車晶 張瑛

南京郵電大學(xué) 江蘇 210046

0 前言

本文設(shè)計(jì)并實(shí)現(xiàn)了一種適用于開源數(shù)據(jù)庫軟件架構(gòu)的惡意行為檢測(cè)方法，并在MySQL系統(tǒng)上驗(yàn)證了該方法，測(cè)試表明，本文提出的方法具有較好的適用性和可擴(kuò)展性，可實(shí)現(xiàn)對(duì)多種流行惡意行為的檢測(cè)，同時(shí)對(duì)系統(tǒng)性能影響較小。表示將所有收集到的日志信息按時(shí)間排序。

數(shù)據(jù)庫會(huì)話原始行為特征收集算法如下：

1 系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

1.1 會(huì)話行為簽名及生成算法

基于行為簽名的惡意行為檢測(cè)主要面臨兩大挑戰(zhàn)，其一是如何構(gòu)建正常數(shù)據(jù)庫會(huì)話的行為簽名使其盡可能覆蓋正常數(shù)據(jù)庫會(huì)話，其二是對(duì)正常和惡意行為簽名的在線重構(gòu)，實(shí)時(shí)擴(kuò)充和維護(hù)數(shù)據(jù)庫會(huì)話行為簽名特征庫，這樣就可以使檢測(cè)算法可檢測(cè)新的惡意行為。

基于開源數(shù)據(jù)庫系統(tǒng)的特點(diǎn)，本文將數(shù)據(jù)庫會(huì)話定義為從連接數(shù)據(jù)庫開始，所有的數(shù)據(jù)庫訪問操作，直到斷開數(shù)據(jù)庫連接的一系列動(dòng)作的集合。使用行為特征矩陣來表征數(shù)據(jù)庫會(huì)話的行為模式。

首先，需在數(shù)據(jù)庫管理系統(tǒng)的源代碼中增加對(duì)敏感系統(tǒng)資源的訪問的監(jiān)控點(diǎn)，這些被監(jiān)控收集的信息合在一起構(gòu)成了數(shù)據(jù)庫會(huì)話的行為模式，鑒于開源數(shù)據(jù)庫管理系統(tǒng)的所有源代碼均是可修改和重編譯的，我們?cè)诿恳活惞δ軐?shí)現(xiàn)點(diǎn)進(jìn)行監(jiān)控，然后對(duì)各個(gè)監(jiān)控點(diǎn)獲得監(jiān)控信息進(jìn)行融合，獲得數(shù)據(jù)庫會(huì)話的行為模式。

函數(shù) Access(DSID,FID)表示數(shù)據(jù)庫會(huì)話 DSID調(diào)用了關(guān)鍵敏感函數(shù)FID，函數(shù)Log(DSID, functionInfo, timestamp)表示將DSID何時(shí)訪問FID的信息寫入日志文件。函數(shù)Sort(logs)

1.2 基于行為簽名的惡意行為特征學(xué)習(xí)算法

目前大多數(shù)操作系統(tǒng)和網(wǎng)絡(luò)的惡意行為檢測(cè)采用的基于規(guī)則的檢測(cè)技術(shù)，這類檢測(cè)技術(shù)僅能檢測(cè)出規(guī)則庫中事先定義的惡意行為，無法檢測(cè)已知惡意行為的變種和新的惡意行為。因此，基于異常的智能檢測(cè)技術(shù)成為目前的研究熱點(diǎn)。常用的異常檢測(cè)技術(shù)有：概率統(tǒng)計(jì)、人工神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊識(shí)別和人工免疫方法。

傳統(tǒng)的基于規(guī)則的惡意行為檢測(cè)大多采用統(tǒng)計(jì)的方法建模，將收集到的數(shù)據(jù)分成正常和異常兩類。在解決分類問題時(shí)，首先需要標(biāo)注樣本的類別來構(gòu)建訓(xùn)練樣本集，由于訓(xùn)練樣本集的建立主要依賴安全領(lǐng)域?qū)＜?，成本較高。為了提高分類精度，在學(xué)習(xí)過程中需要的訓(xùn)練樣本必須足夠多，一方面增加了構(gòu)建訓(xùn)練樣本集的成本，同時(shí)對(duì)大量樣本的學(xué)習(xí)也需要耗費(fèi)大量的機(jī)器學(xué)習(xí)時(shí)間。

為解決這個(gè)問題，需要一種學(xué)習(xí)方法能在訓(xùn)練樣本數(shù)量較少的情況下，獲得較好的分類效果。主動(dòng)學(xué)習(xí)作為解決這類問題的一種方法被提出來，它是由Lewis和Gale等人提出的，它改變了傳統(tǒng)的從已知樣本集中進(jìn)行被動(dòng)學(xué)習(xí)的方法，它根據(jù)學(xué)習(xí)進(jìn)程，主動(dòng)選擇最佳的樣本進(jìn)行學(xué)習(xí)，從而有效減少所需評(píng)價(jià)樣本的數(shù)量。支持向量機(jī)(SVM)是一種能在訓(xùn)練樣本數(shù)很少的情況下達(dá)到很好分類推廣能力的智能學(xué)習(xí)算法。本文將 SVM主動(dòng)學(xué)習(xí)算法應(yīng)用于數(shù)據(jù)庫惡意行為檢測(cè)中，使得在訓(xùn)練樣本集較少的情況下，分類器達(dá)到較高的分類精度，從而在數(shù)據(jù)庫惡意行為檢測(cè)中提高訓(xùn)練速度和降低構(gòu)建訓(xùn)練樣本成本的目的。

SVM的參數(shù)是通過訓(xùn)練得到的，需獲得兩類訓(xùn)練樣本，即正常行為簽名模式樣本和異常行為簽名模式樣本。由于本文定義的行為簽名是數(shù)據(jù)庫會(huì)話的行為軌跡，可用一個(gè)長(zhǎng)度為k的窗口在數(shù)據(jù)庫會(huì)話行為簽名軌跡上滑動(dòng)來獲得系統(tǒng)資源訪問短序列。系統(tǒng)資源訪問短序列反映的數(shù)據(jù)庫會(huì)話過程中的資源訪問次序關(guān)系。如何選擇滑動(dòng)窗口的大小是關(guān)鍵問題。如果選取的段序列長(zhǎng)度為1則丟掉了資源訪問的次序關(guān)系，如果長(zhǎng)度太大又無法反映正常和異常情況下的局部次序狀況。Hofmeyr SA等人從實(shí)驗(yàn)中得出結(jié)論：當(dāng)窗口大于30時(shí)，從調(diào)用序列中無法得到對(duì)數(shù)據(jù)庫會(huì)話行為判定有用的信息。Lee W等人的研究認(rèn)為最合適的資源訪問段序列長(zhǎng)度為6或7。據(jù)此本文選擇系統(tǒng)資源訪問短序列長(zhǎng)度為6。可用如下算法來對(duì)數(shù)據(jù)庫會(huì)話惡意行為的特征進(jìn)行學(xué)習(xí)。

Algorithm: malware character learning Input: original behavior sequence Output: malware character library 1234567891 0 11 12 NCS←slidewindow(nobs);NCL ←NCS;MCS ←slidewindow(mobs);for (mcs in MCS)for (ncs in NCS)if (mcs = ncs) del mcs from MCS;for (mcs in MCS) {d←MAX;for (ncs in NCS) {d(mcs,ncs) ←Harmin(mcs,ncs);if (d(mcs,ncs)＜d) d←d(mcs,ncs); }if d>D del mcs from MCS; }

用長(zhǎng)度為6的滑動(dòng)窗口對(duì)正常數(shù)據(jù)庫會(huì)話的行為簽名軌跡進(jìn)行掃描，可得到正常的系統(tǒng)資源訪問短序列樣本，將這些樣本保存于正常樣本庫中。該庫中記錄最多條數(shù)為，其中為系統(tǒng)資源訪問集。為系統(tǒng)資源訪問類型數(shù)目。實(shí)際應(yīng)用中可已將冗余記錄刪除，規(guī)模會(huì)小得多。

當(dāng)用長(zhǎng)度為6的滑動(dòng)窗口對(duì)惡意行為簽名進(jìn)行掃描時(shí)，會(huì)得到一組既有正常段序列又有異常短序列的系統(tǒng)資源訪問短序列列表，由于惡意的非法行動(dòng)只占數(shù)據(jù)庫會(huì)話行為的小部分，故異常短序列只占全部數(shù)據(jù)庫會(huì)話行為簽名的很小部分。當(dāng)獲得惡意數(shù)據(jù)庫會(huì)話系統(tǒng)資源訪問軌跡后，可將其中與正常樣本庫匹配的記錄刪除，對(duì)于不匹配的短序列，用哈明距離測(cè)量其與正常樣本的相似度。對(duì)于兩條短序列i和j，它們之間的哈明距離記為d(i,j)。對(duì)于，每一條新序列i，定義最短哈明距離為dmin(i)=min{d(i,j)}。dmin(i)的值表達(dá)了序列與正常模式的偏差程度。

最后，對(duì)于不匹配的序列i，根據(jù)dmin(i)與預(yù)定的閾值D進(jìn)行比較以判定其是否為異常，即若dmin(i)>=D，式中D為閾值，即認(rèn)為序列i為異常序列，據(jù)此可獲得異常短序列樣本集。

1.3 惡意行為檢測(cè)

本文采用的檢測(cè)是SVM主動(dòng)學(xué)習(xí)算法，SVM的最大特點(diǎn)是根據(jù)Vapnik結(jié)構(gòu)風(fēng)險(xiǎn)最小化原則，盡量提高學(xué)習(xí)的泛化能力，即由有限的訓(xùn)練樣本集得到小的誤差仍能保證對(duì)獨(dú)立的測(cè)試集保持小的誤差。

由于上述特征學(xué)習(xí)過程獲得的正常短序列樣本并不完備，導(dǎo)致在基于正常短序列上獲得的異常短序列樣本可能包含正常斷續(xù)里，使得SVM分類器產(chǎn)生分類錯(cuò)誤，所以引入檢測(cè)模塊，它使用下文提出的危險(xiǎn)程度來對(duì)惡意軟件進(jìn)行決策。

考慮到數(shù)據(jù)庫上不同的惡意行為對(duì)系統(tǒng)和用戶造成的損失是不同的，引入一個(gè)危險(xiǎn)系數(shù)(Risk Factor,RF)，RF用來對(duì)每一個(gè)惡意行為短序列賦予一個(gè)權(quán)值，基準(zhǔn)權(quán)值設(shè)為 1，如果這個(gè)行為對(duì)系統(tǒng)和用戶的安全威脅較大，則賦予一個(gè)大于1的RF。引入危險(xiǎn)程度(Risk Rank，RR)來作為衡量一個(gè)軟件是否為惡意軟件的定量標(biāo)識(shí)，RR定義如下。

設(shè)定一個(gè)惡意軟件檢測(cè)閾值D，該值由實(shí)驗(yàn)結(jié)果決定，我們的實(shí)驗(yàn)結(jié)果表明D取值17時(shí)檢測(cè)器檢測(cè)效果較好。當(dāng)計(jì)算所得的最終RR大于D則認(rèn)定此軟件為惡意軟件。系統(tǒng)將此惡意行為按上文提出的數(shù)據(jù)庫會(huì)話行為簽名算法和惡意特征學(xué)習(xí)算法進(jìn)行特征學(xué)習(xí)，并將學(xué)習(xí)到的特征擴(kuò)充進(jìn)惡意短序列特征庫，從而可以在運(yùn)行中不斷增強(qiáng)此檢測(cè)系統(tǒng)的檢測(cè)能力。

2 測(cè)試與評(píng)價(jià)

2.1 評(píng)價(jià)標(biāo)準(zhǔn)

評(píng)價(jià)一個(gè)數(shù)據(jù)庫惡意行為檢測(cè)方法的優(yōu)劣主要有三個(gè)要素：檢測(cè)率、誤報(bào)率和漏報(bào)率。

除了上述的三個(gè)參數(shù)外，處理能力，容錯(cuò)性和對(duì)原系統(tǒng)運(yùn)行性能的影響、對(duì)數(shù)據(jù)庫應(yīng)用系統(tǒng)的兼容性也可用來評(píng)價(jià)一個(gè)數(shù)據(jù)庫惡意行為檢測(cè)系統(tǒng)。

2.2 實(shí)驗(yàn)設(shè)置

本文依據(jù)提出的檢測(cè)方法在開源的MySQL數(shù)據(jù)庫上實(shí)現(xiàn)了一個(gè)惡意行為檢測(cè)原型系統(tǒng)。實(shí)驗(yàn)系統(tǒng)使用Ubuntu10.04操作系統(tǒng)，MySQL使用 5.0.19版本源代碼。實(shí)驗(yàn)設(shè)置了兩種類型的攻擊場(chǎng)景，分別為：

(1) 合法用戶攻擊：合法授權(quán)用戶繞過安全機(jī)制，訪問安全機(jī)制不允許訪問的數(shù)據(jù)庫對(duì)象或有訪問數(shù)據(jù)庫對(duì)象的權(quán)限，但執(zhí)行了未授權(quán)的操作。

(2) 偽裝攻擊：通過合法的登錄過程進(jìn)入數(shù)據(jù)庫，而使用系統(tǒng)的方式異常。

另外還在惡意行為檢測(cè)系統(tǒng)工作過程中，對(duì)數(shù)據(jù)庫進(jìn)行了TPC-C測(cè)試來衡量惡意行為檢測(cè)系統(tǒng)對(duì)數(shù)據(jù)庫性能的影響。

2.3 測(cè)試實(shí)施

攻擊測(cè)試時(shí)對(duì)每種場(chǎng)景分別產(chǎn)生100次正常行為和100次惡意行為，統(tǒng)計(jì)惡意行為檢測(cè)系統(tǒng)的檢測(cè)結(jié)果如圖1所示。

從圖1中可以看出，對(duì)合法用戶的攻擊的檢測(cè)率較高，都在82%以上，對(duì)偽裝攻擊的檢測(cè)率在70%以上。就漏報(bào)率來說，對(duì)合法用戶的攻擊的漏報(bào)率較低，對(duì)偽裝的漏報(bào)率較高。對(duì)兩種攻擊行為的誤報(bào)率都在15%以下。總的來說，對(duì)合法用戶的攻擊檢測(cè)效果較好。

圖1 攻擊測(cè)試結(jié)果曲線圖

3 結(jié)論及展望

本文基于機(jī)器學(xué)習(xí)中的主動(dòng)學(xué)習(xí)原理，設(shè)計(jì)了一個(gè)數(shù)據(jù)庫惡意行為檢測(cè)模型，并依據(jù)模型實(shí)現(xiàn)了一個(gè)原型系統(tǒng)。實(shí)驗(yàn)表明，原型系統(tǒng)能對(duì)合法用戶攻擊和偽裝攻擊進(jìn)行較好的檢測(cè)。目前系統(tǒng)尚不支持非開源數(shù)據(jù)庫管理系統(tǒng)的惡意行為檢測(cè)，后期工作可考慮分析Oracle、SQL Server等商業(yè)數(shù)據(jù)庫的審計(jì)日志，利用審計(jì)日志，使用本文提出的方法進(jìn)行惡意行為檢測(cè)。

[1] 鐘勇,秦小麟.數(shù)據(jù)庫入侵檢測(cè)綜述.計(jì)算機(jī)科學(xué).2004.

[2] Jerne N K. Towards a Network Theory of the Immune System 1974,Annual Immunology, vol.125c.

[3] S.Forrest,A S Perelson,R Cherukuri. Self-Nonself Discrimination in a Computater.1994.5.Proceeding of IEEE Symposium on Research in Security and Privacy.

[4] Steven A. Hofmeyr amd S.Forrest Architecture for an Artificial Immune System 2000.Journal of Evolutionary Computation.

[5] 趙敏,王紅偉.AIB-DBIDM:一種基于人工免疫的數(shù)據(jù)庫入侵檢測(cè)模型.計(jì)算機(jī)研究與發(fā)展.2009.