本发明专利技术提供了面向电力信息内外网边界的数据库用户行为安全审计方法,该方法包括日志预处理,为用户行为审计提供了有效的数据准备;OCSVM训练学习历史正常用户行为数据,构建完成用户行为模式库;OCSVM检测数据库用户访问行为是否异常。本发明专利技术提供的技术方案实现用户异常行为的安全审计,以及对数据库用户访问行为的安全监测,为电力信息内外网边界的数据传输提供更深一层的监控和保护。
【技术实现步骤摘要】
面向电力信息内外网边界的数据库用户行为安全审计方法
本专利技术属于电力信息安全和数据库审计领域,具体涉及面向电力信息内外网边界的数据库用户行为安全审计方法。
技术介绍
目前已建成的以双网隔离为主要特征的电力信息网络安全防护体系中,电力信息内外网之间部署的信息安全网络隔离装置实现了逻辑强隔离,有力保障了电力信息内网业务的安全可靠运行。然而,随着智能电网的发展,信息内外网边界交互日益频繁,遭受攻击的可能性也不断增加。作为信息网第二道防线的信息内外网边界,承载着大量的外网业务与内网数据库服务的重要信息交互,然而信息安全网络隔离装置目前只能提供实时在线的SQL语句过滤,更详细的安全事件采集和分析工作难以应对,导致难以评估边界安全状态、难以发现和追溯恶意攻击等问题日益突出,所以亟需在保持高强度安全防护能力的基础上,提高面向信息内外网边界的数据库在线监控和综合审计能力,进一步加强提高电力信息网安全整体防护能力。数据库审计是保护数据库安全的重要措施。1991年,伊丽莎白(Bishop)提出了安全审计由审计和日志两部分组成的理论,该理论对数据库安全审计的研究有着重要的指导意义。针对传统数据库管理系统中审计功能缺乏审计分析及检测入侵的缺陷,LeventV.奥曼(Orman)初步提出了数据库审计的三种策略:基于规则的审计、基于统计的审计、基于数据挖掘的审计。近年来,国内外公司也开发了多种数据库安全审计产品,如美国IBM的InfoSphereGuardium、以色列Imperva公司的SecureSphere和美国ASI公司的DBProtect等,国内的上海复旦光华信息科技股份有限公司的DB-Audit、安恒信息技术有限公司的DAS-DBAuditor和杭州思福迪公司的LOGBASE业务数据库审计系统等。但是由于公司信息内外网边界上部署的隔离装置采用私有安全通信协议和独立的日志系统,市场上通用的安全审计产品很难与当前的隔离装置兼容,因此有必要研究依托于信息内外边界的专用安全审计系统。SVM是一种基于统计学习理论的机器学习模型,具有小样本学习和泛化能力良好、置信范围和收敛速度可控的优点,其在信息安全中的入侵检测领域获得了大量应用,但是在入侵检测技术相关性较大的安全审计领域的应用却存在一些不足。因此,针对现有的信息内外网边界安全监控和边界综合审计方面存在的不足,并且考虑到已有的公司的隔离装置采用私有安全通信协议和独立的日志系统,市场上通用安全审计类产品很难与隔离装置兼容的特点,提出了一种基于OCSVM的数据库用户访问行为的安全审计技术,实现信息内网数据库的安全审计。
技术实现思路
为解决国网公司信息内外网边界安全监控和边界综合审计方面的不足,本专利技术提供一种面向电力信息内外网边界的数据库用户行为安全审计方法。本专利技术提供的技术方案引入SVM的一个重要分支OCSVM作为用户行为的挖掘算法。本专利技术提供的OCSVM训练样本仅需要一个类别数据,非常适合两类分类中某类数据未知或者难以获取的分类情况,如异常检测。本专利技术提供的面向电力信息内外网边界的数据库用户行为安全审计方法,其改进之处在于,所述数据库用户访问行为的安全审计方法包括:(1)处理原始审计日志数据;(2)训练数据样本构建用户访问行为模式库;(3)检测数据库用户访问行为是否异常。进一步的,处理原始审计日志数据的流程包括:I、特征提取;II、SQL语句分析;III、数值化处理;和Ⅳ、归一化处理。进一步的,所述步骤I,分析审计日志中用户操作数据库的信息,选择特征向量代表用户的行为事件;所述特征向量包括用户名、操作行为、操作对象、操作时间和IP地址。进一步的,所述步骤II,所述SQL语句分析包括解析SQL语句的词法和语法,得到特征向量中的操作行为和操作对象;用LEX词法分析器进行所述SQL词法分析;用YACC语法分析器进行所述SQL语法分析。进一步的,所述步骤III,对用户行为数据中特征向量中的元素用数值映射,得到数值化的特征向量;所述用户行为数据包括特征向量固定的时间段内数量一定的用户对数据库操作行为的记录。进一步的,所述步骤Ⅳ中,训练样本经由下式(1)将数值化的特征向量中的元素映射到区间[0,1]:其中,x为数值化后特征向量中的元素;x*为归一化后特征向量中的元素;max为训练样本数据的最大值;min为训练样本数据的最小值。进一步的,所述步骤(2)中,将用户历史行为数据作为输入样本得到的OCSVM分类器构建数据库用户访问行为模式库;进一步的,OCSVM训练数据样本的过程包括:i、SVM单分类功能的获得:SVM训练学习所用的工具包LIBSVM调整训练函数svmtrain()的输入参数;ii、将非线性分类问题的原始空间样本通过核函数映射到高维特征空间,转化为线性问题;SVM的核函数采用径向基核函数,通过调整训练函数的输入参数实现函数调用;iii、用网格搜索法与10迭交叉验证实现核函数参数与OCSVM训练函数系数的选取;iiii、样本标签未知的历史正常操作行为样本作为SVM输入,所述SVM训练学习所得支持向量和分类器的参数构成数据库用户行为模式库。进一步的,所述步骤(3)中,用OCSVM训练数据样本得到的OCSVM分类器判别待检测日志样本,确定用户访问行为是否异常;所述OCSVM分类器的判别函数如下式(3)所示:其中,x_d为待检测样本;xi为支持向量;n为支持向量的数目;αi为拉格朗日乘子;K(xi,xd)表示核函数,ρ为超平面截距。进一步的,所述检测结果判别标准如svmpredict(x_d)所示:若svmpredict(x_d)=1,则用户行为判别为正常用户行为;若svmpredict(x_d)=-1,则用户行为判别为异常用户行为。与最接近的现有技术比,本专利技术具有以下优异效果:1.本专利技术提供的技术方案利用OCSVM训练学习仅需一类数据的特点,能够在异常行为样本未知的情况下实现对用户行为的学习,构建出数据库用户行为模式库,并以此实现对用户行为的异常检测,极大的提高了用户行为的异常检测效率。2.本专利技术提供的技术方案对审计日志进行了特征选择、SQL语句词法和语法分析,实现了对数据库用户访问行为的细粒度精确还原。3.本专利技术提供的技术方案考虑到电力信息内外网边界上部署的隔离装置具有私有的安全通信协议和独立的日志系统,市场上通用的日志审计系统很难与隔离装置兼容,结合当前隔离装置的技术特点而提出,有效提高了电力信息网安全整体防护能力。说明书附图图1为本专利技术提供的安全审计方法的审计流程图;图2为本专利技术提供的安全审计方法的日志预处理流程图;图3为本专利技术提供的安全审计方法的SQL语句语法解析流程图;图4为本专利技术提供的安全审计方法的SQL语句语法解析的实施例图。具体实施方法本专利技术提供了面向电力信息内外网边界的数据库用户行为安全审计方法,通过对审计日志进行特征选择、SQL语句词法和语法分析等日志预处理技术,实现了数据库用户行为的精确还原,为用户行为审计提供了有效的数据准备;考虑到用户异常行为样本数据未知和难以获取的特点,通过引入单分类支持向量机(one-classsupportvectormachine,OCSVM)解决了二分类学习中异常样本类缺失的问题,利用OCSVM学习历史正常用户行本文档来自技高网...
【技术保护点】
面向电力信息内外网边界的数据库用户行为安全审计方法,其特征在于,所述数据库用户访问行为的安全审计方法包括:(1)处理原始审计日志数据;(2)训练数据样本构建用户访问行为模式库;(3)检测数据库用户访问行为是否异常。
【技术特征摘要】
1.面向电力信息内外网边界的数据库用户行为安全审计方法,其特征在于,所述数据库用户访问行为的安全审计方法包括:(1)处理原始审计日志数据;(2)训练数据样本构建用户访问行为模式库;(3)检测数据库用户访问行为是否异常。2.如权利要求1所述的安全审计方法,其特征在于,所述处理原始审计日志数据的流程包括:I、特征提取;II、SQL语句分析;III、数值化处理;和Ⅳ、归一化处理。3.如权利要求2所述的安全审计方法,其特征在于,所述步骤I,分析审计日志中用户操作数据库的信息,选择特征向量代表用户的行为事件;所述特征向量包括用户名、操作行为、操作对象、操作时间和IP地址。4.如权利要求2所述的安全审计方法,其特征在于,所述步骤II,所述SQL语句分析包括解析SQL语句的词法和语法,得到特征向量中的操作行为和操作对象;用LEX词法分析器进行所述SQL词法分析;用YACC语法分析器进行所述SQL语法分析。5.如权利要求2所述的安全审计方法,其特征在于,所述步骤III,对用户行为数据中特征向量中的元素用数值映射,得到数值化的特征向量;所述用户行为数据包括特征向量固定的时间段内数量一定的用户对数据库操作行为的记录。6.如权利要求2所述的安全审计方法,其特征在于,所述步骤Ⅳ中,训练样本经由下式(1)将数值化的特征向量中的元素映射到区间[0,1]:其中,x为数值化后特征向量中的元素;x*为归一化后特征向量中的元素;max为训练样本数据的最大值;min为训练样本数据的最小值。7....
【专利技术属性】
技术研发人员:李勇,张涛,马媛媛,周诚,李伟伟,时坚,邵志鹏,石聪聪,汪晨,曾荣,陈牧,华晔,何高峰,费稼轩,戴造建,黄秀丽,陈璐,管小娟,张波,
申请(专利权)人:全球能源互联网研究院,国网江苏省电力公司,国家电网公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。