本發明提供了基于距離度量的數據庫異常訪問檢測方法、系統及設備，通過基于距離的KNN算法對低維用戶訪問向量進行訓練，得到異常檢測模型，并構建異常訪問響應器，本方法通過基于距離的KNN算法構建異常檢測模型，可以實時檢測用戶的數據庫操作行為是否正常，有效解決了使用數據庫審計工具無法實時檢測正在進行的數據庫操作是否正常；異常訪問響應器事先制訂一些對數據庫異常操作的響應策略，從而實現對異常檢測模型預測的用戶異常操作做出響應，并記錄該用戶異常操作的相關信息，以此實現對異常操作的主動防御效果。基于以上特點，本方法實現對用戶異常操作數據庫的實時監控和主動防御的效果。

技術領域

本發明屬于DCS傳輸數據的處理，主要涉及數據庫異常訪問檢測領域，具體為基于距離度量的數據庫異常訪問檢測方法、系統及設備。

背景技術

在分散控制系統（DCS）上位機部分，各上位機子系統經常對數據庫進行訪問、查尋等操作。另外，對于數據庫管理人員，也會經常對數據庫進行修改及維護。對于數據庫的惡意訪問及操作，一般分為外部惡意訪問和內部惡意訪問。而對于數據庫的外部惡意訪問往往有較好的防御策略，而對于擁有權限的內部人員的惡意訪問或者誤操作往往很難防范。在電數字數據處理中，現有技術對于內部人員的惡意訪問或誤操作一般采用數據庫審計工具實現，數據庫審計工具在后臺記錄所有的數據庫訪問和操作記錄，包括操作的IP、用戶、操作語句、時間、操作結果等；然后系統安全員通過分析數據庫訪問和操作記錄來檢測內部用戶的操作行為。由于數據庫審計工具是一種事后追查手段，沒有辦法實時阻止正在進行的數據庫異常操作，因此，該方法無法起到主動防御和實時防御的作用。

發明內容

針對現有技術中數據庫審計工具存在沒有辦法實時阻止內部用戶正在進行的數據庫異常操作的問題，本發明提供基于距離度量的數據庫異常訪問檢測方法、系統及設備，通過LDA算法構建低維的用戶訪問向量，并將用戶訪問向量輸入到基于距離的KNN模型中進行訓練，得到異常檢測模型，該異常檢測模型用于檢測用戶對數據庫的所有操作是否正常，同時構建異常訪問響應策略，從而對內部用戶的異常訪問進行實時監控和主動防御效果。

本發明是通過以下技術方案來實現：

一種基于距離度量的數據庫異常訪問檢測方法，包括如下步驟：

提取數據庫訪問信息；

所提取的數據庫訪問信息進入模型訓練階段通過數據降維的方式得到低維的用戶訪問向量；

使用基于距離的算法對低維的用戶訪問向量進行訓練，得到異常檢測模型；

模型訓練階段得到的訓練結果作為模型測試階段的異常檢測模型，模型測試階段通過數據降維的方式得到低維的用戶訪問向量，將降維后的用戶訪問向量輸入到異常檢測模型中，得到檢測結果，實現對數據庫異常訪問的實時監控和主動防御。

優選的，模型訓練階段和模型測試階段均通過采用LDA算法實現數據降維，構建低維的用戶訪問向量，以及采用KNN模型作為異常檢測模型實現對數據庫異常訪問的檢測。

進一步的，KNN模型的距離度量采用歐式距離，具體表達式為：

其中x表示樣本點，y表示樣本點對應的分類。

進一步的，采用KNN模型可通過計算結果調整K值對正常訪問與異常訪問進行不同程度的劃分。

進一步的，模型訓練階段的具體步驟包括如下：

對提取的數據庫歷史日志進行數據預處理操作，得到文本數據；

對文本數據提取用戶操作特征，基于用戶屬性特征和用戶操作特征構建初始的數據庫用戶訪問特征畫像，其中初始的數據庫用戶訪問特征畫像為高維的矩陣；

通過LDA算法對初始的數據庫用戶訪問特征畫像的高維矩陣進行降維操作，得到低維的用戶訪問向量；

將低維的用戶訪問向量作為KNN模型的輸入，KNN模型經過計算得出模型中待訓練的參數，不斷調整給定的K值，得到最佳的分類結果，即為模型訓練結果。