| 主权项 |
一种基于目标条件关联规则数据库异常查询监测方法,其特征在于该方法包括规则挖掘方法和异常检测方法,其中规则挖掘方法包括如下步骤:步骤1).从查询日志中提取一条未标记的查询语句,并标记该查询语句为已分析,当查询日志中不存在未标记的查询语句转步骤9;步骤2).当步骤1所述的未标记的查询语句中存在常值条件表达式转步骤1;步骤3).当步骤1所述的未标记的查询语句中不存在常值条件表达式,则将该语句转换为完全展开式查询语句;步骤4).提取步骤3所述的完全展开式查询语句的特征向量,生成对应的目标项集和条件项集,所述目标项集和条件项集构成步骤3所述的完全展开式查询语句的二元组特征向量;步骤5).当步骤4所述的目标项集已存在于目标项集库中,则该目标项集的计数器加1;步骤6).当步骤4所述的目标项集不存在于目标项集库中,则将该目标项集加入目标项集库,并设置该目标项集的计数器为1;步骤7).当步骤4所述的条件项集是已存在于条件项集库中,则该条件项集的计数器加1,否则将该条件项集加入条件项集库,并设置该条件项集的计数器为1;步骤8).当步骤4所述的二元组特征向量是已存在于训练库中,则该二元组特征向量的计数器加1,否则将该二元组特征向量加入训练库,并设置该二元组特征向量的计数器为1;步骤9).将步骤8所述的训练库的计数器加1并转步骤1,当步骤1所述的查询日志中所有的查询语句都提取完毕则转步骤10;步骤10).从步骤9所述的训练库中提取一条查询语句二元组特征向量,当不存在二元组特征向量转步骤15;步骤11).当步骤10所述的二元组特征向量中目标项集计数器与训练库计数器的商大于或等于最小支持度阈值则转步骤12,否则从步骤9所述的训练库中移除该二元组特征向量并转步骤10;步骤12).当步骤10所述的二元组特征向量中的条件项集计数器与训练库计数器的商大于或等于最小支持度阈值则转步骤13,否则从步骤9所述的训练库中移除该二元组特征向量并转步骤10;步骤13).当步骤10所述的二元组特征向量计数器与该二元组特征向量中目标项集计数 器的商大于或等于最小置信度阈值,则将该二元组特征向量转换为规则加入规则库并将该二元组特征向量从步骤9所述的训练库中删除并转步骤10;步骤14).当步骤10所述的二元组特征向量计数器与该二元组特征向量中目标项集计数器的商小于最小置信度阈值,则从步骤9所述的训练库中移除该二元组特征向量并转步骤10;步骤15).规则挖掘过程结束,返回规则库;异常检测方法包括如下步骤:步骤16).标记被检测的查询语句为异常查询,当被检测查询语句中存在常值条件表达式转步骤23;步骤17).当步骤16所述的被检测的查询语句中不存在常值条件表达式,则将被检测的查询语句转换为完全展开式查询语句;步骤18).提取步骤17所述的完全展开式查询语句的特征向量,生成对应的目标项集和条件项集;步骤19).从步骤15所述的规则库中取一条未标记的目标条件规则,并标记该目标条件规则为已使用,当不存在未标记的目标条件规则转步骤23;步骤20).当步骤18所述的当前被检测的查询语句的目标项集与步骤19所述的未标记的目标条件规则中的目标项集不相等转步骤19;步骤21).当步骤18所述的当前被检测的查询语句的条件项集与步骤19所述的未标记的目标条件规则中条件项集不相等转步骤19;步骤22).修改步骤16所述的被检测查询语句的标记为正常查询;步骤23).异常检测过程结束,返回步骤16中所述的当前被检测查询语句的标记结果。 |
