[發(fā)明專利]一種數(shù)據(jù)庫安全異常識別方法及系統(tǒng)有效
| 申請?zhí)枺?/td> | 202011380211.4 | 申請日: | 2020-11-30 |
| 公開(公告)號: | CN112364348B | 公開(公告)日: | 2021-10-12 |
| 發(fā)明(設(shè)計)人: | 劉雋良;王月兵;柳遵梁;覃錦端;王中天;毛菲 | 申請(專利權(quán))人: | 杭州美創(chuàng)科技有限公司 |
| 主分類號: | G06F21/55 | 分類號: | G06F21/55;G06F21/62;G06F11/32 |
| 代理公司: | 杭州杭誠專利事務(wù)所有限公司 33109 | 代理人: | 劉正君 |
| 地址: | 310011 浙江省杭州市拱*** | 國省代碼: | 浙江;33 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 數(shù)據(jù)庫 安全 異常 識別 方法 系統(tǒng) | ||
1.一種數(shù)據(jù)庫安全異常識別方法,其特征在于:包括以下步驟,
S1.獲取實時數(shù)據(jù)庫指令數(shù)據(jù);
S2.對實時數(shù)據(jù)庫指令數(shù)據(jù)提取行為特征,行為特征包括訪問域和操作域;
S3.根據(jù)已知惡意特征庫,對行為特征進行特征匹配,判定是否為已知惡意行為;
S4.對于非已知惡意行為的行為特征進行同源會話訪問域和同源會話操作域判定,然后進行異常行為判定;
訪問域的判定過程包括,
對所有請求來源相同、訪問目標數(shù)據(jù)庫一致的指令數(shù)據(jù)統(tǒng)計獲得所有同源會話統(tǒng)計集合x(Fx,Dx);
在統(tǒng)計周期H內(nèi),統(tǒng)計同源會話統(tǒng)計集合x(Fx,Dx)的統(tǒng)計數(shù)值,當統(tǒng)計數(shù)值達到閾值S時,生成Gfx算法:
Gfx{(Fx,Dx),(TO1,TO2,…TOn)}
其中Fx為同源會話統(tǒng)計集合x(Fx,Dx)訪問請求來源,Dx為同源會話統(tǒng)計集合x(Fx,Dx)訪問目標數(shù)據(jù)庫,(TO1,TO2,…TOn)為同源會話統(tǒng)計集合x(Fx,Dx)常規(guī)訪問該數(shù)據(jù)庫下數(shù)據(jù)表集合;
訪問域的異常判定過程包括,
若統(tǒng)計并形成Gfx{(Fx,Dx),(TO1,TO2,…TOn)}后,針對后續(xù)此類同源會話訪問請求Sx{(Fx,Dx),(TOSx)}生成存在異常訪問判定算法T1(Sx,Gfx),其中TOSx為此次同源會話請求所需訪問的數(shù)據(jù)表、數(shù)據(jù)字段集合;
若TOSx∈(TO1,TO2,…TOn),則T1(Sx,Gfx)=0,此次訪問請求判定為不存在異常訪問域;
反之則T1(Sx,Gfx)=1,此次訪問請求判定為存在異常訪問域;
操作域的判定過程包括,
對所有請求來源相同、訪問目標數(shù)據(jù)庫一致的指令數(shù)據(jù)統(tǒng)計獲得所有同源會話統(tǒng)計集合x(Fx,Dx);
在統(tǒng)計周期H內(nèi),統(tǒng)計同源會話統(tǒng)計集合x(Fx,Dx)的統(tǒng)計數(shù)值,當統(tǒng)計數(shù)值達到閾值S時,生成Gox算法:
Gox{(Fx,Dx),(TA1(TO1(a1f1,a1f2…a1fn),TO2(a2f1,a2f2…a2fn),…TOn(anf1,anf2…anfn)),TA2(TO1(a1f1,a1f2…a1fn),TO2(a2f1,a2f2…a2fn),…TOn(anf1,anf2…anfn)),…TAn(TO1(a1f1,a1f2…a1fn),TO2(a2f1,a2f2…a2fn),…TOn(anf1,anf2…anfn)))}
其中(TA1(),TA2(),…TAn())為同源會話統(tǒng)計集合x(Fx,Dx)對數(shù)據(jù)庫操作指令集合,TA1(TO1(a1f1,a1f2…a1fn))為同源會話統(tǒng)計集合x(Fx,Dx)在TA1操作指令時涉及該數(shù)據(jù)庫下的對應(yīng)數(shù)據(jù)表TO1下的數(shù)據(jù)字段集合;
操作域的異常判定過程包括,
若統(tǒng)計并形成
Gox{(Fx,Dx),(TA1(TO1(a1f1,a1f2…a1fn),TO2(a2f1,a2f2…a2fn),…TOn(anf1,anf2…anfn)),TA2(TO1(a1f1,a1f2…a1fn),TO2(a2f1,a2f2…a2fn),…TOn(anf1,anf2…anfn)),…TAn(TO1(a1f1,a1f2…a1fn),TO2(a2f1,a2f2…a2fn),…TOn(anf1,anf2…anfn)))}后,針對后續(xù)此類同源會話訪問請求Ax{(Fx,Dx),(TOAx)}生成存在異常訪問判定算法T2(Ax,Gox),其中TOAx為此次同源會話請求所需操作指令、各操作指令涉及數(shù)據(jù)表、數(shù)據(jù)字段集合;
若
TOAx∈(TA1(TO1(a1f1,a1f2…a1fn),TO2(a2f1,a2f2…a2fn),…TOn(anf1,anf2…anfn)),TA2(TO1(a1f1,a1f2…a1fn),TO2(a2f1,a2f2…a2fn),…TOn(anf1,anf2…anfn)),…TAn(TO1(a1f1,a1f2…a1fn),TO2(a2f1,a2f2…a2fn),…TOn(anf1,anf2…anfn))),則T2(Ax,Gox)=0,此次訪問請求判定為不存在異常操作域;
反之則T2(Ax,Gox)=1,此次訪問請求判定為存在異常操作域;
S5.根據(jù)異常行為判定進行異常告警。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于杭州美創(chuàng)科技有限公司,未經(jīng)杭州美創(chuàng)科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011380211.4/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 數(shù)據(jù)庫
- 數(shù)據(jù)庫管理系統(tǒng)及數(shù)據(jù)庫
- 數(shù)據(jù)庫構(gòu)筑裝置、數(shù)據(jù)庫檢索裝置、數(shù)據(jù)庫裝置、數(shù)據(jù)庫構(gòu)筑方法、以及數(shù)據(jù)庫檢索方法
- 數(shù)據(jù)庫和數(shù)據(jù)庫處理方法
- 數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)庫更新方法、數(shù)據(jù)庫以及數(shù)據(jù)庫更新程序
- 容器數(shù)據(jù)庫
- 數(shù)據(jù)庫同步方法及數(shù)據(jù)庫
- 一種MongoDB數(shù)據(jù)庫對象復(fù)制延遲監(jiān)控方法和裝置
- 數(shù)據(jù)分布式存儲方法、裝置、電子設(shè)備及存儲介質(zhì)
- 數(shù)據(jù)庫語句執(zhí)行方法及裝置
