[发明专利]异常访问检测方法、装置和设备

权利要求书

1.一种异常访问检测方法，其特征在于，包括：

获取数据库的访问日志信息；

从所述访问日志信息中提取访问源地址信息；

获取可信任地址资源池中地址信息；

根据所述访问源地址信息与所述可信任地址资源池中的地址信息识别出所述访问源地址信息中的异常访问地址的信息；

根据所述异常访问地址对应的日志信息，确定异常行为事件的类型，所述异常行为事件的类型包括：绕行访问主机异常行为事件、绕行访问应用异常行为事件或绕行访问数据库异常事件；

确定各类型的异常行为事件发生的次数，以及所述异常访问地址对数据库关键表进行操作的方式，所述操作的方式包括：查询、增加、删除或修改操作；

整理出以所述异常访问地址对应的访问设备IP为主键的数据集合，所述数据集合包含所述各类型的异常行为事件发生的次数，以及所述异常访问地址对数据库关键表进行操作的方式对应的操作数量；

将每个所述访问设备IP作为聚类对象，异常访问地址对应的访问设备IP作为其唯一识别索引；

根据所述访问设备所属系统名称的类别数量选定聚类群组的数量为K，并且从所有所述访问设备IP数据中随机选择对应数量的IP数据作为聚类起始点；

运算所有所述访问设备IP数据距离所述聚类起始点数据的距离；

每个所述IP运算会得到距离K个聚类起始点的距离，选取最近的点作为该IP的新的分类；

重新计算每个分类的新的质心；

重新计算所有所述访问设备IP的分类，直到新的质心不再发生变化，确定出异常访问的行为；

根据所述异常访问地址和确定的异常操作行为进行异常访问预警。

2.如权利要求1所述的异常访问检测方法，其特征在于，所述数据库的访问日志信息包括：系统日志、中间件日志或数据库审计日志；

所述可信任地址资源池中的地址信息包括：

4A网段中的地址信息或合法业务互访问对象网段的地址信息。

3.如权利要求1所述的异常访问检测方法，其特征在于，当所述异常访问地址进行查询操作时，则获取所述查询操作返回的数据行数，若所述查询操作返回的数据行数大于预设的第一阈值，则确定为拖库行为。

4.如权利要求1所述的异常访问检测方法，其特征在于，当所述异常访问地址进行查询操作时，则获取所述查询操作单位时间内查询的数据表的数量，若所述查询操作单位时间内查询的数据表的数量大于预设的第二阈值，则确定为拖库行为。

5.如权利要求1所述的异常访问检测方法，其特征在于，当所述异常访问地址进行修改、增加或删除操作时，则分析中间件日志，若所述中间件日志中存在所述数据库的连接参数特征或数据库操作命令特征，则确定为预留后门事件。