一、背景
在信息系统的整体安全中,数据库往往是最吸引攻击者的目标,许多网络攻击的根本目的就是获取存放在数据库中的重要信息。传统的数据库安全保障方法一定程度上提高了数据库系统的安全性,但是它们大多是被动的安全技术,以预防为主,无法有效地制止入侵行为,特别是对于数据库用户( 如数据库管理员等) 的权限滥用等内部攻击常常是无能为力的。 内部威胁问题具体表现为:
(1)非故意的授权用户攻击,即用户不小心访问到了通常不访问的敏感信息,严重的是无意间将其错误地修改或者删除了;
(2)盗取了正常用户信息的攻击者对数据库进行操作,他们拥有合法的访问权限,对数据库数据进行肆意的盗窃和破坏;
(3)心怀不轨的内部工作人员对数据库的恶意攻击。
深基坑防护
据统计,数据库安全问题近80%来自数据库系统内部,即数据库系统授权用户没有按照自身授权进行数据操作,而是跨越权限篡改或破坏数据。根据2013年Verizon的数据泄露调查报告:所有数据泄露事件中76%源自授权用户对敏感数据的访问;在47000多件安全事故中,69%的攻击来自于内部人员。京东发生的大型数据泄露事件造成5O亿条公民信息流出,导致用户损失数百万元,罪魁祸首就是内部工作人员。内部原因造成的数据库损失发生率和影响度都远远超过人们的想象。
防刺手套装饰扣由于此类安全问题发生在系统集团内部,因此,对数据库的危害极大,并且传统的入侵检测方法和数据库安全规则都不能有效防御这些问题,即使一些防火墙软硬件也无法实时检测内部入侵。因此,针对数据库系统中用户异常行为检测研究就显得尤为重要。
据统计,传统的数据安全模型是上个世纪 70 年代提出的,并且得到较好发展。到目前为止,在数据库上实现的安全策略基本上没有变化,仍旧为访问控制、用户认证、审计和加密存储。安全审计的任务是对用户已经完成的行为,给予回追式的分析,并对该行为的结果给出最终评价。这些安全机制在数据库管理上取得了较好成绩,但是面对高素质攻击人员、多样化攻击手段和复杂的网络环境,这些安全机制将无法实时监测入侵行为,保护数
据库与数据的安全。基于异常的入侵检测是入侵检测研究领域中的一个重要课题,并取得了一定的研究成果。但是,这些研究成果主要针对操作系统和计算机网络,针对数据库系统的研究成果则相对较少。
以访问控制为例,虽然访问控制能够保证只有拥有相关权限的用户才可以访问数据,这也是防止数据泄露的第一道屏障,但是访问控制有一定的限制:如果采用严格的机制,访问控制的规则可能表达不够充分,在动态的环境中访问控制的规则可能需要频繁地更新,这些更新会带来管理者的经济成本;而且在紧急的情况下,访问控制机制会影响用户对数据的获取,权限的申请需要时间也影响了事务的效率。所以,通常业务系统都采用相对宽松的访问控制机制。宽松的访问机制的直接表现是用户通常会获得比实际所需更多的权限,这显然为数据库系统中的数据安全埋下了隐患。因此,数据库管理系统的发展需要对传统的权限管理增加辅助的安全分析和评估机制。
二、现状
数据库安全审计是指按照确定的标准、收集软件执行过程中发生的事件并评估其安全性的行为。根据设置的规则,监控、跟踪用户对数据库的各种操作,分析判断用户行为是否合
规,并对违规行为进行告警的过程叫做数据库安全审计。
目前国际上主流的数据库安全审计产品包括以列Imperva公司的安全审计系统SecureSphere, IBM公司的Guardium数据库安全产品,Application Security Inc 公司的数据库入侵检测产品 AppRadar等。这些数据库安全审计产品的功能都很强大。Application Security Inc 公司的数据库入侵检测产品 AppRadar,它可针对不同的数据库设计不同的入侵检测系统。Imperva公司是行业内起步较早的公司,一直专精于数据库安全审计,他们的系统采用数据库应用防火墙的思路,串联部署局域网计算机,能够在线阻断数据库的安全威胁,是A1级别的审计系统,但是SecureSphere支持的数据库协议太少,对各种数据库的本地访问支持不足;Guardium公司具有较强的技术实力,被IBM收购之后,品牌影响力也进一步加大,他们的产品使用数据库代理服务器或是在数据库服务器上安装引擎,搭配旁路的,能够实时分析并判断用户操作行为是否合规,但Guardium同一时间只能支持一个审计策略,不够灵活。此外,因为这些系统是按照国外的审计需求设计的,基本上只针对国外的审计需求进行审计,且价格高昂,对大部分国内用户来说,实用性不高。
充气包装袋
在国内,根据赛迪顾问2016年5月的行业研究报告,2015年我国的数据库安全审计与防护
市场产品结构中,硬件产品占据了76%的市场份额,软件的市场份额仅为18%。但随着IT基础设施的演进,软件服务类数据库安全审计产品市场份额增速将变大,预计2018年将达到41%的市场份额。在这样的发展趋势下,众多大型的安全厂商加入了数据库安全产业(如绿盟、天融信、启明等),并纷纷推出了各自的数据库审计产品。
比如:绿盟的数据库审计系统DAS、安恒信息的明御系列产品、北京国都兴业的慧眼数据库审计系统、深圳昂楷科技的数据库多重审计系统AAS、安华金和的数据库监控与审计系统、北京天融信的网络卫士数据库审计系统TopAudit-DB、北京启明星辰的天明网络安全审计系统等等。其中天融信的TopAudit-DB采用云审计等技术,旁路部署,支持三层关联审计分析;绿盟的DAS通过监视网络上的数据库活动,智能识别SQL类别,实现事后对数据库操作记录进行合规性分析;安恒的明御数据库审计与风险控制系统通过提取Web业务端和数据库端的协议流量,实现了双向审计。但是这些由我国独立研发的数据库安全审计系统大多为C2或B1级,安全等级还不够高。
目前国内外数据库安全审计方面的研究主要集中在如下几个领域。
1、审计数据源
获取审计数据源是进行其他操作的前提,目前阶段,审计数据源的获取途径包括数据库安全日志以及审计记录。
但是,现阶段各种不同的数据库之间没有通用的、统一的审计接口。而是每一种数据库都提供了可配置的审计模块。管理员或用户依据自身需要使用模块提供的规则进行安全配制。数据库将以日志形式自动记录数据库用户的全部数据操作,给接下来对该用户的操作分析提供基础。同时日志文件也为数据库恢复与重建提供必要依据。
2、保护审计数据
要想能够检测出入侵行为,首先必须保证审计数据自身的安全性和正确性。
审计数据直接反映了数据库用户的直接行为,只有审计数据的正确和准确,才能如实的反映用户的行为。在此基础上所做的行为入侵检测才是有效的、才是有意义的。目前比较常见的数据库审计数据安全方法主要使用数据加密方式或是哈希保护等方法。
3、基于数据挖掘的行为预处理
面对海量数据,如何从其中快速、准确的出有用的数据,这是数据挖掘技术的主要研究方向。近些年数据挖掘方法,在数据库安全方面得到了广泛的应用。
数据库进行安全审计时,有可能需要进行海量的数据源审计,如果对这些数据源进行逐一审计,必然拖慢系统速度,导致数据库系统的响应时间大大加长,造成假死现象。因此,需要对所有审计的数据进行预处理,去除无用数据,出真正有价值的信息。
4、基于专家库安全审计
专家系统是模仿专家的思维方式思考和决策问题的计算机系统,系统以知识库和专家库方式存放大量的领域专家们的知识和经验。
在基于专家系统的数据库安全审计的专家库中,利用格式为“if-then”的语句来表示异常行为的检测规则。(if检测条件;then系统对该入侵行为的对策),对这些规则进行归纳与抽象,建立存储这些规则的专家库来辅助系统进行行为检测。
但是专家系统进行判定的主要依据是存储在知识库中的已经确认的异常行为规则,知识库的大小和质量决定了专家系统的入侵检测能力。专家系统具有非常强的专业性,使该系统
不可能移植到该领域以外使用。
5、基于系统状态转移的安全审计
对己知异常行为建立行为状态转换图。匹配待审计的用户行为特征和状态转移图,判断用户当前行为是否安全。状态转移图能够直观的、较详细的描述异常用户行为,实现对用户异常行为的预警或者拦截,减轻数据库受攻击的程度,降低经济损失。
但是,基于状态转移的数据库入侵检测系统存在明显的局限性:无法完全描述每个时刻的状态转换,否则将是一个海量数据检测问题,目前的系统无法实现;状态转移只能判断行为的目的是否为已知异常,对于新的异常无法识别。
6、采用神经网络技术和免疫技术的安全审计
无镍电镀神经网络技术是通过对大脑的神经元进行建模和联接,建立起模拟大脑神经系统功能的数学模型,并研究出具有自主学习、记忆和信息识别等智能信息处理功能的人工系统。
数据库安全审计主要是利用神经网络技术,参考所有正常和正确数据库使用行为,建立起
一个具有学习能力的用户行为集合。并利用集合中的正常行为与可疑行为进行比对,判断行为的异常与否。
免疫原理是模拟生物的免疫系统功能,对外来细胞和自身变异细胞进行清除的原理,建议系统数学模型。 数据库安全审计主要利用免疫数据模型建立行为检测模块,检测已知和未知的异常行为。
三、三大模块
数据库安全审计根据检测方法的不同,分为两大类,一类是基于规则的检测方法;另一类是异常检测方法,也叫基于用户行为的检测方法。异常检测方法较之前者虽然误报率较高,但是具有能检测出未知攻击方式的优势。异常检测系统报给系统管理员的警报可能数量很大,管理员需要在最短的时间内了解这些警报的严重程度,以便迅速做出正确的反应,这就需要系统在完成异常检测的工作后给出异常评估的量化结果,帮助管理员了解警报并做出决策。
面向数据库访问的用户行为异常检测与评估系统的需求包括以下三点:
曲轴加工
(1)用户行为表示:提取审计记录中的信息,使用一组特征表示出用户的操作行为;
(2)用户行为异常检测:能够识别与用户行为习惯不相符的操作,并对管理员发出告警信息;对于误报的操作行为,管理员给出反馈信息,能够在之后的行为检测中得到体现;
(3)用户行为异常评估:按照相应算法,给出每条异常操作危害程度的量化结果。
(一)用户行为表示
有效的数据库安全日志能提供过去一段时间内详实的系统内部与外部用户数据访问行为,能否通过智能算法提取用户的实时数据特征,并按时间段组织成时间-行为特征数据库,依据这个时间-行为特征数据库结合先进的分类算法构造实时行为分析模型,对入侵检测进行实时预警,并自动给出处理方案。
在用户行为异常检测过程中,用户行为的表示方法主要有三种:基于数据、基于语法和基于环境的方法。其中,基于数据的方法不适于动态变化数据库,纯粹的基于语法的方法对用户行为描绘过于严苛,基于环境的方法则过于宏观。可以考虑不同方法的结合使用,例如,尝试将基于语法的方法与基于环境的方法结合使用。
基于语法 (syntax centric):
进行粗粒度提取时,结果为<select,2,4,2,2>
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议