一种银行数据库系统入侵检测方法及系统与流程

本发明涉及数据处理，具体涉及一种银行数据库系统入侵检测方法及系统。

背景技术：

1、金融行业的数据安全性对于银行数据库系统尤为重要。用户行为异常检测系统模型ubad可以识别和检测异常行为，保障金融行业的数据安全，防止内部或外部的恶意行为。用户行为异常检测系统模型ubad（user behavior abnormality detection）可以基于用户行为进行分析，监测用户活动、识别与正常行为不符的异常行为，所以，响应迅速，可以快速识别和阻止潜在的系统入侵。

2、在使用用户行为异常检测系统模型ubad对用户进行行为分析时，通常会采用fp-growth关联规则算法对系统中用户的行为模式进行深度挖掘，获取每个用户的行为模式，然后通过对用户当前行为模式和历史行为模式进行对比，判断用户的行为是否异常。但是，银行的业务面向不同的用户群体，不同用户的业务需求也在动态的实时变化，使用现有的关联规则算法时，固定的最小支持度和最小可信度难以适应银行数据库中用户的行为模式变化，导致用户的行为模式挖掘更新较慢，使银行数据库系统入侵检测不准确。

技术实现思路

1、本发明提供一种银行数据库系统入侵检测方法及系统，以解决用户需求不同且业务需求动态变化使用户的行为模式挖掘更新缓慢，导致银行数据库系统入侵检测不准确的问题，所采用的技术方案具体如下：

2、第一方面，本发明一个实施例提供了一种银行数据库系统入侵检测方法，该方法包括以下步骤：

3、采集用户的行为数据，根据用户的行为数据设定用户在当天的最小支持度的初始设置值和最小可信度的初始设置值；

4、根据用户一天的行为数据，构建用户一天的fp树，根据用户一天的fp树的所有叶子节点的深度，获取fp树对应的用户和时间的模式单一程度，根据用户一个自然月的行为数据，构建用户一个自然月的fp树，根据用户一个自然月的fp树，构建条件fp树，根据用户一天的fp树，构建条件fp树，根据条件fp树，确定整体关联性信息比，确定相似数据信息比，进而获取用户在每一天的当月相似性，根据用户在当日的行为数据数量、模式单一程度和当月相似性，获取用户在当日的修正模式单一程度；

5、获取当日的近邻日期，根据当日的所有近邻日期的修正模式单一程度，获取当日的差异模式单一程度，根据用户在当日的修正模式单一程度、差异模式单一程度和最小支持度的初始设置值，获取调整最小支持度，根据用户在当日的修正模式单一程度、差异模式单一程度和最小可信度的初始设置值，获取调整最小可信度，根据调整最小支持度和调整最小可信度，对每个用户进行异常行为识别，实现对银行数据库的入侵检测。

6、进一步，所述根据用户一天的fp树的所有叶子节点的深度，获取fp树对应的用户和时间的模式单一程度的方法为：

7、将用户当天的fp树所有叶子节点的平均深度和所有叶子节点的深度的标准差的乘积的线性归一化值，记为用户当天的模式单一程度。

8、进一步，所述获取用户在每一天的当月相似性的获取方法为：

9、

10、式中，表示用户在时间的当月相似性；表示用户在时间所在的自然月的fp树构建的条件fp树中包含的节点数量；表示用户在时间所在的自然月的fp树构建的条件fp树和根据用户在时间的fp树构建的条件fp树中，包含的相同节点的数量；表示用户在时间的fp树构建的条件fp树中包含的节点数量；表示第一调节系数；表示时间所在的自然月包含的天数。

11、进一步，所述根据用户在当日的行为数据数量、模式单一程度和当月相似性，获取用户在当日的修正模式单一程度的获取方法为：

12、将以自然常数为底数，以用户在当天的行为数据数量为指数的幂，记为模式单一调整度，将模式单一调整度与用户在当天的模式单一程度和当月相似性的乘积，记为用户在当日的修正模式单一程度。

13、进一步，所述获取当日的近邻日期的方法为：

14、将当日之前的相邻预设阈值天记为当日的近邻日期。

15、进一步，所述获取当日的差异模式单一程度的方法为：

16、将当日的近邻日期中每一天的修正模式单一程度与当日的修正模式单一程度的差值的绝对值的均值记为当日的差异模式单一程度。

17、进一步，所述调整最小支持度的方法为：

18、将以自然常数为底数，以当日的差异模式单一程度的相反数为指数的幂，记为当日的调整比值，将当日的调整比值与当日的修正模式单一程度的乘积，记为当日的调整系数；

19、将当日的调整系数与第一调节系数的和与当日的最小支持度的初始设置值的乘积的取整值，记为当日的调整最小支持度。

20、进一步，所述调整最小可信度的方法为：

21、将当日的调整系数的归一化值与最小可信度调节参数的乘积与最小可信度的初始设置值的和，记为当日的调整最小可信度。

22、进一步，所述根据调整最小支持度和调整最小可信度，对每个用户进行异常行为识别，实现对银行数据库的入侵检测的方法为：

23、将用户在当天的调整最小支持度作为最小支持度的取值，将用户在当天的调整最小可信度作为最小可信度的取值，使用fp-growth算法对系统中对应用户的行为模式进行挖掘，获取每个用户的行为模式；

24、将用户的行为模式输入孤立森林异常监测算法，进行用户的异常行为识别，将检测出的异常行为认为是对银行数据库的入侵行为，实现对银行数据库的入侵检测。

25、第二方面，本发明实施例还提供了一种银行数据库系统入侵检测系统，包括存储器、处理器以及存储在所述存储器中并在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述任意一项所述方法的步骤。

26、本发明的有益效果是：

27、本发明从每日的行为数据入手进行分析，对用户每日的行为模式进行评价，获取模式单一程度，为了避免用户的行为模式分析陷入局部的行为模式分析，在不同尺度下对用户的行为模式进行比较分析，获取用户在每一天的当月相似性，从而根据当月相似性对模式单一程度进行修正，获取用户在当日的修正模式单一程度，避免局部的行为数据波动导致的单日行为专一程度失真，提升用户的行为模式分析的准确性；根据相邻日期的修正模式单一程度，获取差异模式单一程度，实现对用户短期内行为变化的评价，便于后续对异常程度较大的用户的行为数据进行更为详细地分析，在保证用户行为模型准确性的前提下，减少用户异常行为识别的数据量和计算量，提高用户的异常行为识别的效率；然后，根据差异模式单一程度和修正模式单一程度分别对最小支持度的初始设置值和最小可信度的初始设置值进行修正，获取调整最小支持度和调整最小可信度，根据调整最小支持度和调整最小可信度，使用fp-growth算法对每个用户进行异常行为识别，可生成更适合用于异常行为识别的用户行为数据，从而更好地进行用户的异常行为识别，实现对银行数据库的入侵检测，解决用户需求不同且业务需求动态变化使用户的行为模式挖掘更新缓慢，导致银行数据库系统入侵检测不准确的问题。