【技术实现步骤摘要】
SQL日志异常检测方法、装置、存储介质及电子设备
[0001]本公开涉及网络技术与安全
,具体而言,涉及一种SQL日志异常检测方法、装置、存储介质及电子设备。
技术介绍
[0002]目前,通过分析数据库SQL(Structured Query Language,结构化查询语言)日志,能够发现非法人员对数据库数据的窃取、篡改和破坏行为。常见的SQL日志异常分析技术包括SQL日志模板异常检测、SQL操作统计量异常、以及序列神经网络模型检测特定SQL异常如SQL注入等。然而,数据库/大数据平台的数据访问通常通过SQL或类SQL语言(如HQL(HibernateQuery Language,Hibernate查询语言))实现,用户的SQL数据访问行为会记录在日志中,但需从海量SQL日志中发现异常操作,通常需构建较为复杂的神经网络模型或需进行大量复杂运算,导致SQL日志异常检测效率较低。
技术实现思路
[0003]本公开实施例提供一种SQL日志异常检测方法、装置、存储介质及电子设备,以用于至少部分地解决相关技术中...
【技术保护点】
【技术特征摘要】
1.一种SQL日志异常检测方法,其特征在于,包括:获取待测试结构化查询语言SQL日志;从所述待测试SQL日志中提取SQL操作数据,根据所述SQL操作数据得到测试序列;根据所述测试序列以及预训练得到的词向量库生成所述测试序列中每个词的词向量,得到测试词向量序列,其中,所述词向量库基于预设SQL日志中的SQL操作数据训练得到;计算所述测试词向量序列中的词向量之间的相似度;根据所述相似度确定所述待测试SQL日志中是否存在异常SQL操作。2.根据权利要求1所述的方法,其特征在于,从所述待测试SQL日志中提取SQL操作数据,根据所述SQL操作数据得到测试序列,包括:从所述待测试SQL日志中的每条SQL语句中提取词;按照访问IP地址或用户名对从每条SQL语句中提取到的词进行排列,得到所述测试序列。3.根据权利要求2所述的方法,其特征在于,从所述待测试SQL日志中的每条SQL语句中提取词,包括:从所述每条SQL语句中提取表名和字段名,将所述表名以及字段名组成词。4.根据权利要求1所述的方法,其特征在于,所述测试词向量序列中的词向量包括从所述待测试SQL日志的每条SQL语句中提取的词对应词向量,根据所述测试序列以及预训练得到的词向量库生成所述测试序列中每个词的词向量,得到测试词向量序列,包括:将所述测试序列按照每条SQL语句切分为多条SQL,得到切分后的测试序列;根据切分后的测试序列以及预训练得到的词向量库生成所述测试序列中每个词的词向量,得到所述测试词向量序列;计算所述测试词向量序列中的词向量之间的相似度,包括:计算所述测试词向量序列中词向量之间的相似度的均值,得到所述相似度,其中,所述相似度用于表征待测试SQL日志中的业务与合法业务之间的差异。5.根据权利要求1所述的方法,其特征在于,所述测试词向量序列中的词向量包括:从所述待测试SQL日志的每条SQL语句中提取的词按照访问IP地址或用户名组成的句子对应词向量,计算所述测试词向量序列中的词向量之间的相似度,包括:计算所述测试词向量序列中的词向量之间的相似度的均值,得到所述相似度,其中,所述相似度用于表征待测试SQL日志中用户或访问IP地址的操作行为与合法操作行为之间的差异。6.根据权利要求1所述的方法,其特征在于,根据所述相似度确定所述待测试SQL日志中是否存在异常SQL操作,包括:将所述相似度与第一阈值进行比较;若所述相似度大于所述第一阈值,确定所述待测试SQL日志中存在异常操作;若所述相似度不大于所述第一阈值,确定所述待测试SQL日志中不存在异常操作。7.根据权利要求1所述的方法,其特征在于,根据所述测试序列以及预训练得到的词向量库生成所述测试序列中每个词的词向量,得到测试词向量序列,包括:
将所述测试序列按照每条SQL语句切分为多条SQL;根据所述测试序列以及预训练得到的第一词向量库,生成第一测试词向量序列;根据所述测试序列以及预训练得到的第二词向量库,生成第二测试词向量序列,其中,所述第一词向量库与所述第二词向量库中的词向量不同;计算所述测试词向量序列中的词向量之间的相似度,包括:计算所述第...
【专利技术属性】
技术研发人员:赵钧,王渭清,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。