本发明专利技术的各实施方式提供了一种用于评估数据访问语句的安全性的方法和装置。具体地。在本发明专利技术的一个实施方式中,提供了一种用于评估数据访问语句的安全性的方法,包括:评估对数据库进行访问的多个会话中包括的多个SQL语句的危害度;从多个会话生成危害项集,危害项集中的每个元素指示在一个会话中包括的一个或者多个SQL语句;从危害项集提取至少一个关联规则,至少一个关联规则中的每个关联规则指示在一个会话中包括的SQL语句的序列;以及计算至少一个关联规则中的每个关联规则的危害度和置信度。在本发明专利技术的一个实施方式中,提供了一种用于评估数据访问语句的安全性的装置。
【技术实现步骤摘要】
用于评估数据访问语句的安全性的方法和装置
本专利技术的各实施方式涉及数据库,更具体地,涉及用于评估数据访问语句的安全性的方法和装置。
技术介绍
随着计算机硬件技术以及软件技术的发展,数据库系统已经能够向广大用户提供越来越大的数据存储能力,并且对于这些数据库系统的访问安全性也有了极大的提高。目前,随着诸如银行、保险等企业的网络办公自动化,其中存储有广大用户的敏感信息的数据库系统已经成为重点保护对象。目前已经开发出基于数据挖掘技术,通过分析对数据库进行访问的结构化查询语言(Structured Query Language, SQL)语句的安全等级,以便确保数据库安全的方法,目前这些方法已经能够检测单独SQL语句的安全性威胁。 随着数据库的日益复杂,单独的SQL语句往往不能满足用户的查询需求,并且目前在对数据库进行访问期间通常会涉及到多个SQL语句。基于历史经验可知,尽管某些单独的SQL语句对于数据库中的敏感信息可能并不存在风险(或者风险较低),然而当在一个会话中所涉及的多个SQL语句相结合时,则有可能产生严重的安全隐患。 现有的安全保障措施并不能评估SQL语句序列对于数据库的潜在风险,因而,如何评估包括多个SQL语句的序列的安全性成为目前数据库领域中的一个研究重点。
技术实现思路
因而,期望开发出一种能够评估包括多个SQL语句的会话的风险的技术方案,期望该技术方案能够在充分考虑到该会话中的每个单独SQL语句的潜在风险评级的同时,将多个单独的SQL语句进行结合,并且从整体上评价该会话的潜在风险。进一步,期望能够从历史会话中提取评估标准,并基于该标准来处理未来对数据库系统进行访问的会话。例如根据该评估标准来针对会话来采取相应的动作(例如,允许该会话、禁止该会话或者发出警报等),进而提高数据库系统的安全性。 根据本专利技术的一个方面,提供了一种用于评估数据访问语句的安全性的方法,包括:评估对数据库进行访问的多个会话中包括的多个SQL语句的危害度;从多个会话生成危害项集(critical item set),危害项集中的每个元素指示在一个会话中包括的一个或者多个SQL语句;从危害项集提取至少一个关联规则,至少一个关联规则中的每个关联规则指示在一个会话中包括的SQL语句的序列;以及计算至少一个关联规则中的每个关联规则的危害度。 在本专利技术的一个实施方式中,进一步包括:根据至少一个关联规则中的每个关联规则的危害度,将至少一个关联规则进行排序;以及根据排序来指定对应于至少一个关联规则中的每个关联规则的安全策略。 在本专利技术的一个实施方式中,进一步包括:响应于接收到对数据库进行访问的当前会话,在至少一个关联规则中搜索与当前会话相匹配的关联规则;以及基于对应于相匹配的关联规则的安全策略,处理当前会话。 在本专利技术的一个实施方式中,提供了一种用于评估数据访问语句的安全性的装置,包括:评估模块,配置用于评估对数据库进行访问的多个会话中包括的多个SQL语句的危害度;生成模块,配置用于从多个会话生成危害项集,危害项集中的每个元素指示在一个会话中包括的一个或者多个SQL语句;提取模块,配置用于从危害项集提取至少一个关联规则,至少一个关联规则中的每个关联规则指示在一个会话中包括的SQL语句的序列;以及计算模块,配置用于计算至少一个关联规则中的每个关联规则的危害度。 在本专利技术的一个实施方式中,进一步包括:排序模块,配置用于根据至少一个关联规则中的每个关联规则的危害度,将至少一个关联规则进行排序;以及指定模块,配置用于根据排序来指定对应于至少一个关联规则中的每个关联规则的安全策略。 [0011 ] 在本专利技术的一个实施方式中,进一步包括:搜索模块,配置用于响应于接收到对数据库进行访问的当前会话,在至少一个关联规则中搜索与当前会话相匹配的关联规则;以及处理模块,配置用于基于对应于相匹配的关联规则的安全策略,处理当前会话。 采用本专利技术的各个实施方式所述的技术方案,可以充分考虑到一个会话中的多个SQL语句之间的关系,从历史会话中提取关联规则,并计算关联规则对于数据库系统的风险等级,以便作为对数据库系统进行的后续访问的安全规则。进一步,还可以根据关联规则的危害度来设置相应的安全策略,以便处理未来的会话。采用本专利技术的技术方案,可以基于历史数据来预期未来的数据访问会话的安全等级,进而提高数据库系统的安全性。 【附图说明】 结合附图并参考以下详细说明,本专利技术各实施方式的特征、优点及其他方面将变得更加明显,在此以示例性而非限制性的方式示出了本专利技术的若干实施方式。在附图中: 图1示意性示出了适于实现本专利技术实施方式的示例性计算系统的框图; 图2A和图2B分别示意性示出了对数据库进行访问的SQL语句和包括多个SQL语句的会话的示意图; 图3示意性示出根据本专利技术一个实施方式的从历史会话中提取关联规则的架构图; 图4示意性示出了根据本专利技术一个实施方式的用于评估数据访问语句的安全性的方法的流程图; 图5示意性示出了根据本专利技术一个实施方式的用于基于关联规则来处理针对数据库进行访问的当前会话的架构图; 图6示意性示出了根据本专利技术一个实施方式的处理对数据库进行访问的当前会话的流程图;以及 图7示意性示出了根据本专利技术一个实施方式的用于评估数据访问语句的安全性的装置的框图。 【具体实施方式】 下面将参照附图更详细地描述本公开的优选实施方式。虽然附图中显示了本公开的优选实施方式,然而应该理解,可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。 所属
的技术人员知道,本专利技术可以实现为系统、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:可以是完全的硬件、也可以是完全的软件(包括固件、驻留软件、微代码等),还可以是硬件和软件结合的形式,本文一般称为“电路”、“模块”或“系统”。此外,在一些实施例中,本专利技术还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。 可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是一但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPR0M或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。 计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计本文档来自技高网...
【技术保护点】
一种用于评估数据访问语句的安全性的方法,包括:评估对所述数据库进行访问的多个会话中包括的多个SQL语句的危害度;从所述多个会话生成危害项集,所述危害项集中的每个元素指示在一个会话中包括的一个或者多个SQL语句;从所述危害项集提取至少一个关联规则,所述至少一个关联规则中的每个关联规则指示在一个会话中包括的SQL语句的序列;以及计算所述至少一个关联规则中的每个关联规则的危害度。
【技术特征摘要】
1.一种用于评估数据访问语句的安全性的方法,包括: 评估对所述数据库进行访问的多个会话中包括的多个SQL语句的危害度; 从所述多个会话生成危害项集,所述危害项集中的每个元素指示在一个会话中包括的一个或者多个SQL语句; 从所述危害项集提取至少一个关联规则,所述至少一个关联规则中的每个关联规则指示在一个会话中包括的SQL语句的序列;以及 计算所述至少一个关联规则中的每个关联规则的危害度。2.根据权利要求1所述的方法,其中从所述多个会话生成危害项集包括: 基于所述多个SQL语句的危害度来从所述多个会话中过滤得出至少一部分会话;以及 从所述至少一部分会话生成危害项集。3.根据权利要求2所述的方法,其中基于所述多个SQL语句的危害度来从所述多个会话中过滤得出至少一部分会话包括: 响应于所述多个会话中的一个会话所包括的全部SQL语句的危害度满足于第一阈值,从所述多个会话中删除所述会话以形成所述至少一部分会话。4.根据权利要求 1-3中的任一项所述的方法,其中从所述多个会话生成危害项集包括: 生成所述至少一部分会话的危害I项集,其中所述危害I项集中的每个元素包括一个SQL语句; 在至少一个轮次中,响应于所述至少一部分会话的危害(η-1)项集为非空,生成所述至少一部分会话的危害η项集,其中η > 2以及所述危害η项集中的每个元素包括η个有序排列的SQL语句。5.根据权利要求4所述的方法,进一步包括: 在所述至少一个轮次中,响应于以下中的任一项而从所述危害η项集中删除一元素:所述元素的支持度为O,所述元素的危害度为O。6.根据权利要求4所述的方法,其中从所述危害项集提取至少一个关联规则包括: 针对所述危害项集中的每个元素,将所述元素中包括的最后一个SQL语句作为后件; 将所述元素中的其余SQL语句作为前件;以及 利用公式(前件_>后件)来表示所述多个关联规则中的一个关联规则。7.根据权利要求1-3中的任一项所述的方法,其中计算所述至少一个关联规则中的每个关联规则的危害度包括:针对每个关联规则, 基于所述关联规则中的前件的危害度、所述后件的危害度、以及所述前件和所述后件之间的关系,计算所述关联规则的危害度。8.根据权利要求1-3中的任一项所述的方法,进一步包括: 根据所述至少一个关联规则中的每个关联规则的危害度,将所述至少一个关联规则进行排序;以及 根据所述排序来指定对应于所述至少一个关联规则中的每个关联规则的安全策略。9.根据权利要求8所述的方法,其中根据所述至少一个关联规则中的每个关联规则的危害度,将所述至少一个关联规则进行排序包括: 响应于所述至少一个关联规则中的两个关联规则的危害度相同,针对两个关联规则中的每个关联规则,基于所述关联规则的支持度和所述关联规则中的前件的支持度,计算所述关联规则的置信度;以及 根据所述两个关联规则的置信度将所述两个关联规则进行排序。10.根据权利要求8所述的方法,进一步包括: 响应于接收到对所述数据库进行访问的当前会话,在所述至少一个关联规则中搜索与所述当前会话相匹配的关联规则;以及 基于对应于相匹配的关联规则的安全策略,处理所述当前会话。11.一种用于评估数据访问语句的安全性的装置,包括: 评估模块,配置用于评估对所述数据库进行访问...
【专利技术属性】
技术研发人员:冯浩,孙盛艳,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。