數(shù)據(jù)庫安全審計檢測系統(tǒng)的設計與實現(xiàn).pdf

1、數(shù)據(jù)庫作為信息系統(tǒng)的核心資產(chǎn)已成為入侵者主要的攻擊目標。目前廣泛應用的數(shù)據(jù)庫安全機制主要是從預防的角度應對非安全事件，它們?nèi)狈Ψ前踩录l(fā)生后的應對能力。一旦發(fā)生安全問題，快速識別發(fā)現(xiàn)非法行為、事后取證和分析安全事故就十分重要。因此關注數(shù)據(jù)庫安全審計與安全檢測有著重要的現(xiàn)實意義。
　　論文剖析了數(shù)據(jù)庫安全審計機制和安全檢測技術(shù)，認為數(shù)據(jù)庫安全審計與安全檢測在功能和目標上相互支撐、相互利用。在此基礎上，本文從審計獨立的角度，針對Or

2、acle數(shù)據(jù)庫設計和實現(xiàn)了一種數(shù)據(jù)庫安全審計檢測系統(tǒng)。
　　數(shù)據(jù)庫安全審計采用旁路監(jiān)聽的數(shù)據(jù)采集方式，實現(xiàn)了審計的獨立性。其中的核心技術(shù)包括Java網(wǎng)絡數(shù)據(jù)包捕獲與過濾、網(wǎng)絡協(xié)議解析、數(shù)據(jù)庫通信協(xié)議解析、SQL語句解析。數(shù)據(jù)庫安全檢測采用基于用戶行為規(guī)則的安全檢測和基于SQL語句結(jié)構(gòu)的安全檢測相結(jié)合的方式?；谟脩粜袨橐?guī)則的安全檢測是在建立數(shù)據(jù)庫用戶行為模型的基礎上生成用戶行為規(guī)則，通過用戶操作行為與規(guī)則的匹配來實現(xiàn)異常檢測。生成

3、用戶行為規(guī)則采用關聯(lián)分析的方法，并考慮了規(guī)則訓練集內(nèi)容安全性的不同。基于SQL語句結(jié)構(gòu)的安全檢測是在分析SQL語法結(jié)構(gòu)的基礎上實現(xiàn)的，它彌補了基于用戶行為規(guī)則的安全檢測檢測顆粒度低的缺點。
　　論文的主要工作如下:
　　(1)解析了Oracle11g數(shù)據(jù)庫的非公開TNS協(xié)議（314版本），實現(xiàn)了準確高效的從TNS數(shù)據(jù)包中提取數(shù)據(jù)庫用戶操作信息。
　　(2)提出了一種數(shù)據(jù)庫用戶行為模型。不僅能識別SQL語句的操作類型與操

4、作目標，同時也能提取操作條件或嵌套語句中的操作類型與操作目標，能較全面的描述數(shù)據(jù)庫用戶的操作行為，且具有描述精度的擴展能力。
　　(3)在關聯(lián)分析的基礎上設計了一種用戶正常行為規(guī)則生成算法，并考慮了訓練集內(nèi)容的安全性。分析對比了幾種典型的相關性度量標準，選用了一種適用于數(shù)據(jù)庫用戶行為數(shù)據(jù)特性的相關性度量標準生成用戶行為規(guī)則。
　　(4)設計了基于用戶行為規(guī)則和基于SQL語句結(jié)構(gòu)相結(jié)合的安全檢測方法，提高了用戶行為檢測的廣度和