CN117633783A - 数据库的攻击防御方法、装置、存储介质及电子设备 - Google Patents
数据库的攻击防御方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN117633783A CN117633783A CN202311570087.1A CN202311570087A CN117633783A CN 117633783 A CN117633783 A CN 117633783A CN 202311570087 A CN202311570087 A CN 202311570087A CN 117633783 A CN117633783 A CN 117633783A
- Authority
- CN
- China
- Prior art keywords
- attack
- target
- database
- category
- attacker
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000007123 defense Effects 0.000 title claims abstract description 80
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000012549 training Methods 0.000 claims abstract description 74
- 238000003062 neural network model Methods 0.000 claims abstract description 50
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 26
- 238000005516 engineering process Methods 0.000 claims abstract description 16
- 238000007621 cluster analysis Methods 0.000 claims abstract description 15
- 238000012360 testing method Methods 0.000 claims description 23
- 238000012545 processing Methods 0.000 claims description 15
- 235000012907 honey Nutrition 0.000 claims description 13
- 230000006870 function Effects 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 6
- 230000001939 inductive effect Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 description 11
- 230000006399 behavior Effects 0.000 description 5
- 239000000243 solution Substances 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000003064 k means clustering Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000005422 blasting Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Probability & Statistics with Applications (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种数据库的攻击防御方法、装置、存储介质及电子设备,涉及金融科技领域或其他相关领域。该方法包括:获取攻击日志信息;通过目标聚类算法对攻击日志信息进行聚类分析,得到多个攻击类别;通过目标预测模型依据每个攻击类别对应的信息集合,计算每个攻击类别在未来目标时间段内进行攻击的概率值,并依据概率值确定每个攻击类别对应的预测攻击结果,其中,目标预测模型是通过样本数据集对神经网络模型训练得到的;依据每个攻击类别对应的预测攻击结果,确定对每个攻击类别包含的攻击者的目标防御策略。本发明解决了现有技术中对于数据库攻击采用被动防御的方式,存在数据库安全性较低的技术问题。
Description
技术领域
本发明涉及金融科技领域或其他相关领域,具体而言,涉及一种数据库的攻击防御方法、装置、存储介质及电子设备。
背景技术
目前,现有技术中数据库在面对攻击时往往采用被动防御的方式,例如,在防御SQL注入攻击时,采用对输入字符串的合规检查、特殊符号的过滤、预编译等方式,无法有效防御攻击,存在数据库安全性较低的问题,并且,无法对攻击者溯源。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种数据库的攻击防御方法、装置、存储介质及电子设备,以至少解决现有技术中对于数据库攻击采用被动防御的方式,存在数据库安全性较低的技术问题。
根据本发明实施例的一个方面,提供了一种数据库的攻击防御方法,包括:获取攻击日志信息,其中,攻击日志信息至少包括攻击者的终端信息和身份信息,终端信息和身份信息是通过目标数据库的目标服务对攻击者进行溯源得到的;通过目标聚类算法对攻击日志信息进行聚类分析,得到多个攻击类别;通过目标预测模型依据每个攻击类别对应的信息集合,计算每个攻击类别在未来目标时间段内进行攻击的概率值,并依据概率值确定每个攻击类别对应的预测攻击结果,其中,目标预测模型是通过样本数据集对神经网络模型训练得到的;依据每个攻击类别对应的预测攻击结果,确定对每个攻击类别包含的攻击者的目标防御策略。
进一步地,在获取攻击日志信息之前,该方法还包括:在目标服务接收到攻击者的终端发送的访问请求的情况下,通过目标服务将访问请求转发至目标数据库,其中,目标服务为诱导攻击者进行攻击的蜜罐服务,目标数据库是通过蜜罐技术构造的用于存放虚假数据的数据库;通过目标数据库基于访问请求生成目标数据包,并将目标数据包发送至攻击者的终端,其中,目标数据包至少包括目标脚本,目标脚本中配置有目标路径信息;在将目标数据包发送至攻击者的终端之后,执行目标脚本,并依据目标路径信息获取终端信息和身份信息。
进一步地,通过目标聚类算法对攻击日志信息进行聚类分析,得到多个攻击类别,包括:确定初始聚类簇数K,并通过目标聚类算法随机生成K个初始簇心,其中,K为正整数;计算每条攻击日志信息与K个初始簇心之间的距离,并依据距离确定每条攻击日志信息对应的聚类簇;依据聚类簇进行迭代聚类,直至满足预设迭代终止条件,得到多个聚类簇;确定多个聚类簇对应的攻击类别,得到多个攻击类别。
进一步地,依据概率值确定每个攻击类别对应的预测攻击结果,包括:获取预设阈值,并对概率值和预设阈值进行比对;在概率值大于预设阈值的情况下,确定预测攻击结果为攻击;在概率值小于或等于预设阈值的情况下,确定预测攻击结果为不攻击。
进一步地,依据每个攻击类别对应的预测攻击结果,确定对每个攻击类别包含的攻击者的目标防御策略,包括:若攻击类别对应的预测攻击结果为攻击,则将第一防御策略作为目标防御策略;若攻击类别对应的预测攻击结果为不攻击,则将第二防御策略作为目标防御策略,其中,第一防御策略对应的防御等级高于第二防御策略对应的防御等级。
进一步地,通过以下步骤生成目标预测模型:获取样本数据集,并将样本数据集拆分为训练集和测试集,其中,样本数据集包括攻击者的历史攻击日志信息和真实标签,真实标签用于标识历史攻击日志信息对应的攻击结果;依据训练集和测试集对神经网络模型进行训练和优化,得到目标预测模型。
进一步地,依据训练集和测试集对神经网络模型进行训练和优化,得到目标预测模型,包括:将训练集中的训练样本输入神经网络模型,并通过神经网络模型输出训练样本对应的预测攻击结果;依据训练样本对应的预测攻击结果、真实标签以及测试集,对神经网络模型进行迭代训练,直至神经网络模型的损失函数的损失值满足预设条件,得到目标预测模型。
根据本发明实施例的另一方面,还提供了一种数据库的攻击防御装置,包括:第一获取模块,用于获取攻击日志信息,其中,攻击日志信息至少包括攻击者的终端信息和身份信息,终端信息和身份信息是通过目标数据库的目标服务对攻击者进行溯源得到的;第一处理模块,用于通过目标聚类算法对攻击日志信息进行聚类分析,得到多个攻击类别;第二处理模块,用于通过目标预测模型依据每个攻击类别对应的信息集合,计算每个攻击类别在未来目标时间段内进行攻击的概率值,并依据概率值确定每个攻击类别对应的预测攻击结果,其中,目标预测模型是通过样本数据集对神经网络模型训练得到的;第一确定模块,用于依据每个攻击类别对应的预测攻击结果,确定对每个攻击类别包含的攻击者的目标防御策略。
根据本发明实施例的另一方面,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,其中,计算机程序被设置为运行时执行上述的数据库的攻击防御方法。
根据本发明实施例的另一方面,还提供了一种电子设备,该电子设备包括一个或多个处理器;存储器,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现用于运行程序,其中,程序被设置为运行时执行上述的数据库的攻击防御方法。
在本发明实施例中,采用通过蜜罐技术对攻击行为进行捕获和分析的方式,首先获取攻击日志信息,然后通过目标聚类算法对攻击日志信息进行聚类分析,得到多个攻击类别,然后通过目标预测模型依据每个攻击类别对应的信息集合,计算每个攻击类别在未来目标时间段内进行攻击的概率值,并依据概率值确定每个攻击类别对应的预测攻击结果,然后依据每个攻击类别对应的预测攻击结果,确定对每个攻击类别包含的攻击者的目标防御策略。其中,攻击日志信息至少包括攻击者的终端信息和身份信息,终端信息和身份信息是通过目标数据库的目标服务对攻击者进行溯源得到的,目标预测模型是通过样本数据集对神经网络模型训练得到的。
在上述过程中,通过对蜜罐技术构造的数据库(即目标数据库)的攻击日志进行分析,可以实现攻击规律的总结,从而能够通过目标预测模型进行攻击预测,并依据预测结果进行相应的防护响应,实现了对数据库攻击的有效防御和溯源,有效地提高了数据库的安全性,从而提升了系统的可靠性。
由此可见,通过本发明的技术方案,达到了对数据库攻击进行有效防御和溯源的目的,从而实现了提高数据库的安全性的技术效果,进而解决了现有技术中对于数据库攻击采用被动防御的方式,存在数据库安全性较低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的数据库的攻击防御方法的流程图;
图2是根据本发明实施例的一种可选的数据库的攻击溯源的流程图;
图3是根据本发明实施例的一种可选的数据库的攻击防御装置的示意图;
图4是根据本发明实施例的一种可选的电子设备的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本发明所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等),均为经用户授权或者经过各方充分授权的信息和数据。例如,本系统和相关用户或机构间设置有接口,在获取相关信息之前,需要通过接口向前述的用户或机构发送获取请求,并在接收到前述的用户或机构反馈的同意信息后,获取相关信息。
实施例1
根据本发明实施例,提供了一种数据库的攻击防御方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种可选的数据库的攻击防御方法的流程图,如图1所示,该方法包括如下步骤:
步骤S101,获取攻击日志信息,其中,攻击日志信息至少包括攻击者的终端信息和身份信息,终端信息和身份信息是通过目标数据库的目标服务对攻击者进行溯源得到的。
在上述步骤中,可以通过应用系统、处理器、电子设备等装置获取攻击日志信息,可选地,通过数据库的攻击防御系统获取攻击日志信息,其中,攻击日志信息包括攻击行为、攻击来源IP、攻击方式、攻击内容、攻击时间等信息,终端信息可以是攻击来源IP、攻击者的默认路径的配置文件信息等,身份信息可以是攻击者的用户名、账号信息等,目标数据库是通过蜜罐技术构造的用于存放虚假数据的数据库,目标服务为诱导攻击者进行攻击的漏洞服务。
例如,MySQL(关系型数据库管理系统)通过蜜罐技术构造一个蜜罐数据库,在蜜罐数据库中故意保留或暴露漏洞服务,诱导攻击者进行攻击,当攻击者对漏洞服务进行端口爆破后连接MySQL蜜罐服务器时,就可以获取到攻击IP,并读取攻击者本地文件,实现对攻击者的溯源。
步骤S102,通过目标聚类算法对攻击日志信息进行聚类分析,得到多个攻击类别。
可选地,目标聚类算法可以是K均值聚类算法,通过K均值聚类算法对攻击日志信息进行聚类分析,可以得到多个攻击类别,其中,攻击类别可以根据需求自行选择,例如,以攻击习惯分类、以攻击方式分类等,实现对攻击规律的总结。
步骤S103,通过目标预测模型依据每个攻击类别对应的信息集合,计算每个攻击类别在未来目标时间段内进行攻击的概率值,并依据概率值确定每个攻击类别对应的预测攻击结果,其中,目标预测模型是通过样本数据集对神经网络模型训练得到的。
步骤S104,依据每个攻击类别对应的预测攻击结果,确定对每个攻击类别包含的攻击者的目标防御策略。
可选地,通过样本数据集训练神经网络模型,可以使模型学习攻击规律,分析攻击者的攻击习惯,从而能够通过训练好的模型(即目标预测模型)对攻击进行预测,进而能够依据预测攻击结果,确定出相应的防御策略(即目标防御策略),例如,当概率值大于预设阈值时,认为会攻击,选择防御等级高的策略进行防御;当概率值小于或等于预设阈值时,认为不会攻击,选择一般防御等级的策略进行防御。
基于上述步骤S101至步骤S104所限定的方案,可以获知,在本发明实施例中,采用通过蜜罐技术对攻击行为进行捕获和分析的方式,首先获取攻击日志信息,然后通过目标聚类算法对攻击日志信息进行聚类分析,得到多个攻击类别,然后通过目标预测模型依据每个攻击类别对应的信息集合,计算每个攻击类别在未来目标时间段内进行攻击的概率值,并依据概率值确定每个攻击类别对应的预测攻击结果,然后依据每个攻击类别对应的预测攻击结果,确定对每个攻击类别包含的攻击者的目标防御策略。其中,攻击日志信息至少包括攻击者的终端信息和身份信息,终端信息和身份信息是通过目标数据库的目标服务对攻击者进行溯源得到的,目标预测模型是通过样本数据集对神经网络模型训练得到的。
容易注意到的是,在上述过程中,通过对蜜罐技术构造的数据库(即目标数据库)的攻击日志进行分析,可以实现攻击规律的总结,从而能够通过目标预测模型进行攻击预测,并依据预测结果进行相应的防护响应,实现了对数据库攻击的有效防御和溯源,有效地提高了数据库的安全性,从而提升了系统的可靠性。
由此可见,通过本发明的技术方案,达到了对数据库攻击进行有效防御和溯源的目的,从而实现了提高数据库的安全性的技术效果,进而解决了现有技术中对于数据库攻击采用被动防御的方式,存在数据库安全性较低的技术问题。
图2是根据本发明实施例的一种可选的数据库的攻击溯源的流程图,如图2所示,包括如下步骤:
步骤S201,在获取攻击日志信息之前,在目标服务接收到攻击者的终端发送的访问请求的情况下,通过目标服务将访问请求转发至目标数据库,其中,目标服务为诱导攻击者进行攻击的蜜罐服务,目标数据库是通过蜜罐技术构造的用于存放虚假数据的数据库。
可选地,在目标服务接收到攻击者的终端发送的访问请求的情况下,通过目标服务将访问请求转发至目标数据库。例如,攻击者对漏洞服务进行端口爆破,可以得到漏洞服务的登录信息,然后依据登录信息成功连接蜜罐数据库,即成功登录漏洞服务,通过漏洞服务将访问请求转发至蜜罐数据库。
步骤S202,通过目标数据库基于访问请求生成目标数据包,并将目标数据包发送至攻击者的终端,其中,目标数据包至少包括目标脚本,目标脚本中配置有目标路径信息。
可选地,攻击者成功连接蜜罐数据库后,通过蜜罐数据库基于访问请求生成目标数据包,并将目标数据包发送至攻击者的终端,其中,目标数据包中包含虚假数据和获取攻击者信息的脚本(即目标脚本)。
步骤S203,在将目标数据包发送至攻击者的终端之后,执行目标脚本,并依据目标路径信息获取终端信息和身份信息。
可选地,在将目标数据包发送至攻击者的终端之后,执行目标脚本,就可以依据目标路径信息获取到终端信息和身份信息。例如,可以依据目标脚本中配置的默认路径信息(即目标路径信息),在攻击者的终端中获取该路径下的文件,从而得到攻击者的电脑用户名,并可以基于此用户名继续溯源用户的数据信息。
在一种可选的实施例中,通过目标聚类算法对攻击日志信息进行聚类分析,得到多个攻击类别,包括:确定初始聚类簇数K,并通过目标聚类算法随机生成K个初始簇心,其中,K为正整数;计算每条攻击日志信息与K个初始簇心之间的距离,并依据距离确定每条攻击日志信息对应的聚类簇;依据聚类簇进行迭代聚类,直至满足预设迭代终止条件,得到多个聚类簇;确定多个聚类簇对应的攻击类别,得到多个攻击类别。
可选地,在通过目标聚类算法对攻击日志信息进行聚类分析,得到多个攻击类别的过程中,首先确定初始聚类簇数K,并通过目标聚类算法随机生成K个初始簇心,然后计算每条攻击日志信息与K个初始簇心之间的距离,并依据距离确定每条攻击日志信息对应的聚类簇,然后依据聚类簇进行迭代聚类,直至满足预设迭代终止条件,得到多个聚类簇,然后确定多个聚类簇对应的攻击类别,得到多个攻击类别。
例如,在给定最优簇数K后,通过K均值聚类算法随机生成K个初始簇心,将数据(即每条攻击日志信息)按照距离簇心的远近分到各簇中,再将各簇中的数据求平均值作为新的簇心,重复上述步骤,直至左右的簇不再改变(即满足预设迭代终止条件),得到多个聚类簇,然后按照预设的分类类别对聚类结果进行解读,即确定多个聚类簇对应的攻击类别,得到多个攻击类别。
需要说明的是,通过上述过程,实现了对攻击规律的总结,从而能够通过目标预测模型进行攻击预测,并依据预测结果进行相应的防护响应,实现了对数据库攻击的有效防御和溯源,有效地提高了数据库的安全性,从而提升了系统的可靠性。
在一种可选的实施例中,依据概率值确定每个攻击类别对应的预测攻击结果,包括:获取预设阈值,并对概率值和预设阈值进行比对;在概率值大于预设阈值的情况下,确定预测攻击结果为攻击;在概率值小于或等于预设阈值的情况下,确定预测攻击结果为不攻击。
在一种可选的实施例中,依据每个攻击类别对应的预测攻击结果,确定对每个攻击类别包含的攻击者的目标防御策略,包括:若攻击类别对应的预测攻击结果为攻击,则将第一防御策略作为目标防御策略;若攻击类别对应的预测攻击结果为不攻击,则将第二防御策略作为目标防御策略,其中,第一防御策略对应的防御等级高于第二防御策略对应的防御等级。
可选地,在依据概率值确定每个攻击类别对应的预测攻击结果的过程中,首先获取预设阈值,并对概率值和预设阈值进行比对,在概率值大于预设阈值的情况下,确定预测攻击结果为攻击;在概率值小于或等于预设阈值的情况下,确定预测攻击结果为不攻击。
可选地,在依据每个攻击类别对应的预测攻击结果,确定对每个攻击类别包含的攻击者的目标防御策略的过程中,若攻击类别对应的预测攻击结果为攻击,则将第一防御策略作为目标防御策略;若攻击类别对应的预测攻击结果为不攻击,则将第二防御策略作为目标防御策略。
例如,当概率值大于预设阈值时,认为会攻击,选择防御等级高的策略(即第一防御策略)进行防御;当概率值小于或等于预设阈值时,认为不会攻击,选择一般防御等级的策略(即第二防御策略)进行防御。
需要说明的是,通过上述过程,实现了对目标防御策略的准确确定,有效地提高了数据库的安全性,从而提升了系统的可靠性。
在一种可选的实施例中,通过以下步骤生成目标预测模型:获取样本数据集,并将样本数据集拆分为训练集和测试集,其中,样本数据集包括攻击者的历史攻击日志信息和真实标签,真实标签用于标识历史攻击日志信息对应的攻击结果;依据训练集和测试集对神经网络模型进行训练和优化,得到目标预测模型。
在一种可选的实施例中,依据训练集和测试集对神经网络模型进行训练和优化,得到目标预测模型,包括:将训练集中的训练样本输入神经网络模型,并通过神经网络模型输出训练样本对应的预测攻击结果;依据训练样本对应的预测攻击结果、真实标签以及测试集,对神经网络模型进行迭代训练,直至神经网络模型的损失函数的损失值满足预设条件,得到目标预测模型。
可选地,在生成目标预测模型的过程中,首先获取样本数据集,并将样本数据集拆分为训练集和测试集,然后依据训练集和测试集对神经网络模型进行训练和优化,可以得到目标预测模型。例如,依据MySQL的历史攻击日志构建样本数据集,结合日志信息可以查看到攻击者的IP、探测的端口、攻击事件以及在攻击蜜罐数据库时的试探行为,通过对神经网络模型进行训练和优化,可以使模型学习攻击规律,推测攻击者的习惯。
可选地,在依据训练集和测试集对神经网络模型进行训练和优化,得到目标预测模型的过程中,首先将训练集中的训练样本输入神经网络模型,并通过神经网络模型输出训练样本对应的预测攻击结果,然后依据训练样本对应的预测攻击结果、真实标签以及测试集,对神经网络模型进行迭代训练,直至神经网络模型的损失函数的损失值满足预设条件,得到目标预测模型。例如,采用广泛应用的训练方法对神经网络模型进行迭代训练,直至神经网络模型的损失函数的损失值满足预设条件(例如,损失值小于损失阈值),可以得到目标预测模型。
需要说明的是,在本发明实施例中,采用通过蜜罐技术对攻击行为进行捕获和分析的方式,首先获取攻击日志信息,然后通过目标聚类算法对攻击日志信息进行聚类分析,得到多个攻击类别,然后通过目标预测模型依据每个攻击类别对应的信息集合,计算每个攻击类别在未来目标时间段内进行攻击的概率值,并依据概率值确定每个攻击类别对应的预测攻击结果,然后依据每个攻击类别对应的预测攻击结果,确定对每个攻击类别包含的攻击者的目标防御策略。其中,攻击日志信息至少包括攻击者的终端信息和身份信息,终端信息和身份信息是通过目标数据库的目标服务对攻击者进行溯源得到的,目标预测模型是通过样本数据集对神经网络模型训练得到的。
容易注意到的是,在上述过程中,通过对蜜罐技术构造的数据库(即目标数据库)的攻击日志进行分析,可以实现攻击规律的总结,从而能够通过目标预测模型进行攻击预测,并依据预测结果进行相应的防护响应,实现了对数据库攻击的有效防御和溯源,有效地提高了数据库的安全性,从而提升了系统的可靠性。
由此可见,通过本发明的技术方案,达到了对数据库攻击进行有效防御和溯源的目的,从而实现了提高数据库的安全性的技术效果,进而解决了现有技术中对于数据库攻击采用被动防御的方式,存在数据库安全性较低的技术问题。
实施例2
根据本发明实施例,提供了一种数据库的攻击防御装置的实施例,其中,图3是根据本发明实施例的一种可选的数据库的攻击防御装置的示意图,如图3所示,该装置包括:第一获取模块301,用于获取攻击日志信息,其中,攻击日志信息至少包括攻击者的终端信息和身份信息,终端信息和身份信息是通过目标数据库的目标服务对攻击者进行溯源得到的;第一处理模块302,用于通过目标聚类算法对攻击日志信息进行聚类分析,得到多个攻击类别;第二处理模块303,用于通过目标预测模型依据每个攻击类别对应的信息集合,计算每个攻击类别在未来目标时间段内进行攻击的概率值,并依据概率值确定每个攻击类别对应的预测攻击结果,其中,目标预测模型是通过样本数据集对神经网络模型训练得到的;第一确定模块304,用于依据每个攻击类别对应的预测攻击结果,确定对每个攻击类别包含的攻击者的目标防御策略。
需要说明的是,上述的第一获取模块301、第一处理模块302、第二处理模块303以及第一确定模块304对应于上述实施例中的步骤S101至步骤S104,四个模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例1所公开的内容。
可选地,数据库的攻击防御装置还包括:第三处理模块,用于在获取攻击日志信息之前,在目标服务接收到攻击者的终端发送的访问请求的情况下,通过目标服务将访问请求转发至目标数据库,其中,目标服务为诱导攻击者进行攻击的蜜罐服务,目标数据库是通过蜜罐技术构造的用于存放虚假数据的数据库;发送模块,用于通过目标数据库基于访问请求生成目标数据包,并将目标数据包发送至攻击者的终端,其中,目标数据包至少包括目标脚本,目标脚本中配置有目标路径信息;第二获取模块,用于在将目标数据包发送至攻击者的终端之后,执行目标脚本,并依据目标路径信息获取终端信息和身份信息。
可选地,第一处理模块包括:第二确定模块,用于确定初始聚类簇数K,并通过目标聚类算法随机生成K个初始簇心,其中,K为正整数;第一计算模块,用于计算每条攻击日志信息与K个初始簇心之间的距离,并依据距离确定每条攻击日志信息对应的聚类簇;第四处理模块,用于依据聚类簇进行迭代聚类,直至满足预设迭代终止条件,得到多个聚类簇;第三确定模块,用于确定多个聚类簇对应的攻击类别,得到多个攻击类别。
可选地,第二处理模块包括:第三获取模块,用于获取预设阈值,并对概率值和预设阈值进行比对;第四确定模块,用于在概率值大于预设阈值的情况下,确定预测攻击结果为攻击;第五确定模块,用于在概率值小于或等于预设阈值的情况下,确定预测攻击结果为不攻击。
可选地,第一确定模块包括:第六确定模块,用于若攻击类别对应的预测攻击结果为攻击,则将第一防御策略作为目标防御策略;第七确定模块,用于若攻击类别对应的预测攻击结果为不攻击,则将第二防御策略作为目标防御策略,其中,第一防御策略对应的防御等级高于第二防御策略对应的防御等级。
可选地,数据库的攻击防御装置还包括以下模块,用于通过以下步骤生成目标预测模型:第四获取模块,用于获取样本数据集,并将样本数据集拆分为训练集和测试集,其中,样本数据集包括攻击者的历史攻击日志信息和真实标签,真实标签用于标识历史攻击日志信息对应的攻击结果;训练模块,用于依据训练集和测试集对神经网络模型进行训练和优化,得到目标预测模型。
可选地,训练模块包括:第五处理模块,用于将训练集中的训练样本输入神经网络模型,并通过神经网络模型输出训练样本对应的预测攻击结果;第六处理模块,用于依据训练样本对应的预测攻击结果、真实标签以及测试集,对神经网络模型进行迭代训练,直至神经网络模型的损失函数的损失值满足预设条件,得到目标预测模型。
实施例3
根据本发明实施例的另一方面,还提供了一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,其中,计算机程序被设置为运行时执行上述的数据库的攻击防御方法。
实施例4
根据本发明实施例的另一方面,还提供了一种电子设备,其中,图4是根据本发明实施例的一种可选的电子设备的示意图,如图4所示,电子设备包括一个或多个处理器;存储器,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现用于运行程序,其中,程序被设置为运行时执行上述的数据库的攻击防御方法。处理器执行程序时实现以下步骤:获取攻击日志信息,其中,攻击日志信息至少包括攻击者的终端信息和身份信息,终端信息和身份信息是通过目标数据库的目标服务对攻击者进行溯源得到的;通过目标聚类算法对攻击日志信息进行聚类分析,得到多个攻击类别;通过目标预测模型依据每个攻击类别对应的信息集合,计算每个攻击类别在未来目标时间段内进行攻击的概率值,并依据概率值确定每个攻击类别对应的预测攻击结果,其中,目标预测模型是通过样本数据集对神经网络模型训练得到的;依据每个攻击类别对应的预测攻击结果,确定对每个攻击类别包含的攻击者的目标防御策略。
可选的,处理器执行程序时还实现以下步骤:在获取攻击日志信息之前,在目标服务接收到攻击者的终端发送的访问请求的情况下,通过目标服务将访问请求转发至目标数据库,其中,目标服务为诱导攻击者进行攻击的蜜罐服务,目标数据库是通过蜜罐技术构造的用于存放虚假数据的数据库;通过目标数据库基于访问请求生成目标数据包,并将目标数据包发送至攻击者的终端,其中,目标数据包至少包括目标脚本,目标脚本中配置有目标路径信息;在将目标数据包发送至攻击者的终端之后,执行目标脚本,并依据目标路径信息获取终端信息和身份信息。
可选的,处理器执行程序时还实现以下步骤:通过目标聚类算法对攻击日志信息进行聚类分析,得到多个攻击类别,包括:确定初始聚类簇数K,并通过目标聚类算法随机生成K个初始簇心,其中,K为正整数;计算每条攻击日志信息与K个初始簇心之间的距离,并依据距离确定每条攻击日志信息对应的聚类簇;依据聚类簇进行迭代聚类,直至满足预设迭代终止条件,得到多个聚类簇;确定多个聚类簇对应的攻击类别,得到多个攻击类别。
可选的,处理器执行程序时还实现以下步骤:依据概率值确定每个攻击类别对应的预测攻击结果,包括:获取预设阈值,并对概率值和预设阈值进行比对;在概率值大于预设阈值的情况下,确定预测攻击结果为攻击;在概率值小于或等于预设阈值的情况下,确定预测攻击结果为不攻击。
可选的,处理器执行程序时还实现以下步骤:依据每个攻击类别对应的预测攻击结果,确定对每个攻击类别包含的攻击者的目标防御策略,包括:若攻击类别对应的预测攻击结果为攻击,则将第一防御策略作为目标防御策略;若攻击类别对应的预测攻击结果为不攻击,则将第二防御策略作为目标防御策略,其中,第一防御策略对应的防御等级高于第二防御策略对应的防御等级。
可选的,处理器执行程序时还实现以下步骤:通过以下步骤生成目标预测模型:获取样本数据集,并将样本数据集拆分为训练集和测试集,其中,样本数据集包括攻击者的历史攻击日志信息和真实标签,真实标签用于标识历史攻击日志信息对应的攻击结果;依据训练集和测试集对神经网络模型进行训练和优化,得到目标预测模型。
可选的,处理器执行程序时还实现以下步骤:依据训练集和测试集对神经网络模型进行训练和优化,得到目标预测模型,包括:将训练集中的训练样本输入神经网络模型,并通过神经网络模型输出训练样本对应的预测攻击结果;依据训练样本对应的预测攻击结果、真实标签以及测试集,对神经网络模型进行迭代训练,直至神经网络模型的损失函数的损失值满足预设条件,得到目标预测模型。
本文中的设备可以是服务器、PC、PAD、手机等。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种数据库的攻击防御方法,其特征在于,包括:
获取攻击日志信息,其中,所述攻击日志信息至少包括攻击者的终端信息和身份信息,所述终端信息和所述身份信息是通过目标数据库的目标服务对所述攻击者进行溯源得到的;
通过目标聚类算法对所述攻击日志信息进行聚类分析,得到多个攻击类别;
通过目标预测模型依据每个攻击类别对应的信息集合,计算所述每个攻击类别在未来目标时间段内进行攻击的概率值,并依据所述概率值确定所述每个攻击类别对应的预测攻击结果,其中,所述目标预测模型是通过样本数据集对神经网络模型训练得到的;
依据所述每个攻击类别对应的预测攻击结果,确定对所述每个攻击类别包含的攻击者的目标防御策略。
2.根据权利要求1所述的方法,其特征在于,在获取攻击日志信息之前,所述方法还包括:
在所述目标服务接收到所述攻击者的终端发送的访问请求的情况下,通过所述目标服务将所述访问请求转发至所述目标数据库,其中,所述目标服务为诱导所述攻击者进行攻击的蜜罐服务,所述目标数据库是通过蜜罐技术构造的用于存放虚假数据的数据库;
通过所述目标数据库基于所述访问请求生成目标数据包,并将所述目标数据包发送至所述攻击者的终端,其中,所述目标数据包至少包括目标脚本,所述目标脚本中配置有目标路径信息;
在将所述目标数据包发送至所述攻击者的终端之后,执行所述目标脚本,并依据所述目标路径信息获取所述终端信息和所述身份信息。
3.根据权利要求1所述的方法,其特征在于,通过目标聚类算法对所述攻击日志信息进行聚类分析,得到多个攻击类别,包括:
确定初始聚类簇数K,并通过所述目标聚类算法随机生成K个初始簇心,其中,K为正整数;
计算每条攻击日志信息与所述K个初始簇心之间的距离,并依据所述距离确定所述每条攻击日志信息对应的聚类簇;
依据所述聚类簇进行迭代聚类,直至满足预设迭代终止条件,得到多个聚类簇;
确定所述多个聚类簇对应的攻击类别,得到所述多个攻击类别。
4.根据权利要求1所述的方法,其特征在于,依据所述概率值确定所述每个攻击类别对应的预测攻击结果,包括:
获取预设阈值,并对所述概率值和所述预设阈值进行比对;
在所述概率值大于所述预设阈值的情况下,确定所述预测攻击结果为攻击;
在所述概率值小于或等于所述预设阈值的情况下,确定所述预测攻击结果为不攻击。
5.根据权利要求4所述的方法,其特征在于,依据所述每个攻击类别对应的预测攻击结果,确定对所述每个攻击类别包含的攻击者的目标防御策略,包括:
若所述攻击类别对应的预测攻击结果为所述攻击,则将第一防御策略作为所述目标防御策略;
若所述攻击类别对应的预测攻击结果为所述不攻击,则将第二防御策略作为所述目标防御策略,其中,所述第一防御策略对应的防御等级高于所述第二防御策略对应的防御等级。
6.根据权利要求1所述的方法,其特征在于,通过以下步骤生成所述目标预测模型:
获取所述样本数据集,并将所述样本数据集拆分为训练集和测试集,其中,所述样本数据集包括所述攻击者的历史攻击日志信息和真实标签,所述真实标签用于标识所述历史攻击日志信息对应的攻击结果;
依据所述训练集和所述测试集对所述神经网络模型进行训练和优化,得到所述目标预测模型。
7.根据权利要求6所述的方法,其特征在于,依据所述训练集和所述测试集对所述神经网络模型进行训练和优化,得到所述目标预测模型,包括:
将所述训练集中的训练样本输入所述神经网络模型,并通过所述神经网络模型输出所述训练样本对应的预测攻击结果;
依据所述训练样本对应的预测攻击结果、所述真实标签以及所述测试集,对所述神经网络模型进行迭代训练,直至所述神经网络模型的损失函数的损失值满足预设条件,得到所述目标预测模型。
8.一种数据库的攻击防御装置,其特征在于,包括:
第一获取模块,用于获取攻击日志信息,其中,所述攻击日志信息至少包括攻击者的终端信息和身份信息,所述终端信息和所述身份信息是通过目标数据库的目标服务对所述攻击者进行溯源得到的;
第一处理模块,用于通过目标聚类算法对所述攻击日志信息进行聚类分析,得到多个攻击类别;
第二处理模块,用于通过目标预测模型依据每个攻击类别对应的信息集合,计算所述每个攻击类别在未来目标时间段内进行攻击的概率值,并依据所述概率值确定所述每个攻击类别对应的预测攻击结果,其中,所述目标预测模型是通过样本数据集对神经网络模型训练得到的;
第一确定模块,用于依据所述每个攻击类别对应的预测攻击结果,确定对所述每个攻击类别包含的攻击者的目标防御策略。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至7任一项中所述的数据库的攻击防御方法。
10.一种电子设备,其特征在于,所述电子设备包括一个或多个处理器;存储器,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现用于运行程序,其中,所述程序被设置为运行时执行所述权利要求1至7任一项中所述的数据库的攻击防御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311570087.1A CN117633783A (zh) | 2023-11-22 | 2023-11-22 | 数据库的攻击防御方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311570087.1A CN117633783A (zh) | 2023-11-22 | 2023-11-22 | 数据库的攻击防御方法、装置、存储介质及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117633783A true CN117633783A (zh) | 2024-03-01 |
Family
ID=90035043
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311570087.1A Pending CN117633783A (zh) | 2023-11-22 | 2023-11-22 | 数据库的攻击防御方法、装置、存储介质及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117633783A (zh) |
-
2023
- 2023-11-22 CN CN202311570087.1A patent/CN117633783A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110958220B (zh) | 一种基于异构图嵌入的网络空间安全威胁检测方法及系统 | |
Kharraz et al. | Surveylance: Automatically detecting online survey scams | |
US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
US10009358B1 (en) | Graph based framework for detecting malicious or compromised accounts | |
Azeez et al. | Identifying phishing attacks in communication networks using URL consistency features | |
CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
Niakanlahiji et al. | Phishmon: A machine learning framework for detecting phishing webpages | |
CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
Zhu et al. | Android malware detection based on multi-head squeeze-and-excitation residual network | |
Vidal et al. | A novel pattern recognition system for detecting Android malware by analyzing suspicious boot sequences | |
CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
CN104836781A (zh) | 区分访问用户身份的方法及装置 | |
CN104202291A (zh) | 基于多因素综合评定方法的反钓鱼方法 | |
Ramesh et al. | Identification of phishing webpages and its target domains by analyzing the feign relationship | |
CN111787002B (zh) | 一种业务数据网络安全分析的方法及系统 | |
CN117610026B (zh) | 一种基于大语言模型的蜜点漏洞生成方法 | |
US10560473B2 (en) | Method of network monitoring and device | |
Bird et al. | Actions speak louder than words: Semi-supervised learning for browser fingerprinting detection | |
Khalid et al. | Evaluating dynamic analysis features for android malware categorization | |
CN112347457A (zh) | 异常账户检测方法、装置、计算机设备和存储介质 | |
CN111885011B (zh) | 一种业务数据网络安全分析挖掘的方法及系统 | |
Yuan et al. | Multi-SpacePhish: Extending the evasion-space of adversarial attacks against phishing website detectors using machine learning | |
Yuan et al. | " Are Adversarial Phishing Webpages a Threat in Reality?" Understanding the Users' Perception of Adversarial Webpages | |
CN112560085B (zh) | 业务预测模型的隐私保护方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |