针对数据库系统内部攻击的问题,将基于用户行为的异常检测方法引入到数据库系统内部攻击检测中.将离散时间马尔科夫链(DTMC)应用到数据库系统异常检测中,构建了一种基于DTM C的用户行为异常检测系统.将用户提交的SQL语句作为用户行为特征进行分析,并利用DTM C分别提取了正常用户和待检测行为的行为特征,并将两者进行比较,如果两者的偏离程度超过了阈值,则判定行为异常.通过实验对所提出系统的可行性和有效性进行测试,结果表明,该系统可以较好地描述用户行为,并有效地检测出数据库系统内部攻击.

• 单位
  沈阳工业大学; 中国科学院信息工程研究所; 东北大学; 信息安全国家重点实验室