒng)中的每一步操作進(jìn)行審計(jì)和記錄，會(huì)產(chǎn)生海量的日志，給管理員的日志分析帶來(lái)巨大壓力。在實(shí)際環(huán)境中，惡意行為的審計(jì)日志通常會(huì)淹沒(méi)在大量正常行為的審計(jì)日志中，要從中找出真正需要關(guān)注的記錄信息，無(wú)異于大海撈針。面向Web中間件的業(yè)務(wù)關(guān)聯(lián)分析系統(tǒng)的設(shè)計(jì)思路，就是要構(gòu)造一套智能日志分析系統(tǒng)，它能夠自動(dòng)地從海量日志信息中，發(fā)現(xiàn)違規(guī)訪問(wèn)記錄和異常訪問(wèn)記錄，從而有效降低安全管理員日志分析的工作量，提升客戶價(jià)值。該分析系統(tǒng)主要解決以下兩方面的問(wèn)題：

違規(guī)訪問(wèn)的自動(dòng)發(fā)現(xiàn)問(wèn)題。考慮在某個(gè)業(yè)務(wù)環(huán)境中，正常情況下應(yīng)該通過(guò)前臺(tái)的業(yè)務(wù)系統(tǒng)登錄后修改后臺(tái)數(shù)據(jù)庫(kù)的內(nèi)容，此時(shí)某個(gè)工作人員繞過(guò)了前臺(tái)的業(yè)務(wù)系統(tǒng)，直接登錄到數(shù)據(jù)庫(kù)并篡改了其中的數(shù)據(jù)。如果我們對(duì)用戶的業(yè)務(wù)邏輯進(jìn)行了建模分析，就會(huì)發(fā)現(xiàn)該工作人員的操作行為，缺少與之相關(guān)的前臺(tái)登錄行為，從而有效識(shí)別該違規(guī)訪問(wèn)。

異常訪問(wèn)的追蹤溯源問(wèn)題。考慮在某個(gè)業(yè)務(wù)環(huán)境中，工作人員通過(guò)前臺(tái)的業(yè)務(wù)系統(tǒng)，向后臺(tái)數(shù)據(jù)庫(kù)提交數(shù)據(jù)。在正常情況下，每次提交的數(shù)據(jù)都在一定范圍內(nèi)，但某次訪問(wèn)提交的數(shù)據(jù)遠(yuǎn)遠(yuǎn)超過(guò)了該范圍。如果我們建立了該類(lèi)提交行為的正常輪廓模型，就能夠發(fā)現(xiàn)此次提交行為明顯異常，并根據(jù)其對(duì)應(yīng)的前臺(tái)業(yè)務(wù)系統(tǒng)的訪問(wèn)記錄，發(fā)現(xiàn)試圖進(jìn)行異常操作的可疑人員。

從這兩方面的問(wèn)題出發(fā)，我們解決問(wèn)題的基本思路是：在原有的基于單一訪問(wèn)行為的審計(jì)產(chǎn)品的基礎(chǔ)上，設(shè)計(jì)一套面向客戶業(yè)務(wù)系統(tǒng)的關(guān)聯(lián)分析系統(tǒng)。通過(guò)機(jī)器學(xué)習(xí)和人工智能的方法，建立客戶業(yè)務(wù)系統(tǒng)的業(yè)務(wù)邏輯模型和行為輪廓模型，并對(duì)Web中間件的前后臺(tái)訪問(wèn)事件進(jìn)行關(guān)聯(lián)分析，從而及時(shí)發(fā)現(xiàn)惡意訪問(wèn)行為。

4.業(yè)務(wù)審計(jì)系統(tǒng)架構(gòu)

4.1硬件架構(gòu)

本系統(tǒng)由前臺(tái)審計(jì)引擎、日志數(shù)據(jù)庫(kù)、后臺(tái)審計(jì)引擎、控制/顯示中心組成，各部分的連接關(guān)系如下圖所示：

圖中各部分的結(jié)構(gòu)和功能為：

控制/顯示中心

該模塊主要包括3部分功能：

• 定義各種被保護(hù)服務(wù)、授權(quán)和訪問(wèn)控制安全策略，并下發(fā)到前、后臺(tái)審計(jì)引擎，完成對(duì)引擎的配置管理；
• 定義業(yè)務(wù)關(guān)聯(lián)分析系統(tǒng)的參數(shù)，其中包括序列模式挖掘所需的置信度和支持度、孤立點(diǎn)分析的異常度等信息，完成對(duì)關(guān)聯(lián)分析模塊的配置管理。
• 實(shí)現(xiàn)對(duì)引擎上報(bào)審計(jì)日志的實(shí)時(shí)顯示和歷史日志的報(bào)表顯示，接收關(guān)聯(lián)分析模塊的運(yùn)行結(jié)果，對(duì)分析后識(shí)別出的異常事件和違規(guī)事件進(jìn)行及時(shí)報(bào)警。

前臺(tái)審計(jì)引擎

前臺(tái)審計(jì)引擎采用了零拷貝技術(shù)，各層子任務(wù)協(xié)同工作時(shí)使用的是同一個(gè)內(nèi)存緩存區(qū)，即環(huán)形報(bào)文緩存。在線抓包引擎實(shí)時(shí)抓包，把捕獲的IP報(bào)文實(shí)時(shí)注入到環(huán)形報(bào)文緩存中，IP報(bào)文處理模塊則實(shí)時(shí)從環(huán)形報(bào)文緩存中處理IP報(bào)文。IP報(bào)文處理模塊在處理IP報(bào)文時(shí)將先執(zhí)行報(bào)文過(guò)濾，對(duì)于那些與審計(jì)業(yè)務(wù)無(wú)關(guān)的IP報(bào)文則不作任何處理，對(duì)于其它情況執(zhí)行后續(xù)的報(bào)文后處理過(guò)程。前臺(tái)審計(jì)引擎的處理對(duì)象是用戶業(yè)務(wù)系統(tǒng)產(chǎn)生的請(qǐng)求事件，它記錄用戶請(qǐng)求事件的類(lèi)型、訪問(wèn)目標(biāo)和參數(shù)信息，并產(chǎn)生訪問(wèn)事件的審計(jì)日志，轉(zhuǎn)存到日志數(shù)據(jù)庫(kù)中。此后該請(qǐng)求事件在業(yè)務(wù)系統(tǒng)中被發(fā)送到Web中間件，并構(gòu)造動(dòng)態(tài)SQL語(yǔ)句，訪問(wèn)后臺(tái)的業(yè)務(wù)數(shù)據(jù)庫(kù)。

后臺(tái)審計(jì)引擎

后臺(tái)審計(jì)引擎的結(jié)構(gòu)與前臺(tái)審計(jì)引擎相同，所不同的是其關(guān)注對(duì)象為從Web中間件到后臺(tái)業(yè)務(wù)數(shù)據(jù)庫(kù)的訪問(wèn)事件。通常情況下，Web中間件維持一個(gè)到后臺(tái)業(yè)務(wù)數(shù)據(jù)庫(kù)的長(zhǎng)連接，通過(guò)該連接提交SQL語(yǔ)句，返回運(yùn)行結(jié)果給前臺(tái)業(yè)務(wù)系統(tǒng)。為此后臺(tái)審計(jì)引擎的IP報(bào)文處理模塊需要具備數(shù)據(jù)庫(kù)訪問(wèn)協(xié)議解析的能力，能夠解析Web中間件提交的動(dòng)態(tài)SQL語(yǔ)句和參數(shù)信息，并產(chǎn)生該數(shù)據(jù)庫(kù)訪問(wèn)事件的審計(jì)日志，轉(zhuǎn)存到日志數(shù)據(jù)庫(kù)中。

日志數(shù)據(jù)庫(kù)

該模塊主要完成兩方面的功能，一是日志存儲(chǔ)功能，它接收前后臺(tái)審計(jì)引擎產(chǎn)生的審計(jì)記錄，保存在對(duì)應(yīng)的數(shù)據(jù)表中，供后續(xù)報(bào)表分析和追蹤溯源。二是關(guān)聯(lián)分析功能，它產(chǎn)生業(yè)務(wù)系統(tǒng)的業(yè)務(wù)邏輯描述，以及用戶訪問(wèn)行為的正常輪廓模型，并以此為依據(jù)，對(duì)審計(jì)記錄進(jìn)行實(shí)時(shí)分析，及時(shí)發(fā)現(xiàn)惡意訪問(wèn)行為。

4.2軟件架構(gòu)

本系統(tǒng)包含兩個(gè)獨(dú)立的子系統(tǒng)，其軟件框架如下圖所示：

圖2 系統(tǒng)軟件結(jié)構(gòu)圖

　　本系統(tǒng)主要由違規(guī)訪問(wèn)發(fā)現(xiàn)系統(tǒng)和異常訪問(wèn)追蹤系統(tǒng)組成，二者的連接關(guān)系如圖2所示。違規(guī)訪問(wèn)發(fā)現(xiàn)系統(tǒng)接收業(yè)務(wù)系統(tǒng)的審計(jì)日志和針對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的審計(jì)日志，通過(guò)序列模式挖掘方法，找出面向Web中間件的前后臺(tái)事件間的時(shí)序關(guān)系，建立系統(tǒng)的業(yè)務(wù)邏輯描述。根據(jù)此描述信息，異常訪問(wèn)發(fā)現(xiàn)系統(tǒng)對(duì)前后臺(tái)審計(jì)日志進(jìn)行實(shí)時(shí)關(guān)聯(lián)分析，對(duì)于不符合業(yè)務(wù)邏輯描述的審計(jì)事件進(jìn)行違規(guī)訪問(wèn)報(bào)警。

對(duì)于數(shù)據(jù)庫(kù)訪問(wèn)審計(jì)日志，孤立點(diǎn)規(guī)則描述模塊將會(huì)通過(guò)聚類(lèi)分析的方法，建立每個(gè)數(shù)據(jù)庫(kù)操作的正常輪廓模型。對(duì)于經(jīng)過(guò)實(shí)時(shí)關(guān)聯(lián)分析檢測(cè)符合業(yè)務(wù)邏輯描述的訪問(wèn)序列，實(shí)時(shí)異常發(fā)現(xiàn)模塊將會(huì)繼續(xù)檢測(cè)本次訪問(wèn)序列中的數(shù)據(jù)庫(kù)訪問(wèn)行為是否偏離了正常的輪廓模型。如果檢測(cè)結(jié)果表明該數(shù)據(jù)庫(kù)訪問(wèn)偏離了正常模型，異常訪問(wèn)追蹤系統(tǒng)將會(huì)發(fā)出異常訪問(wèn)報(bào)警，并根據(jù)該訪問(wèn)序列中所關(guān)聯(lián)的業(yè)務(wù)系統(tǒng)審計(jì)日志對(duì)訪問(wèn)行為進(jìn)行溯源。

下面對(duì)這兩個(gè)主要的子系統(tǒng)進(jìn)行進(jìn)一步的介紹。

4.2.1 違規(guī)訪問(wèn)發(fā)現(xiàn)系統(tǒng)

該系統(tǒng)的運(yùn)行分為學(xué)習(xí)階段和關(guān)聯(lián)階段。學(xué)習(xí)階段的工作是建立前臺(tái)業(yè)務(wù)系統(tǒng)訪問(wèn)與后臺(tái)數(shù)據(jù)庫(kù)訪問(wèn)的正常行為模型，即建立http訪問(wèn)事件與SQL事件之間的關(guān)聯(lián)關(guān)系，輸出為前后臺(tái)事件的關(guān)聯(lián)規(guī)則。在關(guān)聯(lián)階段，將會(huì)根據(jù)該規(guī)則對(duì)Web中間件的前后臺(tái)事件進(jìn)行關(guān)聯(lián)性判斷。該系統(tǒng)的架構(gòu)如下圖所示。

圖3違規(guī)訪問(wèn)發(fā)現(xiàn)系統(tǒng)架構(gòu)圖

　　學(xué)習(xí)階段的工作流程為：

• 事件序列預(yù)處理：將一個(gè)http事件，與其觸發(fā)的前后相關(guān)的SQL事件作為同一個(gè)事件序列。
• 數(shù)據(jù)挖掘：利用GSP算法，找出前臺(tái)http事件與后臺(tái)SQL事件之間的關(guān)聯(lián)關(guān)系。根據(jù)設(shè)定的支持率和置信率，經(jīng)過(guò)一階大序列、組合高階序列、驗(yàn)證候選序列等步驟，最終得到滿足設(shè)定條件的序列模式。
• 序列導(dǎo)出：將自學(xué)習(xí)階段產(chǎn)生的關(guān)聯(lián)關(guān)系，導(dǎo)出到文件中，供關(guān)聯(lián)階段使用。

關(guān)聯(lián)階段的工作流程為：

• 讀取并解析前后臺(tái)事件關(guān)聯(lián)規(guī)則文件；
• 讀取設(shè)定數(shù)量的前臺(tái)Http訪問(wèn)事件；
• 讀取對(duì)應(yīng)時(shí)間段內(nèi)的所有SQL事件；
• 按照序列模式關(guān)系進(jìn)行匹配，如果匹配成功，輸出完整的訪問(wèn)序列信息；如果匹配失敗，輸出違規(guī)訪問(wèn)報(bào)警，以及相關(guān)的違規(guī)訪問(wèn)事件信息。

4.22異常訪問(wèn)追蹤系統(tǒng)

同上一子系統(tǒng)類(lèi)型類(lèi)似，該系統(tǒng)的運(yùn)行也分為學(xué)習(xí)階段和關(guān)聯(lián)階段。其架構(gòu)如下圖所示：

圖4 異常訪問(wèn)發(fā)現(xiàn)系統(tǒng)架構(gòu)圖

　　學(xué)習(xí)階段的工作是建立數(shù)據(jù)庫(kù)訪問(wèn)行為的正常輪廓模型，本系統(tǒng)中利用K-中心算法，從多個(gè)維度上對(duì)SQL語(yǔ)句的參數(shù)進(jìn)行聚類(lèi)分析，輸出為SQL語(yǔ)句參數(shù)的聚類(lèi)規(guī)則描述。這樣不符合聚類(lèi)規(guī)則描述的SQL語(yǔ)句即為孤立點(diǎn)，代表了一次異常訪問(wèn)。在實(shí)時(shí)關(guān)聯(lián)階段，將會(huì)根據(jù)該聚類(lèi)規(guī)則，對(duì)于通過(guò)了違規(guī)訪問(wèn)子系統(tǒng)檢測(cè)、合乎業(yè)務(wù)邏輯的訪問(wèn)序列，進(jìn)一步判斷其訪問(wèn)行為是否偏離了正常模型，從而進(jìn)一步保護(hù)用戶業(yè)務(wù)系統(tǒng)的運(yùn)行安全。

5.未來(lái)展望

國(guó)外知名調(diào)查機(jī)構(gòu)Forrester Research在《Enterprise Database Audit And Real-time Protection 2011.Q2》的分析報(bào)告中，提出了評(píng)價(jià)數(shù)據(jù)庫(kù)審計(jì)和實(shí)時(shí)保護(hù)產(chǎn)品的10大指標(biāo)，，其中就包含了“對(duì)應(yīng)用程序支持的程度”指標(biāo)，該指標(biāo)的詳細(xì)描述就是“是否能夠?qū)徲?jì)應(yīng)用系統(tǒng)帳號(hào)訪問(wèn)行為，甚至在訪問(wèn)數(shù)據(jù)庫(kù)只采用一個(gè)連接的時(shí)候也能夠進(jìn)行審計(jì)”（How strong is the vendor’s support for applications? Can the product audit access per individual application user,even when a pooled connection method is userd to access the database?）文中提及了該領(lǐng)域的領(lǐng)導(dǎo)廠商（Guardium、Imperva、Tizor）的研究狀態(tài)。Guardium采用的是另一種技術(shù)手段（通過(guò)網(wǎng)絡(luò)層和主機(jī)層采集數(shù)據(jù)）實(shí)現(xiàn)的業(yè)務(wù)關(guān)聯(lián)分析，對(duì)于提供該業(yè)務(wù)的廠商，比如Oracle、IBM、Symantec等目前尚未實(shí)現(xiàn)。由此可以看到，面向Web中間件的業(yè)務(wù)關(guān)聯(lián)分析系統(tǒng)是目前國(guó)際上合規(guī)審計(jì)類(lèi)產(chǎn)品發(fā)展的必然方向，國(guó)內(nèi)也應(yīng)展開(kāi)相關(guān)技術(shù)的研究以及產(chǎn)品化，已替代國(guó)外產(chǎn)品，滿足國(guó)內(nèi)市場(chǎng)的需求。

6.參考文獻(xiàn)

1. The Forrester Wave:Enterprise Database Auditing And Real-Time Protection，Q4 2007
2. The Forrester Wave:Market Overview Database Security 2009
3. The Forrester Wave: Your Enterprise Database Security Strategy 2010
4. Gartner: All 10 of these data-related behaviors should be part of any enterprise’s standard auditing regimen 2010
5. Frost & Sullivan: 中國(guó)區(qū)數(shù)據(jù)庫(kù)安全審計(jì)與防護(hù)市場(chǎng)分析2012
6. Jiawei Han, Micheline Kamber, Jian Pei. Data Mining Concepts and Techniques[M]. 范明,孟小峰, 譯. 北京: 機(jī)械工業(yè)出版社,
7. Shulman, Amichai, Boodaei等. System and method for correlating between HTTP requests and SQL queries[P]. 美國(guó): 609662, 2006.