目前市場(chǎng)上的數(shù)據(jù)庫審計(jì)產(chǎn)品的風(fēng)險(xiǎn)規(guī)則大多是到SQL語句和語句模板層級(jí)，918搏天堂在與客戶的不斷接觸中，發(fā)現(xiàn)會(huì)存在有些場(chǎng)景下用戶更關(guān)注數(shù)據(jù)庫中敏感對(duì)象的訪問行為的現(xiàn)象，這些敏感對(duì)象可能是數(shù)據(jù)庫、表，甚至字段（列），這對(duì)審計(jì)粒度來說提出更高挑戰(zhàn)。

面對(duì)上述挑戰(zhàn)，918搏天堂研發(fā)人員通過全新的數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)和數(shù)據(jù)處理邏輯設(shè)計(jì)，提供了基于數(shù)據(jù)庫表級(jí)別的對(duì)象統(tǒng)計(jì)和分析能力。第一、在新的數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)中，充分考慮到不同數(shù)據(jù)庫中表對(duì)象屬主的定義范圍差異，如Oracle和SQL Server有Schema的概念，Oracle的Instance，MySQL的庫概念等，設(shè)計(jì)了目前相對(duì)覆蓋元素較多的一種數(shù)據(jù)庫表對(duì)象Owner機(jī)制，即以“DBname+Schema@(DBIP+Port+Instance)”多個(gè)字段的組合方式，基本覆蓋常用關(guān)系型數(shù)據(jù)庫形態(tài)。第二、針對(duì)Oracle RAC集群和MySQL Proxy類集群的應(yīng)用場(chǎng)景，將多個(gè)數(shù)據(jù)庫IP和端口組合成一個(gè)數(shù)據(jù)庫來分析，避免因過于細(xì)致的屬主劃分粒度帶來同一表對(duì)象統(tǒng)計(jì)數(shù)據(jù)的分散。

DBAudit在指定的屬主范圍內(nèi)，會(huì)將動(dòng)態(tài)請(qǐng)求而產(chǎn)生的SQL語句以表對(duì)象為單位統(tǒng)計(jì)，且依托訪問表對(duì)象時(shí)的SQL語句解析，提供了“表對(duì)象-操作類型-SQL語句流水”和“表對(duì)象-語句模板-SQL語句流水”的兩種鉆取分析路徑。

對(duì)解析出的表根據(jù)數(shù)據(jù)分析可標(biāo)記為敏感表對(duì)象，然后可以對(duì)一批敏感表對(duì)象做訪問行為的軌跡分析，比如該表對(duì)象被哪個(gè)訪問源（客戶端IP、數(shù)據(jù)庫用戶）訪問、哪個(gè)客戶端工具所訪問以及整體的訪問頻度分布情況，快速定位該敏感對(duì)象從哪些位置進(jìn)行訪問。

從操作類型角度，表對(duì)象經(jīng)常會(huì)以什么樣的方式被訪問，訪問頻次怎樣；從語句模板角度，表對(duì)象經(jīng)常會(huì)被什么樣的語句模板來訪問，做到這一層級(jí)，思路再往前一步，假定該表對(duì)象出現(xiàn)了新的訪問類型（如經(jīng)常SELECT的表對(duì)象突然出現(xiàn)了DELETE的操作行為），或者表對(duì)象出現(xiàn)了一種新的語句訪問模型（如出現(xiàn)了一種新的語句模板），是否疑似為非正常訪問動(dòng)作？當(dāng)功能演進(jìn)到該階段，是否像有些行為模型的分析？是的，這就是我們正在完善的審計(jì)系統(tǒng)訪問行為模型。

作為數(shù)據(jù)安全領(lǐng)域的領(lǐng)跑者，我們將繼續(xù)深耕，不斷挖掘產(chǎn)品新的價(jià)值點(diǎn)，正是憑著這種敢于向技術(shù)壁壘發(fā)起攻堅(jiān)、敢于突破自我的精神，才能打磨出具有領(lǐng)先性和前瞻性的成熟產(chǎn)品。