基于hexplet数据结构的数据库入侵检测机器学习方法

可在www.sciencedirect.com上在线ScienceDirect电气系统与信息技术学报3（2016）261基于hexplet数据结构的入侵检测机器学习方法萨阿德·M Darwish信息技术系，研究生学习和研究所，亚历山大大学，163 Horreya大道，El-Shatby 21526，P.O. Box 832，亚历山大，埃及接收日期：2015年7月15日;接收日期：2015年10月30日;接受日期：2015年12月15日2016年8月11日在线发布摘要对于任何组织来说，大多数有价值的信息资源都存储在数据库中，保护这些信息不受入侵者的攻击是一个严肃的课题。然而，传统的安全机制没有被设计成检测数据库用户的异常动作入侵检测系统（IDS）提供了内置安全工具无法保证的额外安全层，是保护数据库免受入侵者攻击的理想解决方案本文提出了一种异常检测方法，将原始的事务SQL查询归纳为一个紧凑的数据结构，称为hexplet，它可以模拟正常的数据库访问行为（抽象用户的配置文件），并识别专门为基于角色的访问控制（RBAC）数据库系统定制的冒名顶替这个hexplet允许我们通过利用事务日志条目中的信息来保留同一事务中SQL语句之间的相关性，目的是提高检测准确性，特别是该模型利用朴素贝叶斯分类器（NBC）作为最简单的监督学习技术，用于创建配置文件和评估交易的合法性。实验结果表明，该模型在检测率方面的性能。© 2016 电 子 研 究 所 （ ERI ） 。 Elsevier B. V. 制 作 和 托 管 这 是 CC BY-NC-ND 许 可 证 下 的 开 放 获 取 文 章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。关键词：数据库安全;异常检测;数据库入侵检测;基于角色的剖析1. 介绍在当今在过去的几年中，数据库系统构成了信息系统基础设施的核心在这些数据库中发现的数据在私人信息、银行交易、个人医疗数据和商业合同等之间变化。任何违反电子邮件地址：saad. alex-igsr.edu.eg电子研究所（ERI）负责同行评审http://dx.doi.org/10.1016/j.jesit.2015.12.0012314-7172/© 2016电子研究所（ERI）。Elsevier B. V.制作和托管这是CC BY-NC-ND许可证下的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。262S.M. Darwish/Journal of Electrical Systems and Information Technology 3（2016）261这些数据库的安全性将导致组织的声誉，客户的信心损失有许多方法可以保护数据库，如用户身份验证、事务数据加密、数据水印和入侵检测。每种方法都有其优点，它们应该一起工作，以达到数据库的最高安全级别用户身份验证是一种防止未经授权的用户访问数据库的技术交易数据加密也是一种预防技术;在嗅探会话的情况下，它可以阻止攻击者数字水印是一种用于保证数据完整性的检测技术。 入侵检测是一种检测技术，用于在绕过系统预防机制的情况下尽早识别恶意活动，以最大限度地减少入侵者造成的危害;有关这些技术的更多信息，读者可以参考Panda和Giordano（1999）以及Agrawal和Kiernan（2002）。实际上，现有的数据库安全机制基本上不是为了检测入侵而设计的;它们旨在避免入侵者。因此，入侵检测系统被认为是第二道防线。数据库入侵通常被定义为一组试图破坏数据完整性、数据机密性或数据可用性的行为;而数据库入侵检测则是跟踪提交到数据库的事务并对其进行分析以检测可能存在的入侵者的过程一般来说，有两种类型的数据库入侵攻击（I）内部和（II）外部（熊猫和佐丹奴，1999年）。内部外部攻击是指他试图先冲进，然后执行恶意行为。检测内部攻击通常比检测外部攻击更困难在文献中，数据库入侵检测有两个主要模型（Agnew，2003; Mogola等人， 2009）、异常检测和误用检测。异常检测模型基于用户的正常行为的简档。它分析用户的当前会话，并将其与代表其正常行为的配置文件进行比较。如果在比较过程中发现重大偏差，将发出警报。这包括在一段时间内监视系统状态;假设该监视的配置文件可以标记系统的一般来说，实现异常检测解决方案并不容易，因为剖析“正常”使用是一项具有挑战性的任务，并且异常检测方法也受到高误报率的影响，特别是在过度拟合“正常”简档的情况下另一方面，放松这些配置文件的边缘可能会导致错过攻击。在这种情况下，微调异常检测系统以找到最佳阈值是一个主要问题。相比之下，误用检测模型基于将用户的会话或命令与攻击者先前使用的攻击签名进行比较因此，攻击的签名误用检测是聪明的，只检测已知的攻击。然而，误用检测有时可以检测到与先前已知的攻击共享特征的新攻击。通过提出一个有效的数据库入侵检测系统，提高现有的异常检测系统的可能性构成了这项工作的目标本文的贡献是一个异常检测系统明确适应RBAC数据库系统。该系统建立和维护一个角色描述文件，通过特殊的数据结构，能够确定角色入侵者，代表精确和一致的用户行为推荐的数据结构是基于事务的，其提取同一事务中的查询之间的关系，而不是最先进的方法，即基于查询的方法，其可以检测要一起引用的属性，但不能检测要一起执行的查询。本文组织如下：下一节介绍了一些国家的最先进的工作，在检测异常数据库请求。第三节详细讨论了这一领域的工作建议。第四部分报告了相关的实验结果，第五部分总结了本文，并对未来的工作提出了一些初步的想法。2. 相关工作近年来，研究人员提出了多种方法来提高入侵检测的效率和准确性。但这些努力大多集中在检测网络或操作系统级别的入侵（Kang等人，2005; Ghosh等人， 1999年）。例如，Kang et al. （2005）试图剖析程序的正常行为。它试图归纳出正常的系统调用序列，并将这些序列作为正常的程序访问模式保存在数据库然而，这些努力不足以保护数据库，S.M. Darwish/Journal of Electrical Systems and Information Technology 3（2016）261263不能检测恶意数据损坏（即，数据库中的什么特定数据被哪个特定恶意数据库事务操纵）。在过去的几年里，数据库的IDS已经开始出现。数据库入侵检测领域的研究非常有限。例如，Lane和Brodley（1997）以及Ming和Feng（2003）提出了入侵容忍数据库系统的体系结构然而，这些方法更侧重于入侵检测的体系结构，以及在攻击的情况下的数据库恢复，而不是提出在DBMS上执行入侵检测任务的特定Liu（2002）开发的技术使用时间签名来发现数据库入侵。它在传感器事务级别检查数据库行为传感器事务通常很小，并且具有预定义的语义，例如只写操作和定义良好的数据访问模式。如果一个事务试图更新一个在该期间已经更新过的临时数据，则会发出警报。但是，该算法只适用于实时数据库系统。除了以前的方法，Lee等人（2000）的工作可以被认为是DBMS特定的ID机制，其中作者对真正的数据库事务的访问模式进行指纹识别，并使用它们来识别可能的入侵。它们将SQL查询总结为正则表达式指纹。如果给定查询与任何现有指纹都不匹配，则将其报告为恶意然而，为所有交易生成和维护完整的指纹集是一项艰巨的任务。此外，如果缺少任何一个合法的交易指纹，可能会引起许多误报。数据库入侵检测中最引人注目的方法是Lee等人的方法。（2002）、Hu and Panda（2003）和HuandPanda（2004）。Lee等人（2002）和Hu和Panda（2003）中的技术用于发现事务之间的关系，并使用此信息检查数据库日志文件中隐藏的异常。它们基于以下想法：如果数据项被更新，则此更新不会单独发生，而是伴随着一组也记录在数据库日志文件中的其他活动。因此，他们找出数据项之间的依赖关系，其中数据依赖关系是指数据项之间的访问相关性。不遵循任何这些挖掘的数据依赖性规则的事务被标记为恶意事务。这些方法通过比较不同项更新的那些集合（读集合、写前集合和写后集合）来找出恶意事务;然而，这些技术并不关注角色配置文件。Hu和Panda（2004）中提到的方法是一种针对关系数据库系统的误用检测系统它使用日志数据来构建描述典型用户活动的配置文件它识别经常一起访问的数据项如果系统确定一起访问的数据项的实质性事件，但不是如之前所识别的正常模式，则标记异常。这种方法的缺点在于，数据库系统的用户数量可能相当大，并且维护/更新用于如此大量的用户的简档不是容易的任务。希波克拉底数据库的架构（Chung等人，1999年）已计划作为一种机制，以保护他们管理的数据的隐私但是，即使该体系结构将入侵检测作为核心组件，它也没有指定执行入侵检测任务的任何方法在概念上与这项工作最相似的方法是Agrawal等人。（2002），Kamra et al. （2008a，b），和Bertino et al.（2005年）。 作者在Agrawal et al. （2002）正在检测对DBMS的用户/角色异常访问;它分析正常的用户/角色行为，并使用它来检测异常访问;它还使用分析技术来检测SQL注入。此外，Kamra等人（2008 a）和Bertino等人（2008 a）中所述的方法也适用于其他方法。（2005）讨论的是为每个角色创建配置文件，而不是为每个用户创建配置文件。 Kamra et al. （2008 b）创建其自己的数据结构（Triplet），其存储关于所执行的SQL语句的三个基本数据（命令、所访问的表、所访问的列），然后使用其来创建角色配置文件。该方法是Agrawal等人（2002）的扩展版本，其中作者升级了他们的数据结构，以包含有关where子句的信息，以提高入侵检测系统的效率新的数据结构（Quiplet）存储了有关SQL语句的五个基本信息（命令、访问的表、访问的列、在where子句中访问的表、在where子句中访问的列）。研究人员在Kamra et al. （2008a）使用自己的数据结构为数据库中的每个角色创建配置文件。这种类型的数据结构保留了事务中SQL语句之间的依赖关系，并在进一步的比较中使用它来检测数据库中的异常访问行为。在他们的方法中，读取数据库日志文件以提取事务访问的表列表和事务读写的属性列表这种方法的主要缺点是，它没有保留任何关于数据结构中where子句的信息，也没有提取同一事务中查询之间的相关性。上面讨论的大多数IDS264S.M. Darwish/Journal of Electrical Systems and Information Technology 3（2016）261在准确性和效率上有很大差异。他们中的大多数遇到的主要困难是，任何努力，以提高入侵的正确检测率，通常会导致增加误报以及。在这项工作中，注意的是建立一个入侵检测方案，采用的概念，创建配置文件的基础上，每个角色在数据库中的事务序列，通过使用数据库日志文件提取的轮廓特征，旨在提高入侵检测性能。攻击入侵检测问题的主要挑战是从数据库跟踪中提取正确的信息，以便建立准确的配置文件。为了解决这个问题，本文提出了一种新的表示数据库日志记录，它可以保存整个事务的信息，而不仅仅是一个单一的查询。 Agrawal et al. （2002），Kamra et al. （2008 b）和Bertino et al. （2005）与建议的方法非常相似，但这种方法在以下方面优于它们：保持同一事务中SQL语句之间的依赖关系。3. 所提出的系统本研究遵循的方法类似于Kamra等人提出的方法。（2008年a）。但是，该研究改进了SQL命令的表示，以包括有关事务中SQL命令序列的信息。建议的ID系统为每个角色建立一个配置文件，并能够得出结论的角色入侵者，即，个人，而持有一个明确的角色偏离该角色的正常活动。关于ID，使用角色意味着要形成和维护的配置文件的数量比考虑单个用户时所需的配置文件的数量小得多（Rao等人，2010年）。这意味着基于RBAC的ID解决方案可以很容易地在实践中部署。在这项工作中报告的两个困难如下：如何构建和保存配置文件表示精确和稳定的用户行为;如何使用这些配置文件进行ID任务在手。解决这些困难的主要挑战是从数据库跟踪（一组表示正常用户行为的无入侵训练记录）中提取正确的信息，以便构建准确的配置文件。当角色信息存在时，问题转化为一个有监督的学习问题。 与Kamra等人的工作相比，（2008 b），所提出的系统采用了一种新的数据库日志记录的表示，它保存了整个事务命令的信息，而不仅仅是类似工作中事务读写的属性列表。通过使用这种表示，系统可能会提高入侵检测性能。3.1. 系统设计该系统这些模块形成了新的扩展DBMS，该DBMS通过在应用程序级操作的独立ID系统ID过程的交互流程如图所示。1.一、 每次发出事务时，在执行之前由ID机制进行检查。首先，系统将新的事务转换为ID机制（hexplet）支持的新数据结构。然后，系统检查与现有配置文件相反的hexplet，并提交交易的评估（异常vs. 非异常）到响应引擎。响应引擎参考现有响应机制的策略基础，以根据对由比较过程提交的交易的评估来发出答复最常见的但是，其他操作也是可能的，例如禁用角色并断开进行访问的用户或删除查询。如果通过评估，事务不是异常的，则响应引擎简单地用事务信息更新数据库审计日志和配置文件。在检测阶段之前，应该执行学习阶段，以根据数据库审计日志中的 读者可以参考Kamra等人的工作。（2008a）详细概述了用于生成无入侵记录的算法。3.2. Hexplet数据结构为了识别用户行为，推荐的系统使用数据库日志文件来查询有关用户操作的信息。日志记录在处理之后用于形成表示可接受的动作的初步轮廓。日志文件中的每一个或多个条目（每个事务）都表示为单独的数据S.M. Darwish/Journal of Electrical Systems and Information Technology 3（2016）261265Fig. 1. 提出了入侵检测系统。单元;然后将这些单元组合以形成所需的轮廓。这里，假设与同一事务相关的SQL查询在日志文件中被标记在一起。为了构造配置文件，系统需要对日志文件项进行预处理，并将其转换为可分析的格式。因此，它通过包含六个字段的基本数据单元来符号化每个事务，因此它被称为hexplet。用户动作的特点是使用这样的hexplets集每个hexplet表示一个事务，并包含以下信息：前五个元素表示事务中的第一个SQL命令;用户发出的SQL命令，访问的关系集，以及每个关系的引用属性集。数据单元还处理查询的限定成分，以提取关于关系及其对应属性的信息，这些信息在查询谓词中使用;第六元素保存关于事务中的其余SQL命令（如果有的话）的信息。为了简单起见，系统使用6元关系H（c，PR，PA，SR，SA，RSQL）来表征通用hexplet，其中c对应于第一SQL命令，PR对应于投影关系信息，PA对应于投影属性信息，SR对应于选择关系信息，SA对应于选择属性信息，并且RSQL对应于链接的SQL命令（事务中的其余SQL命令表1显示了两个不同的事务及其表1hexplet构造的例子。交易Hexplet开始事务SELECTR1：A1;R1：C1;R2：B2;R2：D2 FROM R1;R2其中R1：A1 = R2：B2端事务开始事务SELECT R1：A1;R1：C1;R2：B2;R2：D2 FROMR1;R2其中R1：A1 = 5且R2：B2 = 5从R2其中R2：A2 = 17且R2：B2 = 5端交易<选择><1; 1><[1; 0; 1; 0]; [0; 1; 0; 1]><1; 1><[1;0; 0; 0]; [0; 1; 0; 0]><联系我们<选择><1; 1><[1; 0; 1; 0]; [0; 1; 0; 1]><1; 1><[1;0; 0; 0]; [0; 1; 0; 0]><[删除]<0; 1><[0; 0; 0; 0]; [0; 0; 0; 0]><0; 1><[0;0; 0; 0]; [1; 1; 0; 0]]>266S.M. Darwish/Journal of Electrical Systems and Information Technology 3（2016）261联系我们{=vjεVvjεV表示根据hexplets。该示例考虑由两个关系R1 = A1; B1; C1; D1和R2 = A2; B2; C2; D2组成的数据库模式hexplet的完整表示是（SQL-CMD，PROJ-REL-BIN []，PROJ-ATTR-BIN [][]，SEL-REL-BIN[]，SEL-ATTR-BIN[][]，PROJ-ATTR-SQL-CMD[]）。第一个字段是符号字段，对应于事务中的第一个SQL命令，第二个是二进制向量，如果第i个关系被投射到SQL查询中，则在其第i个位置包含1第三个字段是n个向量的向量，其中n是数据库中如果SQL查询投射第i个关系的第j个属性，则元素PROJ-ATTR-BIN[i][j]等于1同样，如果在SQL查询谓词中使用第i个关系，则第四个字段是在其第i个位置包含1的二进制向量。第五个字段是n个向量的向量，其中n是数据库中关系的数量。如果SQL查询引用查询谓词中第i个关系的第j个属性，则元素SEL-ATTR-BIN[i][j]等于1;否则等于0。第六个字段是一个向量，其长度等于事务中剩余的SQL命令的数量;向量中的每个元素都包含相同的前五个元素。例如，如果一个事务由三个SQL命令组成，则hexplet中的前五个字段将保存有关事务中第一个SQL命令的信息，第六个字段将是两个元素的向量;每个元素由相同的前一个结构组成（SQL-CMD，PROJ-REL-BIN[]，PROJ-ATTR-BIN[][]，SEL-REL- BIN[]，SEL-ATTR-BIN[][]），RSQL保存有关事务中其余SQL命令的信息总之，在基于查询的方法中，同一事务的两个查询被记录在不同的数据结构中（即，不同的动作）;而在所提出的方法中，完整的事务被记录在一个数据结构中（即，查询形成一个动作）。例如，考虑用户发出以下交易：开始事务从R2删除，其中R2：A2 = 17且R2：B2 = 5选择 * 从R2端交易在基于查询的方法中，该动作被认为是正常的。这可能导致假阳性。但是，由于所提出的方法将同一事务的所有查询绑定在一个行为中，因此它肯定会降低误报率。3.3. 分类器这项工作采用朴素贝叶斯分类器（NBC）的RBAC管理的数据库中的ID任务利用NBC的动机是其对训练和分类任务的低计算要求小的运行时间主要是由于属性独立性假设。为了更好地理解NBC下的概念，鼓励读者参考Kamraet al.（2008 b）和Bertinoet al.（2005）的著作，这些著作解释了NBC的最优域，并讨论了即使在属性独立性假设不成立的情况下其有效性能的原因在分类问题中，提供一组训练样本，并给出一个具有属性值的新实例（对应于观察集目标是预测这个新实例的目标值或类这里定义的技术是将最可能的类值v class εV分配给这个新实例，给定属性（a1，. . . ，an）来描述它。那就是v classarg max P（v j|a1，a2，. . 、.中，（1）vj εV使用贝叶斯定理，任何人都可以将表达式重写为（Bertino等人，（2005年）P（a1，a2，. . 、.中，a n|v j）P（v j）argmaxvj εV、P（a1，a2，. . 、.中， a n）最大方差P（a1，a2，. . 、.中，an|v j）P（v j），n（v j）P（a i|v j）。我（二）在这种情况下，估计P（vj）很简单，因为它只需要计算训练数据中vj的频率P（ai|vj）仅需要训练数据中具有等于vj的类值的元组上的频率计数。来解决这个问题=S.M. Darwish/Journal of Electrical Systems and Information Technology 3（2016）261267== −表2所提出的异常检测方法的评估结果。所有连接排除新的攻击检出率（%）92.696.4假阳性率（%）1.681.68在零概率（在大的训练集中观测值的数量非常小或为零）的情况下，系统采用标准贝叶斯方法来估计该概率，如Kamra等人中所讨论的。（2008年a）。NBC被直接应用到所提出的异常检测框架，通过考虑系统中的一组角色作为类和日志文件hexplets作为观察。在下文中，研究人员说明了如何将公式1应用于建议的数据类型（hexplet）。如果R表示角色集合，则给定观测（ci， PRi，PAi， SRi，SAi， RSQLi）的预测角色为r类=arg maxrjεRNCc=1p（rj）p（ci|rj）×.Ni=1. p（SR[i].SA[i]|rj）p.SR[i].SA[i]|RJΣΣΣ（三）其中N是DBMS中关系的数量，Nc是事务中SQL命令的数量有了上面的等式，ID任务就非常简单了。对于每一个新的事务，它的r类由训练好的分类器预测。如果这个r类不同于与事务相关联的原始角色，则检测到异常对于良性事务，可以通过增加相关属性的频率计数来直接更新分类器当一个用户同时被分配了多个角色时，ID的过程可以很容易地推广到这种情况。这是因为建议的方法是在每个交易的基础上而不是在每个用户的基础上检测异常。因此，只要与交易相关联的角色与分类器预测的角色一致，系统就不会检测到异常。4. 实验评价在本节中，我们在Microsoft Windows 7 Home Premium SP1上的Microsoft SQL Server 2000的DBMS上进行了几个实验，以测试所提出的方法的性能在所有的实验中，一个真实的数据集包括2000个事务（6500 SQL语句）被用来评估所提出的方法。数据库本身由55个表组成，共有665个不同的属性在数据库中，存在8个角色，它们以各种只读和读写角色访问数据库用于训练的数据集应该是无入侵的（可信事务），它是在为此目的进行修订后从数据库日志文件中提取的通过读取数据库日志文件并随机更改分配给每个事务的角色（约占事务的25%）来生成入侵/异常查询此数据集中的查询由select、insert、update和delete命令组成此外，许多新的，以前从未见过的攻击已经被用来访问ID系统的泛化能力。对于实验评估，在假阳性和检测率方面评估所建议的方法的性能，其估计如下（Tajbakhsh等人，2009年）：假阳性率正常连接检出率1 假阴性号攻击连接（四）（五）其中假阳性（阴性）率是标记为攻击（正常）的正常（攻击）连接数。所得结果报告于表2中。 可以得出结论，达到的检测率是近似最佳的入侵检测阶段（100%的检测率的学习阶段），而假阳性率是保留在大多数情况下低得多。使用另一种技术对同一数据集的一些分类结果（Kamra等人，2008年b），见表3。 与基于查询的方法相比，可以很容易地验证所提出的方法可以降低误报率。虽然Kamra等人（2008 a）提出的方法的执行时间优于建议的方法，建议的方法在2000个事务的总训练时间约为110 s这是因为基于hexpert的检测268S.M. Darwish/Journal of Electrical Systems and Information Technology 3（2016）261×× ×表3比较结果。该方法基于查询的方法（Kamra等人，2008年b）检出率（%）96.491.3假阳性率（%）1.6814.5系统比他们的系统更复杂，后者处理单个SQL语句而不是事务（两个或更多SQL语句）。最后，建议的方法的总执行时间约为120 s（包括培训和测试），这是完全合理的培训和测试记录的数量。检测算法的复杂度为O（R一N其中R是数据库中角色的数量，A是在分类器考虑的属性中，N是DBMS中关系的数量，Nc是事务中这使我们有机会发现将该方法与数据库的其他查询处理功能集成在一起的机会，以便在数据库内部建立集成的在线ID机制。5. 结论和今后的工作提出了一种基于事务的RBAC数据库异常检测系统。该机器学习系统能够从日志文件中提取关于同一事务中查询的访问模式的有价值的信息。用于训练分类器的角色的使用使得系统实用，即使对于具有大量用户的数据库也是如此。与基于查询的方法相比，所建议的系统肯定会降低误报率，因为它考虑了交易查询之间的相关性未来的工作包括阐述其他机器学习技术，以提高入侵检测的准确性和研究的情况下，角色信息不存在于日志记录。引用阿格纽，G.，2003年。 安全电子传输：过去的服务、能力和现状。电子商务支付技术一章。Springer-Verlag，ISBN3-540-44007-0，pp.211-226阿格拉瓦尔河Kiernan，J.，2002年。 标记关系数据库。在：第28届国际会议上的垂直大型数据库，香港，8月20日至23日，页。155-166页。阿格拉瓦尔河Kiernan，J.，斯里坎特河徐，Y.，2002. 希波克拉底数据库。在：第28届国际会议上的垂直大型数据库，香港，8月20日至23日，页。143-154。贝尔蒂诺，E.，Kamra，A.，Terzi，E.，Vakali，A.，2005年RBAC管理的数据库中的入侵检测。在：第21届年度计算机安全应用会议的会议记录，美国，12月05日至09日，pp。170-182.科洛拉，五，Banerjee，A.，库马尔，V.，2009年 异常检测：综述。 ACM Comput. 监视器 41（3），1-58。钟角，澳-地Gertz，M.，Levitt，K.，1999年DEMIDS：数据库系统的误用检测系统。在：第三届信息系统集成和内部控制国际工作会议的会议记录，荷兰，第18-19页。159-178页。Ghosh，A.，Schwartzbard，A.，沙茨，M.，1999年入侵检测中的学习程序行为模式。In：Proceedings of the 1stWorkshoponIntrusionDetectionandNetworkMonitoring，USA，April9-12，pp. 51比62Hu，Y.，潘达，B.，2003年。 识别数据库系统中的恶意事务。第七届国际数据库工程与应用研讨会论文集，香港，7月16日至18日，pp。329-335Hu，Y.，潘达，B.，2004. 一种用于数据库入侵检测的数据挖掘方法。在：应用计算的ACM研讨会的会议记录，塞浦路斯，3月14日至17日，pp。711-716Kamra，A.，贝尔蒂诺，E.，黎巴嫩，G.，2008年a。数据库入侵检测与响应机制。在：第二届SIGMOD博士工作室关于创新数据库研究的会议记录，加拿大，6月13日，第13页。31比36Kamra，A.，Terzi，E.，贝尔蒂诺，E.，2008年b。关系数据库中异常访问模式的检测。 VLDB J 17（5），1063-1077。Kang，D.，Fuller，D.，Honavar，V.，2005. 使用一组系统调用表示学习分类器进行误用和异常检测。在：第三届IEEE信息保障国际研讨会论文集，美国，3月23日至24日，pp。118比125Lane，T.，Brodley，C.，1997. 计算机安全异常检测中的序列匹配和学习。在：AAAI-97 Workshop关于人工智能欺诈检测和风险管理方法的会议记录，美国，7月27日至28日，第103页。43比49李，V.，Stankovic，J.，儿子S两千 实时数据库系统中基于时间特征的入侵检测。在：第六届IEEE实时技术和应用研讨会，美国，5月31日至6月02日，第101页。124-133李，S.，Low，W.，黄，P.，2002年。数据库入侵检测系统的指纹学习。在：第七届欧洲计算机安全研究研讨会的会议记录，瑞士，10月14日至16日，pp。264-280。S.M. Darwish/Journal of Electrical Systems and Information Technology 3（2016）261269Liu，P.，（1986 - 1990），中国科学院院士，2002年。 入侵容忍数据库系统的体系结构。在：第18届年度计算机安全应用会议，美国，12月09日至13日，pp。311-320Ming，Z.J.，Feng，M.J.，2003年。基于入侵容忍的数据库系统安全体系结构。 J. 西电大学 30（1），85-89. 潘达，B.，Giordano，J.，1999. 防御信息仓库。ACMCommun. 42（7），30-32。拉奥，UP，Sahani，G.，帕特尔，D.，2010. 机器学习提出了一种在支持RBAC的数据库中检测数据库入侵的方法。在：计算通信和网络技术国际会议的会议记录，印度，7月29日至31日，pp。一比四Tajbakhsh，A.，Rahmati，M.，Mirzaei，A.，2009年 基于模糊关联规则的入侵检测。 Appl. 软计算9，462-469。