（计算机应用技术专业论文）一种应用级数据库入侵检测方法及其应用研究.pdf

一种应用级数据库入侵检测方法及其应用研究 摘要 一种应用级数据库入侵检测方法及其应用研究 摘要 数据库应用系统已经广泛运用于社会生活的各个方面，数据安全成为一个重要课 题越来越受到人们的普遍关注。作为数据库应用系统的支撑平台，计算机网络、操作 系统和数据库管理系统的安全性已经被深入研究，并涌现了各种不同的安全策略，然 而针对数据库应用系统的应用级安全策略目前依然研究不足。入侵是数据库应用系统 面临的主要安全威胁，如何快速、准确地检测入侵行为是目前数据库安全性的一个研 究难题。本文针对数据库应用系统的入侵检测问题做了相关研究。 首先，设计了一种应用级数据库入侵检测系统的总体方案。基于现有数据库应用 系统的主要特点，结合入侵检测思想、数据库中用户操作的特点以及行为特征，给出 了一种应用级数据库入侵检测系统的框架结构。 其次，现有模式匹配方法对数据分析处理时，容易丢失数据属性中的关键信息， 从而导致了较高的误报率和漏报率。针对这种现象，文中提出了一种两阶段模式建立 方法和基于模糊轮廓树的模式匹配方法。由描述属性建立模糊轮廓树，行为属性建立 行为模式，并基于模糊轮廓树实现了入侵检测的方法。 最后，给出了一种针对应用级数据库入侵的检测方法。该方法从s q l 语句结构、 s q l 语句数据操作行为和系统行为三个层次检测针对数据库的应用级入侵行为，与 现有方案只对单个s q l 语句检测的方法相比，该方法能够较好地识别用户行为的应 用语义并理解用户行为，从而能够很好地从应用级上进行入侵检测。 综上所述，本文提出一种两阶段模式建立方法和模糊轮廓树的匹配方法，实现了 一种针对应用级的数据库入侵检测技术。理论分析和实验证明，本文方法实现的应用 级数据库入侵检测方法提高了入侵检测的准确率，具有较高的可行性和实用价值。 关键词：数据库入侵检测模式匹配模糊轮廓树聚类 作者：李榕 导n - 杨季文 a b s t r a c tr e s e a r c ho nam e t h o do f a p p l i c a t i o n l e v e ld a t a b a s ei n t r u s i o nd e t e c t i o na n di t si m p l e m e n t a t i o n r e s e a r c ho na i n t r u s i o n m e t h o do f a p p l i c a t i o n - - l e v e ld a t a b a s e d e t e c t i o na n di t si m p l e m e n t a t i o n a b s t r a c t d a t a b a s ea p p l i c a t i o ns y s t e m sh a v eb e e nw i d e l yu s e di na l la s p e c t so fo u rs o c i a ll i v e s h o w e v e r ，d a t as e c u r i t yb e c o m e sa ni m p o r t a n tr e s e a r c ht o p i co fd a t a b a s ea p p l i c a t i o ns y s t e m w h i c hh a sa l l u r e dm o r ea n dm o r ee y e s a st h es u p p o r t i n gp l a t f o r mo fd a t a b a s es y s t e m ， c o m p u t e rn e t w o r k ，o p e r a t i n g s y s t e ma n dd a t a b a s em a n a g e m e n ts y s t e m h a v e b e e n r e s e a r c h e dd e e p l y , a n dh a v et h e i ro w ns e c u r i t ym e c h a n i s m s b u tt h ed a t a b a s ea p p l i c a t i o n s y s t e m sr e m a i nw e a kw i t hs e c u r i t yc o n t r o l s i n t r u s i o ni st h em a i ns e c u r i t yt h r e a tt ot h e d a t a b a s ea p p l i c a t i o ns y s t e m s s oi ti sah a r dp r o b l e mh o wt od e t e c ti n t r u s i o n sa c c u r a t e l y a n dr a p i d l y i nt h i sp a p e r ，w eh a v em a d es o m eu s e f u lr e s e a r c ho ni n t r u s i o nd e t e c t i o n t e c h n o l o g yf o rd a t a b a s ea p p l i c a t i o ns y s t e ma sf o l l o w s ： f i r s t l y , w ep r o p o s ead e s i g no fa p p l i c a t i o n - l e v e ld a t a b a s ei n t r u s i o nd e t e c t i o ns y s t e m b a s e do nt h em a i nf e a t u r e so fe x i s t i n gd a t a b a s ea p p l i c a t i o ns y s t e m s ，t h em e t h o d o l o g yo f i n t r u s i o nd e t e c t i o ns y s t e ma n dt h ef e a t u r e so fu s e r s b e h a v i o ri nt h ed a t a b a s e ，w ep r o p o s ea d e s i g no fa p p l i c a t i o n l e v e ld a t a b a s ei n t r u s i o nd e t e c t i o ns y s t e m s e c o n d l y , e x i s t i n gp a t t e r nm a t c h i n gm e t h o d sc o u l de a s i l yl o s et h ek e yi n f o r m a t i o n a n dl e a dt oa h i g hf a l s ep o s i t i v e sa n df a l s en e g a t i v e s i nt h i sp a p e rw ei n t r o d u c et w op h a s e s m o d e l i n ga n df u z z yp r o f i l et r e ep a t t e r nm a t c h i n gm e t h o d w eb u i l daf u z z yp r o f i l et r e e b a s e do nd e s c r i b i n ga t t r i b u t e sa n db e h a v i o rp a t t e m sb a s e do na c t i n ga t t r i b u t e ，a n df i n a l l y d e t e c ti n v a s i o n sb a s e do nt h ef u z z yp r o f i l et r e e f i n a l l y , w ep r o p o s eam e t h o do fa p p l i c a t i o n l e v e ld a t a b a s ei n t r u s i o nd e t e c t i o n i nt h i s p a p e r , w ed e t e c ti n v a s i o n sf r o mt h r e el e v e l s ，i n c l u d i n gs q ls t a t e m e n ts t r u c t u r e ，s q ld a t a m a n i p u l a t i o nb e h a v i o ra n da p p l i c a t i o ns y s t e mb e h a v i o r c o m p a r e dw i t l l t h ee x i s t i n g d e s i g n sw h i c ho n l yd e t e c ts i n g l es q ls t a t e m e n t ，t h i sm e t h o di sa b l et oi d e n t i f ya p p l i c a t i o n b e h a v i o ro fu s e r si nr e a s o n a b l em a n l l e r i ns u m m a r y , t h i sp a p e ri n t r o d u c e sa na p p l i c a t i o n l e v e ld a t a b a s ei n t r u s i o nd e t e c t i o n t e c h n o l o g y t od e t e c ti n t r u s i o na c c u r a t e l yw ep r o p o s eat w op h a s e sm o d e l i n gm e t h o da n d f u z z yp r o f i l et r e ep a t t e r nm a t c h i n gm e t h o d t h e o r e t i c a la n a l y s i sa n de x p e r i m e n t ss h o wt h a t t h i sm e t h o dh a sh i g hf e a s i b i l i t ya n dp r a c t i c a lv a l u e k e y w o r d s ：d a t a b a s ei n t r u s i o nd e t e c t i o n ，p a t t e r nm a t c h i n g ，f u z z yp r o f i l et r e e ，c l u s t e r i n g w r i t t e nb yl ir o n g s u p e r v i s e db yy a n gj i w e n i i 苏州大学学位论文独创性声明及使用授权声明 学位论文独创性声明 本人郑重声明：所提交的学位论文是本人在导师的指导下，独立进 行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不含 其他个人或集体己经发表或撰写过的研究成果，也不含为获得苏州大学 或其它教育机构的学位证书而使用过的材料。对本文的研究作出重要贡 献的个人和集体，均已在文中以明确方式标明。本人承担本声明的法律 责任。 研究生签名：害旄。 日期：丝2 ：笸：乡 学位论文使用授权声明 苏州大学、中国科学技术信息研究所、国家图书馆、清华大学论文 合作部、中国社科院文献信息情报中心有权保留本人所送交学位论文的 复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本 人电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文 外，允许论文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分 内容。论文的公布( 包括刊登) 授权苏州大学学位办办理。 研究生签名： 导师签名： 巷麓 e l 期：竺z ：! 日期： 竺! ! ：芝 一种应用级数据库入侵检测方法及其应用研究第1 章绪论 1 1 课题研究背景 第1 章绪论 随着计算机技术的飞速发展，信息技术在社会各个领域中得到广泛应用，信息安 全问题也日益突出。中国互联网安全报告( 2 0 0 8 年) 指出，“2 0 0 8 年网络安全事件 总数与去年同期相比大量增加 。信息安全问题越来越受到人们的关注。 计算机网络、操作系统和数据库管理系统是目前信息系统的三大支撑平台，三者 密不可分，其中任何一个出现安全漏洞都有可能威胁到整个信息系统的安全。 目前，计算机网络、操作系统的安全性已经受到了人们的高度重视，各种安全技 术层出不穷，相应的入侵检测技术也得到较大提升，为网络级和操作系统级的安全提 供了有力的保障。数据库作为数据存储和管理的核心，其安全性对于信息系统来说同 样是至关重要的。数据库管理系统提供了身份认证、访问控制、数据加密及审计跟踪 等传统安全机制，在一定程度上保障了数据库的安全。 但是，传统的、被动的数据库防御安全机制，在面对多变的攻击手段，特别是在 面对应用级攻击和来自内部的攻击时，显得苍白无力。数据库入侵检测作为一种主动 的积极防护技术，可以有效防御来自互联网以及局域网内部的层出不穷的攻击1 1 】，从 而弥补数据库传统安全机制的不足。 身份认证、 图1 - 1 信息系统安全结构图 信息系统安全结构图如图1 1 所示，目前信息系统一般由后台数据库、网络操作 第1 章绪论一种应用级数据库入侵检测方法及其应用研究 系统、计算机网络和客户端组成。虽然信息系统的各个层次上都有相应的安全机制， 但是在应用层上的安全机制非常薄弱。由于以下原因，整个信息系统的安全仍受到潜 在的威胁： 首先，不能保证已有的安全措施是完善的，不能保证现有的安全系统坚不可摧。 其次，很多应用系统的设计开发者安全意识薄弱，无法保证构建在数据库之上的 应用系统没有安全漏洞。由于系统安全脆弱性的客观存在，操作系统、应用软件等不 可避免的会存在一些安全漏洞，这些都为黑客非法入侵系统提供了可乘之机。 因此，有必要引入应用级的数据库入侵检测系统，防范来自应用层的入侵。中 国互联网安全报告( 2 0 0 8 年) 指出，网站篡改事件呈现大幅增长趋势，大量网站遭到 s q l 注入攻击。来自应用层的攻击严重威胁到信息系统的安全。应用级数据库入侵 检测系统通过对操作行为的应用层语义分析，能给更好的理解用户行为，为信息系统 提供应用级安全防御机制。 1 2 课题研究内容 入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。 本课题针对数据库应用系统的特点，设计一种应用级数据库入侵检测系统；针对现有 入侵检测系统在模式建立与匹配方法中存在的不足，提出了一种入侵检测系统的模式 建立与匹配方法。 目前的数据库应用系统，用户通过应用系统提交s q l 命令操作数据库，在这种 情况下，系统具有以下几个特点：( 1 ) 有固定的s q l 语句结构；( 2 ) 有固定的s q l 执行 顺序；( 3 ) 通过非正常渠道提交的命令必将破坏正常的s q l 语句结构或破坏s q l 语句 的执行序列。抓住以上特点，本文分别针对s q l 语句结构、s q l 语句的数据操作行 为以及由特定s q l 语句执行序列组成的系统行为进行分析检测，从三个层次实施入 侵检测，既对用户“做什么 进行了检测，又进一步检测用户“怎么做”。 课题包括如下几方面的研究内容： 1 ) 针对数据库应用系统的结构特点，给出了一种应用级数据库入侵检测方法及 系统的总体设计方案。目前入侵检测技术已经广泛应用于网络和操作系统层，并且有 相对成熟的理论和技术。但是，它们并不能很好地适合应用级数据库入侵检测系统。 2 种应用级数据库入侵检测方法及其应用研究 第1 章绪论 本文针对现有数据库应用系统的主要特点，将入侵检测思想和数据库中用户的操作特 点，以及在应用系统中的行为特征相结合，给出了应用级数据库入侵检测系统的总体 框架设计方案，能够较好地理解应用层语义，识别用户操作的真正意图，实现应用级 入侵检测。 2 ) 研究了入侵检测系统现有的模式建立与匹配方法，并针对现有方法的不足，提 出了入侵检测系统的一种模式建立与匹配方法。模式建立与匹配方法的准确性是入侵 检测系统能有效工作的关键。入侵检测系统的异常检测先由训练样本数据建立起系统 的安全模式，然后计算待检测对象与安全模式之间的相异度来衡量待检测对象与安全 模式是否匹配，由此判断是否为入侵行为。现有模式建立与匹配方法在对数据属性进 行分析处理时，容易造成属性中关键信息的丢失，导致较高的误报率和漏报率。本文 针对这一现象提出了一种新的模式建立与匹配方法，提高入侵检测系统的匹配精度。 3 ) 分析数据库应用系统中s q l 语句的结构特点，根据s q l 的语法，结合本文提 出的入侵检测系统的一种模式建立与匹配方法，给出了s q l 语句抽象建模及对s q l 语句结构的检测方法。本文实现应用级入侵检测的方法之一是对s q l 语句进行检测， 这就要求对样本数据中的s q l 语句进行抽象建模，以便与用户提交的s q l 语句进行 模式匹配，检测s q l 语句合法性。在完成对s q l 语句抽象建模的基础上，给出针对 s q l 语句结构的检测方法，检测用户提交的s q l 语句结构是否遭到恶意破坏。 4 1 根据数据库应用系统中用户行为的特点，给出了用户行为路线图的建立方法以 及对用户行为的检测方法。针对单个s q l 语句的检测方法不足以抵御千变万化的入 侵行为，本文提出了用户行为路线图及对用户行为的检测方法在任务级上实现入侵检 测，检测用户行为是否正常。 1 3 国内外研究现状 目前国内外学者在数据库入侵检测方面己做了大量研究，下面简要介绍这些研究 的主要成果，包括数据库入侵检测方法的研究方向、应用级数据库入侵检测系统方法 与实现、入侵检测系统中的模式建立与匹配方法等。 第1 章绪论一种应用级数据库入侵检测方法及其应用研究 1 3 1 数据库入侵检测技术的两种主要研究方法 从数据库入侵检测技术的检测要素划分，目前针对数据库的入侵检测技术可以分 为两种主要研究方法：基于用户访问行为的数据库入侵检测和基于s q l 语句的数据 库入侵检测。 1 基于用户访问行为的数据库入侵检测方法 基于用户访问行为的数据库入侵检测方法主要有两种：一是采用关联规则挖据， 发现用户行为的关系模式；二是用聚类方法，建立用户的行为轮廓。 1 ) 采用关联规则挖据，发现用户行为的关系模式。文献【2 提出了带权重的关联规 则挖掘方法( w d d r m ) ，将用户对数据库的操作行为分为读模式和写模式，通过关联 规则挖掘方法找出用户的读写操作关系，据此对用户的访问行为进行检测；文献【3 】 通过改进a p f i o f i 算法，尽可能多的消除无趣项，提出了一种基于特定模式树的用户 行为，使用关联规则挖掘出用户行为模式，建立用户活动简档。 2 ) 利用聚类方法，建立用户的行为轮廓。文献【4 】在数据库实时入侵检测系统中， 应用了基于密度的d b s c a n 聚类挖掘算法建立用户轮廓来更新规则库并检测用户行 为，引入相异权值来突出属性在不同应用场合的安全系数；蒋盛益【5 j 详细介绍了各种 聚类算法在入侵检测中的应用，提出了新的聚类压缩表示方法和混合属性数据差异性 度量方法，确定了聚类阈值范围的抽样方法，并且提出了一组基于聚类的入侵检测方 法等。 基于用户访问行为的入侵检测方法，使用成熟的数据挖掘技术建立用户正常行为 模式，并能在检测过程中自我学习，完善规则库。对偏离正常行为轨迹的异常操作行 为有很好的检测效果。 2 基于s q l 语句的数据库入侵检测方法 基于s q l 语句的数据库入侵检测方法。由于目前两层或多层的数据库应用系统 广泛部署于企业或组织，具有固定的s q l 语句结构、固定的s q l 执行顺序，针对s q l 语句结构和执行顺序进行检测是一种直观可行的方法。文献【6 】针对基于w e b 的应用 系统对数据库的访问方式，设计了一种具有自学习机制的异常入侵检测方法。该检测 方法通过分析s q l 语句首先检测p r o f i l e ，p r o f i l e 由多个m o d e l s 组成，根据不同的 m o d e l 类型，分别与s t r i n gm o d e l 和d a t at y p e i n d e p e n d e n tm o d e l 等模型进行匹配实现 4 一种应用级数据库入侵检测方法及其应用研究第1 章绪论 入侵检测。文献 7 提出了一种关系数据库的入侵检测方法。该方法对数据库日志中 的s q l 查询语句进行分析，建立数据库访问行为模式，并检测入侵行为。文献【8 利 用用户查询结构和属性结构的稳定性特征，提出了一个任务级用户查询模式挖掘算 法，首先给出了查询语句模板以及将s q l 语句解析成查询模板的方法，然后基于关 联规则方法提出用户查询模式挖掘算法。文献【9 分析s q l 语句，建立s q l 指印( s q l f i n g e r p r i m s ) ，通过匹配s q l 查询语句来检测异常数据库操作。 基于s q l 语句的数据库入侵检测方法，对正常的s q l 语句分析，建立正常的s q l 查询模型，通过匹配s q l 查询语句来检测异常数据库操作。在分析过程中，通常也 采用数据挖掘、神经网络等智能技术。基于s q l 语句的数据库入侵检测方法对基于 s q l 语句的攻击有很好的防御效果。 1 3 2 应用级数据库入侵检测技术 基于目前数据库的安全现状，越来越多的研究者开始把数据库的入侵检测提高到 应用级上来。 应用级数据库入侵检测系统要求检测系统能很好地理解应用层语义。基于用户访 问行为的方法，由于应用系统客户端用户和数据库管理系统用户不一对应，导致其 不能很好地理解应用层语义。 y ih u 1 0 】等人根据用户读写数据的依赖关系，提出一种检测用户异常读写操作行 为的方法。针对数据库异常事务的检测，又提出了在事务中发现数据依赖关系的方法， 并利用p e t r i 网在用户任务级上建立数据更新模式。之后，y ih u i 】等人又在已有研究 的基础上，提出了一种动态语义分析的方法对用户读写数据的依赖关系进行分析，从 而对用户访问行为进行检测。 但是，基于用户访问行为的方法仍存在以下两点不足： 一是应用系统客户端用户和数据库用户不是一一对应，无法准确建立用户访问的 行为模式。通常，在一个信息系统中，应用系统客户端的用户数目较多，甚至可能达 到上万的数量，而后台数据库用户却少得多，这就造成了建立的用户行为模式不精确。 二是对来自应用层的，有正常访问模式却执行入侵操作( 如s q l 注入) 的入侵 行为无法进行有效检测。 第1 章绪论种应用级数据库入侵检测方法及其应用研究 a d r i a ns p a l k a u 2 】等人基于关系数据库中的数据有统一的结构，提出了针对关系数 据库的一种入侵检测方法。一方面，采用一种基于参考值( r e f e r e n c ev a l u e s ) 的方法， 通过监视属性参考值被操作前后的变化来发现入侵；另一方面，引入r e l a t i o n s 的概 念记录关系的所有变化，通过比较实现入侵检测。这些方法都需要耗费很大的存储空 间，且不能很好的检测诸如s q l 注入之类的攻击方式。 j o s ef o n s e c a 等人在文献 1 3 ，1 4 】中通过分析s q l 命令和数据库事务来检测基于 s q l 的攻击行为。该方法从两个层次实施检测，一个是s q l 命令级，通过解析s q l 命令对s q l 语句结构进行检测；另个是数据库事务级，引入有向图来描绘正常的 数据库事务执行模式，检测用户提交的事务是否正常。文献 1 5 】针对正常s q l 语句与 入侵语句的不同，将s q l 语句转化成一组标记序列，然后传递给由b a c k p r o p a g a t i o n t h r o u g ht i m e ( b p t t ) 算法训练的递归神经网络r e c u r r e n tn e u r a ln e t w o r k ( r n n ) ，由神经 网络完成基于s q l 语句的训练和检测工作。 上一节中提到的文献 6 ，7 ，8 】也是基于s q l 语句的检测方法，他们通过建立s q l 语句的正常结构模式来实现应用级的数据库安全系统。文献 6 的具体方法是将s q l 语句解析成一种标记，标记中有若干分量，标识该标记是常量还是非常量标记、属于 什么类型等信息。该方法将s q l 语句中的常量标记去除，由非常量标记形成s q l 语 句的“骨架”模式。通过匹配“骨架”模式检测s q l 语句的结构、分析常量数据计 算异常系数来检测异常的s q l 命令。文献 7 】将检测分为有角色和无角色两种情况， 同样提出了相应的对s q l 语句解析方法，并根据安全应用的不同，采用不同的解析 方法。在有角色的情况下，利用贝叶斯定理，考察用户执行的s q l 语句是否符合其 角色的正常模式；在无角色的情况下，通过聚类方法( k 平均和k 中心) 将用户分为若 干类，然后使用两种方法来完成检测阶段，一种是用贝叶斯分类，一种是用中位数绝 对偏差来看用户提交的请求是否偏离正常模式。 基于s q l 语句的方法抓住了数据库应用系统的特点，通过分析s q l 语句建立数 据库访问模型并实施入侵检测。可以很好的理解应用层语义，能够检测来自内部的攻 击和基于s q l 语句的攻击方式，并具有较高的准确率。 如1 2 节所述，本课题研究内容将基于行为的检测方法和基于s q l 语句的检测 方法相结合实现入侵检测，对这两种方法取长补短，使其优势互补。 6 一种应用级数据库入侵检测方法及其应用研究第1 章绪论 1 3 3 入侵检测系统的模式建立与识别方法 数据库入侵检测包括两个阶段：训练阶段，分析训练样本数据，建立正常访问模 式；检测阶段，将待检测对象与已有模式比较，检测入侵。在整个入侵检测过程中， 如何准确建立用户行为模式，以及如何对行为模式进行匹配，是提高入侵检测系统检 测精度，降低误报率和漏报率的关键问题。 数据挖掘技术，在从大量数据中提取特征与规则方面具有很大的优势，已逐渐成 为训练阶段对训练样本数据进行分析，并建立系统的安全模式的主要方法。文献 1 6 ，1 7 】 通过聚类方法分析样本数据，建立起若干安全模式。当对待检测对象进行检测时，用 分类的方法判断待检测对象属于哪一个类别。文献【1 8 】提出一种聚类算法，持续地对 用户数据流进行建模。文献 1 9 】提出一种多层次建立用户行为轮廓的方法进行入侵检 测，首先采用专家系统规则对数据进行降维，然后对数据进行聚类分析，最后利用 l e a r n i n gv e c t o rq u a n t i z a t i o n ( l v q ) 重新评估调整聚类数据。文献 2 0 】中提出了一种类 标识策略，结合了聚类的d a v i e s b o u l d i n 指标和类的质心直径，并应用于异常入侵检 测系统中。文献 2 1 1 提出了基于相似度聚类分析方法的异常入侵检测模型，详细地讨 论了基于相似度聚类分析的用户轮廓建立的算法和基于相似度聚类分析方法的异常 检测算法。文献 2 2 将基于模糊逻辑的多重决策树方法应用于入侵检测中，提出一种 f i f d t ( t h em e t h o do fm u l t i p l ed e c i s i o nt r e ef u s i o nu s i n gf u z z yi n t e g r a l ) 方法高效地 对用户模式进行识别。 现有的模式建立与匹配机制，在对训练样本进行处理以及在检测阶段进行入侵检 测时忽略了数据属性的自身特点，造成数据属性关键信息的丢失，容易导致较高的误 报率和漏报率。 本文就入侵检测系统的模式建立与匹配方法做了相关研究，并给出一种入侵检测 系统的模式建立与匹配方法，避免对数据属性进行分析时，造成数据关键信息的丢失。 1 4 课题研究意义 数据库现有的安全措施如身份认证、存取控制、审计追踪等都是被动的。当前数 据库安全的一个重要发展方向是实现数据库的主动防御，而实现数据库主动防御的一 第1 章绪论一种应用级数据库入侵检测方法及其应用研究 个必要前提是数据库具备感知入侵的能力，数据库入侵检测系统正是一种能够感知入 侵的主动的防御措施。 目前，入侵检测技术已经广泛应用于网络和操作系统，针对数据库的入侵检测技 术也逐渐发展起来。与网络层和操作系统层的入侵检测相比，应用级数据库入侵检测 更关心用户操作的应用语义，能够更好地理解用户的行为。本文根据现有信息系统的 主要特点，结合常规入侵检测的思想、数据库中用户操作的特点、应用系统中的行为 特征，实现了应用级数据库入侵检测，具有重要的现实意义： 1 ) 本文设计了一种应用级数据库入侵检测系统，通过分析用户操作的应用语义， 从应用级上检测出用户操作行为的真正意图，实施有效的应用级数据库入侵检测。 2 ) 本文给出的一种入侵检测系统模式建立与匹配方法，克服了现有方法的不足， 避免了模式建立与匹配过程中数据对象关键信息的丢失，从而有效提高了入侵检测的 准确率，为应用级入侵检测系统奠定了坚实的基础。 3 ) 针对信息系统的结构特点，本文给出了一种应用级数据库入侵检测方法。分别 从s q l 语句结构、s q l 数据操作行为和系统行为三个层次实施入侵检测，能够很好 的检测对于来自应用层和来自内部的非法操作，与现有的单一的检测方法相比，大幅 降低了入侵检测系统的漏报率和误报率。 1 5 本文组织结构 第1 章介绍了课题研究背景，分析了数据库安全的重要性，强调了从应用级保障 数据库安全的必要性，介绍了本文在应用级数据库检测方面所做的研究工作，目前国 内外在这一方面的主要研究方向、研究成果及本课题的研究意义。 第2 章主要介绍入侵检测相关概念、常用方法，介绍了传统的数据库安全机制， 并分析传统数据库安全机制的不足，进而引出入侵检测在数据库安全领域的应用，具 体介绍了模式识别技术和数据挖掘技术在入侵检测中的应用。 第3 章给出系统设计的目标，以及基于设计目标的设计思路，并给出了系统设计 的总体结构，介绍系统的总体流程。 第4 章分析入侵检测系统中现有模式建立与匹配方法的不足，针对这些不足提出 一种特殊的两阶段模式建立方法和基于模糊轮廓树的模式匹配方法，并通过实验验证 8 一种应用级数据库入侵检测方法及其应用研究第1 章绪论 了该方法的准确性。 第5 章按照系统的设计目标及结构组成，给出了各个模块的设计方案和具体方 法，实现了应用级数据库入侵检测目标，并通过实验验证系统的正确性。 第6 章对研究工作进行总结，指出进一步研究工作的重点和方向。 9 第2 章相关技术介绍一种应用级数据库入侵检测方法及其应用研究 第2 章相关技术介绍 传统的被动式的安全防御系统已经无法满足信息系统的安全需求，入侵检测系统 以其及时、准确和主动防御特性越来越成为保障信息系统安全的核心技术。本章介绍 入侵检测相关概念、方法、入侵检测系统的通用结构以及数据库入侵检测的相关技术。 2 1 入侵检测的概念及常用方法 入侵检测是保障信息安全的主要措施之一，经过多年的研究发展，形成了一套较 完善的理论和技术体系。本节介绍入侵检测系统的基本概念，然后对异常检测和误用 检测进行介绍，并对它们进行对比分析。 2 1 1 入侵检测相关概念 入侵检测的概念存在诸多提法。j a m e sea n d e r s o n 在1 9 8 0 年4 月的c o m p u t e r s e c u r i t yt h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ( 计算机安全威胁监控与监视) 技术报告中， 第一次详细说明了入侵检测的概念【2 3 1 。他提出了利用审计跟踪数据监视入侵活动的思 想；还提出了一种对计算机系统风险和威胁的分类方法，将威胁分为外部渗透、内部 渗透和不法行为三种。j a m e sp a n d e r s o n 的这份报告被公认为是入侵检测的开山之作。 1 9 9 7 年美国国家安全通信委员会( n s t a c ) 下属的入侵检测小组( i d s g ) 将入侵检 测定义为：入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的 过程。 入侵检测系统则是具有上述功能的独立系统。入侵检测系统能够检测未授权对象 针对系统的入侵企图或行为，同时监控授权对象对系统资源的非法操作。图2 1 是入 侵检测系统通用结构图【2 4 】。 1 0 一种应用级数据库入侵检测方法及其应用研究第2 章相关技术介绍 动作 图2 1 入侵检测系统通用结构图 入侵检测在信息系统受到危害之前拦截和响应入侵，是一种积极主动的安全防护 技术，提供了对内部攻击、外部攻击和误操作的实时保护。 入侵检测系统的技术指标包括：漏报、误报、鲁棒性和管理能力2 3 1 。 1 ) 漏报。指入侵检测系统将攻击行为当成了正常访问。入侵检测系统较高的漏报 率使入侵检测的防护功能大打折扣。 2 ) 误报。指入侵检测系统将正常的访问当成了攻击行为。误报信息直接导致系统 发出误警，系统误警率的不断提高导致了管理者无所适从，于是就将真的的攻击淹没 在大量的误警中，不能得到有效的识别。 3 ) 鲁棒性。入侵检测系统本身在各种环境下都能正常工作；并且各个模块之间的 通信能够不被破坏，不被仿冒。 4 ) 管理能力。入侵检测系统应具备一定的管理能力，根据系统安全环境来调整安 全策略。 2 1 2 入侵检测的常用方法 入侵检测的常用方法分为误用检测和异常检测。 1 误用检测( m i s u s ed e t e c t i o n ) 误用检测是通过某种方式预先定义入侵行为，然后监视系统，从中找出符合预先 定义规则的入侵行为。误用检测的前提是预先知道入侵行为，并且这些入侵行为都有 第2 章相关技术介绍一种应用级数据库入侵检测方法及其应用研究 可被检测到的特征。由于误用检测明确指示当前发生的攻击手段类型，具备更好的确 定的解释能力，使其具有较高的检测率和较低的误报率，因而得到了广泛应用。误用 检测的主要方法有：基于条件概率的误用检测、基于专家系统的误用检测、基于状态 迁移的误用检测、基于模型的误用检测。 2 异常检测( a n o m a l yd e t e c t i o n ) 异常检测是指根据用户的行为或系统资源使用状况的正常程度来判断是否入侵， 而不依赖于具体行为是否出现来检测。异常检测的假设条件是对攻击行为的检测可以 通过观察当前活动与系统历史正常活动情况之间的差异来实现。异常检测通常都会建 立一个关于系统正常活动的状态模型并不断进行更新，然后将用户当前的活动情况与 这个正常模型进行比对，如果发现了超过设定阈值的差异程度，则指示发现了非法攻 击行为。 异常检测的关键问题有两点：一是正常使用模式( n o n n a lu s a g ep r o f i l e ) 的建立； 二是如何利用该模式对当前的系统或用户行为进行比较，从而判断出与正常模式的偏 离程度。异常检测的主要方法有：基于特征选择的异常检测、基于模式预测的异常检 测、基于神经网络的异常检测、基于机器学习的异常检测、基于数据挖掘的异常检测。 3 误用检测和异常检测的分析比较 比较而言，误用检测具有较高的检测率和较低的误报率，其规则库和特征集合的 开发，对于建立系统正常模型而言更方便、更容易。而它的主要缺点在于一般只能检 测到已知的攻击模式，规则库只有不断更新才能检测到新的攻击方法。异常检测是建 立在正常行为模式基础上的，与具体的入侵行为模式无关，所以异常检测的优点是与 系统相对无关，通用性较强，甚至有可能检测出以前未出现过的攻击方法，这正是误 用检测无法实现的。但因为不可能对整个系统内的所有用户行为进行全面的描述，况 且每个用户的行为是经常改变的，所以它的主要缺陷在于误检率很高。异常检测还存 在以下几个主要问题垆j ： 1 ) 有效地表示用户的正常行为模式的问题，即选择哪些数据才能有效地反映用户 的行为，并且这些数据容易获取和处理。由于系统和用户的行为是不断改变的，因而 正常模式具有时效性，需要不断修正和更新。 2 ) n 值的确定比较困难。阈值设定太高则容易引起漏报，而阈值设定太低则容易 引起误报。由于不可能对系统内的所有用户行为进行全面的描述，在用户数目众多、 1 2 一种应用级数据库入侵检测方法及其应用研究第2 章相关技术介绍 用户行为经常动态改变时，系统误报率较高。 3 ) 异常检测方法大多训练时间较长，在训练期间系统不能正常工作，此时入侵者 可以采用逐步更新用户模式的方式，使得系统将入侵行为也当作正常行为来建立正常 模式。 2 2 常用数据库攻击手段 网络上，很多黑客的目的是入侵数据库，窃取有价值的数据。而黑客利用互联网 上流行的黑客工具，一般只需花费很短的时间，就能完成对一些具有明显漏洞的数据 库的入侵。这么短时间的入侵行为甚至很难被数据库管理员发现。 目前，流行的数据库攻击手段主要用以下六种【2 7 】： 1 ) 禾f j 用默认用户名和密码及猜测弱密码。o r a c l e 数据库和m i c r o s o f ts q ls e r v e r 数据库中都存在一些默认用户名和密码，如o r a c l e 的s c o t t t i g e r 默认用户名和密码。 如果这些默认用户名和密码没有更改，黑客利用这些默认口令和密码可以容易地侵入 数据库。 各大数据库厂商开始意识到默认用户和密码的安全威胁，不再允许用户保持默认 的或空的用户名及密码等。但是一些较老的数据库版本仍可能存在这样的问题。另一 方面，即使是用户更改了数据库的默认用户和密码，也是不安全的。很多用户安全意 识薄弱，使用易于猜测的弱密码，很容易被黑客猜到，或通过强力破解、或试着用不 同的组合，就可以轻易得到用户密码。 2 ) n 用未打补丁的数据库漏洞。虽然数据库厂商努力通过发布补丁程序来修补数 据库系统的漏洞，但大多数企业并不能及时地为自己的数据库打上补丁。因为对于企 业来说，打补丁也不是一件轻松的事，企业花费极大的人力和物力来测试和应用一个 数据库补丁，确保相关的应用系统不被补丁程序影响。 未打补丁的数据库漏洞给了黑客可乘之机。如果一个黑客能够获得数据库版本信 息，并精确地找出漏洞在什么地方，那么，数据库就很可能被入侵。 3 ) 禾t j 用未关闭的多余数据库服务和功能中的漏洞。在o r a c l e 数据库上运行的监听 器( l i s t e n e r ) 功能是最常被利用的漏洞，稍有安全意识的o r a c l e 用户小心地为数据库设 置密码，但可能会忽略给o r a c l e 监听器设置登陆密码。监听器可以搜索出到达o r a c l e 第2 章相关技术介绍一种应用级数据库入侵检测方法及其应用研究 数据库的网络连接，并可以转发这些连接，导致用户和数据库的链接被暴露出来。使 用g o o g l eh a c k i n g 攻击就可以搜索到数据库服务器上暴露的监听程序。 另外，操作系统和数据库之间的钩子也会将数据库暴露给攻击者，这种钩子可以 成为到达数据库的一个通信链接。在链接库和编写程序时，这种钩子就可能将数据库 暴露出去，并使黑客可以在无认证和无授权的情况下进入数据库。 4 ) s q l 注入攻击。s q l 注入攻击方式简单、易于实施，已经成为一种常见的、流 行的攻击方式。 导致s q l 注入的主要原因一般是由于数据库应用系统客户端的漏洞。当s q l 语 句通过用户输入获得某些字段信息，并直接提交数据库查询库时，就可能导致s q l 注入攻击。这种情况下，攻击者可以提交一段数据库查询代码，根据程序返回的结果， 获得某些他想知道的数据，进而可以提升自己的权限甚至控制整个数据库。 应用程序客户端和w e b 应用程序是实施s q l 注入攻击的突破口。此时数据库的 身份验证和授权已经被移交给了应用程序服务器。当攻击者利用客户端的s q l 注入 漏洞提交恶意s q l 命令时，数据库并不认为这是欺诈性的s q l 命令，从而导致数据 库被非法利用。 5 ) 特权提升。来自内部的攻击，可以导致恶意的用户拥有超过其应该具有的系统 特权。而外部的攻击者，可以通过破坏操作系统而获得更高级别的特权，或者通过 s q l 注入攻击同样可以达到非法提升权限的目的。这是一种常见的安全威胁因素。 特权提升通常与错误的配置有关：一个用户被过多地授予了完成工作所需的，对 数据库及其相关应用程序的访问和管理权限。 6 ) 窃取( 未加密的) 备份磁盘。如果备份磁盘丢失，而这些磁盘上的数据库数据又 没有任何加密的处理，磁盘上的信息就很容易被窃取。只要被窃取的磁盘不是某种 i n f o r m i x 或h p u x 上的d b 2 等较老的版本，黑客们只需要安装好磁盘，采用一定破 解手段就可以轻松获得数据库。当然这对于数据库安全技术来说并不是最主要的。 由上述常用数据库攻击方式可以看出，导致目前数据库系统处于危险境地的原因 有三点： 首先是企业自身的信息安全意识不强，如使用默认用户名和口令或者弱口令、没 有及时安装补丁和没有关闭多余的数据库服务等。 其次，数据库产品本身存在不少安全漏洞。 1 4 一种应用级数据库入侵检测方法及其应用研究第2 章相关技术介绍 最后，应用系统的漏洞为入侵数据库敞开了大门，如利用应用系统漏洞提升特权、 利用应用系统和数据库之间的钩子以及s q l 注入攻击等。中国互联网安全报告( 2 0 0 8 年) 指出，网站篡改事件呈现大幅增长趋势，大量网站遭到s q l 注入攻击。黑客利 用应用级漏洞入侵数据库并获得权限提升，最终可以控制整个数据库。 针对这一问题，应用级数据库入侵检测系统能够分析用户操作特点，过滤入侵手 段，检测入侵行为，为数据库提供了