数据库内部安全审计
数据库安全审计与监管
数据库安全审计与监管数据库安全是保护数据库系统中的数据免受未授权访问、数据泄露和数据损坏等威胁的过程。
随着数据库系统的广泛应用和数字化环境的不断发展,数据库安全问题越来越受到重视。
为了确保数据库的安全性,数据库安全审计与监管成为一项重要的工作。
一、数据库安全审计数据库安全审计是对数据库系统中的活动和事件进行监测、收集和分析的过程。
通过审计,可以检测和排查潜在的安全漏洞,发现异常行为和未授权的访问,并及时采取相应的措施保护数据的安全。
1. 日志审计日志审计是数据库安全审计的核心环节。
数据库系统会自动生成各种类型的日志,包括登录日志、操作日志、安全日志等,通过对这些日志进行分析,可以查看用户的访问行为和操作,判断是否存在异常情况。
日志审计可以帮助发现数据库被非法用户登录或者恶意操作的情况,有助于及时采取应对措施。
2. 异常检测除了对日志进行审计,还可以通过异常检测来识别潜在的安全风险。
异常检测可以通过对数据库系统的行为和性能进行监测,发现异常的操作或者性能下降,及时采取措施修复漏洞和提高数据库系统的安全性。
3. 安全策略审计数据库安全审计还需要对安全策略进行审计。
安全策略包括密码策略、权限管理策略、备份策略等,通过审计这些安全策略的合规性和执行情况,可以及时调整和优化安全策略,提高数据库的安全性。
二、数据库安全监管数据库安全监管是对数据库系统的安全性进行持续监测和评估的过程。
通过安全监管,可以及时发现和解决数据库系统中的安全问题,提高数据库系统的整体安全水平。
1. 安全策略管理安全策略管理是数据库安全监管的重要环节。
通过对数据库系统中的安全策略进行管理,包括权限管理、密码管理、备份与恢复管理等,可以提高数据库系统的抵御风险能力,加强对敏感数据的保护。
2. 安全漏洞扫描数据库系统中存在着各种各样的安全漏洞,例如未及时打补丁、配置错误等。
通过安全漏洞扫描,可以全面地检查数据库系统的安全漏洞,并及时采取相应的修复措施,提高系统的安全性。
数据库安全策略与安全审计
数据库安全策略与安全审计随着信息技术的不断发展,数据库安全问题愈发引起人们的重视。
作为信息系统的基础和核心,数据库面临着来自内部和外部的安全威胁。
为了确保数据库的安全性,采取适当的安全策略并进行安全审计变得至关重要。
一、数据库安全策略数据库安全策略是一系列措施和技术,用于保护数据库免受非法访问、恶意攻击和数据泄露的威胁。
下面将介绍几个重要的数据库安全策略。
1. 强密码策略为了防止密码猜测和强制破解,数据库应强制使用强密码。
强密码应该包含大小写字母、数字和特殊字符,并且长度应大于8位。
此外,用户密码应定期更换,避免重复使用。
2. 用户权限管理数据库用户权限的管理非常重要。
只有经过授权的用户才能访问敏感数据和执行特定的数据库操作。
管理员应根据不同用户的职责和需求,分配相应的权限,避免滥用和访问控制上的漏洞。
3. 数据加密数据库中存储的数据可能包含敏感信息,如个人身份信息、财务数据等。
通过对数据进行加密,即使数据库被非法访问,攻击者也无法读取和利用数据。
应采用合适的加密算法和密钥管理机制来保护数据的机密性。
4. 定期备份与恢复数据库备份是防止数据丢失的重要手段。
定期进行全量备份和增量备份,并将备份数据存储在独立的地理位置,以防止自然灾害和硬件故障。
同时,定期测试和验证备份的可恢复性,保证在发生问题时能够及时恢复数据。
5. 漏洞管理数据库供应商和社区经常发布安全补丁和更新。
及时安装这些补丁以修复发现的漏洞,可以有效减少数据库系统受攻击的风险。
此外,安全团队应对数据库进行持续漏洞扫描和监测,及时发现和解决潜在的安全问题。
二、数据库安全审计数据库安全审计是对数据库活动进行监控和审查的过程,以确保数据库的合规性和安全性。
安全审计可以追踪数据库的访问记录和操作记录,发现异常行为和潜在的安全风险。
下面介绍常见的数据库安全审计技术。
1. 审计日志数据库系统应启用审计日志功能,记录用户活动和数据库操作,如登录、查询、修改、删除等。
数据库安全审计
数据库安全审计数据库安全审计是指对数据库系统中的数据进行审查,以确保敏感数据的安全性和合规性。
通过对数据库中的操作进行记录、分析和检测,能够及时发现潜在的安全风险,并采取相应的防护措施,保护企业的核心数据免受恶意攻击和不当使用的威胁。
一、审计的基本原理数据库安全审计的基本原理包括数据采集、数据分析与处理和异常报告。
1. 数据采集数据采集是数据库安全审计的第一步,主要通过对数据库操作的日志进行记录和收集。
常见的采集方式有日志审计、数据包捕获、主动监测和用户行为录像等。
采集到的数据包括用户登录信息、系统操作记录、数据库对象修改记录等。
2. 数据分析与处理数据分析与处理是审计的核心步骤,需要对采集到的数据进行清理、整理和分析。
其中清理的目的是去除无效数据和噪音,使数据更加准确和可靠。
整理过程中需要将数据进行分类、归档和标准化,便于后续的分析和检测。
数据分析主要包括模式分析、行为分析和关联分析等,通过分析可以发现潜在的安全风险和异常行为。
3. 异常报告异常报告是审计最终的输出结果,主要是对分析结果的总结和归纳。
审计人员需要将数据分析结果进行整合和概括,以便对异常行为进行监管和处置。
同时,可以将报告与相关人员共享,以便及时采取措施修复潜在的安全漏洞。
二、数据库安全审计的目的数据库安全审计的目的主要是保护数据库中存储的敏感数据,提高数据库的安全性和可靠性。
具体包括以下几点:1. 发现潜在的安全风险通过审计可以发现数据库中可能存在的安全隐患和漏洞,及时采取措施进行修复和防护。
例如,发现数据库默认账号密码未修改、权限设置过松等风险因素,可以及时修复,防止被攻击者利用。
2. 防范数据泄露和非法访问数据泄露是组织面临的重要威胁之一,数据库安全审计可以帮助发现存在数据泄露风险的操作和异常行为,及时采取措施进行预防和处理。
同时,审计记录的收集和分析还可以防范未授权的数据访问,保护数据库中的敏感信息。
3. 合规性审查与数据完整性对于一些行业和组织而言,数据的完整性和合规性是必须被关注的问题。
数据库安全审计方案的说明书
数据库安全审计方案的说明书1. 引言数据库是现代企业管理中不可或缺的一部分,其中包含了大量的敏感信息和关键业务数据。
然而,由于各种原因,数据库面临着来自内部和外部的威胁。
为了确保数据库的安全性,采取数据库安全审计是必不可少的措施。
本文将详细介绍一个有效的数据库安全审计方案。
2. 安全审计目标在开始审计之前,我们需要明确审计的目标。
数据库安全审计的主要目标包括:- 检测潜在的安全漏洞和风险;- 监控数据库的安全配置和策略;- 跟踪和记录对数据库的所有操作;- 分析和报告异常活动并及时采取措施。
3. 审计工具选择适当的审计工具对于实施有效的数据库安全审计至关重要。
以下是一些常用的审计工具:- 数据库审计日志:现代数据库管理系统通常提供审计日志功能,可以记录所有数据库操作的详细信息。
- 安全信息和事件管理系统(SIEM):SIEM可以集中管理和监控数据库审计日志,并利用自动化、实时报警和分析功能来识别潜在的安全威胁。
- 数据库安全评估工具:这些工具可以对数据库进行系统性的安全评估,识别漏洞和弱点,并提供改进建议。
4. 审计策略制定合适的审计策略对于数据库安全审计的成功至关重要。
以下是一些关键的审计策略:- 确定审计的频率和持续时间:根据业务需求和风险评估,确定审计的频率,如每日、每周或每月,并决定审计的持续时间。
- 定义审计范围:明确需要审计的数据库和关键数据表,以及需要监控的操作,如数据库登录、查询、修改和删除操作等。
- 设置审计日志记录级别:根据需求和性能考虑,确定审计日志记录的详细程度,如记录所有操作、只记录异常操作等。
- 保护审计日志的完整性:采取措施确保审计日志的完整性和不可篡改性,如加密、数字签名或将日志存储在安全的位置。
- 建立审计报告和警报机制:根据需求和管理层要求,建立定期生成审计报告和实时警报机制。
5. 审计流程为了确保审计的高效和有效,制定清晰的审计流程是必要的。
以下是一个典型的数据库安全审计流程:- 收集和分析审计日志:收集数据库审计日志并使用合适的工具进行分析,以识别异常活动和潜在威胁。
数据库安全审计方法与实施策略
数据库安全审计方法与实施策略数据库是现代企业信息化建设的重要组成部分,存储着大量的关键数据。
然而,随着互联网的快速发展,数据库安全问题也日益突出。
黑客攻击、数据泄露和不当操作等风险对数据库的安全性造成了严重的威胁。
因此,数据库安全审计方法和实施策略的重要性不可忽视。
一、数据库安全审计方法1. 日志审计日志是数据库记录的关键信息,通过对数据库的日志进行审计,可以监控和追踪对数据库的访问和操作。
日志审计可以识别非法的操作行为和异常访问,同时也可以为安全分析提供重要依据。
通过设定合适的日志级别和审计策略,捕获和记录数据库的所有操作,包括登录和退出、数据增删改、权限变更等,以便及时发现和解决安全问题。
2. 数据库访问控制审计数据库的访问控制是数据库安全的基础,通过加强访问控制审计可以有效防止未经授权的访问和操作。
访问控制审计应包括权限管理的审计、用户访问控制的审计和身份认证的审计等方面。
通过分析数据库的权限设置、用户账号的使用情况和登录记录,可以及时发现未经授权的访问和可能存在的风险隐患。
3. 异常行为监测异常行为监测是数据库安全审计的重要手段之一,主要通过分析和识别数据库的异常操作行为来发现安全漏洞。
常见的异常行为包括频繁的登录失败、远程登录等。
通过对这些异常行为进行实时监测和记录,可以尽早发现并采取相应的防御措施。
4. 审计数据的分析与挖掘数据库安全审计不仅仅是对审计数据的采集和记录,更需要对这些数据进行深入分析与挖掘。
通过运用数据挖掘技术,可以发现数据库中隐藏的安全威胁,预测未来可能出现的安全风险,并提供相应的解决策略。
例如,对登录失败日志进行时间和地域分析,可以发现并禁用异常登录的账号,保障数据库的安全。
二、数据库安全实施策略1. 加强数据库的物理安全物理安全是数据库安全的第一道防线。
首先,应将数据库安装在安全可靠的环境中,避免非授权人员接触。
其次,数据库服务器的防火墙和安全设施要得到保护,并且要定期检查和升级,确保其能够抵御各种网络攻击。
数据库管理系统的安全审计与检测(一)
数据库管理系统的安全审计与检测随着信息技术的快速发展,数据库管理系统(DBMS)已经成为各种组织和企业中重要的数据存储和管理工具。
然而,随之而来的是对数据库安全的日益重视。
数据库中存储了大量的敏感信息,包括个人身份信息、企业商业机密等,因此,对数据库的安全审计与检测显得尤为重要。
1. 数据库安全审计数据库安全审计是指对数据库系统和操作进行监控、记录和分析,以发现安全事件和风险。
通过对数据库操作进行审计,可以确保数据的完整性、保密性和可用性,帮助管理员及时发现和排除安全隐患。
在进行数据库安全审计时,可以采用以下方法:(1)登录监控:记录用户的登录时间、IP地址、登录次数等信息。
这可以帮助管理员追踪用户登录的行为,及时识别安全风险。
(2)操作监控:记录用户对数据库进行的操作,包括查询、更新、删除等。
通过监控用户的操作行为,可以及时检测到可疑的操作,并采取相应的安全措施。
(3)权限管理:对用户的权限进行精细化管理,确保用户只能访问其所需的数据和操作。
同时,对管理员的权限也要进行限制,避免滥用权力。
(4)日志记录:建立完善的日志记录系统,记录管理员和用户的操作行为。
对于异常操作,管理员可以通过日志来进行分析和审计,以及时发现潜在的安全威胁。
2. 数据库安全检测数据库安全检测是指通过定期检查和评估数据库的安全性,发现和修复潜在的漏洞和弱点。
在数据库中,常见的安全威胁包括注入攻击、未经授权的访问、数据泄露等。
通过安全检测,可以提前预防和防范这些威胁。
(1)漏洞扫描:使用自动化工具扫描数据库系统中的漏洞,如缓冲区溢出、SQL注入等,及时发现可能存在的安全隐患,并采取相应的措施进行修复。
(2)访问控制验证:评估数据库的访问控制策略,确保只有经过授权的用户可以访问数据库。
同时,要对用户的权限进行适当的划分,分配最小权限原则,避免用户滥用数据库权限。
(3)数据备份与恢复:建立数据库的备份与恢复机制,定期备份重要数据,并测试数据的恢复能力。
数据库安全审计
数据库安全审计数据库安全审计是指对数据库系统进行全面的、系统的、实时的监控和审计,以发现和防止数据库系统中的各种安全威胁和风险。
数据库安全审计是保障数据库系统安全的重要手段,通过对数据库系统的各种操作进行审计,可以及时发现潜在的安全隐患,并采取相应的措施加以防范和处理,从而保障数据库系统的安全性和稳定性。
首先,数据库安全审计需要对数据库系统进行全面的监控和记录。
这包括对数据库的登录、操作、权限变更、数据修改等各种操作进行实时记录和监控。
通过对这些操作的审计,可以及时发现数据库系统中的异常操作和风险行为,及时采取相应的措施进行处理,从而保障数据库系统的安全。
其次,数据库安全审计需要对数据库系统的安全策略进行全面的评估和审计。
这包括对数据库系统的安全策略进行全面的检查和评估,发现其中存在的安全漏洞和风险,并及时进行修复和加固。
通过对数据库系统安全策略的审计,可以及时发现其中存在的安全隐患,并采取相应的措施加以防范和处理,从而提高数据库系统的安全性和稳定性。
另外,数据库安全审计需要对数据库系统的日志进行全面的分析和审计。
数据库系统的日志记录了数据库系统中的各种操作和事件,通过对数据库系统日志的审计,可以及时发现数据库系统中的异常操作和风险事件,并及时采取相应的措施进行处理。
通过对数据库系统日志的审计,可以及时发现数据库系统中的异常操作和风险事件,并及时采取相应的措施进行处理,从而提高数据库系统的安全性和稳定性。
最后,数据库安全审计需要对数据库系统的安全事件进行全面的响应和处理。
一旦发现数据库系统中存在安全事件,需要及时进行响应和处理,从而避免安全事件对数据库系统造成损害。
通过对数据库系统安全事件的响应和处理,可以及时发现和处理数据库系统中的安全事件,从而保障数据库系统的安全性和稳定性。
综上所述,数据库安全审计是保障数据库系统安全的重要手段,通过对数据库系统的各种操作进行审计,可以及时发现潜在的安全隐患,并采取相应的措施加以防范和处理,从而保障数据库系统的安全性和稳定性。
数据库安全审计理解数据库安全审计的重要性和方法
数据库安全审计理解数据库安全审计的重要性和方法数据库安全审计是确保信息系统和数据库的安全性的重要手段之一。
它通过监控数据库的安全性和合规性,发现潜在的安全风险和漏洞,并采取相应的措施来防止或减少潜在的威胁和损害。
本文将介绍数据库安全审计的重要性和方法。
一、数据库安全审计的重要性数据库是企业重要信息的存储和保护载体,它包含了大量的敏感数据,如客户信息、财务数据、公司机密等。
因此,保护数据库的安全对于企业的稳定运行和业务的顺利进行至关重要。
数据库安全审计作为一种主动监控和控制手段,具有以下重要性。
1. 风险发现和防范:数据库安全审计能够实时监控数据库的安全状态,及时发现异常行为和潜在风险,如非法访问、未授权的数据修改等,从而采取措施防范安全威胁。
2. 合规性检查:对于涉及法规和监管要求的企业,数据库安全审计是确保合规性的重要手段。
通过对数据库进行审计,可以验证是否符合相关法规和法规要求,避免违法行为和相关风险。
3. 识别漏洞和改进安全策略:数据库安全审计可以帮助企业识别数据库中的安全漏洞和弱点,以及相关的安全策略和控制措施是否有效。
通过审计结果,企业可以及时改进安全策略,提升数据库的安全性。
4. 窃密防护:数据库安全审计可以监控和控制用户的访问权限,防止用户恶意窃取敏感数据或滥用权限。
通过审计日志,可以追踪用户的操作行为,及时发现异常行为,并采取相应措施防止数据泄露。
5. 安全态势感知:数据库安全审计可以收集和分析大量的安全信息,帮助企业了解数据库的安全态势和潜在威胁。
通过对审计数据的分析,可以及时发现安全事件和威胁,并采取相应的应对措施。
二、数据库安全审计的方法数据库安全审计方法主要包括日志审计和策略审计两个方面。
1. 日志审计:日志审计是通过监控数据库产生的日志信息,对数据库的安全性和合规性进行审计。
具体方法包括:- 审计活动日志:监控数据库访问和操作的日志,如登录信息、查询操作、数据修改等,记录用户的操作行为,以及对敏感数据的访问情况。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数据库内部安全审计一、背景在信息系统的整体安全中,数据库往往是最吸引攻击者的目标,许多网络攻击的根本目的就是获取存放在数据库中的重要信息。
传统的数据库安全保障方法一定程度上提高了数据库系统的安全性,但是它们大多是被动的安全技术,以预防为主,无法有效地制止入侵行为,特别是对于数据库用户( 如数据库管理员等) 的权限滥用等内部攻击常常是无能为力的。
内部威胁问题具体表现为:(1)非故意的授权用户攻击,即用户不小心访问到了通常不访问的敏感信息,严重的是无意间将其错误地修改或者删除了;(2)盗取了正常用户信息的攻击者对数据库进行操作,他们拥有合法的访问权限,对数据库数据进行肆意的盗窃和破坏;(3)心怀不轨的内部工作人员对数据库的恶意攻击。
据统计,数据库安全问题近80%来自数据库系统内部,即数据库系统授权用户没有按照自身授权进行数据操作,而是跨越权限篡改或破坏数据。
根据2013年Verizon的数据泄露调查报告:所有数据泄露事件中76%源自授权用户对敏感数据的访问;在47000多件安全事故中,69%的攻击来自于内部人员。
京东发生的大型数据泄露事件造成5O亿条公民信息流出,导致用户损失数百万元,罪魁祸首就是内部工作人员。
内部原因造成的数据库损失发生率和影响度都远远超过人们的想象。
由于此类安全问题发生在系统集团内部,因此,对数据库的危害极大,并且传统的入侵检测方法和数据库安全规则都不能有效防御这些问题,即使一些防火墙软硬件也无法实时检测内部入侵。
因此,针对数据库系统中用户异常行为检测研究就显得尤为重要。
据统计,传统的数据安全模型是上个世纪 70 年代提出的,并且得到较好发展。
到目前为止,在数据库上实现的安全策略基本上没有变化,仍旧为访问控制、用户认证、审计和加密存储。
安全审计的任务是对用户已经完成的行为,给予回追式的分析,并对该行为的结果给出最终评价。
这些安全机制在数据库管理上取得了较好成绩,但是面对高素质攻击人员、多样化攻击手段和复杂的网络环境,这些安全机制将无法实时监测入侵行为,保护数据库与数据的安全。
基于异常的入侵检测是入侵检测研究领域中的一个重要课题,并取得了一定的研究成果。
但是,这些研究成果主要针对操作系统和计算机网络,针对数据库系统的研究成果则相对较少。
以访问控制为例,虽然访问控制能够保证只有拥有相关权限的用户才可以访问数据,这也是防止数据泄露的第一道屏障,但是访问控制有一定的限制:如果采用严格的机制,访问控制的规则可能表达不够充分,在动态的环境中访问控制的规则可能需要频繁地更新,这些更新会带来管理者的经济成本;而且在紧急的情况下,访问控制机制会影响用户对数据的获取,权限的申请需要时间也影响了事务的效率。
所以,通常业务系统都采用相对宽松的访问控制机制。
宽松的访问机制的直接表现是用户通常会获得比实际所需更多的权限,这显然为数据库系统中的数据安全埋下了隐患。
因此,数据库管理系统的发展需要对传统的权限管理增加辅助的安全分析和评估机制。
二、现状数据库安全审计是指按照确定的标准、收集软件执行过程中发生的事件并评估其安全性的行为。
根据设置的规则,监控、跟踪用户对数据库的各种操作,分析判断用户行为是否合规,并对违规行为进行告警的过程叫做数据库安全审计。
目前国际上主流的数据库安全审计产品包括以色列Imperva公司的安全审计系统SecureSphere, IBM公司的Guardium数据库安全产品,Application Security Inc 公司的数据库入侵检测产品 AppRadar等。
这些数据库安全审计产品的功能都很强大。
Application Security Inc 公司的数据库入侵检测产品AppRadar,它可针对不同的数据库设计不同的入侵检测系统。
Imperva公司是行业内起步较早的公司,一直专精于数据库安全审计,他们的系统采用数据库应用防火墙的思路,串联部署局域网计算机,能够在线阻断数据库的安全威胁,是A1级别的审计系统,但是SecureSphere支持的数据库协议太少,对各种数据库的本地访问支持不足;Guardium公司具有较强的技术实力,被IBM收购之后,品牌影响力也进一步加大,他们的产品使用数据库代理服务器或是在数据库服务器上安装引擎,搭配旁路的监听器,能够实时分析并判断用户操作行为是否合规,但Guardium同一时间只能支持一个审计策略,不够灵活。
此外,因为这些系统是按照国外的审计需求设计的,基本上只针对国外的审计需求进行审计,且价格高昂,对大部分国内用户来说,实用性不高。
在国内,根据赛迪顾问2016年5月的行业研究报告,2015年我国的数据库安全审计与防护市场产品结构中,硬件产品占据了76%的市场份额,软件的市场份额仅为18%。
但随着IT基础设施的演进,软件服务类数据库安全审计产品市场份额增速将变大,预计2018年将达到41%的市场份额。
在这样的发展趋势下,众多大型的安全厂商加入了数据库安全产业(如绿盟、天融信、启明等),并纷纷推出了各自的数据库审计产品。
比如:绿盟的数据库审计系统DAS、安恒信息的明御系列产品、北京国都兴业的慧眼数据库审计系统、深圳昂楷科技的数据库多重审计系统AAS、安华金和的数据库监控与审计系统、北京天融信的网络卫士数据库审计系统TopAudit-DB、北京启明星辰的天明网络安全审计系统等等。
其中天融信的TopAudit-DB采用云审计等技术,旁路部署,支持三层关联审计分析;绿盟的DAS通过监视网络上的数据库活动,智能识别SQL类别,实现事后对数据库操作记录进行合规性分析;安恒的明御数据库审计与风险控制系统通过提取Web业务端和数据库端的协议流量,实现了双向审计。
但是这些由我国独立研发的数据库安全审计系统大多为C2或B1级,安全等级还不够高。
目前国内外数据库安全审计方面的研究主要集中在如下几个领域。
1、审计数据源获取审计数据源是进行其他操作的前提,目前阶段,审计数据源的获取途径包括数据库安全日志以及审计记录。
但是,现阶段各种不同的数据库之间没有通用的、统一的审计接口。
而是每一种数据库都提供了可配置的审计模块。
管理员或用户依据自身需要使用模块提供的规则进行安全配制。
数据库将以日志形式自动记录数据库用户的全部数据操作,给接下来对该用户的操作分析提供基础。
同时日志文件也为数据库恢复与重建提供必要依据。
2、保护审计数据要想能够检测出入侵行为,首先必须保证审计数据自身的安全性和正确性。
审计数据直接反映了数据库用户的直接行为,只有审计数据的正确和准确,才能如实的反映用户的行为。
在此基础上所做的行为入侵检测才是有效的、才是有意义的。
目前比较常见的数据库审计数据安全方法主要使用数据加密方式或是哈希保护等方法。
3、基于数据挖掘的行为预处理面对海量数据,如何从其中快速、准确的找出有用的数据,这是数据挖掘技术的主要研究方向。
近些年数据挖掘方法,在数据库安全方面得到了广泛的应用。
数据库进行安全审计时,有可能需要进行海量的数据源审计,如果对这些数据源进行逐一审计,必然拖慢系统速度,导致数据库系统的响应时间大大加长,造成假死现象。
因此,需要对所有审计的数据进行预处理,去除无用数据,找出真正有价值的信息。
4、基于专家库安全审计专家系统是模仿专家的思维方式思考和决策问题的计算机系统,系统以知识库和专家库方式存放大量的领域专家们的知识和经验。
在基于专家系统的数据库安全审计的专家库中,利用格式为“if-then”的语句来表示异常行为的检测规则。
(if检测条件;then系统对该入侵行为的对策),对这些规则进行归纳与抽象,建立存储这些规则的专家库来辅助系统进行行为检测。
但是专家系统进行判定的主要依据是存储在知识库中的已经确认的异常行为规则,知识库的大小和质量决定了专家系统的入侵检测能力。
专家系统具有非常强的专业性,使该系统不可能移植到该领域以外使用。
5、基于系统状态转移的安全审计对己知异常行为建立行为状态转换图。
匹配待审计的用户行为特征和状态转移图,判断用户当前行为是否安全。
状态转移图能够直观的、较详细的描述异常用户行为,实现对用户异常行为的预警或者拦截,减轻数据库受攻击的程度,降低经济损失。
但是,基于状态转移的数据库入侵检测系统存在明显的局限性:无法完全描述每个时刻的状态转换,否则将是一个海量数据检测问题,目前的系统无法实现;状态转移只能判断行为的目的是否为已知异常,对于新的异常无法识别。
6、采用神经网络技术和免疫技术的安全审计神经网络技术是通过对大脑的神经元进行建模和联接,建立起模拟大脑神经系统功能的数学模型,并研究出具有自主学习、记忆和信息识别等智能信息处理功能的人工系统。
数据库安全审计主要是利用神经网络技术,参考所有正常和正确数据库使用行为,建立起一个具有学习能力的用户行为集合。
并利用集合中的正常行为与可疑行为进行比对,判断行为的异常与否。
免疫原理是模拟生物的免疫系统功能,对外来细胞和自身变异细胞进行清除的原理,建议系统数学模型。
数据库安全审计主要利用免疫数据模型建立行为检测模块,检测已知和未知的异常行为。
三、三大模块数据库安全审计根据检测方法的不同,分为两大类,一类是基于规则的检测方法;另一类是异常检测方法,也叫基于用户行为的检测方法。
异常检测方法较之前者虽然误报率较高,但是具有能检测出未知攻击方式的优势。
异常检测系统报给系统管理员的警报可能数量很大,管理员需要在最短的时间内了解这些警报的严重程度,以便迅速做出正确的反应,这就需要系统在完成异常检测的工作后给出异常评估的量化结果,帮助管理员了解警报并做出决策。
面向数据库访问的用户行为异常检测与评估系统的需求包括以下三点:(1)用户行为表示:提取审计记录中的信息,使用一组特征表示出用户的操作行为;(2)用户行为异常检测:能够识别与用户行为习惯不相符的操作,并对管理员发出告警信息;对于误报的操作行为,管理员给出反馈信息,能够在之后的行为检测中得到体现;(3)用户行为异常评估:按照相应算法,给出每条异常操作危害程度的量化结果。
(一)用户行为表示有效的数据库安全日志能提供过去一段时间内详实的系统内部与外部用户数据访问行为,能否通过智能算法提取用户的实时数据特征,并按时间段组织成时间-行为特征数据库,依据这个时间-行为特征数据库结合先进的分类算法构造实时行为分析模型,对入侵检测进行实时预警,并自动给出处理方案。
在用户行为异常检测过程中,用户行为的表示方法主要有三种:基于数据、基于语法和基于环境的方法。
其中,基于数据的方法不适于动态变化数据库,纯粹的基于语法的方法对用户行为描绘过于严苛,基于环境的方法则过于宏观。
可以考虑不同方法的结合使用,例如,尝试将基于语法的方法与基于环境的方法结合使用。
基于语法 (syntax centric):进行粗粒度提取时,结果为<select,2,4,2,2>进行中等粒度提取时,结果为<<select,<1,1 ><2,2>,<1,1 ><l,l>>进行细粒度提取时,结果为<<select,<1,1>,<[1,0,1,0],[0,1,0,1]>,<l,l>,<[0,1,0,0],[0,1,0,0]>>;Ronao等人在2015年扩展了这种方法,加上了查询语句中ORDER BY语句、GROUP BY语句以及JOIN, AND, OR的个数等信息,之后采取主成分分析的方法对特征进行选择。