[发明专利]一种基于日志分析的数据库三层关联的识别方法

说明书

本发明提供了一种基于日志分析的数据库三层关联的识别方法，通过对request日志和sql日志进行筛选和处理，通过时间窗口特征获得主体对象的相关率，并结合参数相关值确定三层关联关系。本发明提供的基于日志分析的数据库三层关联的识别方法的优点在于：仅通过对request和sql日志进行分析，就能精准识别出数据库的三层关联，不需要对系统进行改造，成本较低，在得到表K后能够对现有日志进行三层关联识别，对新的日志进行三层关联的预测，而且本发明提供的方法是根据历史数据不断更新的，能够不断学习，随着数据样本越来越多，识别的准确性也越来越高；通过参数的相关值和主体对象的相关率综合考虑关联性排序，识别结果准确。

技术领域

本发明涉及数据安全技术领域，尤其涉及一种基于日志分析的数据库三层关联的识别方法。

背景技术

数据库的三层关联主要是指前台访问日志和数据库记录日志的关系。构建起有效的三层关系，可以对应用操作进行有效的溯源，可以找出数据泄露的前台页面等等。所以如何精准的识别三层关联成为数据库安全审计的重要任务；现有的技术大多数是基于HOOK技术(钩子函数)实现三层关联的识别的，即通过对系统进行改造，在访问页面的日志中留下水印，在数据库日志中也留下相关的水印，通过水印对比，识别出三层关联。使用此类方法，的确可以提高识别的精准度，但是对系统进行改造工作非常耗时，尤其是一些并发性强的系统，改造难度大，而且实现起来还对生产系统产生负面效果。

公开号为CN110990168A的发明专利申请请求公开一种三层关联信息的生成方法，其根据目标API将线程ID及对应的WEB访问数据包、数据库访问数据包和协议类型相关联，实现三层关联信息，但是其只能针对已经存在的数据查找关联，无法对新数据预测识别，而且基于ID进行关联的方式局限性较大，识别精度不高。

发明内容

本发明所要解决的技术问题在于提供一种无须对系统进行改造，基于日志分析即可精确识别三层关联关系的识别方法。

本发明是通过以下技术方案解决上述技术问题的：一种基于日志分析的数据库三层关联识别方法，包括以下步骤：

步骤1：提取总时长为t_总的时间段内的前台操作日志request日志和数据库操作日志sql日志，定义表K为空表；

步骤2：基于操作请求的类别剔除无关操作请求；

步骤3：将request日志和sql日志中的参数移除，提取去参后的request日志主体对象和sql日志主体对象；

步骤4：以固定的时间间隔将时长为t_总的日志数据划分为连续的时间段，统计request日志主体对象和sql日志主体对象在每个时间段的操作次数得到表T；

步骤5：计算request日志主体对象与sql日志主体对象的相关率；

步骤6：重复步骤4-5，以多种预设的时间间隔划分时间轴，获取不同时间间隔下的每一个request日志主体对象与每一个sql日志主体对象的相关率，保留相关率最大值，记录总时长t_总，得到表G；

步骤7：如果表K为空表，则令表K＝表G；执行步骤8，否则直接执行步骤8；

步骤8：根据表G和表K的内容更新每个request日志主体对象与每个sql日志主体对象的相关率，并将结果更新到表K中；；

步骤9：在待预测数据的request日志中，解析传递参数，提取请求内容中符合“＝*”匹配的参数；在sql日志中，提取sql语句中符合“＝*”匹配的参数；

步骤10：基于步骤9提取的参数，计算参数相关值；