一种基于人工智能的数据库异常访问检测方法及模型与流程

本发明涉及数据访问，具体的说是一种基于人工智能的数据库异常访问检测方法及模型。

背景技术：

1、安全是工业物联网数据库的基础，是评估数据库的重要指标。工业实时数据库中存放有大量关键设备运行和制造工艺数据，因此系统必须具备高可靠的安全策略以防止资料的泄露和损毁。传统数据库主要从系统安全性、数据安全性和网络安全性三个层次上设计系统安全控制策略。系统安全性主要是在系统级别上控制数据库的存取和使用机制，包括有效的用户名与口令、是否可以连接数据库、用户可以进行哪些系统操作等；数据安全性在数据库模式对象级别上控制数据库的存取和使用机制，即用户要对某个模式对象进行操作，必须要有操作的权限；网络安全性通过分发wallet、数字证书、ssl安全套接字和数据密钥等办法来保证数据库的网络传输安全性。传统数据库常用访问控制模块由用户账户/身份认证管理、权限和角色管理、用户资源限制、数据加密四部分组成：

2、a)用户账户/身份认证管理：数据库提供多种级别的数据库用户身份认证方式，包括系统、数据库、网络3种类型的身份认证方式；

3、b)权限和角色管理：通过管理权限和角色，限制用户对数据库的访问和操作；

4、c)用户资源限制：通过系统配置文件设置，限制用户对数据库资源的使用。例如，设置所有用户在同一时间连接数据库实例的最大连接数限制，设置一个用户在一小时内可以执行查询的次数等；

5、d)数据加密：通过数据加密来保证网络传输的安全性。

6、然而上述安全控制策略主要用于防止外部用户的非法数据获取，对于系统面临的内部合法用户非法使用或篡改数据的情况则无计可施。例如，对于银行系统内部柜员非法转移储户财产问题，现有数据库系统无法有效防范。

7、现有相关算法采用分类机器学习算法对用户访问模式进行正确/异常分类，主要存在两方面问题：其一，用户正常访问和异常访问模式之间数据量严重失衡，异常访问数据量要远远小于正常模式，这种正负样本比例失衡会导致访问检测模型更加倾向于判定某一条访问为正常，准确率较低；第二，在访问检测模型训练前，需要专家花费大量的精力对用户历史访问模式进行标注。

技术实现思路

1、本发明针对目前技术发展的需求和不足之处，为更好的防护来自数据库系统内部合法用户的非法数据访问和操作行为，提供一种基于人工智能的数据库异常访问检测方法及模型。

2、首先，本发明的一种基于人工智能的数据库异常访问检测方法，解决上述技术问题采用的技术方案如下：

3、一种基于人工智能的数据库异常访问检测方法，包括如下步骤：

4、抽取数据库中已有的用户正常访问记录，生成访问特征序列，并输入编码-解码神经网络模型进行迭代训练，达到预设条件后，完成编码-解码神经网络模型的训练；

5、在有用户访问请求传入时，首先将用户访问请求生成访问特征序列，随后将访问特征序列输入完成训练的编码-解码神经网络模型，编码-解码神经网络模型输出还原后的特征序列，再后对访问特征序列和还原后特征序列进行近似度比较，以判定当前用户访问请求是否正常，并在当前用户访问请求不正常时将访问请求记录加入异常访问黑名单；

6、当前用户不认同判定结果时，向超级管理员进行申诉；超级管理员接到申诉后，进行人工判定，超级管理员赞同用户申诉后，触发白名单事件，将本次被申诉的访问请求记录加入白名单列表。

7、可选的，抽取数据库中已有的用户正常访问记录，采用特征工程方法对抽取记录进行处理，进而生成访问特征序列；

8、生成的访问特征序列输入编码-解码神经网络模型时，编码器首先将输入的特征序列编码为一个定长的用户访问模式特征向量，解码器随后解码将该特征向量还原为一个特征序列；

9、完成编码-解码神经网络模型的训练后，对输入的访问特征序列和还原后的特征序列进行近似度比较，根据比较结果预设阈值。

10、进一步可选的，对访问特征序列和还原后特征序列进行近似度比较，

11、若近似度大于预设阈值，则认为当前用户请求符合过往查询模式，判定为正常，然后按照数据库系统原定路径允许用户进入下一步操作；

12、若近似度小于预设阈值，则认为当前用户请求与用户历史查询模式不同，将其判定为异常访问，然后将该次请求加入异常访问黑名单，同时，拒绝本次请求并返回异常信息给用户，若当前用户认为数据库系统误判其正常访问为异常，可向超级管理员提起申诉。

13、进一步可选的，超级管理员接到申诉后，在黑名单中查询获取对应的访问请求记录，若超级管理员赞同用户申诉，认为该判定结果属于误判时，在异常访问黑名单中删除该访问请求记录，随后触发白名单事件。

14、优选的，触发白名单事件后，抽取白名单列表中新加入的访问请求记录，生成访问特征序列，编码-解码神经网络模型利用该访问特征序列进行在线学习和更新。

15、其次，本发明的一种基于人工智能的数据库异常访问检测模型，解决上述技术问题采用的技术方案如下：

16、一种基于人工智能的数据库异常访问检测模型，其包括：

17、数据处理模块一，用于抽取数据库中已有的用户正常访问记录，生成访问特征序列；

18、训练模块，用于将生成的访问特征序列输入编码-解码神经网络模型进行迭代训练，训练结果达到预设条件后，输出完成训练的编码-解码神经网络模型；

19、数据处理模块二，用于获取用户的访问请求，生成访问特征序列，还用于将访问特征序列输入完成训练的编码-解码神经网络模型，完成训练的编码-解码神经网络模型输出还原后的特征序列；

20、比较判断模块，用于对访问特征序列和还原后特征序列进行近似度比较，以判定当前用户访问请求是否正常，并在当前用户访问请求不正常时将访问请求记录加入异常访问黑名单；

21、发起申诉模块，用于在当前用户不认同判定结果时，向超级管理员进行线上申诉；

22、申诉处理模块，用于接收用户提出的申诉，并在超级管理员赞同用户申诉后，触发白名单事件，将本次被申诉的访问请求记录加入白名单列表。

23、可选的，所涉及数据处理模块一抽取数据库中已有的用户正常访问记录，采用特征工程方法对抽取记录进行处理，进而生成访问特征序列；

24、训练模块将生成的访问特征序列输入编码-解码神经网络模型时，编码器首先将输入的特征序列编码为一个定长的用户访问模式特征向量，解码器随后解码将该特征向量还原为一个特征序列；

25、完成编码-解码神经网络模型的训练后，编码-解码神经网络模型调用比较判断模块对输入的访问特征序列和还原后的特征序列进行近似度比较，并根据比较结果预设阈值。

26、进一步可选的，所涉及比较判断模块对访问特征序列和还原后特征序列进行近似度比较，

27、若近似度大于预设阈值，则认为当前用户请求符合过往查询模式，判定为正常，然后按照数据库系统原定路径允许用户进入下一步操作；

28、若近似度小于预设阈值，则认为当前用户请求与用户历史查询模式不同，将其判定为异常访问，然后将该次请求加入异常访问黑名单，同时，拒绝本次请求并返回异常信息给用户，若当前用户认为数据库系统误判其正常访问为异常，则通过发起申诉模块向超级管理员提起申诉。

29、进一步可选的，所涉及超级管理员通过申诉处理模块接收申诉，并在黑名单中查询获取对应的访问请求记录，若超级管理员赞同用户申诉，认为该判定结果属于误判时，超级管理员进一步通过申诉处理模块在异常访问黑名单中删除该访问请求记录，并触发白名单事件，将本次被申诉的访问请求记录加入白名单列表。

30、进一步可选的，所涉及数据库异常访问检测模型还包括数据处理模块三和更新模块；

31、超级管理员通过申诉处理模块将本次被申诉的访问请求记录加入白名单列表后，通过数据处理模块三抽取白名单列表中新加入的访问请求记录，生成访问特征序列，更新模块利用该访问特征序列对编码-解码神经网络模型进行在线学习和更新。

32、本发明的一种基于人工智能的数据库异常访问检测方法及模型，与现有技术相比具有的有益效果是：

33、本发明采用编码-解码神经网络模型对用户正常历史访问模式进行学习，实现了对数据库用户访问模式的准确判定，并通过人工辅助二次判定和编码-解码神经网络模型的更新，进一步提升了整个方法的可用性和准确性，确保整个数据库系统访问处于安全状态。