关于数据库审计，你需要知道这些“新技术”

近年来，随着数字化进程的加快，数据库安全成为数据安全中不可或缺的一环。如何运用成熟技术来修炼内功，夯实审计能力是当务之急。

今天，绿盟君就跟大家来探讨下，数据库审计还可以运用哪些新技术来解决现存的问题和用户需求。

简单回顾目前数据库审计已经运用的技术，以及审计过程，了解数据库审计产品的工作原理。

通过主动（Agent模式）或被动方式（流量镜像模式）采集网络数据，通过协议识别、解析从被采集数据中筛选出SQL会话，剥离数据中的通讯交互讯息、SQL语句、返回结果等信息。

实时审计分析引擎将经过剥离的待审数据按照系统预设配置进行策略匹配，完成审计结果、风险等级、告警等信息的输出展现。之后对数据库操作日志记录、会话、事件、统计信息等审计结果以及历史告警记录进行归档处理。日志本地保存同时开方对外日志接口，实现日志备份。

日志归档后通过日志综合分析平台对历史审计日志进行检索，统计、综合分析及价值挖掘等离线查询工作以及多格式的报表导出。系统管理端展现审计分析引擎和日志存储中心提供的实时审计日志与历史归档查询日志。

数据库审计产品的最终输出信息实质是一个个SQL语句和返回结果，审计严重等级划分后通过或独立、或关联形式展现。但当数据量成指数级增长，传统审计内容与结果的展现思路，越来越不能满足当下的安全要求，问题也随之暴露出来。

数据采集开始到最终呈现审计结果和触发告警的前提，必须与预设策略完全匹配，而策略预设需要审计人员具备起码的SQL知识并了解实际业务，还需要根据业务变化进行审计策略的调整，对审计人员的学习和应变能力有一定技术要求。

UEBA通过机器学习来发现高级威胁，实现自动化建模（自动基线建立），在发现异常行为和行为异常方面有非常高的“命中率”。引入UEBD技术，也就是将的合法操作和关键性使用习惯频率纳入到管理监测范畴，给原本教条式的监测方法带来了较大缓冲空间，对提升审计结果准确度、改善审计结果问题有较大帮助。

自动化建模能力，优先通过对合法行为进行分析。学习所得策略集，配合人工去重、查漏、补缺，形成最终行为性策略。再将行为策略与普通策略结合，互相补充完成审计工作。同UEBA以定时或不定时方式进行增量行为建模，节省策略维护成本，提高审计精度。

数据预警结果输出主要依靠图表统计、信息告警、详情列举等形式进行展现，但信息建立的基础全部来自于抽象独立的SQL语句。例如图三、四，从产品特性和审计对象角度，这种审计结果符合预期。但就预警结果而言，预警结果不显性，阅读门槛高的问题也暴露无遗。尤其当审计人员缺乏相关专业知识，面对大量SQL语句无法快速定位风险，还需投入大量时间进行进一步排查和定位。而被审计数据来源单一是主要原因之一，传统的数据供给方式主要依靠网络镜像或Agent提取，数据库审计系统只能单方面接收和分析。哪些库、表、字段需要重点监控，什么数据，是否敏感、有无外泄可能一概不知。

精确数据比对技术（EDM），可用于分析、保护结构化格式的数据。允许根据特定数据列中的任何数据栏组合进行检测，例如在特定记录中检测 M 个字段中的 N 个字段。能够在“值组”或指定的数据类型集上触发，例如可接受名字与身份证号这两个字段的组合，但不接受名字与手机号这两个字段的组合，还支持相近逻辑以减少可能的误报情形。

EDM可以主动对数据库、表进行扫描，分析数据类型了解被保护数据，形成库、表的指纹信息和表类型标识。配合正则表达式、业务化语言等能力实现对SQL会话的归类、翻译和去重，为风险告警提供关键信息依据，精炼预警信息改变告警信息的呈现方式。

EDM 技术的运用，对提炼、整合告警信息起到了决定作用。提高信息可读性，实现风险定位的最后一步成为可能。经过调整告警信息将会变为：

绿盟数据库审计系统（NSFOCUS DAS）作为一款专业的数据库审计产品应该具备高效存储的特点，可以将海量的日志进行超量的存储，帮助企业快速定位数据库风险，及时告警，事后为追责提供有力的数据依据。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟安全管家APP