本發(fā)明涉及計算機數(shù)據(jù)安全技術(shù)領(lǐng)域，具體涉及一種基于關(guān)聯(lián)分析的用戶異常行為檢測方法及系統(tǒng)。

背景技術(shù)：

數(shù)據(jù)庫通過配置安全功能來防范常見的攻擊，如：身份認證、訪問控制、數(shù)據(jù)加密等。這些安全功能不足以抵御攻擊者的攻擊，因此數(shù)據(jù)庫審計工具孕育而生。數(shù)據(jù)庫審計系統(tǒng)能夠?qū)γ總€數(shù)據(jù)庫用戶的操作行為進行監(jiān)控，起到了對攻擊進行溯源的作用。目前，數(shù)據(jù)庫審計的三種策略主要包括：基于規(guī)則的數(shù)據(jù)庫審計、基于統(tǒng)計的數(shù)據(jù)庫審計、基于數(shù)據(jù)挖掘的數(shù)據(jù)庫審計。

在數(shù)據(jù)挖掘算法中，關(guān)聯(lián)規(guī)則分析普遍適用于用戶行為的分析，多應(yīng)用于電子購物系統(tǒng)中對用戶購買物品的關(guān)聯(lián)分析。在數(shù)據(jù)庫用戶的操作過程中，用戶針對數(shù)據(jù)的操作行為與電子購物系統(tǒng)中用戶購買物品的行為有很多相似之處，都可以通過關(guān)聯(lián)規(guī)則算法來分析用戶的行為。數(shù)據(jù)庫用戶根據(jù)角色崗位的工作要求，在處理數(shù)據(jù)表、字段的順序上，在數(shù)據(jù)處理的操作類型上都具有關(guān)聯(lián)性，因此，如何通過關(guān)聯(lián)規(guī)則形成用戶的行為模型，如何檢測用戶的異常行為，成為本系統(tǒng)的研究課題。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的在于針對上述現(xiàn)有技術(shù)中存在的問題，提出一種基于關(guān)聯(lián)分析的用戶異常行為檢測方法及系統(tǒng)，可實現(xiàn)用戶異常行為的準確檢測。

為達到上述發(fā)明的目的，本發(fā)明通過以下技術(shù)方案實現(xiàn)：

本發(fā)明公開一種基于關(guān)聯(lián)分析的用戶異常行為檢測方法，包括如下步驟：

步驟1，采集數(shù)據(jù)庫操作日志，所述日志包括用戶操作行為；

步驟2，使用關(guān)聯(lián)分析算法對日志中的用戶操作行為進行分析；

步驟3，對用戶操作行為異常進行檢測。

進一步，步驟1所數(shù)據(jù)庫操作日志采集方法包括有：量鏡像數(shù)據(jù)采集、sql數(shù)據(jù)過濾、數(shù)據(jù)庫協(xié)議分析，sql語句還原、sql語句解析和數(shù)據(jù)分類。

進一步，步驟2所述的分析具體為：用戶正常行為模式是指用戶根據(jù)角色要求進行數(shù)據(jù)庫操作時，操作行為與操作對象所體現(xiàn)出的關(guān)聯(lián)關(guān)系，通過關(guān)聯(lián)規(guī)則算法，挖掘出事物集之間的強關(guān)聯(lián)規(guī)則，建立用戶的正常行為規(guī)則庫。

進一步，所述正常行為規(guī)則庫是通過apriod算法建立的。

進一步，所述異常檢測方法為：用異常檢測算法，將新的用戶操作行為與正常行為規(guī)則庫進行匹配，如果產(chǎn)生偏差大于偏差閾值，則認為用戶操作行為異常。

本發(fā)明還公開一種基于關(guān)聯(lián)分析的用戶異常行為檢測系統(tǒng)表，采用上述檢測方法，包括：

數(shù)據(jù)庫操作日志采集單元，用于用戶sql操作數(shù)據(jù)的采集和還原；

用戶行為分析單元，用于用戶行為的分析，使用apriod算法建立用戶行為規(guī)則庫；

用戶行為異常檢測單元，用于檢測用戶行為是否異常。

本發(fā)明所述的基于關(guān)聯(lián)分析的用戶異常行為檢測系統(tǒng)中，所述的用戶行為分析單元，包括用戶角色分類、apriori算法建立行為規(guī)則庫。其中，用戶角色分類用于對用戶行為的細分，如：數(shù)據(jù)庫維護人員，業(yè)務(wù)交易維護人員、新聞發(fā)布維護人員等；apriori算法建立行為規(guī)則庫用于對每類用戶形成規(guī)則庫。

本發(fā)明所述的基于關(guān)聯(lián)分析的用戶異常行為檢測方法和系統(tǒng)，具有以下有益效果：

本技術(shù)方案中，對每一類角色的用戶建立了行為規(guī)則庫，符合了當前業(yè)務(wù)場景，滿足了實際工作環(huán)境的需要，提高了用戶異常行為檢測的準確度。

附圖說明

圖1為本發(fā)明的一種基于關(guān)聯(lián)分析的用戶異常行為檢測方法的步驟圖；

圖2為本發(fā)明實施例一種基于關(guān)聯(lián)分析的用戶異常行為檢測方法的檢測流程示意圖；

圖3為本發(fā)明實施例apriori算法分析用戶行為的處理過程；

圖4為本發(fā)明實施例用戶異常行為檢測流程；

圖5為本發(fā)明實施例一種基于關(guān)聯(lián)分析的用戶異常行為檢測系統(tǒng)。

具體實施方式

下面結(jié)合附圖和實施例對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部實施例。

請參閱圖1至圖2，圖1為本發(fā)明的基于關(guān)聯(lián)分析的用戶異常行為檢測方法。圖2為本發(fā)明實施例的檢測流程示意圖；。

本發(fā)明實施例的一種基于關(guān)聯(lián)分析的用戶異常行為檢測方法，包括：

步驟1，采集數(shù)據(jù)庫操作日志，所述日志包括用戶操作行為；

步驟2，使用關(guān)聯(lián)分析算法對日志中的用戶操作行為進行分析；

步驟3，對用戶操作行為異常進行檢測。

作為具體實施例，在步驟1中，所數(shù)據(jù)庫操作日志采集方法包括有：流量鏡像數(shù)據(jù)采集、sql數(shù)據(jù)過濾、數(shù)據(jù)庫協(xié)議分析，sql語句還原、sql語句解析和數(shù)據(jù)分類；

在步驟1中，通過流量鏡像數(shù)據(jù)采集，實現(xiàn)網(wǎng)絡(luò)中用戶對數(shù)據(jù)庫操作數(shù)據(jù)的獲??；

通過sql數(shù)據(jù)過濾，過濾流量中的無關(guān)數(shù)據(jù)報，減少下一步數(shù)據(jù)庫分析的數(shù)據(jù)量；

通過數(shù)據(jù)庫協(xié)議分析，選擇匹配的協(xié)議，如oracle、mysql、sqlserver，還原sql語句；

通過sql語句解析，針對下面的關(guān)聯(lián)分析算法所用的數(shù)據(jù)進行整理；根據(jù)用戶的角色，對sql數(shù)據(jù)進行分類，為下面的規(guī)則行為庫的分類進行準備。

步驟2的具體實施例為：在步驟2中，關(guān)聯(lián)分析是利用apriori算法對用戶行為進行分析并將結(jié)果建立為用戶正常行為規(guī)則庫，對每一類用戶即角色使用關(guān)聯(lián)分析算法建立行為規(guī)則庫。

下面給出用戶行為規(guī)則庫的分析和建立過程的一個具體實施例。

角色a的sql操作數(shù)據(jù)項目集中有t1,t2,t3…t10共10個事務(wù)，有sysuser1,sysuser2,sysuser3三個用戶使用行為對象表dba_synonyms，dba_users，進行的操作有select，insert和delete，如下表1所示：

表1

將上面的數(shù)據(jù)轉(zhuǎn)換為布爾型，如下表2所示：

表2

根據(jù)上表，采用apriori算法進行分析，過程如圖3所示。在數(shù)據(jù)處理過程中，有些屬性值是互斥的，如sysuser1和sysuser2是互斥的，這些在候選集中進行了去除。設(shè)最小支持事務(wù)計數(shù)為2，則mins＝20％，最小可信度minc＝60％。最后由頻繁3-項集可以得到強關(guān)聯(lián)規(guī)則：

和且

上述兩式既滿足最小支持度，也滿足最小可信度，所以他們?yōu)閺婈P(guān)聯(lián)規(guī)則，存入數(shù)據(jù)庫中的規(guī)則庫。

作為步驟3的一個具體實施例，使用異常檢測算法，將新的用戶操作行為與正常行為規(guī)則庫進行匹配，如果產(chǎn)生較大偏差，則認為用戶操作行為異常，檢測流程如圖3所示。

所述步驟3中，異常檢測的條件包括：

兩條規(guī)則的支持度的偏差在用戶定義的范圍內(nèi)；

兩條規(guī)則的可信度的偏差在用戶定義的范圍內(nèi)。

請參閱圖5、一種基于關(guān)聯(lián)分析的用戶異常行為檢測系統(tǒng)，包括：

數(shù)據(jù)庫操作日志采集單元10，用于用戶sql操作數(shù)據(jù)的采集和還原；

用戶行為分析單元20，用于用戶行為的分析，使用apriori算法建立用戶行為規(guī)則庫；

用戶行為異常檢測單元30，用于用戶行為是否異常的檢測，即是否與正常行為有較大偏差。

本發(fā)明所述的基于關(guān)聯(lián)分析的用戶異常行為檢測系統(tǒng)中，所述的用戶行為分析單元20，包括用戶角色分類、apriori算法建立行為規(guī)則庫。其中，用戶角色分類用于對用戶行為的細分，如：數(shù)據(jù)庫維護人員，業(yè)務(wù)交易維護人員、新聞發(fā)布維護人員等；apriori算法建立行為規(guī)則庫用于對每類用戶形成規(guī)則庫。

本發(fā)明所述的基于關(guān)聯(lián)分析的用戶異常行為檢測方法和系統(tǒng)，具有以下有益效果：

本技術(shù)方案中，對每一類角色的用戶建立了行為規(guī)則庫，符合了當前業(yè)務(wù)場景，滿足了實際工作環(huán)境的需要，提高了用戶異常行為檢測的準確度。

上述實施例僅用以說明本發(fā)明而并非限制本發(fā)明所描述的技術(shù)方案；因此，盡管本說明書參照上述的各個實施例對本發(fā)明已進行了詳細的說明，但是，本領(lǐng)域的普通技術(shù)人員應(yīng)當理解，仍然可以對本發(fā)明進行修改或者等同替換；而一切不脫離本發(fā)明的精神和范圍的技術(shù)方案及其改進，其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當中。