随着信息技术在各行业的普遍运用,数据库已日渐成为信息系统1.1研究背景 1引言
不可或缺的核心资产,其存储的大量敏感信息关系着社会的根本利益。同时随着网络技术的不断发展,数据库系统也支撑着互联网行业的各种应用,如网络搜索引擎、电子商务、云计算等。因此,数据库系统也成为各种信息安全事件发生的重灾区。根据权威部门的数据[|][2]: CNVD仅2013年一年就通报了 136个数据库系统漏洞,占信息安全漏洞总数的1.8%;中国2012年就发生多起数据库信息安全事件,有50多个网站的多达上千万条的数据从数据库中被泄漏。2011年黑客利用SQL注入手段潜入HBGary Federal公司数据库窃取了 60000封机密电子邮件和大量客户信息,造成了不可估量的损失[3]。因此,保障数据库安全对于整个信息系统有着重要意义。首先用户的信息资产都
存储在数据库中,数据库安全对于用户信息资产的安全十分重要,这就要求数据库系统能保证存储的数据不被窃取。其次,数据库安全并不是仅仅保护数据库所在网络和操作系统的安全,其自身还有很多方面需要专门保护。最后,如果数据库安全不能得到保证,其所在的网络设施也会受到安全影响,以至威胁到整个信息系统的安全。目前数据库安全己经成为信息安全领域的一个重要方面。从1970年E.F.Codd[4]提出关系型数据模型以来,人们对数据库安全进行了大量的研究,认为数据库安全是保证数据库的完整性、机密性、可用性及其本身的相关安全特性[5],提出了如访问控制、安全语义、数据加密等数据库安全机制[6]。这些机制专注于数据库系统的防护,能有效预防和阻止非法行为的发生。然而各种数据库安全机制都有一些自身的弱点,谁都不能保证数据库系统的绝对安全,例如访问控制机制就很难防止数据库系统内部人员的非法攻击。因此,一旦发生安全问题,快速识别发现非法行为、事后取证追究违法者的责任和分析安全事故就显的十分重要,这引导我们开始关注数据库的安全审计与安全检测。
1.2研究现状
…………
在理论研究方面,J.RAnderson[7]于1980年首次提出在信息系统中
使用日志进行安全审计的思想。1991年M.Bishop[%|出安全审计由审计和日志两部分组成,日志侧重于表示对数据的记录,而审计侧重表示对数据的审查和分析,这对数据库安全审计的研究有着重要的指导意义。L.V. Onnan提出把数据挖掘运用到数据库安全审计中,开启了数据库安全审计新的方向。王渊把入侵检测引入了安全审计的领域,提出了安全审计与安全检测相结合的思想。戴华[11]将数据库入侵检测分成了面向数据对象、面向访问操作和面向应用语义的检测,并提出了一种OCAR的安全检测方法,丰富了数据库安全检测的研究。研究人员参照传统计算机系统的检测方法,将神经网络、数据挖掘、模式匹配等技术应用到了数据库安全检测之中。Oracle、Sybase和IBM等大型数据库公司结合自己的DBMS幵发出了适合自身的数据库安全审计系统和安全检测系统,如Oracle的Oracle Audit Vault。独立通用的数据库安全屯计平台和数据库安全相关产品也得到了充分的研发,如IBM的InfoSphere Guardium、Imperva SecureSphere、Application Security 的 DBProtect和Sentrigo的Hedgehog等。在国内许多公司也开发了数据库安全的同类产品,如安信通公司的一些列数据库安全产品、绿盟科技的安全审计系统和入侵检测系统、昂楷科技的AAS系统、思福迪的LOGBASE系统等。与国外产品相比,国内产品由于技术限制往往不能得到国外大型数据库公司的技术支持(如数据库非公开协议的技术支持),导致了国内数据库安全审计和安全检测产品在功能
和性能上的不足。
1991年,NCSC发布了《可信数据库管理系统解释》(Trusted 2.1数据库安全审计机制
2数据库安全审计机制与检测技术
……………
Database Management System Interpretation of the TCSEC, TDI),它是对 TCSEC 在 DBMS情境下的连释[气TDI将TCSEC的要求划分为全局要求和局部要求,规定数据库安全审计作为一种全局要求。1999年12月,国际标准化组织ISO/IEC确立了信息安全标准“ISO/IEC 15408-1999;Evaluation criteria for IT security\简称 ISO 15408 标准。ISO 15408标准在组织上分为基本概念、安全功能需求和安全需求保证三大部分,更完整的描述了信息安全的内容和级别,具有较高的应
用灵活性。该标准把安全审计作为一个其中的一个安全功能类,共包含六个功能。下面对这六个功能做简要介绍。(1)安全审计事件选择,是指系统可以只审计满足一定条件的安全事件,其定义了选择性审计组件。选择性审计是指根据事件属性或标识确定要审计的事件,主要依据的属性或标识有主机标识、主体标识、对象标识、事件类型等。(2)安全审计数据生成,是指系统对有关安全事件的发生进行记录,把需要审计的事件与相应用户标识对应起来。规定需要审计的安全事件主要有:访问敏感数据项、删除相关目标对象、访问权限的变更、主体和客体安全属性的变更等。其中,每条审计事件记录中应当包含的信息主要有:审计事件的标识、发生时间、事件类型、事件结果、审计事件功能类型。
2.2数据库安全检测技术
…………
基于统计分析的异常检测用统计分析的方法对用户历史操作行为
进行建模,当用户的操作行为不符合历史操作行为模型时,即确定为异常行为。具体来说,系统对用户的历史操作行为的某些特征变量做概率统计的建模,如对用户登录/注销次数、资源占用时间、资源使用量等特征变量使用频度、平均值、方差、概率分布等统计量进行描述。当用户操作行为的特征变量的统计值超过了历史量的极限值,就认为此操作是异常操作。基于神经网络的异常检测是指对用户正常的历史操作行为进行处理,利用神经网络技术从中提取用户正常行为模式,根据待检测操作行为偏离正常行为模式的程度判断用户操作行为的安全性。神经网络很好的解决了统计分析方法的一些弱点,比如消除了统计分析主观设定用户行为特征变量和概率统计量带来的检测误差,克服了统计分析适用性差、算法实现昂贵等特点。因此神经网络适合于对未知违法行为的检测。但是目前神经网络应用于安全检测还处于研究阶段,实现技术方面还不太成熟,有待进一步的完善。免疫系统的核心思想来源于模仿生物体免疫系统的工作机制,通过识别系统的“非自我”来发现用户异常行为,其关键在于如何构造操作行为的“自我”。
…………
4 数据库安全检测模型与方法......... 29 3.6 本章小节 .........28 3.5 安全审计日志......... 27 3.4.3 SQL语句解析 .........26 3.4.2数据库操作信息的提取......... 23 3.4.1网络协议解析......... 22 3.4 审计数据处理......... 22 3.3 审计数据采集......... 21 3.2 系统总体构架.........20 3.1 审计独立的必要性......... 18
3 基于旁路监听的数据库安全审计.......... 18
5.2.2数据库安全检测实验......... 53 5.2.1审计记录完整性实验......... 52 5.2 系统实验......... 51 5.1 系统功能实现......... 49 5 系统实现与实验......... 49 4.4 本章小结.........48 4.3 安全检测策略......... 47 4.2.2检测原理......... 44
4.2.1异常SQL语句结构......... 43
4.2 基于SQL语句结构的安全检测......... 43 4.1 基于用户行为规则的安全检测......... 29
数据库安全检测实验是为了验证系统对用户异常操作的检测识别5.1系统功能实现
5系统实现与实验
5.3 本章小结......... 55
能力,即系统的安全检测功能。本文实验先从用户的操作円志中生成用户正常行为规则,然后使用不同数量的正常操作语句,检验系统识别用户正常操作行为的能力。其次在用户正常数据集中加入非正常语句模拟用户异常操作,检验系统识别异常操作行为的能力。合法用户的正常操作特征:数据库合法用户数确定;每个合法用户名下只允许执行自己固定的操作类型,如用户A只能执行SELECT操作和INSERT操作,用户B只能执行UPDATE操作;每个合法用户名有固定的操作表权限。
本文设计和实现了一种针对Oracle数据库的安全审计检测系统。 结论
………
系统能实时记录显示用户对数据库的操作行为,能以实时/离线的方式对用户操作行为进行安全检测,系统实验验证了安全审计和安全检测的有效性。论文内容和成果主要有如下几点:
(1)通过分析数据库安全审计机制和安全检测技术,认为数据库安
全审计侧重于事后的监督和追查,数据库安全检测则是在更广的时间和数据范围内对数据库事件进行更具针对性的检测,二者在功能和目标上相互支撑、相互利用。
(2)以旁路监听的方式部署审计系统能有效解决审计独立的问题。
(3)系统由数据釆集模块、数据处理模块、安全审计检测模块、规
则生成模块、安全审计日志构成,各模块相互配合完成安全审计和安全检测的功能。
(4)本文系统记录分析用户行为准确详细。系统能有效的从TNS协
议314版本的数据包中提取用户操作信息,数据库用户行为模型能有效全面的描述SQL语句中的有效信息。
(5)本文系统能有效对数据库用户操作行为进行安全检测。生成用
户行为规则采用适合于用户行为数据的相关性度量标准——最大置信度,有效提取用户行为规则;规则生成算法考虑训练集内容的安全性,提高安全检测的灵活性;釆用两种安全检测方法结合的方式,提高了安全检测的广度和精细度。实验验证了系统功能的有效性。
参考文献(略)
……………
因篇幅问题不能全部显示,请点此查看更多更全内容