本发明涉及数据库安全,特别是指一种基于用户sql特征行为分析的数据库防勒索方法及装置。
背景技术:
1、在数字化蓬勃发展的当下,数据库成为企业运营的核心要素,它承载着金融机构的财务数据、医疗机构的患者信息、电商平台的交易记录等关键业务资料,其安全与否直接决定企业兴衰。传统防护手段渐显无力,催生了基于用户sql特征建模的防勒索新方法。
2、传统安全防护体系涵盖ids(intrusion detection system,入侵检测系统)、ips(intrusion prevention system,入侵防御系统)、防病毒软件和防火墙等,曾在网络安全中发挥重要作用,但面对新型勒索软件攻击漏洞百出。ids和ips依赖已知攻击模式特征库检测网络流量特征,对利用sql(structured query language,结构化查询语言)逻辑漏洞的攻击识别乏力。此类攻击隐匿于正常sql操作中,网络流量与日常业务无异,轻易绕过监测,致传统设备无法有效拦截。如企业日常数据查询与恶意加密操作在流量特征上难区分,ids/ips无法精准甄别,给勒索软件可乘之机。
3、防病毒软件靠特征码查杀常见病毒恶意软件,面对加密混淆且藏于合法sql指令的勒索代码束手无策。其无法解析sql语义结构,难以识破恶意代码伪装,在新型威胁前被动挨打。像复杂多态的勒索软件变种,不断变换加密方式与指令组合,特征码检测如同大海捞针,防病毒软件难以及时响应防御。基于网络地址和端口限制的防火墙,仅在网络层粗粒度管控流量,无法洞察sql语句深层语义与用户意图。内部主机沦陷后,利用合法sql端口的定向攻击可突破防线,因防火墙不懂sql恶意逻辑,无法阻断恶意流量。如内部员工终端被控制发起数据库勒索攻击,防火墙无法依sql内容判断威胁,数据安全岌岌可危。
4、传统数据库管理中,dba手动审计sql操作日志效率低、易出错,难以满足大规模数据库实时监测需求。业务扩张与架构复杂使日志数据海量,人工审查缓慢易错,难捕捉异常,致数据库遇勒索攻击时防御滞后。如大型金融机构日交易频繁,dba难从海量日志中及时揪出异常sql加密指令,事后补救成本高昂,数据泄露损失惨重。
5、勒索软件开发者不断创新攻击策略,利用零日漏洞、多阶段攻击和加密混淆技术,让传统防护更艰难。零日漏洞攻击在厂商未知漏洞上突袭,防护软件无补丁应对;多阶段攻击分步渗透控制数据库,初期隐蔽性强;加密混淆技术增强恶意代码隐匿性,阻碍安全工具分析识别。这些手段组合,持续冲击传统防护底线,企业数据库安全形势严峻。综上,传统安全防护在勒索软件攻击下节节败退,企业亟需创新方案。
6、基于用户sql特征行为分析的方法,深入剖析sql行为模式,实时监测异常,有望填补传统防护空白,为数据库安全保驾护航,助企业在数字化浪潮中抵御勒索威胁,稳健发展业务,守护数据资产核心价值与运营连续性。
技术实现思路
1、为了解决现有技术存在的1、面对不同数据源的数据格式、协议以及访问权限的多样性,如何设计一套灵活且高效的适配机制,确保数据能顺利采集而不影响源系统性能;2、如何针对sql语言特性优化模型架构与参数,减少因sql与自然语言差异导致的语义理解偏差,提高对sql专业术语、函数及特殊符号的特征提取精度。3、如何提高模型泛化性,同时设计合理的模型评估指标,全面衡量模型在复杂攻击场景下的性能的技术问题,本发明实施例提供了一种基于用户sql特征行为分析的数据库防勒索方法及装置。所述技术方案如下:
2、一方面,提供了一种基于用户sql特征行为分析的数据库防勒索方法,该方法由数据库防勒索设备实现,该方法包括:
3、s1、利用多源数据汇聚算法、实时与历史结合算法和数据清洗与校验算法,构建sql数据集。
4、s2、根据预训练模型bert和语义匹配方法,从sql数据集中提取sql语句结构特征。
5、s3、根据sql语句结构特征训练基于transformer的用户sql行为模型,得到训练好的基于transformer的用户sql行为模型。
6、s4、通过监测引擎实时捕获用户对数据库执行的sql操作数据,提取sql操作数据的特征,将sql操作数据的特征输入到训练好的基于transformer的用户sql行为模型,得到数据库防勒索评估结果。
7、可选地,s1中的利用多源数据汇聚算法、实时与历史结合算法和数据清洗与校验算法,构建sql数据集,包括:
8、s11、利用多源数据汇聚算法,获取用户对数据库的sql操作数据。
9、s12、通过实时数据捕获算法,实时捕获新产生的sql操作数据;通过历史数据回溯算法,获取历史预设时间段内的sql操作数据。
10、s13、通过数据清洗与校验算法,对获取的sql操作数据进行清洗以及校验,得到sql数据集。
11、可选地,s11中的利用多源数据汇聚算法,获取用户对数据库的sql操作数据,包括:
12、s111、从数据库管理系统的日志文件中收集sql语句执行记录。
13、s112、通过网络数据包嗅探数据提取算法,提取网络数据包中的sql语句及sql语句的相关上下文信息。
14、s113、通过操作系统审计日志解析算法,筛选出审计日志中与数据库操作相关的事件,提取事件中的sql相关信息。
15、s114、通过在应用程序与数据库交互接口调用信息采集算法,收集应用程序与数据库交互过程中的信息。
16、可选地,s13中的通过数据清洗与校验算法,对获取的sql操作数据进行清洗以及校验,得到sql数据集,包括:
17、s131、定义过滤规则集,根据过滤规则集对获取的sql操作数据进行过滤,得到过滤后的数据。
18、s132、基于数据库中的元数据构建表结构关系图和数据类型层次结构,对过滤后的数据进行校验,得到sql数据集。
19、可选地,s2中的根据预训练模型bert和语义匹配方法,从数据集中提取sql语句结构特征,包括:
20、s21、利用预训练模型bert获取数据集中的单词隐藏层表示,并基于多头注意力机制的依存句法分析器识别关键字、表名、字段名及运算符间的依存关系。
21、s22、根据依存关系为树的边和节点分配权重,构建加权结构树。
22、s23、通过自适应时间窗口频率统计算法,根据sql操作频率的波动情况自动调整时间窗口大小和划分方式。
23、s24、通过数据访问模式特征提取算法,结合bert输出的语义匹配结果为路径节点和边添加语义标签,构建数据访问路径图。
24、s25、构建特征评估公式,用于衡量sql语句在关键维度的特征表现。
25、可选地,s23中的通过自适应时间窗口频率统计算法,根据sql操作频率的波动情况自动调整时间窗口大小和划分方式,包括:
26、当sql操作频率在稳定阶段时,使用大时间窗口以及基于大时间窗口的统计计算函数生成表征频率变化模式的特征向量。
27、当sql操作频率在非稳定阶段时,使用小时间窗口以及基于小时间窗口的统计计算函数生成表征频率变化模式的特征向量。
28、其中,自适应时间窗口频率统计算法,如下式(1)所示:
29、(1)
30、式中,表示用于表征频率变化模式的特征向量,表示基于大时间窗口的统计计算函数,表示大时间窗口,表示在时刻的sql操作频率,表示频率变化量,表示预设的频率突变判定阈值,表示基于小时间窗口的统计计算函数,表示小时间窗口,表示时间窗口大小。
31、可选地,s25中的特征评估公式,如下式(2)所示:
32、(2)
33、式中,表示结构特征综合度量值权重系数,表示结构特征综合度量值,表示操作频率特征汇总指标权重系数,表示操作频率特征汇总指标,表示涵盖数据访问模式的关键特征综合权重系数,表示涵盖数据访问模式的关键特征综合。
34、另一方面,提供了一种基于用户sql特征行为分析的数据库防勒索装置,该装置应用于基于用户sql特征行为分析的数据库防勒索方法,该装置包括:
35、数据采集模块,用于利用多源数据汇聚算法、实时与历史结合算法和数据清洗与校验算法,构建sql数据集。
36、提取模块,用于根据预训练模型bert和语义匹配方法,从sql数据集中提取sql语句结构特征。
37、训练模块,用于根据sql语句结构特征训练基于transformer的用户sql行为模型,得到训练好的基于transformer的用户sql行为模型。
38、输出模块,用于通过监测引擎实时捕获用户对数据库执行的sql操作数据,提取sql操作数据的特征,将sql操作数据的特征输入到训练好的基于transformer的用户sql行为模型,得到数据库防勒索评估结果。
39、可选地,数据采集模块,进一步用于:
40、s11、利用多源数据汇聚算法,获取用户对数据库的sql操作数据。
41、s12、通过实时数据捕获算法,实时捕获新产生的sql操作数据;通过历史数据回溯算法,获取历史预设时间段内的sql操作数据。
42、s13、通过数据清洗与校验算法,对获取的sql操作数据进行清洗以及校验,得到sql数据集。
43、可选地,数据采集模块,进一步用于:
44、s111、从数据库管理系统的日志文件中收集sql语句执行记录。
45、s112、通过网络数据包嗅探数据提取算法,提取网络数据包中的sql语句及sql语句的相关上下文信息。
46、s113、通过操作系统审计日志解析算法,筛选出审计日志中与数据库操作相关的事件,提取事件中的sql相关信息。
47、s114、通过在应用程序与数据库交互接口调用信息采集算法,收集应用程序与数据库交互过程中的信息。
48、可选地,数据采集模块,进一步用于:
49、s131、定义过滤规则集,根据过滤规则集对获取的sql操作数据进行过滤,得到过滤后的数据。
50、s132、基于数据库中的元数据构建表结构关系图和数据类型层次结构,对过滤后的数据进行校验,得到sql数据集。
51、可选地,提取模块,进一步用于:
52、s21、利用预训练模型bert获取数据集中的单词隐藏层表示,并基于多头注意力机制的依存句法分析器识别关键字、表名、字段名及运算符间的依存关系。
53、s22、根据依存关系为树的边和节点分配权重,构建加权结构树。
54、s23、通过自适应时间窗口频率统计算法,根据sql操作频率的波动情况自动调整时间窗口大小和划分方式。
55、s24、通过数据访问模式特征提取算法,结合bert输出的语义匹配结果为路径节点和边添加语义标签,构建数据访问路径图。
56、s25、构建特征评估公式,用于衡量sql语句在关键维度的特征表现。
57、可选地,提取模块,进一步用于:
58、当sql操作频率在稳定阶段时,使用大时间窗口以及基于大时间窗口的统计计算函数生成表征频率变化模式的特征向量。
59、当sql操作频率在非稳定阶段时,使用小时间窗口以及基于小时间窗口的统计计算函数生成表征频率变化模式的特征向量。
60、其中,自适应时间窗口频率统计算法,如下式(1)所示:
61、(1)
62、式中,表示用于表征频率变化模式的特征向量,表示基于大时间窗口的统计计算函数,表示大时间窗口,表示在时刻的sql操作频率,表示频率变化量,表示预设的频率突变判定阈值,表示基于小时间窗口的统计计算函数,表示小时间窗口,表示时间窗口大小。
63、可选地,特征评估公式,如下式(2)所示:
64、(2)
65、式中,表示结构特征综合度量值权重系数,表示结构特征综合度量值,表示操作频率特征汇总指标权重系数,表示操作频率特征汇总指标,表示涵盖数据访问模式的关键特征综合权重系数,表示涵盖数据访问模式的关键特征综合。
66、另一方面,提供一种数据库防勒索设备,所述数据库防勒索设备包括:处理器;存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,实现如上述基于用户sql特征行为分析的数据库防勒索方法中的任一项方法。
67、另一方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令,所述至少一条指令由处理器加载并执行以实现上述基于用户sql特征行为分析的数据库防勒索方法中的任一项方法。
68、本发明实施例提供的技术方案带来的有益效果至少包括:
69、本发明实施例中,针对现有技术在数据源整合上存在局限,常因数据源格式和协议不兼容,导致部分sql数据丢失或采集延迟,无法全面反映用户行为。本发明的多源数据汇聚算法具备强大兼容性与高效性,可无缝对接各类数据库架构及应用接口,确保sql语句及其上下文信息完整。精准捕捉所有用户数据库交互细节,为后续精准分析筑牢数据根基,避免因数据缺失造成的安全监测盲点。
70、针对现有技术在sql特征提取上多依赖简单语法解析或预定义规则,难以捕捉复杂语义和逻辑关系,致特征表达不全面不准确。本发明结合bert模型深度理解sql语义,精准提取语句结构、操作频率、数据访问模式等关键特征,如解析复杂嵌套查询与多表关联操作特征,全面刻画sql行为本质,为模型训练提供高区分度特征向量,显著提升勒索行为识别精度,降低误判业务操作风险。
71、针对现有模型训练方法在数据有限或不均衡时,模型易过拟合或欠拟合,泛化能力弱,难以应对多样化sql攻击场景。本发明借助无监督与半监督学习拓展训练数据利用方式,增强模型对sql行为模式学习能力,如从无标注数据中挖掘潜在行为规律,提升模型在不同业务场景与攻击类型下的适应性。