CN105516211A - 基于行为模型对访问数据库行为进行识别的方法、设备和*** - Google Patents
基于行为模型对访问数据库行为进行识别的方法、设备和*** Download PDFInfo
- Publication number
- CN105516211A CN105516211A CN201610083848.4A CN201610083848A CN105516211A CN 105516211 A CN105516211 A CN 105516211A CN 201610083848 A CN201610083848 A CN 201610083848A CN 105516211 A CN105516211 A CN 105516211A
- Authority
- CN
- China
- Prior art keywords
- behavior
- accessing database
- database
- user
- accessing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于行为模型对访问数据库行为进行识别的方法和设备,包括:获取用户发送的数据库访问请求,并分析所述数据库访问请求的访问数据库行为特征;将所述访问数据库行为特征与预设的访问数据库行为模型中包含的行为特征进行匹配,所述访问数据库行为模型中包含不同用户访问数据库行为对应的行为特征;根据所述访问数据库行为特征,对访问数据库行为进行识别。在现有正向防护的基础之上,提出基于行为模型的安全防护方法,通过分析访问数据库行为特征实现对访问数据库行为进行识别,加强了对未知网络攻击行为的防御能力,实现对数据库的安全防护,有效提升网络防护的能力,提高网络防护的安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于行为模型对访问数据库行为进行识别的方法、设备和***。
背景技术
随着互联网技术的发展,互联网与人们的生产生活越来越紧密。为了保证用户在互联网平台上执行业务(包含访问数据库业务)的安全性,目前业内一般都采取正向防护的方式,即对于构建的业务***,采用各种安全防护策略,例如:防火墙ACL(访问控制列表;AccessControlList)准入控制;VPN(虚拟专用网络;VirtualPrivateNetwork)访问;IPSCVE检测;购买WAF防护的SQL注入等。
经研究发现,采用这种正向防护方式存在以下问题:
1、由于现有网络安全攻击大部分发生在应用层,采用正面防护的防护比例为50%,防护能力有限;
2、采用安全防护方式需要设置安全防护策略,而绝大多数的防护策略相对比较简单,无法满足各种各样的网络行为的需要,进而导致安全防护的效果比较差。
综上所述,亟需一种基于行为模型对访问数据库行为进行识别的方法,解决现有技术中安全防护能力有限的问题。
发明内容
有鉴于此,本发明实施例提供了一种基于行为模型对访问数据库行为进行识别的方法、设备和***,用于解决现有技术中安全防护能力有限的问题。
一种基于行为模型对访问数据库行为进行识别的方法,包括:
获取用户发送的数据库访问请求,并分析所述数据库访问请求的访问数据库行为特征;
将所述访问数据库行为特征与预设的访问数据库行为模型中包含的行为特征进行匹配,其中,所述访问数据库行为模型中包含不同用户访问数据库行为对应的行为特征;
根据所述访问数据库行为特征,对访问数据库行为进行识别。
一种基于行为模型对用户访问数据库行为进行识别的设备,包括:
获取单元,用于获取用户发送的数据库访问请求,并分析所述数据库访问请求的访问数据库行为特征;
匹配单元,用于将所述访问数据库行为特征与预设的访问数据库行为模型中包含的行为特征进行匹配,其中,所述访问数据库行为模型中包含不同用户访问数据库行为对应的行为特征;
识别单元,用于根据所述访问数据库行为特征,对访问数据库的行为进行识别。
本发明有益效果如下:
本发明实施例获取用户发送的数据库访问请求,并分析所述数据库访问请求的访问数据库行为特征;将所述访问数据库行为特征与预设的访问数据库行为模型中包含的行为特征进行匹配,所述访问数据库行为模型中包含不同用户访问数据库行为对应的行为特征;根据所述访问数据库行为特征,对访问数据库行为进行识别。在现有正向防护的基础之上,提出基于行为模型的安全防护方法,通过分析访问数据库行为特征实现对访问数据库行为进行识别,加强了对未知网络攻击行为的防御能力,实现对数据库的安全防护,有效提升网络防护的能力,提高网络防护的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于行为模型对访问数据行为进行识别的方法的流程示意图;
图2为本发明实施例提供的一种基于行为模型对用户登录进行识别的方法的流程示意图;
图3为本发明实施例提供的一种基于行为模型对用户登录进行识别的设备的结构示意图;
图4为本发明实施例提供的一种基于行为模型对访问数据行为进行识别的设备的结构示意图;
图5为本发明实施例提供的一种基于行为模型对用户登录进行识别的***的结构示意图。
具体实施方式
为了实现本发明的目的,本发明实施例提供了一种基于行为模型对访问数据行为进行识别的方法、设备和***,获取用户发送的数据库访问请求,并分析所述数据库访问请求的访问数据库行为特征;将所述访问数据库行为特征与预设的访问数据库行为模型中包含的行为特征进行匹配,所述访问数据库行为模型中包含不同用户访问数据库行为对应的行为特征;根据所述访问数据库行为特征,对访问数据库行为进行识别。在现有正向防护的基础之上,提出基于行为模型的安全防护方法,通过分析访问数据库行为特征实现对访问数据库行为进行识别,加强了对未知网络攻击行为的防御能力,实现对数据库的安全防护,有效提升网络防护的能力,提高网络防护的安全性。
下面结合说明书附图对本发明各个实施例作进一步地详细描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种基于行为模型对访问数据行为进行识别的方法的流程示意图。所述方法可以如下所示。
步骤101:获取用户发送的数据库访问请求,并分析所述数据库访问请求的访问数据库行为特征。
在步骤101中,对于用户发送的数据库访问请求,在获取到该数据库访问请求时,按照下述方式对获取到的数据库访问请求进行分析,以得到该数据库访问请求的访问数据库行为特征。
具体地,分析所述数据库访问请求的访问数据库行为特征,包括:
第一种形式:
通过SQL解码分析,确定所述数据访问请求中是否包含对用户账户信息的访问;
若确定所述数据访问请求中包含对用户账户信息的访问时,则确定所述数据库访问请求的访问数据库行为特征为访问用户账户信息。
第二种形式:
通过SQL解码分析,确定所述数据访问请求中是否包含对订单信息的访问;
若确定所述数据访问请求中包含对订单信息的访问时,则确定所述数据库访问请求的访问数据库行为特征为访问订单信息。
步骤102:将所述访问数据库行为特征与预设的访问数据库行为模型中包含的行为特征进行匹配。
其中,所述访问数据库行为模型中包含不同用户访问数据库行为对应的行为特征。
在步骤102中,预设的访问数据库行为模型可以通过以下方式建立访问数据库行为模型:
获取不同用户的历史访问数据库行为数据,其中,所述历史访问数据库行为数据中包含用户在访问数据库时的操作行为;
根据所述历史访问数据库行为数据中包含用户在访问数据库时的操作行为,确定用户访问数据库行为特征;
利用所述用户访问数据库行为特征,建立访问数据库行为模型,其中,不同的所述用户访问数据库行为特征对应的所述访问数据库行为模型不同。
其中,所述访问数据库行为模型至少包含以下一种行为模型:
访问用户账户信息行为模型,其中,所述访问用户账户信息行为模型对应的访问数据库行为特征中包含用户账户信息;
访问订单信息行为模型,其中,所述访问订单信息行为模型对应的访问数据库行为特征中包含订单信息。
具体地,根据步骤101中分析得到的行为特征与预设的访问数据库行为模型中的行为特征进行比较,确定与分析得到的行为特征相匹配的访问数据库行为模型中的行为特征。
步骤103:根据所述访问数据库行为特征,对访问数据库行为进行识别。
在步骤103中,根据所述访问数据库行为特征,确定访问数据库行为属于访问敏感数据行为,此时可以确定该访问数据库行为存在风险,并发出提示消息或者验证消息;根据所述访问数据库行为特征,确定访问数据库行为属于正常访问数据行为,此时可以确定该访问数据库行为存在风险较小,响应该数据库访问请求。
通过本发明实施例提供的技术方案,获取用户发送的数据库访问请求,并分析所述数据库访问请求的访问数据库行为特征;将所述访问数据库行为特征与预设的访问数据库行为模型中包含的行为特征进行匹配,所述访问数据库行为模型中包含不同用户访问数据库行为对应的行为特征;根据所述访问数据库行为特征,对访问数据库行为进行识别。在现有正向防护的基础之上,提出基于行为模型的安全防护方法,通过分析访问数据库行为特征实现对访问数据库行为进行识别,加强了对未知网络攻击行为的防御能力,实现对数据库的安全防护,有效提升网络防护的能力,提高网络防护的安全性。
图2为本发明实施例提供的一种基于行为模型对用户登录进行识别的方法的流程示意图。所述方法可以如下所示。
步骤201:获取用户发送的登录请求,并分析所述登录请求的行为特征。
在步骤201中,在网络***中增加业务安全监控平台,该业务监控平台可以采用流量镜像的方式获取用户通过网关设备访问互联网的行为数据,这里的行为数据包含用户发送的登录请求。
在获取到用户发送的登录请求时,启动对该登录请求的行为特征分析。
在对该登录请求的行为特征进行分析时,至少可以分析得到以下一种行为特征:
第一种情形:
获取用户发送的至少一个登录请求,并通过HTTP解码分析,判断在设定时间长度内用户发送的所述至少一个登录请求中是否包含同一个账户信息且登录结果是否为失败;
若确定在设定时间长度内用户发送的所述至少一个登录请求中是包含同一个账户信息且登录结果为失败时,将在设定时间长度内用户发送的所述至少一个登录请求中是包含同一个账户信息且登录结果为失败确定为所述至少一个登录请求的行为特征。
第二种情形:
获取用户发送的包含不同账户信息的登录请求,并通过HTTP解码分析,判断所述登录请求重复发送的次数;
若所述登录请求重复发送的次数大于设定阈值时,将重复发送登录请求的次数大于设定阈值确定为包含不同账户信息的登录请求的行为特征。
第三种情形:
获取用户发送的登录请求,其中,所述登录请求用于请求获取用户信息;
接收服务器发送的针对所述登录请求的返回消息,并通过HTTP解码分析返回的所述返回消息中是否包含用户的账户信息;
若所述返回消息中包含用户的账户信息时,将请求获取用户的账户信息确定为所述登录请求的行为特征。
第四种情形:
获取用户发送的登录请求,其中,所述登录请求用于请求对站点进行扫描;
通过HTTP解码分析所述登录请求对站点的扫描行为以及服务器侧的响应内容;
若分析结果为响应内容属于错误内容时,确定所述登录请求对站点的扫描行为为恶意扫描行为,则将响应内容属于错误内容确定为所述登录请求的行为特征。
步骤202:将所述行为特征与预设的行为模型中包含的行为特征进行匹配。
其中,所述行为模型中包含不同用户行为对应的行为特征。
在步骤202中,将步骤201中分析得到的行为特征与预设的行为模型中包含的行为特征进行匹配,以确定获取到的用户的登录请求所对应的行为模型。
本发明实施例中所记载的预设的行为模型可以通过以下方式建立:
获取不同用户的历史用户行为数据,其中,所述历史用户行为数据中包含用户登录行为数据;
根据所述历史用户行为数据中包含用户登录行为数据,确定所述用户登录行为数据中包含的行为特征;
利用所述行为特征,建立行为模型,其中,不同的所述行为特征对应的所述行为模型不同。
这样得到的行为模型至少包含以下一种行为模型:
1、恶意撞库行为模型,其中,所述恶意撞库行为模型的行为特征为重复发送的次数大于设定阈值。
具体地,所谓库是黑客最常用的窃取个人信息的手法,黑客通过收集网络上已泄露的用户名及密码信息到其他网站尝试批量登录,得到一批可以登录的用户账号及密码,并由此盗取更多的个人信息,业务监控平台安通过HTTP解码和数据模型关联方式,对用户行为数据进行分析以确定是否属于恶意撞库。
2、连续恶意登录行为模型,其中,所述连续恶意登录行为模型的行为特征为在设定时间长度内用户发送的所述至少一个登录请求中是包含同一个账户信息且登录结果为失败。
具体地,通过HTTP解码分析,定位同一账号是否发生连续登录失败的情形。
这里的设定时间长度可以根据实际需要确定,这里不做限定。
3、用户账户信息获取行为模型,其中,所述用户账户信息获取行为模型的行为特征为请求获取用户的账户信息。
这里的账户信息可以包含用户的电话号码信息、银行账户信息、不同登录网站的账户信息等,账户信息也可以理解为对用户来讲敏感性比较高的信息。
4、恶意扫描行为模型,其中,所述恶意扫描行为模型的行为特征为响应内容属于错误内容。
步骤203:根据匹配结果,对所述登录请求进行识别。
在步骤203中,若匹配结果为与预设的行为模型中包含的行为特征相同,则发送报警消息;
若匹配结果为与预设的行为模型中包含的行为特征不相同,则对所述登录请求进行处理。
在本发明的另一个实施例中,所述方法还包括:
获取用户发送的数据库访问请求,并分析所述数据库访问请求的访问数据库行为特征;
将所述访问数据库行为特征与预设的访问数据库行为模型中包含的行为特征进行匹配,其中,所述访问数据库行为模型中包含不同用户访问数据库行为对应的行为特征;
根据所述访问数据库行为特征,对访问数据库的行为进行识别。
具体地,分析所述数据库访问请求的访问数据库行为特征,包括:
通过SQL解码分析,确定所述数据访问请求中是否包含对用户账户信息的访问;
若确定所述数据访问请求中包含对用户账户信息的访问时,则确定所述数据库访问请求的访问数据库行为特征为访问用户账户信息。
具体地,分析所述数据库访问请求的访问数据库行为特征,包括:
通过SQL解码分析,确定所述数据访问请求中是否包含对订单信息的访问;
若确定所述数据访问请求中包含对订单信息的访问时,则确定所述数据库访问请求的访问数据库行为特征为访问订单信息。
通过本发明实施例所提供的技术方案,获取用户发送的登录请求,并分析所述登录请求的行为特征;将所述行为特征与预设的行为模型中包含的行为特征进行匹配,所述行为模型中包含不同用户行为对应的行为特征;根据匹配结果,对所述登录请求进行识别。在现有正向防护的基础之上,提出基于行为模型的安全防护方法,通过分析用户的登录行为的行为特征实现对该登录行为的识别,加强了对未知网络攻击行为的防御能力,实现对入网用户的识别和分类,有效提升网络防护的能力,提高网络防护的安全性。
图3为本发明实施例提供的一种基于行为模型对用户登录进行识别的设备的结构示意图。所述设备包括:获取单元31、匹配单元32和识别单元33,其中:
获取单元31,用于获取用户发送的登录请求,并分析所述登录请求的行为特征;
匹配单元32,用于将所述行为特征与预设的行为模型中包含的行为特征进行匹配,其中,所述行为模型中包含不同用户行为对应的行为特征;
识别单元33,用于根据匹配结果,对所述登录请求进行识别。
在本发明的另一实施例中,所述获取单元31获取用户发送的登录请求,并分析所述登录请求的行为特征,包括:
获取用户发送的至少一个登录请求,并通过HTTP解码分析,判断在设定时间长度内用户发送的所述至少一个登录请求中是否包含同一个账户信息且登录结果是否为失败;
若确定在设定时间长度内用户发送的所述至少一个登录请求中是包含同一个账户信息且登录结果为失败时,将在设定时间长度内用户发送的所述至少一个登录请求中是包含同一个账户信息且登录结果为失败确定为所述至少一个登录请求的行为特征。
在本发明的另一实施例中,所述获取单元31获取用户发送的登录请求,并分析所述登录请求的行为特征,包括:
获取用户发送的包含不同账户信息的登录请求,并通过HTTP解码分析,判断所述登录请求重复发送的次数;
若所述登录请求重复发送的次数大于设定阈值时,将重复发送登录请求的次数大于设定阈值确定为包含不同账户信息的登录请求的行为特征。
在本发明的另一实施例中,所述获取单元31获取用户发送的登录请求,并分析所述登录请求的行为特征,包括:
获取用户发送的登录请求,其中,所述登录请求用于请求获取用户信息;
接收服务器发送的针对所述登录请求的返回消息,并通过HTTP解码分析返回的所述返回消息中是否包含用户的账户信息;
若所述返回消息中包含用户的账户信息时,将请求获取用户的账户信息确定为所述登录请求的行为特征。
在本发明的另一实施例中,所述获取单元31获取用户发送的登录请求,并分析所述登录请求的行为特征,包括:
获取用户发送的登录请求,其中,所述登录请求用于请求对站点进行扫描;
通过HTTP解码分析所述登录请求对站点的扫描行为以及服务器侧的响应内容;
若分析结果为响应内容属于错误内容时,确定所述登录请求对站点的扫描行为为恶意扫描行为,则将响应内容属于错误内容确定为所述登录请求的行为特征。
在本发明的另一实施例中,所述设备包括:建立单元34,其中:
所述建立单元通过以下方式建立行为模型:
获取不同用户的历史用户行为数据,其中,所述历史用户行为数据中包含用户登录行为数据;
根据所述历史用户行为数据中包含用户登录行为数据,确定所述用户登录行为数据中包含的行为特征;
利用所述行为特征,建立行为模型,其中,不同的所述行为特征对应的所述行为模型不同。
在本发明的另一实施例中,所述行为模型至少包含以下一种行为模型:
恶意撞库行为模型,其中,所述恶意撞库行为模型的行为特征为重复发送的次数大于设定阈值;
连续恶意登录行为模型,其中,所述连续恶意登录行为模型的行为特征为在设定时间长度内用户发送的所述至少一个登录请求中是包含同一个账户信息且登录结果为失败;
用户账户信息获取行为模型,其中,所述用户账户信息获取行为模型的行为特征为请求获取用户的账户信息;
恶意扫描行为模型,其中,所述恶意扫描行为模型的行为特征为响应内容属于错误内容。
在本发明的另一实施例中,所述识别单元33根据匹配结果,对所述登录请求进行识别,包括:
若匹配结果为与预设的行为模型中包含的行为特征相同,则发送报警消息;
若匹配结果为与预设的行为模型中包含的行为特征不相同,则对所述登录请求进行处理。
在本发明的另一实施例中,所述设备还包括:数据库行为分析单元35,其中:
所述数据库行为分析单元35,用于获取用户发送的数据库访问请求,并分析所述数据库访问请求的访问数据库行为特征;
将所述访问数据库行为特征与预设的访问数据库行为模型中包含的行为特征进行匹配,其中,所述访问数据库行为模型中包含不同用户访问数据库行为对应的行为特征;
根据所述访问数据库行为特征,对访问数据库的行为进行识别。
在本发明的另一实施例中,所述数据库行为分析单元35分析所述数据库访问请求的访问数据库行为特征,包括:
通过SQL解码分析,确定所述数据访问请求中是否包含对用户账户信息的访问;
若确定所述数据访问请求中包含对用户账户信息的访问时,则确定所述数据库访问请求的访问数据库行为特征为访问用户账户信息。
在本发明的另一实施例中,所述数据库行为分析单元35分析所述数据库访问请求的访问数据库行为特征,包括:
通过SQL解码分析,确定所述数据访问请求中是否包含对订单信息的访问;
若确定所述数据访问请求中包含对订单信息的访问时,则确定所述数据库访问请求的访问数据库行为特征为访问订单信息。
需要说明的是,本发明实施例提供的识别设备可以通过软件方式实现,也可以通过硬件方式实现,这里不做具体限定。本发明实施例提供的识别设备在现有正向防护的基础之上,提出基于行为模型的安全防护方法,通过分析用户的登录行为的行为特征实现对该登录行为的识别,加强了对未知网络攻击行为的防御能力,实现对入网用户的识别和分类,有效提升网络防护的能力,提高网络防护的安全性。
图4为本发明实施例提供的一种基于行为模型对访问数据行为进行识别的设备的结构示意图。所述设备包括:获取单元41、匹配单元42和识别单元43,其中:
获取单元41,用于获取用户发送的数据库访问请求,并分析所述数据库访问请求的访问数据库行为特征;
匹配单元42,用于将所述访问数据库行为特征与预设的访问数据库行为模型中包含的行为特征进行匹配,其中,所述访问数据库行为模型中包含不同用户访问数据库行为对应的行为特征;
识别单元43,用于根据所述访问数据库行为特征,对访问数据库的行为进行识别。
在本发明的另一个实施例中,所述获取单元41分析所述数据库访问请求的访问数据库行为特征,包括:
通过SQL解码分析,确定所述数据访问请求中是否包含对用户账户信息的访问;
若确定所述数据访问请求中包含对用户账户信息的访问时,则确定所述数据库访问请求的访问数据库行为特征为访问用户账户信息。
在本发明的另一个实施例中,所述获取单元41分析所述数据库访问请求的访问数据库行为特征,包括:
通过SQL解码分析,确定所述数据访问请求中是否包含对订单信息的访问;
若确定所述数据访问请求中包含对订单信息的访问时,则确定所述数据库访问请求的访问数据库行为特征为访问订单信息。
在本发明的另一个实施例中,所述设备还包括:建立单元44,其中,所述建立单元44,用于通过以下方式建立访问数据库行为模型:
获取不同用户的历史访问数据库行为数据,其中,所述历史访问数据库行为数据中包含用户在访问数据库时的操作行为;
根据所述历史访问数据库行为数据中包含用户在访问数据库时的操作行为,确定用户访问数据库行为特征;
利用所述用户访问数据库行为特征,建立访问数据库行为模型,其中,不同的所述用户访问数据库行为特征对应的所述访问数据库行为模型不同。
在本发明的另一个实施例中,所述访问数据库行为模型至少包含以下一种行为模型:
访问用户账户信息行为模型,其中,所述访问用户账户信息行为模型对应的访问数据库行为特征中包含用户账户信息;
访问订单信息行为模型,其中,所述访问订单信息行为模型对应的访问数据库行为特征中包含订单信息。
需要说明的是,本发明实施例提供的识别设备可以通过软件方式实现,也可以通过硬件方式实现,这里不做具体限定。在现有正向防护的基础之上,提出基于行为模型的安全防护方法,通过分析访问数据库行为特征实现对访问数据库行为进行识别,加强了对未知网络攻击行为的防御能力,实现对数据库的安全防护,有效提升网络防护的能力,提高网络防护的安全性。
图5为本发明实施例中提供的一种基于行为模型对用户登录进行识别的***的结构示意图。该***包含业务监控平台。
该业务监控平台具备两个能力:
第一个能力:
获取用户发送的登录请求,并分析所述登录请求的行为特征;
将所述行为特征与预设的行为模型中包含的行为特征进行匹配,其中,所述行为模型中包含不同用户行为对应的行为特征;
根据匹配结果,对所述登录请求进行识别。
第二个能力:
获取用户发送的数据库访问请求,并分析所述数据库访问请求的访问数据库行为特征;
将所述访问数据库行为特征与预设的访问数据库行为模型中包含的行为特征进行匹配,其中,所述访问数据库行为模型中包含不同用户访问数据库行为对应的行为特征;
根据所述访问数据库行为特征,对访问数据库的行为进行识别。
本领域的技术人员应明白,本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种基于行为模型对访问数据库行为进行识别的方法,其特征在于,包括:
获取用户发送的数据库访问请求,并分析所述数据库访问请求的访问数据库行为特征;
将所述访问数据库行为特征与预设的访问数据库行为模型中包含的行为特征进行匹配,其中,所述访问数据库行为模型中包含不同用户访问数据库行为对应的行为特征;
根据所述访问数据库行为特征,对访问数据库行为进行识别。
2.如权利要求1所述的方法,其特征在于,分析所述数据库访问请求的访问数据库行为特征,包括:
通过SQL解码分析,确定所述数据访问请求中是否包含对用户账户信息的访问;
若确定所述数据访问请求中包含对用户账户信息的访问时,则确定所述数据库访问请求的访问数据库行为特征为访问用户账户信息。
3.如权利要求1所述的方法,其特征在于,分析所述数据库访问请求的访问数据库行为特征,包括:
通过SQL解码分析,确定所述数据访问请求中是否包含对订单信息的访问;
若确定所述数据访问请求中包含对订单信息的访问时,则确定所述数据库访问请求的访问数据库行为特征为访问订单信息。
4.如权利要求1所述的方法,其特征在于,通过以下方式建立访问数据库行为模型:
获取不同用户的历史访问数据库行为数据,其中,所述历史访问数据库行为数据中包含用户在访问数据库时的操作行为;
根据所述历史访问数据库行为数据中包含用户在访问数据库时的操作行为,确定用户访问数据库行为特征;
利用所述用户访问数据库行为特征,建立访问数据库行为模型,其中,不同的所述用户访问数据库行为特征对应的所述访问数据库行为模型不同。
5.如权利要求4所述的方法,其特征在于,所述访问数据库行为模型至少包含以下一种行为模型:
访问用户账户信息行为模型,其中,所述访问用户账户信息行为模型对应的访问数据库行为特征中包含用户账户信息;
访问订单信息行为模型,其中,所述访问订单信息行为模型对应的访问数据库行为特征中包含订单信息。
6.一种基于行为模型对访问数据库行为进行识别的设备,其特征在于,包括:
获取单元,用于获取用户发送的数据库访问请求,并分析所述数据库访问请求的访问数据库行为特征;
匹配单元,用于将所述访问数据库行为特征与预设的访问数据库行为模型中包含的行为特征进行匹配,其中,所述访问数据库行为模型中包含不同用户访问数据库行为对应的行为特征;
识别单元,用于根据所述访问数据库行为特征,对访问数据库的行为进行识别。
7.如权利要求6所述的设备,其特征在于,所述获取单元分析所述数据库访问请求的访问数据库行为特征,包括:
通过SQL解码分析,确定所述数据访问请求中是否包含对用户账户信息的访问;
若确定所述数据访问请求中包含对用户账户信息的访问时,则确定所述数据库访问请求的访问数据库行为特征为访问用户账户信息。
8.如权利要求7所述的设备,其特征在于,所述获取单元分析所述数据库访问请求的访问数据库行为特征,包括:
通过SQL解码分析,确定所述数据访问请求中是否包含对订单信息的访问;
若确定所述数据访问请求中包含对订单信息的访问时,则确定所述数据库访问请求的访问数据库行为特征为访问订单信息。
9.如权利要求6所述的设备,其特征在于,所述设备还包括:建立单元,其中,所述建立单元,用于通过以下方式建立访问数据库行为模型:
获取不同用户的历史访问数据库行为数据,其中,所述历史访问数据库行为数据中包含用户在访问数据库时的操作行为;
根据所述历史访问数据库行为数据中包含用户在访问数据库时的操作行为,确定用户访问数据库行为特征;
利用所述用户访问数据库行为特征,建立访问数据库行为模型,其中,不同的所述用户访问数据库行为特征对应的所述访问数据库行为模型不同。
10.如权利要求9所述的设备,其特征在于,所述访问数据库行为模型至少包含以下一种行为模型:
访问用户账户信息行为模型,其中,所述访问用户账户信息行为模型对应的访问数据库行为特征中包含用户账户信息;
访问订单信息行为模型,其中,所述访问订单信息行为模型对应的访问数据库行为特征中包含订单信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610083848.4A CN105516211A (zh) | 2016-02-06 | 2016-02-06 | 基于行为模型对访问数据库行为进行识别的方法、设备和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610083848.4A CN105516211A (zh) | 2016-02-06 | 2016-02-06 | 基于行为模型对访问数据库行为进行识别的方法、设备和*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105516211A true CN105516211A (zh) | 2016-04-20 |
Family
ID=55723846
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610083848.4A Pending CN105516211A (zh) | 2016-02-06 | 2016-02-06 | 基于行为模型对访问数据库行为进行识别的方法、设备和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105516211A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209862A (zh) * | 2016-07-14 | 2016-12-07 | 微梦创科网络科技(中国)有限公司 | 一种盗号防御实现方法及装置 |
| CN107294953A (zh) * | 2017-05-18 | 2017-10-24 | 深信服科技股份有限公司 | 攻击操作检测方法及装置 |
| CN107395553A (zh) * | 2016-05-17 | 2017-11-24 | 腾讯科技(深圳)有限公司 | 一种网络攻击的检测方法及装置 |
| CN107888574A (zh) * | 2017-10-27 | 2018-04-06 | 深信服科技股份有限公司 | 检测数据库风险的方法、服务器及存储介质 |
| CN108521435A (zh) * | 2018-07-06 | 2018-09-11 | 武汉思普崚技术有限公司 | 一种用户网络行为画像的方法及*** |
| CN109426700A (zh) * | 2017-08-28 | 2019-03-05 | 腾讯科技(北京)有限公司 | 数据处理方法、装置、存储介质和电子装置 |
| CN110457897A (zh) * | 2019-07-17 | 2019-11-15 | 福建龙田网络科技有限公司 | 一种基于通信协议与sql语法的数据库安全检测方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101448007A (zh) * | 2008-12-31 | 2009-06-03 | 中国电力科学研究院 | 一种结构化查询语言sql攻击防御*** |
| CN101789887A (zh) * | 2009-12-25 | 2010-07-28 | 成都市华为赛门铁克科技有限公司 | 网络用户分类方法、装置和网络业务监控*** |
| CN103281341A (zh) * | 2013-06-27 | 2013-09-04 | 福建伊时代信息科技股份有限公司 | 网络事件处理方法及装置 |
| CN104361035A (zh) * | 2014-10-27 | 2015-02-18 | 深信服网络科技(深圳)有限公司 | 检测数据库篡改行为的方法及装置 |
| CN104410533A (zh) * | 2014-12-17 | 2015-03-11 | 乐山师范学院 | 网络用户行为识别*** |
-
2016
- 2016-02-06 CN CN201610083848.4A patent/CN105516211A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101448007A (zh) * | 2008-12-31 | 2009-06-03 | 中国电力科学研究院 | 一种结构化查询语言sql攻击防御*** |
| CN101789887A (zh) * | 2009-12-25 | 2010-07-28 | 成都市华为赛门铁克科技有限公司 | 网络用户分类方法、装置和网络业务监控*** |
| CN103281341A (zh) * | 2013-06-27 | 2013-09-04 | 福建伊时代信息科技股份有限公司 | 网络事件处理方法及装置 |
| CN104361035A (zh) * | 2014-10-27 | 2015-02-18 | 深信服网络科技(深圳)有限公司 | 检测数据库篡改行为的方法及装置 |
| CN104410533A (zh) * | 2014-12-17 | 2015-03-11 | 乐山师范学院 | 网络用户行为识别*** |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107395553A (zh) * | 2016-05-17 | 2017-11-24 | 腾讯科技(深圳)有限公司 | 一种网络攻击的检测方法及装置 |
| CN106209862A (zh) * | 2016-07-14 | 2016-12-07 | 微梦创科网络科技(中国)有限公司 | 一种盗号防御实现方法及装置 |
| CN107294953A (zh) * | 2017-05-18 | 2017-10-24 | 深信服科技股份有限公司 | 攻击操作检测方法及装置 |
| CN109426700A (zh) * | 2017-08-28 | 2019-03-05 | 腾讯科技(北京)有限公司 | 数据处理方法、装置、存储介质和电子装置 |
| CN107888574A (zh) * | 2017-10-27 | 2018-04-06 | 深信服科技股份有限公司 | 检测数据库风险的方法、服务器及存储介质 |
| CN107888574B (zh) * | 2017-10-27 | 2020-08-14 | 深信服科技股份有限公司 | 检测数据库风险的方法、服务器及存储介质 |
| CN108521435A (zh) * | 2018-07-06 | 2018-09-11 | 武汉思普崚技术有限公司 | 一种用户网络行为画像的方法及*** |
| CN110457897A (zh) * | 2019-07-17 | 2019-11-15 | 福建龙田网络科技有限公司 | 一种基于通信协议与sql语法的数据库安全检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105763548A (zh) | 基于行为模型对用户登录进行识别的方法、设备和*** | |
| CN105516211A (zh) | 基于行为模型对访问数据库行为进行识别的方法、设备和*** | |
| CN107046550B (zh) | 一种异常登录行为的检测方法及装置 | |
| US10721245B2 (en) | Method and device for automatically verifying security event | |
| CN107809433B (zh) | 资产管理方法及装置 | |
| US9967265B1 (en) | Detecting malicious online activities using event stream processing over a graph database | |
| CN105939326B (zh) | 处理报文的方法及装置 | |
| CN103593609B (zh) | 一种可信行为识别的方法和装置 | |
| CN112787992A (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
| JP2016046654A (ja) | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム | |
| CN108282440A (zh) | 一种安全检测方法、安全检测装置及服务器 | |
| US20210234877A1 (en) | Proactively protecting service endpoints based on deep learning of user location and access patterns | |
| CN103248472A (zh) | 一种处理操作请求的方法、***以及攻击识别装置 | |
| CN109753796B (zh) | 一种大数据计算机网络安全防护装置及使用方法 | |
| CN107426196A (zh) | 一种识别web入侵的方法及*** | |
| CN105959294B (zh) | 一种恶意域名鉴别方法及装置 | |
| CN112688930A (zh) | 暴力破解检测方法、***、设备及介质 | |
| CN115189937A (zh) | 一种用于客户端数据的安全防护方法及装置 | |
| CN112231679B (zh) | 一种终端设备验证方法、装置及存储介质 | |
| CN107888576B (zh) | 一种利用大数据与设备指纹的防撞库安全风险控制方法 | |
| Kumar et al. | Detection and prevention of profile cloning in online social networks | |
| CN112272176A (zh) | 一种基于大数据平台的网络安全防护方法及*** | |
| KR101576993B1 (ko) | 캡차를 이용한 아이디도용 차단방법 및 차단 시스템 | |
| CN111723364A (zh) | 撞库检测方法、装置、计算机设备和存储介质 | |
| CN105912945A (zh) | 一种操作***安全加固装置及运行方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160420 |
|
| RJ01 | Rejection of invention patent application after publication |