一种基于关联分析的用户异常行为检测方法及系统技术方案

本发明专利技术公开的一种基于关联分析的用户异常行为检测方法及系统，步骤1，采集数据库操作日志，所述日志包括用户操作行为；步骤2，使用关联分析算法对日志中的用户操作行为进行分析；步骤3，对用户操作行为异常进行检测。本发明专利技术通过对每一类角色的用户建立了行为规则库，符合了当前业务场景，满足了实际工作环境的需要，提高了用户异常行为检测的准确度。

A method and system for detecting user abnormal behavior based on association analysis

The invention discloses a user anomaly detection method and system based on correlation analysis of step 1, acquisition operation log database, the log including user behavior; step 2, using the correlation analysis method to analyze the user behavior in the log; step 3, to detect the abnormal behavior of users. By establishing a behavior rule base for each type of user, the method conforms to the current business scene, meets the needs of the actual working environment, and improves the accuracy of the abnormal behavior detection of the user.

【技术实现步骤摘要】
一种基于关联分析的用户异常行为检测方法及系统
本专利技术涉及计算机数据安全
，具体涉及一种基于关联分析的用户异常行为检测方法及系统。
技术介绍
数据库通过配置安全功能来防范常见的攻击，如：身份认证、访问控制、数据加密等。这些安全功能不足以抵御攻击者的攻击，因此数据库审计工具孕育而生。数据库审计系统能够对每个数据库用户的操作行为进行监控，起到了对攻击进行溯源的作用。目前，数据库审计的三种策略主要包括：基于规则的数据库审计、基于统计的数据库审计、基于数据挖掘的数据库审计。在数据挖掘算法中，关联规则分析普遍适用于用户行为的分析，多应用于电子购物系统中对用户购买物品的关联分析。在数据库用户的操作过程中，用户针对数据的操作行为与电子购物系统中用户购买物品的行为有很多相似之处，都可以通过关联规则算法来分析用户的行为。数据库用户根据角色岗位的工作要求，在处理数据表、字段的顺序上，在数据处理的操作类型上都具有关联性，因此，如何通过关联规则形成用户的行为模型，如何检测用户的异常行为，成为本系统的研究课题。
技术实现思路
本专利技术的目的在于针对上述现有技术中存在的问题，提出一种基于关联分析的用户异常行为检测方法及系统，可实现用户异常行为的准确检测。为达到上述专利技术的目的，本专利技术通过以下技术方案实现：本专利技术公开一种基于关联分析的用户异常行为检测方法，包括如下步骤：步骤1，采集数据库操作日志，所述日志包括用户操作行为；步骤2，使用关联分析算法对日志中的用户操作行为进行分析；步骤3，对用户操作行为异常进行检测。进一步，步骤1所数据库操作日志采集方法包括有：量镜像数据采集、SQL数据过滤、数据库协议分析，SQL语句还原、SQL语句解析和数据分类。进一步，步骤2所述的分析具体为：用户正常行为模式是指用户根据角色要求进行数据库操作时，操作行为与操作对象所体现出的关联关系，通过关联规则算法，挖掘出事物集之间的强关联规则，建立用户的正常行为规则库。进一步，所述正常行为规则库是通过Apriod算法建立的。进一步，所述异常检测方法为：用异常检测算法，将新的用户操作行为与正常行为规则库进行匹配，如果产生偏差大于偏差阈值，则认为用户操作行为异常。本专利技术还公开一种基于关联分析的用户异常行为检测系统表，采用上述检测方法，包括：数据库操作日志采集单元，用于用户SQL操作数据的采集和还原；用户行为分析单元，用于用户行为的分析，使用Apriod算法建立用户行为规则库；用户行为异常检测单元，用于检测用户行为是否异常。本专利技术所述的基于关联分析的用户异常行为检测系统中，所述的用户行为分析单元，包括用户角色分类、Apriori算法建立行为规则库。其中，用户角色分类用于对用户行为的细分，如：数据库维护人员，业务交易维护人员、新闻发布维护人员等；Apriori算法建立行为规则库用于对每类用户形成规则库。本专利技术所述的基于关联分析的用户异常行为检测方法和系统，具有以下有益效果：本技术方案中，对每一类角色的用户建立了行为规则库，符合了当前业务场景，满足了实际工作环境的需要，提高了用户异常行为检测的准确度。附图说明图1为本专利技术的一种基于关联分析的用户异常行为检测方法的步骤图；图2为本专利技术实施例一种基于关联分析的用户异常行为检测方法的检测流程示意图；图3为本专利技术实施例Apriori算法分析用户行为的处理过程；图4为本专利技术实施例用户异常行为检测流程；图5为本专利技术实施例一种基于关联分析的用户异常行为检测系统。具体实施方式下面结合附图和实施例对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部实施例。请参阅图1至图2，图1为本专利技术的基于关联分析的用户异常行为检测方法。图2为本专利技术实施例的检测流程示意图；。本专利技术实施例的一种基于关联分析的用户异常行为检测方法，包括：步骤1，采集数据库操作日志，所述日志包括用户操作行为；步骤2，使用关联分析算法对日志中的用户操作行为进行分析；步骤3，对用户操作行为异常进行检测。作为具体实施例，在步骤1中，所数据库操作日志采集方法包括有：流量镜像数据采集、SQL数据过滤、数据库协议分析，SQL语句还原、SQL语句解析和数据分类；在步骤1中，通过流量镜像数据采集，实现网络中用户对数据库操作数据的获取；通过SQL数据过滤，过滤流量中的无关数据报，减少下一步数据库分析的数据量；通过数据库协议分析，选择匹配的协议，如ORACLE、MYSQL、SQLSERVER，还原SQL语句；通过SQL语句解析，针对下面的关联分析算法所用的数据进行整理；根据用户的角色，对SQL数据进行分类，为下面的规则行为库的分类进行准备。步骤2的具体实施例为：在步骤2中，关联分析是利用Apriori算法对用户行为进行分析并将结果建立为用户正常行为规则库，对每一类用户即角色使用关联分析算法建立行为规则库。下面给出用户行为规则库的分析和建立过程的一个具体实施例。角色A的SQL操作数据项目集中有T1,T2,T3…T10共10个事务，有sysuser1,sysuser2,sysuser3三个用户使用行为对象表DBA_SYNONYMS，DBA_USERS，进行的操作有select，insert和delete，如下表1所示：表1将上面的数据转换为布尔型，如下表2所示：表2根据上表，采用Apriori算法进行分析，过程如图3所示。在数据处理过程中，有些属性值是互斥的，如sysuser1和sysuser2是互斥的，这些在候选集中进行了去除。设最小支持事务计数为2，则minS＝20％，最小可信度minC＝60％。最后由频繁3-项集可以得到强关联规则：和且上述两式既满足最小支持度，也满足最小可信度，所以他们为强关联规则，存入数据库中的规则库。作为步骤3的一个具体实施例，使用异常检测算法，将新的用户操作行为与正常行为规则库进行匹配，如果产生较大偏差，则认为用户操作行为异常，检测流程如图3所示。所述步骤3中，异常检测的条件包括：两条规则的支持度的偏差在用户定义的范围内；两条规则的可信度的偏差在用户定义的范围内。请参阅图5、一种基于关联分析的用户异常行为检测系统，包括：数据库操作日志采集单元10，用于用户SQL操作数据的采集和还原；用户行为分析单元20，用于用户行为的分析，使用Apriori算法建立用户行为规则库；用户行为异常检测单元30，用于用户行为是否异常的检测，即是否与正常行为有较大偏差。本专利技术所述的基于关联分析的用户异常行为检测系统中，所述的用户行为分析单元20，包括用户角色分类、Apriori算法建立行为规则库。其中，用户角色分类用于对用户行为的细分，如：数据库维护人员，业务交易维护人员、新闻发布维护人员等；Apriori算法建立行为规则库用于对每类用户形成规则库。本专利技术所述的基于关联分析的用户异常行为检测方法和系统，具有以下有益效果：本技术方案中，对每一类角色的用户建立了行为规则库，符合了当前业务场景，满足了实际工作环境的需要，提高了用户异常行为检测的准确度。上述实施例仅用以说明本专利技术而并非限制本专利技术所描述的技术方案；因此，尽管本说明书参照上述的各个实施例对本专利技术已进行了详细的说明，但是，本领域的普通技术人员应当理解，仍然可以对本专利技术进行修改或者本文档来自技高网...

【技术保护点】
一种基于关联分析的用户异常行为检测方法，其特征在于，包括如下步骤：步骤1，采集数据库操作日志，所述日志包括用户操作行为；步骤2，使用关联分析算法对日志中的用户操作行为进行分析；步骤3，对用户操作行为异常进行检测。

【技术特征摘要】
1.一种基于关联分析的用户异常行为检测方法，其特征在于，包括如下步骤：步骤1，采集数据库操作日志，所述日志包括用户操作行为；步骤2，使用关联分析算法对日志中的用户操作行为进行分析；步骤3，对用户操作行为异常进行检测。2.根据权利要求1所述的基于关联分析的用户异常行为检测方法，其特征在于，步骤1所数据库操作日志采集方法包括有：量镜像数据采集、SQL数据过滤、数据库协议分析，SQL语句还原、SQL语句解析和数据分类。3.根据权利要求2所述的基于关联分析的用户异常行为检测方法，其特征在于，步骤2所述的分析具体为：用户正常行为模式是指用户根据角色要求进行数据库操作时，操作行为与操作对象所体现出的关联关系，通过关联规则算法，挖掘出事物集之间的强关联规则，建立用户的正常行为规则库。4.根据权利要求3所述基于关联分析的用户异常行为检测方法，其特征在于，所述正常行为规则库是通过Apriod算法建立的。5.根据权利要求3或4所述的基于关联分析的用户异常行为检测方法，其特征在于，所述异常检测方法为：用异常检测算法，将新的用户操作行为与正常行为规则库进行匹配，如果产生偏差大于偏差阈值，则认为用户操作行为异常。6.一种基于关联分析的用户异常行为检测系统表，...

【专利技术属性】
技术研发人员：艾解清，魏理豪，王建永，何旻诺，
申请(专利权)人：广东电网有限责任公司信息中心，
类型：发明
国别省市：广东,44