[发明专利]基于数据库流量日志的低频数据泄漏检测方法及系统

权利要求书

1.一种基于数据库流量日志的低频数据泄漏检测方法，其特征在于，将同一源IP地址对应相同的源端口及相同时间所产生的操作行为定义为同一用户操作行为；方法包括以下步骤：

S1.采集数据库的流量数据，并进行解析，得到每个用户的基本信息，形成表1；

S2.进行敏感数据配置，基于表1，构建敏感字段标签，至少得到每个用户每次操作过程中的敏感行为特征，以及每个敏感行为特征对应的行为数据，形成表2；

S3.构建用户行为特征，基于表2，至少得到每个用户所有操作中每个行为特征下的行为数据总和，形成表3；

S4.利用Kmeans算法进行聚类，基于表3,采用Kmeans聚类算法，将行为数据一致的若干群体归为一类；

S5.构建用户操作表行为特征，根据表2，进行SQL数据解析，结合敏感行为特征，构建每个用户操作表行为特征，操作表行为特征中赋值0表示操作记录中没有发现敏感行为特征，赋值1表示操作记录中发现敏感行为特征；

S6.将所述操作表行为特征按照聚类类别采用Fp_growth算法进行学习，针对每个聚类类别均学习出一组行为序列树，结合行为序列树，计算每个用户的操作表行为特征的置信度和支持度；

S7.挖掘低频数据泄露数据，将步骤S6中的置信度和支持度小于阈值的操作表行为特征定义为异常记录，然后在异常记录中找出有敏感操作的记录，记为疑似低频的数据泄露数据。

2.根据权利要求1所述的一种基于数据库流量日志的低频数据泄漏检测方法，其特征在于，所述表1中所包含的数据至少包括源IP地址、源端口、目的IP地址、目的端口、传输层协议、流量大小、执行语句、影响行数、返回结果。

3.根据权利要求2所述的一种基于数据库流量日志的低频数据泄漏检测方法，其特征在于，所述步骤S2中，通过正则表达式对敏感数据进行匹配，得到敏感字段标签至少包括执行语句、返回结果、手机号数量、身份证数量，构成所述表2。

4.一种基于数据库流量日志的低频数据泄漏检测系统，其特征在于，将同一源IP地址对应相同的源端口及相同时间所产生的操作行为定义为同一用户操作行为；系统包括：

数据采集模块，采集数据库的流量数据，并进行解析，得到每个用户的基本信息，形成表1；

敏感数据配置模块，基于表1，构建敏感字段标签，至少得到每个用户每次操作过程中的敏感行为特征，以及每个敏感行为特征对应的行为数据，形成表2；

构建用户行为特征模块，基于表2，至少得到每个用户所有操作中每个行为特征下的行为数据总和，形成表3；

聚类模块，利用Kmeans算法进行聚类，基于表3,采用Kmeans聚类算法，将行为数据一致的若干群体归为一类；

构建用户操作表行为特征模块，根据表2，进行SQL数据解析，结合敏感行为特征，构建每个用户操作表行为特征，操作表行为特征中赋值0表示操作记录中没有发现敏感行为特征，赋值1表示操作记录中发现敏感行为特征；

Fp_growth算法学习模块，将所述操作表行为特征按照聚类类别采用Fp_growth算法进行学习，针对每个聚类类别均学习出一组行为序列树，结合行为序列树，计算每个用户的操作表行为特征的置信度和支持度；

挖掘低频数据泄露数据模块，将Fp_growth算法学习模块中的置信度和支持度小于阈值的操作表行为特征定义为异常记录，然后在异常记录中找出有敏感操作的记录，记为疑似低频的数据泄露数据。

5.根据权利要求4所述的一种基于数据库流量日志的低频数据泄漏检测系统，其特征在于，所述表1中所包含的数据至少包括源IP地址、源端口、目的IP地址、目的端口、传输层协议、流量大小、执行语句、影响行数、返回结果。

6.根据权利要求5所述的一种基于数据库流量日志的低频数据泄漏检测系统，其特征在于，所述敏感数据配置模块中，通过正则表达式对敏感数据进行匹配，得到敏感字段标签至少包括源IP地址、源端口、目的IP地址、执行语句、返回结果、手机号数量、身份证数量，构成所述表2。