（计算机软件与理论专业论文）关系数据库入侵检测系统的设计与实现.pdf

华中科技大学硕士学位论文 摘要 随着计算襁与网终技术的广泛应用，数搬库安全技术已成为信息安全的藏要研究 领域。入侵检测是保障数据霹安全莳麓要手段。课题深入探讨了在安全数据库管理系 统s d m 3 上入侵检测的实现技术。它是实现安全数据库管理系统的关键技术之，课 题主要针对滥用检测的实现技术和异常检测的实现技术进行研究。 为了提高检测效率，选用特征分柝 乍为滥用检测系统的入侵分树方法。滋用检测 安全规则库在所收集的已知攻击行为和已发现攻击行为的基础上建立，滥用检测规则 库鲶蛰理实瑷了规则的测览、增热、删除、修改等璎秽功能，滥用梭测系统可完成针 对在非法时间域地点登录、嚣录失败、操作记录失败和操作袭失败等四种类越攻击行 为的捻测。 撼于数据库管理系统的异常检测借鉴了传统的基于操律系统和网络的异常检测的 愚恝。舅豢检测豹关键闯题在予正鬻搜曩模式熬建立跌及如何到罔该模式对当前用户 行为进行比较和判断。针对数据库的特点，为了更好的描述数据库用户的行为模式， 基于数据瘴管理系绕靛冥常梭测系统中g l 入了数据挖掇技术，使熙了度量傻距离 度量指导模式挖掘过程，与传统的只利用数据挖掘的方法相比，距离度量的概念参考 了数攫痒兹躐憝识，反映了数据瘁懿镰秘鼹添义特 羲，受难磷豹搓达了用户戆数据库 操作模式。为了得到比利用用户建模的方法鼹一般和更规则的行为模式，采用了利用 角色寒建立嚣先模式靛方法。赞对传统模式魄较葵法靛不是，裁嗣发量篷一一稳关波 来指姆异常检测的模拭比较过程，从而使用户历史行为模式和当前行为模式的比较得 至l 静籀骰囊甏褥合实繇。 关链谰：入侵检测，数据抡滚，嫠惫模式，距离度嚣，穗关瘦 华中科技大学硕士学位论文 a b s t r a c t w i t ht h ep r o l i f e r a t i o no f c o m p u t e ra n d n e t w o r kt e c h n i q u e s ，d a t a b a s es e c u r i t yh a sb e c o m e a n i m p o r t a n t r e s e a r c ha r e ao fi n f o r m a t i o n s e c u r i t y i n t r u s i o nd e t e c t i o n i sa l li m p o r t a n tm e a n s t oa c h i e v ed a t a b a s es e c u r i t y t h ep r o j e c ts t u d i e st h et e c h n i q u e so ft h ei m p l e m e n t a t i o no f i n t r u s i o nd e t e c t i o no ns e c t t r ed a t a b a s em a n a g e m e n ts y s t e ms d m 3 i ti so n eo ft h ek e y t e c h n i q u e so f t h ei n r p l e m e n t a t i o no fas e c u r ed b m s ，t h er e s e a r c hi sm a i n l yf o c u s e do nt h e t e c b a l i q u e so f i m p l e m e n t a t i o no f m i s u s e d e t e c t i o na n d a n o m a l y d e t e c t i o n 。 s i g n a t u r ea n a l y s i si sc h o s e n t ob et h em e a n so fi n t r u s i o na n a l y s i si no r d e rt op e r f o r mw e l l i nd e t e c t i o n ，m i s u s ed e t e c t i o ns e c u r i t yr u l ed a t a b a s ei sb a s e do nk n o w na n df o u n di n t r u s i o n b e h a v i o u r s ；r u l eb r o w s e ，a d d i t i o n ，d e l e t i o na n dr e v i s i o na r ei m p l e m e n t e d i nt h em a n a g e m e n t o fm i s u s ed e t e c t i o nr u l ed a t a b a s e ；f o u ra b n o m a lb e h a v i o u rt y p e s ，w h i c hi n c l u d el o g i na t i l l e g a lt i m eo rf r o mi l l e g a ls i t e ，l o g i nf a i l u r e ，a c c e s sr e c o r df a i l u r ea n d a c c e s st a b l ef a i l u r e ， c a nb ed e t e c t e d 。 a n o m a l y d e t e c t i o nb a s e do nd b m sr e f e r st ot r a d i t i o n a la n o m a l yd e t e c t i o nb a s e do no s a n dn e t w o r k 。t h ek e y p r o b l e mo f a l l o m a l y d e t e c t i o ni sh o wt og e tn o r m a l u s a g ep r o f i l ea n d c o m p a r en o r m a lu s a g ep r o f i l ew i t hc u r r e n tu s a g ep r o f i l e d a t am i n i n gm e t h o di s u s e dt o s o l v ea n o m a l yd e t e c t i o np r o b l e m sb a s e do nd b m s ，d i s t a n c em e a s u r ei si n t r o d u c e dt og u i d e p r o f i l em i n i n g t h en o t i o no f d i s t a n c em e a s u r er e f e r st od o m a i nk n o w l e d g ea n dr e f l e c td a t a s t m c n n ea n ds e m a n t i c si nd b si no r d e rt oe x a c t l yd e s c r i b et h eu s a g ep r o f i l eo fd a t a b a s e u s e r s r o l ep r o f i l ei ss e l e c t e db e c a u s ei tm a yg i v er i s et om o r eg e n e r a la n dr e g u l a rp a t t e r n s t h a nu s e rp r o f i l e c o r r e l a t i o ni si n t r o d u c e dt og u i d e p r o f i l ec o m p a r i s i o n t om a k et h er e s u l to f c o m p a r i s i o n m o r er e a s o n a b l et h a nt r a d i t i o n a lp r o f i l ec o m p a r i s i o n k e yw o r d s ：t d s ，d a t am i n i n g ，r o l ep r o f i l e ，d i s t a n c em e a s u r e ，c o r r e l a t i o n | l 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除文中已经标明引用的内容外本沦文不包含任何其他 个人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体， 均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：庵伟 日期：2 0 0 4 年f 月1 0 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校 有权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅 和借阅。本人授权些中科技大学可以将本学位论文的全部或部分内容编入有关数 据库逆孑检索，可以采用影印，缩印或扫描等复制手段傈存和汇编本学位沧文。 保密口，在年解密后适用本授权书。 本论文属于 ， 不保密j o ( 清在以上方框内打“”) 学位论文作者签名指导教师签名 日期：2 0 0 年5 月1 0 日 日期：2 胁军_ 年 华中科技大学硕士学位论文 l 绪论 1 1 课题背景、意义及来源 计算机与网络技术的飞速发展与广泛应用，给人们的工作和生活带来了深刻的变 革。越来越多的信息存放在计算机系统中，其中很多是机密信息，这就对计算机安全 技术提出了更高的要求。数据库管理系统作为管理信息系统的基础软件，其安全性在 信息系统的安全中起着至关重要的作用。为保护机密信息不被窃取、破坏，仅仅使用 硬件保护是不够的，还必须采取必要的软件保护措施。刺数据库的威胁主要有：未经 授权非法访问、修改数据库信息；窃取数据或使数据失去真实性、可用性：来自侧络 的入侵等。数据库安全技术的研究已成为信息安全的重要研究课题。 在安全的数据库中，既要保证授权的合法用户对数据的有效存取，又能严格拒绝 非法用户的攻击企图。具体地说，安全数据库系统的设计目标主要有三个方面 2 1 。 1 数据的完整性 数据的完整性指数据的正确性、一致性和相容性。系统只允许授权的合法用户存 取数据库中的数据信息，并且以不破坏数据的完整性为前提。同时，系统应该杜绝非 法用户对数据信息进行任何存取操作，主要包括窃取和破坏。由于多个程序并发存取 同一个数据库中的数据，可能会造成数据的不一致性。因此，安全系统要具有保证数 据一致性的功能。 2 数据的可用性 当系统授权的合法用户申请存取有权存取的数据时，安全系统应该尽量减小对合 法操作的影响。换句话说，采用的安全机制不能明显降低数据库系统的操作性能。 3 数据的保密性 安全系统应该提供一个高强度的加密方案，对数据库中的机密数据进行加密处理。 只有当系统的合法用户访问有权访问的数据时，系统才把相应的数据进行解密操作； 否则，系统应保持机密数据的加密状态，以防止非法用户窃取到明文信息，对系统进 行攻击。 但是，随着网络连接的迅速扩展，特别是i n t e m e t 大范围的开放以及金融领域网络 的接入，越来越多的系统遭到入侵攻击的威胁。这些威胁大多是通过挖掘操作系统和 应用服务程序的弱点或者缺陷( b u g ) 来实现的。1 9 8 8 年的“蠕虫事件”就是一个很好的 华中科技大学硕士学位论文 实镶驿l 。嚣懿，对幸哼破彝系绫攻击瓣理想方法跫建立一个完全安全系统。餐这样耱话， 就要求所有的用户能识别和认证自已，还要采用各种各样的加密技术和强制访问控制 策臻采霖护数据。恧鼹实际上着，遮穰本怒不可麓秘。在实戥当中，建立完全安全系 统根本是不可能的。m i l l e r l 4 1 给出一份有关现今流行的操作系统和应用程序研究报告， 指窝软 孛中不可麓浚有缺陷，此羚，设计稆实现一个整体安全系统稽当困蕊。要将所 有己安装的带安全缺陷的系统转换成安全系统需要相当长的时间。加密技术方法本身 存在静一定闷题。安全系统荔受内豁焉户滚眉特权的攻击。安全访阉控制等级帮确户 的使用效率成反比。访问掇制和保护模型本身存在定的问题【”。在软件工程中存在 软件测试不充足、软件生命阁赣缩愆、大鼙软件复杂往等难解闯题。 基于上述几类问题的解决难度，个实用的方法是，建立比较容易实现的安全系 统，间时按照一定的安全策略建立相应的安全辅髓系统。入侵检测系统( i n t r u s i o n d e t e c t i o ns y s t e m ，i d s ) 就怒这样一类系统。传统安全保护措施如“访问控制”、“数据 加密”等是种静态的安全保护，而入侵检测技术麓继经戴安全傈护技术盾新一代的 动态的安全保障技术。i d s 用来识别针对计算机系统和网络系统，或者更广泛意义上 的信患系统的非法攻击，包括检测外界非法入侵者的恶意攻击或试探，以及内部合法 用户的超越使用权限豹非法行动。现在安全软件的开发方式基本上就是按照这个思路 进行的。就霞前系统安全状况而言，系统存在被攻击的可熊性。如采系统谶到攻击， 只要2 检测到，甚黧是实时地检测到，裁采取适当的处理攒施。i d s 一般不是采取预 防的措施以防止入侵事件的发生，入侵检测作为安全技术箕作用在于： 1 识别入侵者； 2 识别入侵行为； 3 ，检测和监视已曦功豹安全突破； 4 为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大。 因此，入授检测j # 常必要。 湖北省攻关项阏多级安全数据库管理系统技术研究总体目标为；研究高安全 蛙数据痒警邂系统麴实现技术，设谤堪一个以安全攘馋系统为乎台( 如红旗l i n u x 安 全版) ，具铸国标( g b l 7 8 5 9 1 9 9 9 计算机信息系统安全保护等级划分规则) 第四级 馥撬定兹郝分安全功能、潢是基痰敏感部门安全蓑浓的多级安全数攥瘴管理鬃绫爨邂。 本人承担了其子课题“入侵检测系统“的研究与开发工作，其目标是开发入侵检测分 辏工具，建立以绞谤援律梵基穑熬簸娜痒，对逮复这些裁剿爨廷户行为送行分提，找 2 华中科技大学硕士学位论文 出可能的入侵行为。 1 _ 2 国内外研究概况 1 2 1 数据库管理系统安全标准 从7 0 年代初期开始，欧美等发达国家就开始重视计算机系统的安全性问题。美 国国防部于1 9 8 3 年公布了世界上第一个计算机系统安全性评估标准可信计算机系统 评估标准口1 ( t u r s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ，t c s e c ) ，随后美圈国防部又颁 布了可信计算机系统评估标准在数据库管理系统的解释 6 ( t r u s t e dd a t a b a s e m a n a g e m e n ts y s t e mi n t e r p r e t a t i o no f t h et r u s t e dc o m p u t e re v a l u a t i o nc r i t e r i a ，t d i ) ，它将 t c s e c 扩展到数据库管理系统。 我国政府对计算机系统的安全性问题也给予了高度的重视。1 9 9 4 年2 月国务院 发布了“中华人民共和国计算机系统信息安全保护条例”，标志着我国计算机信息处理 工作对安全性的需求进入了一个新的阶段。 由于美国在计算机科技方面的领先地位，安全标准以美国的标准最为驰名。下面 介绍t c s e c 和t d i 标准的基本情况。 t c s e c 中对安全系统的评估分成四大类、七个安全级别，即d 、c 1 、c 2 、b 1 、 b 2 、b 3 、a 1 ，其中以a 1 为最高安全级别，d 为最低安全级别。各个级别定义的 基本内容如表1 1 所示。 表1 1t c s e c t d i 安全级别划分 安全等级定义 a 1验证设计( v e r i f i e dd e s i g n ) b 3 安全域( s e c u r it yd o m a i n s ) b 2结构化保护( s t r u c t u r a lp r o t e c t i o n ) b 1标记安全保护( l a b e l e ds e c u r i t yp r o t e c t i o n ) c 2受控的存取保护( c o n t r o l le da c c e s sp r o t e c t i o n ) c 1自主安全保护( d is c r e t i o n a r ys e c u r i t yp r o t e c t i o n ) d最小保护( m i n i m a lp r o t e c t i o n ) t d i 是t c s e c 在数据库管理系统方面的扩充和解释。t d i 不能独立成为一个标 准，需要联合t c s e c 作为参照，t c s e c 中各个安全级别的安全性是积聚性的，即较 高安全级具有所有较低安全级的安全性能。t d i 沿用了t c s e c 的做法，从四个方面 华中科技大学硕士学位论文 来描述安全等级的划分标准，即安全策略、责任、保证和文耥。每大项又分为若干子 矮。 t c s e c t d i 中的一个主要概念悬可信计算基( t r u s t e dc o m p u t i n gb a s e ，t c b ) ，它 是诗舞祝系绞中操护飘鞠静全都。计算辊系统酶安全完全依赖予实麓安全策臻可信的 软件、硬件和负责系统安全管理的人员，这些就构成了可信计算基。t c b 由一个或多 个戒分组成，它们一趣对产晶或系统实行统一的安全策略。简单氇说，t c b 跫数据库 系统或产品中的所有安全相关部门之和。由此可见，安全数据库系统开发的核心问题 是t c b 的设计与实现。 我国自2 0 0 1 年1 月1 日超开始寅旌强制性国家标准g b l 7 8 5 9 1 9 9 9 ”。它将安全 系统划分为一级至五级共五个级别。但是，逡今为止，国内尚未开发任何通过正式评 测鲍安全数据鹰产品。 从1 9 8 5 年开始察施的s e a e w 8 】计划掇出了多级安全数据库管理系统的重要概 念，翅安全稷圈、多察饿、竞整牲等，对安全d b m s 熬磅究产生了匿大款影响。之蜃， 其它的一些公词和研究机构如：t r w 公司的a s d ( 计划达到a 1 级的安全d b m s ) 、 安全计算技术公司( s e c u r ec o m p u t i n gt 髓h n o l o g ye o 攀。燃i 。国静l d v 嘲等纛对安全 d b m s 进行了深入研究，提出了多级安全d b m s 的数据模型、完整性机制( 唯一性、 弓i 琢麓逶等) 、多实翻蠲题等虢解决方案。进入2 0 畿纪9 。每代之蘑，许多稳雳鼗蓊 库厂商，如o r a c l e ，s y b a s e ，l n f o r m i x 等都推出了b 级商用数据库。2 0 世纪9 0 年代 后期以d o r o t h yd e n n i n g 和j a j i o d a 为代表的一些美国安全专家和数攒库专家对信息战 语义下的数据库安全避毒亍重点研究，熏新定义了在信息战语义下对敌人能力的假设、 敌人的攻击手法以及对数据瘁安全更加严格或特殊的要求。 圈内在这方丽的研究虽然起步较晚，但魄取得了一些可辫成果。鳃j 京大学研制 的安全数据库系统原测c o b a s e v 2 0 通过在安全策略方面增加强制访问控制，在责任 方露嫩趣事诗功能，爨套了转l 缓所要求数功越【2 】。武汉毕工达梦数掇疼公司窭主开发 的安全数据库管理系统s d m 3 ，采用三权分立的机制，通过多级安全实现了强制访问 茬潮，具备了b l 缀秘罄分b 2 级嚣要求戆功貔【l 争1 2 1 。 1 2 2 数据库入侵检测系统国内外概况 入侵检测是在1 9 8 0 年由a n d e r s o n f 据 首先提出的，他将入侵行为划分为外部闯入， 4 华中科技大学硕士学位论文 内部授权用户的越权使用和滥用等三种类型，并提出用审计跟踪监视入侵威胁。 在1 9 8 6 年，为稳测臻户对数据库异常访海，在i b m 主枫主萎lc o b o l 开发瀚 d i s c o v e r y 0 4 1 系统可说鼹最早的i d s 雏彤之一。1 9 8 7 年，d e n n i n g 提出r 一个经典的异 鬻裣灏擒象榛翟 l ”，蓠次将入侵检铡作为一萃申诗算税系统安全的防獭亨替施提出。1 9 8 8 年，t e r e s al u n t 等人进一步改进了d e n n i n g 提出的入侵检测模型，并创建了 i d e s i 1 6 1 ( i n t m s i o nd e t e c t i o ne x p e r ts y s t e m ) ，该系统籍于裣溺对单一主祝静入餐尝试， 提出了与系统平台无关的实时检测思想，1 9 9 5 年开发了i d e s 完善后的版本n i d e s 1 7 1 ( n e x t g e n e r a t i o n i n t r u s i o n d e t e c t i o n s y s t e m ) ，可隧检测多个主祝上静入侵。美搿军方髯| 政府在1 9 8 8 年为u n i s y s 大型主机开发了h a y s t a c k 1 8 系统，为美国国家计算帆安全中 心m u l t i c s 主梳开发了m i d a s ” ( m u l t i c s i n t r u s i o nd e t e c t i o na n d a l e r t i n gs y s t e m ) 。 1 9 8 9 年，l o sa l a m o s 美国国家实验室开发了w & s t ” ( w i s d o ma n ds e n s e ) 系统， p l a n n i n gr e s e a r c h 公黉开发了i s o a ( i n f o r m a t i o ns e c u r i t yo f f i c e r s a s s i s t a n t ) 。1 9 9 1 年， n a d i r l 2 1 l ( n e t w o r ka n o m a l y d e t e c f i o na n di n t r u s i o n r e p o r t e r ) 与d t d s ( d i s t r i b u t e i n t r u s i o nd e t e c t i o ns y s t e m ) 提出了收集和合并处理来自多个主机的审计信息以检测系 统主机的协同攻击。 1 9 9 4 年，m a r kc r o s b i e 和c o n es p a f f o r d 建激使用自治代理( a u t o n o m o u sa g e n t s ) 咄。“。 以便掇商i d s 的可伸缩性、可维护、效率和容错性。馕褥一提的是，其问，1 9 9 0 年， h e b e r e i n 等提出了一个新的概念基于网络的入侵检测n s m ( n e t w o r ks e c u r i t y m o n i t o r ) ，n s m 与此前魄i d s 系统最大的不阉在于它并不检凌主枫系统的审计记录， 它可以通过在局域网上主动地监视网络信息流量来跟踪可疑的行为。从此以后入侵梭 测就毅分为瓤个基本燮型：基予主枧的入侵梭测和基予网络媳入侵捡测1 2 。 1 9 9 6 年提出的g r i d s ( g r a p h - b a s e d i n t r u s i o n d e t e c t i o ns y s t e m ) 的设计和实现解决了 入侵撩测系统体绣性不足的闯题，该系统傻愆对大蠼模自动戏协同攻击的硷测更为程 利，这些攻击有时甚蕊可能跨过多个管理领域。f o r r e s t 等将免疫原理运用到分布式入 痿检测领域刚。近年寒还毒人恕遗传算法【2 8 , 2 9 1 、遗传缡程运躅到入餐检测中。 1 9 9 8 年r o s sa n d e r s o n 和a b i d ak h a t t a k 将信息检索技术引进到入侵检测。1 9 9 8 年 开始w l e e 等人提爨器实瑗了在透鼷入镘检测蠖絮1 3 0 , 3 ”( c o m m o n i n t r u s i o nd e t e c t i o n f r a m e w o r k ，c i d f ) 基础上实现多级i d s ，它运用数据挖掘的方法对审计数据主拖行处理， 疆寒了褒有检测系统静准确嶷察霹扩疑蛙。簸透，c h e u n g ，s t e v e n 等火提爨了入侵容 忍( i n t r u s i o nt o l e r a n c e ) 概念，它引入容错技术，扩充先前i d s 的功能，在不改变现 华中科技大学硕士学位论文 有网络基础设旌的前提下，傥系统不仅能够检测到可疑行为，还能进行系统诊断，给 翔连反安全案旗熬行为、网终维搏黪绦锋错误，荠叁动疆正攻击行为靛扩教，存储操 作状态，即把检测仅当作整个控制环节中的一个部分。 凝据检测弓| 擎静实现技术，入 | 曼硷溅系绫可分为“溢雳捡巍, l j ( m i s u s ed e t e c t i o n ) ”幂蟊 “异常检钡, l j ( a n o m a l yd e t e c t i o n ) ”两种系统 3 2 】。在滥用入侵检测系统中，研究者们提出 基于各耪技术类鍪静验溅器，翔专家系统( e x p e r ts y s t e m ) 技术措孤、特经分析( s i g n a t u r e ) 技术3 4 1 、p e t r i 网络分析 3 5 、状态转移分析( s t a t e t r a n s i t i o na n a l y s i s ) 【3 6 1 、模型推理( 2 8 1 等等。在异常入授检溺中，鬣广泛使籍的技术楚统计分耄哥( s t a t i s t i c s a n a l y s i s ) 、数据挖 掘o7 1 。另一种主要的非规则检测技术是神经网络技术 3 8 】。 农国内，上海金诺、复羹光华、清华紫光、中联绿盟、中科丽藏、窟鳃星辰、西 安信利等安全界知名厂商也有自己的i d s 产品。总的说来，与国外产品相比，国内的 弼络安全产菇还有缀大差距。 f ，1 1 现有的入侵检测系统，如i d e s ，n a d i r 一，都怒基于搽测与期塑的统计模式的偏 离或菊基于与已知静攻击方法进行模式匹配，毽是阻上系统键出的探测方法蓬本上都 是在操作系统层。针对d b m s 提出的入侵检测方法述较少见。现存的i d s 还不足以阐 述清楚数据露系统入侵检测的概念，既没有考虑结构和语义，也没肖考虑数据库系统 r l o l 中数据精确的粒度。这些系统典型地建立在操作系绞和或与文件和系统命令有关黝 网络上。p a u l a m r f l a n n 和s u s h i lj a j o d i a 提出了几个可能的方法：“假”傀( b o g u s v a l u e s ) ， 属性分类( a t t r i b u t ec l a s s i f i c a t i o n ) ，数掇完整性约束( d a t ai n t e g r i t yc o n s t r a i n t s ) ，最终使耀 完整性检查( e n d u s ei n t e g r t yc h e c k i n g ) 。这几种方法的具体实现还有待研究。 u c d a v i s 的c h r i s t i n ay i pc h u n g 等人对数据库的入侵检测系统遂行了深入研究，开 发出了数据瘁滥用入侵检测系统原型d e m i d s 3 9 1 ( d e t e c t i o n o fm i s u s ei nd a t a b a s e s y s t e m ) 。d e m i d s 运用的方法是：由用户对数据库的搡作形成一些工作空闻。d e m i d s 考虑了数据库的域知识，引入了距离度量的概念( d i s t a n t m e a s u r e ) ，踬离度量由数据库 模式的数据结构特性细用户行为鲍语义特性遨奄亍胡关计算褥到。提爨的关系模式距褰 ( r e l a t i o ns c h e m a d i s t a n c e ) 矛d 访问相关度距离( a c c e s sa f f i n i t yd i s t a n c e ) 的概念，它们分别表 示了数据库横式的数撂结槐特性积用户孬为黝语义特性。距瓷度量髑寒指导挖搀蠲频 繁项巢表示的用户工作空间，挖掘使用扩展了的经典数据挖掘算法a p r i o r i ，建立了较 可售购用户纷菇模式，较好熬鳃决了针对数摄痒豹滋鼹入镘捡测的逡题，媾裂是针对 合法用户的内部滥用则更为有刹4 “。 华中科技大学硕士学位论文 1 3 课题主要研究工作 本课题要求研巍在国产安全数摄蓐管理系统s d m 3 上实现国撂( g b t 7 8 5 9 1 9 9 9 ( i - 算机信息系统安全保护等级划分规则) 第瞄级所规定的部分安全功能。作者负责疑中 的入馒检测部分。s d m 3 系统是在华中手萼鼓大学计算规学筑数据露与多媒馋磺究踬开 发的自主版权数据库管理系统d m 3 的基础上研究开发的，因此其体系结构、用户审计 处理等方面已形成一定豹挺架，课燧豹研究应在此鏊吾塞上攫开，不能残鸯现有系统蕺 完全改变现有系统。 壤括采说，本谖题豹主要磅究王接骞三令方露。 1 通过对s d m 3 的入侵检测系统的需求进行分析，结合目前圜内外对数据库入侵 梭溪l 翊题硬究魏璎状，选撩可牙熬入侵捡溅系统麴实现方鬃，蒡进行方案豹论证。 2 实现s d m 3 的滥用检测子系统，检测与滥用检测规则库相匹配的入侵行为。 3 ，实瑷s d m 3 懿舅拳捡溅予系绫，捡溅绥意了歪霉状态戆a 侵行为。 ， 华中科技大学硕士学位论文 2 入侵检测系统总体设计 关系数据库入侵检测系统是s d m 3 的一个子系统，入侵检测系统的入侵分析依赖 于s d m 3 的审计日志。本章首先提出入侵检测系统的系统模型采用通用的c i d f 模型， 在此模型的基础上，分别介绍了入侵检测系统各个组件事件产生器、事件分析器、 响应单元的实现方案。 2 1 系统模型 选用通用的i d s 系统模型通用入侵检测框架 3 0 , 3 1 ( c o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ，c i d f ) 做本关系数据库入侵检测系统的架构。c i d f 阐述了一个入侵检测 系统( i d s ) 的通用模型。c i d f 是在国防部高级研究项目组( d e f e n s e a d v a n c e d r e s e a r c h p r o j e c t s a g e n c y ，d a r p a ) 领导下开发的一种通用的语言、协议和a p i ，允许异构i d 部 件互操作和共享信息。目前，c i d f 小组仍在不断对其语言和协议等进行改进，c i d 有可能成为一种标准。 通常关系数据库入侵检测系统不是孤立存在的，它需要与对审计跟踪进行分析的 基于操作系统的入侵检测系统和对网络数据包进行分析的基于网络的入侵检测系统协 同工作。孤立的警报不能提供足够的证据证明真正的入侵。因为入侵行为通常不只在 一个数据源中反映出来。不同的数据源之间存在必然的联系。这样做最大的好处是降 低误报率，提高入侵检测系统的可靠性和准确率4 ”。一般的i d s 往往只负责某一方面 的检测，获得的数据和分析结果很难被其他i d s 所适用，符合c i d f 规范的i d s 之间 可以相互沟通协作工作。符合c i d f 规范的i d s 能很好的解决不同的i d s ( 基于数据库、 操作系统和网络) 之间协同工作的问题。 c i d f 结构将一个i d s 分成许多个有固定标识的部件，这些部件主要由软件代码及 一些配置信息组成( 数据库部件除外，它存储大量的数据) ，部件间通过通用入侵检测对 象( g e n e r a l i z e di n t r u s i o nd e t e c t i o no b j e c t ，g i d o ) 交换数据。入侵检测系统的基本结构如 图2 1 所示。 c i d f 将一个入侵检测系统分为以下组件： 1 事件产生器( e v e n tg e n e r a t o r s ) 2 事件分析器( e v e n ta n a l y z e r s ) ； 3 响应单元( r e s p o n s eu n i t s ) ； 华中科技大学硕士学位论文 息 图2 1 i d s 结构 4 事件数据库( e v e n td a t a b a s e s ) 。 在这个模型中，前三者以程序的形式出现，而最后一个则往往是文件或数据流的 形式。 在其他文章中，经常用数据采集部分、分析部分和控制台部分来分别代替事件产 生器、事件分析器和响应单元这些术语。且常用日志来简单的指代事件数据库。 系统的工作过程如下： 1 事件产生器从整个计算环境中收集数据并对数据进行初步加工，收集的数据可 以是网络包、系统日志或审计数据等，并以g i d o 的格式发送给系统中的其他部分； 2 事件分析器接收由本地事件产生器和其他i d s 发送来的g i d o 格式数据，分析 所得到的数据，并产生g i d o 格式分析结果； 3 响应单元则是对分析结果作出反应的功能单元，它可以作出切断连接、改变文 件属性等强烈反应，也可以只是简单的报警； 4 事件数据库是存放各种中间和最终数据( g i d o 格式) 的地方并接受查询，供i d s 将来使用； 5 通讯模块负责和其他i d s 进行通讯。 g i d o 以一种标准的通用格式来表示，该格式由通用入侵描述语言c i s l 定义。一 个g i d o 包括两部分：一个固定格式的头部和一个可变长的体。头部包括正使用c i d f 的版本信息、时间戳和体的长度等信息，如表2 1 所示。 华中科技大学硕士学位论文 表2 1g i d o 头部格式 版本i d类i d长度时间戳线程i d源i d 标志 ( 2 字节)( 2 字节)( 4 字节)( 4 字节)( 4 字节) ( 1 6 字节)( 1 字节) g i d o 体中包含实际数据( 用单引号括起来) 和语义标识符s i d 。a s c i i 格式的表达 式效率不高，为节省空间，c i s l 定义了一种编码，以字节序列来表示g i d o 的逻辑结 构中的信息。c i d f 部件交换g i d o 时，实际是以这种编码格式进行的。 2 2 事件产生器 本入侵检测系统需要分析的数据统称为事件( e v e n t ) 。事件可以是基于网络的入侵 检测系统中网络中的数据包，因为s d m 3 采用当前最先进的客户服务器总体模型。整 个系统可由多个服务器和多台客户机组成，客户机与服务器、服务器与服务器均通过 网络互连，通过消息相互通迅，组成一个分布式数据库管理系统。同时，事件也可以 是基于主机的入侵检测系统从数据库审计日志等其他途径得到的信息，因为s d m 3 有 完善而灵活的审计系统。事件产生器的目的是从整个计算环境中获得事件，并向系统 的其他部分提供此事件。 2 2 1 基于主机的入侵检测系统 基于主机的入侵检测出现在8 0 年代初期，那时网络还没有今天这样普遍、复杂， 且网络之间也没有完全连通。在这一较为简单的环境里，检查可疑行为的检验记录是 很常见的操作。由于入侵在当时是相当少见的，在对攻击的事后分析就可以防止今后 的攻击。 现在的基于主机的入侵检测系统保留了一种有力的工具，以理解以前的攻击形式， 并选择合适的方法去抵御未来的攻击。基于主机的i d s 仍使用验证记录，但自动化程 度大大提高，并发展了精密的可迅速做出响应的检测技术。通常，基于主机的i d s 可 监测系统、事件和w i n d o w n t 下的安全记录以及u n i x 环境下的系统记录。当有文件 发生变化时，i d s 将新的记录条目与攻击标记相比较，看它们是否匹配。如果匹配， 系统就会向管理员报警并向别的目标报告，以采取措施。 基于主机的i d s 在发展过程中融入了其它技术。对关键系统文件和可执行文件的 入侵检测的一个常用方法，是通过定期检查校验和来进行的，以便发现意外的变化。 反应的快慢与轮询间隔的频率有直接的关系。最后，许多产品都是监听端口的活动， 并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方 1 0 华中科技大学硕士学位论文 法融入到基于主机的检测环境中。 尽管基于主机的入侵检测系统不如基于网络的入侵检测系统快捷，但它确实具有 基于网络的系统无法比拟的优点。这些优点包括八个方面。 1 性能价格比高 在主机数量较少的情况下，这种方法的性能价格比可能更高。尽管基于网络的入 侵检测系统能很容易地提供广泛覆盖，但其价格通常是昂贵的。配置一个入侵监测系 统要花费$ 1 0 ，0 0 0 以上，而基于主机的入侵检测系统对于单独一代理标价仅几百美元， 并且客户只需很少的费用用于最初的安装。 2 更加细腻 这种方法可以很容易地监测一些活动，如对敏感文件、目录、程序或端口的存取， 而这些活动很难在基于网络的系统中被发现。基于主机的i d s 监视用户和文件访问活 动，包括文件访问、改变文件权限、试图建立新的可执行文件并且或者试图访问特 许服务。例如，基于主机的i d s 可以监督所有用户登录及退出登录的情况，以及每位 用户在联接到网络以后的行为。基于网络的系统要做到这个程度是非常困难的。基于 主机技术还可监视通常只有管理员才能实施的非正常行为。操作系统记录了任何有关 用户帐号的添加、删除、更改的情况。一旦发生了更改，基于主机的i d s 就能检测到 这种不适当的更改。基于主机的i d s 还可审计能影响系统记录的校验措旋的改变。最 后，基于主机的系统可以监视关键系统文件和可执行文件的更改。系统能够检测到那 些欲重写关键系统文件或者安装特洛伊木马或后门的尝试并将它们中断。而基于网络 的系统有时会检测不到这些行为。 3 视野集中 一旦入侵者得到了一个主机的用户名和口令，基于主机的代理是最有可能区分正 常的活动和非法的活动的。 4 易于用户剪裁 每一个主机有其自己的代理，当然用户剪裁更方便了。 5 较少的主机 基于主机的方法有时不需要增加专门的硬件平台。基于主机的入侵检测系统存在 于现有的网络结构之中，包括文件服务器、w e b 服务器及其它共享资源。这些使得基 于主机的系统效率很高。因为它们不需要在网络上另外安装登记、维护及管理的硬件 设备。 华中科技大学硕士学位论文 6 对网络流量不敏感 用代理的方式一般不会因为网络流量的增加而丢掉对网络行为的监视。 7 适用于被加密的以及切换的环境 由于基于主机的系统安装在遍布企业的各种主机上，它们比基于网络的入侵检测 系统更加适于交换的以及加密的环境。交换设备可将大型网络分成许多的小型网络段 加以管理。所以从覆盖足够大的网络范围的角度出发，很难确定配置基于网络的i d s 的最佳位置。业务镜像和交换机上的管理端口对此有帮助，但这些技术有时并不适用。 基于主机的入侵检测系统可安装在所需的重要主机上，在交换的环境中具有更高的能 见度。某些加密方式也向基于网络的入侵检测发出了挑战。根据加密方式在协议堆栈 中的位置的不同，基于网络的系统可能对某些攻击没有反应。基于主机的i d s 没有这 方面的限制。当操作系统及基于主机的系统发现即将到来的业务时，数据流已经被解 密了。 8 确定攻击是否成功 由于基于主机的i d s 使用含有已发生事件信息，它们可以比基于网络的i d s 更加 准确地判断攻击是否成功。在这方面，基于主机的i d s 是基于网络的i d s 完美补充， 网络部分可以尽早提供警告，主机部分可以确定攻击成功与否。 2 2 2 基于网络的入侵检测系统 基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的i d s 通常利用 一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务。它 的攻击辩识模块通常使用四种常用技术来识别攻击标志： 1 模式、表达式或字节匹配； 2 频率或穿越阀值； 3 次要事件的相关性； 4 统计学意义上的非常规现象检测。 一旦检测到了攻击行为，i d s 的响应模块就提供多种选项以通知、报警并对攻击 采取相应的反应。反应因产品而异，但通常都包括通知管理员、中断连接并且或为法 庭分析和证据收集而做的会话记录。 基于网络的i d s 有许多仅靠基于主机的入侵检测法无法提供的功能。实际上，许 多客户在最初使用i d s 时，都配置了基于网络的入侵检测。基于网络的检测有七个方 华中科技大学硕士学位论文 三薯专2 = = = = = ；= = 面静优点。 。 1 侦测速度快 基予闽络的益钡器通常能在微秒或移缀发现问题。而大多数基于主梳的产品刚要 依靠对最近几分钟内审计记录的分析。 2 隐蔽性好 个网络上的监测器不像一个主机那样显眼和易被存取，因面也不那么客易遭受 攻击。基于嘲络的监视器不运行其他的应用稃序，不提供黼络服务，可以不响应其他 计算机。因此可以做得比较安全。 3 视瓣更宽 基于网络的入侵检测甚至可以在网络的边缘上，即攻击者还没8 接入网络时就被 发蕊并制止。 4 较少的监测器 由于使用一个髓测器就可以保护个共享的网段，所以你不