[发明专利]基于数据库的数据泄露检测模型的建模方法、装置，泄露检测方法、系统

权利要求书

1.一种基于数据库中敏感数据泄露检测用的模型建立方法，其特征在于：包括以下步骤：

A、角色和用户组关系的建立：

S100.数据采集，数据包括操作日志数据、用户角色数据、敏感数据列表；

S200.解析SQL语句，提取表名；

S300.数据关联及特征加工，具体为：

将操作日志数据、用户角色数据、敏感数据列表三者关联后，并进行特征加工，形成第一宽表；

S400.用户组的建立，根据特征对所述第一宽表内用户进行聚类，将最接近的群体定义为用户组；

S500.建立角色和用户组的关系，找到每个角色中最大占比的用户组，组成该角色和该用户组的关系；

B、OneClassSvm模型训练：

S600.正样本特征加工，首先获取样本数据，结合步骤S500中的角色和用户组关系，关联出用户组；然后从每个用户组中选出符合正常业务范围的用户作为正样本，再对正样本进行特征加工，形成第二宽表；

S700.正样本中每个用户组对应一个OneClassSvm模型，并对该用户组内的第二宽表数据进行OneClassSvm模型训练，从而获得该用户组下正常数据的边界；

C、敏感数据的泄露检测：

S800.待测数据加工，获取待验证数据，结合步骤S500中的角色和用户组关系，关联出用户组，并对待验证数据进行特征加工，获得具有与第二宽表特征相同的第三宽表；

S900.将第三宽表数据依据用户组分组信息代入S700中对应的OneClassSvm模型进行检测，若模型结果在正常数据边界内，则将目标用户的行表达为正常；若模型结果在正常数据边界外，则将目标用户的行为标定为异常。

2.根据权利要求1所述的一种基于数据库中敏感数据泄露检测用的模型建立方法，其特征在于：所述步骤S200中提取表名具体方法为：

利用python的sqlparse工具截取FROM关键词和下一个关键词中间的内容，若没有下一个关键词，则截取到最后，截取的部分即为表名。

3.根据权利要求1所述的一种基于数据库中敏感数据泄露检测用的模型建立方法，其特征在于：步骤S300中数据关联具体方法为：

根据用户ID将操作日志数据与用户角色数据进行关联，通过表名将操作日志数据与敏感数据列表进行关联；

所述步骤S300中特征加工后形成的第一宽表中通过多个维度特征值体现当前特征。

4.根据权利要求1所述的一种基于数据库中敏感数据泄露检测用的模型建立方法，其特征在于：步骤S400中采用Kmeans聚类算法将第一宽表中的数据按照距离分成若干类，并将最接近的群体定义为用户组。

5.根据权利要求1所述的一种基于数据库中敏感数据泄露检测用的模型建立方法，其特征在于：步骤S500中角色和用户组的关系的建立方法为，根据用户的角色属性，得到角色-用户-用户组的关系，然后计算角色中的用户组占比，将每个角色中最大占比的用户组，组成角色和用户组的关系。

6.一种基于数据库中敏感数据泄露检测用的模型建立装置，其特征在于：包括

角色和用户组关系的建立模块：用以

数据采集，数据包括操作日志数据、用户角色数据、敏感数据列表；

解析SQL语句，提取表名；

数据关联及特征加工，具体为：

将操作日志数据、用户角色数据、敏感数据列表三者关联后，并进行特征加工，形成第一宽表；

用户组的建立，根据特征对所述第一宽表内用户进行聚类，将最接近的群体定义为用户组；

建立角色和用户组的关系，找到每个角色中最大占比的用户组，组成该角色和该用户组的关系；

OneClassSvm模型训练模块：用以

正样本特征加工，首先获取样本数据，结合步骤S500中的角色和用户组关系，关联出用户组；然后从每个用户组中选出符合正常业务范围的用户作为正样本，再对正样本进行特征加工，形成第二宽表；

正样本中每个用户组对应一个OneClassSvm模型，并对该用户组内的第二宽表数据进行OneClassSvm模型训练，从而获得该用户组下正常数据的边界。