CN110059480A - 网络攻击行为监控方法、装置、计算机设备及存储介质 - Google Patents

网络攻击行为监控方法、装置、计算机设备及存储介质 Download PDF

Info

Publication number
CN110059480A
CN110059480A CN201910188329.8A CN201910188329A CN110059480A CN 110059480 A CN110059480 A CN 110059480A CN 201910188329 A CN201910188329 A CN 201910188329A CN 110059480 A CN110059480 A CN 110059480A
Authority
CN
China
Prior art keywords
database
model
statement
historical data
data base
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910188329.8A
Other languages
English (en)
Inventor
谢家杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
OneConnect Smart Technology Co Ltd
Original Assignee
OneConnect Smart Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by OneConnect Smart Technology Co Ltd filed Critical OneConnect Smart Technology Co Ltd
Priority to CN201910188329.8A priority Critical patent/CN110059480A/zh
Publication of CN110059480A publication Critical patent/CN110059480A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明实施例公开了一种网络攻击行为监控方法、装置、计算机设备及存储介质,其中所述方法包括从数据库日志中提取若干历史数据库语句作为数据样本集;利用机器学习算法对所述数据样本集进行特征分类分析以得到相应的格式化处理模型以及多个不同类型的数据库语句模型;实时监控数据库日志,以在检测到数据库日志更新时,获取实时更新的待测数据库语句;利用所述格式化处理模型将所获取的待测数据库语句进行转换以得到目标语句;若所述目标语句与模型库中的所有类型的数据库语句模型均不相匹配,判定存在网络攻击行为。本发明可以通过机器学习算法得到相应的数据库语句模型,并以此快速有效地识别网络攻击行为,提高了用户的使用体验度。

Description

网络攻击行为监控方法、装置、计算机设备及存储介质
技术领域
本发明涉及人工智能领域,尤其涉及一种网络攻击行为监控方法、装置、计算机设备及存储介质。
背景技术
数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。在数据库中大量数据集中存放,并为许多最终用户直接共享,从而使数据库的安全性问题更为突出。目前常见的黑客攻击是通过应用程序向数据库中插入攻击代码,而现有的设备应用对黑客攻击的防范有限。其中,常用的防范方法包括对常见关键字符进行正则匹配,该方法容易拦截正常业务等。另外,还可以采用不定期更新官方规则库的保护方法,但其与数据库自身业务相冲突。
发明内容
本发明实施例提供一种网络攻击行为监控方法、装置、计算机设备及存储介质,能够快速有效地识别攻击行为,减少对正常业务的影响,提高了用户的使用体验度。
第一方面,本发明实施例提供了一种网络攻击行为监控方法,该方法包括:
从数据库日志中提取若干历史数据库语句作为数据样本集;
利用机器学习算法对所述数据样本集进行特征分类分析以得到相应的格式化处理模型以及多个不同类型的数据库语句模型,其中,多个不同类型的数据库语句模型构成一模型库;
实时监控数据库日志,以在检测到数据库日志更新时,获取实时更新的待测数据库语句;
利用所述格式化处理模型将所获取的待测数据库语句进行转换以得到目标语句;
若所述目标语句与模型库中的所有类型的数据库语句模型均不相匹配,判定存在网络攻击行为。
第二方面,本发明实施例还提供了一种网络攻击行为监控装置,该装置包括:
提取单元,用于从数据库日志中提取若干历史数据库语句作为数据样本集;
训练单元,用于利用机器学习算法对所述数据样本集进行特征分类分析以得到相应的格式化处理模型以及多个不同类型的数据库语句模型,其中,多个不同类型的数据库语句模型构成一模型库;
监控单元,用于实时监控数据库日志,以在检测到数据库日志更新时,获取实时更新的待测数据库语句;
转换单元,用于利用所述格式化处理模型将所获取的待测数据库语句进行转换以得到目标语句;
判定单元,用于若所述目标语句与模型库中的所有类型的数据库语句模型均不相匹配,判定存在网络攻击行为。
第三方面,本发明实施例还提供了一种计算机设备,其包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现上述方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序当被处理器执行时可实现上述方法。
本发明实施例提供了一种网络攻击行为监控方法、装置、计算机设备及存储介质。其中,所述方法包括:从数据库日志中提取若干历史数据库语句作为数据样本集;利用机器学习算法对所述数据样本集进行特征分类分析以得到相应的格式化处理模型以及多个不同类型的数据库语句模型;实时监控数据库日志,以在检测到数据库日志更新时,获取实时更新的待测数据库语句;利用所述格式化处理模型将所获取的待测数据库语句进行转换以得到目标语句;若所述目标语句与模型库中的所有类型的数据库语句模型均不相匹配,判定存在网络攻击行为。本发明实施例通过机器学习算法对历史数据库语句进行处理以得到相应的数据库语句模型,并将数据库语句模型与格式化转变后的实时获取的待测数据库语句进行匹配比较,可快速有效地识别攻击行为,减少对正常业务的影响,提高了用户的使用体验度。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种网络攻击行为监控方法的流程示意图;
图2是本发明实施例提供的一种网络攻击行为监控方法的子流程示意图;
图3是本发明实施例提供的一种网络攻击行为监控方法的子流程示意图;
图4是本发明实施例提供的一种网络攻击行为监控方法的子流程示意图;
图5是本发明实施例提供的一种网络攻击行为监控装置的示意性框图;
图6是本发明实施例提供的一种网络攻击行为监控装置的提取单元的示意性框图;
图7是本发明实施例提供的一种网络攻击行为监控装置的训练单元的另一示意性框图;
图8是本发明实施例提供的一种网络攻击行为监控装置的监控单元的示意性框图;
图9是本发明实施例提供的一种计算机设备结构组成示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
请参阅图1,图1是本发明实施例提供的一种网络攻击行为监控方法的示意流程图。该方法可以运行在智能手机(如Android手机、IOS手机等)、平板电脑、笔记本电脑以及智能设备等终端中。具体的,本实施例中的方法能够跳过前置设备,直接从数据库日志中查找已执行的历史数据库语句,并通过历史数据库语句对机器学习算法进行训练以得到格式化处理模型以及数据库语句模型,以便于确定实时获取的数据库语句是否为能够进行网络攻击的语句。如图1所示,该方法的步骤包括步骤S101~S104。
步骤S101,从数据库日志中提取若干历史数据库语句作为数据样本集。
在本实施例中,现在的数据库系统(Oracel、DB2、MS sql、Mysql等)都支持多用户,所有的数据库系统(包括Exchange),都是把数据先写到日志中,等某个时机(比如:确认Commit)后再写到数据库记录中,数据库日志是数据库最重要的数据之一。用户访问数据库的请求通常都会经过数据库的前置设备才能达到数据库,其中,前置设备泛指软硬件,比如Web前端、Web防火墙、Web后端、硬件防火墙、IDS、IPS等等。例如,对于搜索功能而言,当搜索请求经过前置设备达到数据库之后,会执行相应的搜索的语句,然后将搜索的结果返回给到前端设备进行展示;此时,数据库日志则会记录一条关于搜索的数据库语句,该数据库语句即为最终被执行的形态。
作为另一实施例,如图2所示,所述数据样本集包括多个子数据样本集,所述步骤S101可以包括步骤S201~S203。
步骤S201,从数据库日志中随机读取若干历史数据库语句。
在本实施例中,数据库日志包括多个历史数据库语句,为了确保后续处理的精确性,一般会选择随机抽取若干历史数据库语句,例如为了使得后续的机器学习算法的分析更为精准,可随机抽取1000条以上的历史数据库语句,也就是说可以抽取5000条历史数据库语句,还可以抽取10000条历史数据库语句,当然,还可以是其他数量的历史数据库语句。作为可选的,可以随机抽取30天以上的数据库语句,其中,数据库日志中每天记录的数据库语句可以包括多条,随机抽取30天以上的数据库语句具体包括抽取的30天以上的记录在数据库中的所有的数据库语句;当然,还可以只要历史数据库语句的数量符合达到用户的需求,也可以选择抽取少于30天的记录在数据库中的数据库语句。
步骤S202,根据历史数据库语句的业务属性对所有的历史数据库语句进行分类,不同的业务属性对应不同的历史数据库语句类型。
在本实施例中,对于不同的业务请求,会生成不同的数据库语句,为了准确地进行分析,可以根据历史数据库语句的业务属性对所有的历史数据库语句进行分类。同时,不同的业务所述对应不同的历史数据库语句的类型,例如,对于搜索业务请求,与其相应的历史数据库语句即为搜索类历史数据库语句,具体可以是“搜素”、“查询”等相关的数据语句;对于产品销售请求,与其相应的历史数据库语句即为销售类历史数据库语句,具体可以是跟“查询商品”“下订单”“付款”等相关的数据库语句。
步骤S203,将每类历史数据库语句分别确定为一个子数据样本集。
在本实施例中,为了便于处理,需要将每类历史数据库语句分别存储到相应的子数据样本集中。也即一个子数据样本集包括同一类历史数据库语句。
作为另一实施例,如图3所示,所述数据样本集包括多个子数据样本集,所述步骤S101可以包括步骤S301~S303。
步骤S301,从数据库日志中随机读取若干历史数据库语句。
在本实施例中,数据库日志包括多个历史数据库语句,为了确保后续处理的精确性,一般会选择随机抽取若干历史数据库语句,例如为了使得后续的机器学习算法的分析更为精准,可随机抽取1000条以上的历史数据库语句,也就是说可以抽取5000条历史数据库语句,还可以抽取10000条历史数据库语句,当然,还可以是其他数量的历史数据库语句。作为可选的,可以随机抽取30天以上的数据库语句,其中,数据库日志中每天记录的数据库语句可以包括多条,随机抽取30天以上的数据库语句具体包括抽取的30天以上的记录在数据库中的所有的数据库语句;当然,还可以只要历史数据库语句的数量符合达到用户的需求,也可以选择抽取少于30天的记录在数据库中的数据库语句。
步骤S302,利用朴素贝叶斯分类算法对所有的历史数据库语句进行分类。
其中,朴素贝叶斯法是基于贝叶斯定理与特征条件独立假设的分类方法,在本实施例中,利用朴素贝叶斯分类算法对所有的历史数据库语句进行统计分析进而实现特征分类,即将属于同一类型的历史数据库语句归到一起成为一个集合,例如,跟搜索有关的历史数据库语句可以被归类一个集合,跟销售有关的历史数据库语句也可以被归类为一个集合。最为广泛的两种分类模型是决策树模型和朴素贝叶斯模型。和决策树模型相比,朴素贝叶斯分类发源于古典数学理论,有着坚实的数学基础,和稳定的分类效率。同时,朴素贝叶斯模型所需的参数很少,对缺失数据不太敏感,算法也比较简单。理论上,朴素贝叶斯模型与其他分类方法相比具有最小的误差率。利用朴素贝叶斯分类算法可以对数据样本集进行分类处理,即得到不同类的子数据样本集,可以提高分类的准确度。
步骤S303,将每类历史数据库语句分别确定为一个子数据样本集。
在本实施例中,为了便于处理,需要将每类历史数据库语句分别存储到相应的子数据样本集中。也即一个子数据样本集包括同一类历史数据库语句。
步骤S102,利用机器学习算法对所述数据样本集进行特征分类分析以得到相应的格式化处理模型以及多个不同类型的数据库语句模型,其中,多个不同类型的数据库语句模型构成一模型库。
在本实施例中,机器学习算法是一类从数据中自动分析获得规律,并利用规律对未知数据进行预测的算法。在本申请中,此处的机器学习算法主要用于对数据样本中的各个数据库语句进行特征提取和分类,从而得以能够对各个特征进行提取以及格式化处理的格式化处理模型,并以此得到多个不同类型的数据库语句模型,如跟搜索类相对应的数据库语句模型,还有销售类相对应的数据库语句模型。其中格式化处理模型能够对数据库语句中的不同类的特征进行相应的分析转换,以得到相应的数据库语句模型,即不同类的特征对应不同的转换标记,数据库语句模型即由不同的转换标记组成。为了便于使用,通常会将多个不同类型的数据库语句模型集合成一个模型库,以便于用户进行调用处理。
在另一实施例中,如图4所示,所述数据样本集包括多个子数据样本集,所述步骤S102可以包括步骤S401~S402。
步骤S401,利用机器学习算法对不同的子数据样本集分别进行特征提取并分类以得到相应的格式化处理模型,其中不同类的特征对应地设置有不同的转换标记。
其中,利用机器学习算法对每个子数据样本集进行特征提取并分类后,能够更为准确地确定某一特定的业务请求的特征,进而得到相应的格式化处理模型,所述格式化处理模型可用于对数据库语句进行格式化处理,而每个子数据样本集进行特征提取并分类后,还可以对不同类的特征对应地设置有不同的转换标记,以便于后续的数据库语句模型的确定。
步骤S402,根据每个子数据样本集中的历史数据库语句的特征以及相应的转换标记将历史数据库语句进行转换以得到多个不同类型的数据库语句模型。
其中,为了确定数据库语句模型,可以将对每个子数据样本集所对应的特征进行格式化处理从而得到多个不同类型的数据库语句模型。例如,对于提取出正常业务的数据库语句模型,可以输入“基于该业务的数据库语句”并将其进行格式化转变。具体的:
a、可将提取的特征“select”、“from”、“order”等关键词转变为“AAAAAA”、“AAAA”、“AAAAA”;
b、可将字母“ABC”、“TT”转变为“BBB”、“BB”;
c、可将数字+字母“ABC123”、“TT1234”、“12aBc”转变为“CCCCCC”、“CCCCCC”、“CCCCC”
d、可将数字“1”、“123”、“3333”转变为“D”、“DDD”、“DDDD”
e、可将符号“=”、“&&”、“’”转变为“E”、“EE”、“E”
f、故可将“select username from admin where id=1”转变为“AAAAAABBBBBBBB AAAA BBBBB AAAAA BB E D”,并称为正常业务的数据库语句模型,存于模型库中。
步骤S103,实时监控数据库日志,以在检测到数据库日志更新时,获取实时更新的待测数据库语句。
在本实施例中,为了对数据库的安全进行更为全面的保护,需要实时监控数据库日志的更新情况,当检测到数据库日志发生更新,此时需要获取实时更新的待测数据库语句以便进行分析处理,从而避免数据库遭受不必要的攻击。
步骤S104,利用所述格式化处理模型将所获取的待测数据库语句进行转换以得到目标语句。
在本实施例中,为了便于处理,需要利用通过机器学习算法进行学习训练得到的格式化处理模型对所获取的待测数据库语句进行格式化处理和转换,经格式化处理后的待测数据库语句则变为了目标语句,此时需要对目标语句进行相应的判断。
步骤S105,若所述目标语句与模型库中的所有类型的数据库语句模型均不相匹配,判定存在网络攻击行为。
在本实施例中,若所述目标语句与模型库中的所有类型的数据库语句模型均不相匹配,则表明此时所获取的数据库语句并不符合预期的条件,是与相应的业务请求都不符合的数据库语句,即可以判定此时存在网络攻击行为,此时则需要对该语句进行相应的处理,以避免不必要的损失。
作为进一步的实施例,所述方法中的步骤S105之后还可以包括:
步骤S106,返回所述目标语句对应的待测数据库语句以供用户进行查看。
在本实施例中,若发现非预期的数据库语句,需要及时将所述目标语句对应的数据库语句返回给到相关人员查看,以便于安全问题的定位和解决,此时的所述目标语句对应的数据库语句即为上述实时获取的数据库语句。
具体的,例如,对于业务请求为产品销售,可以随机抽取30天以上的数据库语言,通过机器学习算法处理后,将其进行格式化转变,形成基于该产品销售业务的数据库语句模型,并放于模型库中;然后实时监控数据库日志,若发现数据库执行的数据库语句与模型库中的数据库语句模型匹配不上,则并返回原始的数据库语句,以便用户定位安全问题。
作为进一步的实施例,所述方法还可以包括:
步骤S107,若所述目标语句与模型库中的任一数据库语句模型相匹配,则判定不存在网络攻击行为。
在本实施例中,若所述目标语句与模型库中的任一数据库语句模型相匹配,则表明此时的待测数据库语句为预期的数据库语句,此时数据库语句执行过程中不会对数据库的安全产生影响,故可以判定此时是不存在网络攻击行为的。
另外,为了进一步地使得数据库语句模型更为精准,可以定期对模型库中的数据库语句模型进行更新,从而实现对数据库更好的保护,维护数据库的安全。
综上,本发明实施例通过机器学习算法对历史数据库语句进行处理以得到相应的数据库语句模型,并将数据库语句模型与格式化转变后的实时获取的待测数据库语句进行匹配比较,可快速有效地识别网络攻击行为,减少对正常业务的影响,提高了用户的使用体验度。
本领域普通技术员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等。
请参阅图5,对应上述一种网络攻击行为监控方法,本发明实施例还提出一种网络攻击行为监控装置,该网络攻击行为监控装置可以配置于台式电脑、平板电脑、手提电脑等终端中。该装置100包括:提取单元101、训练单元102、监控单元103、转换单元104以及判定单元105。
所述提取单元101,用于从数据库日志中提取若干历史数据库语句作为数据样本集。
在本实施例中,现在的数据库系统(Oracel、DB2、MS sql、Mysql等)都支持多用户,所有的数据库系统(包括Exchange),都是把数据先写到日志中,等某个时机(比如:确认Commit)后再写到数据库记录中,数据库日志是数据库最重要的数据之一。用户访问数据库的请求通常都会经过数据库的前置设备才能达到数据库,其中,前置设备泛指软硬件,比如Web前端、Web防火墙、Web后端、硬件防火墙、IDS、IPS等等。
作为另一实施例,如图2所示,所述数据样本集包括多个子数据样本集,所述提取单元101可以包括读取单元201、第一分类单元202以及确定单元203。
所述读取单元201,用于从数据库日志中随机读取若干历史数据库语句。
在本实施例中,数据库日志包括多个历史数据库语句,为了确保后续处理的精确性,一般会选择随机抽取若干历史数据库语句,例如为了使得后续的机器学习算法的分析更为精准,可随机抽取1000条以上的历史数据库语句,也就是说可以抽取5000条历史数据库语句,还可以抽取10000条历史数据库语句,当然,还可以是其他数量的历史数据库语句。作为可选的,可以随机抽取30天以上的数据库语句,其中,数据库日志中每天记录的数据库语句可以包括多条,随机抽取30天以上的数据库语句具体包括抽取的30天以上的记录在数据库中的所有的数据库语句;当然,还可以只要历史数据库语句的数量符合达到用户的需求,也可以选择抽取少于30天的记录在数据库中的数据库语句。
所述第一分类单元202,用于根据历史数据库语句的业务属性对所有的历史数据库语句进行分类,不同的业务属性对应不同的历史数据库语句类型。
在本实施例中,对于不同的业务请求,会生成不同的数据库语句,为了准确地进行分析,可以根据历史数据库语句的业务属性对所有的历史数据库语句进行分类。同时,不同的业务所述对应不同的历史数据库语句的类型,例如,对于搜索业务请求,与其相应的历史数据库语句即为搜索类历史数据库语句,具体可以是“搜素”、“查询”等相关的数据语句;对于产品销售请求,与其相应的历史数据库语句即为销售类历史数据库语句,具体可以是跟“查询商品”“下订单”“付款”等相关的数据库语句。
所述确定单元203,用于将每类历史数据库语句分别确定为一个子数据样本集。
在本实施例中,为了便于处理,需要将每类历史数据库语句分别存储到相应的子数据样本集中。也即一个子数据样本集包括同一类历史数据库语句。
作为另一实施例,如图3所示,所述数据样本集包括多个子数据样本集,所述提取单元101可以包括读取单元301、第二分类单元302以及确定单元303。
所述读取单元301,用于从数据库日志中随机读取若干历史数据库语句。
在本实施例中,数据库日志包括多个历史数据库语句,为了确保后续处理的精确性,一般会选择随机抽取若干历史数据库语句,例如为了使得后续的机器学习算法的分析更为精准,可随机抽取1000条以上的历史数据库语句,也就是说可以抽取5000条历史数据库语句,还可以抽取10000条历史数据库语句,当然,还可以是其他数量的历史数据库语句。作为可选的,可以随机抽取30天以上的数据库语句,其中,数据库日志中每天记录的数据库语句可以包括多条,随机抽取30天以上的数据库语句具体包括抽取的30天以上的记录在数据库中的所有的数据库语句;当然,还可以只要历史数据库语句的数量符合达到用户的需求,也可以选择抽取少于30天的记录在数据库中的数据库语句。
所述第二分类单元302,用于利用朴素贝叶斯分类算法对所有的历史数据库语句进行分类。
其中,朴素贝叶斯法是基于贝叶斯定理与特征条件独立假设的分类方法,在本实施例中,利用朴素贝叶斯分类算法对所有的历史数据库语句进行统计分析进而实现特征分类,即将属于同一类型的历史数据库语句归到一起成为一个集合,例如,跟搜索有关的历史数据库语句可以被归类一个集合,跟销售有关的历史数据库语句也可以被归类为一个集合。最为广泛的两种分类模型是决策树模型和朴素贝叶斯模型。和决策树模型相比,朴素贝叶斯分类发源于古典数学理论,有着坚实的数学基础,和稳定的分类效率。同时,朴素贝叶斯模型所需的参数很少,对缺失数据不太敏感,算法也比较简单。理论上,朴素贝叶斯模型与其他分类方法相比具有最小的误差率。利用朴素贝叶斯分类算法可以对数据样本集进行分类处理,即得到不同类的子数据样本集,可以提高分类的准确度。
所述确定单元303,用于将每类历史数据库语句分别确定为一个子数据样本集。
在本实施例中,为了便于处理,需要将每类历史数据库语句分别存储到相应的子数据样本集中。也即一个子数据样本集包括同一类历史数据库语句。
所述训练单元102,用于利用机器学习算法对所述数据样本集进行特征分类分析以得到相应的格式化处理模型以及多个不同类型的数据库语句模型,其中,多个不同类型的数据库语句模型构成一模型库。
在本实施例中,机器学习算法是一类从数据中自动分析获得规律,并利用规律对未知数据进行预测的算法。在本申请中,此处的机器学习算法主要用于对数据样本中的各个数据库语句进行特征提取和分类,从而得以能够对各个特征进行提取以及格式化处理的格式化处理模型,并以此得到多个不同类型的数据库语句模型,如跟搜索类相对应的数据库语句模型,还有销售类相对应的数据库语句模型。其中格式化处理模型能够对数据库语句中的不同类的特征进行相应的分析转换,以得到相应的数据库语句模型,即不同类的特征对应不同的转换标记,数据库语句模型即由不同的转换标记组成。为了便于使用,通常会将多个不同类型的数据库语句模型集合成一个模型库,以便于用户进行调用处理。
在另一实施例中,如图4所示,所述数据样本集包括多个子数据样本集,所述训练单元102可以包括学习单元401以及处理单元402。
学习单元401,用于利用机器学习算法对不同的子数据样本集分别进行特征提取并分类以得到相应的格式化处理模型,其中不同类的特征对应地设置有不同的转换标记。
其中,利用机器学习算法对每个子数据样本集进行特征提取并分类后,能够更为准确地确定某一特定的业务请求的特征,进而得到相应的格式化处理模型,所述格式化处理模型可用于对数据库语句进行格式化处理,而每个子数据样本集进行特征提取并分类后,还可以对不同类的特征对应地设置有不同的转换标记,以便于后续的数据库语句模型的确定。
处理单元402,用于根据每个子数据样本集中的历史数据库语句的特征以及相应的转换标记将历史数据库语句进行转换以得到多个不同类型的数据库语句模型。
其中,为了确定数据库语句模型,可以将对每个子数据样本集所对应的特征进行格式化处理从而得到多个不同类型的数据库语句模型。例如,对于提取出正常业务的数据库语句模型,可以输入“基于该业务的数据库语句”并将其进行格式化转变。具体的:
a、可将提取的特征“select”、“from”、“order”等关键词转变为“AAAAAA”、“AAAA”、“AAAAA”;
b、可将字母“ABC”、“TT”转变为“BBB”、“BB”;
c、可将数字+字母“ABC123”、“TT1234”、“12aBc”转变为“CCCCCC”、“CCCCCC”、“CCCCC”
d、可将数字“1”、“123”、“3333”转变为“D”、“DDD”、“DDDD”
e、可将符号“=”、“&&”、“’”转变为“E”、“EE”、“E”
f、故可将“select username from admin where id=1”转变为“AAAAAABBBBBBBB AAAA BBBBB AAAAA BB E D”,并称为正常业务的数据库语句模型,存于模型库中。
所述监控单元103,用于实时监控数据库日志,以在检测到数据库日志更新时,获取实时更新的待测数据库语句。
在本实施例中,为了对数据库的安全进行更为全面的保护,需要实时监控数据库日志的更新情况,当检测到数据库日志发生更新,此时需要获取实时更新的待测数据库语句以便进行分析处理,从而避免数据库遭受不必要的攻击。
所述转换单元104,用于利用所述格式化处理模型将所获取的待测数据库语句进行转换以得到目标语句。
在本实施例中,为了便于处理,需要利用通过机器学习算法进行学习训练得到的格式化处理模型对所获取的待测数据库语句进行格式化处理和转换,经格式化处理后的待测数据库语句则变为了目标语句,此时需要对目标语句进行相应的判断。
所述判定单元105,用于若所述目标语句与模型库中的所有类型的数据库语句模型均不相匹配,判定存在网络攻击行为。
在本实施例中,若所述目标语句与模型库中的所有类型的数据库语句模型均不相匹配,则表明此时所获取的数据库语句并不符合预期的条件,是与相应的业务请求都不符合的数据库语句,即可以判定此时存在网络攻击行为,此时则需要对该语句进行相应的处理,以避免不必要的损失。
作为进一步的实施例,所述方法中的判定单元105之后还可以包括:
返回单元106,用于返回所述目标语句对应的待测数据库语句以供用户进行查看。
在本实施例中,若发现非预期的数据库语句,需要及时将所述目标语句对应的数据库语句返回给到相关人员查看,以便于安全问题的定位和解决,此时的所述目标语句对应的数据库语句即为上述实时获取的数据库语句。
具体的,例如,对于业务请求为产品销售,可以随机抽取30天以上的数据库语言,通过机器学习算法处理后,将其进行格式化转变,形成基于该产品销售业务的数据库语句模型,并放于模型库中;然后实时监控数据库日志,若发现数据库执行的数据库语句与模型库中的数据库语句模型匹配不上,则并返回原始的数据库语句,以便用户定位安全问题。
作为进一步的实施例,所述方法的判定单元105还用于若所述目标语句与模型库中的任一数据库语句模型相匹配,则判定不存在网络攻击行为。
在本实施例中,若所述目标语句与模型库中的任一数据库语句模型相匹配,则表明此时的待测数据库语句为预期的数据库语句,此时数据库语句执行过程中不会对数据库的安全产生影响,故可以判定此时是不存在网络攻击行为的。
另外,为了进一步地使得数据库语句模型更为精准,可以定期对模型库中的数据库语句模型进行更新,从而实现对数据库更好的保护,维护数据库的安全。
需要说明的是,所属领域的技术人员可以清楚地了解到,上述攻击行为监控装置100和各单元的具体实现过程,可以参考前述方法实施例中的相应描述,为了描述的方便和简洁,在此不再赘述。
由以上可见,在硬件实现上,以上提取单元101、训练单元102、监控单元103、转换单元104以及判定单元105等可以以硬件形式内嵌于或独立于寿险报案的装置中,也可以以软件形式存储于攻击行为监控装置的存储器中,以便处理器调用执行以上各个单元对应的操作。该处理器可以为中央处理单元(CPU)、微处理器、单片机等。
上述攻击行为监控装置可以实现为一种计算机程序的形式,计算机程序可以在如图9所示的计算机设备上运行。图9为本发明一种计算机设备的结构组成示意图。该设备可以是终端,其中,终端可以是智能手机、平板电脑、笔记本电脑、台式电脑、个人数字助理和穿戴式设备等具有通信功能的电子设备。
参照图9,该计算机设备500包括通过系统总线501连接的处理器502、存储器、内存储器504和网络接口505,其中,存储器可以包括非易失性存储介质503和内存储器504。
该非易失性存储介质503可存储操作系统5031和计算机程序5032,该计算机程序5032被执行时,可使得处理器502执行一种网络攻击行为监控方法。
该处理器502用于提供计算和控制能力,支撑整个计算机设备500的运行。
该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境,该计算机程序5032被处理器502执行时,可使得处理器502执行一种网络攻击行为监控方法。
该网络接口505用于与其它设备进行网络通信。本领域技术人员可以理解,图9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备500的限定,具体的计算机设备500可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器502用于运行存储在存储器中的计算机程序5032,以实现如下步骤:从数据库日志中提取若干历史数据库语句作为数据样本集;利用机器学习算法对所述数据样本集进行特征分类分析以得到相应的格式化处理模型以及多个不同类型的数据库语句模型,其中,多个不同类型的数据库语句模型构成一模型库;实时监控数据库日志,以在检测到数据库日志更新时,获取实时更新的待测数据库语句;利用所述格式化处理模型将所获取的待测数据库语句进行转换以得到目标语句;若所述目标语句与模型库中的所有类型的数据库语句模型均不相匹配,判定存在网络攻击行为。
在一实施例中,所述数据样本集包括多个子数据样本集,处理器502在实现所述从数据库日志中提取若干历史数据库语句作为数据样本集的步骤时,具体实现如下步骤:从数据库日志中随机读取若干历史数据库语句;根据历史数据库语句的业务属性对所有的历史数据库语句进行分类,不同的业务属性对应不同的历史数据库语句类型;将每类历史数据库语句分别确定为一个子数据样本集。
在一实施例中,所述数据样本集包括多个子数据样本集,处理器502在实现所述从数据库日志中提取若干历史数据库语句作为数据样本集的步骤时,具体实现如下步骤:从数据库日志中随机读取若干历史数据库语句;利用朴素贝叶斯分类算法对所有的历史数据库语句进行分类;将每类历史数据库语句分别确定为一个子数据样本集。
在一实施例中,所述数据样本集包括多个子数据样本集,处理器502在实现所述利用机器学习算法对所述数据样本集进行特征分类分析以得到相应的格式化处理模型以及多个不同类型的数据库语句模型的步骤时,具体实现如下步骤:利用机器学习算法对不同的子数据样本集分别进行特征提取并分类以得到相应的格式化处理模型,其中不同类的特征对应地设置有不同的转换标记;根据每个子数据样本集中的历史数据库语句的特征以及相应的转换标记将历史数据库语句进行转换以得到多个不同类型的数据库语句模型。
在一实施例中,处理器502在实现所述判定存在网络攻击行为的步骤之后,具体实现如下步骤:返回所述目标语句对应的待测数据库语句以供用户进行查看。
在一实施例中,处理器502还实现如下步骤:若所述目标语句与模型库中的任一数据库语句模型相匹配,则判定不存在网络攻击行为。
应当理解,在本申请实施例中,处理器502可以是中央处理单元(CentralProcessing Unit,CPU),该处理器502还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成。该计算机程序可存储于一存储介质中,该存储介质为计算机可读存储介质。该计算机程序被该计算机系统中的至少一个处理器执行,以实现上述方法的实施例的流程步骤。
因此,本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序,该计算机程序被处理器执行时使处理器执行如下步骤:从数据库日志中提取若干历史数据库语句作为数据样本集;利用机器学习算法对所述数据样本集进行特征分类分析以得到相应的格式化处理模型以及多个不同类型的数据库语句模型,其中,多个不同类型的数据库语句模型构成一模型库;实时监控数据库日志,以在检测到数据库日志更新时,获取实时更新的待测数据库语句;利用所述格式化处理模型将所获取的待测数据库语句进行转换以得到目标语句;若所述目标语句与模型库中的所有类型的数据库语句模型均不相匹配,判定存在网络攻击行为。
在一实施例中,所述数据样本集包括多个子数据样本集,所述处理器在执行所述计算机程序而实现所述从数据库日志中提取若干历史数据库语句作为数据样本集的步骤时,具体实现如下步骤:从数据库日志中随机读取若干历史数据库语句;根据历史数据库语句的业务属性对所有的历史数据库语句进行分类,不同的业务属性对应不同的历史数据库语句类型;将每类历史数据库语句分别确定为一个子数据样本集。
在一实施例中,所述数据样本集包括多个子数据样本集,所述处理器在执行所述计算机程序而实现所述从数据库日志中提取若干历史数据库语句作为数据样本集的步骤时,具体实现如下步骤:从数据库日志中随机读取若干历史数据库语句;利用朴素贝叶斯分类算法对所有的历史数据库语句进行分类;将每类历史数据库语句分别确定为一个子数据样本集。
在一实施例中,所述数据样本集包括多个子数据样本集,所述处理器在执行所述计算机程序而实现所述利用机器学习算法对所述数据样本集进行特征分类分析以得到相应的格式化处理模型以及多个不同类型的数据库语句模型的步骤时,具体实现如下步骤:利用机器学习算法对不同的子数据样本集分别进行特征提取并分类以得到相应的格式化处理模型,其中不同类的特征对应地设置有不同的转换标记;根据每个子数据样本集中的历史数据库语句的特征以及相应的转换标记将历史数据库语句进行转换以得到多个不同类型的数据库语句模型。
在一实施例中,所述处理器在执行所述计算机程序而实现所述判定存在网络攻击行为的步骤之后,还实现如下步骤:返回所述目标语句对应的待测数据库语句以供用户进行查看。
在一实施例中,所述处理器还执行如下步骤:若所述目标语句与模型库中的任一数据库语句模型相匹配,则判定不存在网络攻击行为。
所述存储介质可以是U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的。例如,各个单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,终端,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种网络攻击行为监控方法,其特征在于,所述方法包括:
从数据库日志中提取若干历史数据库语句作为数据样本集;
利用机器学习算法对所述数据样本集进行特征分类分析以得到相应的格式化处理模型以及多个不同类型的数据库语句模型,其中,多个不同类型的数据库语句模型构成一模型库;
实时监控数据库日志,以在检测到数据库日志更新时,获取实时更新的待测数据库语句;
利用所述格式化处理模型将所获取的待测数据库语句进行转换以得到目标语句;
若所述目标语句与模型库中的所有类型的数据库语句模型均不相匹配,判定存在网络攻击行为。
2.如权利要求1所述的方法,其特征在于,所述数据样本集包括多个子数据样本集,所述从数据库日志中提取若干历史数据库语句作为数据样本集的步骤,包括:
从数据库日志中随机读取若干历史数据库语句;
根据历史数据库语句的业务属性对所有的历史数据库语句进行分类,不同的业务属性对应不同的历史数据库语句类型;
将每类历史数据库语句分别确定为一个子数据样本集。
3.如权利要求1所述的方法,其特征在于,所述数据样本集包括多个子数据样本集,所述从数据库日志中提取若干历史数据库语句作为数据样本集的步骤,包括:
从数据库日志中随机读取若干历史数据库语句;
利用朴素贝叶斯分类算法对所有的历史数据库语句进行分类;
将每类历史数据库语句分别确定为一个子数据样本集。
4.如权利要求2或3所述的方法,其特征在于,所述利用机器学习算法对所述数据样本集进行特征分类分析以得到相应的格式化处理模型以及多个不同类型的数据库语句模型的步骤,包括:
利用机器学习算法对不同的子数据样本集分别进行特征提取并分类以得到相应的格式化处理模型,其中不同类的特征对应地设置有不同的转换标记;
根据每个子数据样本集中的历史数据库语句的特征以及相应的转换标记将历史数据库语句进行转换以得到多个不同类型的数据库语句模型。
5.如权利要求1所述的方法,其特征在于,所述判定存在网络攻击行为的步骤之后,还包括:
返回所述目标语句对应的待测数据库语句以供用户进行查看。
6.如权利要求1所述的方法,其特征在于,所述方法还包括:
若所述目标语句与模型库中的任一数据库语句模型相匹配,则判定不存在网络攻击行为。
7.一种网络攻击行为监控装置,其特征在于,所述装置包括:
提取单元,用于从数据库日志中提取若干历史数据库语句作为数据样本集;
训练单元,用于利用机器学习算法对所述数据样本集进行特征分类分析以得到相应的格式化处理模型以及多个不同类型的数据库语句模型,其中,多个不同类型的数据库语句模型构成一模型库;
监控单元,用于实时监控数据库日志,以在检测到数据库日志更新时,获取实时更新的待测数据库语句;
转换单元,用于利用所述格式化处理模型将所获取的待测数据库语句进行转换以得到目标语句;
判定单元,用于若所述目标语句与模型库中的所有类型的数据库语句模型均不相匹配,判定存在网络攻击行为。
8.如权利要求7所述的装置,其特征在于,所述提取单元,包括:
读取单元,用于从数据库日志中随机读取若干历史数据库语句;
第一分类单元,用于根据历史数据库语句的业务属性对所有的历史数据库语句进行分类,不同的业务属性对应不同的历史数据库语句类型;
确定单元,用于将每类历史数据库语句分别确定为一个子数据样本集。
9.一种计算机设备,其特征在于,所述计算机设备包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求1-6中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时使所述处理器执行如权利要求1-6中任一项所述的方法。
CN201910188329.8A 2019-03-13 2019-03-13 网络攻击行为监控方法、装置、计算机设备及存储介质 Pending CN110059480A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910188329.8A CN110059480A (zh) 2019-03-13 2019-03-13 网络攻击行为监控方法、装置、计算机设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910188329.8A CN110059480A (zh) 2019-03-13 2019-03-13 网络攻击行为监控方法、装置、计算机设备及存储介质

Publications (1)

Publication Number Publication Date
CN110059480A true CN110059480A (zh) 2019-07-26

Family

ID=67316034

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910188329.8A Pending CN110059480A (zh) 2019-03-13 2019-03-13 网络攻击行为监控方法、装置、计算机设备及存储介质

Country Status (1)

Country Link
CN (1) CN110059480A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113839944A (zh) * 2021-09-18 2021-12-24 百度在线网络技术(北京)有限公司 应对网络攻击的方法、装置、电子设备和介质
CN113987511A (zh) * 2021-10-28 2022-01-28 中国平安人寿保险股份有限公司 Sql注入漏洞的检测方法、装置、计算机设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101609493A (zh) * 2009-07-21 2009-12-23 国网电力科学研究院 一种基于自学习的数据库sql注入防护方法
CN104484474A (zh) * 2014-12-31 2015-04-01 南京盾垒网络科技有限公司 数据库安全审计方法
CN106991322A (zh) * 2016-01-21 2017-07-28 北京启明星辰信息安全技术有限公司 一种结构化查询语言sql注入攻击的检测方法和装置
CN107566363A (zh) * 2017-08-30 2018-01-09 杭州安恒信息技术有限公司 一种基于机器学习的sql注入攻击防护方法
CN109347827A (zh) * 2018-10-22 2019-02-15 东软集团股份有限公司 网络攻击行为预测的方法、装置、设备及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101609493A (zh) * 2009-07-21 2009-12-23 国网电力科学研究院 一种基于自学习的数据库sql注入防护方法
CN104484474A (zh) * 2014-12-31 2015-04-01 南京盾垒网络科技有限公司 数据库安全审计方法
CN106991322A (zh) * 2016-01-21 2017-07-28 北京启明星辰信息安全技术有限公司 一种结构化查询语言sql注入攻击的检测方法和装置
CN107566363A (zh) * 2017-08-30 2018-01-09 杭州安恒信息技术有限公司 一种基于机器学习的sql注入攻击防护方法
CN109347827A (zh) * 2018-10-22 2019-02-15 东软集团股份有限公司 网络攻击行为预测的方法、装置、设备及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
张志超;王丹;赵文兵;付利华;: "一种基于神经网络的SQL注入漏洞的检测模型", 计算机与现代化, no. 10, 31 October 2016 (2016-10-31) *
陈旦;杨非;叶晓俊;: "多角度数据库活动监控技术研究", 电子科技大学学报, no. 02, 30 March 2015 (2015-03-30) *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113839944A (zh) * 2021-09-18 2021-12-24 百度在线网络技术(北京)有限公司 应对网络攻击的方法、装置、电子设备和介质
CN113839944B (zh) * 2021-09-18 2023-09-19 百度在线网络技术(北京)有限公司 应对网络攻击的方法、装置、电子设备和介质
CN113987511A (zh) * 2021-10-28 2022-01-28 中国平安人寿保险股份有限公司 Sql注入漏洞的检测方法、装置、计算机设备及存储介质

Similar Documents

Publication Publication Date Title
US20210019674A1 (en) Risk profiling and rating of extended relationships using ontological databases
TWI718643B (zh) 異常群體識別方法及裝置
Baldwin et al. Leveraging support vector machine for opcode density based detection of crypto-ransomware
US20210092160A1 (en) Data set creation with crowd-based reinforcement
US20170109676A1 (en) Generation of Candidate Sequences Using Links Between Nonconsecutively Performed Steps of a Business Process
CN106027577A (zh) 一种异常访问行为检测方法及装置
JP6713238B2 (ja) 電子装置、小売店舗評価モデルを構築する方法、システム及び記憶媒体
US20210136120A1 (en) Universal computing asset registry
US20170109668A1 (en) Model for Linking Between Nonconsecutively Performed Steps in a Business Process
CN111222976B (zh) 一种基于双方网络图数据的风险预测方法、装置和电子设备
US20170109667A1 (en) Automaton-Based Identification of Executions of a Business Process
US20170109636A1 (en) Crowd-Based Model for Identifying Executions of a Business Process
CN110020002A (zh) 事件处理方案的查询方法、装置、设备和计算机存储介质
US20170109639A1 (en) General Model for Linking Between Nonconsecutively Performed Steps in Business Processes
US11836331B2 (en) Mathematical models of graphical user interfaces
US20240231909A1 (en) System and method for universal computer asset normalization and configuration management
WO2017192094A1 (en) Computer systems and methods for implementing in-memory data structures
CN109729069B (zh) 异常ip地址的检测方法、装置与电子设备
US20170109638A1 (en) Ensemble-Based Identification of Executions of a Business Process
JP6419667B2 (ja) テストdbデータ生成方法及び装置
CN113792554A (zh) 一种基于知识图谱的变更影响评估方法和装置
CN113141276A (zh) 一种基于知识图谱的信息安全方法
US20170109640A1 (en) Generation of Candidate Sequences Using Crowd-Based Seeds of Commonly-Performed Steps of a Business Process
CN110059480A (zh) 网络攻击行为监控方法、装置、计算机设备及存储介质
US20170109670A1 (en) Crowd-Based Patterns for Identifying Executions of Business Processes

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination