數(shù)據(jù)庫(kù)安全代理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、如今，由于對(duì)數(shù)據(jù)庫(kù)的入侵行為頻繁的發(fā)生，關(guān)于數(shù)據(jù)庫(kù)的安全技術(shù)成為信息安全研究的焦點(diǎn)。入侵防御技術(shù)作為新的數(shù)據(jù)庫(kù)安全技術(shù)被眾多學(xué)者所研究，由于入侵防御技術(shù)作為一種主動(dòng)的防御技術(shù)除了能夠?qū)θ肭中袨檫M(jìn)行實(shí)時(shí)、精確檢測(cè)外，還能在入侵行為造成破壞之前進(jìn)行迅速有效的攔截。因此，采用入侵防御技術(shù)來(lái)保護(hù)數(shù)據(jù)庫(kù)是一種非常有效的安全措施。 數(shù)據(jù)庫(kù)入侵防御技術(shù)采用的思想是將入侵防御系統(tǒng)插入到客戶端和數(shù)據(jù)庫(kù)之間，將其分為兩個(gè)部分，一部分是通過(guò)訪問(wèn)控制來(lái)

2、進(jìn)行檢測(cè)與防御，另一部分是通過(guò)入侵檢測(cè)來(lái)進(jìn)行異常行為的檢查，通過(guò)兩部分的合作來(lái)對(duì)數(shù)據(jù)庫(kù)實(shí)施入侵防御。本文的數(shù)據(jù)庫(kù)安全代理系統(tǒng)所研究的內(nèi)容正是第一部分。 本文的主要研究工作和創(chuàng)新點(diǎn)主要?dú)w納為以下幾點(diǎn)： 1.在原有C/S架構(gòu)的基礎(chǔ)上，為客戶端和后臺(tái)數(shù)據(jù)庫(kù)之間建立一個(gè)通信代理，既實(shí)現(xiàn)對(duì)用戶訪問(wèn)請(qǐng)求的攔截，又實(shí)現(xiàn)與入侵檢測(cè)系統(tǒng)的通信。通過(guò)向后臺(tái)數(shù)據(jù)庫(kù)轉(zhuǎn)發(fā)用戶的合法訪問(wèn)請(qǐng)求來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的防御。 2.使用LEX和YACC工

3、具來(lái)對(duì)客戶端提交的SQL語(yǔ)句進(jìn)行詞法和語(yǔ)法的分析，分析出SQL語(yǔ)句中的操作行為和操作對(duì)象，以供訪問(wèn)控制模型進(jìn)行訪問(wèn)控制。 3.提出了DBLP_ABC訪問(wèn)控制模型，以保證數(shù)據(jù)庫(kù)安全代理系統(tǒng)能夠在檢測(cè)出合法用戶權(quán)限濫用的同時(shí)能夠在不同的使用場(chǎng)景作出不同的訪問(wèn)控制。 4.為DBLP_ABC模型設(shè)計(jì)一個(gè)參考監(jiān)視器，通過(guò)該監(jiān)視器的各個(gè)模塊的協(xié)同合作來(lái)實(shí)現(xiàn)DBLP_ABC模型。 最后的測(cè)試表明，數(shù)據(jù)庫(kù)安全系統(tǒng)在具有良好的訪問(wèn)