[发明专利]数据库用户异常行为检测方法

说明书

本发明公开了数据库用户异常行为检测方法，包括：将数据库事务数据集中数据库事务记录的属性转化为纯数值型属性的元组；将数据库事务特征集合作为OPTICS算法的聚类数据进行聚类；根据聚类结果，将被标记为簇标签的记录标记为正常的用户行为，对于未能获得簇标签的记录作为离群元组集合记录的LOF值计算，对于LOF值小于设定值的记录将其标记为正常的用户行为；对于其他未被标记的记录输入至预先训练完成的集成学习分类模型进行分类获得分类结果；所有数据库事务特征都标记完成获得最终确定用户行为模式库；利用用户行为模式库匹配数据库事务数据完成用户异常行为检测。本发明能够明显提高入侵检测能力降低误报率，提高数据库用户异常行为检测效率。

技术领域

本发明属于网络信息安全技术领域，具体涉及数据库用户异常行为检测方法。

背景技术

在网络信息安全体系中，数据库的安全保护一直被人们所关注，数据库威胁主要分为外部攻击与内部攻击。外部攻击由外部未经授权的用户，利用系统漏洞进行非法的数据库访问，尽管传统的数据库安全服务能够提供一定的防御措施，有效抵御外部攻击，但是其却不易应对来自内部人员滥用权限造成的安全问题，此类攻击则被称为内部攻击，由于内部人员完全了解系统安全设置，甚至对一些数据拥有访问权限，此类数据库事务的访问不容易被发现，从而对数据造成潜在威胁，因此对于防范内部攻击目前变得尤为重要。出于对现有的安全措施不足，并防止此类攻击的发生，因此有必要设计一种可以有效监测数据库非法入侵的检测系统(Database Intrusion Detection System,DIDS)，以用来保护数据库信息安全。

有关DIDS系统，Elaziz等人提出了一种通过增强顺序数据挖掘数据库入侵的监测模型，通过对用户的正常历史记录完成挖掘，利用机器学习模型进行检测，从而实现异常记录的挖掘检测。Yi等人提出了一种根据相关系统数据提取行为特征完成的入侵检测方案。张夏提出了一种支持向量机的分类方法完成网络入侵检测的方案。但目前而言，多数的此类系统对于入侵检测能力提升的同时，误报率也在提升，会对正常的用户产生一定的干扰。

发明内容

本发明解决目前数据库用户异常行为检测类系统对于入侵检测能力提升的同时，误报率也在提升，会对正常的用户产生一定的干扰的技术问题。

为实现上述技术目的，本发明采用了以下技术方案：

数据库用户异常行为检测方法，其特征在于，包括：

本发明提供了一种数据库用户异常行为检测方法，包括以下步骤：

将数据库事务数据集中数据库事务记录的属性转化为纯数值型属性的元组，得到数值化后的数据库事务特征集合；

将得到的数据库事务特征集合作为OPTICS算法的聚类数据进行聚类；根据聚类结果，将被标记为簇标签的记录标记为正常的用户行为，对于未能获得簇标签的记录作为离群元组集合记录的LOF值计算，对于LOF值小于设定值的记录将其标记为正常的用户行为；

对于其他未被标记的记录输入至预先训练完成的集成学习分类模型进行分类获得分类结果；

所有数据库事务特征都标记完成获得最终确定用户行为模式库；

利用用户行为模式库匹配数据库事务数据完成用户异常行为检测。

进一步地，所述数据库事务记录的属性包括SQL语句内的信息、事务发生的时间和/或事务的请求源。

进一步地，对所述元组中的元素进行归一化，方法为：统计所有元组各个属性的上界与下界，将每个属性按照所处上下界的比例，折算成[0,1]之间的数值。

进一步地，OPTICS算法的聚类数据进行聚类的具体方法如下：