一种数据库拖库行为的检测方法、装置及电子设备与流程
本发明涉及网络安全技术领域,特别是涉及一种数据库拖库行为的检测方法、装置及电子设备。
背景技术:
拖库,指攻击者入侵有价值的网络站点并窃取数据库的行为。目前,sql注入是对互联网中的数据库进行拖库攻击的主要方式之一,攻击者利用sql注入漏洞发起攻击,将容易触发sql异常的代码写入sql查询语句中,造成sql所支持数据库的异常,以达到操作数据库、获取用户敏感信息的目的。因此,现有技术往往通过检测sql注入的方法来进行拖库检测。
具体的,由于攻击者会通过构造注释语句、“恒真”条件、使用连接符等方式进行sql恶意注入,因而检测sql注入时,根据预设规则对注释语句、恒真条件、连接符等进行正则匹配,根据匹配结果判断是否存在上述语句;若存在,则认为是恶意注入,存在拖库行为。但是,用户在正常使用的过程中,也可能使用注释语句、恒真条件或出现提交非法字符等误操作的情况,如果上述语句每出现一次都进行告警,就会导致大量误报,降低了检测的准确率。
技术实现要素:
本发明实施例的目的在于提供一种数据库拖库行为的检测方法、装置及电子设备,以提高数据库拖库行为检测的准确率。具体技术方案如下:
第一方面,本发明实施例提供了一种数据库拖库行为的检测方法,其特征在于,应用于服务器,所述方法包括:
获取待检测数据库的审计日志;
从所述审计日志中,获取用户对所述待检测数据库的操作行为数据;所述操作行为数据,包括:预设的与拖库行为相关的各种操作行为的统计数据;
将所述操作行为数据和预先创建的用户行为基线进行比较,获得数据库拖库行为检测结果;所述用户行为基线,为:所述待检测数据库在未受到拖库攻击的状态下的操作行为数据。
可选的,所述获取待检测数据库的审计日志的步骤,包括:
获取待检测数据库在当前检测周期中生成的审计日志;
所述从所述审计日志中,获取用户对所述待检测数据库的操作行为数据的步骤,包括:
从所述待检测数据库在当前检测周期中生成的审计日志中,获取用户在当前检测周期内对所述待检测数据库的操作行为数据;
所述用户行为基线,为:用户在上一个检测周期中,对处于未受到拖库攻击状态下的所述待检测数据库的操作行为数据。
可选的,所述从所述审计日志中,获取用户对所述待检测数据库的操作行为数据的步骤,包括:
获取所述审计日志中的所有操作语句;
按照预先构建的第一行为识别规则对所述所有操作语句进行语句匹配,识别出所述预设的与拖库行为相关的各种操作行为;
对所述预设的与拖库行为相关的各种操作行为进行统计,获得用户对所述待检测数据库的操作行为数据。
可选的,所述预设的与拖库行为相关的各种操作行为,包括:寻找系统注入点、判断回显、数据库刺探、数据库数据导出和删除库或表操作;
所述的操作行为数据,包括:注入次数、爆库次数、数据库数据导出操作次数和危险行为次数;
所述对所述预设的与拖库行为相关的各种操作行为进行统计,获得用户对所述待检测数据库的操作行为数据的步骤,包括:
统计寻找注入点和判断回显的操作的次数的和,作为注入次数;
统计数据库刺探操作的次数,作为爆库次数;
统计数据库数据导出操作次数;
统计删除库或表的操作次数,作为危险行为次数。
可选的,所述操作行为数据,还包括:预设的各种正常操作行为的统计数据;
所述从所述审计日志中,获取用户对所述待检测数据库的操作行为数据的步骤,包括:
获取所述审计日志中的所有操作语句;
按照预先构建的第二行为识别规则对所述所有操作语句进行语句匹配,识别出所述预设的与拖库行为相关的各种操作行为,和预设的各种正常操作行为;
对所述预设的与拖库行为相关的各种操作行为和预设的各种正常操作行为进行统计,获得用户对所述待检测数据库的操作行为数据。
可选的,所述预设的与拖库行为相关的各种操作行为,包括:寻找系统注入点、判断回显、数据库刺探、数据库数据导出和删除库或表操作;所述预设的各种正常操作行为包括:查询操作;
所述的操作行为数据,包括:注入次数、爆库次数、数据库数据导出操作次数、危险行为次数和正常操作次数;
所述对所述预设的与拖库行为相关的各种操作行为进行统计,获得用户对所述待检测数据库的操作行为数据的步骤,包括:
统计寻找注入点和判断回显的操作的次数的和,作为注入次数;
统计数据库刺探操作的次数,作为爆库次数;
统计数据库数据导出操作次数;
统计删除库或表的操作次数,作为危险行为次数;
统计查询操作的次数,作为正常操作次数。
可选的,在所述将所述操作行为数据和预先创建的用户行为基线进行比较,获得数据库拖库行为检测结果的步骤之后,还包括:
如果检测结果为所述待检测数据库未受到拖库攻击,则保存所述待检测数据库在当前检测周期的操作行为数据,作为下一检测周期的用户行为基线。
可选的,将所述操作行为数据和预先创建的用户行为基线进行比较,获得数据库拖库检测结果的步骤,包括:
计算所述操作行为数据和预先创建的用户行为基线之间的偏离度;
根据偏离度的计算结果,判断所述待检测数据库是否受到拖库攻击。
可选的,所述根据偏离度的计算结果,判断所述待检测数据库是否受到拖库攻击的步骤,包括:
如果所述偏离度小于预设阈值,则所述待检测数据库被判断为未受到拖库攻击;
如果所述偏离度大于预设阈值,则所述待检测数据库被判断为受到拖库攻击。
可选的,所述偏离度,采用如下公式计算得到:
其中,n表示所述操作行为数据和所述用户行为基线的数据维度,xi为所述用户行为基线中的第i维数据,yi为所述操作行为数据中的第i维数据。
第二方面,本发明实施例提供了一种数据库拖库行为的检测装置,其特征在于,应用于服务器,所述装置包括:
日志获取模块,用于获取待检测数据库的审计日志;
数据获取模块,用于从所述审计日志中,获取用户对所述待检测数据库的操作行为数据;所述操作行为数据,包括:预设的与拖库行为相关的各种操作行为的统计数据;
检测模块,用于将所述操作行为数据和预先创建的用户行为基线进行比较,获得数据库拖库检测结果;所述用户行为基线,为:所述待检测数据库在未受到拖库攻击的状态下的操作行为数据。
可选的,所述日志获取模块,具体用于获取待检测数据库在当前检测周期中生成的审计日志;
所述数据获取模块,具体用于从所述待检测数据库在当前检测周期中生成的审计日志中,获取用户在当前检测周期内对所述待检测数据库的操作行为数据;
所述用户行为基线,为:用户在上一个检测周期中,对处于未受到拖库攻击状态下的所述待检测数据库的操作行为数据。
可选的,所述数据获取模块,包括:
第一获取单元,用于获取所述审计日志中的所有操作语句;
第一识别单元,用于按照预先构建的第一行为识别规则对所述所有操作语句进行语句匹配,识别出所述预设的与拖库行为相关的各种操作行为;
第一统计单元,用于对所述预设的与拖库行为相关的各种操作行为进行统计,获得用户对所述待检测数据库的操作行为数据。
可选的,所述预设的与拖库行为相关的各种操作行为,包括:寻找系统注入点、判断回显、数据库刺探、数据库数据导出和删除库或表操作;
所述的操作行为数据,包括:注入次数、爆库次数、数据库数据导出操作次数和危险行为次数;
所述第一统计单元,包括:
第一统计子单元,用于统计寻找注入点和判断回显的操作的次数的和,作为注入次数;
第二统计子单元,用于统计数据库刺探操作的次数,作为爆库次数;
第三统计子单元,用于统计数据库数据导出操作次数;
第四统计子单元,用于统计删除库或表的操作次数,作为危险行为次数。
可选的,所述操作行为数据,还包括:预设的各种正常操作行为的统计数据;
所述数据获取模块,包括:
第二获取单元,用于获取所述审计日志中的所有操作语句;
第二识别单元,按照预先构建的第二行为识别规则对所述所有操作语句进行语句匹配,识别出所述预设的与拖库行为相关的各种操作行为,和预设的各种正常操作行为;
第二统计单元,对所述预设的与拖库行为相关的各种操作行为和预设的各种正常操作行为进行统计,获得用户对所述待检测数据库的操作行为数据。
可选的,所述预设的与拖库行为相关的各种操作行为,包括:寻找系统注入点、判断回显、数据库刺探、数据库数据导出和删除库或表操作;所述预设的各种正常操作行为包括:查询操作;
所述的操作行为数据,包括:注入次数、爆库次数、数据库数据导出操作次数、危险行为次数和正常操作次数;
所述第二统计单元,包括:
第五统计子单元,用于统计寻找注入点和判断回显的操作的次数的和,作为注入次数;
第六统计子单元,用于统计数据库刺探操作的次数,作为爆库次数;
第七统计子单元,用于统计数据库数据导出操作次数;
第八统计子单元,用于统计删除库或表的操作次数,作为危险行为次数;
第九统计子单元,用于统计查询操作的次数,作为正常操作次数。
可选的,所述装置还包括:
保存模块,用于所述检测模块执行将所述操作行为数据和预先创建的用户行为基线进行比较,获得数据库拖库检测结果的步骤之后,如果检测结果为所述待检测数据库未受到拖库攻击,则保存所述待检测数据库在当前检测周期的操作行为数据,作为下一检测周期的用户行为基线。
可选的,所述检测模块,包括:
计算单元,用于计算所述操作行为数据和预先创建的用户行为基线之间的偏离度;
判断单元,用于根据偏离度的计算结果,判断所述待检测数据库是否受到拖库攻击。
可选的,所述判断单元,包括:
第一判断子单元,用于在所述偏离度小于预设阈值时,则所述待检测数据库被判断为未受到拖库攻击;
第二判断子单元,用于在所述偏离度大于预设阈值时,则所述待检测数据库被判断为受到拖库攻击。
可选的,所述计算单元,具体用于采用如下公式计算偏离度:
其中,n表示所述操作行为数据和所述用户行为基线的数据维度,xi为所述用户行为基线中的第i维数据,yi为所述操作行为数据中的第i维数据。
第三方面,本发明实施例提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现第一方面任一所述的方法步骤。
第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第一方面任一所述的方法步骤。
第五方面,本发明实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面任一所述的方法步骤。
本发明实施例提供的一种数据库拖库行为的检测方法、装置及电子设备,首先获取待检测数据库的审计日志,并从审计日志中,获取用户对待检测数据库的操作行为数据;然后,将操作行为数据和预先创建的用户行为基线进行比较,获得数据库拖库行为检测结果。由于操作行为数据是根据审计日志中记录的用户的操作行为动态获得的,其中包括:预设的与拖库行为相关的操作行为的统计数据,因此将其与用户行为基线的比较结果作为检测依据,能够获得数据库拖库行为检测结果,减少误报、提高数据库拖库行为检测的准确率。
当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本发明实施例提供的一种数据库拖库行为的检测方法的一种流程示意图;
图2为本发明实施例提供的一种数据库拖库行为的检测方法的另一种流程示意图;
图3为本发明实施例提供的一种数据库拖库行为的检测方法的又一种流程示意图;
图4为本发明实施例提供的一种数据库拖库行为的检测装置的结构示意图;
图5为本发明实施例提供的一种电子设备示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
为了实现对数据库拖库行为的检测,本发明实施例提供了一种数据库拖库行为的检测方法、装置及电子设备。
作为本发明实施例的一种实施方式,本发明实施例提供的一种数据库拖库行为的检测方法,应用于服务器。由于攻击者在数据库拖库时,不仅会执行数据查询等正常操作,也会多次执行与拖库行为相关的操作行为,例如:寻找系统注入点、判断回显、数据库刺探、数据库数据导出和删除库或表的操作。因此,可以将用户对上述与拖库行为相关的操作行为进行统计,并将统计数据与预先创建的未出现拖库行为时的用户行为基线比较,来检测数据库是否受到了拖库攻击。
具体的,如图1所示,该方法包括:
s101,获取待检测数据库的审计日志。
本步骤中,审计日志中可以包含数据库操作者、操作时间、操作语句等数据库操作信息。
s102,从审计日志中,获取用户对待检测数据库的操作行为数据;操作行为数据,包括:预设的与拖库行为相关的各种操作行为的统计数据。
具体的,审计日志中包含多个操作语句,每个操作语句都表示一种操作行为,因此可以从这些操作语句中,确定用户对待检测数据库所执行的各个操作中是否存在与拖库行为相关的操作,进而对预设的与拖库行为相关的各个操作行为进行统计,得到操作行为数据。
实际应用中,可以周期性地对待检测数据库进行拖库行为检测。这种情况下,可以从待检测数据库在当前检测周期中生成的审计日志中,获取用户在当前检测周期内对待检测数据库的操作行为数据。
s103,将操作行为数据和预先创建的用户行为基线进行比较,获得数据库拖库检测结果;用户行为基线,为:待检测数据库在未受到拖库攻击的状态下的操作行为数据。
具体的,如果周期性地对待检测数据库进行拖库行为检测,用户行为基线可以为:用户在上一个检测周期中,对处于未受到拖库攻击状态下的待检测数据库的操作行为数据。在其他实施例中,用户行为基线也可以根据历史操作行为数据预先设置。
由图1所示的实施例可见,由于操作行为数据是根据审计日志中记录的用户的操作行为动态获得的,其中包括:预设的与拖库行为相关的操作行为的统计数据,因此将其与用户行为基线的比较结果作为检测依据,能够获得数据库拖库行为检测结果,减少误报、提高数据库拖库行为检测的准确率。
作为本发明实施例的一种实施方式,本发明实施例提供的另一种数据库拖库行为的检测方法,应用于服务器。
具体的,如图2所示,该方法包括:
s201,获取待检测数据库在当前检测周期中生成的审计日志。
本实施例中,可以对待检测数据库进行周期性的拖库行为检测,检测周期视具体情况而设置,可以为一日或一周。
s202,获取审计日志中的所有操作语句。
s203,按照预先构建的第一行为识别规则对所有操作语句进行语句匹配,识别出预设的与拖库行为相关的各种操作行为。
具体的,由于在执行预设的与拖库行为相关的各种操作行为时,操作语句中会使用特定的函数或字符,因此可以预先设置含有这些函数或字符的匹配规则,即第一行为识别规则;然后利用正则表达式,在所有操作语句中查找出符合预设匹配规则的操作语句,这些被查找出的操作语句所执行的就是与预设的拖库行为相关的操作行为。
其中,预设的与拖库行为相关的操作行为,可以包括:寻找系统注入点、判断回显、数据库刺探、数据库数据导出和删除库或表操作。
s204,对预设的与拖库行为相关的各种操作行为进行统计,获得用户对待检测数据库的操作行为数据。
本步骤中,操作行为数据可以包括:注入次数、爆库次数、数据库数据导出操作次数和危险行为次数。
具体的,统计寻找注入点和判断回显的操作的次数的和,作为注入次数;统计数据库刺探操作的次数,作为爆库次数;统计数据库数据导出操作次数;统计删除库或表的操作次数,作为危险行为次数。
s205,计算操作行为数据和预先创建的用户行为基线之间的偏离度。
s206,根据偏离度的计算结果,判断待检测数据库是否受到拖库攻击。
在本实施例中,采用如下公式计算操作行为数据与用户行为基线之间的偏离度:
其中,n表示操作行为数据和用户行为基线的数据维度,xi为用户行为基线中的第i维数据,yi为操作行为数据中的第i维数据。例如,当操作行为数据包括注入次数、爆库次数、数据库数据导出操作次数和危险行为次数时,n=4,y1、y2、y3、y4则分别表示注入次数、爆库次数、数据库数据导出操作次数和危险行为次数。
若偏离度小于预设阈值,则待检测数据库被判断为未受到拖库攻击;如果偏离度大于预设阈值,则待检测数据库被判断为受到拖库攻击。
此外,当检测结果为待检测数据库未受到拖库攻击时,可以保存待检测数据库在当前检测周期的操作行为数据,作为下一检测周期的用户行为基线。
作为本发明实施例的一种实施方式,本发明实施例提供的又一种数据库拖库行为的检测方法,应用于服务器。
具体的,如图3所示,该方法包括:
s301,获取待检测数据库在当前检测周期中生成的审计日志。
s302,获取审计日志中的所有操作语句。
s303,按照预先构建的第二行为识别规则对所有操作语句进行语句匹配,识别出预设的与拖库行为相关的各种操作行为,和预设的各种正常操作行为。
s304,对预设的与拖库行为相关的各种操作行为和预设的各种正常操作行为进行统计,获得用户对待检测数据库的操作行为数据。
步骤s303~s304中,可以预先构建第二行为识别规则,该识别规则中包含执行预设的与拖库行为相关的各种操作和执行预设的各种正常操作所要使用的特定函数或字符;然后,利用正则表达式,按照第二行为识别规则匹配出执行正常操作的操作语句以及执行与拖库行为相关的操作行为的操作语句;最后,对预设的与拖库行为相关的各种操作行为和预设的正常操作行为均进行统计。
其中,预设的与拖库行为相关的操作行为,包括:寻找系统注入点、判断回显、数据库刺探、数据库数据导出和删除库或表操作;预设的正常操作行为包括:查询操作;操作行为数据,包括:注入次数、爆库次数、数据库数据导出操作次数、危险行为次数和正常操作次数。
对预设的与拖库行为相关的各种操作行为和预设的各种正常操作行为进行统计时,统计寻找注入点和判断回显的操作的次数的和,作为注入次数;统计数据库刺探操作的次数,作为爆库次数;统计数据库数据导出操作次数;统计删除库或表的操作次数,作为危险行为次数;统计查询操作的次数,作为正常操作次数。
s305,计算操作行为数据和预先创建的用户行为基线之间的偏离度。
s306,根据偏离度的计算结果,判断待检测数据库是否受到拖库攻击。
本实施例中,步骤s301~s302、s305~s306与图2所示实施例中步骤s201~s202、s205~s206相同,此处不再赘述。
可以理解的是,在图3的实施例中,预先创建的用户行为基线能够随着检测周期的变化而动态更新,因此,以操作行为数据和预先创建的用户行为基线的比较结果作为检测依据,能够进一步提高数据库拖库行为检测的准确率。另外,图3所示的实施例中的操作行为数据中,还包括了正常操作行为的统计数据,更进一步地提高了提高数据库拖库行为检测的准确率。
作为本发明实施例的一种实施方式,如图4所示,本发明实施例提供的一种数据库拖库行为的检测装置,应用于服务器,所述装置包括:
日志获取模块410,用于获取待检测数据库的审计日志;
数据获取模块420,用于从审计日志中,获取用户对待检测数据库的操作行为数据;操作行为数据,包括:预设的与拖库行为相关的各种操作行为的统计数据;
检测模块430,用于将操作行为数据和预先创建的用户行为基线进行比较,获得数据库拖库检测结果;用户行为基线,为:待检测数据库在未受到拖库攻击的状态下的操作行为数据。
本发明实施例提供的一种数据库拖库行为的检测装置,首先获取待检测数据库的审计日志,并从审计日志中,获取用户对待检测数据库的操作行为数据;然后,将操作行为数据和预先创建的用户行为基线进行比较,获得数据库拖库检测结果。由于操作行为数据是根据审计日志中记录的用户的操作行为动态获得的,其中包括:预设的与拖库行为相关的操作行为的统计数据,因此将其与用户行为基线的比较结果作为检测依据,能够获得数据库拖库行为检测结果,减少误报、提高数据库拖库行为检测的准确率。
作为本发明实施例的一种实施方式,所述日志获取模块410,具体用于获取待检测数据库在当前检测周期中生成的审计日志;
所述数据获取模块420,具体用于从所述待检测数据库在当前检测周期中生成的审计日志中,获取用户在当前检测周期内对所述待检测数据库的操作行为数据;
所述用户行为基线,为:用户在上一个检测周期中,对处于未受到拖库攻击状态下的所述待检测数据库的操作行为数据。
作为本发明实施例的一种实施方式,所述数据获取模块420,可以包括:
第一获取单元,用于获取所述审计日志中的所有操作语句;
第一识别单元,用于按照预先构建的第一行为识别规则对所述所有操作语句进行语句匹配,识别出所述预设的与拖库行为相关的各种操作行为;
第一统计单元,用于对所述预设的与拖库行为相关的各种操作行为进行统计,获得用户对所述待检测数据库的操作行为数据。
作为本发明实施例的一种实施方式,所述预设的与拖库行为相关的各种操作行为,包括:寻找系统注入点、判断回显、数据库刺探、数据库数据导出和删除库或表操作;
所述的操作行为数据,包括:注入次数、爆库次数、数据库数据导出操作次数和危险行为次数;
所述第一统计单元,包括:
第一统计子单元,用于统计寻找注入点和判断回显的操作的次数的和,作为注入次数;
第二统计子单元,用于统计数据库刺探操作的次数,作为爆库次数;
第三统计子单元,用于统计数据库数据导出操作次数;
第四统计子单元,用于统计删除库或表的操作次数,作为危险行为次数。
作为本发明实施例的一种实施方式,所述操作行为数据,还包括:预设的各种正常操作行为的统计数据;
所述数据获取模块420,可以包括:
第二获取单元,用于获取所述审计日志中的所有操作语句;
第二识别单元,按照预先构建的第二行为识别规则对所述所有操作语句进行语句匹配,识别出所述预设的与拖库行为相关的各种操作行为,和预设的各种正常操作行为;
第二统计单元,对所述预设的与拖库行为相关的各种操作行为和预设的各种正常操作行为进行统计,获得用户对所述待检测数据库的操作行为数据。
作为本发明实施例的一种实施方式,所述预设的与拖库行为相关的各种操作行为,包括:寻找系统注入点、判断回显、数据库刺探、数据库数据导出和删除库或表操作;所述预设的正各种常操作行为包括:查询操作;
所述的操作行为数据,包括:注入次数、爆库次数、数据库数据导出操作次数、危险行为次数和正常操作次数;
所述第二统计单元,包括:
第五统计子单元,用于统计寻找注入点和判断回显的操作的次数的和,作为注入次数;
第六统计子单元,用于统计数据库刺探操作的次数,作为爆库次数;
第七统计子单元,用于统计数据库数据导出操作次数;
第八统计子单元,用于统计删除库或表的操作次数,作为危险行为次数;
第九统计子单元,用于统计查询操作的次数,作为正常操作次数。
作为本发明实施例的一种实施方式,所述装置还包括:
保存模块,用于所述检测模块执行将所述操作行为数据和预先创建的用户行为基线进行比较,获得数据库拖库检测结果的步骤之后,如果检测结果为所述待检测数据库未受到拖库攻击,则保存所述待检测数据库在当前检测周期的操作行为数据,作为下一检测周期的用户行为基线。
作为本发明实施例的一种实施方式,所述检测模块430,包括:
计算单元,用于计算所述操作行为数据和预先创建的用户行为基线之间的偏离度;
判断单元,用于根据偏离度的计算结果,判断所述待检测数据库是否受到拖库攻击。
作为本发明实施例的一种实施方式,所述判断单元,包括:
第一判断子单元,用于在所述偏离度小于预设阈值时,则所述待检测数据库被判断为未受到拖库攻击;
第二判断子单元,,用于在所述偏离度大于预设阈值时,则所述待检测数据库被判断为受到拖库攻击。
作为本发明实施例的一种实施方式,所述计算单元,具体用于采用如下公式计算偏离度:
其中,n表示所述操作行为数据和所述用户行为基线的数据维度,xi为所述用户行为基线中的第i维数据,yi为所述操作行为数据中的第i维数据。
本发明实施例提供的一种数据库拖库行为的检测装置,首先获取待检测数据库的审计日志,并从审计日志中,获取用户对待检测数据库的操作行为数据;然后,将操作行为数据和预先创建的用户行为基线进行比较,获得数据库拖库检测结果。由于操作行为数据是根据审计日志中记录的用户的操作行为动态获得的,其中包括:预设的与拖库行为相关的操作行为的统计数据,因此将其与用户行为基线的比较结果作为检测依据,能够获得数据库拖库行为检测结果,减少误报、提高数据库拖库行为检测的准确率。
本发明实施例还提供了一种电子设备,如图5所示,包括处理器501、通信接口502、存储器503和通信总线504,其中,处理器501,通信接口502,存储器503通过通信总线504完成相互间的通信,
存储器503,用于存放计算机程序;
处理器501,用于执行存储器503上所存放的程序时,实现如下步骤:
获取待检测数据库的审计日志;
从审计日志中,获取用户对待检测数据库的操作行为数据;操作行为数据,包括:预设的与拖库行为相关的操作行为的统计数据;
将操作行为数据和预先创建的用户行为基线进行比较,获得数据库拖库检测结果;用户行为基线,为:待检测数据库在未受到拖库攻击的状态下的操作行为数据。
上述电子设备提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect,pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(randomaccessmemory,ram),也可以包括非易失性存储器(non-volatilememory,nvm),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(centralprocessingunit,cpu)、网络处理器(networkprocessor,np)等;还可以是数字信号处理器(digitalsignalprocessing,dsp)、专用集成电路(applicationspecificintegratedcircuit,asic)、现场可编程门阵列(field-programmablegatearray,fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一数据库拖库行为的检测方法的步骤。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一数据库拖库行为的检测方法的步骤。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
- 还没有人留言评论。精彩留言会获得点赞!