本發明提供一種基于數據庫的數據泄露檢測模型的建模方法、裝置，泄露檢測方法、系統，包括以下步驟：A、角色和用戶組關系的建立：S100.數據采集，數據包括操作日志數據、用戶角色數據、敏感數據列表；S200.解析SQL語句，提取表名；S300.數據關聯及特征加工；S400.用戶組的建立，定義用戶組；S500.建立角色和用戶組的關系；B、OneClassSvm模型訓練：S600.正樣本特征加工，S700.正樣本中每個用戶組對應一個OneClassSvm模型，并對該用戶組內的第二寬表數據進行OneClassSvm模型訓練，從而獲得該用戶組下正常數據的邊界。本發明針基于數據庫，對用戶聚類出用戶組，有別于提供的角色屬性，這樣可以保證用戶的角色屬性劃分不合理的情況下，也可以科學的進行組內異常探索。

技術領域

本發明涉及數據安全技術領域，具體來說是基于數據庫的數據泄露檢測模型的建模方法、裝置，泄露檢測方法、系統。

背景技術

隨著信息時代的到來，隨著智能設備、軟件應用的普及，我們產生的數據也以指數級增長。然而，數據泄露事件也越來越多，事件引發的后果也越來越大。從infowatch發布的2019年數據泄露報告中可以看出，數據泄露事件成倍數增長，光第二季度就有2.16億用戶數據被泄露，治理數據泄露問題變得刻不容緩。

現在治理數據泄露的方法和設備也非常多，大多是對數據進行加密、審計服務器文件傳輸日志、標記重要數據類的功能。如申請號為CN201110074937.X公開了一種數據加密方法和解密方法，方法主要為產生對應于該電子裝置的一識別碼；根據該識別碼產生一臨時金鑰；利用該臨時金鑰以一第一加密機制對一第一數據進行加密以產生一第一密鑰；利用一第二加密機制對該第一密鑰加密以產生一加密金鑰。雖然通過該方法，實現對數據的加密，但是數據加密只能起到防范數據泄露，無法追溯泄露源頭；再如申請號為CN201810502740.3公開了一種應用操作日志審計系統，通過日志生成單元根據應用操作動作信息生成包括日志類型、安全等級、操作內容、操作IP和操作時間的操作日志數據，并對操作日志數據進行分析，審計單元自動判斷應用操作是否合法，其具有設計科學、實用性強、使用方便、安全高效的優點。但是審計服務器文件傳輸日志只能審計服務器級別的數據泄露，無法結合數據庫；標記重要數據類雖然理論上是可以應用到數據庫中進行泄露檢測，但是對數據庫會進行修改，破壞原始數據，而且工作量大，泄露的結果也不好找尋。

發明內容

本發明所要解決的技術問題在于現有技術中的數據泄露治理方法或無法結合數據庫使用，或即使結合數據庫，但是會破壞原始數據的問題。

本發明通過以下技術手段實現解決上述技術問題的：

一種基于數據庫中敏感數據泄露檢測用的模型建立方法，包括以下步驟：

A、角色和用戶組關系的建立：

S100.數據采集，數據包括操作日志數據、用戶角色數據、敏感數據列表；

S200.解析SQL語句，提取表名；

S300.數據關聯及特征加工，具體為：

將操作日志數據、用戶角色數據、敏感數據列表三者關聯后，并進行特征加工，形成第一寬表；

S400.用戶組的建立，根據特征對所述第一寬表內用戶進行聚類，將最接近的群體定義為用戶組；

S500.建立角色和用戶組的關系，找到每個角色中最大占比的用戶組，組成該角色和該用戶組的關系；

B、OneClassSvm模型訓練：

S600.正樣本特征加工，首先獲取樣本數據，結合S500中的角色和用戶組關系，關聯出用戶組；然后從每個用戶組中選出符合正常業務范圍的用戶作為正樣本，再對正樣本進行特征加工，形成第二寬表；