安華金和的數(shù)據(jù)庫防火墻產(chǎn)品中引入了學(xué)習(xí)期概念�����,在數(shù)據(jù)庫審計中也構(gòu)建了全新的學(xué)習(xí)期�,具體是怎么實現(xiàn)的?首先針對每個被審計數(shù)據(jù)庫分別設(shè)置學(xué)習(xí)期�����,然后利用數(shù)據(jù)庫審計系統(tǒng)一貫擅長的數(shù)據(jù)統(tǒng)計分析能力�,參與建模的元素更廣、行為模型的范圍更大�����,以此來為用戶的安全審計提供更全面的模型參考�����。比如以敏感對象表元素頻度訪問���、敏感對象的操作類型��、訪問源的行為����、去參數(shù)化的語句模板���、去參數(shù)化的應(yīng)用URL行為等��,通過一定組合方式�,形成多樣的數(shù)據(jù)分析模型�。
上文提到的敏感對象表經(jīng)常被訪問的訪問源、敏感對象表日常被訪問的頻次和時間周期分布情況�、敏感對象被訪問的操作類型情況����,這些都將成為行為模型的分析元素�。此外,還有去參數(shù)化的語句模板���、去參數(shù)化的應(yīng)用URL行為等�����,通過一定組合方式�,形成多樣的數(shù)據(jù)分析模板����。
安華金和數(shù)據(jù)庫審計(DBAudit)在引入以應(yīng)用為視角的審計后,進一步豐富了審計的輸出元素:
圖:以數(shù)據(jù)庫為切入點和以應(yīng)用為切入點各自審計的元素組合
一個成熟的業(yè)務(wù)生產(chǎn)系統(tǒng)�,功能模塊相對穩(wěn)定,具體到每個訪問行為����,其產(chǎn)生的SQL語句模板也想對固定。反之���,一個SQL語句模板被業(yè)務(wù)系統(tǒng)請求的來源也相對固定�����,可見��,在一個穩(wěn)定運行的業(yè)務(wù)系統(tǒng)中����,應(yīng)用訪問行為與SQL語句模板存在相對穩(wěn)定的對應(yīng)關(guān)系�����;無論應(yīng)用訪問行為出現(xiàn)了新的語句模板���,或者產(chǎn)生的語句模板出現(xiàn)了新的應(yīng)用請求來源�,都可能成為可疑的訪問行為�����。比較典型的應(yīng)用場景:SQL注入偽裝成正常的數(shù)據(jù)訪問����,但在行為模型中發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)應(yīng)用請求中出現(xiàn)了新的詞語,產(chǎn)生疑似非法操作的告警���,從而解決SQL注入的風(fēng)險���。
DBAudit的數(shù)據(jù)分析能力除了在審計系統(tǒng)上得到應(yīng)用外����,還將為防護類產(chǎn)品提供策略設(shè)置參考�,如針對敏感對象設(shè)置訪問來源、操作行為��、應(yīng)用URL�����、時間周期等元素設(shè)置防火墻的攔截策略�,針對敏感對象梳理結(jié)果設(shè)置動態(tài)訪問脫敏策略,這些將在新的集群管理系統(tǒng)中被串接起來����,多個產(chǎn)品的聯(lián)合形成從敏感數(shù)據(jù)的識別、分析���、建模��、到安全使用防護的全過程����;這些也將成為UEBA模型的數(shù)據(jù)來源,以及數(shù)據(jù)資產(chǎn)梳理系統(tǒng)(DBCarding)數(shù)據(jù)資產(chǎn)動態(tài)梳理的來源��。
作為數(shù)據(jù)安全領(lǐng)域的領(lǐng)跑者��,我們將繼續(xù)深耕��,不斷挖掘產(chǎn)品新的價值點���,正是憑著這種敢于向技術(shù)壁壘發(fā)起攻堅、敢于突破自我的精神����,才能打磨出具有領(lǐng)先性和前瞻性的成熟產(chǎn)品。
產(chǎn)品咨詢:4000 258 365 
