产品预告:带“千里眼”黑科技的数据库审计

发布时间:2020-11-04

如果在几个月后,市场上出现了一款带有高级显卡(GPU)的数据库审计产品,请不要吃惊。其内置的显卡不是用来打游戏的,而是用于运行矩阵运算的。这张显卡使数据库产品拥有了“千里眼”黑科技。


所谓的“千里眼”,是指其具有三层关联分析、甚至多层关联分析的能力。


下面用简图给大家做个说明:

通过这种能力,可以翻越过中间件和Web应用系统,让数据库侧的访问行为和中间件端、Web服务器端的访问行为形成对齐式的关联,进行业务审计。


这个功能对于数据安全非常重要。比如说,当数据审计系统在DB流量端发现了Sql注入、拖库等可疑行为,我们需要知道这个行为是由应用流量端的哪个行为触发的,希望抓住真正的“凶手”,这时候,就需要三层关联分析这个“千里眼”。


这个难题横亘在数据库审计厂家面前已经很多年了。业界过去的做法是通过安装插件给应用打个补丁,用这样的方式输出关联信息,甚至是迫不得已的时候要修改应用程序,但是这样的方式在成本、实施可行性、兼容性、安全性等方面具有显著的缺陷。


现在来看看这个难题是如何被我们解决的吧。概括的说,我们基于深度学习的人工智能技术,将多层关联、异常识别等任务,转变为机器学习问题,这些问题被矩阵运算解决。这些矩阵运算很难用常规CPU实现,所以我们使用了专门进行矩阵运算的GPU(显卡)。

深度学习最被人们熟知的成果就是围棋机器人AlphaGo,它的棋力远远超过人类。除了下棋以外,深度学习在人脸识别、自动驾驶、语言翻译等方面取得了令人难以置信的成果。我们将深度学习用于三层关联分析问题上时,其实就是让Http语言和Sql语言之间发现关联关系。这个很像语言翻译:一边是Http语言,一边是Sql语言。不同之处在于这个过程是完全无监督的,也就是说没有任何样本标记哪条Http触发了哪条Sql。深度学习模型需要持续对两边的流量进行学习,发现两种语言的关联关系,使自己变得越来越聪明,输出的识别结果才会越来越准确。


相比之前的技术手段,这种方法是完全无侵入的:不需要在Web服务器上安装插件,也不需要对应用系统进行修改,而且还可以扩展到四层,甚至更多层的服务关联问题。


据预研组的测试数据,在高并发的情况下,识别的准确率也能够达到95%以上。现在我们在加班加点的赶进度,力争早日让产品面世。


中安威士:保护核心数据,捍卫网络安全


上一条:小威解说静态脱敏新玩法——中安威士静态脱敏又双叒叕领先创新(二) 下一条: 中安威士入选2020中国网络安全企业100强