[发明专利]用于评估数据访问语句的安全性的方法和装置

说明书

技术领域

本发明的各实施方式涉及数据库，更具体地，涉及用于评估数据访问语句的安全性的方法和装置。

背景技术

随着计算机硬件技术以及软件技术的发展，数据库系统已经能够向广大用户提供越来越大的数据存储能力，并且对于这些数据库系统的访问安全性也有了极大的提高。目前，随着诸如银行、保险等企业的网络办公自动化，其中存储有广大用户的敏感信息的数据库系统已经成为重点保护对象。目前已经开发出基于数据挖掘技术，通过分析对数据库进行访问的结构化查询语言(Structured Query Language，SQL)语句的安全等级，以便确保数据库安全的方法，目前这些方法已经能够检测单独SQL语句的安全性威胁。

随着数据库的日益复杂，单独的SQL语句往往不能满足用户的查询需求，并且目前在对数据库进行访问期间通常会涉及到多个SQL语句。基于历史经验可知，尽管某些单独的SQL语句对于数据库中的敏感信息可能并不存在风险(或者风险较低)，然而当在一个会话中所涉及的多个SQL语句相结合时，则有可能产生严重的安全隐患。

现有的安全保障措施并不能评估SQL语句序列对于数据库的潜在风险，因而，如何评估包括多个SQL语句的序列的安全性成为目前数据库领域中的一个研究重点。

发明内容

因而，期望开发出一种能够评估包括多个SQL语句的会话的风险的技术方案，期望该技术方案能够在充分考虑到该会话中的每个单独SQL语句的潜在风险评级的同时，将多个单独的SQL语句进行结合，并且从整体上评价该会话的潜在风险。进一步，期望能够从历史会话中提取评估标准，并基于该标准来处理未来对数据库系统进行访问的会话。例如根据该评估标准来针对会话来采取相应的动作(例如，允许该会话、禁止该会话或者发出警报等)，进而提高数据库系统的安全性。

根据本发明的一个方面，提供了一种用于评估数据访问语句的安全性的方法，包括：评估对数据库进行访问的多个会话中包括的多个SQL语句的危害度；从多个会话生成危害项集(critical item set)，危害项集中的每个元素指示在一个会话中包括的一个或者多个SQL语句；从危害项集提取至少一个关联规则，至少一个关联规则中的每个关联规则指示在一个会话中包括的SQL语句的序列；以及计算至少一个关联规则中的每个关联规则的危害度。

在本发明的一个实施方式中，进一步包括：根据至少一个关联规则中的每个关联规则的危害度，将至少一个关联规则进行排序；以及根据排序来指定对应于至少一个关联规则中的每个关联规则的安全策略。

在本发明的一个实施方式中，进一步包括：响应于接收到对数据库进行访问的当前会话，在至少一个关联规则中搜索与当前会话相匹配的关联规则；以及基于对应于相匹配的关联规则的安全策略，处理当前会话。

在本发明的一个实施方式中，提供了一种用于评估数据访问语句的安全性的装置，包括：评估模块，配置用于评估对数据库进行访问的多个会话中包括的多个SQL语句的危害度；生成模块，配置用于从多个会话生成危害项集，危害项集中的每个元素指示在一个会话中包括的一个或者多个SQL语句；提取模块，配置用于从危害项集提取至少一个关联规则，至少一个关联规则中的每个关联规则指示在一个会话中包括的SQL语句的序列；以及计算模块，配置用于计算至少一个关联规则中的每个关联规则的危害度。

在本发明的一个实施方式中，进一步包括：排序模块，配置用于根据至少一个关联规则中的每个关联规则的危害度，将至少一个关联规则进行排序；以及指定模块，配置用于根据排序来指定对应于至少一个关联规则中的每个关联规则的安全策略。

在本发明的一个实施方式中，进一步包括：搜索模块，配置用于响应于接收到对数据库进行访问的当前会话，在至少一个关联规则中搜索与当前会话相匹配的关联规则；以及处理模块，配置用于基于对应于相匹配的关联规则的安全策略，处理当前会话。

采用本发明的各个实施方式所述的技术方案，可以充分考虑到一个会话中的多个SQL语句之间的关系，从历史会话中提取关联规则，并计算关联规则对于数据库系统的风险等级，以便作为对数据库系统进行的后续访问的安全规则。进一步，还可以根据关联规则的危害度来设置相应的安全策略，以便处理未来的会话。采用本发明的技术方案，可以基于历史数据来预期未来的数据访问会话的安全等级，进而提高数据库系统的安全性。

附图说明