[发明专利]数据库用户异常行为检测方法有效
申请号: | 201911378249.5 | 申请日: | 2019-12-27 |
公开(公告)号: | CN111143838B | 公开(公告)日: | 2022-04-12 |
发明(设计)人: | 高英健;张志军;李泽科;陈泽文;付广宇;卢楷;马铭志;孟凡星;李宏;李龙云;郝宁;王洋;高明慧;徐剑;刘昕禹;王琛 | 申请(专利权)人: | 北京科东电力控制系统有限责任公司;国网福建省电力有限公司;东北大学 |
主分类号: | G06F21/55 | 分类号: | G06F21/55;G06K9/62;G06N20/20 |
代理公司: | 南京纵横知识产权代理有限公司 32224 | 代理人: | 朱远枫 |
地址: | 100085 北京市海*** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 数据库 用户 异常 行为 检测 方法 | ||
1.数据库用户异常行为检测方法,其特征在于,包括:
将数据库事务数据集中数据库事务记录的属性转化为纯数值型属性的元组,得到数值化后的数据库事务特征集合,所述数据库事务记录的属性包括SQL语句内的信息、事务发生的时间和/或事务的请求源;
将得到的数据库事务特征集合作为OPTICS算法的聚类数据进行聚类;根据聚类结果,将被标记为簇标签的记录标记为正常的用户行为,对于未能获得簇标签的记录作为离群元组集合记录计算LOF值,对于LOF值小于设定值的记录将其标记为正常的用户行为;
对于其他未被标记的记录输入至预先训练完成的集成学习分类模型进行分类获得分类结果,所述集成学习分类模型是一个复合模型,由多个分类器组合而成,个体分类器进行投票,组合分类器基于投票返回类标号进而进行预测;
所有数据库事务特征都标记完成获得最终确定用户行为模式库;
利用用户行为模式库匹配数据库事务数据完成用户异常行为检测。
2.根据权利要求1所述的数据库用户异常行为检测方法,其特征在于,对所述元组中的元素进行归一化,方法为:统计所有元组各个属性的上界与下界,将每个属性按照所处上下界的比例,折算成[0,1]之间的数值。
3.根据权利要求1所述的数据库用户异常行为检测方法,其特征在于,OPTICS算法的聚类数据进行聚类的具体方法如下:
步骤1:输入数据库事务特征集合D,对于数值型属性,原样保留,对于非数值型、离散型属性,使用数值映射表将其映射为等距数值,获得数据集合U;将数据集合U分为两组数据集合U1与U2;
步骤2:将数据集合U1与U2分别进行归一化处理,得到数据U’与U”;定义OPTICS算法中的领域半径r及最小个数MinPts参数;
步骤3:定义两个有序集合:集合R1和排序集合O;
步骤4:从数据集合U’任意取出不在结果集合R1中且未标记已处理的元组p,先将其标记为已处理状态;
步骤5:利用欧式距离计算公式计算该元组与其他元组的欧式距离,并获得以元祖p为中心,ε为半径的其他元组集合,若该集合中所含数量大于等于MinPts时,则将点p列入结果集合R1中,并将其邻域集合列入排序集合,对排序集合O中元组计算他们的可达距离,并进行升序排序,然后从中取出序列首个元组,重复步骤f;若排序集合O已空,则重复步骤4;若数据集合U’中已无未处理的元组则OPTICS算法结束,输出有序的结果集合R1,集合包含每一个元组的最小可达距离d;获得数据集合U’中在不包含在结果集合R1的元组构成的离群元组集合F,对数据集合U”进行与步骤e相同的OPTICS聚类操作,获得结果集合R1’与离群元组组成的离群元组集合F’。
4.根据权利要求3所述的数据库用户异常行为检测方法,其特征在于,
对于离群元组集合F内各个元组使用LOF计算公式计算其LOF值,若其LOF值1,则将其移除集合F,并列入稠密点集合R2,最终将以稠密点集合R2、离群元组集合F作为输出。
5.根据权利要求4所述的数据库用户异常行为检测方法,其特征在于,
对于离群元组集合F,继续交由集成学习模块,集成学习模块采用Bagging、Boosting、Stacking作为复合模型,其中Bagging与Boosting均采用多层感知器MLP作为个体分类器,Stacking的基学习器使用MLP、k-NN和DT,元学习器使用NB进行组合,以结果集合R1’与离群元组集合F’作为训练集,其中R1’表示为正常行为记录元组、F’为异常行为元组,训练三个复合模型;
将离群元组集合F作为输入,分别进行Bagging、Boosting、Stacking复合模型进行分类,分别给出分类结论Ba、Bo、St;
若离群元组集合F中元组被Ba、Bo、St中任意结论标识为正常行为记录,则该元组即为正常行为,列入正常行为集合R3中;否则为异常行为,列入异常行为集合F1中。
6.根据权利要求5所述的数据库用户异常行为检测方法,其特征在于,获得用户行为模式库包括:正常用户行为表GHT和异常行为表MHT,其中集合R1、稠密点集合R2、正常行为集合R3均留样存放至正常行为表GHT中,对于异常行为集合F1中元组列入异常行为表MHT中。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京科东电力控制系统有限责任公司;国网福建省电力有限公司;东北大学,未经北京科东电力控制系统有限责任公司;国网福建省电力有限公司;东北大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201911378249.5/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种高保真的三角网格平滑算法
- 下一篇:一种基于电池船的智能续航仪装置