邵 磊 陳志德

(福建師范大學(xué)福建省網(wǎng)絡(luò)安全與密碼技術(shù)重點(diǎn)實(shí)驗(yàn)室，福建 福州 350007)

1.引言

當(dāng)前，信息已成為社會(huì)發(fā)展的重要戰(zhàn)略資源，國(guó)際上圍繞信息的獲取、使用和控制的斗爭(zhēng)愈演愈烈，信息安全成為保障經(jīng)濟(jì)健康發(fā)展、維護(hù)國(guó)家安全和社會(huì)穩(wěn)定的一個(gè)焦點(diǎn)。計(jì)算機(jī)安全主要包括操作系統(tǒng)安全、數(shù)據(jù)庫安全和網(wǎng)絡(luò)安全3部分[1]。目前人們把信息安全的重點(diǎn)放在網(wǎng)絡(luò)安全上，對(duì)操作系統(tǒng)和數(shù)據(jù)庫安全的研究遠(yuǎn)不如對(duì)網(wǎng)絡(luò)安全的研究。而實(shí)際上在信息系統(tǒng)的整體安全中，數(shù)據(jù)庫往往成為攻擊者最感興趣的目標(biāo)。在數(shù)據(jù)庫受到攻擊的可能性、空間和時(shí)間都大大增加的情況下，傳統(tǒng)的以身份認(rèn)證和存取控制為重點(diǎn)的數(shù)據(jù)庫安全機(jī)制越來越無法滿足安全需要。對(duì)數(shù)據(jù)本身的完整性和可利用性較少涉及。而對(duì)于數(shù)據(jù)庫安全來說，數(shù)據(jù)的完整性、可利用性和保密性都具有同等重要地位。

入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)(Intrusion Detection System，簡(jiǎn)稱IDS)。它是檢驗(yàn)數(shù)據(jù)庫安全的一種很常見很有效的技術(shù)。入侵檢測(cè)系統(tǒng)是實(shí)現(xiàn)入侵檢測(cè)功能的一系列的軟件、硬件的結(jié)合。作為一種安全工作，它用來分析反應(yīng)異常行為模式的信息，對(duì)檢測(cè)的行為作出自動(dòng)的反應(yīng)，并報(bào)告檢測(cè)過程的結(jié)果。作為現(xiàn)代安全防御體系的一個(gè)重要組成部分。它的作用在很大程度上影響整個(gè)安全策略的成敗。入侵檢測(cè)系統(tǒng)最早出現(xiàn)在1980年4月，在1998年末，1999年初麻省理工學(xué)院的林肯實(shí)驗(yàn)室在DARPA的資助下進(jìn)行了對(duì)比評(píng)價(jià)開發(fā)的入侵檢測(cè)系統(tǒng)[5]。將入侵檢測(cè)系統(tǒng)應(yīng)用在數(shù)據(jù)庫中，已經(jīng)有一些科學(xué)家投入到這方面的研究中。2002年，Sin Yeung Lee等提出了一種建筑學(xué)的框架DIDAFIT，即通過指紋識(shí)別處理的數(shù)據(jù)庫入侵檢測(cè)模型[6]。

已經(jīng)有一些研究人員提出了一些數(shù)據(jù)庫中的入侵檢測(cè)系統(tǒng)模型，它可以按照自己所設(shè)定的規(guī)則，檢測(cè)數(shù)據(jù)的行為，來判斷數(shù)據(jù)是正常數(shù)據(jù)還是異常數(shù)據(jù)[2，3]。但是，這種技術(shù)目前也存在一些缺陷，由于數(shù)據(jù)庫的大數(shù)據(jù)特性，往往數(shù)據(jù)量都是很大，所以如果只是將數(shù)據(jù)一項(xiàng)一項(xiàng)地按照入侵檢測(cè)系統(tǒng)模型來檢測(cè)的話，無疑這需要很多的時(shí)間。針對(duì)這點(diǎn)，本文提出了一種入侵檢測(cè)系統(tǒng)模型，可以更加高效地來檢測(cè)數(shù)據(jù)庫的安全性。

在這篇文章里，我們將分簇算法與入侵檢測(cè)技術(shù)相結(jié)合應(yīng)用在數(shù)據(jù)庫訪問日記的安全檢測(cè)上。首先，我們將數(shù)據(jù)庫訪問日記中的數(shù)據(jù)標(biāo)準(zhǔn)化。這樣我們可以得到一些關(guān)于數(shù)據(jù)的數(shù)據(jù)集。然后，通過我們的分簇算法將數(shù)據(jù)進(jìn)行分類。通過聚類分析可以識(shí)別密集和稀疏的區(qū)域，發(fā)現(xiàn)全局的分布模式，以及數(shù)據(jù)屬性之間的相互關(guān)系等。我們通過聚類的思想數(shù)據(jù)庫中的數(shù)據(jù)分成K個(gè)聚簇。首先我們要對(duì)系統(tǒng)進(jìn)行一些假設(shè)。假設(shè)一，正常數(shù)據(jù)的數(shù)目要遠(yuǎn)遠(yuǎn)大于異常數(shù)據(jù)的數(shù)目。假設(shè)二，異常數(shù)據(jù)和正常數(shù)據(jù)的特征差異很大。在這兩個(gè)假設(shè)的基礎(chǔ)上，我們將聚類應(yīng)用在入侵檢測(cè)系統(tǒng)的基本思想就是，異常是和正常數(shù)據(jù)不同的并且數(shù)目相對(duì)很少，因此他們?cè)谀軌驒z測(cè)到的數(shù)據(jù)中表現(xiàn)出比較特殊的特性。這樣，我們就可以通過分簇的方法分別找出正常數(shù)據(jù)和異常數(shù)據(jù)的簇群。

2.數(shù)據(jù)庫入侵檢測(cè)系統(tǒng)模型

我們所提出的系統(tǒng)主要由三部分構(gòu)成，第一部分是提取數(shù)據(jù)階段。這階段我們將數(shù)據(jù)庫訪問日記中的數(shù)據(jù)標(biāo)準(zhǔn)化，并將這些數(shù)據(jù)提取到一個(gè)虛擬的區(qū)域中進(jìn)行下一階段的工作。第二部分是數(shù)據(jù)分類階段，也就是前面所提到的數(shù)據(jù)分簇。這一部分是我們這篇文章的主要工作。這里，我們提出了一種基于屬性與關(guān)系的分簇方法，可以將數(shù)據(jù)庫訪問日記中的所有數(shù)據(jù)分成K個(gè)簇群，每個(gè)簇群內(nèi)的數(shù)據(jù)都是屬性相接近的。這樣，我們就可以分別得到正常數(shù)據(jù)和異常數(shù)據(jù)的簇群。第三部分是入侵檢測(cè)部分。在第二部分我們可以得到K個(gè)簇群，由于每個(gè)簇群之間數(shù)據(jù)類別的統(tǒng)一性，我們只需要鑒定其中的任一數(shù)據(jù)，看其是否符合檢測(cè)模型，我們就可以判斷這個(gè)簇群內(nèi)的數(shù)據(jù)是正常數(shù)據(jù)還是異常數(shù)據(jù)。針對(duì)個(gè)別由于誤差導(dǎo)致的錯(cuò)誤和一些偽裝性很高的異常數(shù)據(jù)，我們需要多檢測(cè)每個(gè)簇內(nèi)的數(shù)據(jù)。這樣可以彌補(bǔ)一些數(shù)據(jù)檢測(cè)的遺漏。為了更好地去理解我們的系統(tǒng)，圖1可以形象地說明我們系統(tǒng)的整個(gè)流程。

圖1 數(shù)據(jù)庫訪問日記入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)圖

3.訪問日記入侵檢測(cè)聚類算法

輸入：經(jīng)過數(shù)據(jù)標(biāo)準(zhǔn)化的數(shù)據(jù)集Dataset，關(guān)系矩陣Wij。

輸入?yún)?shù)：可調(diào)參數(shù)α。

輸出：k個(gè)聚類。包括異常數(shù)據(jù)簇和正常數(shù)據(jù)簇。

(1)Di{i=1，2……n}表示數(shù)據(jù)庫里的n個(gè)數(shù)據(jù)，計(jì)算所有數(shù)據(jù)的空間密度di，di越小，說明該點(diǎn)位于高密度區(qū)域。

(2)選取M個(gè)高密度區(qū)域的節(jié)點(diǎn)，表示為Ai{i=1，2……M}。

(3)選取A1作為第一個(gè)聚類中心，分別計(jì)算Ai與A1的歐氏距離dist(Ai，A1)，選取距離最遠(yuǎn)的作為A2。

(4)重復(fù)步驟(3)計(jì)算 dist(Ai，A2)，選取距離最遠(yuǎn)的作為A3。

(5)反復(fù)重復(fù)步驟(3)，確定K個(gè)聚類中心，記為Ai{i=1，2……K}。

本文關(guān)于共享領(lǐng)域的安全頭盔的CMF的研究分析主要體現(xiàn)在材料、工藝和顏色帶來的美觀性、安全性、可用性上。

(6)使Ci與Ai一一對(duì)應(yīng)，作為K個(gè)聚類的中心點(diǎn)，i代表聚類的編號(hào)。通過公式（3.2）計(jì)算每個(gè)聚類的密度d(Ci)。

(7)添加一個(gè)節(jié)點(diǎn)v到Ci，通過公式(3.3)計(jì)算它的貢獻(xiàn)值 c(v，Ci)，如果 c(v，C)>α*d(c)，則把這個(gè)節(jié)點(diǎn)歸類到集合Ci中。否則，將數(shù)據(jù)歸入到一個(gè)新的集合B。

(8)返回(6)，直到B中的節(jié)點(diǎn)數(shù)目小于節(jié)點(diǎn)總數(shù)目D的5%，算法結(jié)束。

在我們的算法中，我們的方法存在一個(gè)難題，那就是如何去量化數(shù)據(jù)間的聯(lián)系，數(shù)據(jù)中有著大量的標(biāo)量，我們認(rèn)為可以通過很多方法去定義數(shù)據(jù)間的聯(lián)系，比如數(shù)據(jù)的大小、類型等等[6]。如果能夠找到一個(gè)好的數(shù)據(jù)標(biāo)準(zhǔn)化的方法，那會(huì)讓我們的方法更加有效率，也更加有說服力。這里，我們提出一種數(shù)據(jù)標(biāo)準(zhǔn)化的方法。

我們假設(shè)在數(shù)據(jù)庫的訪問日記中，數(shù)據(jù)之間存在著一種關(guān)系，我們把這種關(guān)系以數(shù)據(jù)之間的邊來定義。這樣，我們引入一個(gè)概念權(quán)重w(e)，權(quán)重表示的是數(shù)據(jù)之間關(guān)系的一個(gè)緊密度。打個(gè)比方，如果兩個(gè)數(shù)據(jù)間通過一條邊連接，權(quán)重w即為1，如果兩個(gè)數(shù)據(jù)間通過兩條邊連接，權(quán)重即為2。那么，如何去判定數(shù)據(jù)之間是否存在邊呢？我們假設(shè)每個(gè)數(shù)據(jù)在庫中都有一個(gè)明確的位置，用坐標(biāo)軸(x，y)表示。我們計(jì)算數(shù)據(jù)與數(shù)據(jù)間的歐氏距離，然后我們給定一個(gè)關(guān)系閾值h，假如數(shù)據(jù)A1和數(shù)據(jù)A2的歐氏距離dist(A1，A2)＜h，則判定兩數(shù)據(jù)間存在著關(guān)系，即存在一條邊E。這樣的話，所有的初始數(shù)據(jù)處理完之后，我們可以得到一個(gè)數(shù)據(jù)集Dataset，它包含著數(shù)據(jù)以及數(shù)據(jù)的位置關(guān)系，還可以得到一個(gè)關(guān)系矩陣Wij。

得到了標(biāo)準(zhǔn)化的數(shù)據(jù)以后，我們考慮將數(shù)據(jù)進(jìn)行分類。在數(shù)據(jù)挖掘技術(shù)中，最常用的算法有K-means等等。但是它也存在著一些不足之處。(1)K-means算法中需要先將聚類個(gè)數(shù)k確定下來。對(duì)于一組未知的數(shù)據(jù)，如果要事先確定分為幾組，的確是一件比較困難的事，而我們往往是根據(jù)大量的實(shí)驗(yàn)來給定k的值，而這樣會(huì)導(dǎo)致檢測(cè)的結(jié)果不太準(zhǔn)確。(2)K-means算法里，初始聚類中心的選擇是很重要的。如果選擇不同的初始聚類中心，可能會(huì)導(dǎo)致聚類的結(jié)果有很大的不同，傳統(tǒng)的算法中，初始聚類中心是隨機(jī)選擇的，可能會(huì)導(dǎo)致檢測(cè)結(jié)果不盡人意[4]。所以我們基于K-means算法做了一些改進(jìn)?？梢酝ㄟ^改進(jìn)初始聚類中心使得算法更加有效率。

在數(shù)據(jù)空間里，低密度的空間對(duì)象區(qū)域分割高密度的空間對(duì)象區(qū)域，把處于低密度區(qū)域的數(shù)據(jù)點(diǎn)叫做噪聲。我們?nèi)∠嗷ブg的距離最遠(yuǎn)的k個(gè)點(diǎn)作為初始的聚類中心，這k個(gè)點(diǎn)都要位于高密度，這樣可以防止將噪聲點(diǎn)取到。

首先我們要定義空間密度參數(shù)的概念，是用來求得數(shù)據(jù)Di的空間密度，判斷它是在高密度區(qū)域還是在低密度區(qū)域。將數(shù)據(jù)Di作為中心，密度參數(shù)定義為包含常數(shù)M個(gè)對(duì)象的半徑。用di表示，計(jì)算出來的di值越大，說明該數(shù)據(jù)點(diǎn)位于低密度區(qū)域中。計(jì)算出來的di值越小，說明該數(shù)據(jù)點(diǎn)位于高密度區(qū)域中。為了得到k個(gè)初始聚類中心，具體的聚類方法在算法中的前五個(gè)步驟已詳細(xì)描述。

這里，我們還需要定義一些公式，它們會(huì)在算法中用到。首先，我們介紹一下歐氏距離的計(jì)算方法，如公式(3.1)。

公式里，A1和A2代表著兩個(gè)數(shù)據(jù)，x和y分別代表它們位置的橫坐標(biāo)和縱坐標(biāo)。

通過公式3.2可以計(jì)算出這個(gè)簇群的密度d(c)，其中|V(C)|是這個(gè)簇群的尺寸，這里我們可以通過計(jì)算發(fā)現(xiàn)，如果w(e)為1的話，那么這個(gè)簇群的密度d(c)就為1。接下來我們對(duì)k-means算法進(jìn)行改進(jìn)來確定一個(gè)節(jié)點(diǎn)是否屬于這個(gè)聚類中心的簇群中。這里我們是通過計(jì)算這個(gè)數(shù)據(jù)對(duì)整個(gè)簇群的貢獻(xiàn)值c(v，C)來確定的，計(jì)算公式通過公式3.3計(jì)算。

如果c(v，C)>α*d(c)，那么我們就說這個(gè)節(jié)點(diǎn)是屬于這個(gè)簇群的。這里的α是一個(gè)可調(diào)參數(shù)。

我們的算法共有8個(gè)步驟，數(shù)據(jù)的輸入部分Dataset和Wij是通過前面所提到的數(shù)據(jù)標(biāo)準(zhǔn)化過程得到的。首先通過對(duì)數(shù)據(jù)空間密度的計(jì)算，得到我們所需要的K個(gè)初始聚類中心。然后我們分別來確認(rèn)每個(gè)節(jié)點(diǎn)是否屬于這個(gè)聚類，直到算法結(jié)束。通過上面的算法，我們可以將數(shù)據(jù)分成K個(gè)聚類，由于同一聚類中數(shù)據(jù)特征的相似性。不管是正常數(shù)據(jù)還是異常數(shù)據(jù)，他們都應(yīng)該在同一聚類中。

最后是我們模型的第三部分，也就是入侵檢測(cè)部分。入侵檢測(cè)引擎將收集到的信息加以分析，判斷網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到攻擊的跡象，若找到入侵痕跡，認(rèn)為與正常行為相符合的行為是正常行為，與攻擊行為相符合的是入侵行為，二者都不符合的，則認(rèn)為是異常數(shù)據(jù)，將其加入到數(shù)據(jù)倉庫中作進(jìn)一步分析。經(jīng)過我們前面所做的分簇聚類工作，我們將數(shù)據(jù)庫訪問日記中的數(shù)據(jù)已經(jīng)分為幾個(gè)聚類。如圖2，是我們的入侵檢測(cè)系統(tǒng)模塊圖。在數(shù)據(jù)經(jīng)過模型第一部分和第二部分的處理后，我們就可以用檢測(cè)引擎通過交換機(jī)從訪問日記服務(wù)器中提取到數(shù)據(jù)并檢測(cè)。我們只需檢測(cè)每個(gè)聚類中的少數(shù)個(gè)體數(shù)據(jù)，就可以確定整個(gè)聚類的屬性。鑒于少數(shù)被遺漏的數(shù)據(jù)，我們?cè)谙到y(tǒng)的第三部分，也就是入侵檢測(cè)部分。我們針對(duì)每一組聚類，提取10個(gè)數(shù)據(jù)進(jìn)行檢驗(yàn)。我們假設(shè)如果它們?nèi)慷挤蠙z測(cè)模型，那么這個(gè)簇里的數(shù)據(jù)全都是正常數(shù)據(jù)。如果它們?nèi)慷疾环蠙z測(cè)模型，那么這個(gè)簇里的數(shù)據(jù)全都是異常數(shù)據(jù)。如果符合于不符合的數(shù)據(jù)都存在，那么說明這組聚類是不完備的。那么，我們先將這組數(shù)據(jù)放入空白區(qū)域，待所有的分簇都判定完成以后，我們?cè)僦匦峦ㄟ^算法來分類。

圖2 數(shù)據(jù)庫訪問日記檢測(cè)系統(tǒng)模塊圖

4.結(jié)語

數(shù)據(jù)庫系統(tǒng)的安全特性主要是針對(duì)數(shù)據(jù)而言的，包括數(shù)據(jù)獨(dú)立性、數(shù)據(jù)安全性、數(shù)據(jù)完整性、并發(fā)控制、故障恢復(fù)等幾個(gè)方面。入侵檢測(cè)技術(shù)是計(jì)算機(jī)安全領(lǐng)域的一項(xiàng)重要技術(shù)，目前也有很多研究人員將它應(yīng)用在數(shù)據(jù)庫系統(tǒng)中。但是它存在著一些不足。本文將聚類的思想與入侵檢測(cè)技術(shù)相結(jié)合應(yīng)用在數(shù)據(jù)庫的數(shù)據(jù)檢測(cè)上。首先我們要將數(shù)據(jù)庫訪問日記中的數(shù)據(jù)標(biāo)準(zhǔn)化，然后我們通過聚類算法將數(shù)據(jù)分類。最后再通過入侵檢測(cè)引擎對(duì)數(shù)據(jù)進(jìn)行檢測(cè)。這樣，可以高效地將數(shù)據(jù)庫分塊并找到數(shù)據(jù)庫中的異常數(shù)據(jù)。

[1]宋紅.計(jì)算機(jī)安全技術(shù)[M].中國(guó)鐵道工業(yè)出版社，2005.

[2]盧碩珽.數(shù)據(jù)庫入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與分析[D].中山大學(xué)，2010.

[3]張洪斌，李娜.多信息源數(shù)據(jù)庫入侵檢測(cè)系統(tǒng)[J].電子商務(wù)，2011年(11期).

[4]史習(xí)云.改進(jìn)的k-means聚類算法在圖像檢索中的應(yīng)用研究[D].江蘇大學(xué)，2010：37-38.

[5]M cHugh J.Testing intrusion detection systems：a critique of the 1998 and 1999 DARPA intrusion detection system evaluations as performed by Lincoln Laboratory[J].ACM transactionson Information and system Security，2000，3(4)：262-294.

[6]Lee S，Low W，Wong P.Learning fingerprints for a database intrusion detection system[J].Computer Security— ESOR ICS 2002，2002：264-279.