本發(fā)明涉及計算機領(lǐng)域,尤其涉及一種統(tǒng)方分析方法及設(shè)備。
背景技術(shù):
::隨著各醫(yī)院信息化系統(tǒng)的大量使用,統(tǒng)方醫(yī)療數(shù)據(jù)的方法越來越多,非法統(tǒng)方的事件逐漸頻繁發(fā)生。越來越受的醫(yī)院以及相關(guān)政策,為及時定位非法統(tǒng)方人員以及避免更多非法統(tǒng)方事件的發(fā)生,使用了防統(tǒng)方系統(tǒng)?,F(xiàn)有的防統(tǒng)方系統(tǒng),廠商一般都是內(nèi)置固定的統(tǒng)方知識庫,建立統(tǒng)方模型,進行非法統(tǒng)方行為的動作匹配,從而對相關(guān)統(tǒng)方人員進行定位。但是隨著新的醫(yī)療his系統(tǒng)的出現(xiàn)以及非法統(tǒng)方新技術(shù)的產(chǎn)生,原有的內(nèi)置統(tǒng)方知識庫已無法有效識別新的非法統(tǒng)方行為,所以急需一種新的有效法來彌補原有內(nèi)置統(tǒng)方知識庫技術(shù)的不足。技術(shù)實現(xiàn)要素:本發(fā)明的一個目的是提供一種統(tǒng)方分析方法及設(shè)備,能夠解決現(xiàn)有的方案無法有效識別非法統(tǒng)方行為的問題。根據(jù)本發(fā)明的一個方面,提供了一種統(tǒng)方分析方法,該方法包括:從統(tǒng)方業(yè)務(wù)系統(tǒng)中抓取用戶的數(shù)據(jù)庫操作數(shù)據(jù);為每一用戶創(chuàng)建一個包含預(yù)設(shè)的模型要素及對應(yīng)值的模型,根據(jù)每一用戶的所述數(shù)據(jù)庫操作數(shù)據(jù),計算該用戶的所述模型中的各模型要素的對應(yīng)值的出現(xiàn)次數(shù);將每一用戶的所述模型中的值的出現(xiàn)次數(shù)小于預(yù)設(shè)閾值的模型要素及對應(yīng)值過濾掉;從所述數(shù)據(jù)庫操作數(shù)據(jù)中選取待分析數(shù)據(jù)庫操作數(shù)據(jù),根據(jù)每一用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù),得到該用戶的所述模型要素的值;比較所述用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù)中的模型要素的值與該用戶的模型中過濾后的模型要素的對應(yīng)值的偏差,根據(jù)偏差結(jié)果判斷所述待分析數(shù)據(jù)庫操作數(shù)據(jù)是否為可疑統(tǒng)方行為。進一步的,上述方法中,根據(jù)每一用戶所述數(shù)據(jù)庫操作數(shù)據(jù),計算該用戶的所述模型中的各模型要素的對應(yīng)值的出現(xiàn)次數(shù),包括:按所述預(yù)設(shè)的模型要素為維度對每一用戶的數(shù)據(jù)庫操作數(shù)據(jù)進行分解處理,將每一用戶的分解處理后的各數(shù)據(jù)庫操作數(shù)據(jù)分別作為該用戶的所述模型中相應(yīng)模型要素的對應(yīng)值;計算每一用戶的所述模型中的各模型要素的值的出現(xiàn)次數(shù)。進一步的,上述方法中,根據(jù)每一用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù),得到該用戶的所述模型要素的值,包括:將每一用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù),按該用戶的所述模型中的模型要素為維度對所述待分析數(shù)據(jù)庫操作數(shù)據(jù)進行分解處理,將每一用戶的分解處理后的所述待分析數(shù)據(jù)庫操作數(shù)據(jù)分別作為該用戶的相應(yīng)模型要素的值。進一步的,上述方法中,所述模型要素包括身份模型要素和/或操作模型要素。進一步的,上述方法中,所述身份模型要素包括ip/mac地址、操作系統(tǒng)賬號和數(shù)據(jù)庫登錄工具中的一種或任意組合。進一步的,上述方法中,所述操作模型要素包括數(shù)據(jù)庫實例、數(shù)據(jù)庫表字段、sql哈希和存儲過程中的一種或任意組合。進一步的,上述方法中,從統(tǒng)方業(yè)務(wù)系統(tǒng)中抓取用戶的數(shù)據(jù)庫操作數(shù)據(jù)和/或待分析數(shù)據(jù)庫操作數(shù)據(jù),包括:通過直接讀取、旁路監(jiān)聽、串行截取、代理中一種或任意組合的方式,從統(tǒng)方業(yè)務(wù)系統(tǒng)中抓取用戶的數(shù)據(jù)庫操作數(shù)據(jù)和/或待分析數(shù)據(jù)庫操作數(shù)據(jù)。進一步的,上述方法中,比較所述用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù)中的模型要素的值與該用戶的模型中過濾后的模型要素的對應(yīng)值的偏差,根據(jù)偏差結(jié)果判斷所述待分析數(shù)據(jù)庫操作數(shù)據(jù)是否為可疑統(tǒng)方行為,包括:比較所述用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù)中的模型要素的值與該用戶的模型中過濾后的模型要素的對應(yīng)值的偏差,對有偏差的模型要素記要素偏差值分數(shù);根據(jù)所述要素偏差值分數(shù)得到要素偏差值總分數(shù);當所述要素偏差值總分數(shù)大于預(yù)設(shè)閾值時,將所述待分析數(shù)據(jù)庫操作數(shù)據(jù)判斷為可疑統(tǒng)方行為。根據(jù)本發(fā)明的另一方面,還提供了一種統(tǒng)方分析設(shè)備,該設(shè)備包括:數(shù)據(jù)抓取模塊,用于從統(tǒng)方業(yè)務(wù)系統(tǒng)中抓取用戶的數(shù)據(jù)庫操作數(shù)據(jù)和從所述數(shù)據(jù)庫操作數(shù)據(jù)中選取待分析數(shù)據(jù)庫操作數(shù)據(jù);分析建模模塊,用于為每一用戶創(chuàng)建一個包含預(yù)設(shè)的模型要素及對應(yīng)值的模型,根據(jù)每一用戶的所述數(shù)據(jù)庫操作數(shù)據(jù),計算該用戶的所述模型中的各模型要素的對應(yīng)值的出現(xiàn)次數(shù),將每一用戶的所述模型中的值的出現(xiàn)次數(shù)小于預(yù)設(shè)閾值的模型要素及對應(yīng)值過濾掉;模型偏差計算模塊,用于根據(jù)每一用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù),得到該用戶的所述模型要素的值,比較所述用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù)中的模型要素的值與該用戶的模型中過濾后的模型要素的對應(yīng)值的偏差,根據(jù)偏差結(jié)果判斷所述待分析數(shù)據(jù)庫操作數(shù)據(jù)是否為可疑統(tǒng)方行為。進一步的,上述設(shè)備中,所述分析建模模塊包括第一數(shù)據(jù)預(yù)處理模塊,用于按所述預(yù)設(shè)的模型要素為維度對每一用戶的數(shù)據(jù)庫操作數(shù)據(jù)進行分解處理,將每一用戶的分解處理后的各數(shù)據(jù)庫操作數(shù)據(jù)分別作為該用戶的所述模型中相應(yīng)模型要素的對應(yīng)值;計算每一用戶的所述模型中的各模型要素的值的出現(xiàn)次數(shù)。進一步的,上述設(shè)備中,模型偏差計算模塊包括第二數(shù)據(jù)預(yù)處理模塊,用于將每一用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù),按該用戶的所述模型中的模型要素為維度對所述待分析數(shù)據(jù)庫操作數(shù)據(jù)進行分解處理,將每一用戶的分解處理后的所述待分析數(shù)據(jù)庫操作數(shù)據(jù)分別作為該用戶的相應(yīng)模型要素的值。進一步的,上述設(shè)備中,所述模型要素包括身份模型要素和/或操作模型要素。進一步的,上述設(shè)備中,所述身份模型要素包括ip/mac地址、操作系統(tǒng)賬號和數(shù)據(jù)庫登錄工具中的一種或任意組合。進一步的,上述設(shè)備中,所述操作模型要素包括數(shù)據(jù)庫實例、數(shù)據(jù)庫表字段、sql哈希和存儲過程中的一種或任意組合。進一步的,上述設(shè)備中,所述數(shù)據(jù)抓取模塊,用于通過直接讀取、旁路監(jiān)聽、串行截取、代理中一種或任意組合的方式,從統(tǒng)方業(yè)務(wù)系統(tǒng)中抓取用戶的數(shù)據(jù)庫操作數(shù)據(jù)和/或待分析數(shù)據(jù)庫操作數(shù)據(jù)。進一步的,上述設(shè)備中,所述模型偏差計算模塊,用于比較所述用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù)中的模型要素的值與該用戶的模型中過濾后的模型要素的對應(yīng)值的偏差,對有偏差的模型要素記要素偏差值分數(shù);根據(jù)所述要素偏差值分數(shù)得到要素偏差值總分數(shù);當所述要素偏差值總分數(shù)大于預(yù)設(shè)閾值時,將所述待分析數(shù)據(jù)庫操作數(shù)據(jù)判斷為可疑統(tǒng)方行為。根據(jù)本申請的另一面,還提供一種基于計算的設(shè)備,包括:處理器;以及被安排成存儲計算機可執(zhí)行指令的存儲器,所述可執(zhí)行指令在被執(zhí)行時使所述處理器:從統(tǒng)方業(yè)務(wù)系統(tǒng)中抓取用戶的數(shù)據(jù)庫操作數(shù)據(jù);為每一用戶創(chuàng)建一個包含預(yù)設(shè)的模型要素及對應(yīng)值的模型,根據(jù)每一用戶的所述數(shù)據(jù)庫操作數(shù)據(jù),計算該用戶的所述模型中的各模型要素的對應(yīng)值的出現(xiàn)次數(shù);將每一用戶的所述模型中的值的出現(xiàn)次數(shù)小于預(yù)設(shè)閾值的模型要素及對應(yīng)值過濾掉;從所述數(shù)據(jù)庫操作數(shù)據(jù)中選取待分析數(shù)據(jù)庫操作數(shù)據(jù),根據(jù)每一用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù),得到該用戶的所述模型要素的值;比較所述用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù)中的模型要素的值與該用戶的模型中過濾后的模型要素的對應(yīng)值的偏差,根據(jù)偏差結(jié)果判斷所述待分析數(shù)據(jù)庫操作數(shù)據(jù)是否為可疑統(tǒng)方行為。與現(xiàn)有技術(shù)相比,本發(fā)明提出一種智能學(xué)習(xí)方法,在實施初期,通過對醫(yī)院統(tǒng)方業(yè)務(wù)操作即數(shù)據(jù)庫操作數(shù)據(jù)的學(xué)習(xí)和分析,自動生成用戶統(tǒng)方模型,然后基于學(xué)習(xí)出來的動態(tài)模型,對新的業(yè)務(wù)操作數(shù)據(jù)即待分析數(shù)據(jù)庫操作數(shù)據(jù)進行偏差分析,從而能夠自動精確、識別出非法統(tǒng)方行為??筛鶕?jù)本實施例,生成上防統(tǒng)方系統(tǒng),可將醫(yī)院的業(yè)務(wù)系統(tǒng)賬號數(shù)據(jù)導(dǎo)入所述防統(tǒng)方系統(tǒng),用以與數(shù)據(jù)庫/業(yè)務(wù)系統(tǒng)操作的人員定位,然后由該防統(tǒng)方系統(tǒng)抓取醫(yī)院的數(shù)據(jù)庫操作以及業(yè)務(wù)操作數(shù)據(jù)進行分析。本發(fā)明所述的基于智能學(xué)習(xí)的精準統(tǒng)方方法可以適用于大多數(shù)防統(tǒng)方安全防護系統(tǒng),從而精準的實現(xiàn)非法統(tǒng)方行為的定位,提升醫(yī)院統(tǒng)方數(shù)據(jù)的精確性,降低非法統(tǒng)方事件的發(fā)生。附圖說明通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細描述,本發(fā)明的其它特征、目的和優(yōu)點將會變得更明顯:圖1示出根據(jù)本發(fā)明一實施例的原理圖;圖2示出本發(fā)明一實施例的模型示意圖。附圖中相同或相似的附圖標記代表相同或相似的部件。具體實施方式下面結(jié)合附圖對本發(fā)明作進一步詳細描述。在本申請一個典型的配置中,終端、服務(wù)網(wǎng)絡(luò)的設(shè)備和可信方均包括一個或多個處理器(cpu)、輸入/輸出接口、網(wǎng)絡(luò)接口和內(nèi)存。內(nèi)存可能包括計算機可讀介質(zhì)中的非永久性存儲器,隨機存取存儲器(ram)和/或非易失性內(nèi)存等形式,如只讀存儲器(rom)或閃存(flashram)。內(nèi)存是計算機可讀介質(zhì)的示例。計算機可讀介質(zhì)包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術(shù)來實現(xiàn)信息存儲。信息可以是計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序的模塊或其他數(shù)據(jù)。計算機的存儲介質(zhì)的例子包括,但不限于相變內(nèi)存(pram)、靜態(tài)隨機存取存儲器(sram)、動態(tài)隨機存取存儲器(dram)、其他類型的隨機存取存儲器(ram)、只讀存儲器(rom)、電可擦除可編程只讀存儲器(eeprom)、快閃記憶體或其他內(nèi)存技術(shù)、只讀光盤只讀存儲器(cd-rom)、數(shù)字多功能光盤(dvd)或其他光學(xué)存儲、磁盒式磁帶,磁帶磁盤存儲或其他磁性存儲設(shè)備或任何其他非傳輸介質(zhì),可用于存儲可以被計算設(shè)備訪問的信息。按照本文中的界定,計算機可讀介質(zhì)不包括非暫存電腦可讀媒體(transitorymedia),如調(diào)制的數(shù)據(jù)信號和載。如圖1所示,本申請?zhí)峁┮环N統(tǒng)方分析方法,所述方法包括:從統(tǒng)方業(yè)務(wù)系統(tǒng)中抓取用戶的數(shù)據(jù)庫操作數(shù)據(jù);在此,用于建模的數(shù)據(jù)庫操作數(shù)據(jù)可以是從統(tǒng)方業(yè)務(wù)系統(tǒng)中實時抓取到的數(shù)據(jù);為每一用戶創(chuàng)建一個包含預(yù)設(shè)的模型要素及對應(yīng)值的模型,根據(jù)每一用戶的所述數(shù)據(jù)庫操作數(shù)據(jù),計算該用戶的所述模型中的各模型要素的對應(yīng)值的出現(xiàn)次數(shù);將每一用戶的所述模型中的值的出現(xiàn)次數(shù)小于預(yù)設(shè)閾值的模型要素及對應(yīng)值過濾掉;在此,過濾掉低頻模型數(shù)據(jù)即出現(xiàn)次數(shù)少的模型要素及對應(yīng)的值,在此,低頻模型數(shù)據(jù)可以理解為不可信的數(shù)據(jù),類似統(tǒng)計學(xué)中的噪音數(shù)據(jù)(無效數(shù)據(jù)),過濾掉無效數(shù)據(jù)后的模型數(shù)據(jù),剩下的就是進行模型偏差計算時的參考模型數(shù)據(jù),可以用來進行精確的偏差計算;從所述數(shù)據(jù)庫操作數(shù)據(jù)中選取待分析數(shù)據(jù)庫操作數(shù)據(jù),根據(jù)每一用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù),得到該用戶的所述模型要素的值;在此,所述待分析數(shù)據(jù)庫操作數(shù)據(jù)可以是從統(tǒng)方業(yè)務(wù)系統(tǒng)中實時抓取到的數(shù)據(jù);比較所述用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù)中的模型要素的值與該用戶的模型中過濾后的模型要素的對應(yīng)值的偏差,根據(jù)偏差結(jié)果判斷所述待分析數(shù)據(jù)庫操作數(shù)據(jù)是否為可疑統(tǒng)方行為。在此,本實施例提出一種智能學(xué)習(xí)方法,在實施初期,通過對醫(yī)院統(tǒng)方業(yè)務(wù)操作即數(shù)據(jù)庫操作數(shù)據(jù)的學(xué)習(xí)和分析,自動生成用戶統(tǒng)方模型,然后基于學(xué)習(xí)出來的動態(tài)模型,對新的業(yè)務(wù)操作數(shù)據(jù)即待分析數(shù)據(jù)庫操作數(shù)據(jù)進行偏差分析,從而能夠自動精確、識別出非法統(tǒng)方行為??筛鶕?jù)本實施例,生成上防統(tǒng)方系統(tǒng),可將醫(yī)院的業(yè)務(wù)系統(tǒng)賬號數(shù)據(jù)導(dǎo)入所述防統(tǒng)方系統(tǒng),用以與數(shù)據(jù)庫/業(yè)務(wù)系統(tǒng)操作的人員定位,然后由該防統(tǒng)方系統(tǒng)抓取醫(yī)院的數(shù)據(jù)庫操作以及業(yè)務(wù)操作數(shù)據(jù)進行分析。本發(fā)明所述的基于智能學(xué)習(xí)的精準統(tǒng)方方法可以適用于大多數(shù)防統(tǒng)方安全防護系統(tǒng),從而精準的實現(xiàn)非法統(tǒng)方行為的定位,提升醫(yī)院統(tǒng)方數(shù)據(jù)的精確性,降低非法統(tǒng)方事件的發(fā)生。本申請的統(tǒng)方分析方法一實施例中,根據(jù)每一用戶所述數(shù)據(jù)庫操作數(shù)據(jù),計算該用戶的所述模型中的各模型要素的對應(yīng)值的出現(xiàn)次數(shù),包括:按所述預(yù)設(shè)的模型要素為維度對每一用戶的數(shù)據(jù)庫操作數(shù)據(jù)進行分解處理,將每一用戶的分解處理后的各數(shù)據(jù)庫操作數(shù)據(jù)分別作為該用戶的所述模型中相應(yīng)模型要素的對應(yīng)值;計算每一用戶的所述模型中的各模型要素的值的出現(xiàn)次數(shù)。在此,本實施例通過對數(shù)據(jù)庫操作數(shù)據(jù)按所述預(yù)設(shè)的模型要素為維度對每一用戶的數(shù)據(jù)庫操作數(shù)據(jù)進行分解處理,能夠準確獲取到所述模型中相應(yīng)模型要素的對應(yīng)值,便于后續(xù)分析比較。本申請的統(tǒng)方分析方法一實施例中,根據(jù)每一用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù),得到該用戶的所述模型要素的值,包括:將每一用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù),按該用戶的所述模型中的模型要素為維度對所述待分析數(shù)據(jù)庫操作數(shù)據(jù)進行分解處理,將每一用戶的分解處理后的所述待分析數(shù)據(jù)庫操作數(shù)據(jù)分別作為該用戶的相應(yīng)模型要素的值。在此,本實施例通過將每一用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù),按該用戶的所述模型中的模型要素為維度對所述待分析數(shù)據(jù)庫操作數(shù)據(jù)進行分解處理,可以準確獲取到用戶的過濾后的相應(yīng)模型要素的值,便于后續(xù)分析比較。如圖2所示,本申請的統(tǒng)方分析方法一實施例中,所述模型要素包括身份模型要素和/或操作模型要素。在此,將模型要素分為身份模型要素和操作模型要素,可以得到后續(xù)用于分析比較的全面的模型要素內(nèi)容。如圖2所示,本申請的統(tǒng)方分析方法一實施例中,所述身份模型要素包括ip/mac地址、操作系統(tǒng)賬號和數(shù)據(jù)庫登錄工具中的一種或任意組合。例如,ip、mac地址的值,如192.168.0.1b8:38:61:60:67:3f;操作系統(tǒng)賬號的值,如administrator;數(shù)據(jù)庫登錄工具的值,如sqlyog。在此,將身份模型要素分為ip/mac地址、操作系統(tǒng)賬號和數(shù)據(jù)庫登錄工具中的一種或任意組合,可以得到后續(xù)用于分析比較的全面的身份模型要素內(nèi)容。如圖2所示,本申請的統(tǒng)方分析方法一實施例中,所述操作模型要素包括數(shù)據(jù)庫實例、數(shù)據(jù)庫表字段、sql哈希和存儲過程中的一種或任意組合。例如,數(shù)據(jù)庫實例的值,如information_schema;數(shù)據(jù)庫表字段的值,如table1column1;sql哈希的值,如sql的值,為select*fromtable1,哈希的值,為717ff39d1a64de14995757fbf35aea60;存儲過程的值,如sp_rep_query。在此,將操作模型要素分別數(shù)據(jù)庫實例、數(shù)據(jù)庫表字段、sql哈希和存儲過程的一種或任意組合,可以得到后續(xù)用于分析比較的全面的操作模型要素內(nèi)容。本申請的統(tǒng)方分析方法一實施例中,從統(tǒng)方業(yè)務(wù)系統(tǒng)中抓取用戶的數(shù)據(jù)庫操作數(shù)據(jù)和/或待分析數(shù)據(jù)庫操作數(shù)據(jù),包括:通過直接讀取、旁路監(jiān)聽、串行截取、代理中一種或任意組合的方式,從統(tǒng)方業(yè)務(wù)系統(tǒng)中抓取用戶的數(shù)據(jù)庫操作數(shù)據(jù)和/或待分析數(shù)據(jù)庫操作數(shù)據(jù)。在此,通過直接讀取、旁路監(jiān)聽、串行截取、代理中一種或任意組合的方式,可以從統(tǒng)方業(yè)務(wù)系統(tǒng)中有效抓取到用戶的數(shù)據(jù)庫操作數(shù)據(jù)和/或待分析數(shù)據(jù)庫操作數(shù)據(jù)。本申請的統(tǒng)方分析方法一實施例中,比較所述用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù)中的模型要素的值與該用戶的模型中過濾后的模型要素的對應(yīng)值的偏差,根據(jù)偏差結(jié)果判斷所述待分析數(shù)據(jù)庫操作數(shù)據(jù)是否為可疑統(tǒng)方行為,包括:比較所述用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù)中的模型要素的值與該用戶的模型中過濾后的模型要素的對應(yīng)值的偏差,對有偏差的模型要素記要素偏差值分數(shù);根據(jù)所述要素偏差值分數(shù)得到要素偏差值總分數(shù);當所述要素偏差值總分數(shù)大于預(yù)設(shè)閾值時,將所述待分析數(shù)據(jù)庫操作數(shù)據(jù)判斷為可疑統(tǒng)方行為。在此,可以針對模型要素的匹配項目進行偏差值統(tǒng)計,如ip/mac地址跟模型中不一樣,最終偏差值分數(shù)+10;如數(shù)據(jù)庫表字段不一樣,最終偏差值分數(shù)+50;最終相加得到偏差值總分數(shù),分數(shù)值越大,表示偏差程度越高,從而,可以精確地判斷所述待分析數(shù)據(jù)庫操作數(shù)據(jù)判斷為可疑統(tǒng)方行為。如圖1所示,本發(fā)明一實施例的防統(tǒng)方系統(tǒng)中,主要有以下幾個模塊組成:數(shù)據(jù)抓取模塊、數(shù)據(jù)預(yù)處理模塊、分析建模模塊和模型偏差計算模塊。其中數(shù)據(jù)抓取模塊負責(zé)抓取業(yè)務(wù)系統(tǒng)形成原始數(shù)據(jù)庫操作數(shù)據(jù),數(shù)據(jù)預(yù)處理模塊對原始數(shù)據(jù)庫數(shù)據(jù)進行預(yù)處理,形成規(guī)范化sql數(shù)據(jù),然后分析建模模塊讀取規(guī)范sql數(shù)據(jù)進行用戶建模,模型建立完善后,模型偏差計算模塊對抓取的用戶數(shù)據(jù)進行匹配分析,從而產(chǎn)生非法行為的記錄與告警。上述防統(tǒng)方系統(tǒng)一實施例的操作流程如下:1)首先,業(yè)務(wù)系統(tǒng)正常運行;2)數(shù)據(jù)抓取模塊通過合適的方式(包括但不限于直接讀取、旁路監(jiān)聽、串行截取、代理等)抓取業(yè)務(wù)數(shù)據(jù),得到原始的數(shù)據(jù)庫操作數(shù)據(jù)raw_sql;3)數(shù)據(jù)預(yù)處理模塊讀入raw_sql,然后按照ip/mac地址、操作系統(tǒng)賬號、數(shù)據(jù)庫登錄工具、數(shù)據(jù)庫實例、數(shù)據(jù)庫表字段、sql哈希和存儲過程等模型要素維度,進行模型要素的數(shù)據(jù)分解處理,得到規(guī)范化模型數(shù)據(jù)profile_sql。4)模型未建立階段,分析建模模塊為新出現(xiàn)的每一個業(yè)務(wù)系統(tǒng)用戶創(chuàng)建一個用戶模型,模型主要分為用戶身份模型和用戶操作模型,在模型中為每一個模型要素創(chuàng)建一張統(tǒng)計表,統(tǒng)計表對模型的模型要求的值出現(xiàn)頻度進行統(tǒng)計計數(shù),統(tǒng)計次數(shù)初始化為零。接著讀入profile_sql,對模型中相應(yīng)的模型要素值的出現(xiàn)次數(shù),每發(fā)生一次統(tǒng)計次數(shù)加一;在此,建立的模型在數(shù)據(jù)庫中對應(yīng)的都是獨立的表,如數(shù)據(jù)庫登錄工具表可具體如下:上表中,當發(fā)現(xiàn)對應(yīng)數(shù)據(jù)庫登錄工具出現(xiàn)一次時對出現(xiàn)次數(shù)進行加一。5)模型未建立階段,重復(fù)步驟3、4直到模型建立結(jié)束;6)模型建立結(jié)束后,按照每個模型要素的值的出現(xiàn)次數(shù)從高到低進行排序,過濾掉低頻模型數(shù)據(jù)即出現(xiàn)次數(shù)少的模型要素及對應(yīng)的值;7)模型偏差計算模塊,對抓取用戶并預(yù)處理待分析數(shù)據(jù)庫操作數(shù)據(jù)得到profile_sql數(shù)據(jù),并對預(yù)處理后的用戶的profile_sql數(shù)據(jù),進行進行ip/mac地址、操作系統(tǒng)賬號、數(shù)據(jù)庫登錄工具、數(shù)據(jù)庫實例、數(shù)據(jù)庫表字段等維度的偏差計算,從而根據(jù)模型偏差程度進行可疑統(tǒng)方行為告警。根據(jù)本申請的另一面,還提供統(tǒng)方分析設(shè)備,所述設(shè)備包括:數(shù)據(jù)抓取模塊,用于從統(tǒng)方業(yè)務(wù)系統(tǒng)中抓取用戶的數(shù)據(jù)庫操作數(shù)據(jù)和從所述數(shù)據(jù)庫操作數(shù)據(jù)中選取待分析數(shù)據(jù)庫操作數(shù)據(jù);在此,數(shù)據(jù)庫操作數(shù)據(jù)和待分析數(shù)據(jù)庫操作數(shù)據(jù),可以是同一種數(shù)據(jù),可以都是實時數(shù)據(jù),只是在系統(tǒng)建模前、建模后不同狀態(tài)下的使用用途不同,建模前被用來建模使用,建模完成后被用來偏差計算使用;分析建模模塊,用于為每一用戶創(chuàng)建一個包含預(yù)設(shè)的模型要素及對應(yīng)值的模型,根據(jù)每一用戶的所述數(shù)據(jù)庫操作數(shù)據(jù),計算該用戶的所述模型中的各模型要素的對應(yīng)值的出現(xiàn)次數(shù),將每一用戶的所述模型中的值的出現(xiàn)次數(shù)小于預(yù)設(shè)閾值的模型要素及對應(yīng)值過濾掉;模型偏差計算模塊,用于根據(jù)每一用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù),得到該用戶的所述模型要素的值,比較所述用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù)中的模型要素的值與該用戶的模型中過濾后的模型要素的對應(yīng)值的偏差,根據(jù)偏差結(jié)果判斷所述待分析數(shù)據(jù)庫操作數(shù)據(jù)是否為可疑統(tǒng)方行為。本發(fā)明的統(tǒng)方分析設(shè)備一實施例中,所述分析建模模塊包括第一數(shù)據(jù)預(yù)處理模塊,用于按所述預(yù)設(shè)的模型要素為維度對每一用戶的數(shù)據(jù)庫操作數(shù)據(jù)進行分解處理,將每一用戶的分解處理后的各數(shù)據(jù)庫操作數(shù)據(jù)分別作為該用戶的所述模型中相應(yīng)模型要素的對應(yīng)值;計算每一用戶的所述模型中的各模型要素的值的出現(xiàn)次數(shù)。本發(fā)明的統(tǒng)方分析設(shè)備一實施例中,模型偏差計算模塊包括第二數(shù)據(jù)預(yù)處理模塊,用于將每一用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù),按該用戶的所述模型中的模型要素為維度對所述待分析數(shù)據(jù)庫操作數(shù)據(jù)進行分解處理,將每一用戶的分解處理后的所述待分析數(shù)據(jù)庫操作數(shù)據(jù)分別作為該用戶的相應(yīng)模型要素的值。本發(fā)明的統(tǒng)方分析設(shè)備一實施例中,所述模型要素包括身份模型要素和/或操作模型要素。本發(fā)明的統(tǒng)方分析設(shè)備一實施例中,所述身份模型要素包括ip/mac地址、操作系統(tǒng)賬號和數(shù)據(jù)庫登錄工具中的一種或任意組合。本發(fā)明的統(tǒng)方分析設(shè)備一實施例中,所述操作模型要素包括數(shù)據(jù)庫實例、數(shù)據(jù)庫表字段、sql哈希和存儲過程中的一種或任意組合。本發(fā)明的統(tǒng)方分析設(shè)備一實施例中,所述數(shù)據(jù)抓取模塊,用于通過直接讀取、旁路監(jiān)聽、串行截取、代理中一種或任意組合的方式,從統(tǒng)方業(yè)務(wù)系統(tǒng)中抓取用戶的數(shù)據(jù)庫操作數(shù)據(jù)和/或待分析數(shù)據(jù)庫操作數(shù)據(jù)。本發(fā)明的統(tǒng)方分析設(shè)備一實施例中,所述模型偏差計算模塊,用于比較所述用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù)中的模型要素的值與該用戶的模型中過濾后的模型要素的對應(yīng)值的偏差,對有偏差的模型要素記要素偏差值分數(shù);根據(jù)所述要素偏差值分數(shù)得到要素偏差值總分數(shù);當所述要素偏差值總分數(shù)大于預(yù)設(shè)閾值時,將所述待分析數(shù)據(jù)庫操作數(shù)據(jù)判斷為可疑統(tǒng)方行為。根據(jù)本申請的另一面,還一種基于計算的設(shè)備,包括:處理器;以及被安排成存儲計算機可執(zhí)行指令的存儲器,所述可執(zhí)行指令在被執(zhí)行時使所述處理器:從統(tǒng)方業(yè)務(wù)系統(tǒng)中抓取用戶的數(shù)據(jù)庫操作數(shù)據(jù);為每一用戶創(chuàng)建一個包含預(yù)設(shè)的模型要素及對應(yīng)值的模型,根據(jù)每一用戶的所述數(shù)據(jù)庫操作數(shù)據(jù),計算該用戶的所述模型中的各模型要素的對應(yīng)值的出現(xiàn)次數(shù);將每一用戶的所述模型中的值的出現(xiàn)次數(shù)小于預(yù)設(shè)閾值的模型要素及對應(yīng)值過濾掉;從所述數(shù)據(jù)庫操作數(shù)據(jù)中選取待分析數(shù)據(jù)庫操作數(shù)據(jù),根據(jù)每一用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù),得到該用戶的所述模型要素的值;比較所述用戶的待分析數(shù)據(jù)庫操作數(shù)據(jù)中的模型要素的值與該用戶的模型中過濾后的模型要素的對應(yīng)值的偏差,根據(jù)偏差結(jié)果判斷所述待分析數(shù)據(jù)庫操作數(shù)據(jù)是否為可疑統(tǒng)方行為。綜上所述,本發(fā)明提出一種智能學(xué)習(xí)方法,在實施初期,通過對醫(yī)院統(tǒng)方業(yè)務(wù)操作即數(shù)據(jù)庫操作數(shù)據(jù)的學(xué)習(xí)和分析,自動生成用戶統(tǒng)方模型,然后基于學(xué)習(xí)出來的動態(tài)模型,對新的業(yè)務(wù)操作數(shù)據(jù)即待分析數(shù)據(jù)庫操作數(shù)據(jù)進行偏差分析,從而能夠自動精確、識別出非法統(tǒng)方行為??筛鶕?jù)本實施例,生成上防統(tǒng)方系統(tǒng),可將醫(yī)院的業(yè)務(wù)系統(tǒng)賬號數(shù)據(jù)導(dǎo)入所述防統(tǒng)方系統(tǒng),用以與數(shù)據(jù)庫/業(yè)務(wù)系統(tǒng)操作的人員定位,然后由該防統(tǒng)方系統(tǒng)抓取醫(yī)院的數(shù)據(jù)庫操作以及業(yè)務(wù)操作數(shù)據(jù)進行分析。本發(fā)明所述的基于智能學(xué)習(xí)的精準統(tǒng)方方法可以適用于大多數(shù)防統(tǒng)方安全防護系統(tǒng),從而精準的實現(xiàn)非法統(tǒng)方行為的定位,提升醫(yī)院統(tǒng)方數(shù)據(jù)的精確性,降低非法統(tǒng)方事件的發(fā)生。上述設(shè)備實施例的具體內(nèi)容可以參見方法實施例的對應(yīng)部分,在此,不再贅述。顯然,本領(lǐng)域的技術(shù)人員可以對本申請進行各種改動和變型而不脫離本申請的精神和范圍。這樣,倘若本申請的這些修改和變型屬于本申請權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本申請也意圖包含這些改動和變型在內(nèi)。需要注意的是,本發(fā)明可在軟件和/或軟件與硬件的組合體中被實施,例如,可采用專用集成電路(asic)、通用目的計算機或任何其他類似硬件設(shè)備來實現(xiàn)。在一個實施例中,本發(fā)明的軟件程序可以通過處理器執(zhí)行以實現(xiàn)上文所述步驟或功能。同樣地,本發(fā)明的軟件程序(包括相關(guān)的數(shù)據(jù)結(jié)構(gòu))可以被存儲到計算機可讀記錄介質(zhì)中,例如,ram存儲器,磁或光驅(qū)動器或軟磁盤及類似設(shè)備。另外,本發(fā)明的一些步驟或功能可采用硬件來實現(xiàn),例如,作為與處理器配合從而執(zhí)行各個步驟或功能的電路。另外,本發(fā)明的一部分可被應(yīng)用為計算機程序產(chǎn)品,例如計算機程序指令,當其被計算機執(zhí)行時,通過該計算機的操作,可以調(diào)用或提供根據(jù)本發(fā)明的方法和/或技術(shù)方案。而調(diào)用本發(fā)明的方法的程序指令,可能被存儲在固定的或可移動的記錄介質(zhì)中,和/或通過廣播或其他信號承載媒體中的數(shù)據(jù)流而被傳輸,和/或被存儲在根據(jù)所述程序指令運行的計算機設(shè)備的工作存儲器中。在此,根據(jù)本發(fā)明的一個實施例包括一個裝置,該裝置包括用于存儲計算機程序指令的存儲器和用于執(zhí)行程序指令的處理器,其中,當該計算機程序指令被該處理器執(zhí)行時,觸發(fā)該裝置運行基于前述根據(jù)本發(fā)明的多個實施例的方法和/或技術(shù)方案。對于本領(lǐng)域技術(shù)人員而言,顯然本發(fā)明不限于上述示范性實施例的細節(jié),而且在不背離本發(fā)明的精神或基本特征的情況下,能夠以其他的具體形式實現(xiàn)本發(fā)明。因此,無論從哪一點來看,均應(yīng)將實施例看作是示范性的,而且是非限制性的,本發(fā)明的范圍由所附權(quán)利要求而不是上述說明限定,因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有變化涵括在本發(fā)明內(nèi)。不應(yīng)將權(quán)利要求中的任何附圖標記視為限制所涉及的權(quán)利要求。此外,顯然“包括”一詞不排除其他單元或步驟,單數(shù)不排除復(fù)數(shù)。裝置權(quán)利要求中陳述的多個單元或裝置也可以由一個單元或裝置通過軟件或者硬件來實現(xiàn)。第一,第二等詞語用來表示名稱,而并不表示任何特定的順序。當前第1頁12當前第1頁12