（计算机应用技术专业论文）基于用户依赖模型的安全数据库隔离与修复技术研究.pdf

南京航空航天大学硕士学位论文 摘要 随着信息技术的快速发展，数据库的应用得到了极大的普及。作为信息系统数据的存储中 心，数据库往往成为恶意攻击的重点。传统的以预防为中心的数据库安全机制，主要着眼于对系 统外部用户的身份认证以及权限控制。对于已经发生的攻击以及来自内部合法用户的权限滥用， 现有的基于事务的入侵检测、隔离与恢复机制并不能很好地加以解决。 本文在已有的数据库安全机制的基础上，结合国家自然科学基金资助项目“具有可生存能 力的安全d b m s 关键技术研究”，主要针对非法攻击已经对数据库造成损坏的情况，提出了包 含时间维度的用户依赖模型，并以此为基础提出了安全数据库的入侵隔离与修复的相关算法， 然后在自主研发的安全数据库管理系统n h s e c u r e 中设计与实现了入侵隔离与修复模块。本文 具体工作和创新点如下： ( 1 ) 对现有的事务依赖和数据依赖模型深入分析，以数据库系统的用户为着眼点，提出了更 为合理的包含时间维度的用户依赖模型，并提出了在数据库运行过程中动态建立用户依赖关系 图的算法，并通过实验给出在系统中动态维护用户依赖关系的额外空间占用情况以及对系统性 能的影响。 ( 2 ) 以本文提出的包含时间维度的用户依赖模型为基础，提出了在数据库系统遭受恶意入侵 后实时对受损数据进行隔离的策略和方法。实验表明，实时进行受损数据隔离的方法在性能和 额外空间消耗上都能很好地满足要求。 ( 3 ) 通过为数据库系统的数据动态维护前值，借鉴盲写事务的优点对传统的u n d o 、r e d o 方 法进行改进，使得数据库系统在遭受恶意入侵之后能够快速修复。通过实验分析，改进后的修 复方法在所需磁盘空间没有较大增长的同时能够较大的提高修复效率。 ( 4 ) 在课题组已有的n h s e c u r e 安全数据库管理系统基础上设计并实现了入侵隔离与修复模 块，给出了相应的数据结构设计以及具体实现方法。 关键词：入侵隔离，入侵修复，用户依赖模型，安全数据库，入侵可生存性 基于用户依赖模型的安金数据库隔离与修复技术研究 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y , a p p l i c a t i o n so ft h ed a t a b a s eh a v e o b t a i n e d 敞e n o r m o u sp o p u l a r i z a t i o n a si m p o r t a n td a t as t o r e dc e n t e ro fi n f o r m a t i o ns y s t e m s ， d a t a b a s eh a sa l w a y sb e e na t t a c kt a r g e t t r a d i t i o n a lp r e v e n t i o nc e n t r i cd a t a b a s es e c u r i t ym e c h a n i s m s p u te m p h a s e so ni n s p e c t i o no fu s e ri d e n t i f i c a t i o na n dp e r m i s s i o nc o n s t r a i n t s t h e r e f o r e ，e x i s t i n g t r a n s a c t i o nb a s e di n t r u s i o nd e t e c t i o n ，i s o l a t i o na n dr e c o v e r ym e c h a n i s m sa r ev e r yl i m i t e dt op r e v e n t a l la t t a c k sa n da b u s e so fi n n e rn o r m a lu s e r s i nt h i sp a p e r , b a s e do nt h er e s e a r c ho ne x i s t i n gd a t a b a s es e c u r i t ym e c h a n i s m s , w ep r o p o s et h e u s e rd e p e n d e n c ym o d e lw i t ht i m e s t a m p s ，w h i c hm a i n l yf o c u s e so nt h ed a m a g eo ft h em a l i c i o u s a t t a c k s 。a n do nt h eb a s i so ft h eu s e rd e p e n d e n c ym o d e l ，w ea l s op r o p o s et h ea l g o r i t h mo ft h e i n t r u s i o ni s o l a t i o na n dr e p a i ro ft h es e c u r i t yd a t a b a s e ，t h e nd e s i g na n di m p l e m e n tt h ei n t r u s i o n i s o l a t i o na n dr e p a i rm o d u l ei nt h es e c u r i t yd b m s - - n h s e c u r e t h em a i nc o n t e n t sa n di n n o v a t i o n so f t h i st h e s i sa r ea sf o l l o w s ： ( 1 ) b a s e do nt h ea n a l y s i so ft h ee x i s t i n gt r a n s a c t i o na n dd a t ad e p e n d e n c ym o d e l ，f o c u s e so nt h e d a t a b a s es y s t e mn s e l $ ，p r o p o s e st h eu s e rd e p e n d e n c ym o d e lw i t ht h et i m e s t a m p sa n dt h ea l g o r i t h mo f b u i l d i n gt h eu s e rd e p e n d e n c ym o d e lo nt h ef l y s i m u l a t e de x p e r i m e n t ss h o wt h ef e a s i b i l i t yo fs p a c e a n dt i m ec o s to f t h ea l g o r i t h m ( 2 ) b a s e do nt h eu s e rd e p e n d e n c ym o d e l ，p r o p o s e st h er e a lt i m ei s o l a t i o ns t r a t e g ya n dm e t h o d s o ft h ed a t a b a s es y s t e ma f t e rm a l i c i o u sa t t a c k s s i m u l a t e de x p e r i m e n t ss h o wt h a tt h ea l g o r i t h mw a s w e l lt om e e tt h er e q u i r e m e n t so f t h es p a c ea n dt i m ec o s t 。 ( 3 ) b ym a i n t a i n i n gt h eb e f o r ei m a g e so ft h ed a t ai t e m sa n di m p r o v i n gt h et r a d i t i o n a lu n d oa n d r e d oo p e r a t i o n s ，t h ei m p r o v e dd a t a b a s es y s t e mr e p a i ra l g o r i t h mr e d u c e st i m ec o s tl a r g e l y , w h i l et h e r e i sn ol a r g ei n c r e a s ei nr e q u i r e dd i s ks p a c e ( 4 ) d e s i g n sa n di m p l e m e n t st h ei n t r u s i o ni s o l a t i o na n dr e p a i rm o d u l eo fs e c u r i t yd b m s n h s e c u r e ，i n c l u d i n gt h ed a t as t r u c t u r ed e s i g na n dt h ec o n c r e t ei m p l e m e n t a t i o nm e t h o d k e y w o r d s ：i n t r u s i o ni s o l a t i o n ，i n t r u s i o nr e p a i r , u s e rd e p e n d e n c ym o d e l ，s e c u r i t yd b m s ，i n t r u s i o n f e a s i b i l i t y l l 南京航空航天大学硕士学位论文 图清单 图1 1 具有入侵可生存性的数据库管理系统3 图2 1 数据标记法7 图2 2 多阶段隔离法8 图2 3 多版本法。9 图3 1 例1 的用户依赖关系图1 8 图3 2 数据集t p c - d 关系结构2 3 图3 3 元数据空间曲线。2 5 图3 4s f = o o lu n = i o 动态维护用户依赖关系额外占用空间。2 5 图3 5s f = o o lt n - 1 0 动态维护用户依赖关系额外占用空间一2 6 图3 6u n = i ot n = 1 0 动态维护用户依赖关系额外占用空间2 6 图3 7s f = o o lu n = 1 0 动态建立用户依赖时间消耗。2 7 图3 8s f = o o lt n = 1 0 动态建立用户依赖时间消耗。2 7 图3 9u n = i ot n = i o 动态建立用户依赖时间消耗。2 8 图4 1 传统事务撤销方法3 0 图4 2 采用多版本数据m v d 的修复方法3 0 图4 3 元数据空间曲线3 2 图4 4s f = o olu n = i o 实时恶意事务修复额外占用空间3 3 图4 5s f = o o lt n - 1 0 实时恶意事务修复额外占用空间3 3 图4 6u n = i ot n = 1 0 实时恶意事务修复额外占用空间。3 4 图5 1n h s e c u r e 整体结构示意图3 9 图5 2 损坏数据隔离流程4 0 图5 3 损坏数据修复流程4 2 图5 4 日志文件组织结构图。4 4 图5 5 用户执行事务示意图4 7 图5 6 检测恶意事务并对损坏数据隔离示意图4 7 图5 7 损坏数据修复示意图。4 8 基于用户依赖模型的安全数据库隔离与修复技术研究 表清单 表3 1 多版本数据( m v d ) 结构1 6 表3 2 事务一用户关系表u t r 1 6 表3 3 例l 的事务一用户关系表信息2 1 表3 4t p c - d 数据容量配置表2 4 表4 1 公式4 1 中符号意义3 4 表4 2 基于用户依赖的恶意事务恢复方案中的系统参数值3 5 表4 3d b m s 中不同的恶意事务恢复方案花费的时间3 5 表5 1 关系t e a c h e r s 。4 0 表5 2 事务文件t e s t s q l 4 0 南京航空航天大学硕士学位论文 注释表 d b m s d a t a b a s em a n a g e m e n ts y s t e m ，数据库管理系统 s q l s t r u c t u r e dq u e r yl a n g u a g e ，结构化查询语言 u d g t - i ，s 盯d e p e n d e n c yg r a p hw i t ht i m e s t a m p ，包含时间维度的用户依赖模型 i d s i n t r u s i o nd e t e c t i o ns y s t e m ，入侵检测系统 d o s d e n i a lo fs e r v i c e ，拒绝服务 a c i d a t o n l i c i t y 、c o n s i s t e n c y 、i s o l a t i o n 、d u r a b i l i t y ，原子性、一致性、独立性、持久性 m a c m a n d a t o r ya c c e s sc o n t r o l ，强制访问控制 承诺书 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进 行研究工作所取得的成果。尽我所知，除文中已经注明引用的内容外， 本学位论文的研究成果不包含任何他人享有著作权的内容。对本论文所 涉及的研究工作做出贡献的其他个人和集体，均己在文中以明确方式标 明。 本人授权南京航空航天大学可以有权保留送交论文的复印件，允许 论文被查阅和借阅，可以将学位论文的全部或部分内容编入有关数据库 进行检索，可以采用影印、缩印或其他复制手段保存论文。 ： ( 保密的学位论文在解密后适用本承诺书) 南京航空航天大学硕士学位论文 第一章绪论 在社会日益发展的今天，信息资源已成为维护国家安全、保障社会经济高速发展的重要战 略资源。而随着互联网的出现，在大大加快信息化发展、推进信息互联的同时，也使得信息系 统变得更为脆弱，给信息资源的安全带来了严重的威胁。对于通讯、银行、电力、军事等关系 国家、社会命脉的行业的信息系统，即使是很短的停止服务时间也会导致难以估量的损失。因 此，信息安全的保障便显得尤为重要。 网络系统、操作系统和数据库管理系统( d 删s ) 作为信息系统的主要支撑平台，这三者的 安全性直接影响到整个信息系统的安全。在信息系统的整体安全中，数据库直接存储大量数据， 往往成为最吸引攻击者的目标。数据库安全是信息安全的最后一道安全屏障，已越来越引起人 们的关注，它已成为信息安全的一个重要环节。但是，人们对数据库安全的重视程度远不如对 网络和操作系统安全的关注。 1 1 安全数据库隔离与修复技术研究的意义 数据库系统已经日益成为人们存储和组织关键数据的首选，因此数据库系统的安全便变得 更为重要和不可忽视。数据的损坏和误用不仅仅对某一用户或某一应用造成影响，甚至可能会 对整个信息系统造成灾难性的后果。而近来基于w e b 的应用和b s 架构的信息系统的快速发展 更是使得数据库系统所面临的风险成倍增加。另外需要注意的是，不但要保护数据不受来自外 部的攻击，来自内部的攻击同样不可疏忽。 此外，我国现阶段从国外引进的d b m s ，如o r a c l e 、s y b a s e 等d b m s 商业产品不提供源代 码，不能进行代码分析、评审。因此，它们的代码中可能包含各种恶意功能【4 2 】：( 1 ) 在数据库 管理系统的身份认证机制上留下后门，从而使攻击者绕过身份认证；( 2 ) 在授权机制上留有后 门，从而攻击者的某些操作可以绕过正常的访问控制；( 3 ) 在数据处理模块中添加恶意功能， 在必要时启动，对数据进行隐蔽的自动修改和破坏；( 4 ) 在审计功能上留下后门篡改审计数据， 将攻击活动伪造成正常活动，或者不记录某些攻击活动甚至可能通过伪造审计数据，陷害无辜 用户，或者制造系统受攻击的假象。在国防、银行以及其他关系到国家和社会安全的场合如果 采用国外的数据库其本身就具有很大的危险性，因此研究和开发具有自主知识产权的安全数据 库管理系统是势在必行的，也是刻不容缓的。 数据库的安全漏洞通常包括未授权数据的访问，数据的错误修改和数据的不可用【l 】o 未授 权数据的访问会导致数据泄露给未授权用户。从商业公司到社会机构，从社会医疗到国土防御， 一旦发生未授权数据的泄露，将会造成巨大的损失。数据的错误修改，无论是有意或无意的， 都会导致数据库处于一个不一致的状态，使用错误数据可能会带来严重的后果。而一旦数据不 基于用户依赖模型的安全数据库隔离与修复技术研究 可用，将会导致系统在关键时刻不能获得数据。一套完整的数据库安全机制必须满足以下三个 要求【1 】： 1 ) 数据机密性，保证未授权数据不被泄露。 2 ) 数据完整性，防止对数据的未授权操作或者错误修改。 3 ) 数据可用性，要求数据库在遭受硬、软件故障或拒绝服务等恶意攻击时能够恢复到一 致性的状态。 这三点几乎是所有的信息都要求的，假如一个数据库中存储了公司员工的工资信息，那么 员工的个人工资信息是不能被未授权的用户查看和修改的，并且要在发工资时打印出工资条。 同样的，在一家航空公司的网站系统中，乘客的预约订票信息只能提供给乘客本人，且不能被 随意修改，并且相关数据要能保证实时可用。 因此，数据库安全的重点在于数据机密性、完整性和可用性【l j 。在过去相当长的时间内， 数据库安全的研究重点集中在授权【2 1 、自主访问控制、强制访问控制以及数据库的多层安全机 制【3 】上，这些安全机制主要是用来保证数据库的机密性，而对数据库的完整性和可用性涉及较 少。而实践证明，在许多场合，以预防为主的传统数据库安全机制存在较大的局限。 首先，数据库入侵检测机制【4 4 7 , 4 8 , 4 9 1 存在一定的滞后性，入侵往往不能得到及时的限制，从 而导致受损数据的快速扩散，并且数据库入侵检测机制对系统资源消耗很大且很难保证其正确 性，在很多情况下，入侵检测的误警率依然很高【1 6 】。 其次，传统数据库安全机制着重保证数据的机密性，而忽视了数据的完整性和可用性。而 对于数据库来说，数据的完整性和可用性具有和机密性同等重要的地位。而以数据的完整性和 可用性为目标的攻击如拒绝服务( d e n i a lo fs e r v i c e ，d o s ) 、恶意篡改等攻击，目前传统的 数据库安全机制是无能为力的。而在许多场合，失去完整性和可用性的数据是毫无价值的。 为了克服传统数据库安全机制的不足，在数据库入侵检测机制的基础上，需要开展数据库 发生入侵后的处理机制，即数据库入侵容忍技术。为此，本文对数据库入侵隔离与入侵修复的 相关技术进行了研究，提出了一系列新的算法来解决上述问题。 1 2 安全数据库隔离与修复技术的相关问题 安全数据库隔离与修复的问题在数据库入侵可生存性的背景下提出的。可生存性是指在遭 受攻击、故障或意外事故时，系统能够及时完成其关键任务的能力【5 】。数据库可生存性通常被 分为两层：操作系统层和数据库事务层。尽管数据库事务层的方法不能解决操作系统层的攻击， 但是研究表明，在许多场合攻击者通过恶意事务攻击数据库，因此数据库事务层的入侵容忍方 法显得更为有效。再者，研究表明操作系统层的入侵容忍技术 $ 0 , 5 1 , 5 2 , 5 3 】可以集成到数据库事务 层的入侵容忍框架下，从而很好地解决操作系统层的入侵问题。因此，本文主要着眼于数据库 2 南京航空航天大学硕士学位论文 事务层的入侵容忍技术的研究。图1 1 给出了具有入侵可生存性的数据库管理系统的框架结构。 图1 1 具有入侵可生存性的数据库管理系统 此系统以传统数据库管理系统( 图中虚线部分) 为基础，入侵检测模块通过扫描d b m s 日 志以检测恶意事务，损坏定位模块定位恶意事务入侵造成的损坏数据，损坏修复模块利用修复 算法对损坏数据进行修复，损坏限制模块限制对被损坏评估模块确定的受损数据的访问以防止 损坏数据的蔓延。而强制管理模块为系统合法用户和合法事务提供一个代理，使得上述模块对 系统用户透明，并负责上述相关模块的调度。例如，一旦入侵检测模块检测到某个系统用户提 交了一个恶意事务，强制管理模块则需要禁止该用户对系统的所有访问。 尽管现有的数据库管理系统为了应对各种错误和故障，已经采用了访问控制、完整性约束、 并发控制、备份以及恢复等机制，但是仍然容易遭受攻击( 尤其是来自系统内部的攻击) 。例如， 数据库的入侵者可以伪装成系统合法用户从而使访问控制机制失效；完整性约束机制对一些满 足完整性约束条件的数据篡改是无能为力的；数据库的自动备份功能会使得某一站点的受损数 据扩散到其他站点上。因此，图1 1 所示的安全机制是十分必要的。 这个安全机制的复杂性主要是由于存在受损数据扩散的现象所造成的。在数据库中，一个 事务的结果可能会影响其他事务。例如，当事务乃读取了被事务乃更新的数据项x ，则称事务 乃直接受事务乃影响，若有第三个事务死直接受事务乃影响，而不直接受事务乃影响，则称 事务疋间接受事务乃影响【l 们。由此可见，当一个恶意事务岛更新了数据项x ，则所有被事务 历直接或间接影响的事务所更新的数据都会被传播。损坏定位和损害修复模块负责确定受损数 据，并对损坏数据进行修复。对损坏数据的修复分为两种情况【1 6 】：对恶意事务造成的损坏数据， 直接用其损坏之前的数据替换当前的损坏数据就可以了；对于受感染事务造成的数据损坏，则 需要撤销并重做相关操作。对损坏数据的定位和修复的最大难点在于在修复过程中，受损数据 3 基于用户依赖模型的安全数据库隔离与修复技术研究 可能会进一步扩散。因此，本文提出的入侵可生存性框架需要迅速定位受损数据，并切断其在 系统中的扩散。 这个入侵可生存性体系结构的瓶颈在于数据库入侵检测的滞后性。首先此系统不能处理那 些入侵检测机制没有发现的恶意事务和操作，为了能够尽可能多的发现恶意事务，则有可能导 致较高的“误警率”以及“拒绝服务”情况的发生；其次，为了能够精确地判断一个事务是否 为恶意事务，入侵检测机制需要消耗大量的系统资源，检测结果会有较大的延迟，不利于防止 损坏数据的进一步扩散。 1 3 本文的主要工作 本文针对以上提出的相关问题，对安全数据库可生存性技术的相关技术进行了研究，重点 研究了安全数据库入侵隔离与入侵修复的相关技术，主要工作如下： 1 )在对现有的事务依赖和数据依赖模型深入分析的基础上，着眼于数据库系统的用户， 提出了包含时间维度的用户依赖模型u d g t c l i s l y d e p e n d e n c y g r a p h w i t h t i m e s t a m p ) ，并提出了 在数据库运行过程中动态建立用户依赖关系图的算法，并通过对比实验给出在系统中动态维护 用户依赖关系的额外占用空间情况以及对系统性能的影响，表明该模型相比其他传统模型有所 提高。 2 )以本文提出了包含时间维度的用户依赖模型u d g t 为基础，提出了在数据库系统遭受 恶意入侵后实时对受损数据进行隔离的策略和方法，防止恶意数据的进一步扩散和传播，限制 恶意用户的后续操作。实验分析表明，实时进行受损数据隔离的方法在空间占用以及隔离效率 上都能i z 很z 好地满足要求。 3 )通过动态维护数据库系统的数据前值，借鉴盲写事务的优点对传统的u n d o 、r e d o 方法 进行改进，使得数据库系统在遭受恶意入侵之后能够快速修复。通过实验分析，改进后的修复 方法在所需磁盘空间没有较大增长的同时能够较大的提高修复的效率。 4 )在课题组已有的n i - i s e c u r e 安全数据库管理系统基础上设计、实现了安全数据库的入 侵隔离与修复机制，给出了数据结构设计以及具体的实现方法和步骤。 1 4 本文的组织结构 隔离技术被认为是解决上述问题的一个比较好的选择【6 】，本文在前人研究的基础上提出了 用户依赖关系模型，并在数据库运行中动态建立和维护用户依赖关系图。在用户依赖关系模型 的基础上，提出了相应的在线隔离和修复算法，并在实验室的原型系统n h s e c u r e 中予以实现。 本文的组织结构如下： 第一章介绍了数据库可生存性中隔离和修复技术的研究背景，说明了本文的选题依据、意 4 南京航空航天大学硕士学位论文 义、主要工作和文章组织结构。 第二章介绍了现有安全数据库隔离和修复的相关技术以及存在的不足。为了提高d b m s 的 可生存能力，已有研究在数据库入侵检测、数据库的恶意攻击的限制和隔离以及恶意事务方面 做了大量的研究工作，为了提高数据库的可生存性，还需要对安全数据库的隔离和修复技术进 行更为深入的研究。 第三章在介绍现有d b m s 事务理论模型的基础上，提出了包含时间维度的用户依赖模型， 并以此为基础提出了基于用户依赖模型的隔离策略，以及在数据库运行过程中动态建立用户依 赖模型的算法描述，最后给出了相关实验结果及分析。 第四章介绍了基于用户依赖模型的安全数据库动态修复算法，并给出了相关的实验以及结 果分析。 第五章首先介绍了课题组n h s e c u r e 安全数据库系统的体系结构，在此基础上设计、实现 了安全数据库动态隔离与修复机制。 第六章总结了本文的主要工作和贡献，说明了存在的不足之处，并探讨了接下来的相关研 究方向。 5 基于用户依赖模型的安全数据库隔离与修复技术研究 第二章安全数据库隔离与修复相关技术 a m m a n n 等将信息战的过程分为预防、情报收集、攻击、检测、隔离、损坏评估、重配置、 修复、错误处理【7 l 等九个阶段。入侵隔离和修复作为信息战的重要组成部分，其重要性不言而 喻。信息战攻击的目标主要有两种：一是获取对方数据，二是破坏对方数据以瘫痪对方信息系 统。信息战防卫者的目标是当数据库遭受攻击后，数据库管理系统能够在对损坏数据进行修复 的同时利用未受损数据继续提供关键服务，而不是对数据库进行停机修复。信息战条件下的数 据库入侵隔离和修复技术应该能够达到这些要求，在数据库入侵发生之后，能够迅速定位到受 损数据，并对受损数据进行隔离以防止其进一步扩散，并对受损数据提供在线修复功能。 2 1 安全数据库隔离技术 当事务乃读取了被事务乃更新的数据项z ，则称事务乃直接受事务t j 影响，如果再有第三 个事务死直接受事务乃影响，而不直接受事务t j 影响，则称事务瓦间接受事务乃影响! 阚。而 如果事务t j 为恶意事务，其造成的损坏会传递到所有被乃直接或间接影响的事务所更新的数据 中。入侵隔离技术的目的就是在数据库遭受入侵之后，防止损坏数据进一步传播、扩散以及入 侵者造成进一步的破坏。对损坏的限制隔离主要有两种情况【l6 】：一种是对损坏数据的隔离，在 受损数据被清理或者修复之前，阻止其他事务对损坏数据的访问，以防止损坏数据的进一步扩 散。另一种情况主要是针对可疑用户的隔离，当入侵检测机制发现某一用户有异常操作，在进 一步观察和确定用户是否合法之前，在不影响其对数据库中数据进行访问的情况下，对其相关 操作进行隔离，以防止其可能对数据库造成的损害。入侵隔离技术既能防止过早停止这些用户 的操作，又能防止其操作对数据库可能造成的进一步破坏，为入侵检测和修复争取时间。目前， 数据库入侵限制和隔离的技术主要有静态分区、数据标记、多阶段隔离、多版本等方法。 2 1 1 静态分区法 静态分区【4 2 l 的方法将数据库中的数据划分为不同的区域，并将单个事务的活动范围限制在 某一单个区域中，从而保证损坏数据传播也被限制在单个区域中，当某一个区域的数据受到损 坏时还可以使用其它区域的数据。这里用到的分区的概念类似于在多级安全数据库中使用的范 围( c a t e g o r y ) 。数据库的划分粒度是一个难点，若划分的粒度过大，当发生数据损坏时则会导致 大量未受损数据被隔离，而如果划分的粒度过小，则无法保证单个事务的活动范围都能够被限 制在某一单个区域中，而如果强制对事务的活动范围进行限制，则可能导致许多事物无法正常 运行，造成数据库的瘫痪。由于在许多数据库中分区的方法并不适用，也可以在数据库中定义 6 南京航空航天大学硕士学位论文 区域的边界，记录通过边界的触发或传递更新，限制数据通过边界的带宽和条件，并且如何定 义区域的边界，以及如何进行边界的触发都是比较困难的。静态分区的方法实现简单但易导致 过多的数据受到隔离，并且提高隔离精度非常困难。 2 1 2 数据标记法 数据标记方法是通过对数据库中的数据进行标记来区分损坏和正常的数据的，在此基础上 再通过改进事务协议来防止正常事务读取标记为损坏的数据从而达到隔离的目地。a m m a n n 等 使用颜色标记的方法来确定损坏信息，将数据分成四个部分：红、浅红、浅绿和绿【钔，如图2 1 所示： 卜 1 ： ， j 。- ， j l 。红。”_ 浅红 浅绿：卜绿，： 卜 j j ，一。 一? ，： 图2 1 数据标记法 红色表示损坏的且不能安全使用的数据；浅红色表示损坏的数据，但禁止存取这些数据的代价 高于允许存取这些数据的代价；浅绿是近似数据，常常是由于在线恢复造成的；绿色是完全正 确的数据。使用这些标记，a m m a n n 等重新定义了数据库一致性的概念和保持这种一致性的相 关事务语法协议，并且将数据库中的事务分为正常事务、攻击事务、应对( c o u n t e r m e a s u r e ) 事务。 应对事务包括检测事务和恢复事务，入侵检测和数据恢复都是由应对事务来完成。隔离策略是 通过颜色标记和改进的事务处理协议，红色标记的数据必须完全隔离，禁止事务存取，浅红色 的数据不完全隔离但其传播必须要有详细的审计。但是，a m m a n n 的颜色标记法假设数据具有 初始标记，但数据标记方法的难点就是如何标记这些数据以及由于如何处理不精确的标记等问 题，而这些a m m a n n 并未提及。 2 1 3 多阶段隔离法 在数据库入侵检测过程中，为了保证检测的精确度入侵检测存在一个检测滞后期( d e t e c t i o n l a t e n c y ) ，同时对事务检测过程的执行也需要一定的时间，而且对损坏数据的隔离也同样需要时 间，这样就导致对恶意事务的检测必然要滞后于恶意事务的执行，而在这个阶段，一个繁忙的 数据库可能已经将数据损坏迅速传播开来从而导致原先的隔离范围无效，极端情况下，甚至可 能出现数据库的隔离速度赶不上损坏数据的传播速度，从而导致损坏数据的大范围传播，最终 甚至可能演变成整个数据库中数据都不可用【4 2 】。 例如在检测到损坏数据x 的滞后期内，许多事务可能已经读过工并使用它修改了其它数据， 因而当确定隔离z 时，损坏已经传播从而导致仅仅隔离z 已经无效。多阶段的隔离策略是首先 以尽快的速度将所有与受损数据有关的数据全部隔离，以确保损坏数据无法传播，然后再在后 面的阶段将误隔离的数据释放。多阶段的隔离策略保证了滞后期内损坏数据不能传播，但影响 7 基于用户依赖模型的安全数据库隔离与修复技术研究 了数据库中数据的可用性。p e n 矿1 等提出了一个多阶段0 订u l t i - p h 髂e ) 的隔离策略，将每个数据对 象附上时间戳，当恶意事务丑被识别时，首先将口的写数据集和时间戳迟于b 提交时间的所有 数据对象隔离，在以后的阶段再逐步将错误隔离的正常数据释放，如图2 2 所示： 图2 2 多阶段隔离法 由于需要为每个数据对象附上时间戳和对事务语句进行改写，多阶段隔离法对数据库的性 能有一定的影响，并且在隔离期间会在一定程度上影响d b m s 的可用性【4 2 】。 2 1 4 多版本法 多版本法f 1 0 1 来源于可疑用户的隔离，可疑用户是指其行为略微偏离正常轨道，但在不进一 步观察的情况下无法确认是否为正常或恶意用户，在此情况下，如果立即禁止该用户对数据库 进行操作，而后来证明该用户只是有一些反常但合法的行为，禁止其访问数据库将会给该用户 带来不必要的损失以及减少系统的可利用性，同时也不利于收集证据以作进一步的判断；但如 果不加限制让该用户继续访问数据库，直到确认该用户的恶意行为再对其采取措施，则有可能 给系统造成进一步的破坏。多版本的方法将正常用户版本和可疑用户版本分开，在数据库中为 数据维护多个版本( 包括一个主版本和多个可疑用户版本) ，当可疑用户被证明是正常用户，其 版本与正常版本合并，否则抛弃。多版本的方法可以使可疑用户的操作在监视下继续执行，又 不会对数据库造成进一步的伤害。 p e n g 等利用版本矢量的方法首先提出了一个在文件系统中使用的具体隔离协议【1 1 1 ，当文件 f 被可疑用户s 修改时，用户s 对文件f 当前正在进行的及其随后的修改将被隔离，为了区分 用户s 对f 的修改和可信用户对f 的修改，f 的主版本和每个隔离版本都附有版本矢量号。 j a j o d i a 等则将基于版本的隔离方法引入到数据库隔离的研究中【1 2 】，将版本号记录到数据库中的 数据项，对数据项工初始的版本号x m a a q ，当入侵检测发现某一可疑用户之后，增加特定版 本号1 n 1 7 到数据项中如x m m n 1 n z r ，当可疑用户& 识别时，再附加一独特版本号如时间戳 靠，则x 的版本号为石嘲【f f 】，j a j o d i a 给出了隔离的具体协议和算法。具体如图2 3 所示： 8 南京航空航天大学硕士学位论文 图2 3 多版本法 利用多版本的方法，p e n g 实现了一个基于o r a c l e 的可生存性原型系统d a i s ( d a t aa t t a c k i s o l a t i o ns y s t e m ) t 1 3 】，d a i s 使用触发器和事务轮廓追踪事务的数据读写，通过透明地修改和重 定向用户的s o l 语句到不同的数据版本。p e n g 的d a i s 系统证明多版本法是很有效的，但由于 需要额外记录数据的版本信息以及改写s q l 语句和重定向s q l 语句到不同的数据版本，对隔 离用户事务的执行有一定延迟【1 3 】。 多版本法使系统能更细微的控制用户的活动，可疑用户可以继续使用系统资源，减少了拒 绝服务的发生。但当可疑用户被证实是合法的，将其数据合并到主数据库是一个耗时的过程。 而在很多场合，数据库中只有一部分数据由于其重要性和完整性需要防止被损坏，同时在版本 合并时可能会导致正常事务的退出或重做，在这些场合，完全孤立可疑用户消耗更多的系统资 源且无必要1 4 2 。 2 2 安全数据库修复技术 数据库修复技术的目地是在数据库系统发生故障或其它意外情况时确保系统安全和审计性 质的维护。j a j o d i a 【1 4 】将数据库修复技术按照修复时系统运行的状态分为当损坏修复时系统停止 运行的“冷”启动( c o l d s t a r t ) 、系统继续提供部分关键服务的“暖”启动( w a m l s t a r t ) 和修复对用户透 明的“热”启动( h o t s t a r t ) ，并提出在信息战情况下的损坏修复模型和可信修复的准则。在数据库 领域，传统的数据库恢复机制是为了保持事务的a c i d ( a t o m i c i t y ，c o n s i s t e n c y ，i s o l a t i o n ， d u r a b i l i t y ) 性质t 1 1 ，并不适合用来处理恶意事务的。传统的恢复机制不能撤消已提交的事务，而 在信息战中，由于入侵检测的滞后性，在恶意事务被检测到之前，其可能已完成且已提交，另 外可能也存在良性事务已读取被恶意事务所损坏的数据并将受到这些损坏数据污染的数据写入 数据库中的情况，因此在信息战情况下的数据库修复技术分为两个阶段【4 2 】，第一阶段是确定应 9 基于用户依赖模型的安全数据库隔离与修复技术研究 该撤消的恶意事务和受感染的事务，第二阶段是如何修复这些事务。 2 2 1 确定恶意事务和受感染事务的方法 由于入侵检测机制的滞后性，在恶意事务被检测到之前，恶意事务可能已经提交并影响到 其它事务，要对数据库中的损坏数据进行修复，首先必须将所有这些事务确定下来。对受感染 事务的确定，可以通过事务之间存在的由于数据读写( r e a d - w r i t e ) 、写写( w r i t e - w r i t e ) 操作而形 成的依赖关系或数据本身存在的依赖关系来确定【4 3 】。 1 ) 基于事务依赖的确定方法 事务之间通过数据读取存在一定的依赖关系，事务乃在某执行序列口i s t o 呦中依赖乃，如 果存在数据项x 满足：乃更新工后乃读取工；在乃读取x 前乃没有被撤消；所有在乃更新j 和 乃读取工之间的更新过x 的事务都被撤消。在一个执行序列( h i s t o r y ) 中，如果事务乃和乃的有 序对( 乃，功出现在依赖关系的传递闭包中( 事务依赖的定义及性质会在下文中进一步说明) 则 称事务正影响乃。如果恶意事务b 影响良性事务g 则称g 是可疑的。如果良性事务不受恶意 事务影响则不需要撤消和重新执行。a m m a n n 等【1 5 】提出多个基于读写依赖适用于不同条件的恢 复算法，这些算法特别适用于不支持语义模型的主流商业系统，但这些算法撤消可疑的良性事 务，而这些良性事务中有可能存在不需要撤消的情形，为了保证更多的良性事务不被撤消，p e n g 等【1 6 】阐述了辨别读写依赖和写读依赖的的重要性，提出了一个重写执行序列的算法，该算法 通过将恶意事务尽可能的重写到执行序列的末尾，重写序列的前缀完全由良性事务组成，并证 明该前缀相当于使用写读依赖图撤消恶意事务和受恶意事务影响的良性事务，重写历史的算法 比使用依赖图能保存更多的良性事务。 在实现方法上，原型系统i t d b 1 刀使用重写事务执行序列的方法建立在商业d b m s 之上， i t d b 按照s q l 基础的事务记录数据库更新日志，在恢复期，i t d b 通过分析s q l 日志来找出 事务的依赖关系，由于i t d b 同时需要写日志和读日志来分析事务的依赖关系而读日志是普通 商业d b m s 所不提供的，i t d b 使用事务的预定义模板的方法来获得读信息，事务运行时分析 事务的s q l 语句将这些读模板实例化。原型系统p h o e n i x 埔】则通过在内部保持一张运行时的事 务依赖图而不需要读日志，通过事务依赖图，p h o e n i x 能准确和自动确定潜在的能被恶意事务所 损坏的事务。对每一数据项，p h o e n i x 使用额外的字段记录最后更新该数据项的事务，对数据项 x 和工的最后更新字段p r e y ( x ) ，当事务丁读取石，p h o e n i x 在t 和p r e v ( x ) 之间建立依赖关系。p h o e n i x 原型实现于数据库p o s t g r e s q l 之上，与i t d b 相比p h o e n i x 的方法不需要关于事务的预先知识 且更为精确。 基于事务读写、写一写依赖的方法需要将一些并未受恶意事务影响的事务退出或重做，且 必须退出或重做事务的所有操作，对效率和恢复的速度有一定的影响，同时由于必须读取恶意 事务及其影响事务的相关日志，而在某些情况下，入侵可能经过数天甚或数月才被发现，相关 1 0 南京航空航天大学硕士学位论文 的日志必须保存，这种需要使日志变得庞大和搜索的时间变长，无法满足实时应用的需要。为 了减少日志存取时间，p a m a i k 和p a n d a 1 9 魄出使用事务依赖的方法将日志分成簇集( c l u s t e r s ) ， 将恢复操作限制在单个簇中，减少页面i 0 。 2 ) 基于数据依赖的确定方法 基于事务依赖的方法需要撤消或重做( r e d o ) 受影响事务的所有操作，基于数据依赖的方法利 用数据之间的依赖关系进行恢复，只需要撤消或重做事务的受影响操作。对事务乃，写操作毗西口 如果是用从读操作硝v 中的值计算出来的，则写操作叼依赖于读操作嘣珂。对数据值z ，、勋， 如果写工j 的写操作依赖于沈上的读操作则称z ，依赖于勋，斯和勋可以是同一数据项的不同版 本。在一个事务内部，一些操作可能独立于其它操作，因而，对一个受恶意事务影响的事务来 说，不是所有操作都受到影响，在恢复阶段，不需要重新执行事务的所有操作而只需要撤消和 重新执行受影响的操作。p a n d