应用级数据库入侵检测系统的总体框架

李永强

摘要:本文设计了一种应用级数据库入侵检测系统的总体方案。基于现有数据库应用系统的主要特点,结合入侵检测思想、数据库中用户操作的特点以及行为特征,给出了一种应用级数据库入侵检测系统的框架结构。

关键词:应用级数据库 入侵检测 用户操作

1. 前言

随着计算机技术的飞速发展,信息技术在社会各个领域中得到广泛应用,信息安全问题也日益突出。《中国互联网安全报告(2008年)》指出,"2008年网络安全事件总数与去年同期相比大量增加”。信息安全问题越来越受到人们的关注。

计算机网络、操作系统和数据库管理系统是目前信息系统的三大支撑平台,三者密不可分,其中任何一个出现安全漏洞都有可能威胁到整个信息系统的安全。

目前,计算机网络、操作系统的安全性己经受到了人们的高度重视,各种安全技术层出不穷,相应的入侵检测技术也得到较大提升,为网络级和操作系统级的安全提供了有力的保障。数据库作为数据存储和管理的核心,其安全性对于信息系统来说同样是至关重要的。数据库管理系统提供了身份认证、访问控制、数据加密及审计跟踪等传统安全机制,在一定程度上保障了数据库的安全。

本文制定了应用级数据库入侵检测系统的设计目标,针对现有信息系统结构的特点给出了本系统实现的思路,根据实现思路给出应用级数据库入侵检测系统的组成,说明本系统的总体流程。

2. 入侵检测系统设计目标及实现思路

应用级数据库入侵检测系统的设计目标是从应用级上实现数据库入侵检测,并提高入侵检测的准确率。由此,具体设计目标如下:

1)实现应用级数据库入侵检测。由常用数据库攻击方式可以看出,应用系统的漏洞己经成为数据库安全的主要威胁之一,从应用级上对系统进行保护是信息安全的重要途径。已有的研究本文实现应用级数据库入侵检测提供了支持。

2)行为检测与SQL语句结构检测相结合。目前针对数据库的入侵检测主要分为基于用户访问行为的数据库入侵检测和基于SQL语句结构的数据库入侵检测两个研究方法,它们各自的侧重点不同,各有优缺点。本文在设计系统结构时,融合了行为检测和SQL语句结构检测两种方法,使其相辅相成,优势互补。

3)提高入侵检测准确率。入侵检测系统的误报率和漏报率是入侵检测准确率的两个重要指标。降低误报率和漏报率是相关研究人员的主要目标之一,这同样也是本文设计的主要目标之一。

针对上述数据库应用系统的结构特点,入侵检测系统设计从以下几个方面实施应用级入侵检测:

(1)针对SQL语句结构进行检测。数据库应用系统具有固定的SQL语句结构为系统实现对SQL语句结构的检测提供了可能性。同时,固定的结构使系统可以建立相对完善的规则库,在对SQL语句结构进行检测时,可以准确地检测出异常的语句结构。

(2)针对系统行为进行检测。系统完成某项特定任务必须执行一组固定的SQL语句,且它们的数量和执行顺序很稳定,通过抽象化这些行为可以形成系统的行为模式,达到行为检测的目的。

(3)针对SQL数据操作行为的检测。SQL语句一般包含两部分信息,一部分是SQL的指令部分;另一部分是,SQL语句操作的数据部分。对于不同的终端用户执行同一个操作时,SQL语句指令部分往往相同,数据部分相差较大,且对于不同的用户类型呈现一定的规律。对SQL数据操作行为的检测可以防御合法用户的越权访问。

应用级数据库入侵检测系统从上述三个层次展开。与现有系统只针对单个SQL语句检测的单一方案相比,本系统设计的检测方法更全面细致,能准确地检测入侵行为。同时改进数据库入侵检测模式建立与匹配的方法,进一步提高了检测的准确度。

3. 入侵系统组成

根据数据库应用系统特点的分析,给出了一种应用级数据库入侵检测系统总体结构,分别针对SQL语句结构、SQL语句操作的数据及SQL语句执行序列进行分析,从三个层面实施入侵检测,既对用户“做什么”进行了检测,又进一步检测用户“怎么做”。应用级数据库入侵检测系统结构图如下图所示:

(1)数据采集器:主要负责收集数据,对数据进行过滤及预处理。数据源来自中间层和数据库日志。

(2)SQL解析器:完成SQL语句的解析,以便检测单元能对其进行处理。

(3)SQL检测单元:分析SQL语句结构,对单个SQL语句进行分析处理,包括对SQL语句结构和SQL数据操作行为的检测。

(4)行为检测单元:分析系统行为。

(5)响应单元:响应单元对接受到的事件信息做出相应的处理。

系统结构设计借鉴了入侵检测系统的通用结构设计,包含了入侵检测系统的主要功能模块。但对于应用级数据库入侵检测系统来说,本文设计的系统更具针对性。

4. 结论

本章基于现有数据库应用系统的主要特点,将入侵检测思想和关系数据库中用户的操作特点,以及在应用系统中的行为特征相结合,给出了应用级数据库入侵检测系统的总体框架设计方案。

根据预期设计目标,系统针对应用层的入侵进行数据库入侵检测,从SQL语句结构、SQL语句数据操作行为和系统行为三个层次实施数据库入侵检测,与现有系统只对单个SQL语句检测的方案相比,本系统从三个层次上的检测更加全面和细致,同时,通过改进模式建立与匹配方法进一步提高了系统的准确率。

参考文献:

[1]戴臻、费洪晓、谢文彪、肖新华,基于特定模式树的用户行为关联规则挖掘算法[J].计算机系统应用,2007,5:56-59.

[2]曹忠升、李晶,安全数据库系统中在线人侵检测的设计与实现[J].计算机工程与科学,2005,27(9):16-18.

[3]蒋盛益,基于聚类的入侵检测算法研究[M].北京:科学出版社,2008.