技術領域

本發明涉及信息安全技術領域，具體講涉及一種基于規則的誤用檢測技術和基于機器學習的異常檢測技術結合新穎檢測模型，輔以獨立完善的數據庫審計技術和實時監控技術的新型數據庫綜合防護方法。?

背景技術

數據庫系統作為信息的聚集體，是計算機信息系統的核心部件，其安全性至關重要。然而由于數據庫本身安全性不足等原因，攻擊者可能通過非正常途徑來訪問數據庫，甚至實施緩沖區溢出或SQL注入來攻擊數據庫，從而造成敏感信息的泄漏，危害數據安全以及信息系統的安全。?

為保障數據庫以及信息系統的安全，各企業和單位采取了許多防護措施，包括常規方法和專門的數據庫防護方法。常規方法包括物理隔離、防火墻、入侵檢測、加密傳輸身份認證系統等，這些常規方法只能進行地址、端口、協議等網絡層過濾，無法有效抵御針對數據庫系統應用層的攻擊例如SQL諸如攻擊等。專門的數據庫防護方法包括基于特征的數據庫安全防護方法等，這些方法本質是誤用檢測模型，誤用檢測模型針對各種攻擊方式建立特征庫并結合簡單白名單功能來實現安全防護，不只是僅能檢測已知的安全問題，無法發現未知攻擊行為，而且存在隨著特征庫的不斷復雜和龐大，檢測的時間消耗隨之增加的問題，最為嚴重的是，由于SQL語言的靈活多樣性和攻擊行為的不斷翻新，僅依靠特征庫將難以準確區分正常訪問和攻擊行為，由此導致準確性減低和誤報率增高。?

入侵檢測系統的概念是指未經授權蓄意嘗試訪問信息、篡改信息、使系統不可靠或不能使用。入侵檢測系統分為異常入侵檢測系統和誤用入侵檢測系統。?

異常檢測模型建立系統正常工作模型，把當前活動與正常模型進行比對，一旦發現偏離正常統計學意義上的操作模式，即認為發生了入侵行為，其關鍵是異常閾值和特征的選擇，其優點是可檢測到未知的入侵和較為復雜的入侵，但各種應用系統的行為特征通常靈活變更，異常檢測模型難以實現結構化查詢語言SQL攻擊的準確定位，誤報率太高。?

已有的異常入侵檢測方法有基于特征選擇的異常檢測方法、基于貝葉斯推理的異常檢測、基于貝葉斯網絡的異常檢測、基于統計的異常檢測方法、基于模式預測的異常檢測方法、基于機器學習的異常檢測方法、基于數據挖掘的異常檢測方法、基于應用模式的異常檢測方法、基于文本分類的異常檢測方法。?

誤用檢測模型采集入侵行為的特征，建立相關的攻擊行為特征庫。在檢測過程中，將收集到的數據與特征庫中的攻擊行為特征進行模式，以判別是否發生了入侵行為。誤用檢測模型誤報率低，但只能僅能用來檢測已知的入侵行為，無法發現未知入侵行為。?

已有的誤用入侵檢測方法有基于條件概率的誤用入侵檢測、基于狀態遷移分析的誤用入侵檢測、基于鍵盤監控的誤用入侵檢測、基于規則的誤用入侵檢測方法。?

綜合來說，異常入侵檢測容易出現誤報，而誤用入侵檢測容易出現漏報，而本發明專利提出一種結合了基于規則的誤用檢測技術和基于機器學習的異常檢測技術的新檢測模型，利用了兩種檢測技術各自的優點，以及它們的互補性，減少了單純使用某種入侵檢測技術時的漏報率和誤報率，從而提高系統的整體安全防護能力。?

審計功能是數據庫管理系統安全性重要的一部分，同時在本發明中作為獨立于檢測模塊的第二道安全防線。常見的安全審計技術主要有四類，分別是：基于日志的審計技術、基于代理的審計技術、基于網絡監聽的審計技術、基于網關的審計技術。?

本發明采用了基于網關的審計技術，該技術是通過在數據庫系統前部署網關設備，通過在線截獲并轉發到數據庫的流量而實現審計。?

發明內容