【技术实现步骤摘要】
本专利技术涉及一种数据库安全审计方法、装置及存储介质,属于数据安全。
技术介绍
1、数据库作为信息系统的核心资产,被广泛用于烟草、航空航天、石油化工等各个行业中,为了集中管理和维护数据提供了技术支撑,极大的提升了业务系统的运作效率。近年来,随着互联网技术和信息技术的快速发展,数据库系统的数据安全问题得到了广泛的关注。一方面,由于数据库本身的复杂性,数据库的管理运行、日常维护和数据安全保护只能由专业的数据库管理员来进行,然而,大多数数据库使用者并不熟悉数据库,导致数据库遭受攻击的风险不断增加,另一方面,内部人员的误操作,移动存储介质的滥用给不法分子提供了可乘之机,其可通过病毒传播、木马植入等方式获取用户隐私信息,一旦遭到恶意攻击,可能会导致整个数据库系统瘫痪,造成巨大的经济损失。因此,研究稳定、可靠的数据库系统安全审计方法,对于及时发现数据库系统安全隐患、提升其安全防护和管理能力具有重要意义。
2、现有的数据库安全审计方法主要包括基于数据库访问审计方法、基于日志审计方法和基于用户登录行为审计方法。其中,数据库访问审计方法通过记录用户对表、视图、存储过程等对象的查询、插入、更新和删除等操作,追溯和审计数据的访问行为。通常,此类方法需要存储大量系统运行日志和重复操作信息,对处理资源和磁盘空间要求较高;基于日志审计方法通过记录并审查用户登录、访问、修改删除等操作的详细信息,检测和追踪潜在的安全事件和异常行为,并且由于复杂的业务逻辑和日志记录缺陷,使得正常操作过程或事件被错误地标记为异常,进而导致该方法会产生高误报率;基于用户
技术实现思路
1、本专利技术的目的在于克服现有技术中的不足,提供一种数据库安全审计方法、装置及存储介质,解决现有数据库安全审计方法缺乏上下文关联性分析,特别是当正常浏览和异常流量重叠时存在误报率、漏报率较高的技术问题。
2、为达到上述目的,本专利技术是采用下述技术方案实现的:
3、第一方面,本专利技术提供了一种数据库安全审计方法,应用于数据库网络中,包括:
4、在所述数据库网络中获取包括登录事件和访问事件的流量数据包,从所述流量数据包中提取登录事件特征和访问事件特征,所述登录事件特征和访问事件特征组成数据库事件特征矩阵;
5、将所述数据库事件特征矩阵输入至预先训练好的低维特征编码器,获得低维表示特征;
6、将所述低维表示特征与预构建的安全威胁规则进行拼接,获得令牌向量,并将所述令牌向量输入预先训练好的bert模型中,获得编码特征;
7、采用池化操作和softmax函数对所述编码表示进行处理,获得最终的审计结果。
8、结合第一方面,进一步地,所述登录事件特征包括:规则名称、数据库类型、数据库ip地址、数据库用户、登录时间、退出时间、客户端ip地址、物理地址、保护对象、执行结果和审计级别;
9、所述访问事件特征包括:规则名称、客户端ip地址、数据库类型、审计级别、访问时间、服务端ip地址、操作类型、资产、返回行数、执行时长、执行结果、错误码和绑定变量。
10、结合第一方面,进一步地,所述组成数据库事件特征矩阵,包括:
11、获取预定时间内m个登录事件与n歌访问时间相关的流量数据包,其流量数据包的表达式如下:
12、
13、
14、其中,qa为m个与登录事件相关的流量数据包构成的集合,i=1,2,…,m;qb为n个与访问事件相关的流量数据包构成的集合,j=1,2,…,n。
15、根据所述获得的集合qa和qb分别进行特征提取,得到登录时间特征和访问事件特征;
16、将所述登录时间特征和访问事件特征转为为二进制特征表示,并将所有二进制特征进行拼接,得到一维词向量;
17、所述一维词向量按照时间顺序进行排列,得到数据库事件特征矩阵。
18、结合第一方面,进一步地,所述低维表示特征的表达式如下:
19、z=feco(x)
20、其中,feco(x)为低维特征编码器的映射关系;z为低维表示特征。
21、结合第一方面,进一步地,所述安全威胁规则的构建,包括:
22、获取所述数据库网络中的异常操作现象,并对所述异常操作现象进行拼接,得到安全威胁规则;
23、采用word2vec方法将所述安全威胁规则转化为规则编码令牌;
24、其中,异常操作现象包括异常访问、登录异常、数据库操作异常。
25、结合第一方面,进一步地,所述bert模型包括至少两层transformer编码器;所述令牌向量包括若干字向量。
26、结合第一方面,进一步地,所述transformer编码器引入注意力机制,将所述若干字向量输入至具有注意力机制的第一层transformer编码器中,得到具有注意力机制的查询向量、键向量和值向量;
27、选取其中一个字向量的查询向量查询所有子向量的键向量,得到每个子向量对应的注意力特征;
28、将所述每个子向量对应的注意力特征进行拼接,获得中间向量;
29、所述中间向量进行归一化处理,得到第一层transformer编码器的输出,并将其作为第二层transformer编码器的输入;
30、最后一层transformer编码器的输出通过前馈神经网络,得到bert模型输出的编码特征。
31、结合第一方面,进一步地,所述编码特征的表达式如下:
32、h=bert(e1)=ffn(en)=max(0,enw1+b1)w2+b2
33、其中,bert(en)为bert模型的映射关系;ffn(en)为前馈神经网络映射关系;w1、w2为前馈神经网络的参数矩阵;b1、b2为前馈神经网络的偏置矩阵;e1为第一层transformer编码器的输入;en为最后一层transformer编码器的输出。
34、结合第一方面,进一步地,所述获采用池化操作和softmax函数对所述编码表示进行处理,获得最终的审计结果的表达式如下:
35、c=softmax(pooler(h))
36、其中,c为审计结果;pooler(h)为对编码特征h的池化操作。
37、第二方面,一种数据库安全审计方法装置,所述装置包括:
38、提取模块,用于在所述数据库网络中获取包括登录事件和访问事件的流量数据包,从所述流量数据包中提取登录事件特征和访问事件特征,所述登录事件特征和访问事件特征组成数据库事件特征矩阵;
39、特征输入模块,用于将所述数据库事件特征矩阵输入至预先训练好的低维特征编码器,获得低维表示特征;...
【技术保护点】
1.一种数据库安全审计方法,应用于数据库网络中,其特征在于,包括:
2.根据权利要求1所述的数据库安全审计方法,其特征在于,所述登录事件特征包括:规则名称、数据库类型、数据库IP地址、数据库用户、登录时间、退出时间、客户端IP地址、物理地址、保护对象、执行结果和审计级别;
3.根据权利要求2所述的数据库安全审计方法,其特征在于,所述组成数据库事件特征矩阵,包括:
4.根据权利要求1所述的数据库安全审计方法,其特征在于,所述低维表示特征的表达式如下:
5.根据权利要求1所述的数据库安全审计方法,其特征在于,所述安全威胁规则的构建,包括:
6.根据权利要求1所述的数据库安全审计方法,其特征在于,所述BERT模型包括至少两层Transformer编码器;所述令牌向量包括若干字向量。
7.根据权利要求6所述的数据库安全审计方法,其特征在于,所述Transformer编码器引入注意力机制,将所述若干字向量输入至具有注意力机制的第一层Transformer编码器中,得到具有注意力机制的查询向量、键向量和值向量;
<...【技术特征摘要】
1.一种数据库安全审计方法,应用于数据库网络中,其特征在于,包括:
2.根据权利要求1所述的数据库安全审计方法,其特征在于,所述登录事件特征包括:规则名称、数据库类型、数据库ip地址、数据库用户、登录时间、退出时间、客户端ip地址、物理地址、保护对象、执行结果和审计级别;
3.根据权利要求2所述的数据库安全审计方法,其特征在于,所述组成数据库事件特征矩阵,包括:
4.根据权利要求1所述的数据库安全审计方法,其特征在于,所述低维表示特征的表达式如下:
5.根据权利要求1所述的数据库安全审计方法,其特征在于,所述安全威胁规则的构建,包括:
6.根据权利要求1所述的数据库安全审计方法,其特征在于,所述bert模型包括...
【专利技术属性】
技术研发人员:季琦,李健俊,乐欢,许小双,
申请(专利权)人:浙江中烟工业有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。