[发明专利]一种数据库破坏的检测方法、装置、设备及存储介质

说明书

本申请公开了一种数据库破坏的检测方法、装置、设备及存储介质，提取数据库访问的镜相流量，生成镜相流量报文；根据流量探针对镜相流量报文的分析数据，识别SQL语句的操作类型，并进行分类；当操作类型的分类结果为高危操作时，在预先自学习的安全访问记录集中搜索高危操作对应的第一哈希值，并当第一哈希值不存在时，确定数据库被破坏。本申请实施例通过对实时SQL语句的操作类型进行识别分类，并在不断自学习数据库日常操作所形成的最新状态的安全访问记录集中查找高危操作的信任哈希值，从而自主地确定数据库是否被破坏，减少了用户的配置，同时节省了成本。

技术领域

本发明一般涉及信息安全技术领域，具体涉及一种数据库破坏的检测方法、装置、设备及存储介质。

背景技术

数据库(Database)是按照数据结构来组织、存储和管理数据的仓库，简单来说可视为电子化的文件柜，用户可以对文件中的数据进行新增、截取、更新和删除等操作。随着互联网技术和信息技术的迅猛发展，以数据库为基础的信息系统，在金融、医疗以及教育等领域的信息基础设施建设中得到了广泛的应用。

在实际使用过程中，用户通过结构化查询语言(Structured Query Language，SQL)来访问和操作数据库。而当黑客突破数据库的口令限制，成功连接数据库之后，也可以使用SQL语言对数据库进行操作，但如果操作中使用了破坏性类型的语句，比如drop、alter或者truncate，将会对数据库造成不同程度的破坏。由于数据库承载着关键核心业务，其重要性不言而喻。一旦数据库遭到攻击和破坏，就会影响到整个业务的功能。目前，针对此类数据库破坏的检测方法为用户自定义安全策略，即人为指定的IP地址或者连接工具访问数据库是安全的，以及人为规定数据表对应操作类型的SQL语句。

在实现本发明的过程中，发明人发现现有技术中至少存在如下问题：一方面、自定义安全策略需要非常专业的数据库知识，这对于普通的安全管理人员而言是极其困难的，由此在做数据库防护时往往少量定义、甚至是不定义安全策略，从而造成数据库破坏行为的漏报；另一方面，自定义安全策略需要对业务系统的底层架构有深入地了解，但普通的安全管理人员对业务系统的掌握不够全面，即使定义了大量的安全策略，也极易产生误报，可操作性不强，同时需要消耗巨大的人力和财力等成本。

发明内容

鉴于现有技术中的上述缺陷或不足，期望提供一种数据库破坏的检测方法、装置、设备及存储介质，能够减少用户的配置，智能、精准地检测数据库是否存在被破坏的行为，保障数据库的安全。

第一方面，本申请提供一种数据库破坏的检测方法，所述方法包括：

提取数据库访问的镜相流量，生成镜相流量报文；

根据流量探针对所述镜相流量报文的分析数据，识别SQL语句的操作类型，并进行分类；

当所述操作类型的分类结果为高危操作时，在预先自学习的安全访问记录集中搜索所述高危操作对应的第一哈希值，并当所述第一哈希值不存在时，确定数据库被破坏。

第二方面，本申请提供一种数据库破坏的检测装置，所述装置包括：

提取模块，配置用于提取数据库访问的镜相流量，生成镜相流量报文；

识别模块，配置用于根据流量探针对所述镜相流量报文的分析数据，识别SQL语句的操作类型，并进行分类；

确定模块，配置用于当所述操作类型的分类结果为高危操作时，在预先自学习的安全访问记录集中搜索所述高危操作对应的第一哈希值，并当所述第一哈希值不存在时，确定数据库被破坏。

第三方面，本申请提供一种电子设备，包括：

一个或多个处理器；

存储器，用于存储一个或多个程序，