[发明专利]一种数据库操作异常行为检测方法及可读存储介质

权利要求书

1.一种数据库操作异常行为检测方法，其特征在于，包括如下步骤：

S01)对数据库审计类日志数据进行解析、转换和采集；

S02)使用LOF算法检测异常点；

S03)采用四分位算法检测数据库操作异常行为；

S04)结合LOF算法和四分位算法的异常检测结果，联合检测输出异常，得出最终的数据库操作异常行为检测结果。

2.如权利要求1所述的数据库操作异常行为检测方法，其特征在于，所述步骤S01中的数据库审计类日志数据来源于堡垒机或数据库审计设备的SQL请求操作日志。

3.如权利要求1所述的数据库操作异常行为检测方法，其特征在于，所述步骤S2包括：

步骤S021，针对不同的用户实体行为异常分析场景快速选取相应的多维特征；

步骤S022，对选取的特征数据进行归一化处理；

步骤S023，采用LOF算法识别异常点。

4.如权利要求1所述的数据库操作异常行为检测方法，其特征在于，所述步骤S021针对SQL请求日志用户实体，选取如下多维特征：操作频次、访问设备端口数、操作类型数、操作表数、数据库风险操作次数、sql返回的总行数、session数、访问主机的平均持续时间和session的平均持续时间。

5.如权利要求1所述的数据库操作异常行为检测方法，其特征在于，所述步骤S022对选取的特征数据采用如下的最小最大化方法处理过程：对每一个用户实体操作特征量，按照x′＝(x-min_A)/(max_A-min_A)进行计算；其中，x为上一步骤中挑选的某个操作特征量，min_A为该操作特征量的最小值，max_A为该操作特征量的最大值，x′为处理之后的特征量。

6.如权利要求1所述的数据库操作异常行为检测方法，其特征在于，所述步骤S023包括：

S0231)用欧式距离计算待检测的特征数据集中数据点的第k距离；

S0232)通过所求的第k距离确定该点第k可达距离；

S0233)通过所求的第k距离确定该点第k距离邻域；

S0234)通过可达距离和第k距离邻域计算该点局部可达密度；

S0235)通过局部可达密度计算局部离群因子，获得异常程度得分。

7.如权利要求1所述的数据库操作异常行为检测方法，其特征在于，所述步骤S03包括获取与数据库敏感操作或者异常操作有关的关键特征值，并按如下算法检测异常：

S0321)根据分位数算法计算四分位数值；

S0322)根据四分位数计算异常边界阈值；

S0323)根据异常边界阈值判定异常。

8.如权利要求7所述的数据库操作异常行为检测方法，其特征在于，所述步骤S03选取的单维度关键特征为数据库风险操作次数，用cnt表示，四分位算子用clickhouse或spark-sql的quartile()算子来实现，异常边界阈值计算公式如下：

outlier_value＝Q₃+γ(Q₃-Q₁)；

Q1为四分之一分位数，Q3为四分之三分位数；Q₁＝quartile(cnt,0.25)，Q₃＝quartile(cnt,0.75)，2≤γ≤8。