1. 前言
隨着計算機技術的飛速發展,資訊技術在社會各個領域中得到廣泛應用,資訊安全問題也日益突出。《中國互聯網安全報告(2008年)》指出,"2008年網絡安全事件總數與去年同期相比大量增加”。資訊安全問題越來越受到人們的關注。
計算機網絡、操作系統和數據庫管理系統是目前資訊系統的三大支撐平臺,三者密不可分,其中任何一個出現安全漏洞都有可能威脅到整個資訊系統的安全。
目前,計算機網絡、操作系統的安全性己經受到了人們的高度重視,各種安全技術層出不窮,相應的入侵檢測技術也得到較大提升,爲網絡級和操作系統級的安全提供了有力的保障。數據庫作爲數據存儲和管理的核心,其安全性對於資訊系統來說同樣是至關重要的。數據庫管理系統提供了身份認證、訪問控制、數據加密及審計跟蹤等傳統安全機制,在一定程度上保障了數據庫的安全。
本文制定了應用級數據庫入侵檢測系統的設計目標,針對現有資訊系統結構的特點給出了本系統實現的思路,根據實現思路給出應用級數據庫入侵檢測系統的組成,說明本系統的總體流程。
2. 入侵檢測系統設計目標及實現思路
應用級數據庫入侵檢測系統的設計目標是從應用級上實現數據庫入侵檢測,並提高入侵檢測的'準確率。由此,具體設計目標如下:
1)實現應用級數據庫入侵檢測。由常用數據庫攻擊方式可以看出,應用系統的漏洞己經成爲數據庫安全的主要威脅之一,從應用級上對系統進行保護是資訊安全的重要途徑。已有的研究本文實現應用級數據庫入侵檢測提供了支援。
2)行爲檢測與SQL語句結構檢測相結合。目前針對數據庫的入侵檢測主要分爲基於用戶訪問行爲的數據庫入侵檢測和基於SQL語句結構的數據庫入侵檢測兩個研究方法,它們各自的側重點不同,各有優缺點。本文在設計系統結構時,融合了行爲檢測和SQL語句結構檢測兩種方法,使其相輔相成,優勢互補。
3)提高入侵檢測準確率。入侵檢測系統的誤報率和漏報率是入侵檢測準確率的兩個重要指標。降低誤報率和漏報率是相關研究人員的主要目標之一,這同樣也是本文設計的主要目標之一。
針對上述數據庫應用系統的結構特點,入侵檢測系統設計從以下幾個方面實施應用級入侵檢測:
(1)針對SQL語句結構進行檢測。數據庫應用系統具有固定的SQL語句結構爲系統實現對SQL語句結構的檢測提供了可能性。同時,固定的結構使系統可以建立相對完善的規則庫,在對SQL語句結構進行檢測時,可以準確地檢測出異常的語句結構。
(2)針對系統行爲進行檢測。系統完成某項特定任務必須執行一組固定的SQL語句,且它們的數量和執行順序很穩定,透過抽象化這些行爲可以形成系統的行爲模式,達到行爲檢測的目的。
(3)針對SQL數據操作行爲的檢測。SQL語句一般包含兩部分資訊,一部分是SQL的指令部分;另一部分是,SQL語句操作的數據部分。對於不同的終端用戶執行同一個操作時,SQL語句指令部分往往相同,數據部分相差較大,且對於不同的用戶類型呈現一定的規律。對SQL數據操作行爲的檢測可以防禦合法用戶的越權訪問。
應用級數據庫入侵檢測系統從上述三個層次展開。與現有系統只針對單個SQL語句檢測的單一方案相比,本系統設計的檢測方法更全面細緻,能準確地檢測入侵行爲。同時改進數據庫入侵檢測模式建立與匹配的方法,進一步提高了檢測的準確度。
3. 入侵系統組成
根據數據庫應用系統特點的分析,給出了一種應用級數據庫入侵檢測系統總體結構,分別針對SQL語句結構、SQL語句操作的數據及SQL語句執行序列進行分析,從三個層面實施入侵檢測,既對用戶“做什麼”進行了檢測,又進一步檢測用戶“怎麼做”。
(1)數據採集器:主要負責收集數據,對數據進行過濾及預處理。數據源來自中間層和數據庫日誌。
(2)SQL解析器:完成SQL語句的解析,以便檢測單元能對其進行處理。
(3)SQL檢測單元:分析SQL語句結構,對單個SQL語句進行分析處理,包括對SQL語句結構和SQL數據操作行爲的檢測。
(4)行爲檢測單元:分析系統行爲。
(5)響應單元:響應單元對接受到的事件資訊做出相應的處理。
系統結構設計借鑑了入侵檢測系統的通用結構設計,包含了入侵檢測系統的主要功能模組。但對於應用級數據庫入侵檢測系統來說,本文設計的系統更具針對性。
4. 結論
本章基於現有數據庫應用系統的主要特點,將入侵檢測思想和關係數據庫中用戶的操作特點,以及在應用系統中的行爲特徵相結合,給出了應用級數據庫入侵檢測系統的總體框架設計方案。
根據預期設計目標,系統針對應用層的入侵進行數據庫入侵檢測,從SQL語句結構、SQL語句數據操作行爲和系統行爲三個層次實施數據庫入侵檢測,與現有系統只對單個SQL語句檢測的方案相比,本系統從三個層次上的檢測更加全面和細緻,同時,透過改進模式建立與匹配方法進一步提高了系統的準確率。