（计算机系统结构专业论文）数据库安全增强模块的设计与实现.pdf

上海大学硕士学位论文 摘要 不断发生的信息安全事故，使信息安全成为广泛关注的焦点，传统的以静态 保护为主的数据库安全技术，不能提供非常有效的数据库安全保护，按照纵深 防御的思想，有学者采用入侵检测来弥补数据库传统安全技术的不足，但入侵 检测关注的是事后检测，只能对攻击进行被动的防御，为了克服这种不足，有 研究者在入侵检测的基础上提出入侵防御技术。入侵防御技术是一种主动的安 全防御技术。入侵防御技术除了对入侵攻击行为进行实时、精确检测外，还要 在入侵行为造成破坏之前，迅速有效地对其进行拦截，以有效地阻止入侵行为 对系统造成危害，采用入侵防御技术来保护数据库是一种非常有效的安全措施。 在对数据库安全技术进行大量研究后，本文借鉴入侵防御系统思想，提出 数据库安全增强模块的系统结构，它对用户访问请求中的内容进行严格的检查， 将入侵隔离在数据库系统之外，保证可信的数据库访问，并根据用户状态适当 的调整用户的访问能力，实现数据库系统的入侵防御。 根据s q l 访问请求的特点，本文提出用四元组形式定义安全规则，该安全 规则将用户访问请求分成模式部分和语义部分。 通过对误用检测和异常检测比较，本文提出了基于异常检测的安全检测模 型，它包括学习部分和检测部分，学习部分通过训练集生成安全规则，检测部 分通过模式检查和语义检查完成对用户访问请求内容的检查，该模型能够实现 较快的过滤速度和较高的过滤准确度。 为了减少安全规则集规模对过滤效率的影响，本文设计了安全规则树，将 用户的安全规则集转化为安全规则树，再由安全检测模块进行安全检测，实验 结果表明，在不同规模的安全规则集下，系统的平均响应时间比较平稳。 最后的实验表明，数据库安全增强模块具有良好的访问内容过滤能力，是 数据库系统在应用层的有效防御措施，它与传统安全技术相结合，共同构建全 面的、有效的数据库安全防御体系。 关键词：数据库安全，安全增强模块，入侵检测，入侵防御 a b s t r a c t w i t hc o n t i n u e do c c l l r r e n c eo fi n f o r m a t i o ns e c u r i t yi n c i d e n t s i n f o r m a t i o n s e c u r i t yh a sb e c o m et h ef o c u s b a s e do ns t a t i cp r o t e c t i o no ft h et r a d i t i o n a ld a t a b a s e s e c u r i t yt e c h n o l o g yc a l ln o tp r o v i d ev e r ye f f e c t i v ep r o t e c t i o n i na c c o r d a n t ew i t h d e f e n s ei nd e p t h ，i n t r u s i o nd e t e c t i o ns y s t e mu s e dt om a k eu pf o rt h et r a d i t i o n a l d a t a b a s es e c u r i t yt e c h n o l o g y b u tt h es h o r t c o m i n g so fi d ss u c ha sh i 曲r a t e so ff a l s e a n dp a s s i v ed e f e n s i v e t h er e s e a r c h e r sw a n tt oo v e r c o m et h es h o r t c o m i n g so fi d s ， s oi n t r u s i o np r e v e n t i o ns y s t e m ( i p s ) b r i n g su pa sap r o a c t i v ed e f e n s ei d e o l o g y i p s c a nd e t e c ti n t r u s i o nb o t hr e a l - t i m ea n da c c u r a t e ，i na d d i t i o nt op r e v e n ti n v a s i o n q u i c k l ya n de f f e c t i v e l y s oi n t r u s i o nd e f e n s es y s t e mi sav e r ye f f e c t i v es e c u r i t y m e a s u r e so np r o t e c t i n gd a t a b a s e t h r o u g hs t u d y i n gag r e a td e a lo fd a t a b a s es e c u r i t yt e c h n o l o g i e s ，t h i sp a p e r d e s i g n e dt h em o d u l eo fe n h a n c es e c u r i t yf o rd a t a b a s eb a s e do ni n t r u s i o n p r e v e n t i o ns y s t e m i tw i l lg i v es q lq u e r ys t r i n g e n tc h e c ka n di s o l a t i o ni n t r u s i o n s o lq u e r y t h ec h e c ks u r es q lq u e r yi sc r e d i b l e a c c o r d i n g t ot h ec h a r a c t e r i s t i e so fs q l q u e r y , t h ep a p e rd e f i n e ds e c u r i t yr u l e sa s f o u rt u p l e s a n dt h e ns q lq u e r yw i l lb ed i v i d e di n t om o d e lp a r ta n ds e m a n t i cp a r t t h r o u g ha n a l y z i n gm i s u s ed e t e c t i o na n da n o m a l yd e t e c t i o n , t h i sp a p e rd e s i g n as e c u r i t yd e t e c t i o nm o d e lb a s e do na n o m a l yd e t e c t i o n , w h i c hi n c l u d e sl e a r n i n g p a r ta n dd e t e c t i n gp a r t t h el e a r n i n gp a r tg e n e r a t e ds e c u r i t yr u l e st h r o u g ht r a i n i n g g a t h e r t h ed e t e c t i n gp a r tw i l lg i v em o d e lc h e c ka n ds e m a n t i cc h e c k t h ec o n t e n t so f s q lq u e r yw i l lb ei n s p e c t e do nt h es e c u r i t yr u l e s t h em o d e lc a n b ea c h i e v e dr a p i d f i l t r a t i o nr a t ea n dh i 曲a c c u r a c yo ft h ef i l t e r i no r d e rt or e d u c et h ei m p a c to ft h es c a l eo fs e c u r i t yr u l e ss e to nt h ef i l t r a t i o n e m c i e n c y , t h i sp 即e l d e s i g n e ds e c u r i t yr u l e st r e e s ot h es c a l eo fs e c u r i t yr u l e ss e t g i v el i t - t i ei m p a c to nt h ef i l t r a t i o ne f f i c i e n c y t h ee x p e r i m e n t a lr e s u l t sp r o v e di t t h e a v e r a g er e s p o n s et i m ei sr e l a t i v e l ys t a b l e f i n a l l yt h ee x p e r i m e n t ss h o wt h a tt h em o d u l eo fe n h a n c es e c u r i t yf o rd a t a b a s e o f f e re f f e c t i v ed e f e n s eo na p p l i c a t i o nl a y e rt h r o u g hc o n t e n tf i l t 甜n ga n ds e c u r i t y d e f e n s e ac o m p r e h e n s i v ea n de f f e c t i v es e c u r i t yd e f e n s es y s t e mw i l lb ec o n s t i t u t e d t h r o u g hc o m b i n i n gt h em o d u l ea n dt r a d i t i o n a ls e c u r i t yt e c h n o l o g y k e y w o r d s ：d a t a b a s es e c u r i t y , m o d u l eo fe n h a n c es e c u r i t y , i d s ，i p s 上海大学硕士学位论文 原创性声明 本人声明：所呈交的论文是本人在导师指导下进行的研究工作。 除了文中特别加以标注和致谢的地方外，论文中不包含其他人已发 表或撰写过的研究成果。参与同一工作的其他同志对本研究所做的 任何贡献均已在论文中作了明确的说明并表示了谢意。 签名： 本论文使用授权说明 本人完全了解上海大学有关保留、使用学位论文的规定，即： 学校有权保留论文及送交论文复印件，允许论文被查阅和借阅；学 校可以公布论文的全部或部分内容。 ( 保密的论文在解密后应遵守此规定) 签名 上海大学硕士学位论文 第一章绪论 计算机网络技术的高速发展，为人们获取信息提供了极大的便利，在享受 网络带来的便利同时，人们也不断地忍受着信息安全的苦恼，近来不断发生的 密码被窃、计算机泄密事件，使信息安全成为关注的焦点。数据库系统作为信 息的聚集体，是信息系统的核心，它的安全自然倍受关注。目前对数据库安全 技术的研究主要集中在数据库管理系统和数据库安全增强系统两个方向。本文 从数据库安全增强系统方向考虑，对用户的数据库访问请求进行内容检查，不 符合安全规则的访问请求，将被阻断在数据库之外，从而提高访问的可信性， 增强数据库的安全性。 1 1 课题提出 随着我国审计部门信息化水平的不断提高，审计部门产生的管理信息和项 目信息大都以电子数据的形式保存在数据库中，这些信息不仅是审计工作必需的 基础信息，而且涉及国家机密和被审单位的商业机密，因此对安全性要求很高， 迫切需要研究数据库保护系统及其数据的安全技术。本文以审计署天津特派员办 事处“审计数字化建设方案”项目为背景，对数据库安全开展研究。 数据库系统是信息社会的重要组成部分，它存放着社会最重要资源数 据，如果没有这些数据，国家就会陷入混乱。数据库系统中的重要信息，也让它 成为黑客攻击首选，随着数据库系统的网络化发展，传统的以静态保护为主的安 全技术正面临着严峻的挑战，不断发生的敏感数据被窃和篡改，表明传统的以静 态保护为主的安全技术，在数据库保护上存在不足。由于技术和经济方面的原因， 短期内很难彻底消除数据库系统面临的这些安全威胁，于是有研究者按照纵深防 御的思想提出入侵检测 1 3 】技术来弥补传统数据库安全技术的不足，但入侵检测技 术也有其缺陷，第一入侵检测属于被动防御，只检测和报告入侵攻击行为，而不 能自动对入侵攻击采取行动。第二入侵检测技术的研究关注的是事后检测，也就 是在攻击者成功实施入侵攻击一段时间以后才能检测出攻击行为。在这段时间 上海大学硕士学位论文 内，如果这些遭破坏的数据被别人访问和处理，就会产生无用的垃圾数据，而这 些垃圾数据又可能被另外的人使用。随着使用人数和使用频率的增加，最初的入 侵攻击造成的破坏会迅速传播，导致数据库中的垃圾数据越来越多，最终使数据 库变为无用。 针对入侵检测的不足，入侵防纠2 0 】技术作为一种主动的安全防御技术，成为 下一代入侵检测的发展方向，与入侵检测不同，入侵防御技术除了对入侵攻击行 为进行实时、精确检n j i ，还要在入侵行为造成破坏之前，迅速有效地对其进行 拦截，以有效地阻止入侵行为对系统造成危害。 入侵防御技术加强了数据库系统的安全，但传统入侵检测和防御多关注底 层协议的检查和过滤，并不对高层应用进行检测，所以高明的黑客往往绕过它们 的检查，直接在应用层向数据库发起攻击。据g a r t n e r 调查显示，有7 5 的数据库 攻击发生在应用层【4 9 1 ，攻击方向转向应用层的原因如下：第一，用户在应用层的 保护相对其它层要薄弱很多。第二，应用层协议较多，有很多漏洞可以利用。第 三，应用层包含的就是攻击者感兴趣的直接有用数据。针对攻击的新特点，入侵 防御系统也要将防御的深度相应的延伸到应用层，才能很好的实现防御功能。 通过上面的分析可以发现，借鉴入侵防御系统思想，在应用层对用户访问请 求进行过滤，是一个阻止攻击的有效方法。本文设计的数据库安全增强模块正是 按照这种方法，在应用层拦截下用户的s q l 访问请求，根据预先确定的安全规则， 对用户访问请求的内容进行检查，只允许合法的访问通过，这样保证了提交给数 据库执行的访问请求都是可信的，这种方式不仅可以防御已知攻击，还可以防御 未知攻击，将为数据库的安全提供了很好的保障。图1 1 是数据库安全增强模块 实现入侵防御的示意图。 图1 1 数据库安全增强模块实现入侵防御的示意图 2 上海大学硕士学位论文 1 2 国内外研究现状 目前国内外对入侵防御安全技术的研究大多数集中在网络和操作系统领域 1 2 ，3 4 5 1 ，对数据库入侵防御的理论和技术研究得很少。根据掌握的文献，目前 国内外只有少量关于数据库入侵检测的研究成果，数据库入侵防御的研究更少。 a m l l l a n n 等人提出信息战条件下可以采用如下方法来检测数据库的入侵攻击 行为【6 】：1 引入伪造数据( b o g u sv a l u e s ) 2 数据分类3 利用完整性约束4 终端应 用的完整性检查。s t o l f o 等人研制了一个能检测信用卡诈骗行为的数据库入侵检 测系统【7 】，该系统通过学习在真实信用卡系统的事务记录中的合法与非法事务信 息来产生检测诈骗行为的分类器。u cd a v i s 的安全实验室研制了一个关系数据库 下的滥用检测系统d e m i d s t 8 1 ，该系统能够在不改动原有r d b m s 系统的前提下， 充分利用r d b m s 强大的查询功能来分析审计日志，推导出数据库系统每个用户 的典型行为的特征描述。h u 等人利用数据挖掘方法来建立数据库系统中数据对 象之间的依赖关系，然后通过分类的方法把不符合依赖关系的行为看作数据库中 的入侵攻击行为【9 】。l e e 等人提出利用数据库中每个数据项的比较固定的更新频 率作为检测的主要特征【1 0 】，由于入侵者不知道这些数据项的更新频率，如果在不 恰当的时间更新某个数据项的话，很容易被检测出来。s h u n 等人提出了w e b 数据 库的入侵检测方法【1 1 1 ，通过综合分析w e b n 务器日志和数据库日志进行预报警， 然后再对预报警进行检查和确认来提高入侵检测的准确率。2 0 0 1 年u m b c 大学的 a a i d 项目【1 2 】采用多层次的入侵检测模型，将事务层入侵检测算法实现为软件插 件的形式，嵌入到已有的入侵检测系统中去，增强其在应用层的入侵检测能力。 文献【1 3 1 4 1 1 3 、1 4 针对黑客利用s q l 注入的方法来访问或破坏w e b 数据库的威胁， 提出了从合法的数据库事务中提取关键特征信息来进行入侵检测的方法，该方法 通过把用户执行的s q l i 吾句和合法的数据库事务的特征信息进行比较，从而发现 入侵行为。a d r i a ns p a l k a 等人提出利用数据参考值和统计关系来发现数据库中数 据的异常变化，从而发现入侵攻击【1 5 】。u l f t m a t t s s o n 通过检测数据库数据的访问 频率来发现入侵行为，并通过动态改变用户的访问权限来实现入侵防御的功能 【1 6 1 ，文献1 5 、1 6 是少有的关于数据库入侵防御的报道。本文针对数据库应用层的 上海大学硕士学位论文 防护不足，提出了增加一个数据库安全增强模块，利用数据库应用层丰富的模式 和语义来检测用户的入侵1 7 1 ，并结合自适应机制调整用户的访问能力，实现对数 据库系统入侵防御的研究。 1 3 课题研究内容 目前的安全技术大多针对主机或计算机网络进行保护，对数据库系统的保 护相对较少。由于s q l 注入、脚本攻击和非法用户访问等攻击的不断发生，多 数的大型数据库系统都采取了一定的安全措施，但是这些安全措施相当局限。 许多入侵的语义只有在应用层才能理解，而目前的i d s 仅能对w e b 通用协议 进行检测，许多基于客户端、服务器、中间件技术的使用，需要提供应用层的 安全保护，应用层的安全访问已经成为数据库安全研究的重要方向之一。 数据库安全增强模块系统结构的设计和实现，将能够对数据库应用层的攻 击进行实时检测和响应，保证可信的数据库访问，将被动防御转变成主动防御。 数据库安全增强模块采用模式检查和语义检查相结合的检测技术。在 r e d h a tl i n u x 9 操作系统下，数据库安全增强模块首先对于用户s q l 访问进行 模式检查，该检查采用正则表达式的检测方法，正则表达式在匹配检查中已被 广泛应用，许多扫描引擎已经采用正则表达式实现过滤，包括s n o r t 、b r o 、c i s e o 等大公司的安全产品【2 1 】。通过模式检查的s q l 访问，模块将再对它的语义进行 安全检查。模式检查和语义检查相结合的检测方法，在实现较高的过滤效率的 前提下，保证过滤的准确性，实现访问的可信性。 数据库安全增强模块不需要改变原有的网络拓扑机构，不改变用户原有的 使用习惯，它对用户来说几乎是透明的，在提高系统的整体安全性的同时，不 会带来大量的维护工作。 1 4 课题意义 数据库安全增强模块的设计与实现将具有以下几点意义： 1 进一步完善和充实了数据库安全理论，提出了数据库安全增强模块的系 4 上海大学硕士学位论文 统结构，提出了安全检测模型，设计和实现了该模块。 2 实现可信的数据库访问，增强了信息系统中数据库的安全，有效抵御黑 客在应用层的攻击，保证信息系统的正常运转。 数据库安全增强模块作为一种应用层的防御技术，是对现有数据库安全体 系的重要补充，它并不取代传统的安全技术，传统安全技术着重在网络层进行 防护，而数据库安全增强模块着重在应用层对访问内容进行检查和防御，它与 传统安全技术相结合共同构成全面的、有效的安全防御体系。 1 5 本文组织结构 本文详细介绍了数据库安全增强模块的设计和实现，全文组织如下： 第一章介绍了数据库的安全背景，本文的选题来源，国内外的研究现状， 课题研究的内容以及课题的意义。 第二章描述了数据库系统的安全威胁和安全要求以及本文涉及的相关技 术，包括入侵检测技术，入侵防御技术，p o s t g r e s q l 数据库等。 第三章详述了数据库安全增强模块的设计思想，提出了安全检测模型，就 安全规则的定义，访问请求的检查和过滤，安全响应的设计进行了详述。 第四章详细介绍了数据库安全增强模块的实现，包括模块前端、模块后端 的实现，访问过滤，规则学习、安全响应等功能的实现。 第五章对数据库安全增强模块的过滤效果进行了测试和分析。 最后是本文的结束语部分，对数据库安全增强模块的研究进行总结和展望。 5 上海大学硕士学位论文 第二章数据库系统的安全分析 2 1 数据库系统的安全威胁 数据库的安全问题，大多来自于程序中的安全漏洞，通过对形形色色的攻击 分析，可以发现其中有一定模式可循，这里对它们的数据库攻击手段总结如下【2 2 】： 1 ) 非法用户通过窃取授权用户的口令、密钥，假冒授权用户访问数据库。 2 ) 访问未被授权信息，一般是合法用户的越权访问。 3 ) 利用损害性或破坏性程序，比如病毒、特洛伊木马等，在特定的条件下 启动这些程序，攻击者通过这些程序，绕过安全机制进入系统，以达到 破坏和窃取数据的目的。 4 ) 绕过数据库管理系统d b m s 直接对数据库的文件进行读写。 5 ) 在传输信道上采用搭线窃听、电磁接收、传输监控等手段窃取数据。 6 ) 通过拒绝服务攻击，使服务器过载、崩溃，阻止合法用户的正常访问。 7 ) 通过操纵通信，比如错误信息的插入、故意的无序传送、故意的延时传 送、故意的错误路线等手段，通过网络进入系统，窃取数据或进行破坏 性的数据库操作。 从以上的分析中可以看出，数据库系统的安全需要一个系统的、全面的安 全保护策略，单一的防护措施不能从根本上为数据库提供良好的安全保护。网 络系统层次和操作系统层次的安全研究，已经取得了一定的进展，网络系统层 次可以通过安全传输协议进行可靠的数据传输，操作系统可以采用安全操作系 统和严格用户管理策略，来提高操作系统的安全性。但这两个层次并不能完全 保证不被突破，最后的数据库管理系统层次将是保护数据库的最后一道屏障， 即当前面两个层次被突破的情况下仍能保障数据库数据的安全，这就要求数据 库管理系统必须有一套强有力的安全机制，但现在的数据库管理系统还远没有 达到这个要求。基于数据库管理系统的相对薄弱，应用层攻击逐渐成为数据库 攻击的主要攻击方向，采用入侵防御系统思想，在应用层实现数据库系统的入 侵防御，能够适时的解决这些问题，确保数据库系统访问的合法性和可信性。 6 上海大学硕士学位论文 2 2 数据库系统的安全要求 数据库的安全要求可归纳为五个方面，它们分别是数据的完整性、数据的 保密性、用户鉴别、访问控制和安全审计【2 3 1 。 1 ) 数据的完整性 数据的完整性是指数据库中存储的数据和数据库系统对外通信过程中 在网络上传输的数据不被未授权修改。数据库系统必须保证只有授权用户 才能进行对数据的更新、插入和删除，保证数据库的真实性和一致性。 2 ) 数据的保密性 数据的保密性是指在存储和通信中的数据不会泄漏。数据库通过对数据 进行加密存储，可以保证数据不被系统管理员、非授权用户或恶意用户窃 取，即使数据不幸泄露或丢失，也不易被破译。在传输过程中为了保护数 据，可以采用数据加密方法。 3 ) 用户鉴别 用户鉴别是指根据用户或实体提供的身份信息，判断其身份的合法性。 这是防止用户非法访问基本要求。数据库系统必须进行严格的用户身份认 证，以保证每个用户是合法的，且可以识别。 4 ) 访问控制 访问控制是指允许用户只能访问被授权访问的数据，以及限制不同的用 户拥有不同的访问模式。数据库系统必须指定谁可以访问哪些数据。用户 或者程序可能被授权读取、更改、删除或增加一个值、整个字段或记录， 甚至是重新组织数据库。 5 ) 可审计性 可审计性是指能够对所有的数据库访问进行审计记录，以帮助在事后进 行审计分析。从而可以追踪到是谁访问修改过哪些数据元素。同时系统还 可以根据审计记录，采取记录、报警或者关闭连接等必要措施，阻止那些 非授权访问的继续执行。 7 上海大学硕士学位论文 2 3 相关技术的介绍 针对数据库的安全要求，相继出现了不少安全技术来提高数据库的安全性， 如身份认证【2 4 1 、访问控制f 2 5 】、存储加密技术【2 6 1 、通信加密技术【2 7 1 、数据审计【2 引、 入侵检测、入侵防御等，它们分别从不同的侧重面给数据库提供安全保护。下 面就本文涉及的相关安全技术进行简要介绍。 2 3 1 入侵检测技术 入侵检测i d s 的研究最早可追溯到j 锄e a d e r s o n 【1 8 】在1 9 8 0 年的工作，他首 先提出了入侵检测的概念。1 9 8 7 年d o r o t h y e d e n n i n g t l 9 】提出了入侵检测的抽象 模型。入侵检测定义为识别针对计算机或网络资源的恶意企图和行为，并对此 做出反应的过程。入侵检测能够检测未授权对象或程序的入侵企图和行为，同 时监控授权对象对系统资源的非法操作。 入侵检测作为一种动态安全技术，它为数据库系统提供的保护，体现在对 内部攻击、外部攻击、误操作的实时检测，保护数据库系统不受到更严重的破 化，弥补了防火墙的不足，从某种意义上说是防火墙的补充和延伸。但入侵检 测的方法存在以下不足：第一，入侵检测属于被动防御，只检测和报告入侵攻 击行为，而不能自动对入侵攻击采取行动。第二，入侵检测技术的研究关注的 是事后检测，也就是在攻击者的入侵行为成功实施一段时间以后才能检测出入 侵行为。针对入侵检测的不足，有研究者提出了入侵防御思想来完善入侵检测， 它被视为下一代i d s 的发展方向。 2 3 2 入侵防御系统 针对入侵检测存在误报率高，不能采取积极有效的主动防御的缺点，有研究 者提出一种主动、积极的安全防御技术i p s 一一入侵防御系统( i n t r u s i o n p r e v e n t i o ns y s t e m ) 。它作为新生事物，还没有一个统一完善的定义( a n d r e w p l a t o ，2 0 0 4 ) ，被业界比较认可的解释有两种，一种是冯洪亮2 0 0 3 年提出的 i p s 是指不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵 上海大学硕士学位论文 行为的发生和发展，实时地保护信息系统不受实质性攻击的一种智能化的安全产 品。另一种是g a r t n e r 提出的解释i p s 必须结合使用多个算法阻塞恶意行为， 可以基于特征阻塞已知攻击，同时还可以利用防病毒和i d s 使用的那些方法一 至少支持策略、行为和基于异常的检测算法，这些算法必须在应用层操作，作为 对标准的网络层防火墙处理的补充，它也必须具备区别攻击事件和正常事件的智 能( s e c u r ec o m p u t i n gc o r p o r a t i o n ，2 0 0 3 ) 。 对以上两种i p s 解释总结为：i p s 是一种主动的、积极的入侵防范及阻止系统， 它部署在网络的进出口处，当检测到攻击企图后，它会自动地将攻击包丢掉或采 取措施将攻击源阻断。它包括检测和防御两大系统组成，实时的检测和防御是它 最重要的性能特征。 入侵防御系统i p s 的优点集中表现在它的主动防御性方面，具体包括两层 含义：对未知攻击的提前预防和对已知攻击的报警。在某种程度上，可以看作 是带有防御功能的入侵检测i d s ，它不但能检测入侵的发生，并且能指挥防火 墙和其它响应方式，实时地中止入侵行为的发生和发膨2 9 1 。 2 3 3p o s t g r e s q l 介绍 p o s t g r e s q l 3 0 1 是对象关系型数据库管理系统，从伯克利大学设计开发的 p o s t g r e s 软件包发展而来，经过二十年的发展，已经成为开源软件中最先进的源 码开放的数据库系统之一，是许多l i n u x 发行版本的首选数据库。 p o s t g r e s q l 是一种自由的数据库管理系统软件，同其它商业数据库相比，具 有面向对象、数据类型丰富、全面支持s q l 、大数据库等特点，本文的数据库系 统采用p o s t g r e s q l 数据库。下面对它结构做简要介绍，通过相关资料，可知 p o s t g r e s q l 数据库系统分为客户端、服务器、前后端通信接口和支持模块四个部 分，其结构如图2 1 所示。 9 上海大学硕士学位论文 2 4 本章小结 图2 1 p o s t g r e s q l 的体系结构 本章分析了数据库系统的安全威胁，介绍了数据库系统的安全要求，可以 发现现有的安全技术，虽然在安全保护上取得一定的进展，但离数据库系统的 安全要求还有差距，需要寻求一种改进措施。然后，结合本文所涉及的安全技 术，对入侵检测技术、入侵防御系统、p o s t g r e s q l 数据库进行了简单介绍。 l o 上海大学硕士学位论文 第三章数据库安全增强模块的设计 本文以审计署天津特派员办事处“审计数字化建设方案 项目为背景，研 究数据库系统的入侵防御技术。数据库安全增强模块的设计思想是入侵防御系 统思想，设计目标是规范和控制用户对数据库的访问，它在应用层对访问请求 的内容进行检查，在入侵攻击进入数据库之前，将其迅速拦截。该安全措施将 有效增强数据库系统在应用层的薄弱防护，提高数据库系统的安全性( 3 i 】。 3 1 数据库安全增强模块的设计思想 在通常的数据库应用系统中，主体是客户端的应用程序，对象是数据库中 的数据，依靠身份认证和数据库管理系统对数据对象的访问进行约束和控制， 但根据第二章的分析可知，目前的数据库管理系统存在安全强度不高和可信度 差等不足，不能提供很强的数据库保护。 对象 主体 数据库 i 一 剧 图3 1 通常的数据厍访问 根据入侵防御系统思想和数据库入侵的新特点，本文提出数据库安全增强 模块用以加强数据库系统的安全，它实现的是应用层的入侵防御，在应用层拦 截用户的访问请求，并对访问请求的内容进行检测，对不符合安全规则的访问 请求进行有效过滤，实现了传统的安全技术未很好解决的访问可信度问题，确 保数据库执行的访问是可信的、安全的。 i p s 对象 图3 2 可信的数据库访问 上海大学硕士学位论文 3 2 数据库安全增强模块的工作原理 数据库安全增强模块作为在原有的客户端和数据库服务器之间的一个安全 代理，所有的用户访问请求都必须经过数据库安全增强模块的安全检查。模块根 据相应的用户安全规则，对用户访问进行过滤，实现可信的数据库访问，保证数 据库系统的安全性。 通常数据库访问 一i 可信的数据厍访问 图3 3 数据库安全增强模块的工作原理 数据库安全增强模块从概念上可划分为代理模块和安全检测模块，代理模 块截获用户访问请求，并根据用户发出的访问类型，确定如何处理，例如如果 是登录操作，直接送数据库进行身份认证，如果是数据库操作则将它转给安全 检测模块。安全检测模块根据用户的安全规则，对访问请求内容进行合法性检 查，将检查结果返回给代理模块，代理模块根据检查结果，对访问请求进行相 应的处理，并对访问执行情况进行统计，用以调整用户访问能力。 3 2 1 安全检测模块的组成结构 安全检测模块的功能是对用户访问请求的内容合法性进行判断，同时也为管 理员提供一个安全规则的管理接口。 本文将安全检测模块设计成四部分，它们分别是交互模块、访问安全检查、 安全规则库、管理模块。 1 交互模块交互模块接收代理模块传来的用户访问请求，进行相应的预 处理和检查，并将访问安全检查的结果返回给代理模块。 2 访问安全检查调用相应的用户安全规则集，将用户的访问请求与安全 1 2 上海大学硕士学位论文 规则进行一一匹配检查，以确定用户的访问请求是否合法。 3 管理模块为管理员提供一个安全规则的管理接口，方便管理员对用户 安全规则集的检查和控制。 4 安全规则库安全规则库用来存放不同用户的安全规则集。 图3 4 安全检测模块的组成结构 3 2 2 代理模块的组成结构 代理模块的主要功能有两个，一是根据安全检测模块的检查结果，对用户的 访问进行相应处理。二是对用户最近访问的执行情况进行统计，以调整用户当前 所处的状态，通过响应模块采取相应的措施。 根据代理模块所要实现的功能，本文将它设计成五部分，它们分别是前端交 互、访问过滤、后端交互、访问统计、安全响应模块。 1 前端交互主要接收用户访问请求，完成对访问类型的判断，确定访问 的类型，如登录访问还是数据库操作访问，根据不同的访问类型采取相 应的处理方法。 2 访问过滤主要根据安全检测模块的合法性判断结果，决定用户访问请 求是送数据库执行还是丢弃，同时通知访问统计该请求的执行情况。 3 后端交互接收通过安全检查的用户访问请求，准备送模块后端执行。 4 访问统计完成对用户最近访问情况的统计，包括合法访问、非法访问、 访问频度等。 5 安全响应模块根据访问统计的结果，调整用户的访问状态，如为安全 访问状态、受限访问状态、还是入侵访问状态，并采取相应的安全措施。 上海大学硕士学位论文 3 3 安全检测模型 图3 5 代理模块的组成结构 针对s q l 注入【3 2 1 、反馈信息泄露【3 3 】等问题，本文提出安全检测模型如图3 6 所示，这里将它分为两部分，分别是学习部分和检测部分。模型首先通过学习 部分，将用户正常访问请求组织成的训练集，由规则学习部分生成安全规则， 进行必要的规则精简后，存放到安全规则库中，供检测部分调用。然后，当用 户发起访问请求时，检测部分根据学习部分生成的安全规则，对该用户访问请 求的合法性进行检查。 图3 6 安全检测模型 数据库安全增强模块的设计依据该安全检测模型，安全检查模块通过模式 检查来发现异常访问。通过语义检查，来理解访问的内容是否合法，实时地阻 止异常访问进入数据库。安全响应模块对访问的安全性进行实时统计，统计结 果用以调整用户状态，如安全状态、受限状态或入侵状态，同时根据预先确定 的防御策略动态的调整用户的访问能力，使系统具备一定的自适应性。 1 4 上海大学硕士学位论文 3 3 1 学习阶段设计 学习阶段的主要作用是生成用户的安全规则。规则获取通常有两种途径： 手工制定和自动生成。手工制定通常需要专业人员，从信息中提取出规则，由 于信息源的变化和多样性，这种提取方法的工作量很繁重，为了把专业人员从 这种困境中解放出来，发展出一些可以自动抽取规则的方法，这方面的研究通 常称为w r a p p e rg e n e r a t i o n ，它在减少工作量上优势明显，但在提取规则的完整 性上，对训练集的依赖比较大。针对s q l 语言的访问特点，本模块采用自动生 成方法来获得用户访问的安全规则。 在开始学习以前，首先根据用户的行为，归纳出一套用户访问集作为训练 集。然后进行学习，其中预处理阶段将用户访问请求按照访问类型进行分类。 规则学习阶段按照安全规则定义，从用户的访问请求中抽取出安全规则的模式 部分和语义部分。接着在规则精简阶段对新生成的安全规则与安全规则库中的 安全规则进行必要的合并或精简，以减少安全规则的数量，提高检查时的效率。 最后，将安全规则存于安全规则库中，供安全检查调用。 3 3 2 检测阶段设计 入侵检测分为两大类型：误用检钡t j ( m i s u s ed e t e c t i o n ) $ l l 异常检澳t j ( a n o m a l y d e t e c t i o n ) 。误用检测【3 4 】是指将已知攻击以某种形式存储在知识库中，通过知识 库中的入侵模式对用户行为进行检测，以确定入侵发生与否。误用检测的主要 检测方法有条件概率检测法、专家系统检测法、状态转换检测法、模型推理检 测法等。这种方法的优点是检测准确率较高，缺点是只能对已知的攻击类型和 系统安全漏洞进行检测。 异常检测【35 】是指提取用户的正常行为特征，存于特征数据库中，然后将用 户当前行为与特征数据库中的行为进行匹配，来判断用户当前行为是否是正常 行为，从而确定是否发生入侵。异常入侵的主要检测方法有概率统计检测法、 贝叶斯推理检方法、模式预测检测法、神经网络检测法、机器学习检测法、数 据挖掘检测法等。这种方法的优点是可以检测未知攻击，对于合法用户超越其 1 5 上海大学硕士学位论文 权限的违法行为的检测能力加强。其主要缺点是较高的虚警率，因为信息系统 中所有的正常活动并不一定在学习阶段就被全部覆盖。 针对数据库安全增强模块的特点和要求