本發明實施例基于數據水印的數據溯源方法、裝置、設備及介質，該數據溯源方法，包括：將泄露的數據與數據庫中所存儲的數據進行比對，獲取水印數據；其中，所述數據庫中的水印數據為定期從時效外的歷史數據中選取一定量的數據；將所獲取水印數據與所述數據庫中所存儲的水印數據進行比對，獲取該水印數據的生成時間t1，以及該水印數據的上一批水印數據的生成時間t2，查找t1至t2這一時間段的數據庫操作日志，并將這一時間段所導出的數據判定為數據泄露源。

技術領域

本發明涉及數據安全技術領域，尤其涉及一種基于數據水印的數據溯源方法、裝置、設備及介質。

背景技術

數據庫技術是信息社會十分重要的基礎技術，在其為社會提供方便的同時，也隨之帶來了信息安全保護問題。隨著關系數據庫的廣泛應用，非法下載和泄露數據庫中數據的行為屢屢出現，造成用戶敏感隱私泄露等危害。

現有的數據庫安全管理技術主要有：

存取管理技術：包括用戶身份認證技術和存取控制技術。用戶身份認證技術包括用戶身份驗證和用戶身份識別技術。通過用戶身份驗證，可以阻止非授權用戶的訪問，而通過用戶身份識別，可以防止用戶的越權訪問。存取控制技術限制了訪問者和程序中可執行的操作，通過存取控制，可以防止安全漏洞隱患。

數據庫審計和攻擊檢測：數據庫審計在身份認證、存取管理、加密技術等多種安全措施的基礎之上，進一步提高了系統的安全性。通過審計功能，可以將對數據庫的所有操作記錄在日志中，從而可以跟蹤用戶的全部操作。攻擊檢測根據操作日志分析檢測內外部的攻擊企圖，重現導致系統現狀時間，以分析發現系統安全弱點。

但是，發明人發現現有的數據庫水印技術存在如下缺陷：部分方案是通過修改數據的某些字段的某些數據位，達到設置水印而又不影響數據使用的目的。選擇修改的字段以及數據位需要對數據庫的表結構有背景知識，并且對字段的屬性有限制條件，例如不能是主鍵、外鍵等。另外有一部分方案是通過將若干條水印隨機的插入到數據記錄中，從而生成水印數據。這些水印數據是通過某些算法或指定方式生成的，與真實數據存在差異，容易被識別出來，導致添加水印失敗，或者是水印數據生成算法泄露也會導致添加水印失敗。在水印識別階段，也不能準確的將水印記錄識別出來。

發明內容

本發明實施例提供了基于數據水印的數據溯源方法、裝置、設備及介質，用以解決上述的至少一個技術問題。

第一方面，本發明實施例提供了一種基于數據水印的數據溯源方法，所述方法包括：

將泄露的數據與數據庫中所存儲的水印數據進行比對，查找與泄漏的數據對應的水印數據；所述數據庫中的水印數據為定期從時效外的歷史數據中選取一定量的數據；

根據所述數據庫中所存儲的各個水印數據的生成時間，分析出與泄漏的數據對應的水印數據的生成時間t1，以及與泄漏的數據對應的水印數據的、上一批水印數據的生成時間t2，查找t1至t2這一時間段的所述數據庫的操作日志，并將這一時間段所導出的數據判定為數據泄露源。

優選的是，在所述將泄露的數據與數據庫中所存儲的數據進行比對，獲取水印數據的步驟之前，還包括：

定期從時效外的歷史數據中選取一定量的數據作為水印數據，并將所述水印數據的生成時間和所述水印數據存儲至數據庫中的步驟。

優選的是，在所述將泄露的數據與數據庫中所存儲的數據進行比對，獲取水印數據的步驟之前，還包括：

實時記錄用戶的數據庫操作日志的步驟。

優選的是，所述數據庫操作日志包括：數據的導出時間、用戶的唯一標識、導出的數據表名、導出的數據段信息中的至少一種。

第二方面，本發明實施例提供了一種基于數據水印的數據溯源系統，所述系統包括：