【技术实现步骤摘要】
本申请实施例涉及数据库安全技术,涉及但不限于一种数据库访问控制方法及装置、系统、设备、存储介质。
技术介绍
1、随着信息技术的快速发展,数据量大幅增加。为了保证业务的稳定运行,如何提高数据库的安全性成为目前的研究重点。
2、相关技术中,对数据库进行访问控制时,通常是预先对访问用户进行授权,手动配置数据库访问策略,然后基于告警日志提醒的紧急处理方式,人工处理攻击事件。但是这种方式难以实现对不同攻击行为的有效识别,因此难以应对多样化的攻击手段,存在灵活性较差的问题。
技术实现思路
1、有鉴于此,本申请实施例提供的数据库访问控制方法及装置、系统、设备、存储介质,能够提高对数据库进行访问控制时的灵活性。本申请实施例提供的数据库访问控制方法及装置、系统、设备、存储介质是这样实现的:
2、第一方面,本申请实施例提供一种数据库访问控制方法,应用于数据库节点,所述数据库节点通过零信任网络与用户终端通信连接,所述方法包括:
3、获取所述用户终端通过所述零信任网络发送的访问请求,并从所述访问请求中提取访问标识信息和访问请求内容;
4、基于所述访问标识信息和所述访问请求内容,生成多个维度的特征信息,所述特征信息至少包括:与用户身份相关的特征信息,与用户终端相关的特征信息,与用户终端的网络相关的特征信息,以及与访问请求相关的特征信息;
5、将所述多个维度的特征信息输入预先训练的预测模型中进行危险程度预测操作,得到所述访问请求对应的威胁程度,其中,
6、在所述威胁程度大于预设阈值的情况下,拒绝所述访问请求。
7、在一些实施例中,所述获取所述用户终端通过所述零信任网络发送的访问请求,并从所述访问请求中提取访问标识信息和访问请求内容,包括:
8、接收用户终端发送的携带有所述访问请求的数据包;
9、从所述数据包的包头中提取所述访问标识信息,从所述数据包的包体中提取所述访问请求内容。
10、在一些实施例中,所述基于所述访问标识信息和所述访问请求内容,生成多个维度的特征信息,包括:
11、从所述访问标识信息中分别提取第一信息、第二信息和第三信息,其中,所述第一信息包括与用户身份相关的信息,所述第二信息包括与用户终端相关的信息,所述第三信息包括与用户终端的网络相关的信息;
12、从所述访问请求内容中提取第四信息,所述第四信息包括与数据库的操作相关的信息;
13、将所述第一信息、第二信息、第三信息和第四信息确定为所述多个维度的特征信息。
14、在一些实施例中,所述预测模型的训练过程包括:
15、获取多个维度的样本特征信息,并分别生成训练样本和测试样本,所述样本特征信息至少包括:与用户身份相关的样本特征信息,与用户终端相关的样本特征信息,与用户终端的网络相关的样本特征信息,以及与访问请求内容相关的样本特征信息;
16、利用所述训练样本对初始随机森林模型进行训练,得到训练后的随机森林模型;
17、利用所述测试样本对所述训练后的随机森林模型进行测试,得到针对所述测试样本的威胁程度的预测值;
18、在所述预测值小于或等于误差阈值的情况下,将所述训练后的随机森林模型作为所述预测模型。
19、在一些实施例中,所述方法还包括:
20、在所述威胁程度小于或等于所述预设阈值的情况下,响应所述访问请求;
21、通过所述零信任网络,向所述用户终端发送针对所述访问请求的数据资源。
22、在一些实施例中,所述方法还包括:
23、针对所述用户终端通过所述零信任网络发送的每一条访问请求,均进行所述危险程度预测操作。
24、在一些实施例中,所述与数据库的操作相关的信息至少包括:操作的类型、操作的对象数据库、操作的数据库表和请求时间。
25、第二方面,本申请实施例提供一种数据库访问控制装置,应用于数据库节点,所述数据库节点通过零信任网络与用户终端通信连接,所述装置包括:
26、信息提取模块,用于获取所述用户终端通过所述零信任网络发送的访问请求,并从所述访问请求中提取访问标识信息和访问请求内容;
27、特征信息生成模块,用于基于所述访问标识信息和所述访问请求内容,生成多个维度的特征信息,所述特征信息至少包括:与用户身份相关的特征信息,与用户终端相关的特征信息,与用户终端的网络相关的特征信息,以及与访问请求相关的特征信息;
28、预测模块,用于将所述多个维度的特征信息输入预先训练的预测模型中进行危险程度预测操作,得到所述访问请求对应的威胁程度,其中,所述预测模型是基于随机森林算法并通过多个维度的样本特征信息训练得到的;
29、执行模块,用于在所述威胁程度高于预设阈值的情况下,拒绝所述访问请求。
30、第三方面,本申请实施例提供一种数据服务系统,包括控制器、数据库节点、用户终端和中继节点,所述控制器与所述用户终端通信连接,所述中继节点通过零信任网络分别与所述数据库节点和所述用户终端通信连接,其中,
31、所述控制器,用于向所述用户终端下发数据访问规则;
32、所述用户终端,用于在接收所述数据访问规则后,向所述数据库节点发送符合所述数据访问规则的访问请求;
33、所述中继节点,用于接收和转发所述数据库节点和所述用户终端之间的通信内容;
34、所述数据库节点,用于在获取所述用户终端通过所述零信任网络发送的访问请求后,基于从所述访问请求中提取的访问标识信息和访问请求内容,生成多个维度的特征信息,并将所述多个维度的特征信息输入预先训练的预测模型中进行危险程度预测操作,得到所述访问请求对应的威胁程度;
35、以及,在所述威胁程度大于预设阈值的情况下,拒绝所述访问请求;
36、在所述威胁程度小于或等于所述预设阈值的情况下,响应所述访问请求。
37、在一些实施例中,所述数据服务系统基于wireguard虚拟专用网络技术构建。
38、第四方面,本申请实施例提供一种计算机设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本申请实施例所述的方法。
39、第五方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现本申请实施例提供的所述的方法。
40、本申请实施例所提供的数据库访问控制方法及装置、系统、设备、存储介质,在获取用户终端通过零信任网络发送的访问请求后,能够对访问请求均采取不信任的策略进行威胁程度预测,相比于现有的手动配置数据库访问策略方式,能够大幅降低访问请求监测过程中的疏漏问题。并且,本申请实施例通过将访问请求中所提取的多个维度的特征信息输入预先训练的预测模型中进行本文档来自技高网...
【技术保护点】
1.一种数据库访问控制方法,其特征在于,应用于数据库节点,所述数据库节点通过零信任网络与用户终端通信连接,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述获取所述用户终端通过所述零信任网络发送的访问请求,并从所述访问请求中提取访问标识信息和访问请求内容,包括:
3.根据权利要求1或2所述的方法,其特征在于,所述基于所述访问标识信息和所述访问请求内容,生成多个维度的特征信息,包括:
4.根据权利要求1或2所述的方法,其特征在于,所述预测模型的训练过程包括:
5.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
6.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
7.根据权利要求3所述的方法,其特征在于,所述与数据库的操作相关的信息至少包括:操作的类型、操作的对象数据库、操作的数据库表和请求时间。
8.一种数据库访问控制装置,其特征在于,应用于数据库节点,所述数据库节点通过零信任网络与用户终端通信连接,所述装置包括:
9.一种数据服务系统,其特征在于,包
10.根据权利要求9所述的数据服务系统,其特征在于,所述数据服务系统基于WireGuard虚拟专用网络技术构建。
11.一种计算机设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7任一项所述方法的步骤。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。
...【技术特征摘要】
1.一种数据库访问控制方法,其特征在于,应用于数据库节点,所述数据库节点通过零信任网络与用户终端通信连接,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述获取所述用户终端通过所述零信任网络发送的访问请求,并从所述访问请求中提取访问标识信息和访问请求内容,包括:
3.根据权利要求1或2所述的方法,其特征在于,所述基于所述访问标识信息和所述访问请求内容,生成多个维度的特征信息,包括:
4.根据权利要求1或2所述的方法,其特征在于,所述预测模型的训练过程包括:
5.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
6.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
7.根据权利要求3所述的方法,其特征在于,所述与数据库的操作相关的信息至少包括:操作的类型、操作的对象数据库、操作的数据库...
【专利技术属性】
技术研发人员:林兵,刘纯纯,程伟,王永君,吴伟斌,赖博林,
申请(专利权)人:联通广东产业互联网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。