數據庫審計及入侵檢測實現分析

王志勇

摘 要：在網絡技術和計算機技術迅猛發展的情勢下，數據庫面臨安全威脅，為了保證數據庫中的信息不被侵犯，需要高度重視數據庫的安全可靠性能，要樹立數據庫安全審計和入侵檢測的意識，關注用戶的網絡信息行為，并對信息安全隱患進行報警、預防、檢測和事后追查，從而全面實現對數據庫的審計和入侵檢測，提高數據庫的安全性。

關鍵詞：數據庫；審計；入侵檢測；實現

計算機技術和網絡技術深入到社會各個層面的同時，也帶來了極大的安全隱患，在信息產業迅猛發展的狀態下，數據庫成為了大量信息存儲、開發和應用的重要工具，而為了確保數據庫的安全使用，需要關注數據庫的安全審計，科學而合理地控制用戶的行為，對數據庫進行入侵安全檢測，并進行跟蹤、追查和分析，從而確保國家和社會的安全和穩定。

1 數據庫安全隱患及審計的必要性分析

數據庫管理系統面臨諸多的安全威脅，它來源于多個層面，有外部的安全隱患，也有內部的安全隱患，它應用于各個領域，具有極大的風險性，它處于裸露的環境之中，存在安全機制方面的弱點，因而，需要對數據庫進行安全限制，重點有：數據庫宿主機的安全、用戶認證的限制、訪問控制的限制。然而，現有的數據庫安全機制不能完全解決數據庫的安全問題，由于外來訪問用戶的不確定性，導致數據庫管理系統無法抵御外來的入侵者，如果普遍用戶盜取了數據庫系統管理員的身份，則可以實現對數據庫的非法控制，從而造成系統安全受到威脅。這時，就需要數據庫的審計系統，對外來的入侵進行訪問審計，在數據庫信息數據被盜取、篡改的情況下，對數據信息進行恢復和追查，在科學、先進而全面的審計系統和方案之下，實現對數據庫的審計記錄。我們可以這樣認為，安全審計是數據庫安全的有機組成部分，它與數據庫系統的知識和網絡安全，具有不可分割的重要意義和作用。

2 數據庫的安全審計研究

在我國的《計算機信息系統安全保護等級劃分準則》之中，鑒于這一安全性的考慮，我國的信息安全國家標準對于數據庫系統的安全保護劃分了五個等級，它們對于數據庫系統使用用戶的身份進行鑒別，并將使用客體導入到用戶地址空間之中，安全審計機制可以實現對數據庫的安全審計記錄，并對身份鑒別事件進行審計刪除等操作。它是對數據庫系統進行安全活動的收集和記錄，并進行分析、評估和審查，監測一切非正常的可疑事件記錄，從而對數據庫信息系統實現安全審計。同時，在等級逐步提高的安全審計中，增添了對存儲型隱蔽通道的安全審計內容，添加了對安全審計事件的積累及限定預警功能等。

2.1 安全審計概念

數據庫信息系統的安全審計方法主要通過數據庫審計系統和審計方案加以實現，在這個審計系統之中，主要由兩部分構成，即：審計數據采集器和審計數據分析器，它們分別負責對數據庫系統的數據進行采集和分析，并加以存儲為日志。

具體安全審計流程為：

①收集數據庫用戶的所有事件，包括引擎搜索、查詢、邏輯操作等；

②以審計條件為依據，對用戶的事件進行安全審計判定；

③將安全審計事件以日志的形式加以存儲和記錄；

④如果安全審計事件符合報警預定條件，則發送報警信息并自動記錄；

⑤一旦審計事件重復連續出現，將被剔出數據庫系統，并生成安全審計報告。

2.2 安全審計模塊設計

2.2.1 安全審計模塊總框架

在數據庫的安全審計模塊之中，主要框架由日志模塊、安全事件模塊、安全分析模塊和安全通知模塊構成。其模塊框架由下圖所示：

這些不同的模塊負責各自不同的職能，其中：日志模塊重點采集數據庫用戶的運作信息，加以全面的采集、獨立審計和記錄。安全審計分析模塊則是一個數據庫入侵檢測系統，來源于數據庫的安全事件，對這些安全事件進行閾值分析和數據庫應用規則匹配，以檢測數據庫系統的入侵狀態和安全性能。安全審計通知模塊是基于報警性能的通知模塊，它對于數據庫操作的各種動作進行報警。

在安全審計模塊之中，審計開關控制是關鍵基礎，它分為三種：

①審計總開關。重點控制數據庫安全審計的開閉，它的操作權限僅限定于安全審計管理員；

②審計分析總開關。這一開關僅是對日志信息進行采集，而不對其進行處理。是基于事后的分析功能，它的性能較實時分析強，但是喪失了即時響應的功能。

③配置開關。這是在不同開關選項的配置之下，節省了安全審計配置的工作量，用簡便的開關操作替代了復雜的配置操作。

2.2.2 日志模塊架構及功能

日志模塊的構造由日志配置表和日志蹤跡表組成，這兩者是相互關聯、互為因果的關系，在日志配置表的運作中，可以對數據庫的各種操作進行記錄，并根據日志配置表所顯現的信息，寫入對應的日志蹤跡表之中。在日志配置表信息之中，有三種日志信息，即：用戶操作日志信息、用戶登陸退出日志信息、強制訪問控制日志信息，對應這三種不同的日志信息，也生成了相應的日志蹤跡視圖，它們對于不同安全事件的時間、主客體、錯誤等信息都進行了追蹤。

2.2.3 安全事件模塊架構及功能

由于日志記錄是一個信息浩瀚的海洋，因而，需要有一個模塊對這些海量的信息進行過濾，針對這些原始日志信息，可以進行安全事件模塊應用之下的信息過濾和“清掃處理”，在這一流程之中，可以較大地減少審計分析的噪音，清理與安全無關的事件信息，從而生成系統安全事件和用戶級別的安全事件。

2.2.4 安全分析與入侵檢測模塊架構與功能

安全入侵檢測以安全事件為數據源，在對安全事件進行響應的過程中，進行違背用戶定義的規則分析，并對此做出響應。為了提升數據庫系統的審計能力，需要將審計追蹤與實時預警相結合，實施實時的入侵檢測和跟蹤，在對日志信息進行審計分析的過程也即是入侵檢測的過程，對于安全審計追蹤日志的分析需要借助于審計分析工具，并采用三種不同的分析方法加以實現，它們包括：

①統計分析方法。這是對合法用戶的行為的統計和檢驗；

②數據庫使用規則狀態下的專家系統分析法。這是進行預定的設計之下，依照一定的規則進行“濫用檢測”，它與“異常檢測”相區別；

③數據庫系統自動學習。這是基于數據庫系統自身的主動審計分析，這是一種新型的分析方法，可以實現對訪問用戶的監視和學習。

2.2.5 響應模塊框架及其功能

這是安全審計模型中的最末層，它對于潛在的入侵可以發出安全警報，并在監測的條件下做出對入侵事件的不同響應。例如：將對數據庫系統進行攻擊的用戶踢出系統；對疑似的攻擊用戶加以鎖定控制；對于異常入侵的用戶禁止其登陸系統等。

3 數據庫安全審計中的入侵檢測實現研究

3.1 數據庫入侵檢測結構及分類

隨著計算機數據庫攻擊技術的不斷發展，數據庫信息系統的安全受到入侵威脅，為了實現對數據庫的安全審計，還需要對數據庫的入侵進行檢測，數據庫入侵檢測的體系結構主要分為集中式結構、分布式結構和分層結構三種，他們各有其特點。其中，集中式結構可以集中分析和處理數據庫的入侵行為，但是面對這樣的集中處理，檢測主機便成為了安全“瓶頸”。分布式結構可以較好地對數據庫信息數據進行監控，對于內外部入侵行為進行檢測，然而，這種結構要以代理處于同一層次為前提，如果代理層次太低或太高，則無法實現對網絡的入侵檢測。

分層結構可以應用于日益復雜的入侵行為，它呈樹形分層狀態，如下圖所示：

這種樹狀的分層結構可以處理大數據量，效率較高，同時，它還可以動態調整節點層次關系，完成數據庫信息系統的動態最佳配置。

數據庫入侵檢測系統包涵信息數據提取、入侵分析和響應處置三大部分，其中：數據提取是檢測基礎和前提，它對系統運行狀態下的數據進行過濾和預處理；入侵分析是關鍵核心內容，它對運行數據進行安全攻擊分析，并將結果傳遞給響應模塊。響應處置的功能則是對安全攻擊用戶進行報警與處置反應。入侵檢測系統可以按照數據源的不同分為主機的入侵檢測系統和網絡的入侵檢測系統；可以按照數據分析方法的不同分為濫用檢測和異常檢測；按照數據分析發生的時間可以分為離線分析和在線分析，相比較而言，在線分析對于數據庫系統的資源配置要求較高，精準度和即時性較為良好。

3.2 數據庫系統常用的入侵檢測技術

數據庫系統的入侵檢測技術主要包括以下幾種：

3.2.1 專家系統分析技術

這一檢測技術應用于濫用檢測方案，它無須用戶理解或干預，是將問題推理與解決方案相分離的應用方式。但是，存在對環境的適用能力較差的問題，對于具有時序特征的入侵行為也無法實現檢測。

3.2.2 模式匹配檢測技術

它是將入侵特征編碼與審計安全記錄事件相匹配，一旦有新的審計事件，則要尋求與之相匹配的入侵模式，它的可擴展性較好，誤報率較低，然而在匹配性能方面還需要進一步完善。

3.2.3 狀態轉移檢測技術

它是一種圖形化的描述方式，是以入侵滲透為對象，用節點表示系統狀態，“弧”表示狀態轉移。這一技術是高層次的、與審計記錄無關聯的方式，可以檢測不同狀態下的相同入侵模式。

3.2.4 統計檢測技術

這一技術應用于異常檢測，是一種較為成熟的入侵檢測方法，它無需更新規則庫，操作簡便。但是，這種方法無法反映審計事件的時間先后關聯性。

3.2.5 數據挖掘技術

數據挖掘技術以全新的理念應用于入侵檢測，是一項未來信息檢測處理的骨干技術，它可以從大量模糊、隨機的數據中提取隱含的有用信息，并根據各數據之間的潛在關聯，做出高層次的分析和決策。常用的數據挖掘技術包括有：關聯分析、序列分析、分類分析、聚類分析，它們應用于入侵檢測系統之中，可以提取數據庫中有效的信息，構建入侵模型庫，在進行數據采集、預處理、挖掘、特征提取、入侵檢測的流程之下，完成對入侵行為的檢測分析。它可以有效地解決手工分析和編碼入侵模型的問題，極大地提升了入侵檢測的精確度。

3.3 異常檢測分析

對于數據庫系統的異常檢測是誤用檢測的補充方式，它可以及時發現安全審計未定義的誤用狀況，在異常檢測分析中，可以建立相關的異常檢測模型，其模型構成由規則庫、安全審計事件向量采集模塊、監控模塊組成，在正常狀態下進行安全審計事件的采集；在監控狀態下對安全審計事件進行匹配，可以實現正常匹配的即為安全，不能匹配正常的誤報狀況則為異常。其具體監測過程為：當安全審計事件蹤跡至規定條數之后，即按序列加以分析，按照向后看的匹配規則進行配置，這種匹配規則高效而簡便。

3.4 誤用檢測分析

在數據庫入侵檢測系統之中，采用閾值誤用檢測分析法，它的入侵誤警率非常低，可以在建立誤用入侵檢測模型的條件下，由預警模塊直接進行處置。這種入侵檢測方法也即基于知識的入侵檢測法，它并非使用系統統計度量，而是基于內在規則或時間上的序列關聯進行檢測，它更注重對安全審計事件的“必然的約束”關系，它的檢測分析方法核心的問題是規則的提取，由于它牽涉到數據庫系統的用戶登陸、訪問控制、可信通道等多方面因素，因而，在誤用檢測系統中只需要對特定的入侵知識進行界定，便可以實現對入侵用戶的操作控制。這種檢測方法主要采用兩種：

①狀態遷移誤用檢測分析技術。

這種方法可以對系統的初始狀態加以遷移，根據系統某一特定時刻的應用特征進行描述，在中間的遷移狀態下辨識出危及系統安全的入侵狀態，并對初始狀態和入侵狀態之間的關鍵性活動進行描述，它適用于步驟相連性的全序列關系下的入侵用戶操作行為檢測與監控。如：數據庫中的臨時用戶。

②模式匹配分析技術。

這種方法將入侵用戶的行為檢測與監控轉換成操作模式匹配的方式，數據庫系統對入侵用戶的行為檢測器進行模型匹配，這種模式識別技術較為成熟而實用，其檢測模型如下圖所示：

在上述檢測模型之中，包含有三種閾值，即：動作類閾值、序列類閾值、整合類閾值。其中：動作類閾值指在一定時間段內的安全事件超過定義次數；序列類閾值是指一定時間段內滿足系統某一全序關聯的安全事件；整合類閾值與序列類閾值類似，然而區別在于它無須滿足全序關聯，而只要發生了相應的事件即可。

4 結束語

綜上所述，在網絡信息數據要求日益提升的條件下，數據庫要存儲海量的信息，必須以安全為前提加以利用，為此，數據庫的安全審計要對日志信息進行分析，構建數據庫安全審計模型，并針對入侵行為進行異常檢測和處理，進一步提高實時入侵檢測系統的性能，實現入侵規則的合理配置，從而確保數據庫信息系統的安全。

參考文獻：

[1]趙雪.基于云端的移動智能終端入侵檢測機制研究[D].遼寧大學，2015.

[2]葛佳.P2P網絡信譽數據存儲與恢復方法的研究與實現[D].昆明理工大學，2015.

[3]張玉亮.基于增加節點的社會網絡隱私保護模型研究[D].南京信息工程大學，2015.

[4]劉凌龍.基于WINPCAP的網絡入侵檢測系統設計與實現[D].遼寧大學，2015.