本發明提供了一種構建三層關聯關系模型的方法，包括以下步驟：S1：提取記錄用戶訪問情況的日志，并進行預處理；S2：對HTTP日志提取主體對象，得到HTTP請求，對HTTP請求和SQL日志中的SQL語句進行分解，并對分解后的HTTP請求和SQL語句分別進行匹配，存儲匹配后的結構和參數；S3：基于時間順序為每個HTTP請求結構匹配其后一段時間內發生的所有SQL結構，得到和序列；S4：基于關聯規則算法計算得到HTTP請求和SQL語句的關聯關系模型。本發明還提供了基于三層關聯模型進行三層關系識別的方法。本發明的優點在于：基于時間序列和特征匹配構造關聯關系模型；在統計的基礎上挖掘請求和SQL的關系，提高識別的準確率；利用構建的模型對新的數據進行識別，時效性和準確性比較高。

技術領域

本發明涉及數據安全技術領域，尤其涉及一種構建三層關聯關系模型的方法及三層關系識別方法。

背景技術

三層審計，是根據服務器的部署方式，即瀏覽器-服務器-數據庫服務器命名的，將應用層審計數據與數據庫層審計數據綜合起來進行關聯分析，從而將應用層操作準確對應的數據庫層的操作，當發生安全事件時，根據關聯審計記錄的日志信息，可快速定位到網絡中的責任人。

如何精準的識別三層關聯成為數據庫安全審計的重要任務；現有技術通過對系統進行改造，在訪問頁面的日志中留下水印，在數據庫日志中也留下相關的水印，通過水印對比，識別出三層關聯。然而在對系統進行改造的情況下，有可能影響系統的穩定性。

現有技術還存在通過監聽web服務和數據庫之間的通信，解析其通信內容進行關聯匹配，該方式雖然不需要深入改造系統，但是需要對通信內容進行精確匹配，需要人工標記，不過很多請求數據中其實并沒有和SQL類似的內容，而且監聽操作也有一定的安全風險。

公開號為CN110990168A的發明專利申請請求公開一種三層關聯信息的生成方法，其根據目標API將線程ID及對應的WEB訪問數據包、數據庫訪問數據包和協議類型相關聯，實現三層關聯信息，然而基于ID進行關聯的方式局限性較大，識別精度不高。

發明內容

本發明所要解決的技術問題在于提供一種無須對系統進行改造和監聽，基于日志分析即可識別出精確率較高的三層關聯關系。

本發明是通過以下技術方案解決上述技術問題的：一種構建三層關聯關系模型的方法，包括以下步驟：

S1：提取記錄用戶訪問情況的HTTP日志和記錄數據庫變化的SQL日志，并對提取的日志進行預處理；

S2：對HTTP日志提取主體對象，得到HTTP請求，對HTTP請求和SQL日志中的SQL語句進行分解，并對分解后的HTTP請求和SQL語句分別進行匹配，存儲匹配后的結構和參數；

S3：基于時間順序為每個HTTP請求結構匹配其后一段時間內發生的所有SQL結構，得到和序列；

S4：基于關聯規則算法計算得到HTTP請求和SQL語句的關聯關系模型，輸出符合最小支持度和最小置信度要求的最長序列。

本發明在不進行系統改造的前提下，利用系統記錄的日志進行三層關聯審計，通過對系統語言的處理和分析簡化數據規模，基于時間序列和特征匹配構造關聯關系模型；在統計的基礎上挖掘請求和SQL的關系，提高識別的準確率；利用構建的模型對新的數據進行識別，時效性和準確性比較高。

優選的，所述HTTP日志包括記錄請求發生時間的時間戳、記錄請求類型、url的request和記錄請求中附帶的詳細信息的request?body；所述SQL日志包括記錄SQL發生時間的操作時間、記錄數據庫操作的SQL語句；

S1中所述的預處理為剔除掉不必要參與計算的記錄，方法為：

對于HTTP日志，剔除掉不與數據庫通信的請求；對于SQL日志，剔除掉操作時必然包括的操作記錄。