[发明专利]一种数据库综合安全防护方法

说明书

技术领域

本发明涉及信息安全技术领域，具体讲涉及一种基于规则的误用检测技术和基于机器学习的异常检测技术结合新颖检测模型，辅以独立完善的数据库审计技术和实时监控技术的新型数据库综合防护方法。 

背景技术

数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要。然而由于数据库本身安全性不足等原因，攻击者可能通过非正常途径来访问数据库，甚至实施缓冲区溢出或SQL注入来攻击数据库，从而造成敏感信息的泄漏，危害数据安全以及信息系统的安全。 

为保障数据库以及信息系统的安全，各企业和单位采取了许多防护措施，包括常规方法和专门的数据库防护方法。常规方法包括物理隔离、防火墙、入侵检测、加密传输身份认证系统等，这些常规方法只能进行地址、端口、协议等网络层过滤，无法有效抵御针对数据库系统应用层的攻击例如SQL诸如攻击等。专门的数据库防护方法包括基于特征的数据库安全防护方法等，这些方法本质是误用检测模型，误用检测模型针对各种攻击方式建立特征库并结合简单白名单功能来实现安全防护，不只是仅能检测已知的安全问题，无法发现未知攻击行为，而且存在随着特征库的不断复杂和庞大，检测的时间消耗随之增加的问题，最为严重的是，由于SQL语言的灵活多样性和攻击行为的不断翻新，仅依靠特征库将难以准确区分正常访问和攻击行为，由此导致准确性减低和误报率增高。 

入侵检测系统的概念是指未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。入侵检测系统分为异常入侵检测系统和误用入侵检测系统。 

异常检测模型建立系统正常工作模型，把当前活动与正常模型进行比对，一旦发现偏离正常统计学意义上的操作模式，即认为发生了入侵行为，其关键是异常阈值和特征的选择，其优点是可检测到未知的入侵和较为复杂的入侵，但各种应用系统的行为特征通常灵活变更，异常检测模型难以实现结构化查询语言SQL攻击的准确定位，误报率太高。 

已有的异常入侵检测方法有基于特征选择的异常检测方法、基于贝叶斯推理的异常检测、基于贝叶斯网络的异常检测、基于统计的异常检测方法、基于模式预测的异常检测方法、基于机器学习的异常检测方法、基于数据挖掘的异常检测方法、基于应用模式的异常检测方法、基于文本分类的异常检测方法。 

误用检测模型采集入侵行为的特征，建立相关的攻击行为特征库。在检测过程中，将收集到的数据与特征库中的攻击行为特征进行模式，以判别是否发生了入侵行为。误用检测模型误报率低，但只能仅能用来检测已知的入侵行为，无法发现未知入侵行为。 

已有的误用入侵检测方法有基于条件概率的误用入侵检测、基于状态迁移分析的误用入侵检测、基于键盘监控的误用入侵检测、基于规则的误用入侵检测方法。 

综合来说，异常入侵检测容易出现误报，而误用入侵检测容易出现漏报，而本发明专利提出一种结合了基于规则的误用检测技术和基于机器学习的异常检测技术的新检测模型，利用了两种检测技术各自的优点，以及它们的互补性，减少了单纯使用某种入侵检测技术时的漏报率和误报率，从而提高系统的整体安全防护能力。 

审计功能是数据库管理系统安全性重要的一部分，同时在本发明中作为独立于检测模块的第二道安全防线。常见的安全审计技术主要有四类，分别是：基于日志的审计技术、基于代理的审计技术、基于网络监听的审计技术、基于网关的审计技术。 

本发明采用了基于网关的审计技术，该技术是通过在数据库系统前部署网关设备，通过在线截获并转发到数据库的流量而实现审计。 

发明内容