（计算机软件与理论专业论文）基于用户行为编码的数据库入侵检测系统的设计与实现.pdf

上海人学硕士学位论文 摘要 为了跟上全球信息化的步伐，越来越多的政府、商业、金融等机构和部门将自己的数 据库连接到i n t e m e t 上。但是，随着各种攻击技术的不断发展，网络数据库的安全性变得 越来越脆弱。如何加强数据库的安全是目前人们普遍关注的问题。而传统的数据库安全机 制( 如身份认证、访问控制、审计技术等) 只能对数据库实行静态保护，无法解决数据库应 用层的攻击。入侵防御思想的提出改善静态保护的问题，它可以对数据库进行动态的保护， 理解数据库应用层的语义。因此，本文重点探讨入侵防御思想下数据库入侵检测的技术， 并对其检测数据库应用层攻击的关键技术进行了深入研究和探索。 在分析入侵检测技术的基础上，本文设计和实现了基于用户行为编码的数据库入侵检 测系统，它对用户访问请求中的内容进行严格的检查，将入侵隔离在数据库系统之外，保 证可信的数据库访问。最后给出了实验结果分析。 本文的主要研究工作和创新点如下： 1 ) 提出了一个基于用户行为编码的数据库入侵检测模型。该模型分为训练阶段和检测 阶段。训练阶段先通过对服务器端应用程序提交的s q l 语句进行编码形成编码表，再挖掘 出属性内部关系的规则，形成规则库。此规则库的数量远远小于模板的数量，克服了模板 数量对检测效率的影响。 2 ) 在该入侵检测系统中利用编码和规则生成结合起来形成规则库，节省了规则库存储 空间。 3 ) 规则的表示形式相对简单，检测阶段中的匹配过程其实就是规则的首个字段( 二进 制) 的比较，如果该字段不相同，只需比较首个字段即可，反之亦然，这种匹配算法可加 快规则的匹配速度，从而提高检测效率。 最后的实验表明，所设计的数据库入侵检测系统具有良好的用户访问内容过滤能力， 是数据库系统在应用层的有效防御措施，它与传统安全技术相结合，共同构建全面的、有 效的数据库安全防御体系。 关键词：数据库安全，入侵检测系统，数据挖掘，入侵防御 v 上海大学硕士学位论文 a b s t r a c t i no r d e rt ok e e pp a c ew i t ht h eg l o b a li n f o r m a t i o nd e v e l o p m e n t ，m o r ea n dm o r e i n s t i t u t i o n ss u c ha sg o v e r n m e n t s ，e n t e r p r i s e s ，f i n a n c e sj o i nt h e i rd a t a b a s e st oi n t e m e t b u t ， t h es e c u r i t yo ft h en e t w o r kd a t a b a s eb e c o m e sw o r s eb e c a u s eo fm o r ea n dm o r en o v e lk i n d s o fa t t a c k s i ti sa l lu r g e n tp r o b l e mo nh o wt op r o t e c tt h ed a t a b a s es e c u r i t y h o w e v e r ，t h e t r a d i t i o n a lm e c h a n i s m s ，s u c ha su s e ri d e n t i f i c a t i o n ，a c c e s sc o n t r o l ，a u d i tm e c h a n i s m ，c a n t s o l v ea t t a c ka tt h ea p p l i c a t i o nl a y e ro fd a t a b a s e ，n l e yc a nj u s tp r o t e c ts y s t e m si nas t a t i cw a y t h ef u n c t i o no fi n t r u s i o np r e v e n t i o nc a np r o t e c td a t a b a s ei nad y n a m i cw a y , a n di tc a n u n d e r s t a n ds e m a n t i ca tt h ea p p l i c a t i o nl a y e r t h u s ，t h i sp a p e rf o c u s e so nt h et e c h n o l o g i e so f d a t a b a s ei n t r u s i o nd e t e c t i o nu n d e rt h et h o u g h to fi n t r u s i o np r e v e n t i o n ，e s p e c i a l l yd i s c u s st h e o n e so fd e t e c t i o no fa t t a c ko fd a t a b a s ea ta p p l i c a t i o nl a y e r o nt h eb a s i so fa n a l y z i n gt h et e c h n o l o g i e so fi n t r u s i o nd e t e c t i o n ，t h i sp a p e rp r o p o s e d t h ed e s i g na n di m p l e m e n to fd a t a b a s ei n t r u s i o nd e t e c t i o ns y s t e mb a s e do ne n c o d i n go f u s e r sb e h a v i o r i tw i l lg i v es q lq u e r ys t r i n g e n tc h e c ka n di s o l a t i o ni n t r u s i o ns q lq u e r y t h ec h e c ks u r es q lq u e r yi sc r e d i b l e f i n a l l yw ev e r i f i e dt h es y s t e m t h em a i nr e s e a r c hw o r ka n di n n o v a t i o ns u m m a r i z e da sf o l l o w s ： 1 ) t h i sp a p e rp r o p o s e sd a t a b a s ei n t r u s i o nd e t e c t i o ns y s t e mb a s e d o ne n c o d i n go fu s e r s b e h a v i o r t h es y s t e mi sc o m p o s e do ft h et r a i n i n gp h r a s ea n dt h ed e t e c t i o np h r a s e i nt h e t r a i n i n gp h r a s e ，t r a i n i n gs e ti se n c o d e df i r s t ，r u l e sa r em i n e d 丽mt h em e n d e dd i s c o v e r y m e t h o d ，a n dt h e nu s e rp r o f i l e sa r ef o r m e dw i mc o u n ta n dt a x i s t h en u m b e ro fu s e rp r o f i l e s i sf a rs m a l l e rt h a nt h en u m b e ro ft e m p l a t e s ，w h i c hh e l p so v e r c o m i n gt h ee f f e c to ft h e n u m b e r so ft e m p l a t e sw i t hd e t e c t i o ne f f i c i e n c y 2 ) i nt h es a v i n go fs t o r a g es p a c e ，w ec o m b i n et h ee n c o d i n gw i t hr u l eg e n e r a t i o nt o f o r mr u l e st r e a s u r y 3 ) i nt h ep h r a s eo fd e t e c t i o n ，t h em a t c h i n gi st h es a m ea st h ec o m p a r i s o no fh e a d e ro f r u l e s ，f i n a l l yt oa c c e l e r a t et h em a t c hp r o c e s so fr u l e s f i n a l l yt h ee x p e r i m e n t ss h o wt h a tt h ed a t a b a s ei n t r u s i o nd e t e c t i o ns y s t e md e s i g n e d o f f e r se f f e c t i v ed e f e n s eo na p p l i c a t i o nl a y e rt h r o u g hc o n t e n tf i l t e r i n ga n ds e c u r i t yd e f e n s e ac o m p r e h e n s i v ea n de f f e c t i v es e c u r i t yd e f e n s es y s t e mw i l lb ec o n s t i t u t e dt h r o u g h c o m b i n i n gt h em o d u l ea n dt r a d i t i o n a ls e c u r i t yt e c h n o l o g y k e y w o r d s ：d a t a b a s es e c u r i t y , d a t a b a s ei n t r u s i o nd e t e c t i o ns y s t e m ，d a t am i n i n g ，i p s v i 原创性声明 本人声明：所呈交的论文是本人在导师指导下进行的研究工作。 除了文中特别加以标注和致谢的地方外，论文中不包含其他人已发 表或撰写过的研究成果。参与同一工作的其他同志对本研究所做的 任何贡献均已在论文中作了明确的说明并表示了谢意。 签名： 盘查日期：兰! = = 3 ：! ：! ! 本论文使用授权说明 本人完全了解上海大学有关保留、使用学位论文的规定，即： 学校有权保留论文及送交论文复印件，允许论文被查阅和借阅；学 校可以公布论文的全部或部分内容。 ( 保密的论文在解密后应遵守此规定) 签名：恕海巍 导师签名：垂堡垡日期：挫2 ：2 ：! 罩 i i 上海大学硕上学位论文 1 1 课题背景和意义 第一章绪论 随着人类社会信息化程度的不断提高，数据库作为信息社会的基础设施正 扮演着越来越重要的角色。如果说数据是信息化社会中的重要资源的话，那么 数据库系统就是存放这些重要资源的宝库。今天，无论走到那里，我们都可以 看到数据库的身影。从企业的管理信息系统、电子商务系统、电子政务系统到 军队的指挥系统、公安管理系统以及金融、证券、能源等部门的信息系统，数 据库都是其中不可或缺的部分。可以说在信息高度发达的今天，如果没有数据 库，国家或社会就会陷入混乱和瘫痪的状态。 由于数据库在信息社会中具有十分重要的地位，数据库常常成为各类攻击 者的攻击对象，无论是黑客还是信息战中的敌方都把数据库作为首要的攻击目 标。虽然人们已经对数据库安全进行了深入的研究，但是现有数据库的安全技 术主要是以静态的保护为主，例如身份认证技术、访问控制技术、信息流控制 技术、加密控制技术等。随着网络环境下安全威胁的日益突出，传统的以静态 保护为主的安全技术正面临着严峻的挑战，近年来非法侵入数据库系统进行窃 取、篡改和破坏数据的事件经常发生( 例如黑客侵入银行数据库窃取用户的信 用卡号码或更改帐务数据，黑客侵入军方数据库窃取保密资料等) ，给数据库的 安全构成严重威胁。由于技术和经济方面的原因，短期内很难彻底消除数据库 系统面临的这些安全威胁，于是有人按照纵深防御的思想提出采用入侵检测的 方法来弥补传统数据库安全技术的不足，以增强数据库的安全性，但是单纯采 用入侵检测的方法存在以下不足： ( 1 ) 入侵检测属于被动防御，只检测和报告入侵攻击行为，而不能自动对 入侵攻击采取行动。 ( 2 ) 目前数据库入侵检测技术的研究成果大都关注事后检测，也就是在攻 击者成功实施入侵攻击行为以后一段时间才检测出攻击行为。在攻击者成功实 施入侵攻击( 比如说修改了某些数据) 之后和攻击行为被检测出来之前这段时 上海大学硕士学位论文 间，如果这些遭破坏的数据被别人访问和处理，就会产生无用的垃圾数据，而 这些垃圾数据又可能被另外的人使用。随着使用人数和使用频率的增加，最初 的入侵攻击造成的破坏会迅速传播，导致数据库中的垃圾数据越来越多，最终 使数据库变为无用。 因此，一个有效的方法是采用入侵防御技术来保护数据库系统的安全。入 侵防御技术是种以入侵检测为核心的主动的安全防御技术，是对入侵检测技 术的拓展和深化。与入侵检测不同的是入侵防御技术除了对入侵攻击行为进行 实时、精确检测外，还要在入侵行为造成破坏之前，迅速有效地对其进行拦截， 以防止入侵行为对系统造成危害。 根据所掌握的文献，目前对数据库入侵防御技术的研究成果很少，因此在 这一领域值得深入研究。在上海教委科技发展基金、上海市选拔培养优秀青年 教师科研基金的资助下本文作者针对这一课题开展研究，本课题的研究具有以 下意义： ( 1 ) 进一步完善和充实入侵检测和数据库安全技术的理论，开发出具有自 主知识产权的数据库安全技术。 ( 2 ) 增强各类信息系统中数据库的安全保护，抵御黑客的攻击，保证信息 系统的正常运转 1 2 主要研究内容 本文的研究内容是设计和实现数据库入侵防御系统的入侵检测部分，入侵 防御系统框架如图1 1 所示，分为安全代理系统和入侵检测系统。该入侵检测 部分的主要目标是实现快速、准确地识别出应用层的入侵攻击行为。这里所指 的应用层入侵攻击行为主要s q l 注入攻击，合法权限滥用等等。 图1 1 系统框架图 2 上海大学硕+ 学位论文 该入侵检测系统主要包括三个方面的研究内容：规则库的形成、入侵检测 和通信功能。 ( 1 ) 研究如何充分利用数据库应用层操作的语义，分析数据库用户请求数 据即s q l 语句的特征，以及数据内部的特征，采用编码和挖掘规则的方法来描 述这些特征。 ( 2 ) 研究如何描述用户当前的行为特征，并准确地判断当前的用户行为是 否是入侵攻击行为。 ( 3 ) 研究如何实现与安全代理系统进行通信，实现入侵防御。 1 3 论文组织方式 本论文共有六章，详细叙述了基于用户行为编码的数据库入侵检测系统的 设计和实现。 第一章绪论部分介绍了课题的研究背景和意义，提出了数据库入侵检测系 统的主要研究内容。 第二章先介绍了数据库安全概念。接着是入侵检测系统的内容，介绍了网 络入侵检测和主机入侵检测。最后介绍了入侵检测系统的国内外相关研究现状， 主要是数据库入侵检测系统。 第三章提出了基于用户行为编码的数据库入侵检测系统的设计思想及整体 框架，然后介绍了研究该系统所依据的理论基础，最后分别介绍了各个模块的 研究内容。 第四章介绍了基于用户行为编码的数据库入侵检系统中各个模块的实现过 程。 第五章该原型系统的测试与安全分析。 3 上海大学硕士学位论文 第二章相关技术综述 2 1 数据库安全技术概述 2 1 1 数据库安全标准 美国从七十年代就开始从事安全数据库管理系统的理论研究。为在用户、 设计者、开发者、供应商以及潜在的评估者之间建立公平的普遍理解的评估信 任体系，就必须制定公认、客观公正、可互操作的安全评估标准 1 】。到了八十 年代，美国国防部制定了“彩虹”系列标准，其中最具有影响力的是1 9 8 3 年发 布的可信计算机系统评估准则( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ， t c s e c ，即“桔皮书”) ，1 9 8 5 年又发布了其修订版。“桔皮书 中对安全系统 的评价按照四大类共七个等级划分不同的安全级别，按d ，c 1 ，c 2 ，b 1 ，b 2 ，b 3 ， a 1 安全级别逐步升高。每一级别都必须包含低一级的功能。为适应数据库安全 技术发展的状况，美国又于1 9 9 1 年发布了可信计算机系统评估标准在数据库 管理系统的解释( t c s e c t d i ) 。 随着美国“桔皮书”的颁布，欧洲各国也相继制定了各自的评估准则。为 了解决标准间的兼容和相互承认，英、德、法、荷等国于年制定了为欧共体成 员国共同使用的信息技术安全评定标准( i n f o r m a t i o nt e c h n o l o g ys e c u r i t y e v a l u a t i o nc r i t e r i a ，i t s e c ) 。1 9 9 3 年，加拿大发布了加拿大可信计算机产品评价 准则( c a n a d a t r u s t e dc o m p u t e rp r o d u c te v a l u a t i o nc r i t e r i a ，c t c p e c ) 。c t c p e c 综合了和的优点。同年，美国为保持在计算机系统安全测评方面的优势，在吸 取优点的基础上，对t c s e c 作了补充和修改，制定了信息技术安全评估联邦 标准简称。1 9 9 6 年1 月，美国政府同加拿大及欧共体共同出版了通用准则 ( c o m m o n c r i t e r i af o ri n f o r m a t i o nt e c h n o l o g ys e c u r i t ye v a l u a t i o n ，简称c c 标准) ， 该标准2 1 版已被确认为国际标准( i s o i e c l 5 4 0 8 1 9 9 9 ) 。制定c c 标准的目的是 建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则，国家 与国家之间可以通过签订互认协议，决定相互接受的认可级别，这样能使大部 4 上海大学硕士学位论文 分的基础性安全机制，在任何一个地方通过了c c 准则评估并得到许可进入国 际市场时，就不需要再作评价。 我国于1 9 9 9 年提出并组织制定了强制性国家标准计算机信息安全保护等 级划分准贝j ( g b l 7 8 5 9 1 9 9 9 ) ，g b l 7 8 5 9 1 9 9 9 基本上参考了t c s e c ，将安全系 统划分为五个等级，从一级到五级分别是用户自主保护级、系统审计保护级、 安全标记保护级、结构化保护级和访问验证保护级，其安全性逐步升高。 经过权威机构的评测，目前市面上大部分数据库系统软件都处于c 1 或c 2 级安全级别。如o r a c l e ，s y b a s e ，i n f o r m i x ，s q ls e r v e r 等符合c 1 或c 2 级安全 要求；此外，美国有符合b 1 级的军用版本o r a c l e 数据库系统。国内有一些符 合b 1 级的安全原型d b m s ，如o p e n b a s e ，c o b a s e 等。 表2 1 各种安全评估标准的相互关系和比较 美国t c s e c欧洲c c中国g b l 7 8 5 9 1 9 9 9 t t s e c 标准 d ：最小保护 e 0 e a l l 功能测试 c l ：任意安全保护e le a l 2 结构测试1 ：用户自主保护级 c 2 ：控制存取保护 e 2 e a l 3 系统测试和检验 2 ：系统审计保护级 b i ：标识安全保护 e 3 e a l 4 系统设计，测试和评审3 ：安全标记保护剂 b 2 ：表示安全保护 e 4e a l 5 半形式化设计和测试4 ：结构化保护级 b 3 ：安全域 e 5 e a l 6 半形式化验证设计和测试 5 ：访问验证保护级 a i ：验证设计e 6e a l 7 形式化验证设计和测试 2 1 2 数据库安全机制 数据库通过安全机制最终实现安全策略。常见的数据库安全机制有： ( 1 ) 标识与认证 上海大学硕士学位论文 任何用户登录数据库系统，都需要标识自己的身份，数据库系统对用户的 身份进行认证，最常用的方法是输入用户i d 和密码。标识过程是将用户i d 与 程序或进程联系起来，认证过程在于将用户i d 和合法授权用户相关联。标识 与认证是用户访问d b m s 的前提，并使得d b m s 具有通过审计功能记录用户 行为的能力。功能完善的标识与认证机制也是访问控制机制有效实施的基础。 现在常见的标识与认证技术有：口令验证、智能卡验证、生物认证等技术。 ( 2 ) 访问控制 访问控制是当主体请求对客体的访问时，系统根据主体( 进程) 的用户和组 标识符、安全级别和特权，客体的安全级别、访问权限，以及存取访问的检查 规则，决定是否允许主体对客体按照请求的访问方式( 读、写、修改、删除、 加入记录等) 进行访问。访问控制分为三种类型：自主访问控制( d a c ) 、强制 访问控制( m a c ) 、基于角色的访问控制( r b a c ) 。 d a c 是根据主体身份或者主体所属组的身份或者二者的结合，对客体访问 进行限制的一种方法，其粒度是单个用户。当主体具有某种访问权限，同时又 拥有将该权限授予其它用户的权利时，可自行决定将其访问权直接或间接地转 授给其它主体。 m a c 是通过给主体( 用户) 和客体( 数据对象) 指定安全级，并根据安 全级匹配规则来确定某主体是否被准许访问某客体。b e l l - - l a p a d u l a 安全模型 制定的“不上读不下写”原则用来保证信息的保密性：无上读，主体仅能读取 客体中安全级别比自身低的文件的信息：无下写，主体仅能向客体中安全级别 比自身高的文件写信息。从而禁止了信息从高级别流向低级别。b i b a 安全模型 制定的“不下读不上写 原则用来保证信息的完整性：无下读，主体仅能读取 客体中安全级别比自身高的文件的信息；无上写，主体仅能向客体中安全级别 比自身低的文件写信息。从而避免应用程序修改某些重要系统程序或系统应用 程序。 r b a c 中包含5 个基本元素：用户、角色、对象、操作和权限。权限分 配给角色，用户只有成为相应角色的成员才能获得该角色对应的权限。只给角 色分配该角色完成所有必须活动的最小权限集。一个权限关联了一个特定对象 6 上海大学硕士学位论文 与一个能够在该对象上执行的特定操作，用户也可以同时分配几个角色。角色 的逻辑意义显明直接，因此r b a c 非常适用于数据库应用层的安全模型。更重 要的是r b a c 是策略中立的，可以实施d a c 和m a c 两种存取控制机制。 r b a c 的策略无关性需要用户自己定义适合本领域的安全策略，但是定义众多 的角色和访问权限以及它们之间的关系是一件非常复杂的工作。 ( 3 ) 数据加密 数据加密是防止数据库中的数据在存储和传输中泄漏的有效手段。加密的 基本思想是根据一定的算法将原始数据( 明文) 变换为不可识别的格式( 密文) ， 从而使得不知道密钥密码体制的人无法获知数据的内容。用户查询数据时，首 先要提供密码，由系统进行译码，大多数数据库产品均提供了数据加密的功能， 系统可以根据用户的要求对数据实行加密或不加密存储。 ( 4 ) 审计功能 任何系统的安全性措施不可能是完美无缺的，攻击者总是能发现新的方法 闯入或干涉数据库系统。审计功能把与数据库安全性相关的所有操作均纪录在 审计日志中，通过检测审计纪录，系统安全员便可以掌握数据库被使用状况。 根据审计数据可以分析内部和外部攻击者的攻击企图，再现导致系统现状事件， 以分析发现系统安全的弱点，追查有关责任者。 ( 5 ) 数据备份 数据备份可以最大限度的降低系统风险，在系统受到破坏或发生灾难后， 能利用数据备份来恢复被破坏的部分或整个系统。此外，大多数数据库属于端 口型数据库，任何人都能够使用分析工具连接到数据库，从而绕过操作系统的 安全机制进入系统，窃取或破坏数据文件甚至破坏整个系统。因而，做好操作 系统和数据库的安全配置也是数据库安全中一个非常重要的方面 2 1 3 数据库安全机制的弱点 虽然大多数数据库管理系统都提供了安全管理机制，使对数据库安全的需 求得到了一定程度的满足，但在很多方面仍然存在大量的问题，列举如下： ( 1 ) 操作系统安全限制。在网络环境下，操作系统很容易受到外部攻击， 7 上海大学硕士学位论文 其自身的安全性直接关系到数据库的安全性。操作系统维护本身安全的复杂程 度不够全面、密码的安全性较差、误配置等都会引起数据库的安全问题。 ( 2 ) 用户身份认证的限制。用户身份认证的机制保证了只有合法用户才能 存取系统中的资源。但是如果一个用户通过非法手段盗得一个账号和口令( 特 别是d b a 的) ，则此非法用户可以进入数据库服务器进行操作；或者利用s q l 注入技术，非法用户也可能进入数据库服务器，用户认证机制对此无能为力。 ( 3 ) 访问控制的限制。数据库系统设立了角色和权限管理，但无法控制合 法用户的权限滥用和越权操作，特别是对于内部人员的非法行为难以控制。攻 击者也可能得到合法用户的身份，获得对应的权限，操纵数据库。 ( 4 ) 审计功能的限制。目前数据库系统提供的审计跟踪功能只能用于事后 分析，不能及时发现入侵行为，而且对于大量的审计数据，管理员很难通过人 工的方法发现可疑的入侵行为。 2 1 4 数据库安全研究方向 如上所述，传统的数据库安全技术不可避免的存在一些弱点，己经不能满足网 络环境中数据库安全的需要，所以，研制新技术来保证数据库的安全是十分有 必要的。目前，数据库安全的研究趋势有以下四个方面【2 】： ( 1 ) 访问控制策略 自主和强制访问控制策略是访问控制策略研究的两个主要方向。 ( 2 ) 安全模型的研究 当前研究的安全模型包括存取矩阵模型、取予模型、动作实体模型、信息 流控制格模型、b e l l l ap a d u l a 模型、r b a c 模型、b i b a 模型、d i o n 模型、安 全数据视图模型、s m i t h & w i n s l e t t 模型等。虽然这些模型是从信息安全角度提 出的，但其原理仍适用于数据库领域，并有成功的运用。其中r a b c 受到越来 越广泛的关注。多级安全数据模型，即实现一个多级关系的安全数据模型和基 于角色和强制存取的混合存取控制模型，即实现一个基于角色的强制存取控制 模型是今后研究的主要方向。其中基于角色的访问控制和基于属性标记的强制 安全策略相结合的存取模型理论和实现是需要解决的关键技术问题。 上海大学硕上学位论文 ( 3 ) 数据库入侵检测的研究 由于数据库结构的复杂性，数据库入侵检测技术面临着更多的研究难点， 技术上还处在研究阶段。结合操作系统和网络的入侵检测的算法与理论，研究 具有安全检测、防范功能的规则子系统是今后研究工作的重点。新的数据库入 侵检测算法和理论的提出对数据库入侵检测起着重要的指导作用。 ( 4 ) 数据库可生存技术的研究 信息战假设在一定的条件下总有攻击能取得成功，强调攻击成功后信息系 统的生存和恢复能力。提高数据库的可生存性重点在于提高数据库的入侵主动 错误容忍能力，入侵容忍数据库扩展了传统数据库的安全能力，使之能够在受 到攻击情况下有更强的生存和服务能力，成为未来数据库安全研究的重点。预 防技术、欺骗和隐藏技术、检测技术、限制和恢复技术将是数据库在信息战条 件下的重要生存技术。 2 1 4s q l 注入 s q l 注入【3 ( s q li n j e c t i o n ) 技术是最常见的一种数据库入侵方法，据了解， 国内6 0 的论坛都存在s q l 漏洞，它的危害程度应该引起我们足够的重视。主 要针对数据库应用程序的漏洞：对用户输入的数据缺乏有效性的检查。利用用 户提交的数据，把想要的s q l 语句插入到系统实际的s q l 语句当中，从而达到 入侵数据库系统的目的。 下面举例来说明s q l 注入的攻击，在学生查询成绩系统中，用户在客户端 输入自己的i d 号，提交给应用程序。在服务器端的应用程序收到用户提交的信 息，创建s q l 查询语句访问数据库。如果查询成功，将返回该用户的记录。其 中生成查询串的语句如下： s q l = ”s e l e c t ，i cf r o ms c o r ew h e r ei d = ”u s e ri d & ” 如果用户正确输入自己的i d 号，则该语句能够正常工作，然而如果用户输 入以下字符串： i d ：a n y o r 1 = 1 则真正执行的s q l 语句如下所示： 9 上海大学硕上学位论文 s e l e c t 水f r o ms c o r ew h e r ei d = a n y o r l = 1 w h e r e 子旬中的条件永远为真，结果导致表s c o r e 的所有记录返回，显然 违背了程序的初衷，用户输入的字符串( 恶意的攻击字符串) 完成了s q l 注入， s q l 语句强大的数据库访问功能也为s q l 注入提供了同样强大的破坏能力，精 心构造的攻击字符串能够完成对数据库的非法修改，查询，插入等操作，甚至 能够远程重启、关闭数据库服务器。 以上说明了应用程序正确执行应该不允许用户提交的数据改变查询结构。 上例中，因为在插入查询之前没有被正确检查，使得s q l 注入成为可能。要从 根本上解决s q l 注入问题，还得从程序本身入手。尽管符号替换、输入限定、 长度限制等方法可以一定程度上解决s q l 注入问题，但这些方法也存在一定的 限制。 2 2 入侵检测技术概述 2 2 1 入侵检测的定义 入侵检测 5 1 是指在特定的网络环境中发现和识别未经授权的或恶意的攻击 和入侵，并对此做出反应的过程。而入侵检测系统i d s 是一套运用入侵检测技 术对计算机或网络资源进行实时检测的系统工具。i d s 一方面检测未经授权的 对象对系统的入侵，另一方面还监视授权对象对系统资源的非法操作。 2 2 2 入侵检测系统的分类 入侵检测系统根据检测的对象可分为基于主机的入侵检测系统h i d s ( h o s ti n t r u s i o nd e t e c t i o ns y s t e m ) 和基于网络的入侵检测系统n i d s ( n e t w o r k i n t r u s i o nd e t e c t i o ns y s t e m ) 1 主机入侵检测系统h i d s 基于主机的入侵检测是根据主机系统的系统日志和审计记录来进行检测 分析，通常在要受保护的主机上有专门的检测代理，通过对系统日志和审计记 录不间断的监视和分析来发现攻击。 l o 上海大学硕士学位论文 它的主要目的是在事件发生后提供足够的分析来阻止进一步的攻击。 其优点【6 】有： ( 1 ) 能够监视特定的系统行为，基于主机的i d s 能够监视所有的用户登录 和退出甚至用户所做的所有操作，审计系统在日志里记录的策略改变，监视关 键系统文件和可执行文件的改变等。 ( 2 ) h i d s 能够确定攻击是否成功，由于使用含有已发生事件信息，它们可 以比n i d s 更加准确地判断攻击是否成功。 ( 3 ) 有些攻击在网络地数据流中很难发现，或者根本没有通过网络在本地 进行。这时n i d s 将无能为力，只能借助于h i d s 。 其缺点有： ( 1 ) h i d s 安装在我们需要保护的设备上，这会降低应用系统的效率。它依 赖于服务器固有的日志与监视能力，如果服务器没有配置日志功能，则必须重 新配置，这将会给运行中的业务系统带来不可预见的性能影响。 ( 2 ) 全面部署h i d s 代价较大。 ( 3 ) h i d s 除了监测自身的主机以外，根本不监测网络上的情况。 2 网络入侵检测系统n i d s 基于网络的入侵检测系统【7 】是使用原始网络数据包作为数据源，通常使用 报文的模式匹配或模式匹配序列来定义规则，检测时将监听到的报文与模式匹 配序列进行比较，根据比较的结果来判断是否有非正常的网络行为。其攻击辨 识模块通常有：模式、表达式或字节匹配，频率或穿越阈值，低级事件的相关 性，统计学意义上的非正常现象检测等。其优点有： ( 1 ) 有较低的成本。 ( 2 ) 能够检测到h i d s 无法检测的入侵，例如n i d s 能够检查数据包的头部 而发现非法的攻击，n i d s 能够检测那些来自网络的攻击，它能够检测到超过授 权的非法访问。 ( 3 ) 入侵对象不容易销毁证据，被截取的数据不仅包括入侵的方法，还包括 可以定位入侵对象的信息。 ( 4 ) 能够做到实时检测和响应，一旦发现入侵行为就立即中止攻击。 上海大学硕士学位论文 ( 5 ) n i d s 不依赖于被保护主机的操作系统。 其弱点有： ( 1 ) 只检查它直接连接网段的通信，不能检测在不同网段的网络包。在使 用交换以太网的环境中就会出现检测范围的局限，而安装多台网络入侵检测系 统的传感器会使部署整个系统的成本大大增加。 ( 2 ) 网络入侵检测系统为了性能目标通常采用特征检测的方法，它可以检 测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击 检测。 ( 3 ) 网络入侵检测系统可能会将大量的数据传回分析系统中。在一些系统 中监听特定的数据包会产生大量的分析数据流量。一些系统在实现时采用一定 方法来减少回传的数据量，对入侵判断的决策由传感器实现，而中央控制台成 为状态显示与通信中心，不再作为入侵行为分析器。这样的系统中的传感器协 同工作能力较弱。 ( 4 ) 网络入侵检测系统处理加密的会话过程较困难，目前通过加密通道的 攻击尚不多，但随着i p v 6 的普及，这个问题会越来越突出。 基于网络的入侵检测系统与基于主机的入侵检测系统都有各自的优点，应该互相取长 补短，所以i d s 必须把主机和网络两个部分紧密融合在一起，这样才能更好地进行检测。 2 2 3 入侵检测技术 分析系统可以采用两种类型的检测技术：异常检钡1 ( a n o m a l yd e t e c t i o n ) 和误 用检钡l j ( m i s u s ed e t e c t i o n ) 。 1 异常检测 异常检测也被称为基于行为的检测【4 】，基于行为的检测指根据使用者的行为 或资源使用状况来判断是否入侵。易于行为的检测与系统相对无关，通用性较 强。它甚至有可能检测出以前为出现过的攻击方法，不像基于知识的检测那样 受已知脆弱性的限制。但因为不可能对整个系统内的所有用户行为进行全面的 描述，况且每个用户的行为是经常改变的，所以它的主要缺陷在于误检率很高。 尤其在用户数目众多，或工作目的经常改变的环境中。其次由于统计简表要不 1 2 上海大学硕士学位论文 断更新，入侵者如果知道某系统在检测器的监视之下，他们能慢慢地训练检测 系统，以至于最初认为是异常的行为，经一段时间训练后也认为是正常的。异 常检测的模型如图2 1 所示。 图2 1 异常检测模型 异常检测方法主要有一下两种。 ( 1 ) 统计分析 概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首 先，检测器根据用户对象的动作为每个用户都建立一个用户特征表，通过比较 当前特征与已存储定型的以前特征，从而判断是否是异常行为。用户特征表需 要根据审计记录情况不断地加以更新。用于描述特征的变量类型有： 操作密度：度量操作执行的速率，常用于检测通过长时间平均觉察不到的 异常行为； 审计记录分布：度量在最新记录中所有操作类型的分布； 范畴尺度：度量在一定动作范畴内特定操作的分布情况； 数值尺度：度量那些产生数值结果的操作，如c p u 使用量，i o 使用量。 这种方法的优越性在于能应用成熟的概率统计理论。但也有一些不足之处， 如统计检测对时间发生的次序不敏感，也就是说，完全依靠统计理论可能漏检 那些利用批次关联事件的入侵行为。其次，定义是否入侵的判断阈值也比较困 难。阈值太低则漏检率提高，阈值太高，则漏检率提高。 ( 2 ) 神经网络 神经网络的引入对入侵检测系统的研究开辟了新的途径，由于它有很多优 上海大学硕士学位论文 点，如自适应性，自学习的能力，因此，在基于神经网络的入侵检测系统中， 只要提供系统的审计数据，它就可以通过自学习从中提取正常的用户或系统活 动的特征模式，而不必对大量的数据进行存取，精简了系统的设计。基于神经 网络的检测方法具有普遍性，可以对多个用户采用相同的检测方法具有普遍性， 可以对多个用户采用相同的检测措施。神经网络使用于不精确模型，统计方法 主要依赖用户行为的主观设计，所以此时描述的精确度很重要，不然会引起大 量的误报。入侵检测系统可以利用神经网络的分类和识别能力，适用于用户行 为的动态变化特征。但基于神经网络的入侵检测系统计算量大，将影响其实时 性，可以采用和其他的技术相结合，来构造入侵检测系统。 2 误用检测 误用检测模型如图2 2 所示。 图2 2 误用检测模型 误用检测也被称为基于知识的检测，它指运用已知攻击方法，根据已定义 好的入侵模式，通过判断这些入侵检测是否出现来检测。因为很大一部分的入 侵检测是利用了系统的脆弱性，通过分析入侵过程的特征、条件、排列以及事 件间关系能具体描述入侵行为的迹象。这种方法由于依据具体特征库进行判断， 所以检测准确度很高，并且因为检测结果有明确的参照，也为系统管理员采取 相应措施提供了方便。主要缺陷在于与具体系统依赖性太强，不但系统移植性 不好，维护工作量大，而且将具体入侵手段抽象成知识也很困难。并且检测范 围受已知知识的局限，尤其是难以检测出内部人员的入侵行为，如合法用户的 泄露，因为这些入侵行为并没有利用系统脆弱性。 误用检测方法有以下几种。 1 4 上海大学硕士学位论文 ( 1 ) 模式匹配 模式匹配就是收集到的信息与己知的网络入侵和系统误用模式数据库进行 比较，从而发现违背安全策略的行为。该过程可以很简单，如通过字符串匹配 发现一个简单的条目或指令，也可以很复杂，如利用形式化的数学表达式来表 示安全状态的变化。模式匹配方法的一大优点是只需收集与入侵相关的数据集 合，可以显著减少系统负担，检测的准确率和效率比较高。 ( 2 ) 专家系统 专家系统是基于知识的检测中运用最多的一种方法。将有关入侵的知识转 化成i f - t h e n 结构的规则，集将构成入侵所要求的条件转化为i f 部分，将发现入 侵后采取的相应措施转化成t h e n 部分。当其中某个或某部分条件满足是，系统 就判断为入侵行为发生。其中的i f - t h e n 结构构成了描述具体攻击的规则库，状 态行为及其语义环境可根据审计事件得到，推理机根据规则和行为完成判断工 作。 ( 3 ) 模型推理 模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行 为的知识被描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对 系统的特殊使用等。根据这些知识建立攻击脚本库，每一脚本都有一系列攻击 行为组成。 ( 4 ) 统计检测分析 在统计模型中使用的检测技术一般是异常检测，在统计模型中常用的检测 值有下列几种，审计时间的数量，间隔时间，资源耗费情况，等等。现在出现 的主要有5 中统计模型：操作模型，方差模型，多元模型，马儿柯夫过程模型， 时间序列分析。统计检测分析方法可以记忆用户的使用习惯，从而具有较高的 检测率和可用性，但是它的记忆能力也给入侵者以机会，通过逐步训练师入侵 事件符合正常操作的统计规律，从而透过入侵检测系统。 ( 5 ) 状态转换分析 状态转换分析就是将状态转换图应用于入侵行为的分析。状态转换法将入 侵过程看作一个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。 1 5 上海大学硕上学位论文 2 3 国内外相关领域研究现状 根据所掌握的文献，目前国内外只有少量关于数据库入侵检测的研究成果， 大多数集中在网络和操作系统的领域 8 , 9 , 1 0 , 1 1 】，因此对数据库的入侵检测算法和 应用结构还需要更深入的研究。由于数据库结构的复杂性，数据库入侵检测具 有比主机和网络入侵检测更为复杂的内容和难点。 a i i l l t l 3 x i h 等人提出信息战条件下可以采用如下方法来检测数据库的入侵攻 击行为【1 2 】：a 引入伪造数据( b o g u sv a l u e s ) ；b 数据分类；c 利用完整性约束； d 终端应用的完整性检查。 h u 等人利用数据挖掘方法来建立数据库系统中数据对象之间的依赖关系， 然后通过分类的方法把不符合依赖关系的行为看作数据库中的入侵攻击行为 【1 4 】 o l e e 等人提出利用数据库中每个数据项的比较固定的更新频率作为检测的 主要特征【1 5 】。由于入侵者不知道这些数据项的更新频率，如果在不恰当的时间 更新某个数据项的话，很容易被检测出来。 s h u n 等人提出了w e b 数据库的入侵检测方法【1 6 1 。通过综合分析w e b 服务器 日志和数据库日志进行预报警，然后再对预报警进行检查和确认来提高入侵检 测的准确率。 2 0 0 1 年u m b c 大学的的a a i d 项引1 7 1 采用多层次的入侵检测模型，将事 务层入侵检测算法实现成软件插件的形式，嵌入到已有的入侵检测系统中去， 增强其在应用层的入侵检测能力