本申请涉及数据库安全技术领域,提供一种基于DQN的数据库异常流量检测方法、装置及设备,用于提高数据库的安全性。该方法中,至少一个流量检测模型分别采用了神经网络搭建的Q网络和目标Q网络,训练过程中,两个神经网络从流量训练样本中学习的行为特征进行风险预测,避免了协议解析、规则匹配等繁琐步骤,提高了异常流量检测的效率,同时,解决了有限种风险类型检测的不足,提高了数据库的安全性和可靠性。另一方面,将当前流量训练样本的行为特征、下一流量训练样本的行为特征和当前训练样本的预测风险类型对应奖励值作为一条经验数据计算检测损失,使得神经网络能够充分利用数据库会话中的上下文信息,提高了异常流量检测的准确性。
【技术实现步骤摘要】
所属的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。与上述方法实施例基于同一专利技术构思,本申请实施例还提供的电子设备可以是图1中的服务器。在该实施例中,电子设备的结构可以如图16所示,包括存储器1601,通信接口1603以及一个或多个处理器1602。存储器1601,用于存储处理器1602执行的计算机程序。存储器1601可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及运行即时通讯功能所需的程序等;存储数据区可存储各种即时通讯信息和操作指令集等。存储器1601可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,ram);存储器1601也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,hdd)或固态硬盘(solid-state drive,ssd);或者存储器1601是能够用于携带或存储具有指令或数据结构形式的期望的计算机程序并能够由计算机存取的任何其他介质,但不限于此。存储器1601可以是上述存储器的组合。处理器1602,可以包括一个或多个中央处理单元(central processing unit,cpu)或者为数字处理单元等等。处理器1602,用于调用存储器1601中存储的计算机程序时实现上述基于dqn的数据库异常流量检测方法。通信接口1603用于与终端设备和其他服务器进行通信。本申请实施例中不限定上述存储器1601、通信接口1603和处理器1602之间的具体连接介质。本申请实施例在图16中以存储器1601和处理器1602之间通过总线1604连接,总线1604在图16中以粗线描述,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线1604可以分为地址总线、数据总线、控制总线等。为便于描述,图16中仅用一条粗线描述,但并不描述仅有一根总线或一种类型的总线。存储器1601中存储有计算机存储介质,计算机存储介质中存储有计算机可执行指令,计算机可执行指令用于实现本申请实施例的基于dqn的数据库异常流量检测方法。处理器1602用于执行上述基于dqn的数据库异常流量检测方法,如图11所示。在一些可能的实施方式中,本申请提供的基于dqn的数据库异常流量检测方法的各个方面还可以实现为一种程序产品的形式,其包括计算机程序,当程序产品在电子设备上运行时,计算机程序用于使电子设备执行本说明书上述描述的根据本申请各种示例性实施方式的基于dqn的数据库异常流量检测方法中的步骤,例如,电子设备可以执行如图5、图11中所示的步骤。程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。本申请的实施方式的程序产品可以采用便携式紧凑盘只读存储器(cd-rom)并包括计算机程序,并可以在电子设备上运行。然而,本申请的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被命令执行系统、装置或者器件使用或者与其结合使用。可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读计算机程序。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由命令执行系统、装置或者器件使用或者与其结合使用的程序。可读介质上包含的计算机程序可以用任何适当的介质传输,包括但不限于无线、有线、光缆、rf等等,或者上述的任意合适的组合。可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的计算机程序,程序设计语言包括面向对象的程序设计语言—诸如java、c++等,还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。计算机程序可以完全地在用户电子设备上执行、部分地在用户电子设备上执行、作为一个独立的软件包执行、部分在用户电子设备上部分在远程电子设备上执行、或者完全在远程电子设备或服务器上执行。在涉及远程电子设备的情形中,远程电子设备可以通过任意种类的网络包括局域网(lan)或广域网(wan)连接到用户电子设备,或者,可以连接到外部电子设备(例如利用因特网服务提供商来通过因特网连接)。应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。此外,尽管在附图中以特定顺序描述了本申请方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框本文档来自技高网...
【技术保护点】
1.一种基于DQN的数据库异常流量检测方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,所述采用所述Q网络,根据每个流量训练样本的行为特征,获得相应流量训练样本的预测风险类型对应的第一评估值,包括:
3.如权利要求1所述的方法,其特征在于,所述采用所述目标Q网络,根据所述下一流量训练样本的行为特征,确定所述下一流量训练样本的预测风险类型对应的第二评估值,结合所述当前流量训练样本的奖励值和第一评估值,确定所述流量检测模型的检测损失,包括:
4.如权利要求1所述的方法,其特征在于,所述根据所述检测损失调整所述Q网络和所述目标Q网络的网络参数,包括:
5.如权利要求1-4中任一项所述的方法,其特征在于,所述根据数据库产生的流量训练样本集,对至少一个流量检测模型进行迭代训练之前,所述方法还包括:
6.如权利要求5所述的方法,其特征在于,所述剔除所述流量训练样本集中无效的流量训练样本以及流量训练样本中的无效数据部分,获得有效流量样本,包括:
7.如权利要求1-4中任一项所述的方法,其特征在于,当所述至少一个流量检测模型的训练次数分别达到预设次数阈值时,所述方法还包括:
8.如权利要求7所述的方法,其特征在于,选择至少一个目标流量检测模型后,所述方法还包括:
9.一种基于DQN的数据库异常流量检测装置,其特征在于,包括:
10.一种电子设备,其特征在于,包括处理器、存储器和通信接口,所述通信接口、所述存储器和所述处理器通过总线连接;
11.一种计算机可读存储介质,其特征在于,其包括计算机程序,当所述计算机程序在电子设备上运行时,所述计算机程序用于使所述电子设备执行权利要求1~8中任一所述方法的步骤。
...
【技术特征摘要】
1.一种基于dqn的数据库异常流量检测方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,所述采用所述q网络,根据每个流量训练样本的行为特征,获得相应流量训练样本的预测风险类型对应的第一评估值,包括:
3.如权利要求1所述的方法,其特征在于,所述采用所述目标q网络,根据所述下一流量训练样本的行为特征,确定所述下一流量训练样本的预测风险类型对应的第二评估值,结合所述当前流量训练样本的奖励值和第一评估值,确定所述流量检测模型的检测损失,包括:
4.如权利要求1所述的方法,其特征在于,所述根据所述检测损失调整所述q网络和所述目标q网络的网络参数,包括:
5.如权利要求1-4中任一项所述的方法,其特征在于,所述根据数据库产生的流量训练样本集,对至少一个流量检测模型进行迭代训练之前,所述方法还包括:
...
【专利技术属性】
技术研发人员:黄帅,白燕妮,王浩东,姚娜,任浩志,
申请(专利权)人:天翼安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。