一种数据库安全异常识别方法及系统技术方案

本发明专利技术公开了一种数据库安全异常识别方法及系统，方法包括步骤：获取实时数据库指令数据；提取行为特征，根据已知恶意特征库，对行为特征进行特征匹配，进行异常行为判定，进行异常告警。系统包括依次连接的获取单元、提取单元、匹配单元、判定单元和告警单元。本发明专利技术通过对数据库实时指令数据进行获取和分类提取，先进行已知恶意特征库匹配，再基于访问域、操作域相关数据进行异常行为判定，当存在异常行为时，进行异常告警，实现了精确数据库安全检测。测。测。

【技术实现步骤摘要】
一种数据库安全异常识别方法及系统


[0001]本专利技术涉及数据库安全分析
，尤其是涉及一种一种数据库安全异常识别方法及系统。

技术介绍

[0002]传统的数据库安全异常识别，仅基于已知恶意行为特征库，由已知恶意特征库基于自身的相关规则特征和行为判定来确认当前数据库访问请求是否正常，是否存在风险性或已知攻击行为。由于其依赖于自有的相关匹配规则或策略，导致在安全问题上往往出现大量误报、漏报，并在情报更新和威胁嗅探上往往囿于劣势；同时，由于其安全判定基于规则，而规则往往又是已知威胁的整理集合，导致目前传统数据库安全策略长期停留在“事后诸葛亮”的状态，即只有相关问题已大规模爆发，其行为已知后方能对其进行相关检出和告警。因此，当前的数据库安全异常识别方法无法有效识别多变的数据库恶意行为。

技术实现思路

[0003]本专利技术主要是解决现有技术中数据库基于已知恶意行为行为特征库，安全判定基于已知规则，存在无法有效识别多边的数据库恶意行为的问题，提供了一种数据库安全异常识别方法及系统。
[0004]本专利技术的上述技术问题主要本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据库安全异常识别方法，其特征在于：包括以下步骤，S1.获取实时数据库指令数据；S2.对实时数据库指令数据提取行为特征，行为特征包括访问域和操作域；S3.根据已知恶意特征库，对行为特征进行特征匹配，判定是否为已知恶意行为；S4.对于非已知恶意行为的行为特征进行同源会话访问域和同源会话操作域判定，然后进行异常行为判定；S5.根据异常行为判定进行异常告警。2.根据权利要求1所述的一种数据库安全异常识别方法，其特征是步骤S1中实时数据库指令数据包括实时获取Web业务向数据库发起的全部数据库指令请求。3.根据权利要求1所述的一种数据库安全异常识别方法，其特征是步骤S2中提取行为特征包括，由数据库指令中的业务请求来源、访问目的数据库、访问目的数据库对应数据表提取各数据库指令的访问信息集合，将访问信息集合作为该数据库指令的访问域；由数据库指令中的业务请求来源、操作关键字以及其对应操作对象提取个数据库指令的操作信息集合，将操作信息集合作为该数据库指令的操作域。4.根据权利要求1所述的一种数据库安全异常识别方法，其特征是步骤S4中访问域的判定过程包括，对所有请求来源相同、访问目标数据库一致的指令数据统计获得所有同源会话统计集合x(F
x
,D
x
)；在统计周期H内，统计同源会话统计集合x(F
x
,D
x
)的统计数值，当统计数值达到阈值S时，生成G
fx
算法：G
fx
{(F
x
,D
x
),(TO1,TO2,
…
TO
n
)}其中F
x
为同源会话统计集合x(F
x
,D
x
)访问请求来源，D
x
为同源会话统计集合x(F
x
,D
x
)访问目标数据库，(TO1,TO2,
…
TO
n
)为同源会话统计集合x(F
x
,D
x
)常规访问该数据库下数据表集合。5.根据权利要求4所述的一种数据库安全异常识别方法，其特征是步骤S4中访问域的异常判定过程包括，若统计并形成G
fx
{(F
x
,D
x
),(TO1,TO2,
…
TO
n
)}后，针对后续此类同源会话访问请求Sx{(F
x
,D
x
),(TOS
x
)}生成存在异常访问判定算法T1(Sx,G
fx
)，其中TOS
x
为此次同源会话请求所需访问的数据表、数据字段集合；若TOS
x
∈(TO1,TO2,
…
TO
n
)，则T1(Sx,G
fx
) = 0，此次访问请求判定为不存在异常访问域；反之则T1(Sx,G
fx
) = 1，此次访问请求判定为存在异常访问域。6.根据权利要求5所述的一种数据库安全异常识别方法，其特征是步骤S4中操作域的判定过程包括，对所有请求来源相同、访问目标数据库一致的指令数据统计获得所有同源会话统计集合x(F
x
,D
x
)；在统计周期H内，统计同源会话统计集合x(F
x
,D
x
)的统计数值，当统计数值达到阈值S时，生成G
ox
算法：
G
ox
{(F
x
,D
x
),(TA1(TO1(a1f1,a1f2…
a1f
n
),TO2(a2f1,a2f2…
a2f
n
),
…
TO
n
(a
n
f1,a
n
f2…
a
n
f
n
)),TA2(TO1(a1f1,a1f2…
a1f
n
),TO2(a2f1,a2f2…
a2f
n
),
…
TO
n
(a
n
f1,a
n
f2…
a
n
f
n
)),
…
TA
n
(TO1(a1f1,a1f2…
a1f
n
),TO2(a2f1,a2f2…
a2f
n
),
…
TO
n
(a
n
f1,a
n
f2…
a
n
f
n
)))}其中...

【专利技术属性】
技术研发人员：刘隽良，王月兵，柳遵梁，覃锦端，王中天，毛菲，
申请(专利权)人：杭州美创科技有限公司，
类型：发明
国别省市：