企業(yè)應(yīng)用數(shù)據(jù)庫(kù)服務(wù)器安全防范技術(shù)探討

張立群 王啟揚(yáng)

（1、遼寧長(zhǎng)城會(huì)展廣告有限公司，遼寧 沈陽(yáng)110004 2、沈陽(yáng)市電信規(guī)劃設(shè)計(jì)院股份有限公司，遼寧 沈陽(yáng)110023）

伴隨著互聯(lián)網(wǎng)和信息產(chǎn)業(yè)的快速發(fā)展，數(shù)據(jù)信息已經(jīng)成為企業(yè)重要的戰(zhàn)略資源之一，數(shù)據(jù)的重要性不僅體現(xiàn)在企業(yè)的日常經(jīng)營(yíng)管理、戰(zhàn)略計(jì)劃制定和短期計(jì)劃的制定等方面，還將決定著企業(yè)的市場(chǎng)競(jìng)爭(zhēng)力與品牌競(jìng)爭(zhēng)力[1]。當(dāng)前，由于行業(yè)發(fā)展和供應(yīng)鏈發(fā)展的需要，大多數(shù)企業(yè)都擁有屬于本企業(yè)數(shù)據(jù)庫(kù)服務(wù)器系統(tǒng)[2]。企業(yè)數(shù)據(jù)庫(kù)服務(wù)器系統(tǒng)大都基于B/S 基礎(chǔ)結(jié)構(gòu)設(shè)計(jì)[3]，并內(nèi)嵌多個(gè)與服務(wù)器兼容Web 應(yīng)用程序，進(jìn)而對(duì)企業(yè)的數(shù)據(jù)和行業(yè)的數(shù)據(jù)進(jìn)行分析與管理。在開(kāi)放的網(wǎng)絡(luò)環(huán)境下，企業(yè)數(shù)據(jù)庫(kù)服務(wù)器容易受到惡意的入侵、攻擊、或被盜取，給企業(yè)帶來(lái)難以估量的損失[4]，因此針對(duì)企業(yè)數(shù)據(jù)庫(kù)服務(wù)器實(shí)施系統(tǒng)化的安全防護(hù)，對(duì)于企業(yè)的日常運(yùn)營(yíng)和發(fā)展而言至關(guān)重要。為此，本文提出一種基于蜜罐的企業(yè)數(shù)據(jù)庫(kù)服務(wù)器安全技術(shù)，從架構(gòu)設(shè)計(jì)和模塊設(shè)計(jì)的視角提升企業(yè)數(shù)據(jù)庫(kù)的安全等級(jí)。

1 蜜罐在企業(yè)服務(wù)器網(wǎng)絡(luò)中的位置及核心防御技術(shù)

企業(yè)數(shù)據(jù)庫(kù)服務(wù)器與Web 應(yīng)用進(jìn)行實(shí)時(shí)的數(shù)據(jù)交互，根據(jù)頁(yè)面接收到的指令信息對(duì)數(shù)據(jù)庫(kù)做制定的操作。企業(yè)數(shù)據(jù)的存儲(chǔ)、交互與使用都基于B/S 結(jié)構(gòu)和Web 應(yīng)用完成，用于基于Web 瀏覽器向系統(tǒng)提出請(qǐng)求，邏輯層通過(guò)增加和更新系統(tǒng)指令判斷數(shù)據(jù)請(qǐng)求的風(fēng)險(xiǎn)值，并做出具體的響應(yīng)。基于互聯(lián)網(wǎng)的攻擊具有普遍性和隨機(jī)性，隨著網(wǎng)絡(luò)攻擊方式的多樣化及病毒變異，傳統(tǒng)基于防火墻的入侵檢測(cè)方法無(wú)法滿(mǎn)足網(wǎng)絡(luò)安全實(shí)時(shí)檢測(cè)的要求。蜜罐思想是一種基于逆向思維的防范策略，即通過(guò)在系統(tǒng)中故意設(shè)置漏洞來(lái)誘捕攻擊者的方法。甚至可以通過(guò)對(duì)模擬網(wǎng)絡(luò)攻擊過(guò)程中應(yīng)用程序數(shù)據(jù)的分析，進(jìn)一步優(yōu)化和改善局域網(wǎng)絡(luò)的防御功能。蜜罐具有高效的惡意數(shù)據(jù)分析能力，因此在有效減少和控制網(wǎng)絡(luò)威脅，及數(shù)據(jù)庫(kù)服務(wù)器威脅等方面具有重要的價(jià)值。

蜜罐防御系統(tǒng)本身不具有主動(dòng)清除惡意數(shù)據(jù)和病毒的功能，因此傳統(tǒng)的防火墻、入侵檢測(cè)等技術(shù)不能直接被替代，蜜罐的價(jià)值在于了解網(wǎng)絡(luò)攻擊的屬性特征和特有手段，達(dá)到被動(dòng)防御的效果。蜜罐的防護(hù)價(jià)值體現(xiàn)在以下幾個(gè)方面：首先蜜罐增加了一種網(wǎng)絡(luò)攻擊的應(yīng)對(duì)方式，該種看似被動(dòng)的防護(hù)方式卻能夠掌握各種病毒的本質(zhì)特征，是防火墻功能改進(jìn)的基礎(chǔ)；其次蜜罐的檢測(cè)能力和病毒特征識(shí)別能力較強(qiáng)，能夠顯著降低系統(tǒng)檢測(cè)誤報(bào)率和漏報(bào)率；最后，蜜罐檢測(cè)技術(shù)的響應(yīng)速度更快，通常作為服務(wù)器系統(tǒng)安全預(yù)警的第一道閘門(mén)。蜜罐在企業(yè)數(shù)據(jù)庫(kù)服務(wù)器網(wǎng)絡(luò)中的位置并不固定，可以放在防火墻系統(tǒng)之前、DMZ 區(qū)之后或防火墻之后，也可以同時(shí)布置多個(gè)蜜罐，更好地提升數(shù)據(jù)庫(kù)服務(wù)網(wǎng)絡(luò)的安全性，圖1 是一種較為普遍的蜜罐網(wǎng)絡(luò)布置示意圖。

圖1 數(shù)據(jù)庫(kù)服務(wù)器網(wǎng)絡(luò)中蜜罐位置示意圖

蜜罐的價(jià)值在于被攻擊或被探測(cè)時(shí)記錄病毒或攻擊者的特征，因此信息捕獲技術(shù)是蜜罐的核心技術(shù)。信息捕獲技術(shù)要求蜜罐具有強(qiáng)大的信息捕獲功能和隱匿性，即在不被入侵者發(fā)現(xiàn)其行動(dòng)軌跡的前提下，盡可能捕獲更多的供給者信息。在企業(yè)數(shù)據(jù)庫(kù)服務(wù)系統(tǒng)中布置性能更加強(qiáng)大的高交互度蜜罐，分三個(gè)層次捕獲入侵?jǐn)?shù)據(jù)或病毒的特征。其中第一層數(shù)據(jù)配合防火墻完成，主要記錄與入侵病毒相關(guān)的日志信息；第二層由數(shù)據(jù)庫(kù)服務(wù)器系統(tǒng)的IDS 模塊完成，利用IDS 抓取進(jìn)入蜜罐的所有數(shù)據(jù)的網(wǎng)絡(luò)包，并將其存放于本地的病毒庫(kù)中做一一對(duì)比；第三層的數(shù)據(jù)檢測(cè)工作由蜜罐主機(jī)完成，檢測(cè)結(jié)果以加密后的方式存儲(chǔ)于本地服務(wù)中。當(dāng)服務(wù)器網(wǎng)絡(luò)中包含兩個(gè)或兩個(gè)以上的蜜罐時(shí)，在本地即可性能具有更強(qiáng)防御性能的密網(wǎng)。密網(wǎng)是一種具有高交互性、防御性的蜜罐網(wǎng)絡(luò)系統(tǒng)，基于密網(wǎng)可以獲得更廣泛攻擊信息，使系統(tǒng)服務(wù)器的防御性能升級(jí)；此外，基于蜜罐系統(tǒng)的數(shù)據(jù)庫(kù)服務(wù)器原本就具備較為完善的防火墻系統(tǒng)，因此密網(wǎng)形成后其防御功能會(huì)進(jìn)一步強(qiáng)大。

企業(yè)應(yīng)用型數(shù)據(jù)庫(kù)服務(wù)器密網(wǎng)的三大基礎(chǔ)性功能，包括數(shù)據(jù)控制功能、特征捕獲功能和數(shù)據(jù)采集功能。進(jìn)入蜜罐的惡意數(shù)據(jù)首先無(wú)法察覺(jué)到蜜罐的存在，也不能采取任何的反制措施，因?yàn)槊酃尥耆情_(kāi)放的，與其它的網(wǎng)絡(luò)服務(wù)器節(jié)點(diǎn)無(wú)明顯差別。蜜罐在識(shí)別到惡意數(shù)據(jù)之后并不會(huì)對(duì)病毒采取任何攻擊措施，只是提取惡意數(shù)據(jù)或病毒的基礎(chǔ)特征，并將這些特征傳遞給其它的蜜罐、系統(tǒng)防火墻系統(tǒng)和IDS 系統(tǒng)。由于并未對(duì)病毒做出攻擊，病毒會(huì)認(rèn)為自身沒(méi)有被識(shí)別出，只有一定數(shù)量的病毒和惡意數(shù)據(jù)到達(dá)防火墻或IDS系統(tǒng)后，數(shù)據(jù)庫(kù)服務(wù)器防御系統(tǒng)根據(jù)蜜罐提供的信息，將具有相同特征的入侵?jǐn)?shù)據(jù)一網(wǎng)打盡。由此可見(jiàn)，蜜罐和密網(wǎng)具有強(qiáng)大的控制性和穩(wěn)健性，更適合隱匿病毒的識(shí)別和處理。蜜罐和密網(wǎng)的數(shù)據(jù)捕獲功能是間接實(shí)現(xiàn)，其主要價(jià)值是在未發(fā)起攻擊的條件下，先識(shí)別出對(duì)象的特征，一方面可以多層次、多角度、全方位地掌握病毒的特征，另一方面還可以保證數(shù)據(jù)信息的準(zhǔn)確性，避免出現(xiàn)過(guò)高的誤判率。數(shù)據(jù)采集的目的在于形成一個(gè)應(yīng)對(duì)病毒變異完整病毒庫(kù)，當(dāng)惡意入侵的數(shù)據(jù)被識(shí)別出與系統(tǒng)服務(wù)器病毒庫(kù)中的樣本一致時(shí)，可以直接利用防火墻或IDS 系統(tǒng)處理，無(wú)需蜜罐和密網(wǎng)的介入。

2 基于蜜罐的企業(yè)應(yīng)用數(shù)據(jù)庫(kù)服務(wù)器安全防范設(shè)計(jì)

一個(gè)具有高交互度的蜜罐系統(tǒng)具體由數(shù)據(jù)控制模塊、數(shù)據(jù)捕獲模塊、日志模塊、特征提取模塊和報(bào)警模塊組成，這些模塊之間通過(guò)局域網(wǎng)連接，且與企業(yè)數(shù)據(jù)庫(kù)服務(wù)器連接，保證應(yīng)用數(shù)據(jù)庫(kù)服務(wù)器系統(tǒng)的安全性。其中，數(shù)據(jù)控制模塊是安全防范系統(tǒng)的核心模塊之一，其控制對(duì)象的進(jìn)入服務(wù)器的數(shù)據(jù)流，大部分病毒和惡意數(shù)據(jù)會(huì)隱匿于數(shù)據(jù)流當(dāng)中，數(shù)據(jù)庫(kù)服務(wù)器數(shù)據(jù)流的控制流程見(jiàn)圖2。

圖2 基于蜜罐的服務(wù)器數(shù)據(jù)流控制過(guò)程

蜜罐的布置具有隨機(jī)性，且蜜罐從外部看僅是一個(gè)普通的數(shù)據(jù)庫(kù)節(jié)點(diǎn)不易被識(shí)別。為了完整記錄入侵?jǐn)?shù)據(jù)或病毒的特征，蜜罐的訪問(wèn)設(shè)置是開(kāi)放性的。數(shù)據(jù)控制模塊根據(jù)系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器的承載能力，對(duì)數(shù)據(jù)流的閾值范圍作出限定和抑制，其中攻擊包的特征識(shí)別有系統(tǒng)檢測(cè)系統(tǒng)完成，并根據(jù)病毒和入侵?jǐn)?shù)據(jù)的特征，給出適合的標(biāo)簽。

數(shù)據(jù)捕獲模塊采用三層次的結(jié)構(gòu)設(shè)計(jì)，第一層由蜜罐和密網(wǎng)標(biāo)定惡意數(shù)據(jù)或病毒特征，并將相關(guān)的信息傳遞給防火墻和IDS系統(tǒng)；由于蜜罐和密網(wǎng)并不具備數(shù)據(jù)捕獲功能，數(shù)據(jù)的處理有防火墻和IDS 系統(tǒng)完成；第二層的惡意數(shù)據(jù)捕獲任務(wù)由服務(wù)器的防火墻系統(tǒng)完成，根據(jù)蜜罐和密網(wǎng)的信息記錄主動(dòng)攔截進(jìn)入服務(wù)器系統(tǒng)的病毒或惡意數(shù)據(jù)；第三層系統(tǒng)會(huì)選擇主動(dòng)檢測(cè)或主動(dòng)出擊的方式清除進(jìn)入服務(wù)器的病毒或惡意數(shù)據(jù)，數(shù)據(jù)捕獲的總體流程見(jiàn)圖3。

圖3 惡意入侵?jǐn)?shù)據(jù)捕獲的總體流程

日志模塊主要負(fù)責(zé)記錄兩類(lèi)數(shù)據(jù)，一類(lèi)是數(shù)據(jù)庫(kù)服務(wù)器在網(wǎng)絡(luò)連接時(shí)產(chǎn)生的各種主要參數(shù)，包括IP 地址、端口、時(shí)間戳等關(guān)鍵參數(shù)，這些與數(shù)據(jù)相關(guān)的參數(shù)可以基于對(duì)入侵?jǐn)?shù)據(jù)包的分析獲得；另一類(lèi)數(shù)據(jù)為原始入侵?jǐn)?shù)據(jù)本身，即一些內(nèi)嵌于數(shù)據(jù)包的病毒特征碼和惡意數(shù)據(jù)，這些病毒和惡意數(shù)據(jù)構(gòu)成了對(duì)系統(tǒng)服務(wù)器的真正威脅。如果能夠完全提取到病毒、惡意數(shù)據(jù)的特征碼及與特征碼對(duì)應(yīng)相關(guān)參數(shù)，就可以較為容易的提高對(duì)惡意數(shù)據(jù)和病毒的識(shí)別率，進(jìn)而改善網(wǎng)絡(luò)防御功能，保證數(shù)據(jù)庫(kù)服務(wù)器的安全。攜帶病毒的數(shù)據(jù)或具備惡意攻擊能力的數(shù)據(jù)會(huì)篡改系統(tǒng)數(shù)據(jù)及相關(guān)的設(shè)置，而日志模塊的功能就是將整個(gè)攻擊過(guò)程及篡改前后的差異記錄下來(lái)，并將篡改后的信息及時(shí)傳遞給防火墻及IDS 系統(tǒng)。惡意攻擊數(shù)據(jù)和病毒特征的提取過(guò)程本質(zhì)上是一種數(shù)據(jù)包的抓取過(guò)程，通過(guò)字符串比對(duì)、拓展名比對(duì)等方式識(shí)別出存在異常或存在潛在風(fēng)險(xiǎn)的數(shù)據(jù)。在特征提取過(guò)程中數(shù)據(jù)包的大小、字符串長(zhǎng)度等因素會(huì)影響到特征提取性能和效果，當(dāng)可疑數(shù)據(jù)的規(guī)模較小時(shí)，可以選擇基于單模式字符串匹配的BM 算法，提高特征提取的效率；當(dāng)數(shù)據(jù)集的規(guī)模較大時(shí)，可選用Wu-Manber 算法兼顧算法效率、特征提取能力和穩(wěn)定性。

基于蜜罐的企業(yè)數(shù)據(jù)庫(kù)安全防御系統(tǒng)自帶報(bào)警功能，當(dāng)發(fā)生數(shù)據(jù)入侵時(shí)蜜罐會(huì)對(duì)進(jìn)入系統(tǒng)的數(shù)據(jù)進(jìn)行檢測(cè)和比對(duì)，如果存在異常會(huì)向系統(tǒng)預(yù)警同時(shí)通過(guò)網(wǎng)絡(luò)將惡意數(shù)據(jù)的代碼傳遞給其它蜜罐、防火墻和IDS 系統(tǒng)。預(yù)警模塊的監(jiān)控方式有自動(dòng)監(jiān)控和手動(dòng)監(jiān)控兩種，為了確保數(shù)據(jù)監(jiān)控和病毒檢測(cè)的過(guò)程更加可靠，必要時(shí)可以進(jìn)行人工干預(yù)鑒別入侵?jǐn)?shù)據(jù)的危害性。

3 結(jié)論與建議

當(dāng)前，在互聯(lián)網(wǎng)、計(jì)算機(jī)科學(xué)技術(shù)和信息產(chǎn)業(yè)技術(shù)的推動(dòng)下，數(shù)據(jù)資源已經(jīng)成為了企業(yè)擁有和控制的最重要資源之一，甚至對(duì)行業(yè)數(shù)據(jù)、市場(chǎng)數(shù)據(jù)的合理分析和利用，能夠幫助企業(yè)占領(lǐng)市場(chǎng)，獲得經(jīng)營(yíng)上的成功。大多數(shù)注重?cái)?shù)據(jù)資源利用的企業(yè)都會(huì)建立一套完整的應(yīng)用型數(shù)據(jù)庫(kù)管理系統(tǒng)，但在開(kāi)放的網(wǎng)絡(luò)環(huán)境下，企業(yè)數(shù)據(jù)庫(kù)服務(wù)器直接與外部網(wǎng)絡(luò)相連，存在被惡意攻擊的風(fēng)險(xiǎn)。為進(jìn)一步提升傳統(tǒng)防火墻系統(tǒng)及IDS 防御系統(tǒng)的功能，本文通過(guò)在局域網(wǎng)布置蜜罐的方式，檢測(cè)進(jìn)入系數(shù)的數(shù)據(jù)是否為惡意數(shù)據(jù)和病毒。蜜罐防御具有良好的隱匿性，在多個(gè)位置布置蜜罐形成密網(wǎng)，數(shù)據(jù)庫(kù)防御系統(tǒng)的安全等級(jí)會(huì)得到進(jìn)一步提高。

由于蜜罐主要采用誘捕的方式提取惡意數(shù)據(jù)和病毒的特征，因此蜜罐系統(tǒng)的甜度一直是領(lǐng)域內(nèi)的研究熱點(diǎn)之一，在合理的成本控制范圍內(nèi)增加蜜罐系統(tǒng)甜度，是后續(xù)研究工作的重點(diǎn)方向之一。此外，考慮到蜜罐和密網(wǎng)本身不具備對(duì)惡意數(shù)據(jù)和病毒主動(dòng)攻擊功能，在利用蜜罐和密網(wǎng)進(jìn)行防御的同時(shí)，還要提高企業(yè)數(shù)據(jù)庫(kù)服務(wù)器自身防御能力，提高本地防火墻的防御功能及IDS 防御系統(tǒng)的綜合性能。數(shù)據(jù)庫(kù)服務(wù)器安全防御系統(tǒng)性能的提升，依賴(lài)以大量軟硬件資源和人力資源的投入，因此企業(yè)應(yīng)針對(duì)服務(wù)器網(wǎng)絡(luò)防御的具體要求，加大對(duì)企業(yè)數(shù)據(jù)庫(kù)服務(wù)管理活動(dòng)的人力、物力投入，持續(xù)保障系統(tǒng)的安全。