安华金和数据库监控与审计系统(DBAudit)

安华金和数据库监控与审计系统

（DBAudit）

一. 产品概述

安华金和数据库监控与审计系统（简称DBAudit），是一款面向数据库运维和安全管理人员，提供安全、诊断与维护能力为一体的安全管理工具；DBAudit实现了数据库访问的全面精确审计，100%准确应用用户关联审计；DBAudit具备风险状况、运行状况、性能状况、语句分布的实时监控能力。

DBAudit通过数据库化的界面语言、智能化的协议识别、可视化的运行状况呈现、可交互可下钻的风险追踪能力，完美实现免实施、免培训、免维护的二代数据库审计产品。

二. 产品价值

2.1 安全事件追查

提供语句、会话、IP、数据库用户、业务用户、响应时间、影响行等多种维度的数据库操作记录和事后分析能力，成为安全事件后最为可靠的追查依据和来源。

通过SQL行为与业务用户的准确关联，使数据库访问行为有效定位到业务工作人员，可有效追责、定责。

2.2 数据库性能诊断

实时显示数据库的运行状况、数据库访问流量、并发吞吐量、SQL语句的响应速度；提供最慢语句、访问量最大语句的分析，帮助运维人员进行性能诊断。

2.3 发现程序后门

系统提供SQL学习和SQL白名单能力，实现对业务系统的SQL建模；通过合法系统行为的建模，使隐藏在软件系统中的后门程序在启动时，提供实时的告警能力，降低数据泄漏损失。

2.4 数据库攻击响应

系统提供数据库风险告警能力，对于SQL注入、数据库漏洞攻击、过量数据下载、危险SQL语句（如No where delete)等风险行为的策略制定能力，提供实时告警能力。

提供短信、邮件、SNMP、Syslog等多种告警方式。

三. 产品优势

3.1 全面审计（全）

挑战：基于网络流量镜像的数据库审计产品，无法有效实现加密通道下的审计、无法实现对数据库主机上的操作行为的审计、在网络流量过载时容易丢包，从而导致审计信息缺失，给入侵者提供了绕开审计设备的途径。

优势：DBAudit在网络镜像技术基础上，通过可配置的主机探针技术实现了数据库主机的流量捕获，从而实现了对数据库访问流量的全捕获。

3.2 准确审计（准）

挑战：不准确的审计记录，对于审计信息的有效性具有着致命的伤害，使其极大地失去了可信性。

传统数据库审计产品，有着巨大缺陷：（1）对于复杂应用，无法有效关联参数和语句，造成大量误审。（2）对于复杂SQL语句，无法有效解析，出现访问对象误报。（3）基于三层关联技术的数据库审计产品，通过时间与参数实现模糊关联匹配，在并发量较高的系统下有20%以上的失真率，造成业务用户与SQL语句的错误关联。

优势：DBAudit基于精确协议分析、完全SQL解析、参数化匹配和100%应用关联技术，创造了业界最为准确的数据库审计产品，为可信审计追踪提供了坚实的基础。

3.3 高效审计（快）

挑战：数据库审计产品在高端场景下，单位时间将执行上万甚至几十万条数据库操作，高效协议分析和审计数据入库成为巨大挑战。

优势：DBAudit通过SQL语句规则分类技术实现高效SQL解析，通过分级存储和批量入库技术实现审计数据高效入库，入库性能达到万条/秒。

3.4 高效分析（快）

挑战：数据库审计产品，需要记录下来大量数据库访问日志，有些系统一天的审计记录即可达到千万条，要实现这些数据的历史数据存储将是极大的挑战；同时在这些大量累积下来的数据中，找到自己想要的线索，无异于“大海捞针”。

优势：DBAudit通过三级存储机制，实现了海量数据存储；通过列存技术，实现了数据的快速分析与检索，亿级数据秒级响应；通过多维分析线索，实现了灵活的信息挖掘。

3.5 便捷使用（易）

挑战：传统数据库审计产品基于网络审计产品发展而来，未按照数据库访问的特征和使用习惯提供界面，最终用户使用极其不便；且SQL语句的展现形式使非专业人员很难理解。

优势：DBAudit以业务数据库为界面组织中心，按照语句、会话、风险为线索实现数据库审计信息进行组织和导航；DBAudit提供业务翻译能力，将枯燥的SQL语句翻译成中文的业务操作描述。

四. 功能特性

【支持数据库类型】

Oracle、SQLServer、DB2、Informix、Sybase、Cache等国外主流数据库;

MySQL、PostgreSQL等开源数据库;

达梦、GBase、金仓、Oscar等国内主流数据库。

【审计日志记录】

Who？—数据库用户名、操作系统用户名、应用用户名

What？—操作对象是谁、操作是什么、是否成功、影响行数

When？—发生时间、耗时时长

Where？—数据库客户端IP+MAC、应用客户端IP

How？—SQL语句、参数

【应用用户审计】

通过AppSniffer技术关联应用层的访问和数据库层的访问操作请求，可以追溯到应用层的原始访问者及请求信息；突破传统非精确关联的时间关联匹配模式，实现精确关联匹配。【多角度线索】

风险和危害线索：高中低的风险等级，漏洞攻击、SQL注入、黑名单语句、违反授权策略的SQL行为。

会话线索：根据时间、用户、IP、应用程序、和客户端多角度分析。

详细语句线索：提供用户、IP、客户端工具、访问时间、操作对象、SQL操作类型、成功与否、访问时长、影响行数等多种检索条件。

【告警策略】

实现对风险行为的描述和告警行为配置，风险策略包括：

异常操作风险：通过IP、用户、数据库客户端工具、时间、用户、敏感对象、返回行数、系统对象、高危操作等多种元素细粒度定义要监控的风险访问行为。

SQL注入：系统提供了系统性的SQL注入库，以及基于正则表达式或语法抽象的SQL 注入描述。