(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211032681.0 (22)申请日 2022.08.26 (71)申请人 北京掌趣科技股份有限公司 地址 100192 北京市海淀区中关村奥北 科 技园领智中心北楼 9层901 （东升地区） (72)发明人 谢海超　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 张思淼 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) G06F 16/21(2019.01) (54)发明名称 一种数据库入侵 检测方法以及装置 (57)摘要 本申请实施例公开了一种数据库入侵检测 方法以及装置， 该方法包括： 将数据库的访问日 志输入到检测模 型中， 检测模型为基于样本数据 集进行机器学习获得的， 样本数据库包括数据库 入侵数据； 根据检测模型的检测结果上报告警信 息， 弥补了常规关键字过滤的局限性， 可 以更有 效、 更快速的发现结构化 查询语言入侵行为。 权利要求书1页 说明书7页 附图2页 CN 115396208 A 2022.11.25 CN 115396208 A 1.一种数据库入侵检测方法， 其特 征在于， 包括： 将数据库的访问日志输入到检测模型中， 所述检测模型为基于样本数据集进行机器学 习获得的， 所述样本数据集包括数据库入侵数据； 根据所述检测模型的检测结果上报告警信息 。 2.根据权利要求1所述的方法， 其特征在于， 根据 所述检测模型的检测结果上报告警信 息包括： 根据所述检测结果确定威胁等级； 上报所述告警信息， 所述告警信息包括所述 威胁等级。 3.根据权利要求2所述的方法， 其特征在于， 所述上报所述告警信息之后， 所述方法还 包括： 保存所述检测结果。 4.根据权利要求1所述的方法， 其特征在于， 所述将数据库的访问日志输入到检测模型 中之前， 所述方法还 包括： 开启所述数据库的日志 功能， 所述日志 功能用于记录所述访问日志。 5.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 获取所述样本数据集中的结构化 查询语言SQ L语句的异常特 征； 对所述异常特 征进行分析获得 特征数组； 对所述特 征数据进行训练获得 所述检测模型。 6.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 接收用户的命令， 所述命令用于触发所述将数据库的所述访问日志输入到检测模型中 的步骤。 7.根据权利要求1所述的方法， 其特征在于， 所述将数据库的访问日志输入到检测模型 中之前， 所述方法还 包括： 对所述访问日志进行关键词过 滤； 若过滤出高危关键词， 则上报高危警告。 8.一种数据库入侵检测装置， 其特 征在于， 包括： 检测单元， 用于将数据库的访 问日志输入到检测模型中， 所述检测模型为基于样本数 据集进行机器学习获得的， 所述样本数据集包括数据库入侵数据； 上报单元， 用于根据所述检测模型的检测结果上报告警信息 。 9.一种计算机设备， 其特征在于， 包括处理器和存储器， 所述处理器与所述存储器耦 合， 所述存储器， 用于存 储程序； 所述处理器， 用于执行所述存储器 中的程序， 使得所述计算机设备执行如权利要求1至 7中任一项所述的方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机程 序， 所述计算机程序被处 理器执行时， 实现如权利要求1至7中任一项所述的方法。权　利　要　求　书 1/1 页 2 CN 115396208 A 2一种数据库入侵检测方 法以及装 置 技术领域 [0001]本申请实施例涉及数据库领域， 尤其涉及一种数据库入侵检测方法以及装置 。 背景技术 [0002]随着互联网的快速发展， 非法黑客组织也试 图通过攻击业务系统服务器， 入侵业 务系统服务器达到不可告人的目的。 而入侵的主要目标往往就是网络(web)服务后端的数 据库系统， 通过web服务入侵获取到数据库权限及数据， 从而造成用户数据泄露， 系统数据 丢失等严重后果。 [0003]当前服务器针对黑客入侵痕迹的被动式检测方法主要是通过检测： 网页页面被篡 改或者被挂暗链； 监管机构监测该服务器与境外恶意主机进行通讯； 因挖矿等导致服务器 运行不畅； 数据 泄露， 导致数据在境外或暗网传播； 对内网其他机器攻击， 被安全设备发现 告警等， 但是， 该 方案针对恶意 攻击行为的检测方法缺乏系统性及有效性。 发明内容 [0004]本申请实施例提供了一种数据库入侵检测方法以及装置， 用于更有效、 更快速的 发现SQL入侵行为。 [0005]本申请实施例第一方面提供了一种数据库入侵检测方法， 该方法包括： 将数据库 的访问日志输入到检测模型中， 检测模型为基于样本数据集进行机器学习获得的， 样本数 据集包括数据库入侵数据； 根据检测模型的检测结果上报告警信息 。 [0006]在一种可能的实施方式中， 上述步骤根据检测模型的检测结果上报告警信息包 括： 根据检测结果确定威胁等级； 上报告警信息， 告警信息包括 威胁等级。 [0007]在一种可能的实施方式中， 上述步骤上报告警信息之后， 该方法还包括： 保存检测 结果。 [0008]在一种可能的实施方式中， 上述步骤将数据库的访问日志输入到检测模型中之 前， 该方法还包括： 开启数据库的日志 功能， 日志 功能用于记录访问日志。 [0009]在一种可能的实施方式中， 该方法还包括： 获取样本数据集中的SQL语句的异常特 征； 对异常特 征进行分析获得 特征数组； 对特 征数据进行训练获得检测模型。 [0010]在一种可能的实施方式中， 该方法还包括： 接收用户的命令， 命令用于触发将数据 库的访问日志输入到检测模型中的步骤。 [0011]在一种可能的实施方式中， 上述步骤将数据库的访问日志输入到检测模型中之 前， 该方法还包括： 对访问日志进行关键词过 滤； 若过滤出高危关键词， 则上报高危警告。 [0012]本申请实施例第二方面提供了一种数据库 入侵检测装置， 该装置包括： 过滤单元， 用于对数据库的访问日志进行关键词 过滤； 检测单元， 用于将数据库的访问日志输入到检 测模型中， 检测模型为基于样本数据集进 行机器学习获得的； 上报单元， 用于根据检测模型 的检测结果上报告警信息 。 [0013]在一种可能的实施方式中， 上报单元具体用于： 根据检测结果确定威胁等级； 上报说　明　书 1/7 页 3 CN 115396208 A 3