CN117494185B

CN117494185B - 数据库访问控制方法及装置、系统、设备、存储介质

Info

Publication number: CN117494185B
Application number: CN202311291562.1A
Authority: CN
Inventors: 林兵; 刘纯纯; 程伟; 王永君; 吴伟斌; 赖博林
Original assignee: China Unicom Guangdong Industrial Internet Co Ltd
Current assignee: China Unicom Guangdong Industrial Internet Co Ltd
Priority date: 2023-10-07
Filing date: 2023-10-07
Publication date: 2024-05-14
Anticipated expiration: 2043-10-07
Also published as: CN117494185A

Abstract

本申请实施例公开了一种数据库访问控制方法及装置、系统、设备、存储介质，包括：获取用户终端通过零信任网络发送的访问请求，并从访问请求中提取访问标识信息和访问请求内容；基于访问标识信息和访问请求内容，生成多个维度的特征信息；将多个维度的特征信息输入预先训练的预测模型中进行危险程度预测操作，得到访问请求对应的威胁程度；在威胁程度大于预设阈值的情况下，拒绝访问请求。本申请实施例在对数据库进行访问控制时能够实现更高的灵活性和便捷性以及更准确的预测结果，同时还能够大幅降低访问请求监测过程中的疏漏问题。

Description

数据库访问控制方法及装置、系统、设备、存储介质

技术领域

本申请实施例涉及数据库安全技术，涉及但不限于一种数据库访问控制方法及装置、系统、设备、存储介质。

背景技术

随着信息技术的快速发展，数据量大幅增加。为了保证业务的稳定运行，如何提高数据库的安全性成为目前的研究重点。

相关技术中，对数据库进行访问控制时，通常是预先对访问用户进行授权，手动配置数据库访问策略，然后基于告警日志提醒的紧急处理方式，人工处理攻击事件。但是这种方式难以实现对不同攻击行为的有效识别，因此难以应对多样化的攻击手段，存在灵活性较差的问题。

发明内容

有鉴于此，本申请实施例提供的数据库访问控制方法及装置、系统、设备、存储介质，能够提高对数据库进行访问控制时的灵活性。本申请实施例提供的数据库访问控制方法及装置、系统、设备、存储介质是这样实现的：

第一方面，本申请实施例提供一种数据库访问控制方法，应用于数据库节点，所述数据库节点通过零信任网络与用户终端通信连接，所述方法包括：

获取所述用户终端通过所述零信任网络发送的访问请求，并从所述访问请求中提取访问标识信息和访问请求内容；

基于所述访问标识信息和所述访问请求内容，生成多个维度的特征信息，所述特征信息至少包括：与用户身份相关的特征信息，与用户终端相关的特征信息，与用户终端的网络相关的特征信息，以及与访问请求相关的特征信息；

将所述多个维度的特征信息输入预先训练的预测模型中进行危险程度预测操作，得到所述访问请求对应的威胁程度，其中，所述预测模型是基于随机森林算法并通过多个维度的样本特征信息训练得到的；

在所述威胁程度大于预设阈值的情况下，拒绝所述访问请求。

在一些实施例中，所述获取所述用户终端通过所述零信任网络发送的访问请求，并从所述访问请求中提取访问标识信息和访问请求内容，包括：

接收用户终端发送的携带有所述访问请求的数据包；

从所述数据包的包头中提取所述访问标识信息，从所述数据包的包体中提取所述访问请求内容。

在一些实施例中，所述基于所述访问标识信息和所述访问请求内容，生成多个维度的特征信息，包括：

从所述访问标识信息中分别提取第一信息、第二信息和第三信息，其中，所述第一信息包括与用户身份相关的信息，所述第二信息包括与用户终端相关的信息，所述第三信息包括与用户终端的网络相关的信息；

从所述访问请求内容中提取第四信息，所述第四信息包括与数据库的操作相关的信息；

将所述第一信息、第二信息、第三信息和第四信息确定为所述多个维度的特征信息。

在一些实施例中，所述预测模型的训练过程包括：

获取多个维度的样本特征信息，并分别生成训练样本和测试样本，所述样本特征信息至少包括：与用户身份相关的样本特征信息，与用户终端相关的样本特征信息，与用户终端的网络相关的样本特征信息，以及与访问请求内容相关的样本特征信息；

利用所述训练样本对初始随机森林模型进行训练，得到训练后的随机森林模型；

利用所述测试样本对所述训练后的随机森林模型进行测试，得到针对所述测试样本的威胁程度的预测值；

在所述预测值小于或等于误差阈值的情况下，将所述训练后的随机森林模型作为所述预测模型。

在一些实施例中，所述方法还包括：

在所述威胁程度小于或等于所述预设阈值的情况下，响应所述访问请求；

通过所述零信任网络，向所述用户终端发送针对所述访问请求的数据资源。

在一些实施例中，所述方法还包括：

针对所述用户终端通过所述零信任网络发送的每一条访问请求，均进行所述危险程度预测操作。

在一些实施例中，所述与数据库的操作相关的信息至少包括：操作的类型、操作的对象数据库、操作的数据库表和请求时间。

第二方面，本申请实施例提供一种数据库访问控制装置，应用于数据库节点，所述数据库节点通过零信任网络与用户终端通信连接，所述装置包括：

信息提取模块，用于获取所述用户终端通过所述零信任网络发送的访问请求，并从所述访问请求中提取访问标识信息和访问请求内容；

特征信息生成模块，用于基于所述访问标识信息和所述访问请求内容，生成多个维度的特征信息，所述特征信息至少包括：与用户身份相关的特征信息，与用户终端相关的特征信息，与用户终端的网络相关的特征信息，以及与访问请求相关的特征信息；

预测模块，用于将所述多个维度的特征信息输入预先训练的预测模型中进行危险程度预测操作，得到所述访问请求对应的威胁程度，其中，所述预测模型是基于随机森林算法并通过多个维度的样本特征信息训练得到的；

执行模块，用于在所述威胁程度高于预设阈值的情况下，拒绝所述访问请求。

第三方面，本申请实施例提供一种数据服务系统，包括控制器、数据库节点、用户终端和中继节点，所述控制器与所述用户终端通信连接，所述中继节点通过零信任网络分别与所述数据库节点和所述用户终端通信连接，其中，

所述控制器，用于向所述用户终端下发数据访问规则；

所述用户终端，用于在接收所述数据访问规则后，向所述数据库节点发送符合所述数据访问规则的访问请求；

所述中继节点，用于接收和转发所述数据库节点和所述用户终端之间的通信内容；

所述数据库节点，用于在获取所述用户终端通过所述零信任网络发送的访问请求后，基于从所述访问请求中提取的访问标识信息和访问请求内容，生成多个维度的特征信息，并将所述多个维度的特征信息输入预先训练的预测模型中进行危险程度预测操作，得到所述访问请求对应的威胁程度；

以及，在所述威胁程度大于预设阈值的情况下，拒绝所述访问请求；

在所述威胁程度小于或等于所述预设阈值的情况下，响应所述访问请求。

在一些实施例中，所述数据服务系统基于WireGuard虚拟专用网络技术构建。

第四方面，本申请实施例提供一种计算机设备，包括存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，所述处理器执行所述程序时实现本申请实施例所述的方法。

第五方面，本申请实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现本申请实施例提供的所述的方法。

本申请实施例所提供的数据库访问控制方法及装置、系统、设备、存储介质，在获取用户终端通过零信任网络发送的访问请求后，能够对访问请求均采取不信任的策略进行威胁程度预测，相比于现有的手动配置数据库访问策略方式，能够大幅降低访问请求监测过程中的疏漏问题。并且，本申请实施例通过将访问请求中所提取的多个维度的特征信息输入预先训练的预测模型中进行危险程度预测，一方面，相比于现有的手动配置数据库访问策略方式，本申请实施例由于是基于多个维度的特征信息进行预测，因此能够实现对不同攻击行为的有效识别，从而应对更加多样化和复杂的攻击手段，具有更高的灵活性和便捷性；另一方面，由于多个维度的特征信息共同影响预测结果，预测模型在进行威胁程度预测时参考的信息更加全面，因此预测结果更加准确。可见，本申请实施例在对数据库进行访问控制时能够实现更高的灵活性和便捷性以及更准确的预测结果，同时还能够大幅降低访问请求监测过程中的疏漏问题，从而解决背景技术中所提出的技术问题。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，这些附图示出了符合本申请的实施例，并与说明书一起用于说明本申请的技术方案。

图1为本申请实施例提供的一种数据库访问控制方法的流程示意图；

图2为本申请实施例中步骤S101的一种流程示意图；

图3为本申请实施例中步骤S102的一种流程示意图；

图4为本申请实施例提供的另一种数据库访问控制方法的流程示意图；

图5为本申请实施例提供的一种数据库访问控制装置的结构示意图；

图6为本申请实施例提供的一种数据库访问控制系统的结构示意图；

图7为本申请实施例提供的一种计算机设备的结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请的具体技术方案做进一步详细描述。以下实施例用于说明本申请，但不用来限制本申请的范围。

除非另有定义，本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的，不是旨在限制本申请。

在以下的描述中，涉及到“一些实施例”，其描述了所有可能实施例的子集，但是可以理解，“一些实施例”可以是所有可能实施例的相同子集或不同子集，并且可以在不冲突的情况下相互结合。

需要指出，本申请实施例所涉及的术语“第一\第二\第三”用以区别类似或不同的对象，不代表针对对象的特定排序，可以理解地，“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序，以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。

申请人在提出本申请的过程中还发现：相关技术中，建立数据库防火墙普遍采用的方法为：预先对用户终端授权，管理员手动下发数据库访问策略，然后基于告警日志提醒的紧急处理方式来处理攻击事件。如此，配置了数据库访问策略之后，在没有触发告警日志情况下，数据库访问策略不会频繁更改。但是，一旦新的攻击行为没有触发告警，数据库将一直处于危险中。并且，现有数据库普遍采用的是一次验证便一直信任，这种保护机制对于愈发复杂的网络安全环境以及更多样化的攻击手段而言不够灵活，难以完全满足现在及未来的安全防范需求。

有鉴于此，本申请实施例提供一种数据库访问控制方法，该方法应用于数据库节点。数据库节点可以是一个存储有数据的节点，例如一台具有计算能力的计算机设备，或者，还可以是一台虚拟设备，例如云存储服务器。如图1所示的方法应用于计算机设备中，在实施的过程中该计算机设备可以为各种类型的具有信息处理能力和显示能力的设备。例如，该计算机设备可以包括服务器等。该方法所实现的功能可以通过计算机设备中的处理器调用程序代码来实现，当然程序代码可以保存在计算机存储介质中，可见，该计算机设备至少包括处理器和存储介质。

请参见图1，图1是本申请实施例提供的一种数据库访问控制方法的流程示意图，该方法应用于数据库节点，数据库节点通过零信任网络与用户终端通信连接，包括如下实施步骤：

S101、获取用户终端通过零信任网络发送的访问请求，并从访问请求中提取访问标识信息和访问请求内容；

本申请实施例基于零信任思想，可以将数据库节点和用户终端通过零信任网络建立通信连接。零信任是一种针对传统网络安全边界相对应的新安全理念，与通常的一次授权可以持续访问的安全策略不同，零信任的核心在于持续验证，无论对于网络的内外网的任何人、任何设备、任何系统均默认不信任策略。本申请实施例的零信任网络便是基于这种思想建立的网络。

本申请实施例中，数据库节点在获取用户终端通过零信任网络发送的访问请求后，可以从该访问请求中提取访问标识信息和访问请求内容，其中，访问标识信息用于标识访问者，以表明访问者的身份等信息；访问请求内容用于表明访问的目的，例如，对数据库进行某项操作。

S102、基于访问标识信息和访问请求内容，生成多个维度的特征信息；

数据库节点在提取访问标识信息和访问请求内容后，可以对访问标识信息和访问请求内容进行分析，从而，从中提取不同的特征信息。可以理解的是，这些特征信息可以是多个维度的，例如，包括但不限于：用户维度、终端维度、访问内容维度等。示例性地，上述特征信息至少可以包括但不限于：与用户身份相关的特征信息，例如，用户名；与用户终端相关的特征信息，例如，终端的型号；与用户终端的网络相关的特征信息，例如，终端的源IP地址；与访问请求相关的特征信息，例如，对数据库进行操作的类型。

S103、将多个维度的特征信息输入预先训练的预测模型中进行危险程度预测操作，得到访问请求对应的威胁程度；

在得到多个维度的特征信息后，数据库节点可以将这些特征信息输入预先训练的预测模型中进行危险程度预测操作，预测模型输出该访问请求对应的威胁程度，该威胁程度表示相应的访问请求属于攻击行为的置信度。在一种示例中，该置信度可以是0到1之间的数值，数值越小，表示访问请求属于攻击行为的置信度越低，数值越大，表示访问请求属于攻击行为的置信度越高；在另一种示例中，该置信度可以是0％到100％之间的百分率，百分率越小，表示访问请求属于攻击行为的置信度越低，百分率越大，表示访问请求属于攻击行为的置信度越高。

本申请实施例的预测模型，可以基于现有的随机森林算法构建出初始的随机森林模型，即初始模型，然后利用多个维度的样本特征信息对该初始模型进行训练后，从而得到预测模型。

S104、在威胁程度大于预设阈值的情况下，拒绝访问请求。

预测模型输出威胁程度后，如果该威胁程度大于预设阈值，则数据库节点可以拒绝该访问请求，从而保护数据库节点避免遭受攻击。可以理解的是，当阈值设置的较高时，则对数据库访问的控制程度较宽松；当阈值设置的较低时，则对数据库访问的控制程度较严格，管理人员可以根据实际业务需求灵活设置，也即，该阈值可以基于对访问控制的严格程度设置，从而提高本申请实施例对数据库访问控制的灵活程度。

通过实施本申请实施例，相比于现有的手动配置数据库访问策略方式，能够大幅降低访问请求监测过程中的疏漏问题。并且，本申请实施例通过将访问请求中所提取的多个维度的特征信息输入预先训练的预测模型中进行危险程度预测，一方面，相比于现有的手动配置数据库访问策略方式，本申请实施例由于是基于多个维度的特征信息进行预测，因此能够实现对不同攻击行为的有效识别，从而应对更加多样化和复杂的攻击手段，具有更高的灵活性和便捷性；另一方面，由于多个维度的特征信息共同影响预测结果，预测模型在进行威胁程度预测时参考的信息更加全面，因此预测结果更加准确。可见，本申请实施例在对数据库进行访问控制时能够实现更高的灵活性和便捷性以及更准确的预测结果，同时还能够大幅降低访问请求监测过程中的疏漏问题。

在一种可选的实施方式中，参考图2，上述步骤S101包括：

S1011、接收用户终端发送的携带有访问请求的数据包；

S1012、从数据包的包头中提取访问标识信息，从数据包的包体中提取访问请求内容。

本申请实施例中，数据库节点可以接收用户终端发送的数据包，该数据包中携带有访问请求。示例性地，管理人员可以为数据库节点安装服务器客户端应用程序，为用户终端安装用户客户端应用程序。如此，用户客户端应用程序在向数据库节点发送数据包时，可以在数据包的包头处添加一个额定数据量(例如50字节)的标识字段，该标识字段用于存放至少以下信息：与用户身份相关的信息，与用户终端相关的信息，以及与用户终端的网络相关的信息。同时，在数据包的包体中增加与访问请求相关的信息，该信息可以使用SQL(Structured Query Language，结构化查询语言)语言编写。如此，数据库节点接收该数据包后，服务器客户端应用程序可以解析该数据包，并从数据包的包头中提取访问标识信息，从数据包的包体中提取访问请求内容，以便在后续的特征信息生成过程中使用这些内容。

通过实施本申请实施例，能够在用户终端向数据库节点发送访问请求时，将多个维度的信息添加至数据包中，从而使数据库节点利用这些信息生成多个维度的特征信息，以便于预测模型利用这些特征信息进行威胁程度预测。

在一种可选的实施方式中，上述步骤S102包括：

步骤A、从访问标识信息中分别提取第一信息、第二信息和第三信息；

如前文所述，访问标识信息中至少包括与用户身份相关的信息，与用户终端相关的信息，以及与用户终端的网络相关的信息，因此数据库节点可以提取这些信息，即提取第一信息、第二信息和第三信息。

步骤B、从访问请求内容中提取第四信息；

相应的，数据库节点还可以提取与数据库的操作相关的信息，即提取第四信息。示例性地，第四信息可以包括但不限于：操作的类型，例如，读取、写入或删除数据，或者选择数据库；操作的对象数据库；操作的数据库表；请求时间，例如，请求发送的时间。

步骤C、将第一信息、第二信息、第三信息和第四信息确定为多个维度的特征信息。

数据库节点提取上述第一信息、第二信息、第三信息和第四信息后，可以将这些信息确定为不同维度的特征信息。本申请实施例能够提取的信息可以包括但不限于上述第一信息、第二信息、第三信息和第四信息。作为一种可选的实施方式，实际处理过程中，可以将上述多个维度的特征信息拼接后得到一个特征值向量，并将该特征值向量作为模型输入参数。通过实施本申请实施例，能够得到多个维度的特征信息，以便于预测模型利用这些特征信息进行威胁程度预测。

在一种可选的实施方式中，参考图3，预测模型的训练过程包括：

S301、获取多个维度的样本特征信息，并分别生成训练样本和测试样本；

该步骤可以位于步骤S101之前。数据库节点可以获取用户终端发送的多个样本访问请求，这些样本访问请求可能是无威胁的访问请求，也可能是有威胁的访问请求。针对每个样本访问请求，均可以生成相应的多个维度的特征信息以作为样本特征信息。可选地，针对每个样本访问请求，均可以将该样本访问请求的多个维度的特征信息拼接为一个特征值向量，并为每个特征值向量赋予威胁程度值，表示为ε，0≤ε≤1。如此，便可以利用这些样本访问请求分别生成训练样本集和测试样本集，其中，训练样本集表示为D＝{(X₁,ε₁),(X₂,ε₂),...,(X_K,ε_K)}，X表示训练样本集中的特征值向量；测试样本集表示为G＝{(Y₁,ε₁),(Y₂,ε₂),...,(Y_L,ε_L)}，Y表示测试样本集中的特征值向量。示例性地，X₁＝{用户A，删除操作，数据库INFO，数据库表User}，则用户A、删除操作、数据库INFO、数据库表User这四个特征信息组成的一个集合就是每个X或者Y。可以理解的是，上述样本特征信息至少包括：与用户身份相关的样本特征信息，与用户终端相关的样本特征信息，与用户终端的网络相关的样本特征信息，以及与访问请求内容相关的样本特征信息。本申请实施例可以采用现有的特征值向量生成方法来生成特征值向量，本申请实施例不再赘述。

S302、利用训练样本对初始随机森林模型进行训练，得到训练后的随机森林模型；

本申请实施例可以基于随机森林算法构建初始随机森林模型，该初始随机森林模型是一种决策树模型。示例性地，在训练随机森林模型的节点的时候，可以在节点上所有的样本特征中随机选择一部分样本特征，在这些随机选择的样本特征中，选择一个最优的特征来做决策树的左右子树划分，该最优特征通常是上述多个维度的特征信息中的一个重要特征。可以基于现有的基尼系数法来判断各特征的重要程度，本申请实施例不再赘述。通过对初始随机森林模型不断进行训练，经过多次的弱分类器迭代后，模型得到的回归结果进行算术平均后得到的值即为模型的输出。

S303、利用测试样本对训练后的随机森林模型进行测试，得到针对测试样本的威胁程度的预测值；

S304、在预测值小于或等于误差阈值的情况下，将训练后的随机森林模型作为预测模型。

利用测试样本随机森林模型进行测试的过程中，可以通过以下表达式计算均方误差：

式中，表示均方误差，L表示样本个数，ε_i表示真实值，ε'表示预测值。

模型训练人员可以手动设置误差阈值，例如，给定误差阈值δ，若满足则认为预测模型有效，将训练后的随机森林模型作为预测模型。

本申请实施例通过对随机森林模型进行训练，能够得到预测模型，从而利用该预测模型对访问请求的威胁程度进行预测，提供了一种有效、灵活和敏感的数据库保护机制。

本申请实施例还提供了一种数据库访问控制方法，在图1所示流程的基础上，参考图4，该方法包括：

S401、在威胁程度小于或等于预设阈值的情况下，响应访问请求；

S402、通过零信任网络，向用户终端发送针对访问请求的数据资源。

可以理解的是，在威胁程度小于或等于预设阈值的情况下，则数据库节点判定该访问请求安全，便可以响应该访问请求，通过零信任网络向用户终端发送该访问请求所请求的数据资源，或者响应该访问请求对数据库节点希望执行的操作。如此，数据库节点可以针对不同威胁程度的访问请求执行不同的操作，在保证数据库安全的前提下高效提供数据服务，提高了数据库节点的智能程度。

在一种可选的实施方式中，本申请实施例的数据库访问控制方法还包括：

针对用户终端通过零信任网络发送的每一条访问请求，均进行危险程度预测操作。

数据库节点会接收多条访问请求，这些访问请求可能来自不同的用户终端，并不能保证这些用户终端都是没有威胁的。基于此应用场景，本申请实施例中，数据库节点可以对每一条访问请求均进行危险程度预测操作，从而避免疏漏任何一条访问请求。如此，可以最大程度的保证数据库节点的安全性。

应该理解的是，虽然上述各流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，上述各流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

基于前述的实施例，本申请实施例提供一种数据库访问控制装置，该装置所包括的各模块、以及各模块所包括的各单元，可以通过处理器来实现；当然也可通过具体的逻辑电路实现；在实施的过程中，处理器可以为中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)或现场可编程门阵列(FPGA)等。

图5为本申请实施例提供的数据库访问控制装置的结构示意图，如图5所示，所述装置500包括信息提取模块501、特征信息生成模块502、预测模块503和执行模块504，其中：

信息提取模块501，用于获取用户终端通过零信任网络发送的访问请求，并从访问请求中提取访问标识信息和访问请求内容；

特征信息生成模块502，用于基于访问标识信息和访问请求内容，生成多个维度的特征信息。特征信息至少包括：与用户身份相关的特征信息，与用户终端相关的特征信息，与用户终端的网络相关的特征信息，以及与访问请求相关的特征信息；

预测模块503，用于将多个维度的特征信息输入预先训练的预测模型中进行危险程度预测操作，得到访问请求对应的威胁程度，其中，预测模型是基于随机森林算法并通过多个维度的样本特征信息训练得到的；

执行模块504，用于在威胁程度高于预设阈值的情况下，拒绝访问请求。

在一些实施方式中，信息提取模块具体用于：

接收用户终端发送的携带有访问请求的数据包；

从数据包的包头中提取访问标识信息，从数据包的包体中提取访问请求内容。

在一些实施方式中，特征信息生成模块具体用于：

从访问标识信息中分别提取第一信息、第二信息和第三信息。其中，第一信息包括与用户身份相关的信息，第二信息包括与用户终端相关的信息，第三信息包括与用户终端的网络相关的信息；

从访问请求内容中提取第四信息，第四信息包括与数据库的操作相关的信息；

将第一信息、第二信息、第三信息和第四信息确定为多个维度的特征信息。

在一些实施方式中，本申请实施例的数据库访问控制装置还包括：

模型生成模块，用于获取多个维度的样本特征信息，并分别生成训练样本和测试样本，样本特征信息至少包括：与用户身份相关的样本特征信息，与用户终端相关的样本特征信息，与用户终端的网络相关的样本特征信息，以及与访问请求内容相关的样本特征信息；利用训练样本对初始随机森林模型进行训练，得到训练后的随机森林模型；利用测试样本对训练后的随机森林模型进行测试，得到针对测试样本的威胁程度的预测值；在预测值小于或等于误差阈值的情况下，将训练后的随机森林模型作为预测模型。

在一些实施方式中，本申请实施例的执行模块还用于：

在威胁程度小于或等于预设阈值的情况下，响应访问请求；

通过零信任网络，向用户终端发送针对访问请求的数据资源。

在一些实施方式中，本申请实施例的预测模块还用于：

实施本申请实施例提供的数据库访问控制装置，信息提取模块在获取用户终端通过零信任网络发送的访问请求后，预测模块对访问请求均采取不信任的策略进行威胁程度预测，相比于现有的手动配置数据库访问策略方式，能够大幅降低访问请求监测过程中的疏漏问题。并且，预测模块通过将访问请求中所提取的多个维度的特征信息输入预先训练的预测模型中进行危险程度预测，一方面，相比于现有的手动配置数据库访问策略方式，本申请实施例由于是基于多个维度的特征信息进行预测，因此能够实现对不同攻击行为的有效识别，从而应对更加多样化和复杂的攻击手段，具有更高的灵活性和便捷性；另一方面，由于多个维度的特征信息共同影响预测结果，预测模型在进行威胁程度预测时参考的信息更加全面，因此预测结果更加准确。可见，本申请实施例在对数据库进行访问控制时能够实现更高的灵活性和便捷性以及更准确的预测结果，同时还能够大幅降低访问请求监测过程中的疏漏问题，从而解决背景技术中所提出的技术问题。

以上装置实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节，请参照本申请方法实施例的描述而理解。

需要说明的是，本申请实施例中图5所示的数据库访问控制装置对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。也可以采用软件和硬件结合的形式实现。

需要说明的是，本申请实施例中，如果以软件功能模块的形式实现上述的方法，并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得电子设备执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read Only Memory，ROM)、磁碟或者光盘等各种可以存储程序代码的介质。这样，本申请实施例不限制于任何特定的硬件和软件结合。

本申请实施例提供一种数据服务系统，如图6所示，包括控制器601、数据库节点602、用户终端603和中继节点604，控制器601与用户终端603通信连接，中继节点604通过零信任网络605分别与数据库节点602和用户终端603通信连接。其中，

控制器601用于向用户终端下发数据访问规则，该数据访问规则可以规定用户终端能够访问数据库节点中的哪些资源，或者，对数据库节点进行哪些操作等。

用户终端603用于在接收数据访问规则后，向数据库节点发送符合数据访问规则的访问请求，提高访问请求的规范性。

中继节点604用于接收和转发数据库节点和用户终端之间的通信内容。中继节点可以理解为零信任网络隧道的桥梁，用于连接数据库节点和用户终端之间的通信链路。

数据库节点602用于在获取用户终端通过零信任网络发送的访问请求后，基于从访问请求中提取的访问标识信息和访问请求内容，生成多个维度的特征信息，并将多个维度的特征信息输入预先训练的预测模型中进行危险程度预测操作，得到访问请求对应的威胁程度；以及，在威胁程度大于预设阈值的情况下，拒绝访问请求；在威胁程度小于或等于预设阈值的情况下，响应访问请求。

在一种可选的实施方式中，本申请实施例的数据服务系统可以基于WireGuard虚拟专用网络技术构建。WireGuard是一个开源的VPN(Virtual Private Network，虚拟专用网络)，具有易于配置、快速且安全的优势。

本申请实施例提供的数据服务系统，数据库节点在获取用户终端通过零信任网络发送的访问请求后，能够对访问请求均采取不信任的策略进行威胁程度预测，相比于现有的手动配置数据库访问策略方式，能够大幅降低访问请求监测过程中的疏漏问题。并且，数据库节点通过将访问请求中所提取的多个维度的特征信息输入预先训练的预测模型中进行危险程度预测，一方面，相比于现有的手动配置数据库访问策略方式，本申请实施例由于是基于多个维度的特征信息进行预测，因此能够实现对不同攻击行为的有效识别，从而应对更加多样化和复杂的攻击手段，具有更高的灵活性和便捷性；另一方面，由于多个维度的特征信息共同影响预测结果，预测模型在进行威胁程度预测时参考的信息更加全面，因此预测结果更加准确。可见，本申请实施例的数据库节点在对数据库进行访问控制时能够实现更高的灵活性和便捷性以及更准确的预测结果，同时还能够大幅降低访问请求监测过程中的疏漏问题。

本申请实施例提供一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现上述方法。

本申请实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述实施例中提供的方法中的步骤。

本申请实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述方法实施例提供的方法中的步骤。

本领域技术人员可以理解，图7中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，本申请提供的数据库访问控制装置可以实现为一种计算机程序的形式，计算机程序可在如图7所示的计算机设备上运行。计算机设备的存储器中可存储组成上述装置的各个程序模块。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的本申请各个实施例的方法中的步骤。

这里需要指出的是：以上存储介质和设备实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本申请存储介质、存储介质和设备实施例中未披露的技术细节，请参照本申请方法实施例的描述而理解。

应理解，说明书通篇中提到的“一个实施例”或“一实施例”或“一些实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”或“在一些实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。上文对各个实施例的描述倾向于强调各个实施例之间的不同之处，其相同或相似之处可以互相参考，为了简洁，本文不再赘述。

本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如对象A和/或对象B，可以表示：单独存在对象A，同时存在对象A和对象B，单独存在对象B这三种情况。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者设备中还存在另外的相同要素。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个模块或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或模块的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的模块可以是、或也可以不是物理上分开的，作为模块显示的部件可以是、或也可以不是物理模块；既可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部模块来实现本实施例方案的目的。

另外，在本申请各实施例中的各功能模块可以全部集成在一个处理单元中，也可以是各模块分别单独作为一个单元，也可以两个或两个以上模块集成在一个单元中；上述集成的模块既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(Read Only Memory，ROM)、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得电子设备执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。

本申请所提供的几个方法实施例中所揭露的方法，在不冲突的情况下可以任意组合，得到新的方法实施例。

本申请所提供的几个产品实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的产品实施例。

本申请所提供的几个方法或设备实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的方法实施例或设备实施例。

以上所述，仅为本申请的实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

1.一种数据服务系统，其特征在于，包括控制器、数据库节点、用户终端和中继节点，所述控制器与所述用户终端通信连接，所述中继节点通过零信任网络分别与所述数据库节点和所述用户终端通信连接，其中，

所述控制器，用于向所述用户终端下发数据访问规则；

2.根据权利要求1所述的数据服务系统，其特征在于，所述数据服务系统基于WireGuard虚拟专用网络技术构建。

3.一种数据库访问控制方法，其特征在于，应用于权利要求1或2所述的数据服务系统的所述数据库节点，所述数据库节点通过零信任网络与用户终端通信连接，所述方法包括：

4.根据权利要求3所述的方法，其特征在于，所述获取所述用户终端通过所述零信任网络发送的访问请求，并从所述访问请求中提取访问标识信息和访问请求内容，包括：

接收用户终端发送的携带有所述访问请求的数据包；

5.根据权利要求3或4所述的方法，其特征在于，所述基于所述访问标识信息和所述访问请求内容，生成多个维度的特征信息，包括：

6.根据权利要求3或4所述的方法，其特征在于，所述预测模型的训练过程包括：

7.根据权利要求3或4所述的方法，其特征在于，所述方法还包括：

8.根据权利要求3或4所述的方法，其特征在于，所述方法还包括：

9.根据权利要求5所述的方法，其特征在于，所述与数据库的操作相关的信息至少包括：操作的类型、操作的对象数据库、操作的数据库表和请求时间。

10.一种数据库访问控制装置，其特征在于，应用于权利要求1或2所述的数据服务系统的所述数据库节点，所述数据库节点通过零信任网络与用户终端通信连接，所述装置包括：

11.一种计算机设备，包括存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现权利要求3至9任一项所述方法的步骤。

12.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求3至9任一项所述的方法。