【導(dǎo)讀】慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)。國(guó)都興業(yè)信息審計(jì)系統(tǒng)技術(shù)（北京）有限公司

　　

【正文】 首頁就可以展現(xiàn)基于該 DOMINO 服務(wù)器的統(tǒng)計(jì)信息，其中包括：會(huì)話趨勢(shì)、流量趨勢(shì)以及事務(wù)趨勢(shì)。 本地審計(jì) 注意：本地審計(jì)當(dāng)前只支持 oracle 11和 sqlserver2020 版本。 以系統(tǒng)管理員 sysadmin 登錄系統(tǒng)， 鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“ 審計(jì) 中心 本地審計(jì)”，即可進(jìn)入本地審計(jì)界面。 本地審計(jì)是 通過數(shù)據(jù)庫賬號(hào)、密碼（實(shí)例名） 連接到數(shù)據(jù)庫服務(wù)器， 查詢 數(shù)據(jù)庫本身提供的審計(jì)功能審計(jì) 到的 數(shù)據(jù)。 本地審計(jì)界面中， 從數(shù)據(jù)庫服務(wù)器列表中選擇數(shù)據(jù)庫服務(wù)器，點(diǎn)擊“審計(jì)”，進(jìn)行配置 后查詢 。 第一次 進(jìn)入審計(jì)界面后 ，系統(tǒng)默認(rèn) 從數(shù)據(jù)庫服務(wù)器列表中 選擇一個(gè)數(shù)據(jù)庫服務(wù)器，并提示需要配置訪問連接所需要的數(shù)據(jù)庫賬號(hào)、密碼等 （最好使用系統(tǒng)管理員賬號(hào)，本地審計(jì)系統(tǒng)不會(huì)記錄此賬號(hào)相關(guān)信息） ，如 下 圖 ： 慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng) 31 輸入數(shù)據(jù)庫賬號(hào)、密碼、實(shí)例名（ ORACLE 數(shù)據(jù)庫需要提供實(shí)例名）后，點(diǎn)擊“保存并審計(jì)”后，系統(tǒng)可連接到選中的數(shù)據(jù)庫服務(wù)器，并查詢出該數(shù)據(jù)庫服務(wù)器自身審計(jì)的結(jié)果。 攻擊監(jiān)測(cè) 攻擊監(jiān)測(cè)主要是監(jiān)測(cè) 網(wǎng)絡(luò)上攻擊數(shù)據(jù)庫的行為，包括對(duì)數(shù)據(jù) 庫服務(wù)器的網(wǎng)絡(luò)攻擊檢 測(cè)、運(yùn)維服務(wù)攻擊檢測(cè)和操作系統(tǒng)的攻擊檢測(cè)。用戶可以開啟或關(guān)閉該監(jiān)測(cè) ， 并且可以進(jìn)行監(jiān)測(cè)引擎配置 ， 也可以設(shè)置條件對(duì)各種監(jiān)測(cè) 結(jié)果進(jìn)行查詢。 如何開啟或關(guān)閉攻擊監(jiān)測(cè) 以系統(tǒng)管理員 sysadmin登錄系統(tǒng)，鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“攻擊監(jiān)測(cè) 監(jiān)測(cè)引擎配置 ”， 鼠標(biāo)點(diǎn)擊左上角顯示開關(guān)按鈕，即可實(shí)現(xiàn)攻擊檢測(cè)的開啟或關(guān)閉。如圖所示： 在系統(tǒng)安裝初始狀態(tài)下，該監(jiān)測(cè)事件處于開啟狀態(tài)。當(dāng)攻擊檢測(cè)引擎處于停止?fàn)顟B(tài)時(shí)，該按鈕顯示如下圖所示： 切換開 /關(guān)狀態(tài)時(shí)，會(huì)彈出如下對(duì)話框： 慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng) 32 點(diǎn)擊“確定”按鈕，返回到 監(jiān)測(cè)引擎配置界面。 攻擊事件查詢 以系統(tǒng)管理員 sysadmin登錄系統(tǒng) ，鼠標(biāo)左鍵點(diǎn)擊左側(cè)導(dǎo)航欄中的“攻擊監(jiān)測(cè) 攻擊事件查詢 ”，進(jìn)入“ 攻擊事件查詢 ”界面 。 如何設(shè)置時(shí)間范圍查詢 系統(tǒng)默認(rèn)的時(shí)間范圍查詢條件為：本日 ，點(diǎn)擊下拉按鈕可打開并選擇其余時(shí)間查詢條件。如下圖所示： 時(shí)間范圍的查詢條件有：最近 5分鐘、最近 10分鐘、最近 30分鐘、最近 1小時(shí)、最近 3小時(shí)、最近 12小時(shí)、最近 24小時(shí)、最近 7天、本日、本周、本月 和自定義 。 用戶可以通過單擊 按鈕更改日期和時(shí)間，如下圖所示： 慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng) 33 用戶可以單擊時(shí)間 按鈕，在下拉 菜單中 選取時(shí)間，如 上圖所示： 也可以進(jìn)行手動(dòng)輸入，如 下 圖所示： 如何查看查詢結(jié)果 在攻擊事件查詢界面， 點(diǎn)擊“查詢”按鈕 ，左側(cè)是查詢結(jié)果列表 ， 右側(cè)是詳細(xì)信息列表。 1）查詢結(jié)果列表 在查詢結(jié)果中， 默認(rèn)的展示列為： 時(shí)間日期：數(shù)據(jù)庫攻擊事件發(fā)生的日期和時(shí)間； 源 IP：發(fā)生數(shù)據(jù)庫攻擊事件的源 IP 地址； 目的 IP：發(fā)生數(shù)據(jù)庫攻擊事件的目的 IP 地址； 源端口：發(fā)生數(shù)據(jù)庫攻擊事件的源 IP端口 目的端口：發(fā)生數(shù)據(jù)庫攻擊事件的目的端口； 協(xié)議：數(shù)據(jù)庫攻擊事件的網(wǎng)絡(luò)應(yīng)用協(xié)議； 級(jí)別：數(shù)據(jù)庫攻擊事件的報(bào)警級(jí)別； 特征規(guī)則： 數(shù)據(jù)庫攻擊事件匹配的安全特征規(guī)則； 攻擊事件描述：數(shù)據(jù)庫攻擊事件的簡(jiǎn)單文字描述。 慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng) 34 查詢結(jié)果會(huì)以天為單位分頁顯示，點(diǎn)擊其中一天就可以查看當(dāng)天的記錄（如上圖 所 示） 。當(dāng)前被查看的日期 以灰色顯示 。 如果查詢條件所設(shè)置的時(shí)間范圍的跨度比較大，例如： 到 ， 則可通過 和進(jìn)行上翻和下翻，通過 和 進(jìn)行翻到最前和最后 。 如果沒有符合查詢條件的數(shù)據(jù)，會(huì)在查詢結(jié)果中間顯示：“沒有找到符合條件的結(jié)果”。 2）詳細(xì)信息列表 選擇 某一條記錄，在右側(cè)的“詳細(xì)信息”區(qū)域即顯示出該條記錄的詳細(xì)信息 。 如何將監(jiān)測(cè)事件導(dǎo)出 在查詢結(jié)果區(qū)域的“導(dǎo)出”按鈕可批量導(dǎo)出前 1 萬條記錄。點(diǎn)擊每條記錄右側(cè)詳細(xì)信息處可以導(dǎo)出當(dāng)前對(duì)應(yīng)的一條數(shù)據(jù)。 導(dǎo)出 文件 可用 Excel 工具打開，內(nèi)容如下圖所示： 如何設(shè)置詳細(xì)查詢條件 在 “攻擊 事件查詢 ”界面，點(diǎn)擊 按鈕右側(cè)的下拉三角按鈕，即可在下方彈出詳細(xì)查詢條件 。 當(dāng)前系統(tǒng)主要提供以下幾個(gè)條件的查詢：攻擊事件源 IP、攻擊事件源端口、攻擊事件目的 IP、攻擊事件目的端口、攻擊事件協(xié)議、攻擊事件級(jí)別 、說明 。 其中攻擊事件源 IP和攻擊事件目的 IP 條件需要按照 IP 地址的標(biāo)準(zhǔn)格式輸入，攻擊事件 源端口和攻擊事件目的端口條件的端口范圍在 0~65535之間， 其中 0表示無相應(yīng)的端口 。 設(shè)置條件后，點(diǎn)擊“查詢”按鈕后詳細(xì)條件將隱藏，相應(yīng)的查詢結(jié)果將會(huì)顯示在界面上。 點(diǎn)擊左下角的“重置所有條件”按鈕，將清空所有的查詢條件，包括將“時(shí)間范圍”條件重新置為慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng) 35 默認(rèn)條件“本日”。 注：當(dāng)鼠標(biāo)移動(dòng)到相應(yīng)查詢條件時(shí)，在“說明”對(duì)話框?qū)ο鄳?yīng) 查詢 條件進(jìn)行詳細(xì)說明 。 監(jiān)測(cè)引擎配置 監(jiān)測(cè)引擎配置 是系統(tǒng)內(nèi)置的安全攻擊事件匹配的配置，用戶可以自定義修改報(bào)警級(jí)別、啟用或者停用該配置。 以系統(tǒng)管理員 sysadmin登錄系統(tǒng)，鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“攻擊監(jiān)測(cè) 監(jiān)測(cè)引擎配置 ”，即可進(jìn)入 監(jiān)測(cè)引擎配置界面 ，如下圖所示： 監(jiān)測(cè)引擎配置界面的展示列如下： 名稱：系統(tǒng)內(nèi)置的數(shù)據(jù)庫網(wǎng)絡(luò)攻擊特征規(guī)則的名稱，按照攻擊對(duì)象類型主要分為三種：數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用。其中數(shù)據(jù)庫類型主要是對(duì)數(shù)據(jù)庫服務(wù)器的攻擊特征規(guī)則，操作系統(tǒng)類型主要是對(duì)操作系統(tǒng)級(jí)別的攻擊特征規(guī)則，網(wǎng)絡(luò)應(yīng)用主要是對(duì)運(yùn)維服務(wù)的攻擊特征規(guī)則；如下圖所示： 類型：攻擊事件的安全類型，如緩沖區(qū)溢出、權(quán)限提升、漏洞利用、口令猜測(cè)等； 級(jí)別：攻擊事件的檢測(cè)報(bào)警級(jí)別，分為高、中高、 中、中低、低五種； 描述：攻擊特征規(guī)則的簡(jiǎn)單文字描述； 影響：此攻擊的影響； 描述：此攻擊的具體描述信息。 慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng) 36 默認(rèn)狀態(tài)下所有的規(guī)則都是處于 啟用狀態(tài)。 用戶可以自定義修改特征規(guī)則的報(bào)警級(jí)別，或者通過勾選某條規(guī)則設(shè)置啟用或著停用該規(guī)則。修改后，用戶可點(diǎn)擊右下方的“保存”按鈕保存相應(yīng)的設(shè)置。 性能分析 “ 性能分析 ” 主要是 基于現(xiàn)有的數(shù)據(jù)記錄的分析 ， 通過查看各數(shù)據(jù)庫服務(wù)器的響應(yīng)延時(shí)協(xié)助用戶分析定位服務(wù)器的性能 。 以系統(tǒng)管理員 sysadmin 登錄系統(tǒng) ，鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄中的“性能分析 延時(shí)分析”菜單，進(jìn)入延時(shí)分析界面 。 如何指定時(shí)間范圍進(jìn)行延時(shí)分析 系統(tǒng)默認(rèn)的時(shí)間范圍查詢條件為：本日 ，點(diǎn)擊下拉按鈕可打開并選擇其余時(shí)間查詢條件。 用戶可以通過單擊 按鈕更改日期和時(shí)間。 用戶可以單擊時(shí)間 按鈕，在下拉菜單中 選取時(shí)間，如 上圖所示： 也可以采用 手動(dòng)輸入，如 下 圖所示： 如何查看分析結(jié)果 設(shè)置查詢條件后點(diǎn)擊“ 分析 ”按鈕，查詢結(jié)果即顯示在下方列表 在查詢結(jié)果的上方會(huì)顯示查詢結(jié)果（成功 /失?。?、查詢結(jié)果的總記錄數(shù)和查詢用時(shí) ； 查詢結(jié)果會(huì)以天為單位分頁顯示 點(diǎn)擊其中一天就可以查看當(dāng)天的記錄 。當(dāng)前被查看的日期 以灰色顯示 。 如果查詢條件所設(shè) 置的日期 范圍的跨度比較大，例如： 到 ， 則可通過 和進(jìn)行上翻和下翻，通過 和 進(jìn)行翻到最前和最后 。 如果沒有符合查詢條件的數(shù)據(jù)，會(huì)在查詢結(jié)果中間顯示：“沒有找到符合條件的結(jié)果”。 慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng) 37 如何設(shè)置詳細(xì)分析條件 在 “ 延時(shí)分析 ”界面，點(diǎn)擊 按鈕右側(cè)的下拉三角按鈕 ， 即可在下方彈出詳細(xì) 查詢條件設(shè)置菜單 。 注：當(dāng)鼠標(biāo)移動(dòng)到相應(yīng)查詢條件時(shí)，在“說明”對(duì)話框?qū)ο鄳?yīng) 查詢 條件進(jìn)行詳細(xì)說明 。 如果要重新選擇全部條件，可以點(diǎn)擊 “重置 條件 ” 按鈕進(jìn)行全部條件的重 新 設(shè)置 。 統(tǒng)計(jì)分析 統(tǒng)計(jì)分析分 為 SQL 操作類型統(tǒng)計(jì)、事件類型統(tǒng)計(jì)和流量統(tǒng)計(jì)三種統(tǒng)計(jì)方式。 SQL 操作類型統(tǒng)計(jì) SQL操作類型統(tǒng)計(jì)主要是對(duì)各個(gè)審計(jì)服務(wù)器審計(jì)到的數(shù)據(jù)，按照 SQL的操作類型進(jìn)行分類統(tǒng)計(jì)。 通過查看統(tǒng)計(jì)到的 SQL操作類型協(xié)助用戶分析服務(wù)器在所選時(shí)間內(nèi)進(jìn)行的 SQL操作。 以系統(tǒng)管理員 sysadmin 登錄系統(tǒng) ，鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄中的“統(tǒng)計(jì)分析 SQL 操作類型統(tǒng)計(jì)”菜單，進(jìn)入 SQL 操作類型統(tǒng)計(jì)界面（默認(rèn)為全部服務(wù)器的“今天”的所有操作類型的統(tǒng)計(jì)）。 如何 進(jìn)行 統(tǒng)計(jì)分析 系統(tǒng)默認(rèn)的服務(wù)器選擇為：全選， 點(diǎn)擊 服務(wù)器下 拉按鈕可打開所配置全部可 選服務(wù)器，進(jìn)行服務(wù)器的選擇。 系統(tǒng)默認(rèn)的時(shí)間范圍查詢條件為： 今天 ，點(diǎn)擊下拉按鈕可打開并選擇其余時(shí)間查詢條件。 時(shí)間范圍的查詢條件有： 今天、昨天、最近 7天、最近 30天、自定義 。 用戶可以通過單擊 按鈕更改日期和時(shí)間 。 如何查看分析結(jié)果 設(shè)置好查詢條件后，點(diǎn)擊 按鈕 ，統(tǒng)計(jì)結(jié)果即顯示在下方 。 統(tǒng)計(jì)的結(jié)果分為 “ SQL 操作類型統(tǒng)計(jì)分析趨勢(shì)圖”和“ SQL 操作類型排名” 兩種方式展示。 SQL 操作類型統(tǒng)計(jì)分析趨勢(shì)圖用來展示所選條件的 SQL 操作類型按時(shí)間的統(tǒng)計(jì)趨勢(shì) ，當(dāng)鼠慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng) 38 標(biāo)放在趨勢(shì)圖節(jié)點(diǎn)時(shí)，會(huì)展示該節(jié)點(diǎn)所在時(shí)間的統(tǒng)計(jì)信息 ， 如下圖所示： SQL 操作類型排名用來展示所統(tǒng)計(jì)的各個(gè)操作類型的排名、操作類型、百分比、總數(shù)。并且在各個(gè)操作類型后面有 鏈接，可用來查看所選操作類型的詳細(xì)的信息。 SQL 操作類型統(tǒng)計(jì)分析趨勢(shì)圖和 SQL 操作類型排名均有對(duì)比操作 ，如下圖所示，若點(diǎn)擊對(duì)比昨天 ： SQL 操作類型統(tǒng)計(jì)分析趨勢(shì)圖中 有所選時(shí)間和要對(duì)比時(shí)間的曲線圖，其中 較深顏色的曲線為所選時(shí)間 統(tǒng)計(jì) 曲線， 較淺顏色曲線為 要 對(duì)比時(shí)間的 統(tǒng)計(jì) 曲線； SQL 操作類型排名中有百分比和總數(shù)的對(duì)比情況，且在數(shù)據(jù)前方有上升或者下降箭頭提示， 其中黑色數(shù)據(jù)為 所選時(shí)間的操作類型 ，灰色為要對(duì)比時(shí)間的相應(yīng)的操作類型 ，且在上方有日期提示 。 事件類型統(tǒng)計(jì) 事件 類型統(tǒng)計(jì)主要是對(duì)各個(gè)審計(jì)服務(wù)器審計(jì)到的數(shù)據(jù)，按照 事件的 類型進(jìn)行分類統(tǒng)計(jì)。 通過查看統(tǒng)計(jì)到的事件類型協(xié)助用戶分析服務(wù)器在所選時(shí)間內(nèi)進(jìn)行的操作事件。 慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng) 39 以系統(tǒng)管理員 sysadmin 登錄系統(tǒng) ，鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄中的“統(tǒng)計(jì)分析 事件類型統(tǒng)計(jì)”菜單，進(jìn)入事件類型統(tǒng)計(jì)界面（默認(rèn)為全部服務(wù)器的“今天”的所有事件類型的統(tǒng)計(jì)）。 如何進(jìn)行統(tǒng)計(jì)分析 此項(xiàng) 設(shè)置方法 同 SQL操作類型統(tǒng)計(jì)中設(shè)置方法相同 。 如何查看分析結(jié)果 設(shè)置好查詢條件后，點(diǎn)擊 按鈕，統(tǒng)計(jì)結(jié)果 即顯示在下方 。 統(tǒng)計(jì)的結(jié)果分為 “ 事件 類型統(tǒng)計(jì)分析趨勢(shì)圖”和“ 事件 類型排名” 兩種方式展示。 事件 類型統(tǒng)計(jì)分析趨勢(shì)圖用來展示所選條件的 事件 類型按時(shí)間的統(tǒng)計(jì)趨勢(shì)，當(dāng)鼠標(biāo)放在趨勢(shì)圖節(jié)點(diǎn)時(shí)，會(huì)展示該節(jié)點(diǎn)所在時(shí)間的統(tǒng)計(jì)信息，如下圖所示： 事件 類型排名用來展示所統(tǒng)計(jì)的各個(gè) 事件 類型的排名、 事件 類型、百分比、總數(shù)。并且在各個(gè) 事件 類型后面有 鏈接，可用來查看所選 事件 類型的詳細(xì)的信息。 事件 類型統(tǒng)計(jì)分析趨勢(shì)圖和 事件 類型排名均有對(duì)比操作，如下圖所示，若點(diǎn)擊對(duì)比昨天： 慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng) 40 事件 類型統(tǒng)計(jì)分析趨勢(shì)圖中有所選時(shí)間和要對(duì)比時(shí)間的曲線 圖，其中較深顏色的曲線為所選時(shí)間 統(tǒng)計(jì) 曲線，較淺顏色曲線為要對(duì)比時(shí)間的 統(tǒng)計(jì) 曲線； 事件 類型排名中有百分比和總數(shù)的對(duì)比情況，且在數(shù)據(jù)前方有上升或者下降箭頭提示，其中黑色數(shù)據(jù)為所選時(shí)間的 事件 類型，灰色為要對(duì)比時(shí)間的相應(yīng)的 事件 類型，且在上方有日期提示。 流量統(tǒng)計(jì) 流量 統(tǒng)計(jì)主要是對(duì)各個(gè)審計(jì)服務(wù)器審計(jì)到的數(shù)據(jù) 的流量 ，按照 流量的 類型進(jìn)行分類統(tǒng)計(jì)。 通過查看統(tǒng)計(jì)到的流量類型協(xié)助用戶分析服務(wù)器在所選時(shí)間內(nèi)進(jìn)行的數(shù)據(jù)流量。 以系統(tǒng)管理員 sysadmin 登錄系統(tǒng) ，鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄中的“統(tǒng)計(jì)分析 流量統(tǒng)計(jì)”菜單，進(jìn)入流量統(tǒng)計(jì)界面（ 默認(rèn)為全部服務(wù)器的“今天”的所有流量的比特?cái)?shù)統(tǒng)計(jì)）。 如何進(jìn)行統(tǒng)計(jì)分析 此項(xiàng) 設(shè)置方法 同 SQL操作類型統(tǒng)計(jì)中設(shè)置方法相同 。 如何查看分析結(jié)果 設(shè)置好查詢條件后，點(diǎn)擊 按鈕，統(tǒng)計(jì)結(jié)果即顯示在下方。 統(tǒng)計(jì)的結(jié)果分為 “ 流量 統(tǒng)計(jì)分析趨勢(shì)圖”和“ 流量 排名” 兩種方式展示。 流量 統(tǒng)計(jì)分析趨勢(shì)圖用來展示所選條件的 流量 按時(shí)間的統(tǒng)計(jì)趨勢(shì)，當(dāng)鼠標(biāo)放在趨勢(shì)圖節(jié)點(diǎn)時(shí)，會(huì)展示該節(jié)點(diǎn)所在時(shí)間的統(tǒng)計(jì)信息，如下圖所示： 慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng) 41 流量 排名用來展示所統(tǒng)計(jì)的各個(gè) 流量 類型的排名、 流量 類型、百分比、總數(shù)。 流量 統(tǒng)計(jì)分析趨勢(shì)圖和 流量 排名均有對(duì)比操作， 而 且 按單位分為比特?cái)?shù)和包數(shù)兩種 對(duì)比情況 。 如下圖所示，若點(diǎn)擊對(duì)比昨天： 流量 統(tǒng)計(jì)分析趨勢(shì)圖中有所選時(shí)間和要對(duì)比時(shí)間的曲線圖，其中較深顏色的曲線為所選時(shí)間 統(tǒng)計(jì) 曲線，較淺顏色曲線為要對(duì)比時(shí)間的 統(tǒng)計(jì) 曲線； 流量 排名中有百分比和總數(shù)的對(duì)比情況，且在數(shù)據(jù)前方有上升或者下降箭頭