2023年8月1日发(作者:)
DOI:10.3969/.1006-6403.2017.12.009基于聚类和关联规则建立用户行为规则的数据库审计研究[张昊迪 沈军 王帅]摘要安全审计作为一种重要的数据库安全机制,需要在能实施细粒度审计的同时,不对数据库性能带来过多影响。在对现有基于网络监听的数据库审计进行分析的基础上,提出了一种基于用户权限的聚类和关联规则建立用户行为模型的数据库审计框架,框架通过将事务项元组聚类后关联,减少关联时间开销,并能够充分利用关联规则中的事物项,建立行为规则,提高审计的效率和准确率。关键词:数据库审计
用户行为规则
聚类
关联规则运营与应用张昊迪硕士研究生,中国电信股份有限公司广东研究院,主要研究方向为网络安全、大数据安全。沈军硕士研究生,中国电信股份有限公司广东研究院,主要研究方向为SDN安全、大数据安全、云计算安全及移动互联网安全。王帅硕士研究生,中国电信股份有限公司广东研究院,主要研究方向为大数据安全、云计算安全、网络与信息安全体系及攻防技术。1 引言当前,数据库的安全机制包括:身份识别和鉴别、访问控制、存取控制、加密、备份与恢复、推理控制与隐私保护、数据库审计7个方面。但上述身份鉴别、访问控制等机制是以防御为主的被动安全机制,并不能完全满足数据库的安全需求。数据库审计技术属于动态安全防御技术,但在实际应用中存在一定的局限性,如果只实施粗粒度的审计,则难以觉察入侵和攻击行为;而细粒度的审计,则312017.12·广东通信技术Copyright©博看网 . All Rights Reserved.》运营与应用有可能严重影响数据库的性能。因此在不过多影响数据库性能的情况下实现细粒度审计,是数据库安全审计的重要研究方向。度上导致了功能、性能上的不足。2.2
基于关联规则的用户行为规则的数据库审计基于用户行为规则的安全审计是在学习用户操作数据库的正常行为的基础上,通过挖掘用户日志,利用关联分析算法,抽取出能典型代表用户对数据库操作的行为模型,不依赖于数据库协议的解析。关联分析是数据挖掘的重要基础技术,在数据库审计中能够通过分析用户-操作对象-操作类型的正常行为模式,从而发现甚至预测异常行为。其中最小支持度和最大置信度是强关联规则的两个重要先决条件,支持度用于统计关联规则的数据集中程度,置信度用于衡量关联规则的可信程度。常用的关联规则是频繁项挖掘算法Apriori,主要分为两步:(1)从事务库Ck(k=1,2…)找到所有的频繁项集(即项集中事务不小于预定义支持度);(2)由频繁项集中产生满足最小支持度阈值和最小可信度阈值的强关联规则。具体地:算法第一次遍历计算出每个项集的支持度和最小支持度对比,确定1-频繁项集;之后的K-1次遍历都将进行两阶段:使用第K-1次遍历中的LK-1-频繁项集,结合Apriori-gen函数获的k次候选集CK,之后计算CK候选项集的支持度。其中,Apriori-gen函数包括连接、剪枝两个子步骤,连接的条件是两个LK-1频繁项集有K-2个相同项;剪枝的原理是忽略小于最小支持度的项集和在候选k-项集的-子集不在LK-1频繁项集中候选集项。(k-1)综上,Apriori算法[2]的核心是通过反复扫描数据库、计算候选集的支持度,再生成新的长度候选集,训练出基于用户正常行为的审计规则,但是数据库通常存在派生属性、多值属性,训练的时间开销较大,另外,存在长模式频繁项集时,剪枝操作也相当耗时,因此,为保证时间开销,关联规则训练出的行为模型较为粗略。2
数据库审计系统现有的数据库审计系统主要包括以下几种类型:(1)基于日志的审计:依托于现有的数据库系统,兼容性较好,但日志开启对数据库服务器的性能影响较大;(2)基于代理的审计:要求在主机上安装代理程序,代理的安全性和与数据库的兼容性是新的掣肘;(3)基于网管的审计:通过串联的方式对数据包的截获和转发,使用于网络流量较大的环境,但部属成本较高;基于网络监听的审计:(4)通过旁部监测方式对数据库的流量进行解析,不会影响到现有的网络结构。运营与应用基于网络监听的数据库审计已成为数据库审计的主流方式,具体实现包括语法解析语句结构的检测和挖掘用户行为建立规则两个方向。2.1
基于语法解析与结构检测的数据库审计数据库系统本身提供了审计功能,但目前的数据库审计更倾向于记录审计操作,用户只能勾选规则设置,不能建立灵活的规则,在面对海量数据时,难以及时发现攻击、非法访问和操作等安全问题。后期,学者有进行针对建立SQL语句规则的研究,其方法是:捕获数据库网络数据包,完成数据采集工作后,进行会话重聚、还原出SQL语句,并从SQL语句本身的角度出发,使用词法分析工具和语法分析工具分割SQL语句,生成规范语法树,通过记录语法树的结构特征,建立SQL语句结构的规则库,通过与流量分析时提取出的语法树特征对比,实现对异常操作的告警。这种方法能够对数据库进行较细粒度的检测,但类似于数据系统本身审计系统存在不够灵活的弊端,且只能检测已知类型异常,对未知的异常束手无策,很难维持更新规则库。另外,用户规则的建立是在对TNS[1]等数据库协议的分析基础上,但国内数据库审计产品通常难以得到国外大型数据库的技术支持(如数据库非公开协议的技术支持),因此经过自行解析获得的SQL语句结构,一定程3 基于聚类分析和关联规则建立用户行为模型通过对基于语法解析语句结构的审计和基于关联规则建立用户行为的审计两种方法的分析,可知关联规则的用户行为模型建立是粗粒度的审计,能够在一定程度上预32Copyright©博看网 . All Rights Reserved.基于聚类和关联规则建立用户行为规则的数据库审计研究
测推理出异常行为;SQL语句结构检测基于已知类型的细粒度检测。后期,有学者提出将两者相结合提高审计的准确性、效率,但只是单纯的拼接做法,先后利用两种方法进行审计。鉴于此,本文提出通过数据库主/客体聚类把问题空间拆分,利用Apriori-TID的关联规则挖掘数据库用户行为模型,减少关联时间开销;并将用户向量组布尔化,能够通过对元组添加维度特征,细化审计用户行为的颗粒度,在解决Apriori算法性能瓶颈的同时,提高行为模型的准确性。具体地:检测框架采用Apriori-TID算法,(1)此算法改进Apriori算法中每一次迭代都由数据集D来计算候选项集支持度的思想,在第一次遍历后就不需要采用原始数据库,而是选用前一次候选集的集合CK,CK与数据库的事务相关,形式为:(TID,{Xk}),其中,TID是事物的标识,Xk表示K-项集,这样就可以避免重复扫描数据库。本文提出在采用Apriori-TID算法构建新长度的频繁项集之前,直接剪掉不满足支持度的候选项集,缩小项集范围,进一步压缩扫描数据量,提高效率。(2)框架只提取用户向量组中{用户名、操作行为、操作对象},将每一个用户行为向量组中的每一个元组进行布尔型数值化,与训练集映射,也可以较容易的扩展关联规则。比如对用户行为三元组的操作类型进行补充,不仅包含操作类型,也可以提取操作条件以及嵌套查询的操作,建立更加准确的用户行为模型;(3)框架提出在关联过程之前对用户组进行聚类,具体地:将用户识别hash值作为向量组中的元组,通过该用户类权限内的常用操作:全局操作、权限操作、普通操作等将用户组进行聚类;(4)训练用户向量组建立关联规则,结合用户组的聚类结果,建成行为规则库。(5)对待分析数据进行分析时,将当前行为与规则库中的正常行为规则进行比较,判断是否存在异常行为,不能确定的少部分操作交予人工决断,对行为规则库进行持续更新、维护,检测框架整体流程图如图1所示。训练集审计预处理数据库主、客体聚类聚类1布尔型处理...聚类n
布尔型处理待分析数据关联规则关联规则审计预处理规则库布尔型处理异常检测运异常正常营与应用结束图1聚类分析和关联规则建立用户行为模型流程图以一个简化事务项集合为例,如表1所示,说明本文建立用户规则的过程。其中,操作主体是DA、DU1、DU2,DU1、DU2通过K-Means聚类为一组DUK,操作对象是数据表/数据库00、01、10;操作类型有Grant/Revoke,select,Delete/Truncate,insert,update。一条SQL语句获取一个用户的行为向量三元组,事物总数为10,|D|=10,最小支持度为20%,置信度为50%。表1用户行为三元组用户DADU1DADU1DU2DU2DADU1DU2DU1Grant/Revoke1000100000selectDelete/TruncateinsertupdateTable17.12·广东通信技术Copyright©博看网 . All Rights Reserved.》运营与应用只采用Apriori-TID关联规则建立用户行为规则主要过程,如表2所示。表2基于关联规则建立用户规则基于聚类和关联规则建立用户行为规则主要过程,如表3所示。运营与应用表3基于聚类的关联规则建立用户规则由关联规则可以得到用户正常的行为模型,形式有:用户组^操作对象=>操作类型、用户组^操作类型=>操作对象、操作类型^操作对象=>用户组。由单纯的Apriori-TID算法执行的表二过程可知,由3-频繁项集可满足正常用户的行为要求:“用户组^操作对象=>操作类型”,T1:DU1^01=01000,置信度=66.6%>50%,可插入正常库;由本文提出的基于聚类和Apriori-TID算法相关性度量标准,根据表3过程可知:由3-频繁项集可满足正常用户的行为要求:“用户组^操作对象=>操作类型”,T1:DUK^01=01000, T2:DUK^10=00001,置信度=66.6%>50%,可插入正常库。由此简化事物项集合可知,聚类后的关联规则,可以提取数据库用户行为特性,生成有效的提取用户行为规则,并且能够建立由于不满足Apriori-TID算法的最小支持度而被剪枝的正常用户正常操作的用户规则,具体表现为表二漏报的用户行为规则T2。当然,根据更多的样本,在相同的最小支持度阈值条件下,通过Apriori-TID算法也可以建立出此规则,但是时间开销和训练集都会相应增加。因此基于用户权限的聚类和关联分析比单纯的Apriori-TID算法关联能够充分利用训练集,获取更为准确的用户规则。(下转第38页)34Copyright©博看网 . All Rights Reserved.》通信热点2.4进行平台架构优化调整微服务和容器化是近些年迅速发展的技术。微服务架构是一种松耦合、去中心化的架构,是目前复杂分布式应用的主流架构风格,它将应用按业务拆分成一系列可独立部署运行的微小服务,对外只能通过API提供和获取服务;容器技术开始广泛流行是由于Docker这一开源项目的推动,继而形成了以Docker为核心的开源生态系统,容器是云原生应用和微服务应用的最佳载体。综合业务管理平台的搭建原是采用传统的软件架构,并且多年维持不变,其功能迭代、升级部署的周期长。采用微服务和容器化技术对综合业务管理平台进行基础架构优化调整,可以:(1)提升系统开发效率,缩短开发周期;(2)缩短软件迭代部署周期,由平均一个月变为平均一周;通信热点(3)基于镜像方式实现运维一体化开发,提高软件质量,扩展平滑;(4)节省系统资源,减少虚机数量;(5)提升系统利用率,提高系统CPU平均利用率,如图5所示。1图 5
微服务和容器特点3 结束语智能化时代已经来临,客户、合作伙伴、业务、商业模式和生态等都发生巨大变化。综合业务管理平台需聚焦数字化的变革,推进对外服务转型,依托大数据挖掘通信的数据价值,繁荣产业生态,采用微服务与容器技术践行平台服务化和敏捷化,形成面向政企的智能化服务体系。参考文献杨杰,“转型升级,智创未来”,世界移动大会(上海),20162杨杰,“互联网智能化生态化的五大趋势”,第九届天翼智能生态博览会(收稿日期:2017-11-15)(上接第34页)4 结语本文所提出的行为模型建立在实施监测、解析、还原数据库操作语句的基础上,通过对数据库主体的聚类,建立用户向量组的关联规则,得到用户行为规则库,为数据库的安全运行提供了强有力的保障。此外,本文采用聚类建立用户行为模型并不局限于文中所述的用户权限这种数据库主体聚类,可以拓展为数据库客体的聚类,例如根据数据库/数据表的敏感程度进行聚类,实现实时审计和安全检测功能,通用性较强。21参考文献 Litchfield Oracle hacker’s handbook:hacking and
defending Oracle[M].Indianapolis:Wiley Publishing,Inc,2007Agrawal R,Imieliński T,Swami association rules
between sets of items in large databases[C]//Proceedings of
ACM SIGMOD International Conference on Man-agement
of York:ACM,1993:207-21(收稿日期:2017-11-15)38Copyright©博看网 . All Rights Reserved.
2023年8月1日发(作者:)
DOI:10.3969/.1006-6403.2017.12.009基于聚类和关联规则建立用户行为规则的数据库审计研究[张昊迪 沈军 王帅]摘要安全审计作为一种重要的数据库安全机制,需要在能实施细粒度审计的同时,不对数据库性能带来过多影响。在对现有基于网络监听的数据库审计进行分析的基础上,提出了一种基于用户权限的聚类和关联规则建立用户行为模型的数据库审计框架,框架通过将事务项元组聚类后关联,减少关联时间开销,并能够充分利用关联规则中的事物项,建立行为规则,提高审计的效率和准确率。关键词:数据库审计
用户行为规则
聚类
关联规则运营与应用张昊迪硕士研究生,中国电信股份有限公司广东研究院,主要研究方向为网络安全、大数据安全。沈军硕士研究生,中国电信股份有限公司广东研究院,主要研究方向为SDN安全、大数据安全、云计算安全及移动互联网安全。王帅硕士研究生,中国电信股份有限公司广东研究院,主要研究方向为大数据安全、云计算安全、网络与信息安全体系及攻防技术。1 引言当前,数据库的安全机制包括:身份识别和鉴别、访问控制、存取控制、加密、备份与恢复、推理控制与隐私保护、数据库审计7个方面。但上述身份鉴别、访问控制等机制是以防御为主的被动安全机制,并不能完全满足数据库的安全需求。数据库审计技术属于动态安全防御技术,但在实际应用中存在一定的局限性,如果只实施粗粒度的审计,则难以觉察入侵和攻击行为;而细粒度的审计,则312017.12·广东通信技术Copyright©博看网 . All Rights Reserved.》运营与应用有可能严重影响数据库的性能。因此在不过多影响数据库性能的情况下实现细粒度审计,是数据库安全审计的重要研究方向。度上导致了功能、性能上的不足。2.2
基于关联规则的用户行为规则的数据库审计基于用户行为规则的安全审计是在学习用户操作数据库的正常行为的基础上,通过挖掘用户日志,利用关联分析算法,抽取出能典型代表用户对数据库操作的行为模型,不依赖于数据库协议的解析。关联分析是数据挖掘的重要基础技术,在数据库审计中能够通过分析用户-操作对象-操作类型的正常行为模式,从而发现甚至预测异常行为。其中最小支持度和最大置信度是强关联规则的两个重要先决条件,支持度用于统计关联规则的数据集中程度,置信度用于衡量关联规则的可信程度。常用的关联规则是频繁项挖掘算法Apriori,主要分为两步:(1)从事务库Ck(k=1,2…)找到所有的频繁项集(即项集中事务不小于预定义支持度);(2)由频繁项集中产生满足最小支持度阈值和最小可信度阈值的强关联规则。具体地:算法第一次遍历计算出每个项集的支持度和最小支持度对比,确定1-频繁项集;之后的K-1次遍历都将进行两阶段:使用第K-1次遍历中的LK-1-频繁项集,结合Apriori-gen函数获的k次候选集CK,之后计算CK候选项集的支持度。其中,Apriori-gen函数包括连接、剪枝两个子步骤,连接的条件是两个LK-1频繁项集有K-2个相同项;剪枝的原理是忽略小于最小支持度的项集和在候选k-项集的-子集不在LK-1频繁项集中候选集项。(k-1)综上,Apriori算法[2]的核心是通过反复扫描数据库、计算候选集的支持度,再生成新的长度候选集,训练出基于用户正常行为的审计规则,但是数据库通常存在派生属性、多值属性,训练的时间开销较大,另外,存在长模式频繁项集时,剪枝操作也相当耗时,因此,为保证时间开销,关联规则训练出的行为模型较为粗略。2
数据库审计系统现有的数据库审计系统主要包括以下几种类型:(1)基于日志的审计:依托于现有的数据库系统,兼容性较好,但日志开启对数据库服务器的性能影响较大;(2)基于代理的审计:要求在主机上安装代理程序,代理的安全性和与数据库的兼容性是新的掣肘;(3)基于网管的审计:通过串联的方式对数据包的截获和转发,使用于网络流量较大的环境,但部属成本较高;基于网络监听的审计:(4)通过旁部监测方式对数据库的流量进行解析,不会影响到现有的网络结构。运营与应用基于网络监听的数据库审计已成为数据库审计的主流方式,具体实现包括语法解析语句结构的检测和挖掘用户行为建立规则两个方向。2.1
基于语法解析与结构检测的数据库审计数据库系统本身提供了审计功能,但目前的数据库审计更倾向于记录审计操作,用户只能勾选规则设置,不能建立灵活的规则,在面对海量数据时,难以及时发现攻击、非法访问和操作等安全问题。后期,学者有进行针对建立SQL语句规则的研究,其方法是:捕获数据库网络数据包,完成数据采集工作后,进行会话重聚、还原出SQL语句,并从SQL语句本身的角度出发,使用词法分析工具和语法分析工具分割SQL语句,生成规范语法树,通过记录语法树的结构特征,建立SQL语句结构的规则库,通过与流量分析时提取出的语法树特征对比,实现对异常操作的告警。这种方法能够对数据库进行较细粒度的检测,但类似于数据系统本身审计系统存在不够灵活的弊端,且只能检测已知类型异常,对未知的异常束手无策,很难维持更新规则库。另外,用户规则的建立是在对TNS[1]等数据库协议的分析基础上,但国内数据库审计产品通常难以得到国外大型数据库的技术支持(如数据库非公开协议的技术支持),因此经过自行解析获得的SQL语句结构,一定程3 基于聚类分析和关联规则建立用户行为模型通过对基于语法解析语句结构的审计和基于关联规则建立用户行为的审计两种方法的分析,可知关联规则的用户行为模型建立是粗粒度的审计,能够在一定程度上预32Copyright©博看网 . All Rights Reserved.基于聚类和关联规则建立用户行为规则的数据库审计研究
测推理出异常行为;SQL语句结构检测基于已知类型的细粒度检测。后期,有学者提出将两者相结合提高审计的准确性、效率,但只是单纯的拼接做法,先后利用两种方法进行审计。鉴于此,本文提出通过数据库主/客体聚类把问题空间拆分,利用Apriori-TID的关联规则挖掘数据库用户行为模型,减少关联时间开销;并将用户向量组布尔化,能够通过对元组添加维度特征,细化审计用户行为的颗粒度,在解决Apriori算法性能瓶颈的同时,提高行为模型的准确性。具体地:检测框架采用Apriori-TID算法,(1)此算法改进Apriori算法中每一次迭代都由数据集D来计算候选项集支持度的思想,在第一次遍历后就不需要采用原始数据库,而是选用前一次候选集的集合CK,CK与数据库的事务相关,形式为:(TID,{Xk}),其中,TID是事物的标识,Xk表示K-项集,这样就可以避免重复扫描数据库。本文提出在采用Apriori-TID算法构建新长度的频繁项集之前,直接剪掉不满足支持度的候选项集,缩小项集范围,进一步压缩扫描数据量,提高效率。(2)框架只提取用户向量组中{用户名、操作行为、操作对象},将每一个用户行为向量组中的每一个元组进行布尔型数值化,与训练集映射,也可以较容易的扩展关联规则。比如对用户行为三元组的操作类型进行补充,不仅包含操作类型,也可以提取操作条件以及嵌套查询的操作,建立更加准确的用户行为模型;(3)框架提出在关联过程之前对用户组进行聚类,具体地:将用户识别hash值作为向量组中的元组,通过该用户类权限内的常用操作:全局操作、权限操作、普通操作等将用户组进行聚类;(4)训练用户向量组建立关联规则,结合用户组的聚类结果,建成行为规则库。(5)对待分析数据进行分析时,将当前行为与规则库中的正常行为规则进行比较,判断是否存在异常行为,不能确定的少部分操作交予人工决断,对行为规则库进行持续更新、维护,检测框架整体流程图如图1所示。训练集审计预处理数据库主、客体聚类聚类1布尔型处理...聚类n
布尔型处理待分析数据关联规则关联规则审计预处理规则库布尔型处理异常检测运异常正常营与应用结束图1聚类分析和关联规则建立用户行为模型流程图以一个简化事务项集合为例,如表1所示,说明本文建立用户规则的过程。其中,操作主体是DA、DU1、DU2,DU1、DU2通过K-Means聚类为一组DUK,操作对象是数据表/数据库00、01、10;操作类型有Grant/Revoke,select,Delete/Truncate,insert,update。一条SQL语句获取一个用户的行为向量三元组,事物总数为10,|D|=10,最小支持度为20%,置信度为50%。表1用户行为三元组用户DADU1DADU1DU2DU2DADU1DU2DU1Grant/Revoke1000100000selectDelete/TruncateinsertupdateTable17.12·广东通信技术Copyright©博看网 . All Rights Reserved.》运营与应用只采用Apriori-TID关联规则建立用户行为规则主要过程,如表2所示。表2基于关联规则建立用户规则基于聚类和关联规则建立用户行为规则主要过程,如表3所示。运营与应用表3基于聚类的关联规则建立用户规则由关联规则可以得到用户正常的行为模型,形式有:用户组^操作对象=>操作类型、用户组^操作类型=>操作对象、操作类型^操作对象=>用户组。由单纯的Apriori-TID算法执行的表二过程可知,由3-频繁项集可满足正常用户的行为要求:“用户组^操作对象=>操作类型”,T1:DU1^01=01000,置信度=66.6%>50%,可插入正常库;由本文提出的基于聚类和Apriori-TID算法相关性度量标准,根据表3过程可知:由3-频繁项集可满足正常用户的行为要求:“用户组^操作对象=>操作类型”,T1:DUK^01=01000, T2:DUK^10=00001,置信度=66.6%>50%,可插入正常库。由此简化事物项集合可知,聚类后的关联规则,可以提取数据库用户行为特性,生成有效的提取用户行为规则,并且能够建立由于不满足Apriori-TID算法的最小支持度而被剪枝的正常用户正常操作的用户规则,具体表现为表二漏报的用户行为规则T2。当然,根据更多的样本,在相同的最小支持度阈值条件下,通过Apriori-TID算法也可以建立出此规则,但是时间开销和训练集都会相应增加。因此基于用户权限的聚类和关联分析比单纯的Apriori-TID算法关联能够充分利用训练集,获取更为准确的用户规则。(下转第38页)34Copyright©博看网 . All Rights Reserved.》通信热点2.4进行平台架构优化调整微服务和容器化是近些年迅速发展的技术。微服务架构是一种松耦合、去中心化的架构,是目前复杂分布式应用的主流架构风格,它将应用按业务拆分成一系列可独立部署运行的微小服务,对外只能通过API提供和获取服务;容器技术开始广泛流行是由于Docker这一开源项目的推动,继而形成了以Docker为核心的开源生态系统,容器是云原生应用和微服务应用的最佳载体。综合业务管理平台的搭建原是采用传统的软件架构,并且多年维持不变,其功能迭代、升级部署的周期长。采用微服务和容器化技术对综合业务管理平台进行基础架构优化调整,可以:(1)提升系统开发效率,缩短开发周期;(2)缩短软件迭代部署周期,由平均一个月变为平均一周;通信热点(3)基于镜像方式实现运维一体化开发,提高软件质量,扩展平滑;(4)节省系统资源,减少虚机数量;(5)提升系统利用率,提高系统CPU平均利用率,如图5所示。1图 5
微服务和容器特点3 结束语智能化时代已经来临,客户、合作伙伴、业务、商业模式和生态等都发生巨大变化。综合业务管理平台需聚焦数字化的变革,推进对外服务转型,依托大数据挖掘通信的数据价值,繁荣产业生态,采用微服务与容器技术践行平台服务化和敏捷化,形成面向政企的智能化服务体系。参考文献杨杰,“转型升级,智创未来”,世界移动大会(上海),20162杨杰,“互联网智能化生态化的五大趋势”,第九届天翼智能生态博览会(收稿日期:2017-11-15)(上接第34页)4 结语本文所提出的行为模型建立在实施监测、解析、还原数据库操作语句的基础上,通过对数据库主体的聚类,建立用户向量组的关联规则,得到用户行为规则库,为数据库的安全运行提供了强有力的保障。此外,本文采用聚类建立用户行为模型并不局限于文中所述的用户权限这种数据库主体聚类,可以拓展为数据库客体的聚类,例如根据数据库/数据表的敏感程度进行聚类,实现实时审计和安全检测功能,通用性较强。21参考文献 Litchfield Oracle hacker’s handbook:hacking and
defending Oracle[M].Indianapolis:Wiley Publishing,Inc,2007Agrawal R,Imieliński T,Swami association rules
between sets of items in large databases[C]//Proceedings of
ACM SIGMOD International Conference on Man-agement
of York:ACM,1993:207-21(收稿日期:2017-11-15)38Copyright©博看网 . All Rights Reserved.
![一种用于系统数据安全防护的综合日志审计系统告警方法[发明专利]_百...](/uploads/image/0513.jpg)
发布评论