網絡封包及資料庫封包稽核系統及其關聯性稽核裝置的製作方法

2023-07-09 00:16:16 1

專利名稱：：網絡封包及資料庫封包稽核系統及其關聯性稽核裝置的製作方法
技術領域：
：本發明是關於一種網絡封包及資料庫封包稽核系統，尤指一種統計數值運算的網絡封包及資料庫封包稽核系統，其不需進行大量的封包內容剖析及比對，以提升運算效能且節省封包儲存空間。
背景技術：
：鑑於網絡的普及性及便利性的發展快速，網際網絡已成為現今傳遞信息的主流媒介，各種公司行號、大型醫院等也都建立了屬於自己的區域網絡。普及且便利的網際網絡也延伸出了信息安全的問題，由於每個人都有可能通過網絡存取、修改數據，因此，衍伸出不少通過網際網絡以不合法的手段存取或修改數據的行為，為此，上述通過網際網絡存取數據的行為必須被紀錄，以作為資安責任的追究依據，然而，現有的網際網絡中，是以一網絡伺服器(Webserver)供用戶連結，用戶通過對網絡伺服器傳送HTTP網絡封包(HTTPrequest)而存取網絡數據，而該網絡伺服器提供的網絡數據，並不是儲存在該網絡伺服器中，而是儲存於一數據伺服器中(DataBasesever，簡稱DBserver)，並由該網絡伺服器連結至該數據伺服器，並對數據伺服器傳送SQL資料庫封包(SQLrequest)以取得要提供給用戶的網絡數據，但由於網絡伺服器需供眾多個用戶連結，因此網絡伺服器提供給用戶連結的連接埠(port)多，而連結數據伺服器的連接埠則相對於給用戶連結的連接埠少，讓多個用戶共用連接埠來存取數據伺服器的數據，因此並無法通過連接埠來判斷實際上是哪個用戶對資料庫進行了哪些存取行為。為此，現有一種網絡封包及資料庫封包稽核系統，其主要是以建立HTTP網絡封包與SQL資料庫封包的關聯性，以達到安全稽核的目的，請參閱圖9，上述網絡封包及資料庫封包稽核系統包括一網絡封包監聽器61(HTTPSniffer)，連結於一用戶端51及一網絡伺服器52之間，以擷取用戶端51傳輸給該網絡伺服器52的多個HTTP網絡封包，並輸出該多個HTTP網絡封包，且各HTTP網絡封包包括一全球資源定址信息(uniformresourcelocator,URL)及至少一網頁變數；一SQL資料庫封包監聽器62(SQLSniffer)，連結於該網絡伺服器52與一數據伺服器53之間，以擷取網絡伺服器52傳輸給該數據伺服器53的多個SQL資料庫封包，並輸出該多個SQL資料庫封包，且各SQL資料庫封包包括一SQL資料庫述句(SQLquery)；一關聯性稽核裝置63(SecureDevice),與該網絡封包監聽器61及該SQL資料庫封包監聽器62連接，且內建有一關聯性建立程序、一稽核程序及一知識庫，並交替執行該關聯性建立程序及該稽核程序，於該關聯性建立程序執行期間，持續接收該多個HTTP網絡封包及SQL資料庫封包，並以所擷取HTTP網絡封包中的全球資源定址信息(URLA-D)與SQL資料庫封包中的SQL資料庫述句(SQLA-C)建立如圖10所示的關係矩陣，並預設多個HTTP網絡封包所分別對應的全球資源定址信息(URLA-D)與SQL資料庫述句(SQLA_C)的相關性計分值為0，並依據此後接收到的多個HTTP網絡封包及多個SQL資料庫封包的相似程度(如剖析HTML文本，判斷是否包括相同的述句或使用者ID等變數)分別加減各全球資源定址信息對應各SQL資料庫述句的相關性計分值，例如接收一個包括URLA的HTTP網絡封包，而該HTTP網絡封包包括與SQLB相似的變數，則將URLA對應SQLB欄位中的相關性計分值加分，完全不同者則減分，且於結束該關聯性建立程序前，將該關係矩陣存入該知識庫中；於執行該稽核程序期間，是持續接收多個HTTP網絡封包及SQL資料庫封包，並以該知識庫中關係矩陣的相關性計分值作為判斷HTTP網絡封包與SQL資料庫封包是否相關的依據，以將HTTP網絡封包與對應相關的SQL資料庫封包建立一組稽核數據表，供稽核人員查詢。上述關聯性稽核裝置63執行關聯性建立程序及稽核程序後，產生的稽核數據表可得知哪個HTTP網絡封包對應到哪個SQL資料庫封包，由於HTTP網絡封包中通常會有用戶的IP位址或ID等信息，而SQL資料庫封包中則會有存取SQL資料庫的指令語言，能找到與HTTP網絡封包對應的SQL資料庫封包，便可知道哪個用戶端對應了哪一筆SQL資料庫存取行為。然而，由於上述關聯性稽核裝置63設定的相關性評分值是藉由各全球資源定址·信息對應的HTTP網絡封包內容(其所包括的述句、變數等)與SQL資料庫述句對應SQL資料庫封包包括的內容(其所包括的述句、變數等)比對而計算出，因此需要大量的儲存空間來儲存網絡及SQL資料庫封包所包括的內容，且須從SQL資料庫封包中HTML本文剖析SQL語法，進行複雜的內容比對程序，使關聯性稽核裝置63需執行大量運算；且，現有的關聯性稽核裝置63的最大運算負荷量通常只能負荷關聯性建立程序，難以同時執行稽核程序，使得關聯性建立程序及稽核程序只能交替執行，於稽核程序停止期間則無法產生稽核數據表，存在資安漏洞，需有所改良。
發明內容有鑑於上述網絡封包及資料庫封包稽核系統效能不佳的技術缺陷，本發明的主要目的是提出一種網絡封包及資料庫封包稽核系統及其關聯性稽核裝置。欲達上述目的所使用的主要技術手段是令該網絡封包及資料庫封包稽核系統包括一網絡封包監聽器，擷取多個HTTP網絡封包，並輸出該多個HTTP網絡封包，且各HTTP網絡封包至少包括一全球資源定址信息(URL)；一SQL資料庫封包監聽器，擷取多個SQL資料庫封包，並輸出該多個SQL資料庫封包，且各SQL資料庫封包至少包括一SQL資料庫述句(SQL)；一關聯性稽核裝置，與該網絡封包監聽器及該SQL資料庫封包監聽器連接，且內建有一關聯性學習分析程序及一稽核程序，該關聯性學習分析程序是於執行時，將接收該多個HTTP網絡封包及SQL資料庫封包的時間區分成多個時間區間，且將各種全球資源定址信息分布於多個區間內的數量作為一組全球資源定址信息的統計樣本S(Xi)，而將各種SQL資料庫述句分布於多個時間區間內的數量作為一組SQL資料庫述句的統計樣本S(Yi)，並評估且儲存該二組統計樣本中數量分布的相關程度的高低，以作為判斷各種全球信息定址信息與各種SQL資料庫述句間是否相關的依據；該稽核程序是依據關聯性學習分析程序中所儲存該二組統計樣本中數量分部的相關程度的高低，而判斷各種全球信息定址信息與各種SQL資料庫述句間是否相關，以建立一組稽核數據表，供稽核人員查詢全球資源定址信息與SQL資料庫述句間的相關程度。現有網絡架構中，SQL資料庫封包是因網絡伺服器接收到HTTP網絡封包而輸出的，故關聯性稽核裝置通常會在擷取到該HTTP網絡封包後，會於短時間內擷取到與該種HTTP網絡封包相關聯的SQL資料庫封包，因此，相關聯的全球資源定址信息及SQL資料庫述句的統計樣本S(Xi),S(Yi)相對於時間區間的分布情況會相近似，故本發明得以用包括各種全球資源定址信息的HTTP網絡封包及包括各種SQL資料庫述句的SQL資料庫封包，其兩者於時間區間的分布相關程度，找到與全球資源定址信息對應的SQL資料庫述句，以達到安全稽核的目的。而由於上述關聯性稽核裝置是以計數全球資源定址信息及SQL資料庫述句分別分布於多個時間區間內的數量，進而以統計出的統計樣本分布相關程度作為判斷HTTP網絡封包與是否相關的依據，因此僅需計算及出現的個數，作數值運算即可，不需儲存HTTP網絡封包及SQL資料庫封包的內容，也不需進行其內容的比對，節省儲存空間且減少運算複雜度，提升系統效能。又，有鑑於上述網絡封包及資料庫封包稽核系統存在資安漏洞的技術缺陷，本發明的次要目的是避免其關聯性學習分析程序及稽核程序交替執行所產生的資安漏洞，是進一步令該關聯性稽核裝置執行該稽核程序時，是持續且同時執行該關聯性學習分析程序，以持續更新各種全球資源定址信息與各種SQL資料庫述句間的相關程度數據，使稽核程序即時更新判斷各種全球資源定址信息與各種SQL資料庫述句間是否相關的依據標準，而因為本發明所提的關聯性學習分析建立程序僅需作數值計算，且運算量小，故同時執行關聯性學習分析建立程序及稽核程序亦不易超過關聯性稽核裝置的運算負荷量。圖I為本發明網絡封包及資料庫封包稽核系統的方塊示意圖。圖2為圖I的關聯性稽核裝置中關聯性學習分析程序的流程圖。圖3為圖I關聯性稽核裝置接收網絡封包流及SQL資料庫封包流的時間區間分布示意圖。圖4為圖I關聯性稽核裝置將HTTP網絡封包及SQL資料庫封包區分成多個時間區間的區間編號表。圖5為圖2將計數數量存入HTTP網絡封包雜湊表步驟所建立的HTTP網絡封包雜湊表。圖6為圖2將計數數量存入SQL資料庫封包雜湊表步驟所建立的SQL資料庫封包雜湊表。圖7為圖2將計算出的數量乘積和存入述句對定址信息雜湊表的步驟所建立的述句對定址信息雜湊表。圖8為圖I關聯性稽核裝置中稽核程序的流程圖。圖9為現有網絡封包及資料庫封包稽核系統架設於現有網絡架構中的方塊示意圖。圖10為現有關聯性稽核裝置建立的關係矩陣表格。具體實施例方式以下配合附圖及本發明的較佳實施例，進一步闡述本發明為達成預定發明目的所採取的技術手段。請參閱圖1，本發明網絡封包及資料庫封包稽核系統包括一網絡封包監聽器10，持續擷取多個HTTP網絡封包，並輸出該多個HTTP網絡封包，且各HTTP網絡封包至少包括一全球資源定址信息(uniformresourcelocator,URL)；一SQL資料庫封包監聽器20，持續擷取多個SQL資料庫封包，並輸出該多個SQL資料庫封包，且各SQL資料庫封包至少包括一SQL資料庫述句(SQLquery)；一關聯性稽核裝置30，是與該網絡封包監聽器及該SQL資料庫封包監聽器連接，且內建有一關聯性學習分析程序及一稽核程序，該關聯性學習分析程序是於執行時，將接收該多個HTTP網絡封包及SQL資料庫封包的時間區分成多個時間區間，且計數各種全球資源定址信息分布於多個區間內的數量，以作為一組全球資源定址信息的統計樣本S(Xi),而計數各種SQL資料庫述句分布於多個時間區間內的數量，以作為一組SQL資料庫述句的統計樣本S(Yi)，並評估且儲存該二組統計樣本S(Xi),S(Yi)中數量分布的相關程度的高低，以作為判斷各種全球信息定址信息與各種SQL資料庫述句間是否相關的依據，使得隨時間依所接收的最新HTTP及SQL資料庫封包，可即時更新此關聯分析判斷的依據標準；該稽核程序則是依據關聯性學習分析程序中所儲存該二組統計樣本S(Xi),S(Yi)中數量分布的相關程度的高低，而判斷各種全球信息定址信息與各種SQL資料庫述句是否相關，以建立一組稽核數據表，於本實施例中，該關聯性學習分析程序是計算該二組統計樣本S(Xi)、S(Yi)分布於各時間區間的相關係數r(correlationcoefficient),即NNNTjXiYJiYjXiYi-i^Ji.產......I................................—y-1'.................................V；—7』以該相關係數作為評估該二組統計樣S(Xi),S(Yi)的相關程度的依據，並儲存計算出的相關係數及相關係數對應的全球資源定址信息及SQL資料庫述句；該稽核程序則依據已儲存的相關係數值高低，以判斷各種全球信息定址信息與各種SQL資料庫述句間是否相關，以下僅配合附圖進一步說明。請參閱圖2，所述的關聯性學習分析程序包括以下步驟持續接收HTTP網絡封包及SQL資料庫封包Sll；計數目前時間區間(TbN)內，各種全球資源定址信息的數量Xn及其平方Xn2，並累NN-INN-I力口至一數量和;Ejfi=為及一平方和Zz7:2，再將各種全球資源定址信息i=li二II=I仁I及其對應於各時間區內的數量(TbN，Xn)、數量和;Z/、數量平方和;及採計的樣本個數i=l/=I|X|(樣本個數|X|即各種全球資源定址信息所對應分布的時間區間個數)存入一HTTP網絡封包雜湊表(HTTPhashtable)內S12，於本實施例中，請參閱圖3的TblTb4，該關聯性稽核裝置30於執行此步驟前，是由該網絡封包監聽器10持續接收HTTP網絡封包，並於接收滿一個時間區間後匯出HTTP網絡封包予關聯性稽核裝置30，該關聯性稽核裝置則依據接收HTTP網絡封包所屬的時間區間，設定此HTTP網絡封包一區間編號(batchID)，如圖4所示，若網絡封包監聽器10於第一個時間區間內擷取到URL2、URL3的全球資源定址信息，則關聯性稽核裝置30將此URL2、URL3的全球資源定址信息設定一編號為Tbl的區間編號；再計數目前時間編號中，各種全球資源定址信息的數量Xi及其平方Xi2，以進行加總，而該HTTP網絡封包雜湊表則如圖5所示，包括一定址信息欄位、一數量和欄位、一數量平方和欄位、一樣本數欄位及一樣本分布欄位，該樣本分布欄位中儲存有對應全球資源定址信息分布於各個時間區間的數量(Tbi，Xi)，如(Tb2，2)表示於包括該全球資源定址信息在區間Tb2中出現2次，該樣本數欄位則儲存所採計的各種全球資源定址信息的樣本數；計數目前時間區間(TbN)內，各種SQL資料庫述句的數量Yn及其平方￥/，並累加至一數量和打及一平方和tK2=Yn2+YjYf，再將各種SQL資料庫封包及其對應1—1I-I/=1/=1於各時間區間內的數量(TbN，yn)、數量和乏>、數量平方和及採計的樣本個數|Y|，即·仁I/二I各種SQL資料庫述句所對應分布的時間區間個數，存入一SQL資料庫封包雜湊表(SQLhashtable)內S13，於本實施例中，如圖3所示的TbfTb4，該關聯性稽核裝置30於執行此步驟前，是由SQL資料庫封包監聽器20持續接收SQL資料庫封包，並於接收滿一個時間區間後匯出SQL資料庫封包予關聯性稽核裝置30，該關聯性稽核裝置30則依據接收SQL資料庫封包時所屬的時間區間，設定SQL資料庫述句一區間編號(batchID),同樣如圖4中，若SQL資料庫封包監聽器20於第一個時間區間內擷取到SQL1、SQL2、SQL3的SQL資料庫述句，則關聯性稽核裝置30將此SQL1、SQL2、SQL3的SQL資料庫述句設定一編號為Tbl的區間編號；再計數目前區間編號中，各種SQL資料庫述句的SQL資料庫封包的數量Yi及其平方Yi2，以進行加總，且該SQL資料庫封包雜湊表如圖6所示包括一SQL資料庫述句欄位、一數量和欄位、一數量平方和欄位、一樣本數欄位(改名稱與前述的」樣本數」對應)及一樣本分布欄位，該樣本分布欄位中儲存有對應SQL資料庫述句的SQL資料庫封包分布於各個時間區間的數量(Tbi,Yi)，如(Tbl，I)表示於包括該SQL資料庫述句在時間區間I中出現I次，SQL資料庫封包雜湊表的樣本數欄位則儲存所採計的各種SQL資料庫述句的樣本數；計算目前時間區間內，各種全球資源定址信息與各種SQL資料庫述句的數量乘積XnYn,並累加至一乘積和;^XK，再將各種全球資源定址信息、各種SQL資料庫述句、相對應的數量乘積和及全球資源定址信息與SQL資料庫述句採計樣本的交集個數IxnYl存入一述句對定址資源雜湊表(SQL-HTTPhashtable)S14，如圖7所示；分別計算各種全球信息定址信息的統計樣本S(Xi)與各種SQL資料庫述句NNV^XiYi-1=1f1間的統計樣本S(Yi)間的相關係數r，FI,2I°f,且其中樣本數Lv3,￥IYX2-、,=1JIYYt-V,=1JISu\UUU=|X|+|Y|-|XnY|，樣本數U會隨著|X|、|Y|及IxnYl的數量不同而有所改變，並將各種全球信息定址信息、各種SQL資料庫述句及對應的相關係數儲存S15後，回到持續接收HTTP網絡封包及SQL資料庫封包的步驟sii，且上述步驟中已分別計算出權利要求1.一種網絡封包及資料庫封包稽核系統，其特徵在於，所述網絡封包及資料庫封包稽核系統包括一網絡封包監聽器，擷取多個HTTP網絡封包，並輸出所述多個HTTP網絡封包，且各HTTP網絡封包至少包括一全球資源定址信息；一SQL資料庫封包監聽器，擷取多個SQL資料庫封包，並輸出所述多個SQL資料庫封包，且各SQL資料庫封包至少包括一SQL資料庫述句；一關聯性稽核裝置，與所述網絡封包監聽器及所述SQL資料庫封包監聽器連接，且內建有一關聯性學習分析程序及一稽核程序，所述關聯性學習分析程序是於執行時，將接收所述多個HTTP網絡封包及SQL資料庫封包的時間區分成多個時間區間，且將各種全球資源定址信息分布於多個區間內的數量作為一組全球資源定址信息的統計樣本S(Xi)，而將SQL資料庫述句分布於多個時間區間內的數量作為一組SQL資料庫述句的統計樣本S(Yi)，並評估且儲存所述二組統計樣本中數量分布的相關程度的高低，以作為判斷各種全球信息定址信息與各種SQL資料庫述句間是否相關的依據；所述稽核程序是依據關聯性學習分析程序中所儲存所述二組統計樣本中數量分布的相關程度的高低，而判斷各種全球信息定址信息的HTTP網絡封包與各種SQL資料庫述句間是否相關，以建立一組稽核數據表。2.根據權利要求I所述的網絡封包及資料庫封包稽核系統，其特徵在於，所述關聯性學習分析程序計算所述二組統計樣本分布於各時間區間的相關係數，以所述相關係數作為評估全球資源定址信息的統計樣本及SQL資料庫述句的統計樣本間相關程度的依據，並儲存計算出的相關係數及相關係數對應的全球資源定址信息及SQL資料庫述句；所述稽核程序則依據已儲存的相關係數值高低，以判斷各種全球信息定址信息與各種SQL資料庫述句間是否相關。3.根據權利要求2所述的網絡封包及資料庫封包稽核系統，其特徵在於，所述關聯性稽核裝置執行所述稽核程序時，是持續且同時執行所述關聯性學習分析程序。4.根據權利要求2或3所述的網絡封包及資料庫封包稽核系統，其特徵在於，所述關聯性學習分析程序包括以下步驟持續接收HTTP網絡封包及SQL資料庫封包；計數目前時間區間TbN內，各種全球資源定址信息的數量Yn及其平方YN2，並累加至一數量和5.根據權利要求4所述的網絡封包及資料庫封包稽核系統，其特徵在於，所述HTTP網絡封包雜湊表包括一定址信息欄位、一數量和欄位、一數量平方和欄位、一樣本數欄位及一樣本分布欄位，所述樣本分布欄位中儲存有對應各種全球資源定址信息分布於各個時間區間的數量(Tbi，Xi)，所述樣本數欄位則儲存計數各種全球資源定址信息時所採計的樣本數；且所述SQL資料庫封包雜湊表包括一SQL資料庫述句欄位、一數量和欄位、一數量平方和欄位、一樣本數欄位及一樣本分布欄位，SQL資料庫封包雜湊表的樣本分布欄位中儲存各種SQL資料庫述句分布於各個時間區間的數量(Tbi，Yi)SQL資料庫封包雜湊表的樣本數欄位則儲存計數各種SQL資料庫述句時所採計的樣本數。6.根據權利要求5所述的網絡封包及資料庫封包稽核系統，其特徵在於，關聯性稽核裝置計數目前時間區間內全球資源定址信息的數量Xi及其平方Xi2的步驟前，是由所述網絡封包監聽器持續接收HTTP網絡封包，並於接收滿一個時間區間後匯出HTTP網絡封包予關聯性稽核裝置，所述關聯性稽核裝置則依據接收HTTP網絡封包所屬的時間區間，設定此全球資源定址信息一區間編號，再計數目前的時間編號中，各種全球資源定址信息的數量Xi及其平方Xi2，以進行加總；而關聯性稽核裝置計數目前時間區間內SQL資料庫述句的數量Yi及其平方Yi2的步驟前，是由SQL資料庫封包監聽器持續接收SQL資料庫封包，並於接收滿一個時間區間後匯出SQL資料庫封包予關聯性稽核裝置，所述關聯性稽核裝置則依據接收SQL資料庫封包所屬的時間區間，設定SQL資料庫述句一區間編號，再計數目前的區間編號中，各種SQL資料庫述句的數量Yi及其平方Yi2，以進行加總。7.根據權利要求6所述的網絡封包及資料庫封包稽核系統，其特徵在於，所述關聯性學習分析程序中預設一保留數據臨界值，並於將各種數據存入HTTP網絡封包雜湊表及SQL資料庫雜湊表之後，依據所述保留數據臨界值，刪除所屬時間區間最早的數據。8.根據權利要求7所述的網絡封包及資料庫封包稽核系統，其特徵在於，設定所述保留數據臨界值為一時間臨界值，且所述關聯性學習分析程序是刪除時間區間早於所述時間臨界值的所有數據。9.根據權利要求8所述的網絡封包及資料庫封包稽核系統，其特徵在於，所述稽核程序包括以下步驟持續接收HTTP網絡封包及SQL資料庫封包；判讀HTTP網絡封包中包括的全球資源定址信息及SQL資料庫封包包括的SQL資料庫述句；選出各種全球資源定址信息對各種SQL資料庫述句的相關係數高於一預設值者，將其分別對應的HTTP網絡封包與SQL資料庫封包設為相關聯，以建立所述稽核數據表。10.一種關聯性稽核裝置，其特徵在於，接收多個HTTP網絡封包及多個資料庫封包，且各HTTP網絡封包中包括一全球資源定址信息，各SQL資料庫封包中包括一SQL資料庫述句，且所述關聯性稽核裝置內建有一關聯性學習分析程序及一稽核程序，其中所述關聯性學習分析程序於執行時，接收所述多個HTTP網絡封包及SQL資料庫封包，並將接收所述多個HTTP網絡封包的時間區分成多個時間區間，且將各種全球資源定址信息分布於多個區間內的數量作為一組全球資源定址信息的統計樣本S(Xi)，而將各種SQL資料庫述句分布於多個時間區間內的數量作為一組SQL資料庫述句的統計樣本S(Yi)，並評估且儲存所述二組統計樣本中數量分布的相關程度的高低，以作為判斷各種全球信息定址信息與各種SQL資料庫述句間是否相關的依據；所述稽核程序持續接收多個HTTP網絡封包及SQL資料庫封包，並依據關聯性學習分析程序中所儲存所述二組統計樣本中數量分布的相關程度的高低，而判斷包括各種全球信息定址信息與包括各種SQL資料庫述句間是否相關，以建立一組稽核數據表。11.根據權利要求10所述的關聯性稽核裝置，其特徵在於，所述關聯性學習分析程序計算所述二組統計樣本分布於各時間區間的相關係數，以所述相關係數作為評估所述二組統計樣本間相關程度的依據，並儲存計算出的相關係數及相關係數對應的全球資源定址信息及SQL資料庫述句；所述稽核程序則以已儲存的相關係數值高低判斷各種全球資源定址信息與各種SQL資料庫述句是否相關。12.根據權利要求11所述的關聯性稽核裝置，其特徵在於，於執行所述稽核程序時，持續並同時執行所述關聯性學習分析程序。13.根據權利要求11或12所述的關聯性稽核裝置，其特徵在於，所述關聯性學習分析程序包括以下步驟持續接收HTTP網絡封包及SQL資料庫封包；計數目前時間區間TbN內，各種全球資源定址信息的數量Xn及其平方XN2，並累加至一數量和14.根據權利要求13所述的關聯性稽核裝置，其特徵在於，所述HTTP網絡封包雜湊表包括一定址信息欄位、一數量和欄位、一數量平方和欄位、一樣本數欄位及一樣本分布欄位，所述樣本分布欄位中儲存有對應各種全球資源定址信息布於各個時間區間的數量(Tbi,Xi)，所述樣本數欄位則儲存計數各種全球資源定址信息時所採計的樣本數；且所述SQL資料庫封包雜湊表包括一SQL資料庫述句欄位、一數量和欄位、一數量平方和欄位、一樣本數欄位及一樣本分布欄位，SQL資料庫封包雜湊表的樣本分布欄位中儲存各種SQL資料庫述句分布於各個時間區間的數量(Tbi，Yi)，SQL資料庫封包雜湊表的樣本數欄位則儲存計數各種SQL資料庫述句時所採計的樣本數。15.根據權利要求14所述的關聯性稽核裝置，其特徵在於，計數目前時間區間內全球信息定址信息的數量Xi及其平方Xi2的步驟，是先依據接收全球信息定址信息的時間所屬的時間區間，而設定各全球信息定址信息一區間編號，再計數對應各時間編號中，各種全球資源定址信息的數量Xi及其平方Xi2，以進行加總；而計數目前時間區間內SQL資料庫述句的數量Yi及其平方Yi2的步驟，是先依據接收SQL資料庫述句的時間所屬的時間區間，而設定各SQL資料庫述句一區間編號，再計數對應各區間編號中，各種SQL資料庫述句的數量Yi及其平方Yi2，以進行加總。16.根據權利要求15所述的關聯性稽核裝置，其特徵在於，所述關聯性學習分析程序中預設一保留數據臨界值，並於將各種數據存入HTTP網絡封包雜湊表及SQL資料庫雜湊表之後，依據所述保留數據臨界值，刪除所屬時間區間最早的數據。17.根據權利要求16所述的關聯性稽核裝置，其特徵在於，設定所述保留數據臨界值為一時間臨界值，且所述關聯性學習分析程序是刪除時間區間早於所述時間臨界值的所有數據。18.根據權利要求17所述的關聯性稽核裝置，其特徵在於，所述稽核程序包括以下步驟持續接收HTTP網絡封包及SQL資料庫封包；判讀HTTP網絡封包中包括的全球資源定址信息及SQL資料庫封包包括的SQL資料庫述句；選出各種全球資源定址信息對各種SQL資料庫述句的相關係數高於一預設值者，將其分別對應的HTTP網絡封包與SQL資料庫封包設為相關聯，以建立所述稽核數據表。全文摘要本發明是關於一種網絡封包及資料庫封包稽核系統及其關聯性稽核裝置，是以一網絡封包監聽器擷取包括全球資源定址信息的多個HTTP網絡封包，另以一SQL資料庫封包監聽器擷取包括SQL資料庫述句的多個SQL資料庫封包，並以一關聯性稽核裝置依據接收HTTP網絡封包及SQL資料庫封包的時間點，分別計數於多個時間區間中各種全球資源定址信息及各種SQL資料庫述句的數量，作為二組統計樣本，再以該二組統計樣本的相關程度判斷各全球資源定址信息與各SQL資料庫述句是否相關；如此得以數值計算取代剖析語法的複雜且運算量高的比對步驟，降低關聯性稽核裝置的運算負荷量，提升運算效能。文檔編號H04L29/06GK102724108SQ20121015973公開日2012年10月10日申請日期2012年5月22日優先權日2012年5月22日發明者丘祐瑋,巫孟倫,張嘉惠,張堯坤,張淵琮,林蔭峰申請人:庫柏資訊軟體股份有限公司