神州泰岳

产品介绍

Ultra-DBSensor系列产品紧密围绕着企业网络流量和内部运维这两大企业安全管控核心,推出了基于网络流量解析的Ultra-NetSensor、基于数据库访问审计的Ultra-DBSensor、基于网页应用操作的Ultra-WebSensor三大产品。其中,Ultra-DBSensor是一款稳定、可靠、高效综合数据库流量审计系统,通过对数据库数据的实时、全量采集,多种数据库协议数据的深度分析和上下行数据还原,各种数据库违规操作行为,数据篡改、泄露风险告警,以帮助数据库管理员掌控数据库真实状况,并及时发现、分析、定位问题,进行高效、精准的管理和维护。

优势特点

产品功能

适用场景

经典案例

神州泰岳

强大的日志分析报表

支持针对源、目的地址、起始时间、终止时间以及URL地址、关键字、操作命令等多条件灵活的日志查询; 灵活的分类智能报表功能,能够针对多种要素进行Top10排名,可导出pdf或html格式; 提供日志的手动和自动备份,手动和自动清除功能,支持离线日志查看功能。

数据库对象精准解析

对数据库网络访问对象名称进行精准识别,包括数据库服务器名称、IP地址、数据库名、表、视图、序列、包、存储过程、函数、库、索引、触发器等,以支持有效的制定告警策略。

数据库多语句有效分割

准确记录SQL的操作类型、SQL语句的数据库对象、执行成功与否、SQL语句影响行等,以此清楚切割多语句,准确识别SQL语句行为。

12种主流数据库解析

Ultra-DBSensor产品具备针对多种数据库访问行为的深度解析能力,支持Orcale、Cache、MySql、DB2、Sybase、PostgreSQL、Informix、Teradata、Dameng、Kingbase、GBase、SQL Server等。

数据库超长SQL完全解析

能够解析超过1460字节以上的SQL语句,支持超长SQL语句重组解析。

数据库双向审计

系统通过对双向数据包的解析、识别及还原,不仅对数据库操作请求进行实时审计,而且还可对数据库系统返回结果进行完整的还原和审计,包括数据库命令执行时长、执行的结果集等内容,以帮助审计人员判断敏感信息泄漏情况。

灵活、便捷的行为模型定义

Ultra-DBSensor不仅有预定义的行为特征库,而且支持用户自定义各类复杂的威胁模型,提升系统对未知威胁的检测。

流量完整记录

支持海量数据库数据流量完整记录,建立索引和元数据信息,以此支持数据挖掘和分析取证。

灵活的配置采集规则

系统支持以采集策略为单位,用户可在每条采集策略中对本策略配置协议类型、审计对象、审计内容关键字等条件进行全面设置。 审计对象包括源地址、目的地址、目的端口等。用户可根据具体情况定义所需的审计范围,有效克服安全审计的盲目性,提高安全审计的效率和准确率。同时可以在策略中忽略某些源或目的网段,以保护这些网络信息不受监测。 审计内容关键字包括数据库协议交互过程中敏感命令定义、敏感关键字、数据库表名定义等。如用户所访问数据库过程出现了敏感关键字的行为都会被记录,并恢复其详细内容。

旁路监听零干扰

通过在核心交换机设置端口镜像或TAP分流监听模式,不影响原有的网络访问结构和访问效果。

实时告警

检测到符合告警规则的可疑操作,系统将通过邮件、短信或Syslog的方式下发给安全负责人。

高性能、大规模网络流量采集与解析

Ultra-DBSensor产品具备超强的采集能力,提供了数据库链路全流量的采集、解析、存储、分析、输出等一系列能力,尤其面向大数据规模网络流量数据,Ultra-DBSensor拥有强悍的采集、识别、解析、处理能力。支持采用集线器HUB、交换机镜像、分接器TAP等多种采集方式,多采集引擎并行采集模式,大并发流量数据处理机制,大规模流量数据存储机制等,Ultra-DBSensor超强的技术能力大大降低丢包率,确保数据完整性。

企业数据库流量深度分析

Ultra-DBSensor产品针对多种协议实现了深度解析、高度还原能力,构建起了稳固的基础架构数据能力层,为上层的业务审计、数据库流量基线分析、用户访问行为分析、敏感数据分析等企业流量数据精准分析提供有力支撑。面向不同企业数据库流量审计业务需求,支持包括数据库访问行为解析能力、上层应用访问行为解析等能力。

企业业务实时动态审计

企业网络流量数据是能最真实反映企业网络流量状况、数据库流量状况、数据库访问情况等,追踪各种业务用户的实际操作行为,发现隐藏在正常数据之下的各种风险,输出多类型、多角度的企业数据库流量感知分析结果。Ultra-DBSensor更面向不同企业业务需求,基于多种企业业务实时、动态审计分析能力,提供更贴近企业网络的多种数据库流量审计功能。

企业数据库网络基线自学习分析

正常运行的企业数据库流量具有一定的规律性、稳定性,基于以上流量深度分析、面向企业数据库业务的实时动态审计能力,Ultra-DBSensor产品针对企业数据库流量,经过多个周期的采集、分析,基于自学习算法分类、比对、校正,结合企业业务网络实际情况,生成节点间的连接关系、流量大小、方向、包数、频率、时间、传输内容、访问调用关系等基准,建立企业数据库网络基线。

企业数据库流量采集、分析、输出

Ultra-DBSensor支持企业各类数据库协议流量采集能力,可对数据库网络行为进行监控,输出深度分析、动态实时审计能力的同时,可为多种数据挖掘系统、审计分析平台、态势感知平台等目标系统提供稳定数据源支持。

针对性数据策略,企业业务高度匹配

面向复杂的企业数据库流量信息,各种企业业务系统,多元用户、资产、权限数据,Ultra-DBSensor提供灵活的数据库流量策略配置能力,支持数据库策略配置、业务用户对象管理、业务主机对象管理、业务系统对象管理等。更精准的匹配企业业务,输出更准确的分析结果,更贴近核心需求的价值能力。

多元素、多维度关联审计,构建用户操作链

Ultra-DBSensor支持在采集数据库流量后进行信息补全,通过流量上行数据关联帐号、身份,以便审计追责,通过下行流量数据分析敏感操作、越权操作等异常用户行为,数据关联分析后形成完整的用户操作链,侦测异常行为,追溯相应责任。

数据库风险发现

针对多种主流数据库指令、返回结果精准解析、完美还原,基于数据库性能、访问路径、访问方式、访问源等分析结果信息,以及多周期构建的数据库基线分析模型,发现数据库异常访问、数据库异常链接等情况,以及口令破解等攻击行为,输出企业数据库安全风险。同时,通过对数据库流量中的操作分析,分析数据库承载的业务以及压力,为数据库优化提供思路和方向。

数据库状况监控

Ultra-DBSensor通过采集数据库网络流量,以及数据库网络基线分析能力,对流量进行实时监控,发现数据库网络异常并输出相应告警。

经典案例

中国移动

合作背景

随着网络的迅速发展,多样化、飞速迭代的技术在带来智能、便捷的同时,也带来了诸多严重的安全问题。现如今,企业不仅仅需要面对逐渐升级的企业外部攻击,例如各种各样的互联网攻击行为,同时,也不得不面对不断复杂化的企业内部威胁,例如内部员工访问非法站点,传递和发布非法信息,或是企业网络内的资源滥用、数据泄露等安全问题。

企业信息系统进行对外服务和内部运行时,用户进行维护操作和日常工作时,大部分行为会通过网络流量真实体现。通过对网络流量的全量捕获、深度分析、周期存储可以实现一系列异常监测、操作审计、网络监控等安全功能,在未来很长一段时间内,网络流量审计仍然是最简便、最主流的安全审计手段之一。但是随着信息架构的创新化、业务模式的多样化、内外部攻击行为的复杂化与隐蔽化,传统的基于流量内容分析的手段已不能完全达到企业安全审计目的。

泰岳安全公司基于企业安全特点,将网络流量审计手段进行了从点到面的全面升级,基于网络流量采集、识别、解析等流量处理技术,信息清洗、标准化、补全、标签化等数据处理技术,访问行为审计、操作行为审计等安全审计技术,以及网络基线模型、资产关联模型等信息分析技术,实现全网络多种协议深度解析还原能力,建立了集网络流量解析、分析、记录、审计为一体的网络流量综合审计系统。用来帮助用户实现事前规划预防,事中实时监测、违规行为告警,事后合规报告、事故追踪溯源等能力。在性能方面基于国际先进的采集技术,自主创新设计了网络包采集算法,实现了深度挖掘高性能、硬件级计算能力,使流量数据采集性能实现10G/40G网络的采集能力,达到了业内领先水平。

客户价值

设计了灵活的采集、存储、配置策略及丰富的对象管理功能,基于流量的企业用户数据库行为分析功能,精准的敏感数据分析功能,多角度流量态势视图及简便易用的报表视图任务设置功能,数据库流量日志审计等多种功能模块,为企业用户提供了丰富、精准、智能的数据库流量审计能力。

  

技术方案

Ultra-DBSensor数据库流量审计系统,首先针对企业网络中数据库流量,基于高效采集算法支撑,深度挖掘高性能、硬件级计算能力,实现10G/40G网络数据采集能力,同时,实现Ultra-DBSensor实时、高效、精准的数据库流量多种协议深度解析、上下行还原能力,达到了业内领先水平。

Ultra-DBSensor支持旁路独立部署,将Ultra-DBSensor设备部署在内网所有网络可达的网段中,用户可在任意位置以WEB页面形式登录访问平台。这种部署方式避免了审计设备影响原有的网络访问结构和访问效果。

应用场景