自律式容侵安全數據庫模型

齊耀龍，劉慧君，鄧娜

（1.河北大學 計算中心，河北 保定 071002；2.河北大學 實驗室管理辦公室，河北 保定 071002）

當前，網絡安全嚴重威脅著國家機關和企事業單位的信息安全，網絡安全作為影響國家安全和經濟發展的重大問題已經刻不容緩.實現網絡安全的核心環節是保障數據庫系統安全，其目標是從數據完整、數據機密和數據有效層面進行有效保障.現有的防火墻、身份認證、權限控制、數據加密和入侵檢測等數據庫安全手段并不能實現完全防御.因此數據庫系統安全研究的核心問題就集中在當傳統防御技術失效的狀況下如何對數據庫安全進行保障.

作為第3代信息系統安全的核心技術，入侵容忍提出系統全局在特定局部遭受破壞或惡意控制時仍然可以向客戶提供穩定不間斷的服務，并維持數據完整和數據機密［1］.入侵容忍技術是上述安全問題的可行方案，令數據庫系統具備了一定程度的攻擊彈性和服務不間斷性特征.1986年，Dobson等人［2］進行了初步的入侵容忍技術研究，其思路是借助非可靠性、非安全性的組件以搭建具備可靠性和安全性的系統.之后斯坦福大學將門限密碼技術用于網絡容侵的研究中［3］，隨后康奈爾大學研究建立了秘密健壯的數據分布項目［4］，并在容侵重現認證項目中使用了加密共享技術［5］.Rabint［6］在RSA 加密門限策略的研究中采用了自適應的安全策略，之后一些具備自適應特征的門限策略相繼被提出［7－8］，但上述研究僅限于設計加密共享策略或門限密碼技術研究，并沒有將其應用到具備自適應特征的容侵系統中.美國國防部先進研究項目局的資助項目ITUA 借助冗余管理思想完成令攻擊方難以預測的資源動態配給和系統容錯響應［9］，但缺乏自適應特征即無法對容侵系統的運行配置參數實施動態矯正.國內，王慧強等人［10］于2010年提出一個關鍵任務系統下的自律可信性模型和其相應的量化分析算法，基于穩態概率的思想設計了一個度量自律可信性的方法，但研究僅針對大型分布式的關鍵任務系統；2011年，吳慶濤等人［11］構建了一個針對計算機網絡的基于自律反饋機制的入侵容忍模型，在實時分析網絡訪問的可信程度時引入了自律機制，但這些研究都未針對數據庫安全體系進行研究，且未涉及自適應事務自適應分級策略.此外，國防科技大學等單位也都進行了入侵容忍系統相關技術的嘗試和研究并應用到數據庫領域，但是上述研究主要討論面向狀態的入侵容忍、面向服務的入侵容忍和對數據庫事務級的容忍，多采用分級容侵策略、秘密共享策略或門限密碼理論將一些異常的事務隔離，對已破壞的數據進行恢復，缺乏自適應能力.

自律計算的構想是由IBM 公司提出的，自律計算環境的核心目標是使計算機系統具備高可靠性、高可用性和高服務性.由自律計算策略建構的系統具備自主配置、自主優化、自主保護和自主修復4大特征.而現有的容侵數據庫系統恰恰缺少這4類特征，本文據此提出將入侵容忍技術、傳統數據庫安全策略與自律計算相結合的方法，研究了一個具有自適應特征的自律式容侵安全數據庫模型，對本地和網絡攻擊可以實現有效穩定抵御，使得數據庫系統始終處于安全和穩定運行的狀態.

1 自律式容侵安全數據庫模型

本模型具備自律計算特征，因此可以在無需外力參與的情況下，對數據庫系統的資源占用、網絡占用、連接請求、響應時間、數據吞吐量及系統運行環境進行實時數據采樣，并對數據庫連接信度進行主動評估，之后將非可信連接導向虛擬數據庫系統進行特征分析，并根據安全策略對其實施處理，最終維持或還原數據庫的穩定安全狀態.自律式容侵安全數據庫模型劃分為4層，如圖1所示.

圖1 自律式容侵安全數據庫模型框架Fig.1 Module architecture

a）傳統認證層.包括身份認證、數據加密、權限控制、防火墻等策略.客戶發起的連接請求通過防火墻之后，系統對其進行身份認證與權限控制，如有必要則對敏感信息加密處理.

b）訪問評估層.評價模塊對數據庫本體、運行環境和數據請求進行實時數據采樣并傳輸給安全評估模塊；訪問請求的信度計算由經驗數據庫、專家數據庫和采樣數據經由多屬性決策分析得出，為了維持系統的并發性能和吞吐性能，應當立即對信度數值達到閾值的連接提供服務.

c）容侵保護層.對非可信訪問的容侵和數據庫系統的保護由事務自適應分級子系統和虛擬數據庫系統共同實現.被判定為非可信的訪問請求將被交由事務自適應分級子系統，分級結果由該訪問發起的數據庫事務的重要性和對數據庫的影響程度得出，可以劃分成關鍵性事務和非關鍵性事務，如有必要則對關鍵性事務進行冗余配置.然后將事務自適應分級信息、非可信訪問連同其請求的數據庫資源的副本同時傳輸至虛擬數據庫系統，進一步實現對非可信訪問請求的行為判析和處置策略.

d）服務配置層.根據行為判析的結論，采取對應的服務策略或復原策略使數據庫自行保持安穩運行狀態.

2 訪問評估

首先對到達的訪問請求進行初始化可信程度評估，然后基于閾值策略分流可信訪問和非可信訪問.訪問評估模塊的工作原理見圖2.

圖2 訪問評估模塊Fig.2 confidence evaluation module

訪問評估采樣器負責采集系統資源信息LS、網絡資源信息NS、會話特征信息SS和響應能力信息SP.其中系統資源信息表現了本地系統資源占用情況，LS＝｛CPU占用信息，數據庫緩存占用信息，內存占用信息，IO 命中率，表空間占用信息，數據庫鎖使用信息｝；響應能力信息表示當前數據庫配合操作系統對客戶端提供正常數據庫服務的能力，SP＝｛每秒事務處理量，事務平均響應率，查詢平均命中率，死鎖率，網絡資源利用率，數據吞吐率｝；網絡資源信息體現了各種網絡事件和資源占用，NS＝｛會話數量，連接狀態，發送數據包數量，接收數據包數量，平均會話耗時｝；會話特征信息代表了訪問請求的自身信息，SS＝｛源IP，目標IP，被訪問數據庫對象，帶寬占用，請求頻度｝.所以采樣數據SD＝｛LS，SS，NS，SS｝.其中：LS＝｛LSi｜i＝1，…，6｝；SS＝｛SSj｜j＝1，…，5｝；NS＝｛NSk｜k＝1，…，5｝；SP＝｛SSl｜l＝1，…，6｝.專家數據庫ED 包含知識推理數據kd 和系統特征數據tt.知識推理數據即領域知識tk 和采樣數據SD 對于數據庫狀態ds的推論.系統特征數據即數據庫系統應當達到的目標狀態，tt＝｛數據完整，數據有效，數據保密，運轉保障，數據吞吐量，事務處理量｝，所以ED＝｛kd，tt｝，其中kd＝｛f（l）（tkl，SDl）→dsj｜l＝1，…，n，j＝1，…，m｝；tt＝｛ttk｜k＝1，…，6｝.經驗數據庫TD 包括會話數據SD 和成因數據ID.會話數據表現了會話的資源占用特征，SD＝｛會話類別，開始時間，結束時間，源ID，目標ID，持續時間｝.成因數據表現數據庫系統從穩定態變為不穩定態的進程及規律，可以用一個SD 對ds的函數關系表示，即TD＝｛SD，ID｝，其中SD＝｛SDi｜i＝1，…，6｝；ID＝g（SDTj→dsk｜j＝1，…，n，k＝1，…，m）.

采樣數據、專家數據庫和先驗數據庫作為評定當前數據庫訪問可信度的3類輸入，直接影響到評估結果的準確度，但是其權重系數尚不能明確定義.因此數據庫訪問的可信程度值可以利用多屬性決策，并結合離差最大化來演算得出.

首先建立決策矩陣，然后對此矩陣進行規范化演算，使其變為規范化形式

假定參數權重向量定義為

對其求解并施加歸一化操作得到

因此三階參數的屬性值就可以演算得出，將計算結果當做屬性值代入二階參數，那么一階參數對應的屬性值就可以通過重復上述決策過程演算得出.

在此基礎上計算得出數據庫訪問請求的可信程度值

然后基于閾值策略分流可信訪問和非可信訪問，可信程度閾值數據將在系統運行時根據執行模塊反饋的相關結果進行自主調整.當系統運行時間到達預設檢查點時，假定容侵保護子系統將非可信訪問識別為可信訪問的比率偏高，即誤判率偏高，則自動降低可信程度閾值數據，否則將其自動上調.

3 容侵保護

為了防止數據庫遭受非可信訪問的攻擊，必須實時斷開非可信請求對真實數據庫的連接，并使攻擊方難以察覺，然后分析與鑒別攻擊者的訪問請求，將訪問請求界定為非可信訪問、可信訪問或可疑訪問，從而為數據庫提供可靠的訪問請求.

a）虛擬數據庫系統.利用誘騙網絡并結合入侵重定向技術，本文基于虛擬化技術搭建虛擬網絡環境中的數據庫系統，用于無縫承接非可信訪問請求，從而對攻擊方實施誘騙和監控，并且對訪問行為進行特征分析，并且防止真實數據庫遭受攻擊.

b）訪問重定向.為了提高數據庫系統的容侵能力和保障運行安全，此模塊將非可信訪問請求實時重定向到虛擬數據庫系統，并及時斷開非可信訪問對真實數據庫的連接.

c）特征分析.通過命令分析、多模式匹配算法等方法判別該訪問的真實意圖及行為導致的結果.

d）自律學習.如果某次非可信訪問在經過了訪問評估模塊的分析后，被判定屬于攻擊行為范疇，就將此攻擊呈現出的行為特征聯合現有知識庫的數據進行整體分析，找到攻擊行為在初期狀態下的訪問特征.然后對安全問題的產生條件和早期征兆進行預測，基于智能決策支持技術對攻擊特征進行自律學習，并將結果數據更新至現有知識庫.

4 仿真實驗

為了測試本模型的容侵性能，仿真實驗在ORACLE 11g 數據庫服務器上，在24h內高頻度隨機施加了入侵和攻擊行為.為了降低實驗結果誤差，使用開源的ORACLE 性能測試工具ORABM 進行24h不間斷性能測試，并計算單位時間的性能均值，數據庫系統在遭受攻擊狀態下，系統的容侵能力見圖3.通過仿真實驗結果可以得出，應用了本安全模型的數據庫系統的每秒事務處理量（transaction per second，TPS）表現比較正常，經計算均值為2 101.根據目標數據庫正常運行情況下的TPS計算均值為2 110可以得出，在被施加了入侵和攻擊行為之后，應用了本安全模型的數據庫系統可以穩定不間斷地提供服務，從而對自律式容侵安全數據庫模型的容侵性能在實際運行中進行了驗證.

圖3 TPS測試對比Fig.3 TPS evaluation

5 結論

針對現有的容侵數據庫系統普遍存在自適應性不足的問題，提出了一個自律式容侵安全數據庫模型.該模型采用分層模式，關鍵模塊包括了數據庫訪問請求的可信程度評估和非可信訪問的主動容侵保護，能夠自主完成信度閾值數據和容侵知識庫的自適應和自學習過程，從而達到了對非可信訪問的有效容侵，令數據庫系統具備較高的自修復和自優化特征，保障了高安全性和高可靠性領域的數據庫系統安全.

［1］ FRAG A J S，POWELL D.A fault and intrusion tolerant file system［Z］.Proc of the 3rd International Conference on Computer Security，Washington DC，1985

［2］ DOBSON J E，RANDELL B.Building reliable secure systems out of unreliable insecure components［Z］.Proc of IEEE Symposium On Security and Privacy，Oakland，1986.

［3］ WU T，MALKI N M，BONEH D.Building intrusion tolerant applications［Z］.Proc of the 8th Conference on USENIX Security Symposium，Berkeley，1999.

［4］ MARSH M A，SCHNEIDER F B.CODEX：a robust and secure secret distribution system［J］.IEEE Trans on Dependable and Secure Computing，2001，1（1）：34－47.

［5］ ZHOU L，FRED B S，RENESSE R.COCA：a secure distributed on－line certification authority［J］.ACM Trans on Computer Systems，2002，20（4）：329－368.

［6］ RABIN T.A simplified approach to threshold and proactive RSA［Z］.Proc of the 18th Annual International Cryptology Conference on Advances in Cryptology，London，1998.

［7］ JARECKI S，LYSYANSKAYA A.Adaptively secure threshold cryptography：introducing concurrency，removing erasures［Z］.Proc of Advances in Cryptology－EUROCRYPT，Berlin，2000.

［8］ CANETTI R，GENNARO R，JARECKI S.Adaptive security for threshold crypto systems［Z］.Proc of the 19th Annual International Cryptology Conference on Advances in Cryptology，London，1999.

［9］ CUKIER M，COURTNEY T，LYONS J.Providing intrusion tolerance with ITUA［Z］.Proc of International Conference on Dependable Systems and Net works（DSN），Washington DC，2002.

［10］ 王慧強，呂宏武，趙倩，等.一種關鍵任務系統自律可信性模型與量化分析［J］.軟件學報，2010，21（2）344－358.WANG Huiqiang，Lü Hongwu，ZHAO Qian，et al.Model and quantification of autonomic dependability of mission－critical systems［J］.Journal of Software，2010，21（2）：344－358.

［11］ 吳慶濤，華彬，鄭瑞娟.基于自律反饋機制的入侵容忍模型［J］.微電子學與計算機，2011，28（4）：99－102.WU Qingtao，HUA Bin，ZHENG Ruijuan.Intrusion tolerance model based on autonomic feedback mechanism［J］.Microelectronics ＆Computer，2011，28（4）：99－102.