安华金和的数据库防火墙产品中引入了学习期概念，在数据库审计中也构建了全新的学习期，具体是怎么实现的？首先针对每个被审计数据库分别设置学习期，然后利用数据库审计系统一贯擅长的数据统计分析能力，参与建模的元素更广、行为模型的范围更大，以此来为用户的安全审计提供更全面的模型参考。比如以敏感对象表元素频度访问、敏感对象的操作类型、访问源的行为、去参数化的语句模板、去参数化的应用URL行为等，通过一定组合方式，形成多样的数据分析模型。

上文提到的敏感对象表经常被访问的访问源、敏感对象表日常被访问的频次和时间周期分布情况、敏感对象被访问的操作类型情况，这些都将成为行为模型的分析元素。此外，还有去参数化的语句模板、去参数化的应用URL行为等，通过一定组合方式，形成多样的数据分析模板。

安华金和数据库审计(DBAudit)在引入以应用为视角的审计后，进一步丰富了审计的输出元素：

图：以数据库为切入点和以应用为切入点各自审计的元素组合

一个成熟的业务生产系统，功能模块相对稳定，具体到每个访问行为，其产生的SQL语句模板也想对固定。反之，一个SQL语句模板被业务系统请求的来源也相对固定，可见，在一个稳定运行的业务系统中，应用访问行为与SQL语句模板存在相对稳定的对应关系；无论应用访问行为出现了新的语句模板，或者产生的语句模板出现了新的应用请求来源，都可能成为可疑的访问行为。比较典型的应用场景：SQL注入伪装成正常的数据访问，但在行为模型中发现业务系统应用请求中出现了新的词语，产生疑似非法操作的告警，从而解决SQL注入的风险。

DBAudit的数据分析能力除了在审计系统上得到应用外，还将为防护类产品提供策略设置参考，如针对敏感对象设置访问来源、操作行为、应用URL、时间周期等元素设置防火墙的拦截策略，针对敏感对象梳理结果设置动态访问脱敏策略，这些将在新的集群管理系统中被串接起来，多个产品的联合形成从敏感数据的识别、分析、建模、到安全使用防护的全过程；这些也将成为UEBA模型的数据来源，以及数据资产梳理系统（DBCarding）数据资产动态梳理的来源。

作为数据安全领域的领跑者，我们将继续深耕，不断挖掘产品新的价值点，正是凭着这种敢于向技术壁垒发起攻坚、敢于突破自我的精神，才能打磨出具有领先性和前瞻性的成熟产品。