[发明专利]数据库检测方法、装置、电子设备及存储介质

说明书

本申请提供一种数据库检测方法、装置、电子设备及存储介质。方法包括：获取针对当前数据库的流量数据；通过预设提取策略，从流量数据中提取针对当前数据库的第一行为特征；通过预设检测规则库对第一行为特征进行安全检测，得到表征流量数据对当前数据库是否形成安全威胁的检测结果。由于预设检测规则库中的检测规则可以针对多类数据库的同类攻击行为进行检测，能统一对不同类的数据库进行安全检测，如此，无需针对不同类的数据库单独部署相应的检测规则，能降低对数据库进行检测与运维管理的难度。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种数据库检测方法、装置、电子设备及存储介质。

背景技术

在互联网时代，数据库安全受到越来越多人的重视，而数据库作为存储数据的介质，针对数据库的保护成为数据保护途径中重要的环节。目前市面上的数据库审计系统或者数据库防火墙可以实现数据库的审计功能和部分检测功能，但是针对数据库口令攻击的检测，系统需要按照不同的数据库类型的进行数据库口令攻击行为的提取，然后针对不同类型的数据库配置数据库实例，以对提取的与数据库的相关信息进行检测，导致检测与运维难度大。

发明内容

本申请实施例的目的在于提供一种数据库检测方法、装置、电子设备及存储介质，在对多类数据库进行安全检测时，能够改善检测与运维难度大的问题。

为了实现上述目的，本申请的实施例通过如下方式实现：

第一方面，本申请实施例提供一种数据库检测方法，所述方法包括：获取针对当前数据库的流量数据；通过预设提取策略，从所述流量数据中提取针对所述当前数据库的第一行为特征；通过预设检测规则库对所述第一行为特征进行安全检测，得到表征所述流量数据对所述当前数据库是否形成安全威胁的检测结果，其中，所述预设检测规则库中包括多条检测规则，每条检测规则用于检测针对多类数据库的同类攻击行为。

在上述的实施方式中，通过从流量数据中提取出针对当前数据库的第一行为特征，然后利用预设检测规则库对第一行为特征进行安全检测。由于预设检测规则库中的检测规则可以针对多类数据库的同类攻击行为进行检测，能统一对不同类的数据库进行安全检测，如此，无需针对不同类的数据库单独部署相应的检测规则，能降低数据库检测与运维的难度。

结合第一方面，在一些可选的实施方式中，在获取针对当前数据库的流量数据之前，所述方法还包括：

获取针对多类数据库的行为数据；根据所述行为数据，提取针对所述多类数据库的每类攻击行为对应的第二行为特征；根据所述第二行为特征创建与每类攻击行为对应的检测规则，以形成所述预设检测规则库。

在上述的实施方式中，通过提取针对多类数据库的同类攻击行为的第二行为特征，然后，再创建用于检测第二行为特征的检测规则，如此，在针对数据库检测攻击行为的过程中，可以利用一个检测规则实现对不同类数据库的同类攻击行为的统一检测，可以消除不同类的数据库因行为数据不同而无法统一检测的影响。

结合第一方面，在一些可选的实施方式中，通过预设检测规则库对所述第一行为特征进行安全检测，得到表征所述流量数据对所述当前数据库是否形成安全威胁的检测结果，包括：

通过预设检测规则库对所述第一行为特征进行口令攻击检测；

当所述第一行为特征表征满足口令错误的预设条件时，在旋转树上匹配与所述第一行为特征对应的目标节点，其中，所述旋转树包括多个预设节点，每个预设节点包括对应的一类数据集；

当匹配到所述目标节点的次数或频率达到对应的设定值时，输出表征所述流量数据对所述当前数据库形成安全威胁的所述检测结果。

在上述的实施方式中，旋转树存储节点可以提高节点的匹配效率，因此，利用预设检测规则库和旋转树相结合，有利于提高检测效率。

结合第一方面，在一些可选的实施方式中，在旋转树上匹配与所述第一行为特征对应的目标节点，包括：