數(shù)據(jù)庫內(nèi)部安全審計(jì)

數(shù)據(jù)庫內(nèi)部安全審計(jì)

一、背景

在信息系統(tǒng)的整體安全中，數(shù)據(jù)庫往往是最吸引攻擊者的目標(biāo)， 許多網(wǎng)絡(luò)攻擊的根本目

的就是獲取存放在數(shù)據(jù)庫中的重要信息。 傳統(tǒng)的數(shù)據(jù)庫安全保障方法一定程度上提高了數(shù)據(jù)

庫系統(tǒng)的安全性，但是它們大多是被動(dòng)的安全技術(shù)， 以預(yù)防為主，無法有效地制止入侵行為，

特別是對(duì)于數(shù)據(jù)庫用戶(如數(shù)據(jù)庫管理員等)的權(quán)限濫用等內(nèi)部攻擊常常是無能為力的。

內(nèi)部威脅問題具體表現(xiàn)為：

(1)非故意的授權(quán)用戶攻擊， 即用戶不小心訪問到了通常不訪問的敏感信息， 嚴(yán)重的是

無意間將其錯(cuò)誤地修改或者刪除了；

(2)盜取了正常用戶信息的攻擊者對(duì)數(shù)據(jù)庫進(jìn)行操作， 他們擁有合法的訪問權(quán)限，對(duì)數(shù)

據(jù)庫數(shù)據(jù)進(jìn)行肆意的盜竊和破壞；

(3)心懷不軌的內(nèi)部工作人員對(duì)數(shù)據(jù)庫的惡意攻擊。

據(jù)統(tǒng)計(jì)，數(shù)據(jù)庫安全問題近80豚自數(shù)據(jù)庫系統(tǒng)內(nèi)部，即數(shù)據(jù)庫系統(tǒng)授權(quán)用戶沒有按照自身授權(quán)進(jìn)行數(shù)據(jù)操作，而是跨越權(quán)限篡改或破壞數(shù)據(jù)。根據(jù)2013年Verizon的數(shù)據(jù)泄露調(diào)查報(bào)告：所有數(shù)據(jù)泄露事件中76%M自授權(quán)用戶對(duì)敏感數(shù)據(jù)的訪問；在 47000多件安全事

故中，69%勺攻擊來自于內(nèi)部人員。京東發(fā)生的大型數(shù)據(jù)泄露事件造成 50億條公民信息流出，

導(dǎo)致用戶損失數(shù)百萬元，罪魁禍?zhǔn)拙褪莾?nèi)部工作人員。 內(nèi)部原因造成的數(shù)據(jù)庫損失發(fā)生率和

影響度都遠(yuǎn)遠(yuǎn)超過人們的想象。

由于此類安全問題發(fā)生在系統(tǒng)集團(tuán)內(nèi)部， 因此，對(duì)數(shù)據(jù)庫的危害極大，并且傳統(tǒng)的入侵

檢測(cè)方法和數(shù)據(jù)庫安全規(guī)則都不能有效防御這些問題， 即使一些防火墻軟硬件也無法實(shí)時(shí)檢

測(cè)內(nèi)部入侵。因此，針對(duì)數(shù)據(jù)庫系統(tǒng)中用戶異常行為檢測(cè)研究就顯得尤為重要。

據(jù)統(tǒng)計(jì)，傳統(tǒng)的數(shù)據(jù)安全模型是上個(gè)世紀(jì) 70年代提出的，并且得到較好發(fā)展。到目前

為止，在數(shù)據(jù)庫上實(shí)現(xiàn)的安全策略基本上沒有變化，仍舊為訪問控制、 用戶認(rèn)證、審計(jì)和加

密存儲(chǔ)。安全審計(jì)的任務(wù)是對(duì)用戶已經(jīng)完成的行為， 給予回追式的分析，并對(duì)該行為的結(jié)果

給出最終評(píng)價(jià)。這些安全機(jī)制在數(shù)據(jù)庫管理上取得了較好成績(jī)，但是面對(duì)高素質(zhì)攻擊人員、多樣化攻擊手段和復(fù)雜的網(wǎng)絡(luò)環(huán)境， 這些安全機(jī)制將無法實(shí)時(shí)監(jiān)測(cè)入侵行為， 保護(hù)數(shù)據(jù)庫與

數(shù)據(jù)的安全。基于異常的入侵檢測(cè)是入侵檢測(cè)研究領(lǐng)域中的一個(gè)重要課題， 并取得了一定的

研究成果。但是，這些研究成果主要針對(duì)操作系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)， 針對(duì)數(shù)據(jù)庫系統(tǒng)的研究成

果則相對(duì)較少。

以訪問控制為例，雖然訪問控制能夠保證只有擁有相關(guān)權(quán)限的用戶才可以訪問數(shù)據(jù)， 這

也是防止數(shù)據(jù)泄露的第一道屏障，但是訪問控制有一定的限制 ：如果采用嚴(yán)格的機(jī)制，訪問

控制的規(guī)則可能表達(dá)不夠充分， 在動(dòng)態(tài)的環(huán)境中訪問控制的規(guī)則可能需要頻繁地更新， 這些

更新會(huì)帶來管理者的經(jīng)濟(jì)成本； 而且在緊急的情況下， 訪問控制機(jī)制會(huì)影響用戶對(duì)數(shù)據(jù)的獲

取，權(quán)限的申請(qǐng)需要時(shí)間也影響了事務(wù)的效率。 所以，通常業(yè)務(wù)系統(tǒng)都采用相對(duì)寬松的訪問

控制機(jī)制。寬松的訪問機(jī)制的直接表現(xiàn)是用戶通常會(huì)獲得比實(shí)際所需更多的權(quán)限， 這顯然為

數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)安全埋下了隱患。 因此，數(shù)據(jù)庫管理系統(tǒng)的發(fā)展需要對(duì)傳統(tǒng)的權(quán)限管理

增加輔助的安全分析和評(píng)估機(jī)制。

二、現(xiàn)狀

數(shù)據(jù)庫安全審計(jì)是指按照確定的標(biāo)準(zhǔn)、 收集軟件執(zhí)行過程中發(fā)生的事件并評(píng)估其安全性

的行為。根據(jù)設(shè)置的規(guī)則，監(jiān)控、跟蹤用戶對(duì)數(shù)據(jù)庫的各種操作， 分析判斷用戶行為是否合

規(guī)，并對(duì)違規(guī)行為進(jìn)行告警的過程叫做數(shù)據(jù)庫安全審計(jì)。

目前國(guó)際上主流的數(shù)據(jù)庫安全審計(jì)產(chǎn)品包括以色列 Imperva公司的安全審計(jì)系統(tǒng)

SecureSphere,IBM公司的Guardium數(shù)據(jù)庫安全產(chǎn)品， ApplicationSecurityInc公司的

數(shù)據(jù)庫入侵檢測(cè)產(chǎn)品AppRadar等。這些數(shù)據(jù)庫安全審計(jì)產(chǎn)品的功能都很強(qiáng)大。 Application

SecurityInc公司的數(shù)據(jù)庫入侵檢測(cè)產(chǎn)品 AppRadar,它可針對(duì)不同的數(shù)據(jù)庫設(shè)計(jì)不同的入

侵檢測(cè)系統(tǒng)。Imperva公司是行業(yè)內(nèi)起步較早的公司，一直專精于數(shù)據(jù)庫安全審計(jì)，他們的系統(tǒng)采用數(shù)據(jù)庫應(yīng)用防火墻的思路， 串聯(lián)部署局域網(wǎng)計(jì)算機(jī)，能夠在線阻斷數(shù)據(jù)庫的安全威

脅，是A1級(jí)別的審計(jì)系統(tǒng)，但是SecureSphere支持的數(shù)據(jù)庫協(xié)議太少， 對(duì)各種數(shù)據(jù)庫的本

地訪問支持不足；Guardium公司具有較強(qiáng)的技術(shù)實(shí)力，被舊M收購之后，品牌影響力也進(jìn)一步加大，他們的產(chǎn)品使用數(shù)據(jù)庫代理服務(wù)器或是在數(shù)據(jù)庫服務(wù)器上安裝引擎， 搭配旁路的

監(jiān)聽器，能夠?qū)崟r(shí)分析并判斷用戶操作行為是否合規(guī)，但 Guardium同一時(shí)間只能支持一個(gè)

審計(jì)策略，不夠靈活。此外，因?yàn)檫@些系統(tǒng)是按照國(guó)外的審計(jì)需求設(shè)計(jì)的， 基本上只針對(duì)國(guó)

外的審計(jì)需求進(jìn)行審計(jì)，且價(jià)格高昂，對(duì)大部分國(guó)內(nèi)用戶來說，實(shí)用性不高。

在國(guó)內(nèi)，根據(jù)賽迪顧問2016年5月的行業(yè)研究報(bào)告，2015年我國(guó)的數(shù)據(jù)庫安全審計(jì)與防護(hù)市場(chǎng)產(chǎn)品結(jié)構(gòu)中，硬件產(chǎn)品占據(jù)了 76%勺市場(chǎng)份額，軟件白市場(chǎng)份額僅為 18%但隨著

IT基礎(chǔ)設(shè)施的演進(jìn)，軟件服務(wù)類數(shù)據(jù)庫安全審at產(chǎn)品市場(chǎng)份額增速將變大，預(yù)計(jì)2018年將達(dá)到41%勺市場(chǎng)份額。在這樣的發(fā)展趨勢(shì)下，眾多大型的安全廠商加入了數(shù)據(jù)庫安全產(chǎn)業(yè) （如

綠盟、天融信、啟明等），并紛紛推出了各自的數(shù)據(jù)庫審計(jì)產(chǎn)品。

比如：綠盟的數(shù)據(jù)庫審計(jì)系統(tǒng) DAS安恒信息的明御系列產(chǎn)品、北京國(guó)都興業(yè)的慧眼數(shù)

據(jù)庫審計(jì)系統(tǒng)、深圳昂楷科技的數(shù)據(jù)庫多重審計(jì)系統(tǒng) AAS安華金和的數(shù)據(jù)庫監(jiān)控與審計(jì)系

統(tǒng)、北京天融信的網(wǎng)絡(luò)衛(wèi)士數(shù)據(jù)庫審計(jì)系統(tǒng) TopAudit-DB、北京啟明星辰的天明網(wǎng)絡(luò)安全審

計(jì)系統(tǒng)等等。其中天融信的TopAudit-DB采用云審計(jì)等技術(shù)，旁路部署，支持三層關(guān)聯(lián)審計(jì)分析；綠盟的DAS通過監(jiān)視網(wǎng)絡(luò)上的數(shù)據(jù)庫活動(dòng)， 智能識(shí)別SQL類別，實(shí)現(xiàn)事后對(duì)數(shù)據(jù)庫操

作記錄進(jìn)行合規(guī)性分析；安恒的明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)通過提取 Web業(yè)務(wù)端和數(shù)據(jù)

庫端的協(xié)議流量，實(shí)現(xiàn)了雙向?qū)徲?jì)。但是這些由我國(guó)獨(dú)立研發(fā)的數(shù)據(jù)庫安全審計(jì)系統(tǒng)大多為

C2或B1級(jí)，安全等級(jí)還不夠高。

目前國(guó)內(nèi)外數(shù)據(jù)庫安全審計(jì)方面的研究主要集中在如下幾個(gè)領(lǐng)域。

1、審計(jì)數(shù)據(jù)源

獲取審計(jì)數(shù)據(jù)源是進(jìn)行其他操作的前提， 目前階段，審計(jì)數(shù)據(jù)源的獲取途徑包括數(shù)據(jù)庫

安全日志以及審計(jì)記錄。

但是，現(xiàn)階段各種不同的數(shù)據(jù)庫之間沒有通用的、 統(tǒng)一的審計(jì)接口。而是每一種數(shù)據(jù)庫

都提供了可配置的審計(jì)模塊。管理員或用戶依據(jù)自身需要使用模塊提供的規(guī)則進(jìn)行安全配制。

數(shù)據(jù)庫將以日志形式自動(dòng)記錄數(shù)據(jù)庫用戶的全部數(shù)據(jù)操作， 給接下來對(duì)該用戶的操作分析提

供基礎(chǔ)。同時(shí)日志文件也為數(shù)據(jù)庫恢復(fù)與重建提供必要依據(jù)。

2、保護(hù)審計(jì)數(shù)據(jù)

要想能夠檢測(cè)出入侵行為，首先必須保證審計(jì)數(shù)據(jù)自身的安全性和正確性。

審計(jì)數(shù)據(jù)直接反映了數(shù)據(jù)庫用戶的直接行為，只有審計(jì)數(shù)據(jù)的正確和準(zhǔn)確，才能如實(shí)的反映用戶的行為。在此基礎(chǔ)上所做的行為入侵檢測(cè)才是有效的、 才是有意義的。目前比較常

見的數(shù)據(jù)庫審計(jì)數(shù)據(jù)安全方法主要使用數(shù)據(jù)加密方式或是哈希保護(hù)等方法。

3、基于數(shù)據(jù)挖掘的行為預(yù)處理

面對(duì)海量數(shù)據(jù)，如何從其中快速、準(zhǔn)確的找出有用的數(shù)據(jù)，這是數(shù)據(jù)挖掘技術(shù)的主要研究方向。近些年數(shù)據(jù)挖掘方法，在數(shù)據(jù)庫安全方面得到了廣泛的應(yīng)用。

數(shù)據(jù)庫進(jìn)行安全審計(jì)時(shí)，有可能需要進(jìn)行海量的數(shù)據(jù)源審計(jì)， 如果對(duì)這些數(shù)據(jù)源進(jìn)行逐

一審計(jì)，必然拖慢系統(tǒng)速度，導(dǎo)致數(shù)據(jù)庫系統(tǒng)的響應(yīng)時(shí)間大大加長(zhǎng)，造成假死現(xiàn)象。因此，需要對(duì)所有審計(jì)的數(shù)據(jù)進(jìn)行預(yù)處理，去除無用數(shù)據(jù)，找出真正有價(jià)值的信息。

4、基于專家?guī)彀踩珜徲?jì)

專家系統(tǒng)是模仿專家的思維方式思考和決策問題的計(jì)算機(jī)系統(tǒng)， 系統(tǒng)以知識(shí)庫和專家?guī)?/p>

方式存放大量的領(lǐng)域?qū)＜覀兊闹R(shí)和經(jīng)驗(yàn)。

在基于專家系統(tǒng)的數(shù)據(jù)庫安全審計(jì)白^專家?guī)熘校酶袷綖椤癷f-then”的語句來表示異常行為的檢測(cè)規(guī)則。（if檢測(cè)條件；then系統(tǒng)對(duì)該入侵行為的對(duì)策），對(duì)這些規(guī)則進(jìn)行歸納與抽象，建立存儲(chǔ)這些規(guī)則的專家?guī)靵磔o助系統(tǒng)進(jìn)行行為檢測(cè)。

但是專家系統(tǒng)進(jìn)行判定的主要依據(jù)是存儲(chǔ)在知識(shí)庫中的已經(jīng)確認(rèn)的異常行為規(guī)則， 知識(shí)

庫的大小和質(zhì)量決定了專家系統(tǒng)的入侵檢測(cè)能力。 專家系統(tǒng)具有非常強(qiáng)的專業(yè)性，使該系統(tǒng)

不可能移植到該領(lǐng)域以外使用。

5、基于系統(tǒng)狀態(tài)轉(zhuǎn)移的安全審計(jì)

對(duì)己知異常行為建立行為狀態(tài)轉(zhuǎn)換圖。匹配待審計(jì)的用戶行為特征和狀態(tài)轉(zhuǎn)移圖，判斷用戶當(dāng)前行為是否安全。狀態(tài)轉(zhuǎn)移圖能夠直觀的、較詳細(xì)的描述異常用戶行為，實(shí)現(xiàn)對(duì)用戶異常行為的預(yù)警或者攔截，減輕數(shù)據(jù)庫受攻擊的程度，降低經(jīng)濟(jì)損失。

但是，基于狀態(tài)轉(zhuǎn)移的數(shù)據(jù)庫入侵檢測(cè)系統(tǒng)存在明顯的局限性： 無法完全描述每個(gè)時(shí)刻

的狀態(tài)轉(zhuǎn)換，否則將是一個(gè)海量數(shù)據(jù)檢測(cè)問題， 目前的系統(tǒng)無法實(shí)現(xiàn)；狀態(tài)轉(zhuǎn)移只能判斷行

為的目的是否為已知異常，對(duì)于新的異常無法識(shí)別。

6、采用神經(jīng)網(wǎng)絡(luò)技術(shù)和免疫技術(shù)的安全審計(jì)

神經(jīng)網(wǎng)絡(luò)技術(shù)是通過對(duì)大腦的神經(jīng)元進(jìn)行建模和聯(lián)接， 建立起模擬大腦神經(jīng)系統(tǒng)功能的

數(shù)學(xué)模型，并研究出具有自主學(xué)習(xí)、記憶和信息識(shí)別等智能信息處理功能的人工系統(tǒng)。

數(shù)據(jù)庫安全審計(jì)主要是利用神經(jīng)網(wǎng)絡(luò)技術(shù)，參考所有正常和正確數(shù)據(jù)庫使用行為，建立起一個(gè)具有學(xué)習(xí)能力的用戶行為集合。并利用集合中的正常行為與可疑行為進(jìn)行比對(duì)，判斷行為的異常與否。

免疫原理是模擬生物的免疫系統(tǒng)功能， 對(duì)外來細(xì)胞和自身變異細(xì)胞進(jìn)行清除的原理， 建

議系統(tǒng)數(shù)學(xué)模型。 數(shù)據(jù)庫安全審計(jì)主要利用免疫數(shù)據(jù)模型建立行為檢測(cè)模塊，檢測(cè)已知和

未知的異常行為。

三、三大模塊

數(shù)據(jù)庫安全審計(jì)根據(jù)檢測(cè)方法的不同， 分為兩大類，一類是基于規(guī)則的檢測(cè)方法； 另一

類是異常檢測(cè)方法，也叫基于用戶行為的檢測(cè)方法。異常檢測(cè)方法較之前者雖然誤報(bào)率較高，但是具有能檢測(cè)出未知攻擊方式的優(yōu)勢(shì)。 異常檢測(cè)系統(tǒng)報(bào)給系統(tǒng)管理員的警報(bào)可能數(shù)量很大，

管理員需要在最短的時(shí)間內(nèi)了解這些警報(bào)的嚴(yán)重程度， 以便迅速做出正確的反應(yīng)，這就需要

系統(tǒng)在完成異常檢測(cè)的工作后給出異常評(píng)估的量化結(jié)果，幫助管理員了解警報(bào)并做出決策。

面向數(shù)據(jù)庫訪問的用戶行為異常檢測(cè)與評(píng)估系統(tǒng)的需求包括以下三點(diǎn) ：

(1)用戶行為表示：提取審計(jì)記錄中的信息，使用一組特征表示出用戶的操作行為；

(2)用戶行為異常檢測(cè)：能夠識(shí)別與用戶行為習(xí)慣不相符的操作， 并對(duì)管理員發(fā)出告警信

息；對(duì)于誤報(bào)的操作行為，管理員給出反饋信息，能夠在之后的行為檢測(cè)中得到體現(xiàn)；

(3)用戶行為異常評(píng)估：按照相應(yīng)算法，給出每條異常操作危害程度的量化結(jié)果。

(一)用戶行為表示

有效的數(shù)據(jù)庫安全日志能提供過去一段時(shí)間內(nèi)詳實(shí)的系統(tǒng)內(nèi)部與外部用戶數(shù)據(jù)訪問行為，能否通過智能算法提取用戶的實(shí)時(shí)數(shù)據(jù)特征， 并按時(shí)間段組織成時(shí)間-行為特征數(shù)據(jù)庫，

依據(jù)這個(gè)時(shí)間-行為特征數(shù)據(jù)庫結(jié)合先進(jìn)的分類算法構(gòu)造實(shí)時(shí)行為分析模型，對(duì)入侵檢測(cè)進(jìn)行實(shí)時(shí)預(yù)警，并自動(dòng)給出處理方案。

在用戶行為異常檢測(cè)過程中，用戶彳T為的表示方法主要有三種 ：基于數(shù)據(jù)、基于語法和

基于環(huán)境的方法。其中，基于數(shù)據(jù)的方法不適于動(dòng)態(tài)變化數(shù)據(jù)庫，純粹的基于語法的方法對(duì)用戶行為描繪過于嚴(yán)苛，基于環(huán)境的方法則過于宏觀。可以考慮不同方法的結(jié)合使用，例如，嘗試將基于語法的方法與基于環(huán)境的方法結(jié)合使用。

基于語法(syntaxcentric)

進(jìn)行粗粒度提取時(shí)，結(jié)果為<select,2,4,2,2>

進(jìn)行中等粒度提取時(shí)，結(jié)果為 <<select,<1,1><2,2>,<1,1><l,l>>

進(jìn)行細(xì)粒度提取時(shí)，結(jié)果為

<<select,<1,1>,<[1,0,1,0],[0,1,0,1]>,<l,l>,<[0,1,0,0],[0,1,0,0]>>;

Ronao等人在2015年擴(kuò)展了這種方法，加上了查詢語句中 ORDERBY^句、GROUPBY

語句以及JOIN,AND,OR的個(gè)數(shù)等信息，之后采取主成分分析的方法對(duì)特征進(jìn)行選擇。

基于環(huán)境(contextcentric) :

基于環(huán)境的表示方法使用能夠體現(xiàn)用戶工作習(xí)慣的特征， 這些特征一般包括用戶名、主

機(jī)名、時(shí)間戳、IP地址和操作命令等，直觀地表示什么人 (who)在什么時(shí)間(when)什么地

點(diǎn)(where)做了什么事情(what)。

用戶的行為用〈用戶ID,操作時(shí)刻，操作命令，被操作對(duì)象名 >表示，其中操作命令指

insert,delete,update,select 四種常規(guī)數(shù)據(jù)庫操作。

基于數(shù)據(jù)(datacentric) :

根據(jù)返回的查詢結(jié)果集，抽取不同的屬性值來表示用戶的行為。

對(duì)于數(shù)值型的屬性，提取返回結(jié)果的 <最小值，最大值，中值，平均值，標(biāo)準(zhǔn)差 >;

對(duì)于非數(shù)值型的屬性，提取返回結(jié)果的 〈值的總數(shù)，不同值的個(gè)數(shù)>。

雖然基于數(shù)據(jù)的方法準(zhǔn)確率較之前兩種高一些，但是選取返回結(jié)果的最小值、最大值、中值、平均值和標(biāo)準(zhǔn)差之類的特征來表示用戶行為， 并不能適用于動(dòng)態(tài)變化的數(shù)據(jù)庫， 因?yàn)?/p>

即使數(shù)據(jù)庫中添加或刪除少量數(shù)據(jù)，用戶查詢的返回結(jié)果集都可能發(fā)生很大變化，最小值、最大值、中值、平均值和標(biāo)準(zhǔn)差等都會(huì)隨之波動(dòng)， 那么在此基礎(chǔ)上進(jìn)行的行為檢測(cè)準(zhǔn)確率會(huì)

大幅降低。

而基于語法和基于環(huán)境的用戶行為表示方法側(cè)重點(diǎn)不同， 基于語法的方法是從SQL語句

角度出發(fā)，通過用戶訪問的數(shù)據(jù)表、 屬性等特征描述用戶行為， 基于環(huán)境的方法則是從用戶

的工作習(xí)慣出發(fā)，通過時(shí)間、 IP地址等特征來刻畫用戶行為。將后兩種方法結(jié)合使用可以

更加全面地描述用戶行為。

(二)異常檢測(cè)算法類型

1、專家系統(tǒng)

就當(dāng)前技術(shù)而言，專家系統(tǒng)是誤用檢測(cè)方案中較為有效的技術(shù)手段。 該系統(tǒng)以領(lǐng)域?qū)＜?/p>

給出的專家法則和用戶給出的建議為基礎(chǔ)，生成具有“if-then”結(jié)構(gòu)的專家法則，并結(jié)合數(shù)據(jù)庫技術(shù)，網(wǎng)絡(luò)技術(shù)、 分布式操作系統(tǒng)技術(shù)等形成專家系統(tǒng)。這種技術(shù)通過“if檢測(cè)條件，then系統(tǒng)后續(xù)動(dòng)作”的判別方法對(duì)實(shí)時(shí)檢測(cè)的用戶行為進(jìn)行分類，提供入侵預(yù)警與處理辦法。專家系統(tǒng)構(gòu)建的根本問題就是專家知識(shí)庫的建立與完備。

2、人工免疫技術(shù)

生物的免疫系統(tǒng)，通過對(duì)生物體內(nèi)的細(xì)胞是生物“自身細(xì)胞”還是“入侵細(xì)胞”進(jìn)行判別，通過大腦指揮相應(yīng)的白細(xì)胞消滅“入侵細(xì)胞” ，從而保證生物機(jī)體健康。受這種生物免

疫系統(tǒng)模型的啟發(fā)，人工免疫技術(shù)仿照生物免疫系統(tǒng)以此來發(fā)現(xiàn)非法用戶網(wǎng)絡(luò)行為。

基于免疫系統(tǒng)的入侵檢測(cè)系統(tǒng)依據(jù)免疫機(jī)理， 結(jié)合領(lǐng)域?qū)＜乙庖?，定義正常的行為法則，

以此來識(shí)別攻擊行為預(yù)警和處理。入侵檢測(cè)系統(tǒng)通過與人工免疫系統(tǒng)的融合，在 IDS系統(tǒng)

中得到了廣泛的應(yīng)用?；谌斯っ庖叩娜肭謾z測(cè)系統(tǒng)具有較好的魯棒性、 自學(xué)習(xí)和自適應(yīng)性。

其關(guān)鍵問題在于采用何種技術(shù)和手段來定義和區(qū)分“自己”和“非己” 。

3、傳統(tǒng)機(jī)器學(xué)習(xí)

目前比較常用的傳統(tǒng)機(jī)器學(xué)習(xí)技術(shù)為：

分類分析

Kamra等人的工作是分類分析方法的巧妙應(yīng)用，他們從角色出發(fā)建立用戶行為模式庫，對(duì)于擁有角色控制的RBACa據(jù)庫，將用戶行為檢測(cè)問題看成經(jīng)典的分類問題，根據(jù)事先訓(xùn)練好的樸素貝葉斯分類器，對(duì)用戶的操作進(jìn)行分類，如果分類得到用戶所屬的角色與本身用戶的角色不相符，則認(rèn)為用戶操作屬于異常行為，這種方法漏報(bào)率較低，但是誤報(bào)率接近20%。Sallam等人的工作則分別使用了二分類和樸素貝葉斯分類兩種方法，檢測(cè)準(zhǔn)確率較高，但是誤報(bào)率仍然不低于 20%

貝葉斯方法(Bayes) 是受到條件概率論的啟發(fā)而形成的。該方法的主要思路是依據(jù)某

事件發(fā)生的先驗(yàn)概率和后驗(yàn)概率，并以此為依據(jù)來對(duì)的用戶行為是否合法進(jìn)行判定。

其中的先驗(yàn)概率是由該領(lǐng)域的專家和與安全相關(guān)的人員依據(jù)用戶的正常操作和行為給

出的，隨后通過先驗(yàn)概率假定判別是否產(chǎn)生了非法行為， 再結(jié)合先驗(yàn)概率和實(shí)時(shí)檢測(cè)的用戶

行為特征，得到該事件發(fā)生的后驗(yàn)概率數(shù)值， 然后進(jìn)一步形成數(shù)學(xué)模型， 并最終得到該行為

是否為入侵行為的判斷結(jié)果。該技術(shù)的難點(diǎn)主要在于如何提高先驗(yàn)概率的準(zhǔn)確性。

關(guān)聯(lián)分析

部分研究工作采用關(guān)聯(lián)分析的方法對(duì)用戶行為進(jìn)行建模。 Hu等人通過挖掘頻繁項(xiàng)集完

成模式庫的構(gòu)建，劉玉葆等人則是引入訪問模式的概念，基于己有的 FP-tree結(jié)構(gòu)，改進(jìn)

FP-Growth算法，提出了一種最大訪問模式挖掘算法 MMAP(MiningMaximalAccess

Profiles),利用從數(shù)據(jù)庫審計(jì)數(shù)據(jù)中挖掘的最大訪問模式來檢測(cè)數(shù)據(jù)庫系統(tǒng)的異常行為。

兩份研究工作中檢測(cè)的準(zhǔn)確率都不低于 85%但是部分情況下漏報(bào)率有 14%。

李銀釗等人構(gòu)建了一種基于自適應(yīng)模型數(shù)據(jù)庫入侵檢測(cè)方法， 該方法是基于矩陣和最小

支持度函數(shù)的Apriori關(guān)聯(lián)算法，在訓(xùn)練和自適應(yīng)入侵檢測(cè)階段產(chǎn)生數(shù)據(jù)庫的操作特征， 用

戶根據(jù)實(shí)際需求動(dòng)態(tài)調(diào)整最小支持度函數(shù)的值，更高效地挖掘操作特征。

異常檢測(cè)算法

異常檢測(cè)算法是受高斯性原理啟發(fā)， 并結(jié)合獨(dú)立假設(shè)條件所形成的一種分析技術(shù)。 該技

術(shù)提取用戶或者系統(tǒng)正常行為中的大量參數(shù)， 通過特征選擇原理與選擇手段，生成正常行為

特征模板與相應(yīng)的特征提取算法，以此模板和提取算法為基礎(chǔ)監(jiān)測(cè)正常用戶行為生成正常用戶行為數(shù)據(jù)庫。

特征選擇是通過大量用戶正常行為記錄的概率分布、 方差、頻度、均值和偏差等手段表

示主體特征選擇方法。而相似度計(jì)算，則是采用模式識(shí)別中相似度的計(jì)算方法， 將檢測(cè)到的

用戶行為與正常行為庫的記錄進(jìn)行相似計(jì)算。 若計(jì)算結(jié)果顯示用戶行為與正常行為的相差較

遠(yuǎn)，超過了系統(tǒng)設(shè)定的允許特征值，則判定該行為是入侵行為。

聚類分析

聚類分析的方法也得到了應(yīng)用，對(duì)于沒有角色控制的數(shù)據(jù)庫管理系統(tǒng)，他們首先使用

k-centers和k-means的方法對(duì)所有的審計(jì)數(shù)據(jù)進(jìn)行聚類分析， 聚類結(jié)果中包含用戶審計(jì)數(shù)

據(jù)最多的類別就是該用戶所屬的類別,

從而建立起用戶與聚類群組的映射， 之后的檢測(cè)工作

可以按照擁有角色控制的數(shù)據(jù)庫一樣， 視為分類問題，也可以使用離群點(diǎn)檢測(cè)方法進(jìn)行異常檢測(cè)。

多模型綜合分析

進(jìn)行用戶行為模式構(gòu)建和檢測(cè)時(shí),

不同的數(shù)據(jù)挖掘方法適用場(chǎng)景不同， 其效果也與問題

規(guī)模息息相關(guān)；但當(dāng)前眾多關(guān)于用戶行為異常檢測(cè)的研究中，普遍存在誤報(bào)率較高的問題，

需要探討能夠進(jìn)一步提升檢測(cè)率、 降低誤報(bào)率的方法，例如，結(jié)合使用多種不同的數(shù)據(jù)挖掘

方法，或者引入反饋機(jī)制。

Mathew等人的工作就是在提出“data-centric”的方法之后，使用多種機(jī)器學(xué)習(xí)的算

法進(jìn)行訓(xùn)練和檢測(cè)， 與Kamra等人類似，他們從用戶角色出發(fā)， 分別使用樸素貝葉斯、決策

樹、支持向量機(jī)、聚類四種算法進(jìn)行行為模式建模和異常檢測(cè)。

Sallam等人在2016年的工作中結(jié)合使用了NBC分類方法和COBWE聚類方法。

陳煒利用基于聚類分析與關(guān)聯(lián)規(guī)則挖掘的數(shù)據(jù)庫異常檢測(cè)技術(shù)， 對(duì)數(shù)據(jù)庫操作行為和數(shù)

據(jù)操作進(jìn)行審計(jì)分析，建立用戶正常的行為模式，并通過編寫異常檢測(cè)算法來檢測(cè)用戶的異常行為。

4、深度學(xué)習(xí)技術(shù)

將神經(jīng)網(wǎng)絡(luò)、專家系統(tǒng)和統(tǒng)計(jì)方法有效融合， 實(shí)現(xiàn)從數(shù)據(jù)處理、特征提取， 入侵識(shí)別的

全面創(chuàng)新。在數(shù)據(jù)處理階段使用統(tǒng)計(jì)學(xué)方法，通過ICA算法實(shí)現(xiàn)用戶行為特征的獨(dú)立性分析；在特征提取階段，通過BP神經(jīng)網(wǎng)絡(luò)方法，實(shí)現(xiàn)用戶行為特征分析與提??；在識(shí)別過程中使用了基于專家系統(tǒng)的推理技術(shù)。上述方法的融合有效的解決了入侵檢測(cè)系統(tǒng)的誤報(bào)警率高，識(shí)別率低，自適應(yīng)能力差的缺欠。

5、其他

Rao等人引入屬性的權(quán)重，對(duì)數(shù)據(jù)庫的讀寫操作進(jìn)行規(guī)則挖掘，但是檢測(cè)率并不高。

Costante等人2016年的研究工作中，延續(xù)了他們之前的思路，通過統(tǒng)計(jì)用戶行為的特征值

和規(guī)則匹配，實(shí)現(xiàn)用戶行為異常檢測(cè)的目的， 這種方法比較直觀，生成的模式文件可解釋強(qiáng)。

2017年，Guevara等人在系統(tǒng)用戶行為分析的工作中使用了馬爾科夫鏈的方法， 通過分

析用戶執(zhí)行的操作序列，構(gòu)建出用戶的行為模式。為了構(gòu)造有效的行為模式，這種方法需要三個(gè)月或者更長(zhǎng)時(shí)間的用戶操作記錄作為訓(xùn)練集。

Ronao等人是在綜合考察了幾種算法之后采用了隨機(jī)森林的方法進(jìn)行異常檢測(cè)。

此外，有研究工作是從數(shù)據(jù)庫事務(wù)或者會(huì)話的角度進(jìn)行異常檢測(cè)， Fonseca等人提出使

用一種通用型的算法來學(xué)習(xí)能夠表示事務(wù) “活動(dòng)簡(jiǎn)檔”的圖，事務(wù)是由用戶通過應(yīng)用程序向

數(shù)據(jù)庫提交完成的。該算法中，一個(gè)事務(wù)是由一個(gè)有向圖來表示， 有向圖描繪了從事務(wù)的開

始到最后提交或者回滾操作的不同執(zhí)行路徑 (select,insert,update,delete 的序列)，

圖中的節(jié)點(diǎn)代表操作命令， 邊代表相應(yīng)的執(zhí)行序列。 值得注意的是，這里的操作命令不是簡(jiǎn)

單的select,insert,update或者delete，而是經(jīng)過處理過的SQlL^句，如語句selectname,address,phonefromcustomerwherename='JohnCarter'中where子句中name字段經(jīng)常變化，可以將原句處理成 ：操作命令(select)、操作對(duì)象(tablecustomer), 被選擇的列

(name,address,phone)、約束字段(name);

Fadolalkarim等人則從操作系統(tǒng)的層面分析數(shù)據(jù)庫中的用戶行為，包括數(shù)據(jù)打印、發(fā)郵件、數(shù)據(jù)存儲(chǔ)等操作，但這種方法分析和刻畫用戶行為比較宏觀， 不同用戶行為之間區(qū)分

度不大。

(三)異常評(píng)估算法類型

用戶行為異常評(píng)估的技術(shù)尚不夠成熟， 方法比較單一，目前主流的數(shù)據(jù)泄露評(píng)估的方法

為M-Score方法，但是該方法需要數(shù)據(jù)庫專家事先定義詳細(xì)的敏感值函數(shù)， 且考慮的影響因

子還不夠全面，需要考慮數(shù)據(jù)對(duì)象之間的關(guān)聯(lián)關(guān)系、 推理關(guān)系，研究更科學(xué)的數(shù)據(jù)模型的構(gòu)

建方法。

2015年，Vavilis等人提出了針對(duì)數(shù)據(jù)庫系統(tǒng)的異常分析框架。 在具體的異常評(píng)估方法

研究中，Costante等人提出使用待檢測(cè)操作出現(xiàn)的概率來評(píng)估行為的異常程度，用操作出現(xiàn)概率的倒數(shù)來量化異常值。多數(shù)與用戶行為異常評(píng)估有關(guān)的研究工作集中在數(shù)據(jù)泄露的量化計(jì)算上。Bertino等人提出了針對(duì)數(shù)據(jù)庫的數(shù)據(jù)泄露檢測(cè)框架，但這個(gè)框架基本類似于用戶行為異常檢測(cè)機(jī)制。 Harel等人在2010年提出了一種稱為M-Score的數(shù)據(jù)隱私匿名發(fā)布

方法，并在2012年對(duì)該方法進(jìn)行了擴(kuò)展。

M-Score方法可應(yīng)用于數(shù)據(jù)庫與用戶的交互場(chǎng)景， 可以分析數(shù)據(jù)庫返回給用戶的數(shù)據(jù)集，

即用戶提交查詢請(qǐng)求之后數(shù)據(jù)庫返回的數(shù)據(jù)， 著眼于暴露給用戶的數(shù)據(jù)的敏感性。 具體地說，

M-Score方法將屬性分為準(zhǔn)標(biāo)識(shí)符屬性 (例如姓名、工作、城市、性別)和敏感屬性(例如用

戶類別、月薪、合同截止日期 )，敏感值函數(shù)表明每個(gè)敏感屬性中每個(gè)可能取值的敏感度。

計(jì)算M-Score值時(shí)，考慮三個(gè)因素：數(shù)據(jù)質(zhì)量(即數(shù)據(jù)的重要程度)、數(shù)據(jù)數(shù)量(暴露給用戶的

數(shù)據(jù)量）和區(qū)分因子（即數(shù)據(jù)的獨(dú)特程度）。一方面，該方法需要明確地定義每個(gè)敏感屬性各個(gè)可能取值的敏感值，這顯然需要花費(fèi)數(shù)據(jù)庫相關(guān)專家大量的時(shí)間精力，也容易出現(xiàn)錯(cuò)誤；另一方面，M-Score方法在計(jì)算每條記錄和整張表格的敏感值時(shí)的限制不合理，導(dǎo)致計(jì)算的M-Score值并不能較好地區(qū)分?jǐn)?shù)據(jù)泄露的程度。所以，他們提出了對(duì) M-Score的相應(yīng)的改

進(jìn)：（1）取消計(jì)算每條記錄和表格敏感值的限制； （2）提出一個(gè)數(shù)據(jù)模型來表示某一特定領(lǐng)域

的知識(shí)和敏感度。數(shù)據(jù)模型的應(yīng)用可以減少很多定義敏感值函數(shù)的工作， 但是取消計(jì)算每條

記錄和表格敏感值的限制在系統(tǒng)中的有效性可能因不同的數(shù)據(jù)庫環(huán)境而不同。

Islam等人在2015年提出了asensitivityscore”的方法，概念上基本類似于M-Score該方法在計(jì)算敏感度時(shí)分為三種粒度 ：關(guān)系表層次、屬性列層次和單元數(shù)據(jù)層次。無論使用

哪種粒度上的計(jì)算方法，每一個(gè)單元數(shù)據(jù)都有其對(duì)應(yīng)的敏感度 ：在關(guān)系表層面上時(shí)，同一表

中每個(gè)屬性列擁有相同的敏感度； 而在屬性列層面上時(shí)，同一列中每個(gè)單元數(shù)據(jù)的敏感度相

同。計(jì)算一條記錄的敏感值時(shí)，提出了“放大因子”的概念，它是一個(gè)映射函數(shù)，反映不同屬性列之間相關(guān)聯(lián)的敏感程度， 例如三個(gè)屬性列（姓名、地址、出生日期）的放大因子明顯大

于1,因?yàn)閱我坏男彰?、地址或者出生日期也許都不能夠唯一標(biāo)識(shí)一個(gè)人，但是三個(gè)屬性上的值都得到的話，基本可以唯一確定一個(gè)人， 所以放大因子可以保證一個(gè)包含不同屬性值的

記錄的敏感值大于各個(gè)屬性值的簡(jiǎn)單疊加。但文獻(xiàn)中并沒有實(shí)驗(yàn)證明這種方法比 M-Score

方法更有效。

四、數(shù)據(jù)庫審計(jì)操作框架及流程

面向數(shù)據(jù)庫訪問的用戶行為異常檢測(cè)和評(píng)估技術(shù) ：對(duì)數(shù)據(jù)庫用戶正常的訪問行為記錄進(jìn)

行預(yù)處理、特征提取，而后構(gòu)建行為模式；當(dāng)用戶再次訪問數(shù)據(jù)庫時(shí)，使用異常檢測(cè)算法，對(duì)用戶的數(shù)據(jù)庫操作行為進(jìn)行檢測(cè)， 并針對(duì)異常行為可能帶來的危害給出評(píng)估結(jié)果， 達(dá)到規(guī)

范數(shù)據(jù)庫用戶行為目的，為數(shù)據(jù)庫訪問提供安全保護(hù)。

要解決的問題有兩個(gè)：

一是使用有效的特征表示用戶的操作行為，以區(qū)分異常操作與正常操作；

二是使用合適的數(shù)據(jù)挖掘與機(jī)器學(xué)習(xí)算法發(fā)現(xiàn)用戶的日常操作習(xí)慣， 并對(duì)未知的操作進(jìn)

行判別。

此外，在處理這些異常操作時(shí)， 如果發(fā)現(xiàn)某些操作是被允許的， 只是之前的歷史記錄中

并沒有這樣的記錄，那么系統(tǒng)應(yīng)當(dāng)允許管理員進(jìn)行信息的反饋，以改進(jìn)用戶的行為模式。

異常檢測(cè)（AnomalyDetection）的假設(shè)是異常于正常主體的活動(dòng)，也稱為基于行為的檢測(cè)，是一種間接的檢測(cè)方法。主要思路是建立用戶正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔” ，如果當(dāng)前用戶

的行為與“活動(dòng)簡(jiǎn)檔”中體現(xiàn)的規(guī)律相違背， 則將其判斷為異常行為。異常檢測(cè)的難題在于

如何建立“活動(dòng)簡(jiǎn)檔’以及如何設(shè)計(jì)檢測(cè)算法，從而不把正常的操作判定為異常 （即誤報(bào)）

或把異常的行為判定為正常（即漏報(bào)）。

傳統(tǒng)的用戶行為異常檢測(cè)應(yīng)當(dāng)能夠檢測(cè)內(nèi)部攻擊。

SlritOS等人提出針對(duì)數(shù)據(jù)庫的入侵

檢測(cè)系統(tǒng)應(yīng)當(dāng)滿足以下要求 ：

(1)分析用戶行為、構(gòu)建“活動(dòng)簡(jiǎn)檔’，和檢測(cè)應(yīng)當(dāng)著重在四個(gè)方面：用戶命令、訪問到的數(shù)據(jù)、處理的數(shù)據(jù)和執(zhí)行結(jié)果；

(2)入侵檢測(cè)系統(tǒng)應(yīng)當(dāng)能夠更新，例如從已被確認(rèn)的入侵警報(bào)或者誤報(bào)中學(xué)到相應(yīng)的知識(shí)，從而提高系統(tǒng)檢測(cè)的準(zhǔn)確率、降低誤報(bào)率。

面向數(shù)據(jù)庫訪問的用戶行為異常檢測(cè)模塊中， 包括三個(gè)子模塊：審計(jì)數(shù)據(jù)分析處理模塊、

行為模式構(gòu)建/更新模塊、用戶行為檢測(cè)模塊。

行為模式庫構(gòu)建/更新之前，首先進(jìn)行審計(jì)數(shù)據(jù)分析與處理，包括預(yù)處理、SQL解析等步驟，表示出用戶的行為，之后選取合適的方法(規(guī)則挖掘或分類器)進(jìn)行用戶行為模式構(gòu)建，生成行為模式庫。用戶行為檢測(cè)的第一個(gè)步驟同之前的審計(jì)數(shù)據(jù)處理， 第二個(gè)步驟則是結(jié)合

之前生成的行為模式庫進(jìn)行行為檢測(cè)，行為檢測(cè)的方法與建模的方法是一一對(duì)應(yīng)的。

(一)用戶行為表示即審計(jì)數(shù)據(jù)分析處理模塊

負(fù)責(zé)對(duì)獲得的審計(jì)數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗、數(shù)據(jù)規(guī)約等預(yù)處理操作，還負(fù)責(zé)使用用戶行為表示方法進(jìn)一步加工審計(jì)數(shù)據(jù)，如從SQL語句中拆分出SQL命令、關(guān)系表信息、屬性列信息和對(duì)時(shí)間戳進(jìn)行處理等，最終得到一組有效的特征表征用戶的操作行為。

問題一是對(duì)審計(jì)數(shù)據(jù)的分析與處理， 即從繁雜的審計(jì)數(shù)據(jù)中提取哪些特征來表示出用戶

行為，以及如何提取并處理的問題。解決第一個(gè)問題，可以采用基于語法和基于環(huán)境相結(jié)合的用戶行為表示方法；

從數(shù)據(jù)庫日志中獲取審計(jì)數(shù)據(jù)。數(shù)據(jù)庫審計(jì)日志中包含直接體現(xiàn)用戶行為的數(shù)據(jù)。以MySQ嗽據(jù)庫為例，MySQ改據(jù)庫中g(shù)eneral-log表格中包含SQL語句、操作時(shí)間等諸多關(guān)鍵信息。

general-log的表格中eventtime是查詢語句的執(zhí)行時(shí)間；userhost是執(zhí)行該查詢語句的用戶名和主機(jī)名的組合字符串； threadid 是執(zhí)行該查詢?cè)撜Z句的線程號(hào) ；serve門d

是服務(wù)器ID;commandtype是用戶請(qǐng)求的類型，例如connect,query等；argument是用戶執(zhí)行的SQL語句。研究用戶的異常行為檢測(cè)，著眼于查詢語句、 執(zhí)行者、執(zhí)行時(shí)間以及執(zhí)

行地點(diǎn)，所以eventtime,userhost和argument這三個(gè)屬，性彳艮重要。

1、基于語法的用戶行為表示方法

原始的SQL語句可以從generallog中的argument字段獲得。接下來的主要工作是進(jìn)行SQL解析，提取SQL命令、訪問的數(shù)據(jù)關(guān)系表、訪問的屬性列三種特征，公式化表示為((c,R,A),其中：

①c指SQL命令，如select,insert,update,delete ;

②R指用戶訪問的數(shù)據(jù)關(guān)系表，一般從 FROM^句中獲得；

③A指用戶訪問的屬性列，約束子句中會(huì)包含此類信息。

典型的SQL解析流程：詞法分析器的主要作用是按照構(gòu)詞規(guī)則進(jìn)行詞匯和單詞的分析，語法分析器的作用則是將詞法分析器提取出來的單詞按照某種給定的形式文法構(gòu)建數(shù)據(jù)結(jié)構(gòu)（如語法分析樹、抽象語法樹等）。進(jìn)彳TSQL解析時(shí)，首先通過詞法分析器從SQL語句中提取各種保留字（SELECT,INSERT,UPDATE,DELETE,WHERE,FROM?）、運(yùn)算符（力口號(hào)、減號(hào)、大于號(hào)、小于號(hào)等）和界符（逗號(hào)、括號(hào)等）等SQL語言元素，將SQL語句轉(zhuǎn)變?yōu)橐幌盗袉卧~符號(hào)，然后語法分析器根據(jù)SQL語言的語法規(guī)則進(jìn)行語法分析， 并構(gòu)建SQL語法解析樹。建

議采用開源項(xiàng)目Jsqlparser進(jìn)彳SSQL語句的解析。

2、基于環(huán)境的用戶行為表示方法

基于環(huán)境的用戶行為表示方法一般包含用戶名、 時(shí)間戳、操作命令等特征，公式化表示

為（u,t,c）,其中：

①u指用戶名；

②t指操作執(zhí)行的時(shí)間；

③c與基于語法的方法中定義相同，指select,insert,update,delete 這些數(shù)據(jù)庫

操作命令。

操作執(zhí)行的時(shí)間可以從MySQL的general-log中eventtime字段獲得；userhost是執(zhí)行該查詢語句的用戶名和主機(jī)， 可以代替用戶名標(biāo)識(shí)不同的用戶；操作命令同上文的基于

語法的方法，不再贅述。

綜合以上基于語法和基于環(huán)境方法的分析，使用五元組 〈用戶名，SQL命令，訪問的數(shù)

據(jù)關(guān)系表，訪問的屬性列，時(shí)間戳 ＞表示用戶的行為，公式化表示為 （u,c,RA,t）,其中：

①u指用戶名，用來標(biāo)識(shí)和區(qū)分不同的用戶，從general-log中userhost字段獲得；

②c指SQL命令，如select,insert,update,delete ,通過解析SQL語句獲得；

③R指用戶訪問的數(shù)據(jù)關(guān)系表，解析 SQL語句可獲得，一般包含在 FROMI^句中；

④A指用戶訪問的屬性列，解析 SQL語句可獲得，一般約束子句中會(huì)包含此類信

息；

⑤t指操作執(zhí)行的時(shí)間，按照時(shí)間段劃分轉(zhuǎn)換成數(shù)字。

語句模板是一個(gè)三元組〈OPF,T〉，其中，OP是SQL語句的語句類型，F(xiàn)是SQL語句涉及的屬性集，T是SQL語句中的表集合。

（二）異常檢測(cè)

負(fù)責(zé)根據(jù)用戶歷史操作記錄構(gòu)建行為模式庫；

用戶行為模式構(gòu)建主要任務(wù)是從用戶日常的操作記錄中挖掘出用戶的行為習(xí)慣， 并使用

數(shù)據(jù)模型表示出來。

根據(jù)檢測(cè)算法判別用戶行為是否異常， 如果判定結(jié)果為異常，向管理員發(fā)送警報(bào)，管理

員對(duì)系統(tǒng)報(bào)警的異常行為給出反饋信息，根據(jù)反饋信息進(jìn)行行為模式庫更新。

用戶行為異常檢測(cè)是建立一個(gè)合法用戶的正常行為模式， 通過比較該合法用戶的當(dāng)前行

為和正常行為特征來識(shí)別異常行為， 即如果該合法用戶的當(dāng)前行為較大幅度地偏離了其歷史

上的正常行為特征，則認(rèn)為發(fā)生了異常。這種異?？赡苁窃摵戏ㄓ脩舯旧磉M(jìn)行了非授權(quán)操作，也可能是系統(tǒng)中其他合法用戶或外部入侵者 （非法用戶）冒充該合法用戶進(jìn)行了非法操作。

兩個(gè)重要問題：

1）對(duì)用戶行為習(xí)慣的建模，即用什么樣的模型表示出用戶的行為模式的問題；

2）對(duì)未知用戶行為進(jìn)行檢測(cè)判別， 即在己知用戶行為模式的前提下， 使用何種檢測(cè)算法

判別用戶行為是否異常的問題。

而這兩個(gè)問題是相輔相成的，有兩種思路可以解決 ：

1）將用戶行為異常檢測(cè)問題視為規(guī)則匹配問題，首先建立用戶行為規(guī)則庫 R,已知待檢

測(cè)用戶行為x,x能否與R中的規(guī)則匹配是判別用戶行為是否異常的標(biāo)準(zhǔn)；

2）將用戶行為異常檢測(cè)問題視為二分類問題，首先利用歷史操作數(shù)據(jù)構(gòu)建分類器 C,類

別K包括正常（Normal）和異常（Abnormal）兩類，己知待檢測(cè)用戶行為x,分類器C給出的分類結(jié)果若為Normal,則表示用戶的行為是正常的，反之為異常的。

1、異常檢測(cè)

該模型的工作過程為：

首先，利用傳統(tǒng)數(shù)據(jù)庫安全機(jī)制中的安全日志和主機(jī)訪問日志， 結(jié)合現(xiàn)階段趨于成熟智

能算法，尤其是基于遺傳算法和粒子群算法的改進(jìn)神經(jīng)網(wǎng)絡(luò)算法， 以監(jiān)督學(xué)習(xí)方式，提取用

戶的網(wǎng)絡(luò)行為和數(shù)據(jù)庫行為特征， 生成基于用戶網(wǎng)絡(luò)與數(shù)據(jù)庫行為的用戶安全特征庫， 依據(jù)

該特征庫建立正常用戶行為特征數(shù)據(jù)庫。 再視實(shí)際情況考慮是否和專家系統(tǒng)聯(lián)合建議異常檢

測(cè)框架，專家系統(tǒng)是根據(jù)領(lǐng)域?qū)＜业闹R(shí)與經(jīng)驗(yàn)建立的知識(shí)庫， 并根據(jù)這些知識(shí)和經(jīng)驗(yàn)來判

斷特定的情況是否為攻擊行為，并根據(jù)判斷結(jié)果執(zhí)行相應(yīng)操作。

基于用戶行為分析與識(shí)別的數(shù)據(jù)庫入侵檢測(cè)系統(tǒng)中的入侵檢測(cè)算法涉及到的主要參數(shù)包括：BP神經(jīng)網(wǎng)絡(luò)參數(shù)、遺傳算法參數(shù)和改進(jìn)粒子群算法參數(shù)。 BP神經(jīng)網(wǎng)絡(luò)參數(shù)主要包括

神經(jīng)網(wǎng)絡(luò)隱含層數(shù)，網(wǎng)絡(luò)每個(gè)層次的神經(jīng)元個(gè)數(shù)以及訓(xùn)練相關(guān)參數(shù)； 改進(jìn)粒子群算法主要參

數(shù)包括種群規(guī)模，學(xué)習(xí)因子和慣性權(quán)重等； 遺傳算法主要參數(shù)包括種群大小， 交叉率與變異

律等。

其次，以網(wǎng)絡(luò)正常行為數(shù)據(jù)庫為依據(jù)，實(shí)時(shí)檢測(cè)、 收集網(wǎng)絡(luò)用戶行為， 并提取網(wǎng)絡(luò)用戶

行為的不變性特征，將此特征與網(wǎng)絡(luò)正常行為數(shù)據(jù)庫記錄做比較，判定用戶行為的合法性。

并可以根據(jù)網(wǎng)絡(luò)用戶行為自適應(yīng)的修改網(wǎng)絡(luò)正常用戶行為數(shù)據(jù)庫， 實(shí)現(xiàn)同步動(dòng)態(tài)數(shù)據(jù)庫更新

和實(shí)時(shí)入侵檢測(cè)。。因此該算法具有自適應(yīng)能力。

特征選擇方法有效的選擇

該算法成功的關(guān)鍵點(diǎn)是特征選擇方法與模式識(shí)別的閾值設(shè)計(jì)。

特征是模型設(shè)計(jì)成敗的關(guān)鍵， 而與模式相匹配的閾值設(shè)計(jì)是分類預(yù)警的核心， 閾值過大，預(yù)

警失去完備性；閾值過小，正常行為被報(bào)警，系統(tǒng)失去正確性。

該方法也存在局限性，系統(tǒng)正常行為全面定義不能被實(shí)現(xiàn)， 無法鑒別非正常行為的入侵

性，因而存在較高的誤報(bào)率，更新起來也比較復(fù)雜。

2、誤用檢測(cè)

與異常檢測(cè)方法相反，誤用檢測(cè)學(xué)習(xí)并建立非正常行為的特征信息庫， 以此為基礎(chǔ)檢測(cè)

并預(yù)警無用行為。

以具體研究對(duì)象、現(xiàn)有系統(tǒng)的缺欠和領(lǐng)域?qū)＜业慕ㄗh為前提， 誤用檢測(cè)系統(tǒng)收集并建立

TOC\o"1-5"\h\z

盡量包含所有非正常操作的行為特征信息庫； 對(duì)實(shí)時(shí)采集的網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行特征提取， 通

過匹配算法計(jì)算該特征與特征信息庫中已經(jīng)存在的用戶非正常行為特征之間的相似程度， 根

據(jù)該相似程度的數(shù)值與系統(tǒng)設(shè)定的閥值進(jìn)行比較，決定用戶行為的合法性。

誤用檢測(cè)方法對(duì)認(rèn)定過的入侵行為識(shí)別判定率十分的高， 同時(shí)出現(xiàn)誤報(bào)的概率很低，對(duì)

對(duì)認(rèn)定過的入侵行為是一種十分理想的檢測(cè)方法。 但也存在如下缺點(diǎn)：全面給出用戶非法行

為是不可能的，使算法魯棒性較差。沒有入庫的非法用戶特征對(duì)匹配結(jié)果也有巨大影響， 漏

報(bào)率高。同時(shí)該系統(tǒng)具有非常強(qiáng)的領(lǐng)域針對(duì)性，系統(tǒng)遷移需要重新設(shè)計(jì)或?qū)W習(xí)規(guī)則數(shù)據(jù)庫。

3、異常檢測(cè)+誤用檢測(cè)

采取黑白兩個(gè)數(shù)據(jù)庫的方法有效解決這兩種檢測(cè)方法的缺欠， 并通過黑白庫加權(quán)匹配的

方法識(shí)別用戶行為的合法性，實(shí)現(xiàn)系統(tǒng)預(yù)警。

黑數(shù)據(jù)庫記錄了非法用戶行為， 白數(shù)據(jù)庫記錄了合法用戶行為， 黑數(shù)據(jù)庫具有自動(dòng)更新

能力，白數(shù)據(jù)庫更新需要用戶交互式參與。

系統(tǒng)根據(jù)推理法則表，實(shí)現(xiàn)用戶行為識(shí)別與預(yù)警，同時(shí)對(duì)于未知行為，在提供預(yù)警的基礎(chǔ)上，轉(zhuǎn)交用戶確認(rèn)。并根據(jù)確認(rèn)結(jié)果決定是否更新兩個(gè)數(shù)據(jù)庫。

這樣就解決了前兩種設(shè)計(jì)方法的缺欠。

00\01\10\11;10,正常；00、11,未知，轉(zhuǎn)由人工處理； 01,異常-報(bào)警

（三）異常評(píng)估

異常檢測(cè)系統(tǒng)給出的警報(bào)可能有很多， 在最快的時(shí)間內(nèi)處理好最嚴(yán)重的警報(bào)是對(duì)數(shù)據(jù)庫

管理員的要求，這就需要系統(tǒng)能夠?qū)Ξ惓Ｐ袨榭赡軒淼奈：ψ隽炕u(píng)估。 用戶行為異常評(píng)

估問題，簡(jiǎn)單來說，即己知一個(gè)異常的數(shù)據(jù)庫操作， 量化計(jì)算這個(gè)異常操作對(duì)數(shù)據(jù)安全造成

的危害的問題。評(píng)估的是對(duì)數(shù)據(jù)安全造成的影響， 那么最直接的切入點(diǎn)就是異常操作訪問到

的數(shù)據(jù)。

數(shù)據(jù)庫訪問操作包括select,delete,update和insert四種操作，其中select操作是對(duì)數(shù)據(jù)庫進(jìn)行查詢，數(shù)據(jù)庫會(huì)給予用戶查詢的返回結(jié)果集， 這個(gè)返回結(jié)果集就是用戶通過這個(gè)異常查詢操作接觸到的數(shù)據(jù)，返回結(jié)果集暴露出的敏感程度即數(shù)據(jù)庫泄露的危害程度;除了select操作以外的三種操作，數(shù)據(jù)庫并不會(huì)給予返回結(jié)果集，同時(shí)，與查詢操作不同的是:delete,update和insert這三種異常操作一旦發(fā)生，會(huì)改變數(shù)據(jù)庫中的數(shù)據(jù)，對(duì)數(shù)據(jù)庫數(shù)據(jù)造成破壞和損毀，一般這種破壞是不可逆的，所以可以考慮從操作的發(fā)生概率上側(cè)面體現(xiàn)危害程度。

因此，面向數(shù)據(jù)庫訪問的用戶行為異常評(píng)估模塊中，包括三個(gè)子模塊 ：數(shù)據(jù)模型構(gòu)建模

塊、數(shù)據(jù)泄露危害度量模塊和數(shù)據(jù)篡改、損毀危害度量模塊。

1、數(shù)據(jù)模型構(gòu)建模塊

首先數(shù)據(jù)模型構(gòu)建模塊根據(jù)數(shù)據(jù)庫專家的經(jīng)驗(yàn)知識(shí)構(gòu)建能夠計(jì)算數(shù)據(jù)庫中數(shù)據(jù)敏感值

的數(shù)據(jù)模型，包括繼承關(guān)系數(shù)據(jù)模型和關(guān)聯(lián)關(guān)系數(shù)據(jù)模型； 之后根據(jù)操作的類型， 選擇評(píng)估

的方法進(jìn)行異常評(píng)估。

對(duì)數(shù)據(jù)泄露的危害度量通過計(jì)算返回結(jié)果集的敏感程度來體現(xiàn)。 而返回結(jié)果集中單元數(shù)

據(jù)的敏感值初始時(shí)并不可知，即使有數(shù)據(jù)庫專家的參與，讓數(shù)據(jù)庫專家定義數(shù)據(jù)庫中所有單元數(shù)據(jù)敏感值的工作量也太大了， 所以需要使用數(shù)據(jù)模型，根據(jù)數(shù)據(jù)庫專家的經(jīng)驗(yàn)知識(shí)建立

數(shù)據(jù)模型，由數(shù)據(jù)模型獲得每個(gè)單元數(shù)據(jù)的敏感