业务操作与数据库操作数据的关联方法及设备与流程

本发明涉及计算机领域，尤其涉及一种业务操作与数据库操作数据的关联方法及设备。

背景技术：

随着计算机系统应用越来越广泛，大量业务系统与数据库分离的应用场景的使用，使得数据审计日益复杂化。

现有的数据审计机制，一般分为直接操作数据及通过业务系统操作数据。针对直接操作数据进行审计的技术较为简单，主要是针对用户及所使用的数据处理链之间的一一对应关系进行处理；而针对通过业务系统进行操作数据库的审计技术则比较复杂，数据库操作已经被业务系统进行了隔离，进行用户操作与数据库操作之间的映射关系变得越发困难，主要体现在以下方面：

1、业务操作与数据库操作数据数量巨大，通过人工干预的方法添加策略，对人员技术要求较高，且费时费力；

2、人工制定的关联策略较为死板，业务系统应用环境多变，难以做出针对性的关联策略，策略监控力度难以把控；

3、纯人工添加的关联策略，关联策略量大且不能保证质量，后期需要大量人工时间去维护从而导致实施起来比较困难。

技术实现要素：

本发明的一个目的是提供一种业务操作与数据库操作数据的关联方法及设备,能够解决现有的业务操作与数据库操作数据关联费时、费力且关联质量低的问题。

根据本发明的一个方面，提供了一种业务操作与数据库操作数据的关联方法，该方法包括：

获取用户的业务操作和数据库操作数据，将所述业务操作和对应的数据库操作数据形成候选关联组；

获取所述候选关联组的出现次数，根据所述候选关联组的出现次数计算该候选关联组的最终可信度；

将所述最终可信度在预设阈值范围内的候选关联组作为筛选后的关联组。

进一步的，上述方法中，获取用户的业务操作和数据库操作数据，将所述业务操作和对应的数据库操作数据形成候选关联组，包括：

接收用户的业务操作及其起止时间信息并写入业务信息库，接收数据库操作数据及其起止时间信息并写入数据信息库；

根据业务信息库中的每一个业务操作的起止时间信息，在所述数据信息库中截取对应起止时间信息的数据库操作数据，将所述截取到的业务操作和对应的数据库操作数据形成候选关联组。

进一步的，上述方法中，获取所述候选关联组的出现次数，包括：

每一次业务操作内出现的一次或多次同一候选关联组时，将所述候选关联组的出现次数增加一次。

进一步的，上述方法中，获取所述候选关联组的出现次数，根据所述候选关联组的出现次数计算该候选关联组的可信度，包括：

获取所述候选关联组的出现次数；

当所述候选关联组的出现次数达到预设上限值时，将所述候选关联组的出现次数乘以固定系数进行线性缩减，形成所述候选关联组的缩减后的出现次数；

根据所述候选关联组的缩减后的出现次数计算该候选关联组的最终可信度。

进一步的，上述方法中，根据所述候选关联组的缩减后的出现次数计算该候选关联组的最终可信度，包括：

根据所述候选关联组的缩减后的出现次数和预设的匹配阈值基准，得到所述候选关联组的低于阀值命中数；

根据所述候选关联组的缩减后的出现次数和低于阀值命中数，得到所述候选关联组的高于阀值命中数；

根据所述候选关联组的低于阀值命中数和预设的得分上限，计算所述候选关联组的基础可信度；

判断所述高于阀值命中数是否为0，

若所述高于阀值命中数为0，将所述候选关联组的基础可信度作为该候选关联组的最终可信度。

进一步的，上述方法中，所述低于阀值命中数(lower_match_num)根据如下公式计算：

lower_match_num＝min(score_x,matches_thr)，

其中，score_x为所述候选关联组的缩减后的出现次数，matches_thr预设的匹配阈值基准。

进一步的，上述方法中，所述候选关联组的高于阀值命中数(upper_match_num)根据如下公式计算：

upper_match_num＝(score_x-lower_match_num)。

进一步的，上述方法中，所述基础可信度(reliability)根据如下公式计算：

reliability＝(lower_match_num*lower_match_num/top_score)，

其中，top_score为预设的得分上限。

进一步的，上述方法中，判断所述高于阀值命中数是否为0之后，还包括：

若所述高于阀值命中数不为0，根据预设的得分上限、所述预设的匹配阈值基准，得到所述候选关联组的高阀值命中比例；

根据所述候选关联组的基础可信度、高阀值命中比例、高于阀值命中数和缩减后的出现次数，计算所述候选关联组的最终可信度。

进一步的，上述方法中，所述候选关联组的高阀值命中比例(upper_score)根据如下公式计算:

upper_score＝((top_score-matches_thr*matches_thr)/top_score)。

进一步的，上述方法中，所述候选关联组的最终可信度(final-reliability)根据如下公式计算：

finalr-eliability＝(reliability+

(up_score*upper_match_num/score_x))。

根据本发明的另一方面，还提供了一种业务操作与数据库操作数据的关联设备，该设备包括：

第一关联装置，用于获取用户的业务操作和数据库操作数据，将所述业务操作和对应的数据库操作数据形成候选关联组；

计算装置，用于获取所述候选关联组的出现次数，根据所述候选关联组的出现次数计算该候选关联组的最终可信度；

第二关联装置，用于将所述最终可信度在预设阈值范围内的候选关联组作为筛选后的关联组。

进一步的，上述设备中，所述第一关联装置，用于接收用户的业务操作及其起止时间信息并写入业务信息库，接收数据库操作数据及其起止时间信息并写入数据信息库；根据业务信息库中的每一个业务操作的起止时间信息，在所述数据信息库中截取对应起止时间信息的数据库操作数据，将所述截取到的业务操作和对应的数据库操作数据形成候选关联组。

进一步的，上述设备中，所述计算装置，用于每一次业务操作内出现的一次或多次同一候选关联组时，将所述候选关联组的出现次数增加一次。

进一步的，上述设备中，所述计算装置，用于获取所述候选关联组的出现次数；当所述候选关联组的出现次数达到预设上限值时，将所述候选关联组的出现次数乘以固定系数进行线性缩减，形成所述候选关联组的缩减后的出现次数；根据所述候选关联组的缩减后的出现次数计算该候选关联组的最终可信度。

进一步的，上述设备中，所述计算装置，用于根据所述候选关联组的缩减后的出现次数和预设的匹配阈值基准，得到所述候选关联组的低于阀值命中数；根据所述候选关联组的缩减后的出现次数和低于阀值命中数，得到所述候选关联组的高于阀值命中数；根据所述候选关联组的低于阀值命中数和预设的得分上限，计算所述候选关联组的基础可信度；判断所述高于阀值命中数是否为0，若所述高于阀值命中数为0，将所述候选关联组的基础可信度作为该候选关联组的最终可信度。

进一步的，上述设备中，所述低于阀值命中数(lower_match_num)根据如下公式计算：

lower_match_num＝min(score_x,matches_thr)，

其中，score_x为所述候选关联组的缩减后的出现次数，matches_thr预设的匹配阈值基准。

进一步的，上述设备中，所述候选关联组的高于阀值命中数(upper_match_num)根据如下公式计算：

upper_match_num＝(score_x-lower_match_num)。

进一步的，上述设备中，所述基础可信度(reliability)根据如下公式计算：

reliability＝(lower_match_num*lower_match_num/top_score)，

其中，top_score为预设的得分上限。

进一步的，上述设备中，所述计算装置，还用于在判断所述高于阀值命中数是否为0之后，若所述高于阀值命中数不为0，根据预设的得分上限、所述预设的匹配阈值基准，得到所述候选关联组的高阀值命中比例；

根据所述候选关联组的基础可信度、高阀值命中比例、高于阀值命中数和缩减后的出现次数，计算所述候选关联组的最终可信度。

进一步的，上述设备中，所述候选关联组的高阀值命中比例(upper_score)根据如下公式计算:

upper_score＝((top_score-matches_thr*matches_thr)/top_score)。

进一步的，上述设备中，所述候选关联组的最终可信度(final-reliability)根据如下公式计算：

finalr-eliability＝(reliability+

(up_score*upper_match_num/score_x))。

根据本申请的另一面，还提供一种基于计算的设备，其中，包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：

获取用户的业务操作和数据库操作数据，将所述业务操作和对应的数据库操作数据形成候选关联组；

获取所述候选关联组的出现次数，根据所述候选关联组的出现次数计算该候选关联组的最终可信度；

将所述最终可信度在预设阈值范围内的候选关联组作为筛选后的关联组。

与现有技术相比，本申请采用一种机器学习方法，在用户业务应用环境下获取用户的业务操作和数据库操作数据，实时学习与分析，整理实际业务操作与数据库操作数据，自动生成业务操作与数据库操作数据的映射规则即筛选后的关联组，然后在业务系统运行过程中继续不断的学习和分析，能够自动识别出业务操作与数据库操作数据的对应关系，动态更新映射规则即筛选后的关联组。本申请适用于大多数多层业务系统的审计工作，能有效识别操作与数据库操作数据之间的关联关系，进而用所述关联关系来审计业务。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1示出根据本发明一实施例的机器学习打分图；

图2示出本发明一实施例的操作流程图。

附图中相同或相似的附图标记代表相同或相似的部件。

具体实施方式

下面结合附图对本发明作进一步详细描述。

在本申请一个典型的配置中，终端、服务网络的设备和可信方均包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

本申请提供一种业务操作与数据库操作数据的关联方法，包括：

步骤s1,获取用户的业务操作和数据库操作数据，将所述业务操作和对应的数据库操作数据形成候选关联组；

步骤s2,获取所述候选关联组的出现次数，根据所述候选关联组的出现次数计算该候选关联组的最终可信度；

步骤s3,将所述最终可信度在预设阈值范围内的候选关联组作为筛选后的关联组。在此，所述最终可信度可根据根据所述候选关联组的出现次数计算得到的，其可以具体是一个在0.0-1.0之间的分值。可信度分值可用于确定后面是否使用该映射关系数据进行审计及参考。若可信度分值在可调整的设定值之内，则保存该映射关系进入规则模型库，否则丢弃该关系。如图1所示，最终可信度越高，最终得分越高，依据最终得分实时更新规则模型库。

具体的，例如：

1)假设业务系统的使用者为user＝{u1,u2}；

2)假设业务系统为busi_system＝{os1,os2}，业务系统主要用于处理用户输入或者从来自业务数据库中的业务数据逻辑，业务操作动作来自使用者(user)中，业务动作的具体实施是在业务系统(busi_system)中，业务操作发起和业务操作实施这两个过程是不可见的，但是这两个系统之间沟通的方式通常为网络等，业务系统使用者与业务系统之间的沟通的过程为构建的模型环境中的业务操作，此系统为用户所有，在此处说明只为构建适用环境；

3)假设业务数据库为data_system＝{ds1,ds2}，业务数据库中主要存储的是用户的业务数据即数据库操作数据，数据库操作发起在业务系统(busi_system)中，数据库具体实现是在业务数据库(data_system)中，数据库操作发起和数据库具体实现这两个过程是不可见的，但是这两个系统之间沟通的方式通常为网络等，业务系统与业务数据库之间的沟通的过程为构建的模型环境中的数据操作，此业务数据库为用户所有，在此处说明只为构建适用环境；

4)假设规则模型库为rules_model_lib＝{rm1,rm2}。规则模型库，里面包括内置的业务操作与数据库操作数据之间的规则即预设的关联组，还有采用本实施例的方法长期学习到的业务操作与数据库操作数据之间的规则即筛选后的关联组，此系统为数据库审计所有，非用户环境。

以上四点可以存在如下关系，rm1属于os1，rm2属于os2，os1的业务数据库为ds1，os2的业务数据库为ds2，u1可以使用os1或os2，u2可以使用os1或os2。以上构建的三层环境仅是最基本的多层关联模型适用环境，而非仅仅适用于该环境，本发明的机器学习方法同样适用于复杂的多层业务环境。

本申请采用一种机器学习方法，在用户业务应用环境下获取用户的业务操作和数据库操作数据，实时学习与分析，整理实际业务操作与数据库操作数据，自动生成业务操作与数据库操作数据的映射规则即筛选后的关联组，然后在业务系统运行过程中继续不断的学习和分析，能够自动识别出业务操作与数据库操作数据的对应关系，动态更新映射规则即筛选后的关联组。本申请适用于大多数多层业务系统的审计工作，能有效识别操作与数据库操作数据之间的关联关系，进而用所述关联关系来审计业务。

本申请的业务操作与数据库操作数据的关联方法一实施例中，步骤s1,获取用户的业务操作和数据库操作数据，将所述业务操作和对应的数据库操作数据形成候选关联组，包括：

接收用户的业务操作及其起止时间信息并写入业务信息库(raw_biz)，接收数据库操作数据及其起止时间信息并写入数据信息库(raw_data)；

根据业务信息库中的每一个业务操作的起止时间信息，在所述数据信息库中截取对应起止时间信息的数据库操作数据，将所述截取到的业务操作和对应的数据库操作数据形成候选关联组，从而能够精确地获取到候选关联组。

本申请的业务操作与数据库操作数据的关联方法一实施例中，步骤s2中的,获取所述候选关联组的出现次数，包括：

每一次业务操作内出现的一次或多次同一候选关联组时，将所述候选关联组的出现次数增加一次，从而实现候选关联组的出现次数的精确统计。

本申请的业务操作与数据库操作数据的关联方法一实施例中，步骤s2,获取所述候选关联组的出现次数，根据所述候选关联组的出现次数计算该候选关联组的可信度，包括：

获取所述候选关联组的出现次数；

当所述候选关联组的出现次数达到预设上限值时，将所述候选关联组的出现次数乘以固定系数进行线性缩减，形成所述候选关联组的缩减后的出现次数；比如一个整数1000，想让该数缩减，只需给该数乘以一个小数，即可进行缩减，如：1000*0.5＝500；

根据所述候选关联组的缩减后的出现次数计算该候选关联组的最终可信度。在此，当所述候选关联组的出现次数达到预设上限值时，将所述候选关联组的出现次数乘以固定系数进行线性缩减，便于后续计算最终可信度

本申请的业务操作与数据库操作数据的关联方法一实施例中，根据所述候选关联组的缩减后的出现次数计算该候选关联组的最终可信度，包括：

根据所述候选关联组的缩减后的出现次数和预设的匹配阈值基准，得到所述候选关联组的低于阀值命中数；

根据所述候选关联组的缩减后的出现次数和低于阀值命中数，得到所述候选关联组的高于阀值命中数；

根据所述候选关联组的低于阀值命中数和预设的得分上限，计算所述候选关联组的基础可信度；

判断所述高于阀值命中数是否为0，

若所述高于阀值命中数为0，将所述候选关联组的基础可信度作为该候选关联组的最终可信度。在此，若高于阀值的命中数等于0，则此时的基础可信度为最终可信度。本实施例在所述高于阀值命中数为0时，可以精确得到最终可信度。

本申请的业务操作与数据库操作数据的关联方法一实施例中，判断所述高于阀值命中数是否为0之后，还包括：

若所述高于阀值命中数不为0，根据预设的得分上限、所述预设的匹配阈值基准match_thr，得到所述候选关联组的高阀值命中比例；

根据所述候选关联组的基础可信度、高阀值命中比例、高于阀值命中数和缩减后的出现次数，计算所述候选关联组的最终可信度。在此，若高于阀值的命中数不等于0，则此时最终可信度为finalreliability＝(reliability+

(up_score*upper_match_num/score_x))，

即，低得分值计算出来了，若有高的分匹配，还需要计算出高得分值，这两个值之和才是最终可信度。本实施例在所述高于阀值命中数不为0时，可以精确得到最终可信度。

本申请的业务操作与数据库操作数据的关联方法一实施例中，所述低于阀值命中数lower_match_num根据如下公式计算：

lower_match_num＝min(score_x,matches_thr)，

其中，score_x为所述候选关联组的缩减后的出现次数，matches_thr预设的匹配阈值基准。在此，匹配阈值基准(match_thr)，用于确定匹配数位高阈值或者低阈值。lower_match_num，即低于match_thr的匹配数目。比如拿学习成绩举例：高于60分的站左边，低于60分的站右边，站在左边的为高于阈值的匹配数，站在右边的为低于阈值的匹配数，60分就是阈值，高于60分的就是高于阈值，低于60分就是低于阈值。

本申请的业务操作与数据库操作数据的关联方法一实施例中，所述候选关联组的高于阀值命中数upper_match_num根据如下公式计算：

upper_match_num＝(score_x-lower_match_num)。在此upper_match_num，即高于lower_match_num的匹配数目。在此，高于阀值命中数高于阈值的数目。还是拿学习成绩举例：一共有60人，不及格的有10人，那及格的就有60-10＝50人了。

本申请的业务操作与数据库操作数据的关联方法一实施例中，所述基础可信度reliability根据如下公式计算：

reliability＝(lower_match_num*lower_match_num/top_score)，

其中，top_score为预设的得分上限。在此，top_score，即得分的上限，用于对每个模型即候选关联组进行打分使用的一个参考上限。在此，reliability，用于根据以上数据进行处理得到的某个模型即某个候选关联组的可信度的分值。

本申请的业务操作与数据库操作数据的关联方法一实施例中，所述候选关联组的高阀值命中比例upper_score根据如下公式计算:

upper_score＝((top_score-matches_thr*matches_thr)/top_score)。在此，upper_score为一个得分比例，即以top_score为标准，得出的一个比例。计算upper_score是一个保护措施，因为在数据库审计中有些业务一天只出现一两次，有的业务一天出现好几万此，计算upper_score值是为了避免低业务量被淹没，避免高业务量过高没有限制。

本申请的业务操作与数据库操作数据的关联方法一实施例中，所述候选关联组的最终可信度final-reliability根据如下公式计算：

finalr-eliability＝(reliability+

(up_score*upper_match_num/score_x))。

详细的，假设用户操作方式为user<->busi_system<->data_system的简单三层数据流处理流程；

本申请主要是针对用户业务场景进行学习与分析的一种基于机器的自学习关联模型，模型大致处理流程如下：初期对用户数据进行预处理，存储到raw_biz(为rules_model_lib中rm的一部分，用于存储打分模型需要的业务操作信息)和raw_data(为rules_model_lib中rm的一部分，用于存储打分模型需要的数据库操作数据信息)中，然后依据业务操作的时间尺度找出对应数据库操作数据，形成相应的映射规则即候选关联组，然后交于学习与分析模块进行处理，处理完之后更新业务系统osx原有规则模型库rules_model_lib。

如图2所示，操作流程如下：

1)初始化规则模型的时候，可创建一个总的关联模型，在模型中为每个业务系统osx(即busi_system中的一项)创建一个关联映射规则表，表中存储了每个业务操作与对应数据库操作数据映射关系即候选关联组及及每个候选关联组的出现次数，在此，所述映射关系是指busi_system与data_system之间的对应关系。

2)接着，用户按照正常的操作规程及日常的使用习惯使用业务系统。

3)与此同时，数据处理模块接收用户的业务操作及其起止时间信息，及接收数据库操作数据及其起止时间信息，并将用户的业务操作及其起止时间信息写入如业务信息库(raw_biz)，将数据库操作数据及其起止时间信息写入如数据信息库(raw_data)，根据业务信息库(raw_biz)中的每一个业务操作的起止时间信息，在所述数据信息库(raw_data)中截取对应起止时间信息的数据库操作数据，从而形成对应的关联组。

4)接下来，按照关联组出现的次数计数score_x(关联组计数次数)，每次出现均增加一次，同一次业务操作内重复组仅记为一次(同一业务内进行多次同一操作记为一次)，当最高计数达到上限(是自定义的一个上限值)时，对每个关联组及业务本身计数乘以固定系数进行线性缩减，形成最新的score_x。

5)最后进入学习与分析功能，学习与分析模块通过对关联组出现的次数score_x进行处理，得到低于阀值命中数lower_match_num＝min(score_x,matches_thr)；高于阀值命中数upper_match_num＝(score_x-lower_match_num)，以及设定的高阀值命中比例upper_score＝((top_score-matches_thr*matches_thr)/top_score)，

然后计算基础可信度reliability＝(lower_match_num*lower_match_num/top_score)，

若高于阀值的命中数等于0，则此时的基础可信度为最终可信度，反之，finalreliability＝(reliability+

(up_score*upper_match_num/score_x))

6)机器学习伴随着审计一直运行，更新相关关联规则模块不断更新osx的筛选后的关联组，时刻以最新的筛选后的关联组对用户环境进行审计，即针对每个匹配上的映射关系存储到规则模型库中，供下次学习参考使用。

根据本发明的另一方面，还提供了一种业务操作与数据库操作数据的关联设备，该设备包括：

第一关联装置，用于获取用户的业务操作和数据库操作数据，将所述业务操作和对应的数据库操作数据形成候选关联组；

计算装置，用于获取所述候选关联组的出现次数，根据所述候选关联组的出现次数计算该候选关联组的最终可信度；

第二关联装置，用于将所述最终可信度在预设阈值范围内的候选关联组作为筛选后的关联组。

本申请的业务操作与数据库操作数据的关联设备一实施例中，所述第一关联装置，用于接收用户的业务操作及其起止时间信息并写入业务信息库，接收数据库操作数据及其起止时间信息并写入数据信息库；根据业务信息库中的每一个业务操作的起止时间信息，在所述数据信息库中截取对应起止时间信息的数据库操作数据，将所述截取到的业务操作和对应的数据库操作数据形成候选关联组。

本申请的业务操作与数据库操作数据的关联设备一实施例中，所述计算装置，用于每一次业务操作内出现的一次或多次同一候选关联组时，将所述候选关联组的出现次数增加一次。

本申请的业务操作与数据库操作数据的关联设备一实施例中，所述计算装置，用于获取所述候选关联组的出现次数；当所述候选关联组的出现次数达到预设上限值时，将所述候选关联组的出现次数乘以固定系数进行线性缩减，形成所述候选关联组的缩减后的出现次数；根据所述候选关联组的缩减后的出现次数计算该候选关联组的最终可信度。

本申请的业务操作与数据库操作数据的关联设备一实施例中，所述计算装置，用于根据所述候选关联组的缩减后的出现次数和预设的匹配阈值基准，得到所述候选关联组的低于阀值命中数；根据所述候选关联组的缩减后的出现次数和低于阀值命中数，得到所述候选关联组的高于阀值命中数；根据所述候选关联组的低于阀值命中数和预设的得分上限，计算所述候选关联组的基础可信度；判断所述高于阀值命中数是否为0，若所述高于阀值命中数为0，将所述候选关联组的基础可信度作为该候选关联组的最终可信度。

本申请的业务操作与数据库操作数据的关联设备一实施例中，所述低于阀值命中数(lower_match_num)根据如下公式计算：

lower_match_num＝min(score_x,matches_thr)，

其中，score_x为所述候选关联组的缩减后的出现次数，matches_thr预设的匹配阈值基准。

本申请的业务操作与数据库操作数据的关联设备一实施例中，所述候选关联组的高于阀值命中数(upper_match_num)根据如下公式计算：

upper_match_num＝(score_x-lower_match_num)。

本申请的业务操作与数据库操作数据的关联设备一实施例中，所述基础可信度(reliability)根据如下公式计算：

reliability＝(lower_match_num*lower_match_num/top_score)，

其中，top_score为预设的得分上限。

本申请的业务操作与数据库操作数据的关联设备一实施例中，所述计算装置，还用于在判断所述高于阀值命中数是否为0之后，若所述高于阀值命中数不为0，根据预设的得分上限、所述预设的匹配阈值基准，得到所述候选关联组的高阀值命中比例；

根据所述候选关联组的基础可信度、高阀值命中比例、高于阀值命中

数和缩减后的出现次数，计算所述候选关联组的最终可信度。

本申请的业务操作与数据库操作数据的关联设备一实施例中，所述候选关联组的高阀值命中比例(upper_score)根据如下公式计算:

upper_score＝((top_score-matches_thr*matches_thr)/top_score)。

本申请的业务操作与数据库操作数据的关联设备一实施例中，所述候选关联组的最终可信度(final-reliability)根据如下公式计算：

finalr-eliability＝(reliability+

(up_score*upper_match_num/score_x))。

根据本申请的另一面，还提供一种基于计算的设备，其中，包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：

获取用户的业务操作和数据库操作数据，将所述业务操作和对应的数据库操作数据形成候选关联组；

获取所述候选关联组的出现次数，根据所述候选关联组的出现次数计算该候选关联组的最终可信度；

将所述最终可信度在预设阈值范围内的候选关联组作为筛选后的关联组。

上述设备部分实施例的具体内容可参见方法部分实施例的对应内容，具体不再赘述。

综上所述，本申请采用一种机器学习方法，在用户业务应用环境下获取用户的业务操作和数据库操作数据，实时学习与分析，整理实际业务操作与数据库操作数据，自动生成业务操作与数据库操作数据的映射规则即筛选后的关联组，然后在业务系统运行过程中继续不断的学习和分析，能够自动识别出业务操作与数据库操作数据的对应关系，动态更新映射规则即筛选后的关联组。本申请适用于大多数多层业务系统的审计工作，能有效识别操作与数据库操作数据之间的关联关系，进而用所述关联关系来审计业务。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

需要注意的是，本发明可在软件和/或软件与硬件的组合体中被实施，例如，可采用专用集成电路(asic)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中，本发明的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地，本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中，例如，ram存储器，磁或光驱动器或软磁盘及类似设备。另外，本发明的一些步骤或功能可采用硬件来实现，例如，作为与处理器配合从而执行各个步骤或功能的电路。

另外，本发明的一部分可被应用为计算机程序产品，例如计算机程序指令，当其被计算机执行时，通过该计算机的操作，可以调用或提供根据本发明的方法和/或技术方案。而调用本发明的方法的程序指令，可能被存储在固定的或可移动的记录介质中，和/或通过广播或其他信号承载媒体中的数据流而被传输，和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此，根据本发明的一个实施例包括一个装置，该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发该装置运行基于前述根据本发明的多个实施例的方法和/或技术方案。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。