[发明专利]一种构建三层关联关系模型的方法及三层关系识别方法

说明书

本发明提供了一种构建三层关联关系模型的方法，包括以下步骤：S1：提取记录用户访问情况的日志，并进行预处理；S2：对HTTP日志提取主体对象，得到HTTP请求，对HTTP请求和SQL日志中的SQL语句进行分解，并对分解后的HTTP请求和SQL语句分别进行匹配，存储匹配后的结构和参数；S3：基于时间顺序为每个HTTP请求结构匹配其后一段时间内发生的所有SQL结构，得到和序列；S4：基于关联规则算法计算得到HTTP请求和SQL语句的关联关系模型。本发明还提供了基于三层关联模型进行三层关系识别的方法。本发明的优点在于：基于时间序列和特征匹配构造关联关系模型；在统计的基础上挖掘请求和SQL的关系，提高识别的准确率；利用构建的模型对新的数据进行识别，时效性和准确性比较高。

技术领域

本发明涉及数据安全技术领域，尤其涉及一种构建三层关联关系模型的方法及三层关系识别方法。

背景技术

三层审计，是根据服务器的部署方式，即浏览器-服务器-数据库服务器命名的，将应用层审计数据与数据库层审计数据综合起来进行关联分析，从而将应用层操作准确对应的数据库层的操作，当发生安全事件时，根据关联审计记录的日志信息，可快速定位到网络中的责任人。

如何精准的识别三层关联成为数据库安全审计的重要任务；现有技术通过对系统进行改造，在访问页面的日志中留下水印，在数据库日志中也留下相关的水印，通过水印对比，识别出三层关联。然而在对系统进行改造的情况下，有可能影响系统的稳定性。

现有技术还存在通过监听web服务和数据库之间的通信，解析其通信内容进行关联匹配，该方式虽然不需要深入改造系统，但是需要对通信内容进行精确匹配，需要人工标记，不过很多请求数据中其实并没有和SQL类似的内容，而且监听操作也有一定的安全风险。

公开号为CN110990168A的发明专利申请请求公开一种三层关联信息的生成方法，其根据目标API将线程ID及对应的WEB访问数据包、数据库访问数据包和协议类型相关联，实现三层关联信息，然而基于ID进行关联的方式局限性较大，识别精度不高。

发明内容

本发明所要解决的技术问题在于提供一种无须对系统进行改造和监听，基于日志分析即可识别出精确率较高的三层关联关系。

本发明是通过以下技术方案解决上述技术问题的：一种构建三层关联关系模型的方法，包括以下步骤：

S1：提取记录用户访问情况的HTTP日志和记录数据库变化的SQL日志，并对提取的日志进行预处理；

S2：对HTTP日志提取主体对象，得到HTTP请求，对HTTP请求和SQL日志中的SQL语句进行分解，并对分解后的HTTP请求和SQL语句分别进行匹配，存储匹配后的结构和参数；

S3：基于时间顺序为每个HTTP请求结构匹配其后一段时间内发生的所有SQL结构，得到和序列；

S4：基于关联规则算法计算得到HTTP请求和SQL语句的关联关系模型，输出符合最小支持度和最小置信度要求的最长序列。

本发明在不进行系统改造的前提下，利用系统记录的日志进行三层关联审计，通过对系统语言的处理和分析简化数据规模，基于时间序列和特征匹配构造关联关系模型；在统计的基础上挖掘请求和SQL的关系，提高识别的准确率；利用构建的模型对新的数据进行识别，时效性和准确性比较高。

优选的，所述HTTP日志包括记录请求发生时间的时间戳、记录请求类型、url的request和记录请求中附带的详细信息的request body；所述SQL日志包括记录SQL发生时间的操作时间、记录数据库操作的SQL语句；

S1中所述的预处理为剔除掉不必要参与计算的记录，方法为：

对于HTTP日志，剔除掉不与数据库通信的请求；对于SQL日志，剔除掉操作时必然包括的操作记录。