（计算机应用技术专业论文）基于数据挖掘的数据库入侵检测的研究.pdf

江苏大学硕士学位论文 摘要 数据库系统往往保存着对公司或组织极为重要的数据，其重要性和价值对攻 击者有很大的吸引力，受到蓄意攻击的可能性很大。同时，数据库系统本身的弱 点也使其成为易受攻击的目标，如数据库的数据经常需要更新以及许多数据库提 供优化接口。 一些传统的安全机制，如身份认证，存取控制，加密等重点在于预防，是被 动的安全机制，无法完全阻止入侵。所以，需要入侵检测一一种主动的安全机制， 把这些传统安全机制无法阻止的攻击找出来，并阻断攻击。现在，入侵检测的研 究取得了不少的成果，但是这些研究大多集中在对网络和操作系统的入侵检测 上，对数据库的入侵检测则较少涉及。数据库入侵检测重点在于检测数据库内部 的攻击，属于应用层的入侵检测，能对恶意事务进行检测，这是网络和操作系统 入侵检测系统无能为力的。 数据挖掘是从大量的、不完整的、有噪声的、模糊的、随机的数据中，提取 隐含在其中的、人们事先不知道的，但又是潜在有用的信息和知识的过程。入侵 检测在本质上是一个对审计同志等大量数据进行数据处理的过程，将数据挖掘应 用于入侵检测中，即使根本不知道各种攻击手段的作用机制，也可以从安全审计 数据本身所隐藏的规律中发现异常行为，从而使入侵检测系统具有更好的自学 习、自适应和自我扩展的能力。本文即是将改进的关联规则算法应用于数据库的 入侵检测中。本文的主要贡献如下： 1 ) 对关联规则挖掘算法f p - g r o w t h 进行了基于效率的改进，提出了 m f p - g r o w t h 算法。该算法建立事务一项矩阵表示事务数据库，并在频繁模式矩阵 上产生条件矩阵来挖掘频繁模式集合。该方法避免了f p g r o w t h 算法中递归产生 条件模式树这一时间开销大的操作，而且该方法在支持度变化和数据更新时，不 需要重新扫描数据库，直接在事务一项矩阵上操作。实验证明该方法比f p g r o w t h 算法有效。 2 ) m f p g r o w t h 算法在数据库入侵检测中的应用研究及优化。为了使 m f p g r o w t h 算法更好的应用于数据库的入侵检测中，本文对其进行了优化，引 入了属性相关支持度和距离度量的概念。属性相关支持度保证了规则库的完备 江苏大学硕士学位论文 性，在生成的规则里就不会漏掉出现频率低但非常重要的特征属性。距离度量考 虑了数据库模式的数据结构特性和用户行为的语义特性。经过优化的 m f p g r o w t h 算法挖掘的模式更好的表示了数据库用户的行为模式，提高了入侵 检测的精度。 3 ) 数据库入侵检测系统原型设计。本文设计了数据库入侵检测系统原型， 给出了原型的框架。在数据采集中，使用了o r a c l e 9 i 的审计r 志作为数据源； 在模式挖掘模块中使用了经过优化的m f p g r o w t h 算法来挖掘历史行为模式；为 了使模式库中的模式更加准确、可信，将异常的记录由管理员判断后认定为正常 的模式作为模式库的数据源，更新模式库。经实验验证，设计的数据库入侵检测 原型能很好的对数据库的内部入侵进行检测。 关键词：数据库安全，入侵检测，数据挖掘，异常检测，f p g r o w t h ，距离度量 i l 江苏大学硕士学位论文 a b s r a c t d a t a b a s es y s t e m so f t e ns t o r et h ei m p o r t a n td a t aa b o u tt h ec o m p a n yo rt h e o r g a n i z a t i o n t h e s ed a t ai sa r r a c t i v et os o m ei n t r u d e r , a n dh a sh i g hp o s s i b i l i t yt ob e i n t r u s i o nt a r g e t t h ew e a k n e s so ft h ed a t a b a s es y s t e mi sa l s ot h ec a u s eo ft h e i n t r u s i o n ，s u c ha so f t e nu p d a t i n gt h ed a t ao ft h ed a t a b a s ea n dt h eo p t i m i z a t i o ni n t e r f a c e o fs o m ed a t a b a s e s o m et r a d i t i o n a ld a t a b a s es e c u r i t ym e c h a n i s m ss u c ha si d e n t i t ya u t h e n t i c a t i o n ， a c c e s sc o n t r o l ，e n c r y p t i o na n ds oo na r ep r e v e n t i o n o r i e n t e da n dp a s s i v e ，a n dc a n t t o t o a l l ys t o pt h ei n t r u s i o n s o ，ap o s i t i v es e c u r i t ym e c h a n i s m i n t r u s i o nd e t e c t i o nn e e d s t ob eu t i l i z e dt od e t e c tt h ei n t r u s i o nt h a tc a n tb ef o u n db yt r a d i t i o n a ls e c u r i t y m e c h a n i s m s ，a n dt ob l o c kt h ea t t a c k n o w , a l t h o u g hi n t r u s i o nd e t e c t i o nh a sm a d em a n y g r e a ta c h i e v e m e n t s ，t h e ym o s t l y f o c u so nt h ea r e ao fn e t w o r ka n d o p e r a t i n g s y s t e m s ，d a t a b a s ei n t r u s i o nd e t e c t i o nr e s e r c hi sl e s si n v o l v e d d a t a b a s ei n t r u s i o n d e t e c t i o nf o c u s e so nt h ea t t a c k i n s i d et h ed a t a b a s e ，a n db e l o n g st ot h ei n t r u s i o n d e t e c t i o ni nt h el e v e lo fa p p l i c a t i o n 。i tc a nd e t e c tt h em a l i c i o u st r a n s a c t i o nw h i c hc a n t b ed e t e c t e db yn e t w o r ka n do si n t r u s i o nd e t e c t i o ns y s t e m d a t am i n i n gm e a n sap r o c e s so fn o n t r i v i a le x t r a c t i o no fi m p l i c i t ，p r e v i o u s l y u n k n o w na n dp o t e n t i a l l yu s e f u li n f o r m a t i o na n dk n o w l e d g ef r o me x c e s s i v e 、 i n c o m p l e t e 、n o i s y 、f u z z ya n dr a n d o md a t a i n t r u s i o nd e t e c t i o ni sad a t ah a n d i n g p r o c e s sf o ral a r g ed e a lo fd a t as u c ha sa u d i tl o g i n t r u s i o nd e t e c t i o nu s i n gd a t am i n i n g c a nf i n da n o m a l yb e h a v i o r sf r o mt h eh i d e dl a wi nt h es e c u r i t ya u d i td a t ai t s e l f , e v e ni f t h ea c t i o nm e c h a n i s mo fv a r i o u sa t t a c k sa r eu n k n o w na ta 1 1 i n t r u s i o nd e t e c t i o nu s i n g d a t a m i n i n gt e c h n i q u eh a sb e t t e r a b i l i t y o f s e l f - l e a m i n g ，s e l f - a d a p t i n g ，a n d s e l f - e x t e n d i n g i nt h i sp a p e rd a t a b a s ei n t r u s i o n d e t e c t i o nu t i l i z e sa s s o c i a t i o nr u l e a l g o r i t h m t h em a i nw o r ki nt h ep a p e ri sa sf o l l o w s ： 1 ) m f p g r o w t ha l g o r i t h mi s p r e s e n t e d t o i m p r o v et h ee f f i c i e n c yo ft h e f p g r o w t ha l g o r i t h m t h i sa l g o r i t h mu t i l i z e st h et r a n s a c t i o n i t e mm a t r i xt or e p r e s e n t t h et r a n s a c t i o nd a t a b a s e c o n d i t i o n a lm a t r i xw h i c hi sc o n s t r u c t e df r o mt h ef r e q u e n t p a t t e r nm a t r i xi su s e dt om i n et h ef r e q u e n tp a t t e r ns e t s t h i sa l g o r i t h ma v o i d st h e c o n s t r u c t i n gr e c u r s i v e l yt h ec o n t i d i t i o np a t t e r nt r e ew h i c hi sa no p e r a t i o no fh i g h o v e r h e a d ，a n dt h ea l g o r i t h mn e e d sn o ta c c e s s i n gt h ed a t a b a s ea g a i n ，w h e nt h es u p p o r t t h r e s h o l dc h a n g e sa n dt h ed a t ai s u p d a t e d i t a c h i e v e st h e c h a n g e so nt h e i i i 江苏大学硕士学位论文 t r a n s a c t i o n i t e mm a t r i xs i m p l y t h ee x p e r i m e n ts h o w st h i sa l g o r i t h mi sm o r ee f f e c t i v e t h a nf p g r o w t h 2 ) t h ea p p l i c a t i o ns t u d ya n do p t i m i z a t i o no fm f p g r o w t ha l g o r i t h mi nd a t a b a s e i n t r u s i o nd e t e c t i o n t h ep a p e ro p t i m i z e sm f p g r o w t ha l g o r i t h m ，i no r d e rt om a k ei t w e l la p p l i y e di nd a t a b a s ei n t r u s i o nd e t e c t i o n ，i n t r o d u i n ga t t r i b u t ec o r r e l a t i o ns u p p o r t c o n c e p ta n dd i s t a n c em e a s u r ef u n c t i o n a t t r i b u t ec o r r e l a t i o ns u p p o r tc o n c e p ta s s u r e s t h ec o m p l e t e n e s so ft h er u l eb a s e s ot h ec h a r a c t e r i s t i ca t t r i b u t ew i t hh i g hi m p o r t a n c e a n dl o wf r e q u e n c yc a n tb em i s s e di nt h er u l em i n e d d i s t a n c em e a s u r ef u n c t i o n d e s c r i b e st h ed a t as t r u c t u r ec h a r a c t e r i s t i ca n ds e m a n t i cc h a r a c t e r i s t i co fu s e r b e h a v i o r t h ep a t t e r n sm i n e db ym f p g r o w t ha l g o r i t h mo p i t i m i z e dc a nb e t t e rd e s c r i b e t h eo p e r a t i o np a t t e m so fd a t a b a s eu s e r s ，a n dt h ep r e c i s i o no fi n t r u s i o nd e t e c t i o ni s i m p r o v e d 3 ) d e s i g no ft h e d a t a b a s ei n t r u s i o nd e t e c t i o ns y s t e mp r o t o t y p e t h ep a p e r c o n s t r u c t st h ed a t a b a s ei n t r u s i o nd e t e c t i o ns y s t e m p r o t o t y p e ，t h e f r a m e w o r ki s d e s c r i b e d i nd a t aa c q u i s i t i o n ，t h ea u d i tl o go fo r a c l e 9 ii ss e l e c t e dt ob ed a t as o u r c e ；i n p a t t e mm i n i n gc o m p o n e n t ，m f p g r o w t ha l g o r i t h mo p t i m i z e di su s e dt om i n et h e h i s t r o yb e h a v i o rp a t t e m s i no r d e rt om a k et h ep a t t e r n si nt h ep a t t e mb a s em o r e a c c u r a t ea n dc o n f i d e n t ，t h en o r m a lp a t t e m sw h i c ha r ej u d g e df r o ma n o m a l yr e c o r d sb y d a t a b a s ea d m i n i s t r a t o ra r ei n s e r t e di n t ot h ep a t t e mb a s ew h e n n e v e r , u p d a t i n gp a t t e r n b a s e t h ee x p e r i m e n ts h o w st h ee f f e c t i v e n e s so ft h ep r o t o t y p e k e yw o r d s ：d a t a b a s e s e c u r i t y ，i n t r u s i o nd e t e c t i o n ，d a t am i n i n g ，a n o m a l y d e t e c t i o n ，f p g r o w t h ，d i s t a n c em e a s u r e i v 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定， 同意学校保留并向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查阅和借阅。本人授权江苏大学可以将本学位论文的全部 内容或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫 描等复制手段保存和汇编本学位论文。 本学位论文属于 保密口，在年解密后适用本授权书。 不保密一 学位论文作者签名：旱勋强 沙。f 毛月日 柳 1 年多月日 独创性：声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究工作所取得的成果。除文中已注明引用的内容以外，本论 文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文 的研究做出重要贡献的个人和集体，均己在文中以明确方式标明。本 人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：秘移强 日期： 沙。7 年易月少日 江苏大学硕士学位论文 1 1 背景和意义 第一章绪论 随着计算机技术和网络技术的大力发展，人们的r 常生活和社会活动越来越 离不开这些技术。可以说计算机和网络技术已经深入到社会的各个领域，但是人 们得益于信息革命所带来的巨大机遇的同时，也不得不面对信息安全问题的严峻 考验。作为信息系统的一个重要组成部分，数据库系统的安全性尤其显得重要。 许多恶意网络攻击和利用操作系统的漏洞攻击的根本目的就是针对数据库中的 数据，如对银行网络系统，政府部门网络系统，数据库往往是攻击的最终目标。 对数据库的攻击可以分为四个可能级别：处理器( 或) 指令级，o s 级，d b m s 级和事务( 或应用) 级别。通常内部人员的恶意行为倾向于事务级攻击，外部攻 击通常是其余三种。为了保证数据库系统的安全，最理想的方法就是建立一个完 全安全的系统，但是实践当中，建立完全安全系统是根本不可能的，m i l l e r 给出 的一份有关现今流行的操作系统和应用程序研究报告指出，软件中足不可能没有 缺陷的。传统的保证数据库安全的一般方法包括用户身份认证，存取控制，数据 加密，审计跟踪，完整性约束等，这些方法极大的提高了数据库系统的安全性， 但是它们大都是被动的安全技术，以预防为主，无法完全阻止所有的非法入侵， 对于合法用户，特别是系统管理员的权限滥用等数据库内部的攻击常常无能为 力。据统计，对数据库的攻击8 0 来自内部，内部滥用是数据库系统的主要威 胁。而对于一些外部的攻击，攻击者也往往能窃取到合法的身份或权限，如密码 嗅探，或者会话劫持等攻击。尽管大多数数据库系统都提供了审计功能，但对审 计数据的分析能力不足。由于审计数据量很大，审计员很难通过人工方法发现可 疑入侵。 基于传统的数据库安全机制的缺陷，迫切需要一种主动地安全防护技术。入 侵检测技术是近二十年发展起来的一种动态监测，预防和抵御系统入侵行为的主 动安全机制，弥补了传统安全技术的不足【l 】。近年来，入侵检测技术取得了长足 的进步，研究人员针对如何提高入侵检测效率和准确率提出了许多有效方法，但 这些大都集中在网络和操作系统方面。由于数据库中的数据具有自己的结构和语 江苏大学硕士学位论文 义，很多攻击对数据库系统是恶意的，但未必对网络和操作系统是恶意的，网络 和操作系统入侵检测机制是无法检测到的。所以，我们需要引入针对数据库的入 侵检测技术，其对数据库的审计数据进行分析，积极主动地对数据库内部攻击、 外部攻击和误操作进行检测，为数据库提供一种主动防御手段。现在，国内外关 于数据库系统的入侵检测研究还不多见，完善的实用系统尚未见到。但是，数据 库入侵检测技术的研究必将进一步弥补数据库传统安全机制的不足，进一步保证 数据库的安全性。 1 2 数据库入侵检测国内外研究现状 入侵检测技术经过2 0 多年的发展，已经取得了很多成果。特别在主机和网 络的入侵检测方面。1 9 8 0 年j a m e s a n d e r s o n 2 1 首先提出了入侵检测的概念，他将 入侵行为划分为外部闯入，内部授权和用户的越权使用和滥用等三种类型，并提 出用审计跟踪监视入侵威胁。1 9 8 7 年d e n n i n g 首次提出入侵检测系统的抽象模 型【3 】，首次将入侵检测的概念作为一种安全防御问题的措施提出。1 9 8 8 年t e r e s a l u n t 等人进一步改进了d e n n i n g 提出的入侵检测模型，并创建了i d e s 4 】 ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) ，该系统被设计用于检测针对单一主机的入侵 尝试，它提出了与系统平台无关的实时检测思想。1 9 9 0 年，h e b e r l e i n 等人提出 了基于网络的入侵检测n s m ( n e t w o r ks e c u r i t ym o n i t o r ) 【5 j ，通过在局域网上主动 监视网络信息流量来追踪可疑行为。1 9 9 4 年，m a r kc r o s h i e 和g e n es p a f f o r d 提 出了使用自治代理( a u t o n o m o u sa g e n t s ) 1 6 - 7 】提高i d s 的可伸缩性，可维护性， 效率和容错行性的理念，该理念引入了软件代理的方法。1 9 9 6 年，f o r r e s t l 8 j 等人 将免疫原理运用到分布式入侵检测领域，并取得了较好的效果。1 9 9 8 年r o s s a n d e r s o n 和a b i d ak h a t t a k 给入侵检测带来了创新，他们将信息检索技术引进到 入侵检测。此外基于专家系统的i d s 对己知的攻击十分有效，大量用于商用入侵 检测系统的开发，例如i s s 公司的r e a ls e c u r e 系统和b r o 系统模型。 虽然在主机和网络的入侵检测方面，已经取得了很多的成果。但是在数据库 的入侵检测方面研究成果并不丰富。 1 2 1 国外数据库入侵检测研究现状 国外对数据库入侵检测的研究已经取得了一些成果，其技术【9 】主要有： 2 江苏大学硕士学位论文 1 ) 对数据推理的检测 数据推理指的是用户在不存取某些数据的情况下也能推断出这些数据，如在 多级安全数据库中用户利用低密级数据或外部知识推理出某些高密级数据，使用 推理进攻的往往是具有某些合法权限的内部滥用者。对推理的检测可以在数据库 的设计阶段或运行阶段进行： ( 1 ) 设计阶段。在设计阶段，主要通过对数据库模式的分析以找到推理渠道， 比如利用属性的函数依赖图查找第二条路径的方法，如果两个属性之问存在两条 路径且这两条路径是不同的分类密级就有可能发生推理进到m 】。 ( 2 ) 运行阶段。在数据库运行阶段，通过检测数据库事务以确定这些事务是 否会导致非法推理，如果导致非法推理则调整或取消该事务。t h u r a i s i n g h r i t i 等】 使用查询修改的方法，查询提交前首先检查该查询是否会导致非法推理，如果会 则修改查询使其不能导致非法推理。y i p 等【1 2 】提出了一个数据级的推理检测方 法，该方法认为利用数据库中的数据本身可以检测出更多的推理，提出了能用于 推理进攻的五种关系并提出了一个基于规则的方法以便与检测系统的集成。数据 库运行阶段的推理检测需要保存用户的查询和返回的元组，因而代价较高，对某 些推理的检测需要保持查询的历史信息，易招致否认服务的进攻。 2 ) 对存储篡改的检测 对数据库的存储篡改是一种恶意修改数据库中的存储数据以降低数据质量 的行为，存储篡改的目的是以错误或低质量数据误导和妨碍对手的行为。 m c d e r m o t t 和g o l d s c h l a g 等【1 3 1 在研究检测存储篡改的方法中提出使用检测 物( d e t e c t i o no b j e c t ) 的方法，检测物是一种检测存储篡改行为的抽象机制。在数据 库中，检测物一般是不被正常用户和应用所使用但篡改者又无法将其与正常数据 区分丌的伪造数据，如果检测物不在正常或可预期的状态则表示可能发生了数据 篡改行为。 对防止和检测企图绕过d b m s 系统在磁盘级破坏数据的入侵者，加密和签 名是主要的安全机制。m a h e s h w a r i 等【1 4 】提出将数据库加密并在小块可信存储中 保存散列以验证数据正确性，从而检测不可信程序对数据库的非法读取和修改。 对于一般的签名机制，入侵者可能使用旧的磁盘块映像来替换现有的数据而不被 检测到。 3 江苏大学硕士学位论文 3 ) 基于应用语义的方法 在许多场合中，独立于应用语义对数据库事务或用户进行检测并不足以识别 用户的异常行为。如某会计非法将自己的月工资增加一万元，对建立在独立于应 用语义上的检测方法如对表存取统计、数据文件存取统计、会话统计或上述的各 种检测方法并不能发现异常，这种异常检测只能建立在数据库的应用语义上。 在通讯信息系统中利用用户通话记录的语义来检测电话盗用和诈骗等活动， 典型的例子如同一个人不可能在某一时间段内同时在相隔较远的两个地方有通 话记录等。另外，在金融信息系统中利用金融事务的语义来检测信用卡诈骗 ( c r e d i tc a r df r a u d ) 等方法也有较深入的研究。这表明基于应用语义的数据库入侵 检测方法将会是重要的研究方向之一。 4 ) 基于数据关系和结构的方法 数据库具有自己独特的数据结构和数据关系，有自己的事务处理机制，利用 数据库中数据关系和结构的特点能够形成数据库独有的入侵检测方法。yh u 等 【1 5 1 提出利用数据读写之问的依赖关系来检测恶意事务，在数据库事务中，对某个 数据更新前必须读写某些数据集，在数据更新后也必须写某些数据，由此形成数 据间的读集( r e a d s e t ) 、预写集( p r e w r i t es e t ) 、后写集( p o s t w r i t es e t ) 之间的依 赖关系，不符合这些关系的事务被认为是恶意事务。虽然由于数据库中数据关系 的复杂性，该方法在实现上存在性能和效率问题，但利用数据库本身的数据关系 来进行异常检测仍是一个值得研究的课题。 5 ) 基于用户查询模式的方法 基于用户查询模式的算法研究是现今数据库异常检测的主要方法。在用户查 询模式的建立上，研究主要集中在利用数据挖掘特别是基于关联规则、聚类分析 等挖掘技术的方法来建立用户模式的方法；在用户查询模式的表达方式上，现存 的方法主要有通过用户查询的数据项来表示用户模式的方法和通过查询语句本 身来表示查询模式的方法。 ( 1 ) 基于数据项表示的用户查询模式。 c h r i s t i n a 在其原型系统d e m i d s 中提出使用用户轮廓( u s e rp r o f i l e s ) 检测数据 库用户的滥用行为1 1 6 1 ，用户轮廓是在关系数据库中用户和角色的典型行为， d e m i d s 重点在于检测合法用户的滥用行为。d e m i d s 使用频繁项集( f r e q u e n t 4 江苏大学硕士学位论文 i t e m s e t s ) 来表示用户的正常行为，频繁项是用户参考的属性及其值，是通过使用 一定的挖掘算法从数据结构、模式语义( 主键、外键依赖) 和用户日志中挖掘出 来的。在挖掘用户的频繁项算法中，d e m i d s 使用了距离的概念来测量属性间的 紧密度( 出现在同一操作语句中的可能性) ，距离的度量使用了用户查询语句中 的主键和外键的函数依赖关系。c h r i s t i n a 进一步改进了d e m i d s 的算法【1 7 1 ，将 可以体现特定领域知识的概念体系应用到用户轮廓的挖掘中，形成不同抽象级和 粒度的用户轮廓，并使用兴趣度( i n t e r e s t i n g n e s sm e a s u r e ) 来发现用户的行为模式。 数据项i 的兴趣度m ( i ) 由其在日志会话中的支持度s u p ( i ) 、在概念体系中的深度 d e p t h ( i ) 、距离d i s t ( i ) 并u 数据项的大小s i z e ( i ) l 四个变量组成，一个简单的计算兴 趣度的公式可表示为： m ( ，) ：s u p ( i ) + d e p t h ( i ) _ + 1 - d i s t ( i ) + s i z e ( 1 ) r 0 ，l 】 ( 1 1 ) 斗 这四个变量前也可以加入不同的权值形成更复杂的公式。该算法也存在一定的不 足之处，其假设合法用户使用数据库的方式由一定程度的一致性，如果该假设不 成立或者检测阈值配置不合适将会导致较高的误检率。 ( 2 ) 基于事务语句的用户查询模式。 数据库具有自己独特的事务处理机制和事务语句如s q l 查询语言，对用户 使用s q l 语句模式进行检测是数据库入侵检测的一项重要内容。指印 ( f i n g e 印 n t s ) 技术1 1 8 1 是一种基于s q l 语句的入侵检测方法，指印是从合法事务中 的s q l 语句中推出的正则表达式，代表用户的正常行为，用户的事务语句如果 偏离指印集则表示可能的异常行为。指印技术适用于不允许用户自构查询且使用 固定接口如客户程序或存储过程等的数据库系统，在这种情况下即使事务较大用 户数较多，误检率也较低。 使用事务语句作为用户查询模式的优势在于检测阶段可以将用户查询在执 行前与用户模式对比，以避免恶意查询的执行影响系统j 下常运行或造成不可挽回 的后果。缺点在于易产生过多的用户查询模式，如指印技术易产生过多的”指印” 且只对某些特定的入侵如s q l 注入才有效。 6 ) 时间标签 v c sl e e ，j as t a n k o v i c 和s hs o n 提出将时间标签运用到实时数据库入侵检 测中。 江苏大学硕士学位论文 实时数据库系统中事务通常有时间约束，为了保证事务的j 下确性和有用性， 事务必须符合时问约束，例如截止时间。实时数据库中的时问数据( t e m p o r a ld a t a ) 可以反映现实世界中对象在某一时刻的状态，即数据只在某一时间间隔内有效， 数据具有时间性。为了保证数据的有效性，必须定期更新数据。定期采样并更新 实时数据的事务就是传感事务( s e n s o rt r a n s a c t i o n ) 。传感事务具有周期性和稳定性 的特点。假设传感事务的执行周期为p ，那么在这个周期中只能对相应的时间数 据作一次修改，如果在一个周期中某事务试图再次修改己更新的时间数据，那么 该事务就是入侵事务。 这种入侵检测方法也可以应用到传统数据库的敏感数据上，例如：数据库管 理员可以人为设定数据的可更新时间，被授权的用户知道数据在什么时间可以被 更新，这样错误的数据更新时间就被认为是入侵行为。也可以把对敏感数据对象 的操作限定在一个时间很短的时间间隔内，这样敏感数据对象对访问的开始时间 及持续时问都敏感。 1 2 2 国内数据库入侵检测研究现状 国内在数据库入侵检测方面的研究主要是基于聚类分析，分类分析，关联分 析，序列模式分析等数据挖掘方法。钟勇，秦小麟2 0 1 等利用用户查询结构和属性 结构稳定性特征提出了一个事务级用户查询模式挖掘算法，该方法建立查询语句 模板库来作为用户行为轮廓，可以有效检测s q l 注入，滥用入侵。随后，钟勇【2 l 】 等提出一种基于d b m s 的无监督异常检测算法，该方法输入的是无标记的数据， 避免了获取纯净数据和有标签数据的难度，几乎不需要数据的先验知识和领域。 该方法使用查询结果集来描述用户的行为。该方法有较高的检测精度，且能应用 在实时查询执行进行检测。蔡敏和叶震【2 2 1 提出了一种新的数据库入侵检测模型来 检测数据库管理系统中的异常事务。该模型运用数据挖掘方法a p r i o r ia l l 方法从 用户历史会话记录中挖掘用户s q l 模板频繁序列，构建用户轮廓。检测时依据 用户会话异常度来判断是否发生入侵。该方法考虑了事务问的s q l 序列关系以 及事务内路径的执行频度。 从数据库入侵检测的国内外研究来看，现有的数据库入侵检测技术存在以下 几个问题： 1 ) 只针对特定领域、特定入侵或环境，缺乏通用性，如只针对推理进攻、存 6 江苏大学硕士学位论文 储篡改或事务异常的检测方法。 2 ) 对数据库性能和效率影响较大，缺乏优化方法。如yh u 的方法需要检查 数据项的读写集和后写集，对复杂事务的执行效率影响较大，而基于事务语句的 用户查询模式如果在用户语句较为分散的情况下将产生大量的查询模式。 3 ) 其它问题。如基于语义的检测方法在理论上尚未成熟，现存的检测方法 均缺乏有效的应用验证等问题。 综上所述，目前国内外数据库入侵检测方面的研究还不成熟，还没有适应性 强，准确度高的数据库入侵检测系统，在这个领域内还有很大的研究空问。 1 3 主要研究内容 本文主要研究基于数据挖掘的数据库入侵检测系统。传统的数据库安全方 法存在着不能主动检测，被动预防入侵的缺陷，入侵检测正好可以弥补这个缺 陷。基于主机和网络的入侵检测已经取得了很大进展，但基于数据库的入侵检 测还很不成熟。在各种入侵检测方法中，基于关联规则的入侵检测有很大优势， 关联规则能够从海量数据中取得模式，可以用于正确区分正常模式和异常模 式，而且还有学习功能，所以可以很大程度上提高入侵检测系统的效率和准确 率。具体来说，本文主要进行了如下研究： 1 ) 对数据库安全作了概述。数据库安全与操作系统的安全有区别，数据 库有自己的结构特点，所以所受到的攻击和应采取的安全方法也有特殊性。对 传统的安全机制进行了分析，同时指出了存在的缺陷。 2 ) 对关联规则的技术的分析。对经典的关联规则算法f p - - - g r o w t h 算法进 行了改进，提出了基于事务项矩阵和条件矩阵的m f p - - g r o w t h 算法，该算法 只对事务数据库进行一次扫描，并且不产生条件f p 树，通过在条件矩阵上运 算挖掘频繁项集。实验证明该算法提高了挖掘的效率。 3 ) 设计了基于关联规则的数据库入侵检测系统原型。给出了原型框架， 并对其各部件进行了详细说明。在模式挖掘单元中，对m f p g 刑o t h 挖掘算 法进行了优化，引入了属性相关支持度和距离度量概念，从而使挖掘得到的 频繁项集更好的代表用户使用数据库的行为模式。 7 江苏大学硕士学位论文 1 4 论文的组织结构 本文主要研究基于数据挖掘的数据库入侵检测技术，相关知识的组织如下： 第一章绪论。介绍了课题的研究背景和意义，概述了数据库入侵检测的国 内外研究现状，并提出了本文的主要研究内容和组织结构。 第二章数据库安全概述。介绍了数据库安全方面的相关内容，对据库安全 标准，数据库安全特点，数据库常见的攻击手段，数据库传统安全机制及其存在 的缺陷进行了简单介绍。 第三章数据库入侵检测相关技术。首先介绍了入侵检测的概念功能，对各 种入侵方法进行了简要介绍，其次介绍了数据挖掘的基本知识，对数据挖掘在入 侵检测中的应用进行了讨论，对常应用在入侵检测中的数据挖掘方法进行了简单 介绍，重点介绍了关联规则方法的两个经典挖掘算法a p r i o r i 和f p g r o 叭h 算法。 第四章m f p g r o h 算法。本章对f p g r o 、v t h 算法提出了一种改进算法 m f p g r o h 算法。该算法使用事务项矩阵代替事务数据库，并根据频繁模式 矩阵产生条件矩阵，通过条件矩阵运算来挖掘频繁模式，和经典f p g r o 谢h 算 法相比，不用递归产生条件模式树，提高了挖掘的效率。 第五章数据库入侵检测系统原型设计。首先给出了本文设计的数据库入侵 检测系统原型的框架，接着对各个单元进行了详细说明。在模式挖掘单元中，通 过引入属性相关支持度和距离度量的概念扩展了关联规则挖掘算法m f p g r o w t h 算法，将此算法应用于模式挖掘中，提高了挖掘的效率，挖掘的模式的 典型性，使得挖掘到的模式更好的代表了用户的行为模式。同时我们进行了实验 说明和分析，证明本原型设计能对数据库的入侵，特别是内部入侵进行有效的检 测。 第六章工作总结与展望。对本文的研究工作进行了总结，并指出下一步的 研究工作的重点和方向。 8 江苏大学硕士学位论文 第二章数据库安全概述 2 1 数据库安全标准 2 1 1t c s e c 安全标准 t c s e c ( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ) t 2 3 1 是19 7 0 年由美国国防 科学委员会提出的可信计算机系统评估标准，于1 9 8 5 年公布为国防部标准，后 扩展至民用，现通常引用其为“桔皮书”。t c s e c 标准在1 9 8 7 年扩展了t n i 可 信网络解释和在1 9 9 1 年扩展了t d i 可信数据库解释。t c s e c 的重点在于提供对 敏感信息机密性保护。在t c s e c 的准则要求中，经常提到一个术语是可信计算 基( t c b ) 。t c b 表示实现系统安全特性的关键硬件，软件和固件的全集，负责 根据安全策略来处理主体( 如系统管理员，安全管理员，用户) 对客体( 如进程， 文件，记录，设备) 的访问。 t c s e c 中的安全要求涉及多个方面。具体来说，t c s e c 中基本安全要求主 要可分为三大类、六个方面。三大类指的是策略类( p o l i c y ) 、责任类 ( a c c o u n t a b i l i t y ) 和保障类( a s s u r a n c e ) 。其中，策略类包括安全策略( s e c u r i t y p o l i c y ) 和标记( m a r k i n g ) 要求；责任类包括标识( i d e n t i f i c a t i o n ) 和审计( a u d i t ) 要求；保障类包括保证( a s s u r a n c e ) 和持续保护( c o n t i n u o u sp r o t e c t i o n ) 的要 求。 t c s e c 准则定义了四个等级，由低到高分别为d 级，c 级，b 级，与a 级。 所有不具备安全特性的系统均归于d 级。而a 级表明系统提供了最全面的安全 保护。此外，四个安全等级还可进一步细分为总共七个级别。不同的级别是根据 对具体安全特性的不同要求和对所需机制、方法的不同评估认证水平来划分的， 这些级别形成了一个可信程度逐级递增的层次结构。这七个安全级别分别为：d 级( 最小保护) 、c 1 级( 自主式安全保护) 、c 2 级( 控制式访问保护) 、b 1 级( 标 签式安全保护) 、b 2 级( 结构化保护) 、b 3 级( 安全域) 和a 1 ( 验证设计) 。 美国国防系统采购的系统要求其安全级别达到b 1 级以上，商业用途的系统 也追求c 2 级以上的安全级别。值得注意的是，国外厂商向我国推销的计算机系 统基本上是c 2 级以下的产品。这是由于国外尤其是美国对于安全产品的出口有 9 江苏大学硕士学位论文 严格限制造成的。 2 1 2c c 标准 t c s e c 经过1 5 年的发展，特别是互联网的应用深入，原有规则已经不适应 与现有形势，为此，i t 界一直致力于发展新的安全标准。于是新的c c t 2 4 1 于1 9 9 9 年7 月通过国际标准化组织认可，确立为国际标准i s o i e c1 5 4 0 8 。 c c 源于t c s e c ，但已经完全改进了t c s e c 。t c s e c 主要针对操作系统的评 估，提出的是安全功能要求。c c 则全面的考虑了与信息技术安全性有关的所有 因素，以“安全功能要求”和“安全保证要求”的形式提出了这些因素，这些要 求也可以用来构建t c s e c 的各级要求。 c c 定义了作为评估信息技术产品和系统安全性的基础准则，提出了目