數(shù)據(jù)庫安全審計檢測系統(tǒng)的設(shè)計與實現(xiàn).pdf

1、數(shù)據(jù)庫作為信息系統(tǒng)的核心資產(chǎn)已成為入侵者主要的攻擊目標(biāo)。目前廣泛應(yīng)用的數(shù)據(jù)庫安全機(jī)制主要是從預(yù)防的角度應(yīng)對非安全事件，它們?nèi)狈Ψ前踩录l(fā)生后的應(yīng)對能力。一旦發(fā)生安全問題，快速識別發(fā)現(xiàn)非法行為、事后取證和分析安全事故就十分重要。因此關(guān)注數(shù)據(jù)庫安全審計與安全檢測有著重要的現(xiàn)實意義。
　　論文剖析了數(shù)據(jù)庫安全審計機(jī)制和安全檢測技術(shù)，認(rèn)為數(shù)據(jù)庫安全審計與安全檢測在功能和目標(biāo)上相互支撐、相互利用。在此基礎(chǔ)上，本文從審計獨(dú)立的角度，針對Or

2、acle數(shù)據(jù)庫設(shè)計和實現(xiàn)了一種數(shù)據(jù)庫安全審計檢測系統(tǒng)。
　　數(shù)據(jù)庫安全審計采用旁路監(jiān)聽的數(shù)據(jù)采集方式，實現(xiàn)了審計的獨(dú)立性。其中的核心技術(shù)包括Java網(wǎng)絡(luò)數(shù)據(jù)包捕獲與過濾、網(wǎng)絡(luò)協(xié)議解析、數(shù)據(jù)庫通信協(xié)議解析、SQL語句解析。數(shù)據(jù)庫安全檢測采用基于用戶行為規(guī)則的安全檢測和基于SQL語句結(jié)構(gòu)的安全檢測相結(jié)合的方式。基于用戶行為規(guī)則的安全檢測是在建立數(shù)據(jù)庫用戶行為模型的基礎(chǔ)上生成用戶行為規(guī)則，通過用戶操作行為與規(guī)則的匹配來實現(xiàn)異常檢測。生成

3、用戶行為規(guī)則采用關(guān)聯(lián)分析的方法，并考慮了規(guī)則訓(xùn)練集內(nèi)容安全性的不同?；赟QL語句結(jié)構(gòu)的安全檢測是在分析SQL語法結(jié)構(gòu)的基礎(chǔ)上實現(xiàn)的，它彌補(bǔ)了基于用戶行為規(guī)則的安全檢測檢測顆粒度低的缺點(diǎn)。
　　論文的主要工作如下:
　　(1)解析了Oracle11g數(shù)據(jù)庫的非公開TNS協(xié)議（314版本），實現(xiàn)了準(zhǔn)確高效的從TNS數(shù)據(jù)包中提取數(shù)據(jù)庫用戶操作信息。
　　(2)提出了一種數(shù)據(jù)庫用戶行為模型。不僅能識別SQL語句的操作類型與操

4、作目標(biāo)，同時也能提取操作條件或嵌套語句中的操作類型與操作目標(biāo)，能較全面的描述數(shù)據(jù)庫用戶的操作行為，且具有描述精度的擴(kuò)展能力。
　　(3)在關(guān)聯(lián)分析的基礎(chǔ)上設(shè)計了一種用戶正常行為規(guī)則生成算法，并考慮了訓(xùn)練集內(nèi)容的安全性。分析對比了幾種典型的相關(guān)性度量標(biāo)準(zhǔn)，選用了一種適用于數(shù)據(jù)庫用戶行為數(shù)據(jù)特性的相關(guān)性度量標(biāo)準(zhǔn)生成用戶行為規(guī)則。
　　(4)設(shè)計了基于用戶行為規(guī)則和基于SQL語句結(jié)構(gòu)相結(jié)合的安全檢測方法，提高了用戶行為檢測的廣度和