CN112148715A - 一种基于用户行为规则的数据库安全检测方法及系统 - Google Patents

一种基于用户行为规则的数据库安全检测方法及系统 Download PDF

Info

Publication number
CN112148715A
CN112148715A CN202011153582.9A CN202011153582A CN112148715A CN 112148715 A CN112148715 A CN 112148715A CN 202011153582 A CN202011153582 A CN 202011153582A CN 112148715 A CN112148715 A CN 112148715A
Authority
CN
China
Prior art keywords
user
operation behavior
behavior
vector
normal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011153582.9A
Other languages
English (en)
Inventor
邢亚君
彭海龙
孟铭
赵崇鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing An Xin Tian Xing Technology Co ltd
Original Assignee
Beijing An Xin Tian Xing Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing An Xin Tian Xing Technology Co ltd filed Critical Beijing An Xin Tian Xing Technology Co ltd
Priority to CN202011153582.9A priority Critical patent/CN112148715A/zh
Publication of CN112148715A publication Critical patent/CN112148715A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • G06F16/217Database tuning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/242Query formulation
    • G06F16/2433Query languages
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2455Query execution
    • G06F16/24564Applying rules; Deductive queries

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Mathematical Physics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种基于用户行为规则的数据库安全检测方法及系统。该方法包括:获取用户向数据库提交的正常SQL语句;将正常SQL语句拆分成用户操作行为向量,用户操作行为向量包括用户名、操作行为和操作对象;以各用户操作行为向量构成的集合为数据集,以最大置信度作为相关性度量标准,采用Apriori算法筛选数据集中大于相关度阈值的用户操作行为向量,记为正常操作行为向量,将各正常操作行为向量构成的集合记为用户正常行为库;获取待检测SQL语句;将待检测SQL语句拆分为待检测用户操作行为向量;将待检测用户操作行为向量与用户正常行为库中的各向量进行匹配,以检测异常行为。本发明提供的数据库安全检测方法及系统对异常操作行为具有识别精度高的优势。

Description

一种基于用户行为规则的数据库安全检测方法及系统
技术领域
本发明涉及数据库安全检测技术领域,特别是涉及一种基于用户行为规则的数据库安全检测方法及系统。
背景技术
随着信息技术在各行业的普遍运用,数据库已日渐成为信息系统不可或缺的核心资产,其存储的大量敏感信息关系着社会的根本利益。因此,保障数据库安全对于整个信息系统有着重要意义。首先用户的信息资产都存储在数据库中,数据库安全对于用户信息资产的安全十分重要,这就要求数据库能保证存储的数据不可随意破坏和泄露。其次,如果数据库安全不能得到保证,其所在的网络设施也会受到安全影响。一旦数据库发生安全问题,准确识别非法行为也是十分重要的。
发明内容
本发明的目的是提供一种基于用户行为规则的数据库安全检测方法及系统,能够对用户的操作行为进行准确的异常识别。
为实现上述目的,本发明提供了如下方案:
一种基于用户行为规则的数据库安全检测方法,包括:
获取用户向数据库提交的正常SQL语句;
将所述正常SQL语句拆分成用户操作行为向量,所述用户操作行为向量包括用户名、操作行为和操作对象;
以各所述用户操作行为向量构成的集合为数据集,以最大置信度作为相关性度量标准,采用Apriori算法筛选所述数据集中大于相关度阈值的用户操作行为向量,记为正常操作行为向量,将各所述正常操作行为向量构成的集合记为用户正常行为库;
获取待检测SQL语句;
将所述待检测SQL语句拆分为待检测用户操作行为向量;
将所述待检测用户操作行为向量与用户正常行为库中的各向量进行匹配;当所述待检测SQL语句对应的所有待检测用户操作行为向量均能在用户正常行为库中得到匹配时,表示所述待检测SQL语句对应的行为为正常行为,否则,表示所述待检测SQL语句对应的行为为异常行为。
可选的,在所述将所述SQL语句拆分成用户操作行为向量之后,以及在所述采用Apriori算法筛选所述数据集中大于相关度阈值的用户操作行为向量之前,还包括:
对所述用户操作行为向量中各元素进行数值化表示,且所述用户操作行为向量中元素与数值为一对一映射的关系。
可选的,所述以各所述用户操作行为向量构成的集合为数据集,以最大置信度作为相关性度量标准,采用Apriori算法筛选所述数据集中大于相关度阈值的用户操作行为向量,具体包括:
基于用户操作行为向量中各元素的随机组合,将用户操作行为向量拆分为两个用户操作行为子向量;
以最大置信度作为相关性度量标准,计算两个用户操作行为子向量之间的关联度,并在所述关联度大于相关度阈值时,将所述用户操作行为向量记为正常操作行为向量。
可选的,所述方法还包括:输出异常操作行为。
可选的,所述方法还包括:将人工甄别出的正常操作行为对应的用户操作行为向量加入用户正常行为库中。
本发明还提供了一种基于用户行为规则的数据库安全检测系统,包括:
SQL语句获取模块,用于获取用户向数据库提交的正常SQL语句以及获取获取待检测SQL语句;
SQL语句拆分模块,用于将所述正常SQL语句拆分成用户操作行为向量以及用于将所述待检测SQL语句拆分为待检测用户操作行为向量,所述用户操作行为向量包括用户名、操作行为和操作对象;
正常操作行为向量筛选模块,用于以各所述用户操作行为向量构成的集合为数据集,以最大置信度作为相关性度量标准,采用Apriori算法筛选所述数据集中大于相关度阈值的用户操作行为向量,记为正常操作行为向量,将各所述正常操作行为向量构成的集合记为用户正常行为库;
向量匹配模块,用于将所述待检测用户操作行为向量与用户正常行为库中的各向量进行匹配;当所述用户正常行为库中存在与所述待检测用户操作行为向量相匹配的向量时,表示所述待检测SQL语句对应的行为为正常行为,当所述用户正常行为库中不存在与所述待检测用户操作行为向量相匹配的向量时,表示所述待检测SQL语句对应的行为为异常行为。
可选的,所述系统还包括:数值化模块,用于对所述用户操作行为向量中各元素进行数值化表示,且所述用户操作行为向量中元素与数值为一对一映射的关系。
可选的,所述正常操作行为向量筛选模块,具体包括:
向量拆分单元,用于基于用户操作行为向量中各元素的随机组合,将用户操作行为向量拆分为两个用户操作行为子向量;
正常操作行为向量筛选单元,用于以最大置信度作为相关性度量标准,计算两个用户操作行为子向量之间的关联度,并在所述关联度大于相关度阈值时,将所述用户操作行为向量记为正常操作行为向量。
可选的,所述系统还包括:异常操作行为输出模块,用于输出异常操作行为。
可选的,所述系统还包括:添加模块,用于将人工甄别出的正常操作行为对应的用户操作行为向量加入用户正常行为库中。
根据本发明提供的具体实施例,本发明公开了以下技术效果:本发明提供的基于用户行为规则的数据库安全检测方法及系统,以最大置信度为相关度量标准,采用Apriori算法生成用户正常行为库,并基于用户正常行为库识别待检测用户操作行为是否异常。本发明基于最大置信度进行正常行为的筛选,相较于现有技术中的强相关过滤规则,更容易过滤出强相关规则,且能够避免由于规则各项不平衡所导致的不能使强相关规则被滤出的情况。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1提供的基于用户行为规则的数据库安全检测方法的流程示意图;
图2为本发明实施例2提供的基于用户行为规则的数据库安全检测系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
实施例1
参见图1,本实施例提供了一种基于用户行为规则的数据库安全检测方法,该方法包括以下步骤:
步骤101:获取用户向数据库提交的正常SQL语句。
步骤102:将所述正常SQL语句拆分成用户操作行为向量,本实施例中,用户操作行为向量包括但不限于用户名、操作行为和操作对象这三个元素。需要注意的是,在数据库应用中,一条SQL语句可能包含多种不同的操作,例如,“DELETE FROM table1 WHERE NOTEXISTS(SELECT*FROM table2 WHERE table1.d1=table2.d1)”中包含DELETE和SELECT两种操作类型,其中DELETE对应操作表table1、SELECT对应操作表table2。因此,该SQL语句可以拆分为1:<用户名A,DELETE,操作对象1>,2:<用户名A,SELECT,操作对象2>。
步骤103:以各所述用户操作行为向量构成的集合为数据集,以最大置信度作为相关性度量标准,采用Apriori算法筛选所述数据集中大于相关度阈值的用户操作行为向量,记为正常操作行为向量,将各所述正常操作行为向量构成的集合记为用户正常行为库。
本实施例中,一个用户操作行为向量组对应一条SQL语句,向量组由若干行为向量组成,每个行为向量主要由用户名、操作行为和操作对象三种元素组成,如下所示:
1:<用户名A,操作行为1,操作对象1>
2:<用户名A,操作行为2,操作对象2>
3:<用户名B,操作行为1,操作对象3>
4:<用户名B,操作行为3,操作对象4>
5:<用户名B,操作行为4,操作对象5>
由用户操作行为向量1、2组成的用户操作行为向量组表示一条SQL语句,用户操作行为向量3、4、5表示另一条SQL语句。用户名是指提交SQL语句的用户,同一条SQL语句的用户名是相同的;操作行为是指SQL语句中的SELECT、INSERT、UPDATE、DELETE和CREATE中之一;操作对象是指用户每个操作行为所对应的表或列。由多个用户正常操作行为拆分出的各用户操作行为向量构成步骤103中所述的数据集。
步骤104:获取待检测SQL语句;
步骤105:将所述待检测SQL语句拆分为待检测用户操作行为向量;
步骤106:将所述待检测用户操作行为向量与用户正常行为库中的各向量进行匹配。
在本实施例中,把待检测的用户操作语句解析成待检测用户操作行为向量组,并把待检测用户操作行为向量组中每个待检测用户操作行为向量与用户正常行为库中的各用户操作行为向量进行匹配(即识别待检测SQL语句对应的用户操作行为向量组中各待检测用户操作行为向量是否均存在于用户正常行为库中)。如果一个用户操作行为向量组的所有用户操作行为向量能够得到匹配,则此条待检测SQL语句是正常行为;如果一个用户操作行为向量组中有一个向量得不到匹配,则说明待检测SQL语句是异常的。在本实施例中,在确定某一SQL语句为异常行为时,可以输出显示该异常操作行为,同时将其保存到系统自身数据库中,然后可由安全人员进行进一步甄别。如果安全人员确定该异常操作行为并不是真正的异常行为,则可以将该操作行为对应的用户操作行为向量加入到用户正常行为库中,以实现对用户正常行为库的不断更新和完善。
作为本实施例的一种实施方式,在步骤102之后,对所述用户操作行为向量中各元素进行数值化表示。后续步骤均基于数值化后的用户操作行为向量进行。向量在数值化前需要统计数据集中所有不同的用户名和操作对象的数目,然后对每个元素做数值映射,避免出现向量元素的数值重叠。例如,对于行为向量“<ZHANGSAN,SELECT,DUAL>、<ZHANGSAN,DELETE,PRIVS>、<MARY,INSERT,OPTION>、<MARY,UPDATE,EMP>、<ZHANGSAN,SELECT,DEPT>”的数值化过程为:
先根据用户名的数量,规定用户名映射为(ZHANGSAN=1,MARY=2);其次规定操作类型的映射为(SELECT=3,CREATETABLE=4,DELETE=5,INSERT=6,UPDATE=7);最后把操作对象映射为(DUAL=8,PRIVS=9,OPTION=10,EMP=11,DEPT=12),如此即完成了用户操作行为向量的数值化处理,如表1。
表1数值化向量
用户操作行为向量 数值化结果
<ZHANGSAN,SELECT,DUAL> 1,3,8
<ZHANGSAN,DELETE,PRIVS> 1,5,9
<MARY,INSERT,OPTION> 2,6,10
<MARY,UPDATE,EMP> 2,7,11
<ZHANGSAN,SELECT,DEPT> 1,3,12
作为本实施例的一种实施方式,步骤103主要是基于用户操作行为向量中各元素的随机组合,将用户操作行为向量拆分为两个用户操作行为子向量,并以最大置信度作为相关性度量标准,计算两个用户操作行为子向量之间的关联度,并在所述关联度大于相关度阈值时,将所述用户操作行为向量记为正常操作行为向量。具体操作可以如下:
用户行为的相关性可以用
Figure BDA0002741912570000061
的关联规则形式表示:
Figure BDA0002741912570000062
Figure BDA0002741912570000063
Figure BDA0002741912570000064
使用关联规则Apriori算法,选用最大置信度作为用户行为规则的度量标准。首先,对最大置信度进行说明:对于两个项集A和B,项集A在事务中出现的概率和次数分别P(A)和|A|,项集B在事务中出现的概率和次数分别为P(B)和|B|,项集A和B在事务中同时发生的概率和次数分为P(AB)和|AB|,事务总数为N。最大置信度(Max_conf):
Figure BDA0002741912570000071
当A与B是负相关和正相关时,最大置信度是值由P(A/B)和P(B/A)的大小决定;当A与B相互独立时,最大置信度的值由P(A)和P(B)的大小决定。
同时最大置信度具备对称性,当
Figure BDA0002741912570000072
为完全负相关时,则P(A/B)=0,P(B/A)=0,
Figure BDA0002741912570000073
Figure BDA0002741912570000074
为完全正相关时,则P(A/B)=1,P(B/A)=1,
Figure BDA0002741912570000075
因此最大置信度的取值范围为[0,1],是对称的。
Apriori算法中的一个项集的支持度为:在数据集中包含该项集的记录所占的比例。在上文的举例中可以得出:{1,3,8}的支持度1/5。而最小支持度就是人为按照实际情况规定的阈值,表示关联规则的最低可靠性。
本实施例采用最大置信度的相关度量标准和Apriori算法生成用户行为规则,生成用户行为规则的算法如下:
输入:数值化的用户行为数据集S,最小支持度min_sup=0,最小相关阈值min_conf=m;
输出:用户正常行为库D,用户非典型用户正常行为库F;
1)最小支持度min_sup=0生成频繁项目集P,其中每个频繁项集为p,
Figure BDA0002741912570000076
为p的非空子集;
Figure BDA0002741912570000077
3)输出D,F。
在输入中设置了最小支持度阈值min_sup=0,这是因为算法中的训练集是用户正常行为数据,就算是其中的某条操作只出现过一次,也是用户的正常行为。而步骤2)中大于相关度阈值的规则为正关联规则,表示用户的正常操作行为,将其对应的用户操作行为向量加入到用户正常行为库中;不大于相关度阈值的规则为负关联规则,表示用户非典型的正常操作行为,将其对应的用户操作行为向量加入到用户非典型行为库。
本发明数据库用户行为规则描述的是用户的典型行为,规则前后两项必然满足强相关关系。最大置信度对强相关规则的识别和区分能力最强,相同条件下更容易过滤出强相关规则。在数据库行为规则中,当出现规则前项和后项不平衡的情况时,强相关规则将不易被滤出。例如权限受限用户A只能执行SELECT操作,规则
Figure BDA0002741912570000081
是强相关,而执行SELECT操作类型的还有很多其他用户,这就导致用户A在事务集的出现概率和操作类型SELECT出现概率的不平衡。而最大置信度恰好满足数据库用户行为规则在以上不平衡情况下判定为正相关的要求。
实施例2
参见图2,本实施例提供了一种基于用户行为规则的数据库安全检测系统,该系统包括:
SQL语句获取模块201,用于获取用户向数据库提交的正常SQL语句以及获取获取待检测SQL语句;
SQL语句拆分模块202,用于将正常SQL语句拆分成用户操作行为向量以及用于将待检测SQL语句拆分为待检测用户操作行为向量,用户操作行为向量包括用户名、操作行为和操作对象;
正常操作行为向量筛选模块203,用于以各用户操作行为向量构成的集合为数据集,以最大置信度作为相关性度量标准,采用Apriori算法筛选数据集中大于相关度阈值的用户操作行为向量,记为正常操作行为向量,将各正常操作行为向量构成的集合记为用户正常行为库;
向量匹配模块204,用于将待检测用户操作行为向量与用户正常行为库中的各向量进行匹配;当用户正常行为库中存在与待检测用户操作行为向量相匹配的向量时,表示待检测SQL语句对应的行为为正常行为,当用户正常行为库中不存在与待检测用户操作行为向量相匹配的向量时,表示待检测SQL语句对应的行为为异常行为。
作为本实施例的一种实施方式,该系统还包括:数值化模块,用于对用户操作行为向量中各元素进行数值化表示,且用户操作行为向量中元素与数值为一对一映射的关系。
在本实施例中,正常操作行为向量筛选模块203,具体包括:
向量拆分单元,用于基于用户操作行为向量中各元素的随机组合,将用户操作行为向量拆分为两个用户操作行为子向量;
正常操作行为向量筛选单元,用于以最大置信度作为相关性度量标准,计算两个用户操作行为子向量之间的关联度,并在关联度大于相关度阈值时,将用户操作行为向量记为正常操作行为向量。
作为本实施例的一种实施方式,该系统还包括:异常操作行为输出模块和添加模块,其中,异常操作行为输出模块用于输出异常操作行为,添加模块用于将人工甄别出的正常操作行为对应的用户操作行为向量加入用户正常行为库中。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种基于用户行为规则的数据库安全检测方法,其特征在于,包括:
获取用户向数据库提交的正常SQL语句;
将所述正常SQL语句拆分成用户操作行为向量,所述用户操作行为向量包括用户名、操作行为和操作对象;
以各所述用户操作行为向量构成的集合为数据集,以最大置信度作为相关性度量标准,采用Apriori算法筛选所述数据集中大于相关度阈值的用户操作行为向量,记为正常操作行为向量,将各所述正常操作行为向量构成的集合记为用户正常行为库;
获取待检测SQL语句;
将所述待检测SQL语句拆分为待检测用户操作行为向量;
将所述待检测用户操作行为向量与用户正常行为库中的各向量进行匹配;当所述待检测SQL语句对应的所有待检测用户操作行为向量均能在用户正常行为库中得到匹配时,表示所述待检测SQL语句对应的行为为正常行为,否则,表示所述待检测SQL语句对应的行为为异常行为。
2.根据权利要求1所述的基于用户行为规则的数据库安全检测方法,其特征在于,在所述将所述SQL语句拆分成用户操作行为向量之后,以及在所述采用Apriori算法筛选所述数据集中大于相关度阈值的用户操作行为向量之前,还包括:
对所述用户操作行为向量中各元素进行数值化表示,且所述用户操作行为向量中元素与数值为一对一映射的关系。
3.根据权利要求1所述的基于用户行为规则的数据库安全检测方法,其特征在于,所述以各所述用户操作行为向量构成的集合为数据集,以最大置信度作为相关性度量标准,采用Apriori算法筛选所述数据集中大于相关度阈值的用户操作行为向量,具体包括:
基于用户操作行为向量中各元素的随机组合,将用户操作行为向量拆分为两个用户操作行为子向量;
以最大置信度作为相关性度量标准,计算两个用户操作行为子向量之间的关联度,并在所述关联度大于相关度阈值时,将所述用户操作行为向量记为正常操作行为向量。
4.根据权利要求1所述的基于用户行为规则的数据库安全检测方法,其特征在于,所述方法还包括:输出异常操作行为。
5.根据权利要求4所述的基于用户行为规则的数据库安全检测方法,其特征在于,所述方法还包括:将人工甄别出的正常操作行为对应的用户操作行为向量加入用户正常行为库中。
6.一种基于用户行为规则的数据库安全检测系统,其特征在于,包括:
SQL语句获取模块,用于获取用户向数据库提交的正常SQL语句以及获取获取待检测SQL语句;
SQL语句拆分模块,用于将所述正常SQL语句拆分成用户操作行为向量以及用于将所述待检测SQL语句拆分为待检测用户操作行为向量,所述用户操作行为向量包括用户名、操作行为和操作对象;
正常操作行为向量筛选模块,用于以各所述用户操作行为向量构成的集合为数据集,以最大置信度作为相关性度量标准,采用Apriori算法筛选所述数据集中大于相关度阈值的用户操作行为向量,记为正常操作行为向量,将各所述正常操作行为向量构成的集合记为用户正常行为库;
向量匹配模块,用于将所述待检测用户操作行为向量与用户正常行为库中的各向量进行匹配;当所述用户正常行为库中存在与所述待检测用户操作行为向量相匹配的向量时,表示所述待检测SQL语句对应的行为为正常行为,当所述用户正常行为库中不存在与所述待检测用户操作行为向量相匹配的向量时,表示所述待检测SQL语句对应的行为为异常行为。
7.根据权利要求6所述的基于用户行为规则的数据库安全检测系统,其特征在于,所述系统还包括:数值化模块,用于对所述用户操作行为向量中各元素进行数值化表示,且所述用户操作行为向量中元素与数值为一对一映射的关系。
8.根据权利要求6所述的基于用户行为规则的数据库安全检测系统,其特征在于,所述正常操作行为向量筛选模块,具体包括:
向量拆分单元,用于基于用户操作行为向量中各元素的随机组合,将用户操作行为向量拆分为两个用户操作行为子向量;
正常操作行为向量筛选单元,用于以最大置信度作为相关性度量标准,计算两个用户操作行为子向量之间的关联度,并在所述关联度大于相关度阈值时,将所述用户操作行为向量记为正常操作行为向量。
9.根据权利要求6所述的基于用户行为规则的数据库安全检测系统,其特征在于,所述系统还包括:异常操作行为输出模块,用于输出异常操作行为。
10.根据权利要求9所述的基于用户行为规则的数据库安全检测系统,其特征在于,所述系统还包括:添加模块,用于将人工甄别出的正常操作行为对应的用户操作行为向量加入用户正常行为库中。
CN202011153582.9A 2020-10-26 2020-10-26 一种基于用户行为规则的数据库安全检测方法及系统 Pending CN112148715A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011153582.9A CN112148715A (zh) 2020-10-26 2020-10-26 一种基于用户行为规则的数据库安全检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011153582.9A CN112148715A (zh) 2020-10-26 2020-10-26 一种基于用户行为规则的数据库安全检测方法及系统

Publications (1)

Publication Number Publication Date
CN112148715A true CN112148715A (zh) 2020-12-29

Family

ID=73954973

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011153582.9A Pending CN112148715A (zh) 2020-10-26 2020-10-26 一种基于用户行为规则的数据库安全检测方法及系统

Country Status (1)

Country Link
CN (1) CN112148715A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104090941A (zh) * 2014-06-30 2014-10-08 江苏华大天益电力科技有限公司 一种数据库审计系统及其审计方法
CN107276980A (zh) * 2017-05-02 2017-10-20 广东电网有限责任公司信息中心 一种基于关联分析的用户异常行为检测方法及系统
CN108280120A (zh) * 2017-07-11 2018-07-13 厦门君沣信息科技有限公司 一种基于关联规则的心理健康预警系统及方法
CN109977689A (zh) * 2017-12-28 2019-07-05 中国移动通信集团广东有限公司 一种数据库安全审计方法、装置及电子设备
CN110351260A (zh) * 2019-06-28 2019-10-18 广州准星信息科技有限公司 一种内网攻击预警方法、装置及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104090941A (zh) * 2014-06-30 2014-10-08 江苏华大天益电力科技有限公司 一种数据库审计系统及其审计方法
CN107276980A (zh) * 2017-05-02 2017-10-20 广东电网有限责任公司信息中心 一种基于关联分析的用户异常行为检测方法及系统
CN108280120A (zh) * 2017-07-11 2018-07-13 厦门君沣信息科技有限公司 一种基于关联规则的心理健康预警系统及方法
CN109977689A (zh) * 2017-12-28 2019-07-05 中国移动通信集团广东有限公司 一种数据库安全审计方法、装置及电子设备
CN110351260A (zh) * 2019-06-28 2019-10-18 广州准星信息科技有限公司 一种内网攻击预警方法、装置及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
杨磊: "数据库安全审计检测系统的设计与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》, no. 6, pages 138 - 568 *

Similar Documents

Publication Publication Date Title
CN111291070B (zh) 一种异常sql检测方法、设备及介质
CN113657545B (zh) 用户业务数据的处理方法、装置、设备及存储介质
US7814107B1 (en) Generating similarity scores for matching non-identical data strings
US20050086045A1 (en) Question answering system and question answering processing method
TW202029079A (zh) 異常群體識別方法及裝置
JP3888812B2 (ja) 事実データ統合方法および装置
CN110362601B (zh) 元数据标准的映射方法、装置、设备及存储介质
CN112417456B (zh) 一种基于大数据的结构化敏感数据还原检测的方法
CN108108346B (zh) 文档的主题特征词抽取方法及装置
CN111159272A (zh) 基于数据仓库及etl的数据质量监控及预警方法和系统
CN111092880B (zh) 一种网络流量数据提取方法及装置
CN111680128A (zh) 一种网页敏感词检测方法、检测系统及相关装置
CN115577701A (zh) 针对大数据安全的风险行为识别方法、装置、设备及介质
CN110737650A (zh) 数据质量检测方法及装置
CN107305615B (zh) 数据表识别方法和系统
CN114430361A (zh) 一种异常带宽检测方法、装置、电子设备及存储介质
CN112148715A (zh) 一种基于用户行为规则的数据库安全检测方法及系统
CN110097258B (zh) 一种用户关系网络建立方法、装置及计算机可读存储介质
CN116662186A (zh) 基于逻辑回归的日志回放断言方法及其装置、电子设备
CN110674632A (zh) 一种确定安全级别的方法及装置、存储介质和设备
Littell et al. Measuring sentence parallelism using Mahalanobis distances: The NRC unsupervised submissions to the WMT18 Parallel Corpus Filtering shared task
CN110888877A (zh) 事件信息显示方法、装置、计算设备及存储介质
CN106844718B (zh) 数据集合的确定方法和装置
CN112307086B (zh) 一种消防业务中自动化数据校验方法及装置
CN114356896A (zh) 一种数据库检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination