本發明專利技術公開了一種Web服務器前后臺關聯審計方法和系統,實現了后臺與前臺具體的http訪問事件的關聯。所述方法包括:通過安全審計設備分別獲取前臺和后臺的訪問事件,對前后臺的訪問事件進行序列劃分;對劃分后的事件序列進行序列模式挖掘,找出他們之間的時序關系;利用得到的關聯關系,確定觸發該后臺訪問的http訪問。所述系統包括:序列劃分模塊、自學習模塊、實時監測模塊。本發明專利技術適用于對Web服務器的業務審計。
【技術實現步驟摘要】
本專利技術涉及信息安全領域,具體涉及一種Web服務器前后臺關聯審計方法及系統。
技術介紹
隨著網絡技術的發展,信息安全問題越來越受到重視。為了更好地對重要服務器實施保護,網絡安全審計產品得到了廣泛的應用。它能夠實時監測和記錄用戶對服務器的訪問信息,并按照設定的規則對用戶訪問行為進行報警、阻斷等操作。在安全審計產品的應用場合中,一個重要的應用場景是對Web服務器和后臺數據庫的訪問行為審計。目前越來越多的應用系統采用了B/S(Browser/Server,瀏覽器/服務器)架構,這種應用系統一般分為三層結構:瀏覽器客戶端、Web服務器、數據庫服務器。通常的流程是:用戶通過瀏覽器客戶端,利用自己的帳戶登錄Web服務器,向服務器提交訪問數據;Web服務器根據用戶提交的數據構造SQL(結構化查詢語言)語句,并利用唯一的帳戶訪問數據庫服務器,提交SQL語句,接收數據庫服務器返回結果并返回給用戶。目前的安全審計產品一般可審計從瀏覽器到Web服務器的前臺訪問事件,以及從Web服務器到數據庫服務器的后臺訪問事件。但由于后臺訪問事件采用的是唯一的帳戶,對每個后臺訪問事件,難以確定是哪個前臺訪問事件觸發了該事件。如果在后臺訪問事件中出現了越權訪問、惡意訪問等行為,難以定位到具體的前臺用戶上。經對現有技術的文獻檢索發現,美國專利號US?2007/0136312?A1,專利名“SYSTEM?AND?METHOD?FOR?CORRELATING?BETWEEN?HTTP?REQUESTSAND?SQL?QUERIES”(http請求與SQL請求關聯方法及系統),提出了一種利-->用URL-SQL模板矩陣,將SQL語句與http(超文本傳輸協議)的URL(統一資源定位符)進行關聯的方法。該方法生成一個每行表示一個URL,每列表示一種SQL模板的矩陣,當檢測到一個數據庫訪問事件時,對于當前有訪問請求記錄的URL,在此類URL表示的行、該數據庫訪問事件的URL模板表示的列上所有的元素,其計數值均加1。最終如果某個元素的值超過了設定的閾值,則表示該元素的行對應的URL,與該元素列對應的SQL模板存在關聯關系。這種方法在并發數較低的情況下,能夠發現URL與SQL模板的關聯關系,在并發數很高時,會使得在檢測到數據庫訪問事件時,所有的URL上都存在訪問記錄,這樣每個元素的值都加1,最終導致無法識別關聯關系。此外,此方法無法檢測到數據庫訪問事件之間的時間序列關系。
技術實現思路
本專利技術的目的在于針對現有專利技術的不足,提出了一種Web服務器前后臺關聯審計方法和系統,使得能夠將后臺的數據庫訪問事件序列,關聯到前臺具體的http訪問事件上。本專利技術是通過以下技術方案實現的:一種Web服務器前后臺關聯審計方法,通過安全審計設備分別獲取前臺http訪問事件和后臺數據庫訪問事件,所述方法包括以下步驟:A.序列劃分階段:對前臺的http訪問事件和后臺的數據庫訪問事件進行序列劃分;B.自學習階段:對劃分后的事件序列進行序列模式挖掘,找出前臺http訪問事件與后臺數據庫訪問事件之間的時序關系;C.實時檢測階段:利用得到的http訪問事件與數據庫訪問事件之間的關聯關系,在檢測到數據庫訪問事件時,確定觸發該數據庫訪問的http訪問事件,-->實現Web服務器的前后臺關聯審計。優選的是,本專利技術用http模板描述同類的http訪問事件,http模板的內容包括但不局限于:數據提交的目標網頁的URI(Uniform?Resource?Identifier,統一資源標識符)值,提交的Cookie(服務器傳送到客戶端本地的小的數據文件)的標識符,提交的參數的標識符。每個http模板都用一個唯一的ID號碼進行標識。優選的是,本專利技術用SQL模板描述同類的數據庫訪問事件,SQL模板的內容包括但不局限于:數據庫操作類型,數據庫名稱,數據表名稱,操作字段名稱,條件子句中的字段名稱,條件子句中的關系運算符。每個SQL模板都用一個唯一的ID號碼進行標識。優選的是,所述步驟A包括:A1.獲取http訪問事件;A2.獲取一個時間窗內的數據庫訪問事件;A3.通過關聯分析判斷每個數據庫訪問事件是否與http訪問事件相關,如相關則保存在同一個事件序列中。優選的是,所述步驟A3包括:①將數據庫訪問事件中的參數值,與http訪問事件中的參數值進行比較。如果二者匹配的程度超過事先設定的閾值,則關聯成功,否則轉下一步。②判斷該數據庫訪問事件的模板是否已經在當前事件序列中出現,若出現過則關聯失敗,否則關聯成功。可選的是,本專利技術可以通過調整http訪問事件與數據庫訪問事件之間的關聯關系,修改步驟B中挖掘出的序列模式。-->優選的是,所述步驟C包括:C1.為每個http模板創建一個事件鏈表,將觀測到的http訪問事件加入到對應的事件列表中;C2.對后續時間窗內觀測到的數據庫訪問事件,提取其SQL模板,并根據關聯關系判斷其從屬于哪個http模板中的事件序列;C3.從選定的http模板的事件序列中,根據SQL模板中的參數值,匹配事件序列中的參數值。選取匹配程度最高的http訪問事件,作為該數據庫訪問事件的觸發事件,將二者進行關聯。一種Web服務器前后臺關聯審計系統,包括序列劃分模塊、自學習模塊和實時檢測模塊;序列劃分模塊根據時間窗約束和匹配約束,將一個http訪問事件觸發的數據庫訪問事件劃分為同一個事件序列;自學習模塊利用數據挖掘中的序列模式挖掘方法,從劃分后的序列中發現前臺http訪問事件和后臺的數據庫訪問事件之間的時序關系;實時檢測模塊根據自學習模塊生成的http訪問事件和數據庫訪問事件之間的時序關系,在檢測到數據庫訪問事件時,確定觸發該數據庫訪問的http訪問事件,實現Web服務器的前后臺關聯審計;序列劃分模塊接受提取模板后的http訪問事件和數據庫訪問事件,輸出為劃分后的事件序列,發送至自學習模塊;自學習模塊從中挖掘出事件之間的時序關系,發送至實時檢測模塊。優選的是,本專利技術還包括http模板提取模塊和SQL模板提取模塊:所述http模板提取模塊用于從http訪問事件中提取用于描述該類訪問事件-->的模板,并給該模板分配一個全局唯一的ID號碼;所述SQL模板提取模塊用于從數據庫訪問事件中提取用于描述該類訪問事件的模板,并給該模板分配一個全局唯一的ID號碼;http模板提取模塊接收前臺http訪問事件,輸出為提取的http模板,發送至序列劃分模塊;SQL模板提取模塊接收后臺SQL訪問事件,輸出為提取的SQL模板,發送至序列劃分模塊。本專利技術的有益效果是:1.通過序列劃分,將一個http訪問事件與同其相關的數據庫訪問事件劃分在同一個序列中,不相關的事件盡量避免劃分在同一序列中,能夠更加精確地判斷數據庫訪問事件是由哪個http訪問事件觸發的,從而提高審計的準確性。2.通過序列模式挖掘,不僅能夠發現http訪問事件與數據庫訪問事件之間的關聯關系,在一個http訪問事件觸發多條數據庫訪問事件的情況下,還能發現事件之間的時序關系,從而實現對業務流程的審計。3.采用http模板與SQL模板代表同類型的訪問事件,通過數據挖掘與管理員設置相結合的方法,管理員可以對自學習階段產生的事件序列模式進行調整,從而更準確地反映事件間本文檔來自技高網...
【技術保護點】
一種Web服務器前后臺關聯審計方法,通過安全審計設備分別獲取前臺超文本傳輸協議http訪問事件和后臺數據庫訪問事件,其特征在于包括以下步驟: A.序列劃分階段:對前臺的http訪問事件和后臺的數據庫訪問事件進行序列劃分; B.自學習階段:對劃分后的事件序列進行序列模式挖掘,找出前臺http訪問事件與后臺數據庫訪問事件之間的時序關系; C.實時檢測階段:利用得到的http訪問事件與數據庫訪問事件之間的關聯關系,在檢測到數據庫訪問事件時,確定觸發該數據庫訪問的http訪問事件,實現Web服務器的前后臺關聯審計。
【技術特征摘要】
1.一種Web服務器前后臺關聯審計方法,通過安全審計設備分別獲取前臺超文本傳輸協議http訪問事件和后臺數據庫訪問事件,其特征在于包括以下步驟:A.序列劃分階段:對前臺的http訪問事件和后臺的數據庫訪問事件進行序列劃分;B.自學習階段:對劃分后的事件序列進行序列模式挖掘,找出前臺http訪問事件與后臺數據庫訪問事件之間的時序關系;C.實時檢測階段:利用得到的http訪問事件與數據庫訪問事件之間的關聯關系,在檢測到數據庫訪問事件時,確定觸發該數據庫訪問的http訪問事件,實現Web服務器的前后臺關聯審計。2.根據權利要求1所述的一種Web服務器前后臺關聯審計方法,其特征在于,用http模板描述同類的http訪問事件,http模板的內容包括但不局限于:數據提交的目標網頁的統一資源標識符URI值,提交的服務器傳送到客戶端本地的小的數據文件Cookie的標識符,提交的參數的標識符,每個http模板都用一個唯一的ID號碼進行標識。3.根據權利要求1所述的一種Web服務器前后臺關聯審計方法,其特征在于,用結構化查詢語言SQL模板描述同類的數據庫訪問事件,SQL模板的內容包括但不局限于:數據庫操作類型,數據庫名稱,數據表名稱,操作字段名稱,條件子句中的字段名稱,條件子句中的關系運算符,每個SQL模板都用一個唯一的ID號碼進行標識。4.根據權利要求1所述的一種Web服務器前后臺關聯審計方法,其特征在于,所述步驟A包括:A1.獲取http訪問事件;A2.獲取一個時間窗內的數據庫訪問事件;A3.通過關聯分析判斷每個數據庫訪問事件是否與http訪問事件相關,如相關則保存在同一個事件序列中。5.根據權利要求4所述的一種Web服務器前后臺關聯審計方法,其特征在于,所述步驟A3包括:①將數據庫訪問事件中的參數值,與http訪問事件中的參數值進行比較,如果二者匹配的程度超過事先設定的閾值,則關聯成功,否則轉下一步,②判斷該數據庫訪問事件的模板是否已經在當前事件序列中出現,若出現過則關聯失敗,否則關聯成功。6.根據權利要求1所述的一種Web服務器前后臺關聯審計方法,...
【專利技術屬性】
技術研發人員:周濤,牟憲波,張輝,李新鵬,趙振東,
申請(專利權)人:北京啟明星辰信息技術有限公司,
類型:發明
國別省市:11[中國|北京]
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。