【畢業(yè)學(xué)位論文】（Word原稿）入侵容忍數(shù)據(jù)庫的多階段破壞控制模型-計(jì)算機(jī)應(yīng)用技術(shù)

分類號(hào)： 單位代碼： 10422 密 級(jí)： 學(xué) 號(hào)： 200312321 碩 士 學(xué) 位 論 文 論文題目 : 入侵容忍數(shù)據(jù)庫的多階段破壞控制模型 作 者 姓 名 李文才 專 業(yè) 計(jì)算機(jī)應(yīng)用技術(shù) 指導(dǎo)教師姓名 專業(yè)技術(shù)職務(wù) 孟麗榮 教授 2006 年 4 月 5 日 原創(chuàng)性聲明和關(guān)于論文使用授權(quán)的說明 原 創(chuàng) 性 聲 明 本 人鄭重聲明：所呈交的學(xué)位論文，是本人在導(dǎo)師的指導(dǎo)下，獨(dú)立進(jìn)行研究所取得的成果。除文中已經(jīng)注明引用的內(nèi)容外，本論文不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫過的科研成果。對本文的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式標(biāo)明。本聲明的法律責(zé)任由本人承擔(dān)。 論文作者簽名： 日 期： 關(guān)于學(xué)位論文使用授權(quán)的聲明 本人完全了解山東大學(xué)有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留或向國家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱；本人授權(quán)山 東大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索，可以采用影印、縮印或其他復(fù)制手段保存論文和匯編本學(xué)位論文。 (保密論文在解密后應(yīng)遵守此規(guī)定 ) 論文作者簽名： 導(dǎo)師簽名： 日 期： 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 i 目 錄 摘 要 . I . 1 章 緒論 . 1 題提出的背景 . 1 要研究內(nèi)容和特色 . 1 第 2 章 數(shù)據(jù)庫入侵容忍技術(shù)概述 . 3 侵容忍技術(shù)的引入 . 3 侵容忍的理論基礎(chǔ) . 4 統(tǒng)故障模型 . 4 侵容忍目標(biāo)和實(shí)現(xiàn)機(jī)制 . 6 侵容忍安全策略 . 7 用的入侵容忍技術(shù) . 8 級(jí)入侵容忍數(shù)據(jù)庫的模型 . 10 第 3 章 多階段破壞控制技術(shù) . 13 念解釋 . 13 階段破壞控制結(jié)構(gòu)模型 . 15 階段破壞控制的各個(gè)階段 . 16 第 4 章 單個(gè)惡意事務(wù)的控制 . 錯(cuò)誤 !未定義書簽。 據(jù)結(jié)構(gòu) . 錯(cuò)誤 !未定義書簽。 于時(shí)間戳的控制 . 錯(cuò)誤 !未定義書簽。 理破壞擴(kuò)散 . 錯(cuò)誤 !未定義書簽。 用事務(wù)輪廓 . 錯(cuò)誤 !未定義書簽。 狀態(tài)的破壞控制 . 錯(cuò)誤 !未定義書簽。 章小結(jié) . 錯(cuò)誤 !未定義書簽。 第 5 章 多個(gè)惡意事務(wù)的控制 . 錯(cuò)誤 !未定義書簽。 要解決的問題 . 錯(cuò)誤 !未定義書簽。 念解釋 . 錯(cuò)誤 !未定義書簽。 個(gè)惡意事務(wù)的控制 . 錯(cuò)誤 !未定義書簽。 交時(shí)間在受控子歷史記錄之前 . 錯(cuò)誤 !未定義書簽。 交時(shí)間在受控子歷史記錄之后 . 錯(cuò)誤 !未定義書簽。 交時(shí)間在受控子歷史記錄之中 . 錯(cuò)誤 !未定義書簽。 制一個(gè)簇集 . 錯(cuò)誤 !未定義書簽。 第 6 章 多階段破壞控制原型系統(tǒng) . 錯(cuò)誤 !未定義書簽。 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 7 章 結(jié)束語 . 18 參考資料 . 20 致謝 . 24 攻讀學(xué)位期間發(fā)表的主要學(xué) 術(shù)論文 . 51 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 I 摘 要 數(shù)據(jù)庫安全涉及到數(shù)據(jù)庫中數(shù)據(jù)的機(jī)密性、完整性、可用性。目前，大部分研究集中在如何保護(hù)數(shù)據(jù)庫免受損害，很少有研究數(shù)據(jù)庫在面臨著一些成功的攻擊時(shí)，如何提高自身的容忍能力。成功的攻擊往往意味著對數(shù)據(jù)庫系統(tǒng)的破壞，而破壞可以通過彼此讀寫而擴(kuò)散。嚴(yán)重的破壞擴(kuò)散會(huì)導(dǎo)致系統(tǒng)的不可用，因此，需要進(jìn)行破壞控制，避免破壞擴(kuò)散。目前，入侵容忍破壞控制技術(shù)多為單階段破壞控制，受破壞對象直到修復(fù)管理器定位到它才受到控制，存在 著延遲及破壞擴(kuò)散。數(shù)據(jù)庫系統(tǒng)完整性、可用性受到很大破壞。 針對這個(gè)問題，本文提出了 多階段破壞控制技術(shù)。當(dāng)入侵檢測器確定某一事務(wù)為惡意事務(wù)時(shí)，立即停止執(zhí)行新的事務(wù)，并且立即控制從惡意事務(wù)的開始時(shí)間到惡意事務(wù)被檢測出來的時(shí)間這個(gè)時(shí)間段內(nèi)所有可能遭到破壞的對象，避免破壞擴(kuò)散。然后在后續(xù)過程中，分多個(gè)階段分析數(shù)據(jù)對象是否真正受到破壞。對那些沒有受到破壞的對象立即解除控制。對受到破壞的對象修復(fù)到未被破壞前的最新版本，然后解除控制。多階段破壞控制技術(shù)不再等到修復(fù)管理器定位到破壞再實(shí)行控制，避免了延遲，有效地解決了破壞擴(kuò) 散，保證了數(shù)據(jù)庫系統(tǒng)完整性、可用性。 本文首先討論了入侵容忍的理論基礎(chǔ)，及常用的入侵容忍技術(shù)，分析了多級(jí)入侵容忍數(shù)據(jù)庫模型，并介紹了入侵容忍數(shù)據(jù)庫系統(tǒng)的破壞控制技術(shù)現(xiàn)狀。然后，提出了多階段破壞控制技術(shù)方案。方案包括對單個(gè)，兩個(gè)及多個(gè)惡意事務(wù)的破壞控制。首先，方案給出了控制單個(gè)惡意事務(wù)時(shí)，用到的數(shù)據(jù)結(jié)構(gòu)及基于時(shí)間戳控制單個(gè)惡意事務(wù)方案，處理了可能出現(xiàn)的破壞擴(kuò)散，使用事務(wù)輪廓提高了多階段破壞控制的效率，以及利用已完成的掃描進(jìn)行有狀態(tài)破壞控制。然后，給出了控制兩個(gè)惡意事務(wù)的方案。方案將控制兩個(gè)惡意事務(wù)分為三種情況 ，分別寫出了嚴(yán)謹(jǐn)?shù)乃惴?。然后，給出了多個(gè)惡意事務(wù)的控制方案，提出了模型，并寫出了算法。最后，針對多階段破壞控制模型給出了其原型系統(tǒng)，并對其可行性進(jìn)行了分析。 本模型有效地拒絕了破壞擴(kuò)散，對用戶透明，執(zhí)行破壞評(píng)估和恢復(fù)時(shí)不需要停止正常的事務(wù)處理。模型基于時(shí)間戳設(shè)計(jì)，可以方便地應(yīng)用到任何 統(tǒng)。在解除控制階段，充分利用已有分析，避免重復(fù)分析，提高了效率。模型可山 東 大 學(xué) 碩 士 學(xué) 位 論 文 對多個(gè)惡意事務(wù)同時(shí)進(jìn)行處理，因而具有很高可用性。 關(guān)鍵詞 數(shù)據(jù)庫安全；入侵容忍；多階段破壞控制； 破壞擴(kuò)散 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 of in a a of to of a on to of a to by of a it is to is a is it is as a be To we It a be is is to is s In we s in we s In to we s to a We we to we to at We we of At we of 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 It is to It of so it as In we of It 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 1 第 1 章 緒論 課題提出的背景 隨著數(shù)據(jù)庫的廣泛應(yīng)用，企業(yè)和 人們的日常生活對數(shù)據(jù)庫依賴性越來越大，數(shù)據(jù)庫的安全越來越得到人們的關(guān)注。但數(shù)據(jù)庫安全事件時(shí)常發(fā)生，給受害企業(yè)和個(gè)人造成了極大的損失。特別是計(jì)算機(jī)網(wǎng)絡(luò)的日益普及，非法入侵越來越多，如何保證數(shù)據(jù)庫的安全成了目前的研究熱點(diǎn) 1。一般的研究強(qiáng)調(diào)將攻擊者拒之門外，通過加密和嚴(yán)格的存取控制保護(hù)信息的保密和完整 2。很少有研究數(shù)據(jù)庫在面臨一些成功的攻擊時(shí)，如何保持?jǐn)?shù)據(jù)庫的完整性和可用性。而有時(shí)一些成功的攻擊是不可避免的。這些成功的攻擊可能 導(dǎo)致數(shù)據(jù)庫系統(tǒng)不能正常 工作 ，造成大量數(shù)據(jù)信息 被破壞 ，甚至使數(shù)據(jù)庫系統(tǒng)崩潰。 像信 用卡支付、銀行、飛機(jī)交通控制、后勤管理、在線期貨交易等大量用到數(shù)據(jù)的系統(tǒng)中，正在面臨著一些成功的攻擊。這些對商用數(shù)據(jù)庫系統(tǒng)的攻擊越來越變成我國經(jīng)濟(jì)的威脅。這就需要建立具有抵抗力（彈性）的數(shù)據(jù)庫系統(tǒng)。入侵容忍數(shù)據(jù)庫系統(tǒng)是一個(gè)很好的選擇。但是，目前入侵容忍數(shù)據(jù)庫系統(tǒng)多為單階段破壞控制系統(tǒng)。數(shù)據(jù)對象直到破壞評(píng)估器定位到破壞才受到控制，這會(huì)造成檢測延遲、評(píng)估延遲、恢復(fù)延遲，以至于導(dǎo)致嚴(yán)重的破壞擴(kuò)散，使數(shù)據(jù)庫變得不可用。為此，本文提出了多階段破壞控制的入侵容忍數(shù)據(jù)庫系統(tǒng)。當(dāng)檢測出惡意事務(wù)時(shí)，立即控制所有可能受到破壞的 對象，解決了延遲，避免了破壞擴(kuò)散，然后判斷受控對象是否真正受到破壞。對于沒有受到破壞的對象直接解除控制。對受到惡意事務(wù)破壞的對象進(jìn)行修復(fù)，然后解除控制。多階段破壞控制很好地克服了單階段破壞控制的缺點(diǎn)，不會(huì)引起破壞擴(kuò)散，實(shí)現(xiàn)了入侵容忍，能夠很好地保證數(shù)據(jù)庫系統(tǒng)的可用性。 要研究內(nèi)容和特色 1. 論文研究的主要內(nèi)容 針對目前 入侵容忍數(shù)據(jù)庫系統(tǒng)的單階段破壞控制技術(shù) ， 提出了多階段破壞控山 東 大 學(xué) 碩 士 學(xué) 位 論 文 2 制技術(shù)模型。給出了控制單個(gè)惡意事務(wù)時(shí)用到的數(shù)據(jù)結(jié)構(gòu)，如何基于時(shí)間戳控制單個(gè)惡意事務(wù)，如何處理破壞擴(kuò)散，如何使用事務(wù)輪廓提高 多階段破壞控制的效率，以及如何利用已經(jīng)完成的掃描進(jìn)行有狀態(tài)的破壞控制，分別給出了算法。然后，根據(jù)控制多個(gè)惡意事務(wù)需要解決的問題，給出了控制兩個(gè)惡意事務(wù)的方案。控制兩個(gè)惡意事務(wù)可能出現(xiàn)三種情況：新檢測出的惡意事務(wù)的提交時(shí)間在舊的惡意事務(wù)111對三種情況可能出現(xiàn)的問題進(jìn)行了分析后，分別給 出嚴(yán)謹(jǐn)?shù)乃惴?。算法充分利用了前一個(gè)惡意事務(wù)的掃描結(jié)果，在保證沒有破壞擴(kuò)散的基礎(chǔ)上，避免了重復(fù)分析，提高了效率。然后，給出了控制多個(gè)惡意事務(wù)方案，將多個(gè)惡意事務(wù)劃分簇集的形式，提出了模型，并給出了算法。最后，針對多階段破壞控制模型給出了其原型系統(tǒng)，并對系統(tǒng)可行性進(jìn)行了分析。 2. 研究的主要特色： （ 1）本文提出了多階段破壞控制模型，模型具有既不存在破壞擴(kuò)散，又不會(huì)出現(xiàn)重復(fù)分析的特點(diǎn)，因此，既保證了數(shù)據(jù)庫系統(tǒng)正確性又保證了效率。 （ 2）模型從單個(gè)惡意事務(wù)到多個(gè)惡意事務(wù)，分別給出了詳細(xì)的算法，涵蓋了多階段破壞控 制的各種情況，算法嚴(yán)謹(jǐn)清晰。 （ 3）算法設(shè)計(jì)過程中，充分考慮已分析過的記錄，避免了重復(fù)分析，提高了效率。 （ 4）模型基于時(shí)間戳設(shè)計(jì)，只需要為每一張表添加一個(gè)時(shí)間戳域，不需要對數(shù)據(jù)庫做任何其他的修改，可以應(yīng)用到任何 （ 5）模型設(shè)計(jì)對用戶透明，用戶不需要知道系統(tǒng)的復(fù)雜性。 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 3 第 2 章 數(shù)據(jù)庫入侵容忍技術(shù)概述 隨著來自網(wǎng)絡(luò)的越來越多的攻擊，如何增強(qiáng)現(xiàn)有商用數(shù)據(jù)庫系統(tǒng)的安全，使其針對攻擊具有自動(dòng)地恢復(fù)能力，或稱彈性，成為現(xiàn)在的一個(gè)熱門課題。入侵容忍技術(shù)就是針對這一問題提出的。 侵容忍技 術(shù)的引入 計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展使數(shù)據(jù)庫面臨越來越多的攻擊， 增強(qiáng) 抵御入侵和破壞 能力的技術(shù) 成為目前研究的熱點(diǎn)。 在復(fù)雜網(wǎng)絡(luò)環(huán)境下，特別是在 絡(luò)中，嚴(yán)格區(qū)分合法用戶和假冒的合法用戶變得困難。一個(gè)復(fù)雜的應(yīng)用往往包括許多合法的用戶，很難保證所有用戶都遵守安全管理的規(guī)定。有些用戶無意中泄露了自己的身份 ;有的可能主動(dòng)請別人代替自己進(jìn)行一些工作 ;有的薄弱環(huán)節(jié)可能被攻破，導(dǎo)致一些認(rèn)證信息泄露等。所有這些，都使得系統(tǒng)辨認(rèn)一個(gè)真正的合法用戶變得困難。內(nèi)部人員的攻擊也成為復(fù)雜環(huán)境下系統(tǒng)安全必須考慮的問題。出于種種目的， 內(nèi)部用戶可能利用合法渠道對系統(tǒng)實(shí)施攻擊。利用現(xiàn)有的防攻擊手段很難抵制這種攻擊。另外，數(shù)據(jù)庫系統(tǒng)往往存在一些安全漏洞，攻擊者有時(shí)利用安全漏洞進(jìn)行攻擊，不僅威脅數(shù)據(jù)庫的安全，也威脅到操作系統(tǒng)和其他可信任的系統(tǒng)。有些數(shù)據(jù)庫系統(tǒng)提供的機(jī)制威脅著網(wǎng)絡(luò)安全低層。比如，某公司的數(shù)據(jù)庫里面保存著所有的技術(shù)文檔、手冊和白皮書。即使運(yùn)行在一個(gè)非常安全的操作系統(tǒng)上，入侵者也可能通過數(shù)據(jù)庫獲得操作系統(tǒng)權(quán)限，只需要執(zhí)行一些內(nèi)置在數(shù)據(jù)庫中的擴(kuò)展存儲(chǔ)過程即可。這些數(shù)據(jù)庫服務(wù)器還同其他服務(wù)器存在信任關(guān)系，入侵者就能夠?qū)φ麄€(gè)域機(jī)器的安全產(chǎn)生 嚴(yán)重威脅。 入侵容忍技術(shù)在這個(gè)背景下產(chǎn)生了，其目標(biāo)是當(dāng)一個(gè)系統(tǒng)遭受非法入侵后，其中的防護(hù)安全技術(shù)都失效或者不能完全排除入侵所造成的影響時(shí)，即使系統(tǒng)的某些組件遭受一些成功攻擊者的破壞時(shí)，入侵容忍系統(tǒng)仍能及時(shí)自我診斷、恢復(fù)和重構(gòu)，并能為合法用戶提供所需的全部或者降級(jí)的服務(wù) 3。 一個(gè)入侵容忍系統(tǒng) 這樣的信息系統(tǒng)，它能夠在面對攻擊的情況下，仍然連續(xù)地為預(yù)期的用戶提供及時(shí)的服務(wù)。入侵容忍系統(tǒng)能夠抵抗一些用攻擊避免山 東 大 學(xué) 碩 士 學(xué) 位 論 文 4 和預(yù)防手段無法檢測的信息攻擊 。 這些攻擊可能透過外層防御，即用攻擊避免和預(yù)防手段設(shè)置的防御，如防火 墻系統(tǒng)，認(rèn)證和加密系統(tǒng)等 ， 系統(tǒng)將采取一些必要的措施保證關(guān)鍵應(yīng)用的功能連續(xù)正確。這些措施包括從限制懷疑的代碼和數(shù)據(jù)到重新配置硬件和軟件資源等 。 一般而言，容忍系統(tǒng)包括兩個(gè)方面：一是容忍技術(shù)，這是目前商用系統(tǒng)所缺乏的功能。容忍技術(shù)可以讓系統(tǒng)對入侵和攻擊具有可復(fù)原性能（彈性），這些技術(shù)包括資源重新分配，系統(tǒng)冗余等；二是容忍機(jī)制的觸發(fā)器，入侵檢測系統(tǒng)可以成為一個(gè)這樣的觸發(fā)器。但即使目前最頂級(jí)的入侵檢測系統(tǒng)，也具有太高的誤警率和太低的入侵識(shí)別范圍 4。理論上，觸發(fā)器應(yīng)該具有很高的覆蓋范圍和零誤警率。很高的覆蓋范圍是指 對任何攻擊和入侵導(dǎo)致的錯(cuò)誤都能檢測出來，同時(shí)，錯(cuò)誤在系統(tǒng)傳播之前就應(yīng)該檢測到。例如，如果容忍生存系統(tǒng)結(jié)構(gòu)依賴于單元的冗余備份，就必須在所有備份單元崩潰之前發(fā)現(xiàn)攻擊入侵錯(cuò)誤 ， 在錯(cuò)誤影響到容忍機(jī)制之前檢測到錯(cuò)誤也是很重要的。 數(shù)據(jù)庫入侵容忍技術(shù)為解決這一問題提供了很好的方案。數(shù)據(jù)庫入侵容忍技術(shù)是一種新的安全技術(shù)，其核心思想是用硬件或軟件容錯(cuò)技術(shù)屏蔽任何入侵或者攻擊對系統(tǒng)功能的影響，從而使數(shù)據(jù)庫系統(tǒng)具有彈性，在系統(tǒng)遭受一定限度的攻擊后，仍然能為合法用戶提供不間斷的正常服務(wù)。 侵容忍的理論基礎(chǔ) 統(tǒng)故障模型 在面臨攻擊的情況下，一個(gè)系統(tǒng)或系統(tǒng)組件被成功入侵的原因主要有兩個(gè)：(1)安全漏洞，本質(zhì)上是需求、規(guī)范、設(shè)計(jì)或配置方面存在的缺陷，如不安全的口令、使得堆棧溢出的編碼故障等，安全漏洞是系統(tǒng)被入侵的內(nèi)部原因； (2)攻擊者的攻擊，這是系統(tǒng)被入侵的外部原因，是攻擊者針對安全漏洞的惡意操作，如端口掃描、 擊等方法 5。攻擊者對系統(tǒng)或系統(tǒng)組件的一次成功入侵，能夠使系統(tǒng)狀態(tài)產(chǎn)生錯(cuò)誤 (進(jìn)而會(huì)引起系統(tǒng)的失效 (為了把傳統(tǒng)容錯(cuò)技術(shù)用到入侵容忍上面來，可把任何攻擊者的攻擊、入侵 和系統(tǒng)組件的安全漏洞抽象成故障系統(tǒng)故障 (一個(gè)系統(tǒng)從面臨攻擊到系統(tǒng)失效的過程中，通常會(huì)出現(xiàn)以下事件序列：故障 (錯(cuò)誤 (失效 (為了推理用于建立阻止山 東 大 學(xué) 碩 士 學(xué) 位 論 文 5 和容忍入侵的機(jī)制，有必要對系統(tǒng)故障進(jìn)行建模。在實(shí)踐中，常用的故障模型是合故障模型 (見圖2 設(shè) 計(jì) 者 /操 作 者攻 擊 者攻 擊（ 故 障 ）安 全 漏 洞（ 故 障 ）入 侵（ 故 障 ）錯(cuò) 誤 失 效圖 2統(tǒng)故障模型 由圖 2見，故障 是引起系統(tǒng)產(chǎn)生錯(cuò)誤的原因，錯(cuò)誤是故障在系統(tǒng)狀態(tài)方面的表現(xiàn)，而失效是一個(gè)錯(cuò)誤在系統(tǒng)為用戶提供服務(wù)時(shí)的表現(xiàn)，即系統(tǒng)不能為用戶提供預(yù)期的服務(wù)。為了實(shí)現(xiàn)入侵容忍，防止系統(tǒng)失效，可以對事件鏈的各個(gè)環(huán)節(jié)進(jìn)行阻斷，見圖 2 設(shè) 計(jì) 者 /操 作 者攻 擊 者攻 擊（ 故 障 ）安 全 漏 洞（ 故 障 ）入 侵（ 故 障 ）錯(cuò) 誤 失 效防 止攻 擊防 止漏 洞防 止入 侵排 除漏 洞入 侵容 忍圖 2止系統(tǒng)失效的 統(tǒng)故障模型 由圖 2見，綜合應(yīng)用多種安全技術(shù)可以防止系統(tǒng)失效，這些安全技術(shù)包括： (1)防止攻擊：包括信息過濾、禁止 可能含有惡意的腳本、對入侵進(jìn)行預(yù)測等技術(shù)； (2)防止漏洞：包括完善的軟件開發(fā) 、預(yù)防配置和操作中的故障； (3)排除漏洞：針對程序堆棧溢出的編碼錯(cuò)誤、弱口令、未加保護(hù)的 用漏洞排除方法，從數(shù)量和嚴(yán)重程度上減少安全漏洞的存在，然而要完全排除系統(tǒng)安全漏洞并不現(xiàn)實(shí)。 (4)防止入侵：針對已知形式的攻擊，采取防火墻、入侵檢測系統(tǒng)、認(rèn)證和加密等手段，可以對這些攻擊進(jìn)行預(yù)防和阻止；(5)入侵容忍：作為阻止系統(tǒng)失效發(fā)生的最后一道防線，入侵容忍意味著能檢測到入侵引起的系統(tǒng)錯(cuò)誤，并采用相應(yīng)機(jī)制進(jìn)行錯(cuò)誤處理。 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 6 侵容忍目標(biāo)和實(shí)現(xiàn)機(jī)制 入侵容忍技術(shù)從本質(zhì)上講是一種使系統(tǒng)保持 可生存性 (技術(shù)。根據(jù)安全需求，一個(gè)入侵容忍系統(tǒng)應(yīng)達(dá)到以下目標(biāo)： (1)能夠阻止和預(yù)防攻擊的發(fā)生； (2)能夠檢測攻擊和評(píng)估攻擊造成的破壞： (3)在遭受到攻擊后，能夠維護(hù)和恢復(fù)關(guān)鍵數(shù)據(jù)、關(guān)鍵服務(wù)或完全服務(wù)。入侵容忍系統(tǒng)目標(biāo)的實(shí)現(xiàn)，需要一定的安全機(jī)制來保證，主要有以下機(jī)制： 安全通信機(jī)制 在網(wǎng)絡(luò)環(huán)境里，為了保證通信者之間安全可靠的通信，預(yù)防和阻止攻擊者竊聽、偽裝和拒絕服務(wù)等攻擊，安全通信機(jī)制是必需的。入侵容忍的安全通信機(jī)制通常采用加密、認(rèn)證、消息過濾和經(jīng)典的容錯(cuò)通信等技術(shù)。 入侵檢測 機(jī)制 入侵檢測通過監(jiān)控并分析計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)上發(fā)生的事件，對可能發(fā)生的攻擊、入侵和系統(tǒng)存在的安全漏洞進(jìn)行檢測和響應(yīng)。入侵檢測通過和漏洞分析、攻擊預(yù)報(bào)技術(shù)結(jié)合，能預(yù)測錯(cuò)誤的發(fā)生、找出造成攻擊或帶來安全漏洞的原因。入侵檢測也可結(jié)合審計(jì)機(jī)制，記錄系統(tǒng)的行為和安全事件，對產(chǎn)生的安全問題及原因進(jìn)行后驗(yàn)分析。 入侵遏制機(jī)制 通過資源冗余和設(shè)計(jì)的多樣性增加攻擊者入侵的難度和成本，還可通過安全分隔、結(jié)構(gòu)重配等措施來隔離己遭破壞的組件，限制入侵，阻止入侵的進(jìn)一步擴(kuò)散。 錯(cuò)誤處理機(jī)制 錯(cuò)誤處理旨在阻止產(chǎn)生災(zāi)難性失效，具體 包括錯(cuò)誤檢測和錯(cuò)誤恢復(fù)。錯(cuò)誤檢測包括完整性檢測和日志審計(jì)等。錯(cuò)誤檢測的目的在于：限制錯(cuò)誤的進(jìn)一步傳播；觸發(fā)錯(cuò)誤恢復(fù)機(jī)制；觸發(fā)故障處理機(jī)制，以阻止錯(cuò)誤的發(fā)生。錯(cuò)誤恢復(fù)機(jī)制的目的在于使系統(tǒng)從入侵所造成的錯(cuò)誤狀態(tài)中恢復(fù)過來，以維護(hù)或恢復(fù)關(guān)鍵數(shù)據(jù)、關(guān)鍵服務(wù)甚至是完全服務(wù)。錯(cuò)誤恢復(fù)機(jī)制包括：前向恢復(fù) (即系統(tǒng)向前繼續(xù)執(zhí)行到一個(gè)狀態(tài)，該狀態(tài)保證提供正確的服務(wù)；后向恢復(fù) (即系統(tǒng)回到以前被認(rèn)為是正確的狀態(tài)并重新運(yùn)行；錯(cuò)誤屏蔽 (即系統(tǒng)地應(yīng)用冗余來屏蔽錯(cuò)誤以提供正確的服務(wù)，主要保障機(jī)制包括組件冗余、門限密碼學(xué)、系統(tǒng)投票操作、拜占庭協(xié)商和交互一致性等。由于錯(cuò)誤檢測方法不可靠或有較大的延遲，從而會(huì)影響錯(cuò)誤恢復(fù)的有效性，因此，錯(cuò)誤屏蔽是優(yōu)先考慮的機(jī)制。 本文中多階段破壞控制技術(shù)模型就是針對錯(cuò)誤處理機(jī)制提出的模型，它可以山 東 大 學(xué) 碩 士 學(xué) 位 論 文 7 有效地阻止破壞擴(kuò)散，有效地修復(fù)攻擊造成的破壞，很好地支持了入侵容忍。 侵容忍安全策略 入侵容忍安全策略是指當(dāng)系統(tǒng)面臨入侵時(shí)，系統(tǒng)采取何種安全策略來容忍入侵，避免系統(tǒng)失效的發(fā)生。入侵容忍安全策略來自于經(jīng)典的容 錯(cuò)和安全策略的融合，策略以操作類型、性能、可得到的技術(shù)等因素為條件，在衡量入侵的成本和受保護(hù)系統(tǒng)的價(jià)值的基礎(chǔ)上制訂。一旦入侵容忍安全策略定義好了，就可根據(jù)確定的入侵容忍機(jī)制設(shè)計(jì)入侵容忍系統(tǒng)。具體而言，入侵容忍策略包括以下幾個(gè)方面： 故障避免和容錯(cuò) 故障避免策略指在系統(tǒng)設(shè)計(jì)、配置和操作過程中盡可能排除故障發(fā)生的策略，由于要完全排除系統(tǒng)組件的安全漏洞并不現(xiàn)實(shí)，而且通過容錯(cuò)的方法來抵消系統(tǒng)故障的負(fù)面影響往往比故障避免更經(jīng)濟(jì)，因此，在設(shè)計(jì)入侵容忍系統(tǒng)時(shí)，應(yīng)將故障避免和容錯(cuò)策略折衷考慮。在一些特殊情況下，對于至關(guān)重 要的系統(tǒng)，故障避免是追求的目標(biāo)。 機(jī)密性操作 當(dāng)策略目標(biāo)是保持?jǐn)?shù)據(jù)的機(jī)密時(shí)，入侵容忍要求在部分未授權(quán)數(shù)據(jù)泄露的情況下，不揭示任何有用的信息。入侵容忍系統(tǒng)的機(jī)密性操作服務(wù)可以通過錯(cuò)誤屏蔽機(jī)制來實(shí)現(xiàn)，錯(cuò)誤屏蔽有多種方法，如門限密碼體制或法團(tuán)(案。 可重配操作 可重配操作策略是指在系統(tǒng)遭受攻擊時(shí)，系統(tǒng)根據(jù)組件或子系統(tǒng)的受破壞程度來評(píng)估入侵者成功的程度，進(jìn)而對系統(tǒng)資源或服務(wù)進(jìn)行重新配置的策略?？芍嘏洳僮骰谌肭謾z測技術(shù)，在檢測到系統(tǒng)組件錯(cuò)誤時(shí)能夠自動(dòng)用正確的組件來替代錯(cuò)誤組件，或者用適當(dāng)?shù)呐渲脕?代替不適當(dāng)?shù)呐渲??？芍嘏洳僮鞑呗杂糜谔幚砻嫦蚩捎眯曰蛲暾苑?wù)，比如事務(wù)數(shù)據(jù)庫、 務(wù)等。由于可重配策略需要對資源或服務(wù)進(jìn)行重配，系統(tǒng)提供的服務(wù)可能臨時(shí)無效而造成一些性能上的降級(jí)。 可恢復(fù)操作 對于一個(gè)系統(tǒng)，假設(shè)：使它失效至少需要時(shí)間系統(tǒng)至多需要時(shí)間失效狀態(tài)恢復(fù)到正常狀態(tài)，而且時(shí)間系統(tǒng)崩潰也不會(huì)產(chǎn)生不正確的 計(jì)算；對于一次給定的攻擊，其攻擊持續(xù)山 東 大 學(xué) 碩 士 學(xué) 位 論 文 8 時(shí)間為且有果系統(tǒng)滿足以上四個(gè)假設(shè)，則其遭受攻擊并失效時(shí)，系統(tǒng)可采用可恢復(fù)操作來恢復(fù)正常。在分布式環(huán)境里，可恢復(fù)操作需要借助安全的協(xié)商協(xié)議來實(shí)現(xiàn)。 防失敗 當(dāng)攻擊者成功入侵系統(tǒng)的部分組件時(shí)，系統(tǒng)功能或性能受到破壞，當(dāng)系統(tǒng)不能再容忍故障發(fā)生 的情況下，系統(tǒng)有可能發(fā)展到潛在不安全狀態(tài)。此時(shí)，有必要提供緊急措施 (如停止系統(tǒng)的運(yùn)行 )以避免系統(tǒng)受到不期望的破壞。這種策略常用于任務(wù)至關(guān)重要的系統(tǒng)，是其他策略的補(bǔ)充。 用的入侵容忍技術(shù) （ 1）冗余技術(shù) 冗余是容忍的最基本、最重要的技術(shù)。冗余一般是指系統(tǒng)資源超出正常工作條件所需的標(biāo)準(zhǔn)。冗余與復(fù)制（備份）是有區(qū)別的，復(fù)制只是冗余的一種是物理上對數(shù)據(jù)源的冗余。此外還有兩種冗余：時(shí)間冗余和信息冗余。被廣泛應(yīng)用于通信協(xié)議的超時(shí)技術(shù)（ 是時(shí)間冗余的一個(gè)很好的例子，當(dāng)發(fā)送 連接請求并等待回應(yīng)時(shí)，通常會(huì)設(shè)置一個(gè)超時(shí)時(shí)間，這個(gè)時(shí)間范圍允許在一定范圍內(nèi)容忍通信連接中的臨時(shí)錯(cuò)誤。信息冗余的應(yīng)用也很廣泛，例如原始數(shù)據(jù)被采用多余的比特編碼，用于提供同步、糾錯(cuò)等功能，從而更好地容忍錯(cuò)誤。 采用冗余技術(shù)也會(huì)帶來很多問題，主要不足有以下兩個(gè)方面：一是冗余在減少錯(cuò)誤發(fā)生的同時(shí)會(huì)增加系統(tǒng)的復(fù)雜度；二是冗余增加系統(tǒng)成本，而且不成熟的冗余會(huì)增加潛在的錯(cuò)誤發(fā)生幾率。 為了保證從冗余的源中得到正確結(jié)果，需要進(jìn)行選舉。舉一個(gè)簡單的例子：文件 F 存放在 5 個(gè)服務(wù)器上，當(dāng)對 F 進(jìn)行查詢時(shí)，需要從 5 個(gè)服務(wù)器上取回查詢結(jié) 果 2,4,，并由一個(gè)選舉執(zhí)行者對這 5 個(gè)查詢結(jié)果進(jìn)行比較，如果其中的多數(shù)（如 4 個(gè)）服務(wù)器上的內(nèi)容一致，則認(rèn)為選舉成功，同時(shí)表明另一個(gè)服務(wù)器有可能遭受入侵。由此可以看出，選舉的作用有兩個(gè)：一是得出正確的結(jié)果；二是標(biāo)識(shí)入侵。 （ 2）系統(tǒng)自適應(yīng)技術(shù) 系統(tǒng)根據(jù)攻擊的情況設(shè)置入侵容忍策略，為了使系統(tǒng)高效的工作，必須采取自適應(yīng)技術(shù)。常用的自適應(yīng)技術(shù)有以下幾種： 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 9 回滾：受影響的組件透明地用正確的備份組件代替。 轉(zhuǎn)移：將所有擁塞的請求轉(zhuǎn)移到另一個(gè)安全的服務(wù)器。 共享負(fù)載：共享負(fù)載（負(fù)載平衡）用于避 免負(fù)載過重導(dǎo)致服務(wù)器不可用或降級(jí)。 阻塞：如果某個(gè)客戶被認(rèn)定是攻擊者或是可疑的，則系統(tǒng)可以拒絕為其服務(wù)。 魚缸：類似于阻塞，但是允許可疑客戶繼續(xù)接受服務(wù)，但是將禁止其執(zhí)行某些操作，以保護(hù)其它正?？蛻舨皇苡绊?。 復(fù)員：當(dāng)遭受攻擊的組件恢復(fù)正常后，可以被重新啟用。 調(diào)整系統(tǒng)狀態(tài)：系統(tǒng)的多級(jí)防御措施可以根據(jù)操作環(huán)境和遭受攻擊情況進(jìn)行調(diào)整。 在入侵容忍數(shù)據(jù)庫的設(shè)計(jì)方案中，可以綜合應(yīng)用以上自適應(yīng)技術(shù)，但必須注意以下兩個(gè)方面：一是系統(tǒng)的自適應(yīng)方案應(yīng)該是不可預(yù)見的，否則將會(huì)被攻擊；二是自適應(yīng)方案要有彈性，防止短暫的行為導(dǎo) 致系統(tǒng)調(diào)整工作狀態(tài)，以致造成系統(tǒng)狀態(tài)的不穩(wěn)定。實(shí)時(shí)的或無級(jí)的自適應(yīng)是非常困難的。 （ 3）間接訪問技術(shù) 間接訪問也是入侵容忍中的重要技術(shù)，用來在客戶和服務(wù)器之間設(shè)置防御。由于間接訪問的實(shí)現(xiàn)采用黑盒設(shè)計(jì)，對于客戶來說是透明的。常用的間接訪問技術(shù)有 3 種： 代理 （ 系統(tǒng)的入口，代理客戶的請求，是系統(tǒng)防御的第一道防線。 功能主要有：代理客戶請求；流量（負(fù)載）平衡；客戶合法性測試；基于簽名的測試等。由于 系統(tǒng)的入口，因此它的性能是系統(tǒng)性能的瓶頸，而且容易成為被攻擊的目標(biāo)，解 決方法是采用多 計(jì)。 間接訪問能夠提高系統(tǒng)的安全性能，但是會(huì)增加額外的成本和時(shí)延。 封裝 （ 封裝同代理類似，只是比 件擁有更高的可信度，能夠與服務(wù)器直接交互。 沙箱 （ 該方法將不信任的程序在單獨(dú)的虛擬地址空間里安全地運(yùn)行，限制其訪問本地資源的權(quán)限，它只能施加有限的影響，破壞有限的資源。行環(huán)境就提供了這種安全技術(shù)用來防止 害主機(jī)。 （ 4）破壞控制技術(shù) 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 10 入侵容忍數(shù)據(jù)庫的破壞控制技術(shù)分為兩種：入侵隔離和多階段破壞控制。 入 侵隔離是實(shí)現(xiàn)入侵容忍的一個(gè)重要手段。入侵隔離的主要思想是在入侵檢測器無法確定某一事務(wù)是否為惡意事務(wù)時(shí)，設(shè)定其為可疑用戶。系統(tǒng)隔離可疑用戶提交的操作，而不是立即終止該用戶提交的數(shù)據(jù)庫事務(wù)操作，建立嫌疑版本數(shù)據(jù)庫。如果系統(tǒng)在后續(xù)操作中發(fā)現(xiàn)該用戶不是惡意攻擊者時(shí)，數(shù)據(jù)庫系統(tǒng)能夠以較少的資源消耗，達(dá)到保留該用戶盡可能多的事務(wù)操作的目的。如果是惡意事務(wù)，則將嫌疑版本數(shù)據(jù)庫刪除。隔離使得數(shù)據(jù)庫免于被一系列可疑事務(wù)可能造成的破壞，而且沒有損失數(shù)據(jù)庫持續(xù)的可用性。入侵隔離技術(shù)具有消耗資源少，便于實(shí)現(xiàn)的優(yōu)點(diǎn)，具有很高的可用性 。入侵隔離很好地解決了檢測延遲。 多階段破壞控制技術(shù)是入侵檢測器確定某一事務(wù)為惡意事務(wù)時(shí)，立即控制所有可能遭到破壞的對象，然后在后續(xù)過程中，分階段的對那些沒有受到破壞的對象或受到破壞但是被正確修復(fù)的對象進(jìn)行解除控制。多階段破壞控制技術(shù)拒絕了破壞擴(kuò)散，有效地保證了數(shù)據(jù)庫系統(tǒng)的可用性和完整性。多階段破壞控制很好地解決了評(píng)估延遲和修復(fù)延遲。 級(jí)入侵容忍數(shù)據(jù)庫的模型 數(shù)據(jù)庫受到的安全威脅主要來自 4 個(gè)層面，即用戶、 面、 面和事務(wù)層面。首先，身份認(rèn)證、訪問控制等安全防護(hù)措施可以防止非法用戶或合法 用戶的誤操作對數(shù)據(jù)庫安全造成威脅。其次，由于數(shù)據(jù)庫運(yùn)行在操作系統(tǒng)之上，要保證數(shù)據(jù)庫安全首先需要一個(gè)安全的操作系統(tǒng)環(huán)境。例如在 境下運(yùn)行的 果 用 份驗(yàn)證，一旦操作系統(tǒng)口令被攻破，則入侵者很容易獲取 的機(jī)密數(shù)據(jù)。第三， 安全問題主要有： 口令、數(shù)據(jù)庫管理員對用戶權(quán)限分配不合理或管理不善造成的用戶權(quán)限和用戶級(jí)別混亂、 全漏洞等。采用冗余的辦法，通過一組異構(gòu)的數(shù)據(jù)庫應(yīng)用服務(wù)器，可以有效的解決來自 和 的惡意攻擊。異構(gòu)的數(shù)據(jù)庫應(yīng)用服務(wù)器是指在不同的操作系統(tǒng)環(huán)境下運(yùn)行的不同類型的于不同類型的 安全漏洞不盡相同，一種攻擊不能同時(shí)破壞兩種不同的數(shù)據(jù)庫應(yīng)用服務(wù)器。這就意味著要想完全破壞冗余的數(shù)據(jù)，入侵者必須熟悉各種 要做到這一點(diǎn)是非常不容易的。最后，事務(wù)層山 東 大 學(xué) 碩 士 學(xué) 位 論 文 11 面的攻擊主要是入侵者設(shè)法獲取合法的身份后，對數(shù)據(jù)庫進(jìn)行訪問，由于入侵者的操作看上去是合法的，因此可以避開身份認(rèn)證、訪問控制等安全防護(hù)措施?；谌哂嗟娜肭秩萑碳夹g(shù)無法解決事務(wù)層面的攻擊。本文中的多階段破壞控制模 型建立在事務(wù)級(jí)入侵容忍的基礎(chǔ)上。 基于入侵容忍的多級(jí)數(shù)據(jù)庫安全模型 由四級(jí)構(gòu)成 ， 如圖 2示。 第一級(jí)：對用戶采用間接訪問、認(rèn)證、訪問控制、加密、消息過濾、防火墻等技術(shù)，以防范非授權(quán)用戶的攻擊和破壞?？蛻粼L問數(shù)據(jù)庫系統(tǒng)時(shí)，首先要經(jīng)過防火墻過濾，客戶與服務(wù)器進(jìn)行互相認(rèn)證，必要時(shí)對機(jī)密信息進(jìn)行加密。 第二級(jí)：不同類型 用 多種操作系統(tǒng)。由于一種惡意攻擊往往只對一種 效，引入多種 有效防止惡意攻擊對數(shù)據(jù)庫造成破壞。 第三級(jí)：冗余異構(gòu)的 用 多種數(shù)據(jù)庫管理系統(tǒng)存儲(chǔ)數(shù)據(jù)。由于攻擊者不可能對所有 熟悉，一種惡意攻擊往往只對一種 效，因此將機(jī)密數(shù)據(jù)存放在不同類型的 有效防止惡意攻擊對數(shù)據(jù)庫造成破壞。 第四級(jí)： 事務(wù)級(jí)入侵容忍 。 容忍入侵技術(shù)主要考慮在入侵存在的情況下系統(tǒng)的生存能力 ,保證系統(tǒng)關(guān)鍵功能的安全性和健壯性 。數(shù)據(jù)庫安全面臨的最大問題是內(nèi)部人員攻擊。內(nèi)部人員攻擊可以是惡意的或是非惡意的。惡意攻擊是指內(nèi)部人員有計(jì)劃地竊聽、偷竊或損壞信息，或拒絕其他授權(quán)用戶的訪問。聯(lián)邦調(diào)查局（ 評(píng)估顯示 80的攻擊和入侵來自組織內(nèi)部。內(nèi)部人員熟悉系統(tǒng)的結(jié)構(gòu)、敏感數(shù)據(jù)的存儲(chǔ)及安全系統(tǒng)的情況，這種攻擊最難于檢測和防范。非惡意的攻擊通常指那些由于粗心、缺乏技術(shù)知識(shí)或?yàn)榱恕胺奖愎ぷ鳌钡葻o意間繞過安全策略從而對系統(tǒng)造成了破壞的行為。事務(wù)級(jí)入侵容忍能很好的抵御來自內(nèi)部的攻擊，保障數(shù)據(jù)庫的數(shù)據(jù)安全。入侵隔離技術(shù)和多階段破壞控制技術(shù)可以很好地解決事務(wù)級(jí)的入侵容忍。 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 12 用戶操作系統(tǒng)事 務(wù)級(jí) 入侵 容忍非 法 請 求合 法 請 求針 對 操 作 系 統(tǒng) 漏 洞 的 攻 擊針 對 D B M S 漏 洞 的 攻 擊數(shù) 據(jù)庫 管理 系統(tǒng)惡 意 事 務(wù)圖 2于多級(jí)入侵容忍的數(shù)據(jù)庫安全模型 本文提出的多階段破壞控制模型建立在事務(wù)級(jí)入侵容忍的基礎(chǔ)上， 系統(tǒng)執(zhí)行事務(wù)級(jí)安全策略，對事務(wù)級(jí)惡意攻擊及其造成的破壞進(jìn)行控制并進(jìn)行修復(fù)，來保證數(shù)據(jù)庫系統(tǒng)的完整性及可用性。 山 東 大 學(xué) 碩 士 學(xué) 位 論 文 13 第 3 章 多階段破壞控制技術(shù) 本模型面向事務(wù)級(jí)入侵容忍。模型中數(shù)據(jù)庫系統(tǒng)由一系列數(shù)據(jù)對象組成，數(shù)據(jù)對象由事務(wù)進(jìn)行處理。事務(wù)是一系列的讀寫操作，事務(wù)要么提交要么中斷。 多階段破壞控制是相對于單階段破壞控制而來的。在單階段破壞控制模型中，