发明名称 |
在TB级海量审计数据中发现异常数据的方法 |
摘要 |
本发明提供一种在TB级海量审计数据中发现异常数据的方法,包括:获取待处理数据的关键特征,并根据所述关键特征判断所述待处理数据是否满足预置的过滤条件;若不满足,根据所述关键特征判断所述待处理数据是否满足预置的无害判定条件;若不满足,判定所述待处理数据为异常数据。本发明提供一种在TB级海量审计数据中发现异常数据的方法,通过对不满足预置过滤条件的待处理数据进行是否满足预置的无害判定条件的判断,进行进一步分析,就能够有效地分析出异常数据。利用上述技术方案,能够过滤掉大量的无害数据,不进行下一步分析,从而提高了系统处理效率,并可以发现各种非法的操作。 |
申请公布号 |
CN102945254B |
申请公布日期 |
2015.12.16 |
申请号 |
CN201210395734.5 |
申请日期 |
2012.10.18 |
申请人 |
福建省海峡信息技术有限公司 |
发明人 |
高翔;金华松;刘志光;叶松;翁志庚 |
分类号 |
G06F17/30(2006.01)I |
主分类号 |
G06F17/30(2006.01)I |
代理机构 |
福州市鼓楼区博深专利代理事务所(普通合伙) 35214 |
代理人 |
林志峥 |
主权项 |
一种在TB级海量审计数据中发现异常数据的方法,其特征在于,包括:获取待处理数据的关键特征,并根据所述关键特征判断所述待处理数据是否满足预置的过滤条件;若满足预置的过滤条件,则判定所述待处理数据为无害数据并存储所述待处理数据;若不满足预置的过滤条件,根据所述关键特征判断所述待处理数据是否满足预置的无害判定条件;若满足预置的无害判定条件,则判定所述待处理数据为无害数据,并根据所述待处理数据生成新的过滤条件;若不满足预置的无害判定条件,则判定所述待处理数据为异常数据;所述关键特征包括:主机ip地址、SQL语句特征、操作对象、表名以及运行程序名;所述预置的过滤条件包括第一过滤条件和第二过滤条件,所述判断所述待处理数据是否满足预置的过滤条件包括步骤:判断所述待处理数据是否不满足第一过滤条件但满足第二过滤条件,如果是,则判定所述待处理数据不满足预置的过滤条件;当所述关键特征为SQL语句特征时,所述关键特征的获取方法为:识别当前系统所建立的会话中是否包含对数据库的数据库操作会话;若包含,识别所述数据库的数据库操作会话中的数据库操作指令,获取相应的SQL语句特征;所述根据所述关键特征判断所述待处理数据是否满足预置的过滤条件的步骤包括:统计所述SQL语句特征并根据SQL语句特征的不同将所述待处理数据分类;判断每种SQL语句特征的统计次数是否达到一门限值,若达到,则判定与达到一门限值的SQL语句特征相对应的待处理数据满足第一过滤条件;若没达到,则根据所述关键特征判断所述待处理数据是否满足第二过滤条件,若满足,则判定所述待处理数据不满足预置的过滤条件。 |
地址 |
350000 福建省福州市北环中路61号海峡信息大楼2F |