通过机器学习等方法发现数据库系统用户的合法行为模式,并据此对用户提交的数据库请求实时进行检测是一种主动的深度防御机制。依据结构化查询语言(SQL)的语法结构和语义特性,设计了适用于组合攻击检测的SQL语句模型,并依据SQL操作对象的层次性,引入SQL操作泛化,给出了一种通用的基于SQL操作序列的用户行为模型。分析了引入SQL泛化后,BIDE算法位置拓展检验和BackScan剪枝判定的合理性,提出了面向SQL操作序列的多层频繁闭序列挖掘算法MLBIDE,使之能挖掘出更为完整的用户合法行为模式。最后,通过开源数据挖掘集EXTENDED BAKERY Dataset验证引入SQL泛化后算法能够挖掘更多的隐含序列,通过自定义的安全攻击实验验证了上述挖掘出的行为模式能够使入侵检测的准确率得到提升。