[发明专利]数据库安全访问方法、装置、设备、系统及可读存储介质

说明书

本申请公开了一种数据库安全访问方法、装置、设备、系统及可读存储介质，该方法包括以下步骤：获取标注了用户ID的用户行为数据，以及非法活动对应的非法ID集；将各条用户行为数据转换为用户ID与SQL语句的对应组合；利用非法ID集为各个对应组合添加标签；标签为合法标签或非法标签；创建与具有标签的对应组合匹配的安全策略，并利用安全策略对数据库访问请求进行处理。相较于目前的仅基于防火墙的数据保障机制，本方法可在数据库管理设备上基于安全策略进行访问控制，以保障数据库的数据安全。

技术领域

本申请涉及数据安全技术领域，特别是涉及一种数据库安全访问方法、装置、设备、系统及可读存储介质。

背景技术

数据库(Database)是按照数据结构来组织、存储和管理数据的仓库，通常访问数据库的方式包括以下5种：

1、应用服务器访问数据库服务器主要为业务交互，一般由用户浏览器或者APP向应用服务器发起访问，应用服务器再向数据库服务器请求访问数据，并将结果返回给用户；

2、运维平台访问数据库服务器主要是运维管理的需求，一般由运维人员通过运维管理工具和运维主机向数据库传达运维指令；

3、SQL客户端访问数据库主要是数据分析或数据提取，一般由大数据挖掘工具或者数据分析师直接通过客户端的形式进行数据提取。

4、数据库备份工作站主要是对数据进行备份以防止数据的丢失，一般都是通过数据库提供的接口进行数据同步。

5、子网特指资源子网，主要负责全网的信息处理和数据处理业务，向用户提供数据库的网络资源和网络服务。

为了保障数据库安全，目前主要依赖数据库防火墙(DB Firewall)规则验证每一个数据报包的风险特征。数据库防火墙防泄密原理：数据以包(Packet)的形式在网络中进行传输的，数据包分为控制部分和数据部分，从包的结构中，可以得到整个数据流的五元组，DB Firewall可以基于这些信息对数据库进行防护。例如，当来自应用(Application)的数据通过DB Firewall时，DB Firewall会基于设定的规则对该包进行检查，如果检查通过，包会被允许穿过DB Firewall，则Application的数据就能到达Database，反之，则该包会被DB Firewall丢弃(Drop)或返回错误标识以拒绝(reject)该会话。

基于防火墙原理，传统的方案以DB Firewall为主，存在以下缺陷：DBFirewall基于规则和数据特征识别活动风险，一般通过检测黑客攻击行为和数据特征作为样本，利用规则和数据特征来识别非法活动会导致特征识别误判，从而造成正常用户无法访问数据库，而本应当拒绝响应的非法请求得到了数据库的响应。

综上所述，如何有效地解决数据库安全访问等问题，是目前本领域技术人员急需解决的技术问题。

发明内容

本申请的目的是提供一种数据库安全访问方法、装置、设备、系统及可读存储介质，通过联动上网用户行为管理设备和NGAF，对数据库访问请求进行处理，可保障数据库的数据安全。

为解决上述技术问题，本申请提供如下技术方案：

一种数据库安全访问方法，包括：

获取标注了用户ID的用户行为数据，以及非法活动对应的非法ID集；

将各条所述用户行为数据转换为用户ID与SQL语句的对应组合；

利用所述非法ID集为各个所述对应组合添加标签；所述标签为合法标签或非法标签；

创建与具有所述标签的对应组合匹配的安全策略，并利用所述安全策略对数据库访问请求进行处理。

优选地，利用所述安全策略对数据库访问请求进行处理，包括：