网络封包及数据库封包稽核系统及其关联性稽核装置的制作方法

专利名称：：网络封包及数据库封包稽核系统及其关联性稽核装置的制作方法
技术领域：
：本发明是关于一种网络封包及数据库封包稽核系统，尤指一种统计数值运算的网络封包及数据库封包稽核系统，其不需进行大量的封包内容剖析及比对，以提升运算效能且节省封包储存空间。
背景技术：
：鉴于网络的普及性及便利性的发展快速，网际网络已成为现今传递信息的主流媒介，各种公司行号、大型医院等也都建立了属于自己的区域网络。普及且便利的网际网络也延伸出了信息安全的问题，由于每个人都有可能通过网络存取、修改数据，因此，衍伸出不少通过网际网络以不合法的手段存取或修改数据的行为，为此，上述通过网际网络存取数据的行为必须被纪录，以作为资安责任的追究依据，然而，现有的网际网络中，是以一网络服务器(Webserver)供用户连结，用户通过对网络服务器传送HTTP网络封包(HTTPrequest)而存取网络数据，而该网络服务器提供的网络数据，并不是储存在该网络服务器中，而是储存于一数据服务器中(DataBasesever，简称DBserver)，并由该网络服务器连结至该数据服务器，并对数据服务器传送SQL数据库封包(SQLrequest)以取得要提供给用户的网络数据，但由于网络服务器需供众多个用户连结，因此网络服务器提供给用户连结的连接端口(port)多，而连结数据服务器的连接端口则相对于给用户连结的连接端口少，让多个用户共用连接端口来存取数据服务器的数据，因此并无法通过连接端口来判断实际上是哪个用户对数据库进行了哪些存取行为。为此，现有一种网络封包及数据库封包稽核系统，其主要是以建立HTTP网络封包与SQL数据库封包的关联性，以达到安全稽核的目的，请参阅图9，上述网络封包及数据库封包稽核系统包括一网络封包监听器61(HTTPSniffer)，连结于一用户端51及一网络服务器52之间，以撷取用户端51传输给该网络服务器52的多个HTTP网络封包，并输出该多个HTTP网络封包，且各HTTP网络封包包括一全球资源定址信息(uniformresourcelocator,URL)及至少一网页变数；一SQL数据库封包监听器62(SQLSniffer)，连结于该网络服务器52与一数据服务器53之间，以撷取网络服务器52传输给该数据服务器53的多个SQL数据库封包，并输出该多个SQL数据库封包，且各SQL数据库封包包括一SQL数据库述句(SQLquery)；一关联性稽核装置63(SecureDevice),与该网络封包监听器61及该SQL数据库封包监听器62连接，且内建有一关联性建立程序、一稽核程序及一知识库，并交替执行该关联性建立程序及该稽核程序，于该关联性建立程序执行期间，持续接收该多个HTTP网络封包及SQL数据库封包，并以所撷取HTTP网络封包中的全球资源定址信息(URLA-D)与SQL数据库封包中的SQL数据库述句(SQLA-C)建立如图10所示的关系矩阵，并预设多个HTTP网络封包所分别对应的全球资源定址信息(URLA-D)与SQL数据库述句(SQLA_C)的相关性计分值为0，并依据此后接收到的多个HTTP网络封包及多个SQL数据库封包的相似程度(如剖析HTML文本，判断是否包括相同的述句或使用者ID等变数)分别加减各全球资源定址信息对应各SQL数据库述句的相关性计分值，例如接收一个包括URLA的HTTP网络封包，而该HTTP网络封包包括与SQLB相似的变数，则将URLA对应SQLB栏位中的相关性计分值加分，完全不同者则减分，且于结束该关联性建立程序前，将该关系矩阵存入该知识库中；于执行该稽核程序期间，是持续接收多个HTTP网络封包及SQL数据库封包，并以该知识库中关系矩阵的相关性计分值作为判断HTTP网络封包与SQL数据库封包是否相关的依据，以将HTTP网络封包与对应相关的SQL数据库封包建立一组稽核数据表，供稽核人员查询。上述关联性稽核装置63执行关联性建立程序及稽核程序后，产生的稽核数据表可得知哪个HTTP网络封包对应到哪个SQL数据库封包，由于HTTP网络封包中通常会有用户的IP位址或ID等信息，而SQL数据库封包中则会有存取SQL数据库的指令语言，能找到与HTTP网络封包对应的SQL数据库封包，便可知道哪个用户端对应了哪一笔SQL数据库存取行为。然而，由于上述关联性稽核装置63设定的相关性评分值是藉由各全球资源定址·信息对应的HTTP网络封包内容(其所包括的述句、变数等)与SQL数据库述句对应SQL数据库封包包括的内容(其所包括的述句、变数等)比对而计算出，因此需要大量的储存空间来储存网络及SQL数据库封包所包括的内容，且须从SQL数据库封包中HTML本文剖析SQL语法，进行复杂的内容比对程序，使关联性稽核装置63需执行大量运算；且，现有的关联性稽核装置63的最大运算负荷量通常只能负荷关联性建立程序，难以同时执行稽核程序，使得关联性建立程序及稽核程序只能交替执行，于稽核程序停止期间则无法产生稽核数据表，存在资安漏洞，需有所改良。
发明内容有鉴于上述网络封包及数据库封包稽核系统效能不佳的技术缺陷，本发明的主要目的是提出一种网络封包及数据库封包稽核系统及其关联性稽核装置。欲达上述目的所使用的主要技术手段是令该网络封包及数据库封包稽核系统包括一网络封包监听器，撷取多个HTTP网络封包，并输出该多个HTTP网络封包，且各HTTP网络封包至少包括一全球资源定址信息(URL)；一SQL数据库封包监听器，撷取多个SQL数据库封包，并输出该多个SQL数据库封包，且各SQL数据库封包至少包括一SQL数据库述句(SQL)；一关联性稽核装置，与该网络封包监听器及该SQL数据库封包监听器连接，且内建有一关联性学习分析程序及一稽核程序，该关联性学习分析程序是于执行时，将接收该多个HTTP网络封包及SQL数据库封包的时间区分成多个时间区间，且将各种全球资源定址信息分布于多个区间内的数量作为一组全球资源定址信息的统计样本S(Xi)，而将各种SQL数据库述句分布于多个时间区间内的数量作为一组SQL数据库述句的统计样本S(Yi)，并评估且储存该二组统计样本中数量分布的相关程度的高低，以作为判断各种全球信息定址信息与各种SQL数据库述句间是否相关的依据；该稽核程序是依据关联性学习分析程序中所储存该二组统计样本中数量分部的相关程度的高低，而判断各种全球信息定址信息与各种SQL数据库述句间是否相关，以建立一组稽核数据表，供稽核人员查询全球资源定址信息与SQL数据库述句间的相关程度。现有网络架构中，SQL数据库封包是因网络服务器接收到HTTP网络封包而输出的，故关联性稽核装置通常会在撷取到该HTTP网络封包后，会于短时间内撷取到与该种HTTP网络封包相关联的SQL数据库封包，因此，相关联的全球资源定址信息及SQL数据库述句的统计样本S(Xi),S(Yi)相对于时间区间的分布情况会相近似，故本发明得以用包括各种全球资源定址信息的HTTP网络封包及包括各种SQL数据库述句的SQL数据库封包，其两者于时间区间的分布相关程度，找到与全球资源定址信息对应的SQL数据库述句，以达到安全稽核的目的。而由于上述关联性稽核装置是以计数全球资源定址信息及SQL数据库述句分别分布于多个时间区间内的数量，进而以统计出的统计样本分布相关程度作为判断HTTP网络封包与是否相关的依据，因此仅需计算及出现的个数，作数值运算即可，不需储存HTTP网络封包及SQL数据库封包的内容，也不需进行其内容的比对，节省储存空间且减少运算复杂度，提升系统效能。又，有鉴于上述网络封包及数据库封包稽核系统存在资安漏洞的技术缺陷，本发明的次要目的是避免其关联性学习分析程序及稽核程序交替执行所产生的资安漏洞，是进一步令该关联性稽核装置执行该稽核程序时，是持续且同时执行该关联性学习分析程序，以持续更新各种全球资源定址信息与各种SQL数据库述句间的相关程度数据，使稽核程序即时更新判断各种全球资源定址信息与各种SQL数据库述句间是否相关的依据标准，而因为本发明所提的关联性学习分析建立程序仅需作数值计算，且运算量小，故同时执行关联性学习分析建立程序及稽核程序亦不易超过关联性稽核装置的运算负荷量。图I为本发明网络封包及数据库封包稽核系统的方块示意图。图2为图I的关联性稽核装置中关联性学习分析程序的流程图。图3为图I关联性稽核装置接收网络封包流及SQL数据库封包流的时间区间分布示意图。图4为图I关联性稽核装置将HTTP网络封包及SQL数据库封包区分成多个时间区间的区间编号表。图5为图2将计数数量存入HTTP网络封包杂凑表步骤所建立的HTTP网络封包杂凑表。图6为图2将计数数量存入SQL数据库封包杂凑表步骤所建立的SQL数据库封包杂凑表。图7为图2将计算出的数量乘积和存入述句对定址信息杂凑表的步骤所建立的述句对定址信息杂凑表。图8为图I关联性稽核装置中稽核程序的流程图。图9为现有网络封包及数据库封包稽核系统架设于现有网络架构中的方块示意图。图10为现有关联性稽核装置建立的关系矩阵表格。具体实施例方式以下配合附图及本发明的较佳实施例，进一步阐述本发明为达成预定发明目的所采取的技术手段。请参阅图1，本发明网络封包及数据库封包稽核系统包括一网络封包监听器10，持续撷取多个HTTP网络封包，并输出该多个HTTP网络封包，且各HTTP网络封包至少包括一全球资源定址信息(uniformresourcelocator,URL)；一SQL数据库封包监听器20，持续撷取多个SQL数据库封包，并输出该多个SQL数据库封包，且各SQL数据库封包至少包括一SQL数据库述句(SQLquery)；一关联性稽核装置30，是与该网络封包监听器及该SQL数据库封包监听器连接，且内建有一关联性学习分析程序及一稽核程序，该关联性学习分析程序是于执行时，将接收该多个HTTP网络封包及SQL数据库封包的时间区分成多个时间区间，且计数各种全球资源定址信息分布于多个区间内的数量，以作为一组全球资源定址信息的统计样本S(Xi),而计数各种SQL数据库述句分布于多个时间区间内的数量，以作为一组SQL数据库述句的统计样本S(Yi)，并评估且储存该二组统计样本S(Xi),S(Yi)中数量分布的相关程度的高低，以作为判断各种全球信息定址信息与各种SQL数据库述句间是否相关的依据，使得随时间依所接收的最新HTTP及SQL数据库封包，可即时更新此关联分析判断的依据标准；该稽核程序则是依据关联性学习分析程序中所储存该二组统计样本S(Xi),S(Yi)中数量分布的相关程度的高低，而判断各种全球信息定址信息与各种SQL数据库述句是否相关，以建立一组稽核数据表，于本实施例中，该关联性学习分析程序是计算该二组统计样本S(Xi)、S(Yi)分布于各时间区间的相关系数r(correlationcoefficient),即NNNTjXiYJiYjXiYi-i^Ji.产......I................................—y-1'.................................V；—7’以该相关系数作为评估该二组统计样S(Xi),S(Yi)的相关程度的依据，并储存计算出的相关系数及相关系数对应的全球资源定址信息及SQL数据库述句；该稽核程序则依据已储存的相关系数值高低，以判断各种全球信息定址信息与各种SQL数据库述句间是否相关，以下仅配合附图进一步说明。请参阅图2，所述的关联性学习分析程序包括以下步骤持续接收HTTP网络封包及SQL数据库封包Sll；计数目前时间区间(TbN)内，各种全球资源定址信息的数量Xn及其平方Xn2，并累NN-INN-I力口至一数量和;Ejfi=為及一平方和Zz7:2，再将各种全球资源定址信息i=li二II=I仁I及其对应于各时间区内的数量(TbN，Xn)、数量和;Z/、数量平方和;及采计的样本个数i=l/=I|X|(样本个数|X|即各种全球资源定址信息所对应分布的时间区间个数)存入一HTTP网络封包杂凑表(HTTPhashtable)内S12，于本实施例中，请参阅图3的TblTb4，该关联性稽核装置30于执行此步骤前，是由该网络封包监听器10持续接收HTTP网络封包，并于接收满一个时间区间后汇出HTTP网络封包予关联性稽核装置30，该关联性稽核装置则依据接收HTTP网络封包所属的时间区间，设定此HTTP网络封包一区间编号(batchID)，如图4所示，若网络封包监听器10于第一个时间区间内撷取到URL2、URL3的全球资源定址信息，则关联性稽核装置30将此URL2、URL3的全球资源定址信息设定一编号为Tbl的区间编号；再计数目前时间编号中，各种全球资源定址信息的数量Xi及其平方Xi2，以进行加总，而该HTTP网络封包杂凑表则如图5所示，包括一定址信息栏位、一数量和栏位、一数量平方和栏位、一样本数栏位及一样本分布栏位，该样本分布栏位中储存有对应全球资源定址信息分布于各个时间区间的数量(Tbi，Xi)，如(Tb2，2)表示于包括该全球资源定址信息在区间Tb2中出现2次，该样本数栏位则储存所采计的各种全球资源定址信息的样本数；计数目前时间区间(TbN)内，各种SQL数据库述句的数量Yn及其平方￥/，并累加至一数量和打及一平方和tK2=Yn2+YjYf，再将各种SQL数据库封包及其对应1—1I-I/=1/=1于各时间区间内的数量(TbN，yn)、数量和乏>、数量平方和及采计的样本个数|Y|，即·仁I/二I各种SQL数据库述句所对应分布的时间区间个数，存入一SQL数据库封包杂凑表(SQLhashtable)内S13，于本实施例中，如图3所示的TbfTb4，该关联性稽核装置30于执行此步骤前，是由SQL数据库封包监听器20持续接收SQL数据库封包，并于接收满一个时间区间后汇出SQL数据库封包予关联性稽核装置30，该关联性稽核装置30则依据接收SQL数据库封包时所属的时间区间，设定SQL数据库述句一区间编号(batchID),同样如图4中，若SQL数据库封包监听器20于第一个时间区间内撷取到SQL1、SQL2、SQL3的SQL数据库述句，则关联性稽核装置30将此SQL1、SQL2、SQL3的SQL数据库述句设定一编号为Tbl的区间编号；再计数目前区间编号中，各种SQL数据库述句的SQL数据库封包的数量Yi及其平方Yi2，以进行加总，且该SQL数据库封包杂凑表如图6所示包括一SQL数据库述句栏位、一数量和栏位、一数量平方和栏位、一样本数栏位(改名称与前述的”样本数”对应)及一样本分布栏位，该样本分布栏位中储存有对应SQL数据库述句的SQL数据库封包分布于各个时间区间的数量(Tbi,Yi)，如(Tbl，I)表示于包括该SQL数据库述句在时间区间I中出现I次，SQL数据库封包杂凑表的样本数栏位则储存所采计的各种SQL数据库述句的样本数；计算目前时间区间内，各种全球资源定址信息与各种SQL数据库述句的数量乘积XnYn,并累加至一乘积和;^XK，再将各种全球资源定址信息、各种SQL数据库述句、相对应的数量乘积和及全球资源定址信息与SQL数据库述句采计样本的交集个数IxnYl存入一述句对定址资源杂凑表(SQL-HTTPhashtable)S14，如图7所示；分别计算各种全球信息定址信息的统计样本S(Xi)与各种SQL数据库述句NNV^XiYi-1=1f1间的统计样本S(Yi)间的相关系数r，FI,2I°f,且其中样本数Lv3,￥IYX2-、,=1JIYYt-V,=1JISu\UUU=|X|+|Y|-|XnY|，样本数U会随着|X|、|Y|及IxnYl的数量不同而有所改变，并将各种全球信息定址信息、各种SQL数据库述句及对应的相关系数储存S15后，回到持续接收HTTP网络封包及SQL数据库封包的步骤sii，且上述步骤中已分别计算出权利要求1.一种网络封包及数据库封包稽核系统，其特征在于，所述网络封包及数据库封包稽核系统包括一网络封包监听器，撷取多个HTTP网络封包，并输出所述多个HTTP网络封包，且各HTTP网络封包至少包括一全球资源定址信息；一SQL数据库封包监听器，撷取多个SQL数据库封包，并输出所述多个SQL数据库封包，且各SQL数据库封包至少包括一SQL数据库述句；一关联性稽核装置，与所述网络封包监听器及所述SQL数据库封包监听器连接，且内建有一关联性学习分析程序及一稽核程序，所述关联性学习分析程序是于执行时，将接收所述多个HTTP网络封包及SQL数据库封包的时间区分成多个时间区间，且将各种全球资源定址信息分布于多个区间内的数量作为一组全球资源定址信息的统计样本S(Xi)，而将SQL数据库述句分布于多个时间区间内的数量作为一组SQL数据库述句的统计样本S(Yi)，并评估且储存所述二组统计样本中数量分布的相关程度的高低，以作为判断各种全球信息定址信息与各种SQL数据库述句间是否相关的依据；所述稽核程序是依据关联性学习分析程序中所储存所述二组统计样本中数量分布的相关程度的高低，而判断各种全球信息定址信息的HTTP网络封包与各种SQL数据库述句间是否相关，以建立一组稽核数据表。2.根据权利要求I所述的网络封包及数据库封包稽核系统，其特征在于，所述关联性学习分析程序计算所述二组统计样本分布于各时间区间的相关系数，以所述相关系数作为评估全球资源定址信息的统计样本及SQL数据库述句的统计样本间相关程度的依据，并储存计算出的相关系数及相关系数对应的全球资源定址信息及SQL数据库述句；所述稽核程序则依据已储存的相关系数值高低，以判断各种全球信息定址信息与各种SQL数据库述句间是否相关。3.根据权利要求2所述的网络封包及数据库封包稽核系统，其特征在于，所述关联性稽核装置执行所述稽核程序时，是持续且同时执行所述关联性学习分析程序。4.根据权利要求2或3所述的网络封包及数据库封包稽核系统，其特征在于，所述关联性学习分析程序包括以下步骤持续接收HTTP网络封包及SQL数据库封包；计数目前时间区间TbN内，各种全球资源定址信息的数量Yn及其平方YN2，并累加至一数量和5.根据权利要求4所述的网络封包及数据库封包稽核系统，其特征在于，所述HTTP网络封包杂凑表包括一定址信息栏位、一数量和栏位、一数量平方和栏位、一样本数栏位及一样本分布栏位，所述样本分布栏位中储存有对应各种全球资源定址信息分布于各个时间区间的数量(Tbi，Xi)，所述样本数栏位则储存计数各种全球资源定址信息时所采计的样本数；且所述SQL数据库封包杂凑表包括一SQL数据库述句栏位、一数量和栏位、一数量平方和栏位、一样本数栏位及一样本分布栏位，SQL数据库封包杂凑表的样本分布栏位中储存各种SQL数据库述句分布于各个时间区间的数量(Tbi，Yi)SQL数据库封包杂凑表的样本数栏位则储存计数各种SQL数据库述句时所采计的样本数。6.根据权利要求5所述的网络封包及数据库封包稽核系统，其特征在于，关联性稽核装置计数目前时间区间内全球资源定址信息的数量Xi及其平方Xi2的步骤前，是由所述网络封包监听器持续接收HTTP网络封包，并于接收满一个时间区间后汇出HTTP网络封包予关联性稽核装置，所述关联性稽核装置则依据接收HTTP网络封包所属的时间区间，设定此全球资源定址信息一区间编号，再计数目前的时间编号中，各种全球资源定址信息的数量Xi及其平方Xi2，以进行加总；而关联性稽核装置计数目前时间区间内SQL数据库述句的数量Yi及其平方Yi2的步骤前，是由SQL数据库封包监听器持续接收SQL数据库封包，并于接收满一个时间区间后汇出SQL数据库封包予关联性稽核装置，所述关联性稽核装置则依据接收SQL数据库封包所属的时间区间，设定SQL数据库述句一区间编号，再计数目前的区间编号中，各种SQL数据库述句的数量Yi及其平方Yi2，以进行加总。7.根据权利要求6所述的网络封包及数据库封包稽核系统，其特征在于，所述关联性学习分析程序中预设一保留数据临界值，并于将各种数据存入HTTP网络封包杂凑表及SQL数据库杂凑表之后，依据所述保留数据临界值，删除所属时间区间最早的数据。8.根据权利要求7所述的网络封包及数据库封包稽核系统，其特征在于，设定所述保留数据临界值为一时间临界值，且所述关联性学习分析程序是删除时间区间早于所述时间临界值的所有数据。9.根据权利要求8所述的网络封包及数据库封包稽核系统，其特征在于，所述稽核程序包括以下步骤持续接收HTTP网络封包及SQL数据库封包；判读HTTP网络封包中包括的全球资源定址信息及SQL数据库封包包括的SQL数据库述句；选出各种全球资源定址信息对各种SQL数据库述句的相关系数高于一预设值者，将其分别对应的HTTP网络封包与SQL数据库封包设为相关联，以建立所述稽核数据表。10.一种关联性稽核装置，其特征在于，接收多个HTTP网络封包及多个数据库封包，且各HTTP网络封包中包括一全球资源定址信息，各SQL数据库封包中包括一SQL数据库述句，且所述关联性稽核装置内建有一关联性学习分析程序及一稽核程序，其中所述关联性学习分析程序于执行时，接收所述多个HTTP网络封包及SQL数据库封包，并将接收所述多个HTTP网络封包的时间区分成多个时间区间，且将各种全球资源定址信息分布于多个区间内的数量作为一组全球资源定址信息的统计样本S(Xi)，而将各种SQL数据库述句分布于多个时间区间内的数量作为一组SQL数据库述句的统计样本S(Yi)，并评估且储存所述二组统计样本中数量分布的相关程度的高低，以作为判断各种全球信息定址信息与各种SQL数据库述句间是否相关的依据；所述稽核程序持续接收多个HTTP网络封包及SQL数据库封包，并依据关联性学习分析程序中所储存所述二组统计样本中数量分布的相关程度的高低，而判断包括各种全球信息定址信息与包括各种SQL数据库述句间是否相关，以建立一组稽核数据表。11.根据权利要求10所述的关联性稽核装置，其特征在于，所述关联性学习分析程序计算所述二组统计样本分布于各时间区间的相关系数，以所述相关系数作为评估所述二组统计样本间相关程度的依据，并储存计算出的相关系数及相关系数对应的全球资源定址信息及SQL数据库述句；所述稽核程序则以已储存的相关系数值高低判断各种全球资源定址信息与各种SQL数据库述句是否相关。12.根据权利要求11所述的关联性稽核装置，其特征在于，于执行所述稽核程序时，持续并同时执行所述关联性学习分析程序。13.根据权利要求11或12所述的关联性稽核装置，其特征在于，所述关联性学习分析程序包括以下步骤持续接收HTTP网络封包及SQL数据库封包；计数目前时间区间TbN内，各种全球资源定址信息的数量Xn及其平方XN2，并累加至一数量和14.根据权利要求13所述的关联性稽核装置，其特征在于，所述HTTP网络封包杂凑表包括一定址信息栏位、一数量和栏位、一数量平方和栏位、一样本数栏位及一样本分布栏位，所述样本分布栏位中储存有对应各种全球资源定址信息布于各个时间区间的数量(Tbi,Xi)，所述样本数栏位则储存计数各种全球资源定址信息时所采计的样本数；且所述SQL数据库封包杂凑表包括一SQL数据库述句栏位、一数量和栏位、一数量平方和栏位、一样本数栏位及一样本分布栏位，SQL数据库封包杂凑表的样本分布栏位中储存各种SQL数据库述句分布于各个时间区间的数量(Tbi，Yi)，SQL数据库封包杂凑表的样本数栏位则储存计数各种SQL数据库述句时所采计的样本数。15.根据权利要求14所述的关联性稽核装置，其特征在于，计数目前时间区间内全球信息定址信息的数量Xi及其平方Xi2的步骤，是先依据接收全球信息定址信息的时间所属的时间区间，而设定各全球信息定址信息一区间编号，再计数对应各时间编号中，各种全球资源定址信息的数量Xi及其平方Xi2，以进行加总；而计数目前时间区间内SQL数据库述句的数量Yi及其平方Yi2的步骤，是先依据接收SQL数据库述句的时间所属的时间区间，而设定各SQL数据库述句一区间编号，再计数对应各区间编号中，各种SQL数据库述句的数量Yi及其平方Yi2，以进行加总。16.根据权利要求15所述的关联性稽核装置，其特征在于，所述关联性学习分析程序中预设一保留数据临界值，并于将各种数据存入HTTP网络封包杂凑表及SQL数据库杂凑表之后，依据所述保留数据临界值，删除所属时间区间最早的数据。17.根据权利要求16所述的关联性稽核装置，其特征在于，设定所述保留数据临界值为一时间临界值，且所述关联性学习分析程序是删除时间区间早于所述时间临界值的所有数据。18.根据权利要求17所述的关联性稽核装置，其特征在于，所述稽核程序包括以下步骤持续接收HTTP网络封包及SQL数据库封包；判读HTTP网络封包中包括的全球资源定址信息及SQL数据库封包包括的SQL数据库述句；选出各种全球资源定址信息对各种SQL数据库述句的相关系数高于一预设值者，将其分别对应的HTTP网络封包与SQL数据库封包设为相关联，以建立所述稽核数据表。全文摘要本发明是关于一种网络封包及数据库封包稽核系统及其关联性稽核装置，是以一网络封包监听器撷取包括全球资源定址信息的多个HTTP网络封包，另以一SQL数据库封包监听器撷取包括SQL数据库述句的多个SQL数据库封包，并以一关联性稽核装置依据接收HTTP网络封包及SQL数据库封包的时间点，分别计数于多个时间区间中各种全球资源定址信息及各种SQL数据库述句的数量，作为二组统计样本，再以该二组统计样本的相关程度判断各全球资源定址信息与各SQL数据库述句是否相关；如此得以数值计算取代剖析语法的复杂且运算量高的比对步骤，降低关联性稽核装置的运算负荷量，提升运算效能。文档编号H04L29/06GK102724108SQ20121015973公开日2012年10月10日申请日期2012年5月22日优先权日2012年5月22日发明者丘祐玮,巫孟伦,张嘉惠,张尧坤,张渊琮,林荫峰申请人:库柏资讯软体股份有限公司