面向數(shù)據(jù)庫訪問的用戶行為異常檢測與評估.pdf

1、近年來，隨著信息販賣黑色產(chǎn)業(yè)鏈的興起，數(shù)據(jù)安全形勢日益嚴峻，數(shù)據(jù)泄露、數(shù)據(jù)篡改和損毀等數(shù)據(jù)安全事件頻發(fā)。在數(shù)據(jù)安全威脅中，來自內(nèi)部的攻擊是數(shù)據(jù)庫安全審計技術(shù)尤其要解決的重點和難點。
　　為應(yīng)對內(nèi)部攻擊，面向數(shù)據(jù)庫訪問的用戶行為異常檢測技術(shù)和評估技術(shù)已成為當前的研究熱點?，F(xiàn)有的用戶行為異常檢測研究工作中，普遍存在誤報率較高的現(xiàn)象。而主流的異常評估方法，如M-Score，存在著敏感值定義工作量較大、數(shù)據(jù)模型考慮因素不全面等不足。針對上

2、述問題，本文研究面向數(shù)據(jù)庫訪問的用戶行為異常檢測技術(shù)與異常評估技術(shù)，并實現(xiàn)一套用戶行為異常檢測與評估系統(tǒng)，具體工作包括以下四個方面:
　　1.探討數(shù)據(jù)安全問題中內(nèi)部威脅的危害性，調(diào)研數(shù)據(jù)庫安全審計中用戶行為異常檢測和評估技術(shù)的研究現(xiàn)狀。在需求分析的基礎(chǔ)上，設(shè)計面向數(shù)據(jù)庫訪問的用戶行為異常檢測與評估系統(tǒng)框架。
　　2.研究面向數(shù)據(jù)庫訪問的用戶行為異常檢測技術(shù)。首先，采用基于語法和基于環(huán)境相結(jié)合的用戶行為表示方法，進行審計數(shù)據(jù)的

3、分析與處理;然后，使用關(guān)聯(lián)規(guī)則和決策樹兩種方法實現(xiàn)用戶行為模式的構(gòu)建，并在此基礎(chǔ)上，分別設(shè)計基于關(guān)聯(lián)規(guī)則匹配和決策樹分類預(yù)測的檢測算法;最后通過實驗驗證兩種方法的有效性和方法的適用范圍。
　　3.研究面向數(shù)據(jù)庫訪問的用戶行為異常評估技術(shù)。將異常評估問題轉(zhuǎn)化為數(shù)據(jù)泄露危害評估和數(shù)據(jù)篡改、損毀危害評估兩個子問題，設(shè)計用戶行為異常評估算法。針對數(shù)據(jù)泄露問題，建立繼承關(guān)系數(shù)據(jù)模型和關(guān)聯(lián)關(guān)系數(shù)據(jù)模型，由數(shù)據(jù)模型計算數(shù)據(jù)重要程度，結(jié)合返回結(jié)果