本发明涉及计算机领域,尤其涉及一种统方分析方法及设备。
背景技术:
::随着各医院信息化系统的大量使用,统方医疗数据的方法越来越多,非法统方的事件逐渐频繁发生。越来越受的医院以及相关政策,为及时定位非法统方人员以及避免更多非法统方事件的发生,使用了防统方系统。现有的防统方系统,厂商一般都是内置固定的统方知识库,建立统方模型,进行非法统方行为的动作匹配,从而对相关统方人员进行定位。但是随着新的医疗his系统的出现以及非法统方新技术的产生,原有的内置统方知识库已无法有效识别新的非法统方行为,所以急需一种新的有效法来弥补原有内置统方知识库技术的不足。技术实现要素:本发明的一个目的是提供一种统方分析方法及设备,能够解决现有的方案无法有效识别非法统方行为的问题。根据本发明的一个方面,提供了一种统方分析方法,该方法包括:从统方业务系统中抓取用户的数据库操作数据;为每一用户创建一个包含预设的模型要素及对应值的模型,根据每一用户的所述数据库操作数据,计算该用户的所述模型中的各模型要素的对应值的出现次数;将每一用户的所述模型中的值的出现次数小于预设阈值的模型要素及对应值过滤掉;从所述数据库操作数据中选取待分析数据库操作数据,根据每一用户的待分析数据库操作数据,得到该用户的所述模型要素的值;比较所述用户的待分析数据库操作数据中的模型要素的值与该用户的模型中过滤后的模型要素的对应值的偏差,根据偏差结果判断所述待分析数据库操作数据是否为可疑统方行为。进一步的,上述方法中,根据每一用户所述数据库操作数据,计算该用户的所述模型中的各模型要素的对应值的出现次数,包括:按所述预设的模型要素为维度对每一用户的数据库操作数据进行分解处理,将每一用户的分解处理后的各数据库操作数据分别作为该用户的所述模型中相应模型要素的对应值;计算每一用户的所述模型中的各模型要素的值的出现次数。进一步的,上述方法中,根据每一用户的待分析数据库操作数据,得到该用户的所述模型要素的值,包括:将每一用户的待分析数据库操作数据,按该用户的所述模型中的模型要素为维度对所述待分析数据库操作数据进行分解处理,将每一用户的分解处理后的所述待分析数据库操作数据分别作为该用户的相应模型要素的值。进一步的,上述方法中,所述模型要素包括身份模型要素和/或操作模型要素。进一步的,上述方法中,所述身份模型要素包括ip/mac地址、操作系统账号和数据库登录工具中的一种或任意组合。进一步的,上述方法中,所述操作模型要素包括数据库实例、数据库表字段、sql哈希和存储过程中的一种或任意组合。进一步的,上述方法中,从统方业务系统中抓取用户的数据库操作数据和/或待分析数据库操作数据,包括:通过直接读取、旁路监听、串行截取、代理中一种或任意组合的方式,从统方业务系统中抓取用户的数据库操作数据和/或待分析数据库操作数据。进一步的,上述方法中,比较所述用户的待分析数据库操作数据中的模型要素的值与该用户的模型中过滤后的模型要素的对应值的偏差,根据偏差结果判断所述待分析数据库操作数据是否为可疑统方行为,包括:比较所述用户的待分析数据库操作数据中的模型要素的值与该用户的模型中过滤后的模型要素的对应值的偏差,对有偏差的模型要素记要素偏差值分数;根据所述要素偏差值分数得到要素偏差值总分数;当所述要素偏差值总分数大于预设阈值时,将所述待分析数据库操作数据判断为可疑统方行为。根据本发明的另一方面,还提供了一种统方分析设备,该设备包括:数据抓取模块,用于从统方业务系统中抓取用户的数据库操作数据和从所述数据库操作数据中选取待分析数据库操作数据;分析建模模块,用于为每一用户创建一个包含预设的模型要素及对应值的模型,根据每一用户的所述数据库操作数据,计算该用户的所述模型中的各模型要素的对应值的出现次数,将每一用户的所述模型中的值的出现次数小于预设阈值的模型要素及对应值过滤掉;模型偏差计算模块,用于根据每一用户的待分析数据库操作数据,得到该用户的所述模型要素的值,比较所述用户的待分析数据库操作数据中的模型要素的值与该用户的模型中过滤后的模型要素的对应值的偏差,根据偏差结果判断所述待分析数据库操作数据是否为可疑统方行为。进一步的,上述设备中,所述分析建模模块包括第一数据预处理模块,用于按所述预设的模型要素为维度对每一用户的数据库操作数据进行分解处理,将每一用户的分解处理后的各数据库操作数据分别作为该用户的所述模型中相应模型要素的对应值;计算每一用户的所述模型中的各模型要素的值的出现次数。进一步的,上述设备中,模型偏差计算模块包括第二数据预处理模块,用于将每一用户的待分析数据库操作数据,按该用户的所述模型中的模型要素为维度对所述待分析数据库操作数据进行分解处理,将每一用户的分解处理后的所述待分析数据库操作数据分别作为该用户的相应模型要素的值。进一步的,上述设备中,所述模型要素包括身份模型要素和/或操作模型要素。进一步的,上述设备中,所述身份模型要素包括ip/mac地址、操作系统账号和数据库登录工具中的一种或任意组合。进一步的,上述设备中,所述操作模型要素包括数据库实例、数据库表字段、sql哈希和存储过程中的一种或任意组合。进一步的,上述设备中,所述数据抓取模块,用于通过直接读取、旁路监听、串行截取、代理中一种或任意组合的方式,从统方业务系统中抓取用户的数据库操作数据和/或待分析数据库操作数据。进一步的,上述设备中,所述模型偏差计算模块,用于比较所述用户的待分析数据库操作数据中的模型要素的值与该用户的模型中过滤后的模型要素的对应值的偏差,对有偏差的模型要素记要素偏差值分数;根据所述要素偏差值分数得到要素偏差值总分数;当所述要素偏差值总分数大于预设阈值时,将所述待分析数据库操作数据判断为可疑统方行为。根据本申请的另一面,还提供一种基于计算的设备,包括:处理器;以及被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:从统方业务系统中抓取用户的数据库操作数据;为每一用户创建一个包含预设的模型要素及对应值的模型,根据每一用户的所述数据库操作数据,计算该用户的所述模型中的各模型要素的对应值的出现次数;将每一用户的所述模型中的值的出现次数小于预设阈值的模型要素及对应值过滤掉;从所述数据库操作数据中选取待分析数据库操作数据,根据每一用户的待分析数据库操作数据,得到该用户的所述模型要素的值;比较所述用户的待分析数据库操作数据中的模型要素的值与该用户的模型中过滤后的模型要素的对应值的偏差,根据偏差结果判断所述待分析数据库操作数据是否为可疑统方行为。与现有技术相比,本发明提出一种智能学习方法,在实施初期,通过对医院统方业务操作即数据库操作数据的学习和分析,自动生成用户统方模型,然后基于学习出来的动态模型,对新的业务操作数据即待分析数据库操作数据进行偏差分析,从而能够自动精确、识别出非法统方行为。可根据本实施例,生成上防统方系统,可将医院的业务系统账号数据导入所述防统方系统,用以与数据库/业务系统操作的人员定位,然后由该防统方系统抓取医院的数据库操作以及业务操作数据进行分析。本发明所述的基于智能学习的精准统方方法可以适用于大多数防统方安全防护系统,从而精准的实现非法统方行为的定位,提升医院统方数据的精确性,降低非法统方事件的发生。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:图1示出根据本发明一实施例的原理图;图2示出本发明一实施例的模型示意图。附图中相同或相似的附图标记代表相同或相似的部件。具体实施方式下面结合附图对本发明作进一步详细描述。在本申请一个典型的配置中,终端、服务网络的设备和可信方均包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(ram)和/或非易失性内存等形式,如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitorymedia),如调制的数据信号和载。如图1所示,本申请提供一种统方分析方法,所述方法包括:从统方业务系统中抓取用户的数据库操作数据;在此,用于建模的数据库操作数据可以是从统方业务系统中实时抓取到的数据;为每一用户创建一个包含预设的模型要素及对应值的模型,根据每一用户的所述数据库操作数据,计算该用户的所述模型中的各模型要素的对应值的出现次数;将每一用户的所述模型中的值的出现次数小于预设阈值的模型要素及对应值过滤掉;在此,过滤掉低频模型数据即出现次数少的模型要素及对应的值,在此,低频模型数据可以理解为不可信的数据,类似统计学中的噪音数据(无效数据),过滤掉无效数据后的模型数据,剩下的就是进行模型偏差计算时的参考模型数据,可以用来进行精确的偏差计算;从所述数据库操作数据中选取待分析数据库操作数据,根据每一用户的待分析数据库操作数据,得到该用户的所述模型要素的值;在此,所述待分析数据库操作数据可以是从统方业务系统中实时抓取到的数据;比较所述用户的待分析数据库操作数据中的模型要素的值与该用户的模型中过滤后的模型要素的对应值的偏差,根据偏差结果判断所述待分析数据库操作数据是否为可疑统方行为。在此,本实施例提出一种智能学习方法,在实施初期,通过对医院统方业务操作即数据库操作数据的学习和分析,自动生成用户统方模型,然后基于学习出来的动态模型,对新的业务操作数据即待分析数据库操作数据进行偏差分析,从而能够自动精确、识别出非法统方行为。可根据本实施例,生成上防统方系统,可将医院的业务系统账号数据导入所述防统方系统,用以与数据库/业务系统操作的人员定位,然后由该防统方系统抓取医院的数据库操作以及业务操作数据进行分析。本发明所述的基于智能学习的精准统方方法可以适用于大多数防统方安全防护系统,从而精准的实现非法统方行为的定位,提升医院统方数据的精确性,降低非法统方事件的发生。本申请的统方分析方法一实施例中,根据每一用户所述数据库操作数据,计算该用户的所述模型中的各模型要素的对应值的出现次数,包括:按所述预设的模型要素为维度对每一用户的数据库操作数据进行分解处理,将每一用户的分解处理后的各数据库操作数据分别作为该用户的所述模型中相应模型要素的对应值;计算每一用户的所述模型中的各模型要素的值的出现次数。在此,本实施例通过对数据库操作数据按所述预设的模型要素为维度对每一用户的数据库操作数据进行分解处理,能够准确获取到所述模型中相应模型要素的对应值,便于后续分析比较。本申请的统方分析方法一实施例中,根据每一用户的待分析数据库操作数据,得到该用户的所述模型要素的值,包括:将每一用户的待分析数据库操作数据,按该用户的所述模型中的模型要素为维度对所述待分析数据库操作数据进行分解处理,将每一用户的分解处理后的所述待分析数据库操作数据分别作为该用户的相应模型要素的值。在此,本实施例通过将每一用户的待分析数据库操作数据,按该用户的所述模型中的模型要素为维度对所述待分析数据库操作数据进行分解处理,可以准确获取到用户的过滤后的相应模型要素的值,便于后续分析比较。如图2所示,本申请的统方分析方法一实施例中,所述模型要素包括身份模型要素和/或操作模型要素。在此,将模型要素分为身份模型要素和操作模型要素,可以得到后续用于分析比较的全面的模型要素内容。如图2所示,本申请的统方分析方法一实施例中,所述身份模型要素包括ip/mac地址、操作系统账号和数据库登录工具中的一种或任意组合。例如,ip、mac地址的值,如192.168.0.1b8:38:61:60:67:3f;操作系统账号的值,如administrator;数据库登录工具的值,如sqlyog。在此,将身份模型要素分为ip/mac地址、操作系统账号和数据库登录工具中的一种或任意组合,可以得到后续用于分析比较的全面的身份模型要素内容。如图2所示,本申请的统方分析方法一实施例中,所述操作模型要素包括数据库实例、数据库表字段、sql哈希和存储过程中的一种或任意组合。例如,数据库实例的值,如information_schema;数据库表字段的值,如table1column1;sql哈希的值,如sql的值,为select*fromtable1,哈希的值,为717ff39d1a64de14995757fbf35aea60;存储过程的值,如sp_rep_query。在此,将操作模型要素分别数据库实例、数据库表字段、sql哈希和存储过程的一种或任意组合,可以得到后续用于分析比较的全面的操作模型要素内容。本申请的统方分析方法一实施例中,从统方业务系统中抓取用户的数据库操作数据和/或待分析数据库操作数据,包括:通过直接读取、旁路监听、串行截取、代理中一种或任意组合的方式,从统方业务系统中抓取用户的数据库操作数据和/或待分析数据库操作数据。在此,通过直接读取、旁路监听、串行截取、代理中一种或任意组合的方式,可以从统方业务系统中有效抓取到用户的数据库操作数据和/或待分析数据库操作数据。本申请的统方分析方法一实施例中,比较所述用户的待分析数据库操作数据中的模型要素的值与该用户的模型中过滤后的模型要素的对应值的偏差,根据偏差结果判断所述待分析数据库操作数据是否为可疑统方行为,包括:比较所述用户的待分析数据库操作数据中的模型要素的值与该用户的模型中过滤后的模型要素的对应值的偏差,对有偏差的模型要素记要素偏差值分数;根据所述要素偏差值分数得到要素偏差值总分数;当所述要素偏差值总分数大于预设阈值时,将所述待分析数据库操作数据判断为可疑统方行为。在此,可以针对模型要素的匹配项目进行偏差值统计,如ip/mac地址跟模型中不一样,最终偏差值分数+10;如数据库表字段不一样,最终偏差值分数+50;最终相加得到偏差值总分数,分数值越大,表示偏差程度越高,从而,可以精确地判断所述待分析数据库操作数据判断为可疑统方行为。如图1所示,本发明一实施例的防统方系统中,主要有以下几个模块组成:数据抓取模块、数据预处理模块、分析建模模块和模型偏差计算模块。其中数据抓取模块负责抓取业务系统形成原始数据库操作数据,数据预处理模块对原始数据库数据进行预处理,形成规范化sql数据,然后分析建模模块读取规范sql数据进行用户建模,模型建立完善后,模型偏差计算模块对抓取的用户数据进行匹配分析,从而产生非法行为的记录与告警。上述防统方系统一实施例的操作流程如下:1)首先,业务系统正常运行;2)数据抓取模块通过合适的方式(包括但不限于直接读取、旁路监听、串行截取、代理等)抓取业务数据,得到原始的数据库操作数据raw_sql;3)数据预处理模块读入raw_sql,然后按照ip/mac地址、操作系统账号、数据库登录工具、数据库实例、数据库表字段、sql哈希和存储过程等模型要素维度,进行模型要素的数据分解处理,得到规范化模型数据profile_sql。4)模型未建立阶段,分析建模模块为新出现的每一个业务系统用户创建一个用户模型,模型主要分为用户身份模型和用户操作模型,在模型中为每一个模型要素创建一张统计表,统计表对模型的模型要求的值出现频度进行统计计数,统计次数初始化为零。接着读入profile_sql,对模型中相应的模型要素值的出现次数,每发生一次统计次数加一;在此,建立的模型在数据库中对应的都是独立的表,如数据库登录工具表可具体如下:上表中,当发现对应数据库登录工具出现一次时对出现次数进行加一。5)模型未建立阶段,重复步骤3、4直到模型建立结束;6)模型建立结束后,按照每个模型要素的值的出现次数从高到低进行排序,过滤掉低频模型数据即出现次数少的模型要素及对应的值;7)模型偏差计算模块,对抓取用户并预处理待分析数据库操作数据得到profile_sql数据,并对预处理后的用户的profile_sql数据,进行进行ip/mac地址、操作系统账号、数据库登录工具、数据库实例、数据库表字段等维度的偏差计算,从而根据模型偏差程度进行可疑统方行为告警。根据本申请的另一面,还提供统方分析设备,所述设备包括:数据抓取模块,用于从统方业务系统中抓取用户的数据库操作数据和从所述数据库操作数据中选取待分析数据库操作数据;在此,数据库操作数据和待分析数据库操作数据,可以是同一种数据,可以都是实时数据,只是在系统建模前、建模后不同状态下的使用用途不同,建模前被用来建模使用,建模完成后被用来偏差计算使用;分析建模模块,用于为每一用户创建一个包含预设的模型要素及对应值的模型,根据每一用户的所述数据库操作数据,计算该用户的所述模型中的各模型要素的对应值的出现次数,将每一用户的所述模型中的值的出现次数小于预设阈值的模型要素及对应值过滤掉;模型偏差计算模块,用于根据每一用户的待分析数据库操作数据,得到该用户的所述模型要素的值,比较所述用户的待分析数据库操作数据中的模型要素的值与该用户的模型中过滤后的模型要素的对应值的偏差,根据偏差结果判断所述待分析数据库操作数据是否为可疑统方行为。本发明的统方分析设备一实施例中,所述分析建模模块包括第一数据预处理模块,用于按所述预设的模型要素为维度对每一用户的数据库操作数据进行分解处理,将每一用户的分解处理后的各数据库操作数据分别作为该用户的所述模型中相应模型要素的对应值;计算每一用户的所述模型中的各模型要素的值的出现次数。本发明的统方分析设备一实施例中,模型偏差计算模块包括第二数据预处理模块,用于将每一用户的待分析数据库操作数据,按该用户的所述模型中的模型要素为维度对所述待分析数据库操作数据进行分解处理,将每一用户的分解处理后的所述待分析数据库操作数据分别作为该用户的相应模型要素的值。本发明的统方分析设备一实施例中,所述模型要素包括身份模型要素和/或操作模型要素。本发明的统方分析设备一实施例中,所述身份模型要素包括ip/mac地址、操作系统账号和数据库登录工具中的一种或任意组合。本发明的统方分析设备一实施例中,所述操作模型要素包括数据库实例、数据库表字段、sql哈希和存储过程中的一种或任意组合。本发明的统方分析设备一实施例中,所述数据抓取模块,用于通过直接读取、旁路监听、串行截取、代理中一种或任意组合的方式,从统方业务系统中抓取用户的数据库操作数据和/或待分析数据库操作数据。本发明的统方分析设备一实施例中,所述模型偏差计算模块,用于比较所述用户的待分析数据库操作数据中的模型要素的值与该用户的模型中过滤后的模型要素的对应值的偏差,对有偏差的模型要素记要素偏差值分数;根据所述要素偏差值分数得到要素偏差值总分数;当所述要素偏差值总分数大于预设阈值时,将所述待分析数据库操作数据判断为可疑统方行为。根据本申请的另一面,还一种基于计算的设备,包括:处理器;以及被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:从统方业务系统中抓取用户的数据库操作数据;为每一用户创建一个包含预设的模型要素及对应值的模型,根据每一用户的所述数据库操作数据,计算该用户的所述模型中的各模型要素的对应值的出现次数;将每一用户的所述模型中的值的出现次数小于预设阈值的模型要素及对应值过滤掉;从所述数据库操作数据中选取待分析数据库操作数据,根据每一用户的待分析数据库操作数据,得到该用户的所述模型要素的值;比较所述用户的待分析数据库操作数据中的模型要素的值与该用户的模型中过滤后的模型要素的对应值的偏差,根据偏差结果判断所述待分析数据库操作数据是否为可疑统方行为。综上所述,本发明提出一种智能学习方法,在实施初期,通过对医院统方业务操作即数据库操作数据的学习和分析,自动生成用户统方模型,然后基于学习出来的动态模型,对新的业务操作数据即待分析数据库操作数据进行偏差分析,从而能够自动精确、识别出非法统方行为。可根据本实施例,生成上防统方系统,可将医院的业务系统账号数据导入所述防统方系统,用以与数据库/业务系统操作的人员定位,然后由该防统方系统抓取医院的数据库操作以及业务操作数据进行分析。本发明所述的基于智能学习的精准统方方法可以适用于大多数防统方安全防护系统,从而精准的实现非法统方行为的定位,提升医院统方数据的精确性,降低非法统方事件的发生。上述设备实施例的具体内容可以参见方法实施例的对应部分,在此,不再赘述。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。需要注意的是,本发明可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(asic)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本发明的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,ram存储器,磁或光驱动器或软磁盘及类似设备。另外,本发明的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。另外,本发明的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本发明的方法和/或技术方案。而调用本发明的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本发明的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本发明的多个实施例的方法和/或技术方案。对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。当前第1页12当前第1页12