本發(fā)明提供了一種基于日志分析的數(shù)據(jù)庫(kù)三層關(guān)聯(lián)的識(shí)別方法，通過(guò)對(duì)request日志和sql日志進(jìn)行篩選和處理，通過(guò)時(shí)間窗口特征獲得主體對(duì)象的相關(guān)率，并結(jié)合參數(shù)相關(guān)值確定三層關(guān)聯(lián)關(guān)系。本發(fā)明提供的基于日志分析的數(shù)據(jù)庫(kù)三層關(guān)聯(lián)的識(shí)別方法的優(yōu)點(diǎn)在于：僅通過(guò)對(duì)request和sql日志進(jìn)行分析，就能精準(zhǔn)識(shí)別出數(shù)據(jù)庫(kù)的三層關(guān)聯(lián)，不需要對(duì)系統(tǒng)進(jìn)行改造，成本較低，在得到表K后能夠?qū)ΜF(xiàn)有日志進(jìn)行三層關(guān)聯(lián)識(shí)別，對(duì)新的日志進(jìn)行三層關(guān)聯(lián)的預(yù)測(cè)，而且本發(fā)明提供的方法是根據(jù)歷史數(shù)據(jù)不斷更新的，能夠不斷學(xué)習(xí)，隨著數(shù)據(jù)樣本越來(lái)越多，識(shí)別的準(zhǔn)確性也越來(lái)越高；通過(guò)參數(shù)的相關(guān)值和主體對(duì)象的相關(guān)率綜合考慮關(guān)聯(lián)性排序，識(shí)別結(jié)果準(zhǔn)確。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)安全技術(shù)領(lǐng)域，尤其涉及一種基于日志分析的數(shù)據(jù)庫(kù)三層關(guān)聯(lián)的識(shí)別方法。

背景技術(shù)

數(shù)據(jù)庫(kù)的三層關(guān)聯(lián)主要是指前臺(tái)訪問(wèn)日志和數(shù)據(jù)庫(kù)記錄日志的關(guān)系。構(gòu)建起有效的三層關(guān)系，可以對(duì)應(yīng)用操作進(jìn)行有效的溯源，可以找出數(shù)據(jù)泄露的前臺(tái)頁(yè)面等等。所以如何精準(zhǔn)的識(shí)別三層關(guān)聯(lián)成為數(shù)據(jù)庫(kù)安全審計(jì)的重要任務(wù)；現(xiàn)有的技術(shù)大多數(shù)是基于HOOK技術(shù)(鉤子函數(shù))實(shí)現(xiàn)三層關(guān)聯(lián)的識(shí)別的，即通過(guò)對(duì)系統(tǒng)進(jìn)行改造，在訪問(wèn)頁(yè)面的日志中留下水印，在數(shù)據(jù)庫(kù)日志中也留下相關(guān)的水印，通過(guò)水印對(duì)比，識(shí)別出三層關(guān)聯(lián)。使用此類方法，的確可以提高識(shí)別的精準(zhǔn)度，但是對(duì)系統(tǒng)進(jìn)行改造工作非常耗時(shí)，尤其是一些并發(fā)性強(qiáng)的系統(tǒng)，改造難度大，而且實(shí)現(xiàn)起來(lái)還對(duì)生產(chǎn)系統(tǒng)產(chǎn)生負(fù)面效果。

公開(kāi)號(hào)為CN110990168A的發(fā)明專利申請(qǐng)請(qǐng)求公開(kāi)一種三層關(guān)聯(lián)信息的生成方法，其根據(jù)目標(biāo)API將線程ID及對(duì)應(yīng)的WEB訪問(wèn)數(shù)據(jù)包、數(shù)據(jù)庫(kù)訪問(wèn)數(shù)據(jù)包和協(xié)議類型相關(guān)聯(lián)，實(shí)現(xiàn)三層關(guān)聯(lián)信息，但是其只能針對(duì)已經(jīng)存在的數(shù)據(jù)查找關(guān)聯(lián)，無(wú)法對(duì)新數(shù)據(jù)預(yù)測(cè)識(shí)別，而且基于ID進(jìn)行關(guān)聯(lián)的方式局限性較大，識(shí)別精度不高。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問(wèn)題在于提供一種無(wú)須對(duì)系統(tǒng)進(jìn)行改造，基于日志分析即可精確識(shí)別三層關(guān)聯(lián)關(guān)系的識(shí)別方法。

本發(fā)明是通過(guò)以下技術(shù)方案解決上述技術(shù)問(wèn)題的：一種基于日志分析的數(shù)據(jù)庫(kù)三層關(guān)聯(lián)識(shí)別方法，包括以下步驟：

步驟1：提取總時(shí)長(zhǎng)為t_總的時(shí)間段內(nèi)的前臺(tái)操作日志request日志和數(shù)據(jù)庫(kù)操作日志sql日志，定義表K為空表；

步驟2：基于操作請(qǐng)求的類別剔除無(wú)關(guān)操作請(qǐng)求；

步驟3：將request日志和sql日志中的參數(shù)移除，提取去參后的request日志主體對(duì)象和sql日志主體對(duì)象；

步驟4：以固定的時(shí)間間隔將時(shí)長(zhǎng)為t_總的日志數(shù)據(jù)劃分為連續(xù)的時(shí)間段，統(tǒng)計(jì)request日志主體對(duì)象和sql日志主體對(duì)象在每個(gè)時(shí)間段的操作次數(shù)得到表T；

步驟5：計(jì)算request日志主體對(duì)象與sql日志主體對(duì)象的相關(guān)率；

步驟6：重復(fù)步驟4-5，以多種預(yù)設(shè)的時(shí)間間隔劃分時(shí)間軸，獲取不同時(shí)間間隔下的每一個(gè)request日志主體對(duì)象與每一個(gè)sql日志主體對(duì)象的相關(guān)率，保留相關(guān)率最大值，記錄總時(shí)長(zhǎng)t_總，得到表G；

步驟7：如果表K為空表，則令表K＝表G；執(zhí)行步驟8，否則直接執(zhí)行步驟8；

步驟8：根據(jù)表G和表K的內(nèi)容更新每個(gè)request日志主體對(duì)象與每個(gè)sql日志主體對(duì)象的相關(guān)率，并將結(jié)果更新到表K中；；

步驟9：在待預(yù)測(cè)數(shù)據(jù)的request日志中，解析傳遞參數(shù)，提取請(qǐng)求內(nèi)容中符合“＝*”匹配的參數(shù)；在sql日志中，提取sql語(yǔ)句中符合“＝*”匹配的參數(shù)；

步驟10：基于步驟9提取的參數(shù)，計(jì)算參數(shù)相關(guān)值；