[发明专利]一种用于数据库的入侵检测方法

说明书

本发明公开了一种用于数据库的入侵检测方法，涉及网络安全技术领域。本发明包括步骤一：改进关联规则挖掘算法；步骤二：数据采集和预处理；步骤三：建立入侵检测规则库和步骤四：入侵检测。本发明通过改进关联规则挖掘算法，解决了现有检测算法复杂，检测效率低的问题；利用改进关联规则挖掘算法对检出的入侵行为进行挖掘形成知识库；解决了现有检测方法自适应性差，检出效率低的问题。

技术领域

本发明属于网络安全技术领域，特别是涉及一种用于数据库的入侵检测方法。

背景技术

随着网络的不断发展，网络安全也日益严峻；现有的数据库安全也信息安全研究的主要对象之一；现有的数据库安全检测多采用数据挖掘的方式，如关联挖掘算法Apriori；但现有的数据检测在算法上存在缺陷，需要多次扫描数据库产生大量的候选项集，复杂度高，影响检测效率；同时随着入侵类型的不断变化，现有的检测规则无法及时检测数异常操作，自适应性较差，检出率较低。

发明内容

本发明的目的在于提供一种用于数据库的入侵检测方法，通过改进关联规则挖掘算法，解决了现有检测算法复杂，检测效率低的问题；利用改进关联规则挖掘算法对检出的入侵行为进行挖掘形成知识库；解决了现有检测方法自适应性差，检出效率低的问题。

为解决上述技术问题，本发明是通过以下技术方案实现的：

本发明为一种用于数据库的入侵检测方法，包括以下步骤：

步骤一：改进关联规则挖掘算法；基于Apriori算法进行优化改进；

步骤二：数据采集和预处理；对数据库服务器正常操作行为的日志文件数据进行收集，将收集的数据进行集成处理；

步骤三：建立入侵检测规则库；利用改进的关联规则挖掘算法对步骤二中集成处理后的数据进行挖掘提取行为特征和规则，建立入侵检测规则库；

步骤四：入侵检测；根据步骤三建立的入侵检测规则库对当前行为特征进行对比，判断是否为入侵行为。

进一步地，所述步骤一中的改进关联规则挖掘算法的方法包括降低项目候选集中的候选项数量和降低对数据库的扫描次数。

进一步地，所述步骤二中数据采集还包括对入侵检测时的数据库服务器当前审计数据进行收集，并利用改进关联规则挖掘算法挖掘形成知识库。

进一步地，所述步骤四还包括入侵预检测；所述入侵预检测根据知识库对当前行为进行对比检测；所述入侵预检测包括登录失败检测、非法登录检测、重复登录检测、非权限访问记录和客户端信息检测。

进一步地，所述步骤四中检测出的入侵行为结果被采集添加至知识库中。

本发明具有以下有益效果：

1、本发明通过改进关联规则挖掘算法对数据库服务器正常操作行为的日志文件数据进行收集进行挖掘建立入侵检测规则库；通过提高了数据挖掘速度，提高了入侵检测效率；通过将检出的入侵行为进行挖掘形成知识库；提高了入侵检测的自适应性差和检出效率。

2、本发明通过建立知识库不断完善检测规则，并在入侵检测之前利用知识库进行预入侵检测，有效的降低了漏检率和误检率。

当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。

具体实施方式

下面将对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明为一种用于数据库的入侵检测方法，包括以下步骤：