李巧鈴

摘 要：隨著計(jì)算機(jī)與網(wǎng)絡(luò)的飛速發(fā)展，數(shù)據(jù)庫系統(tǒng)安全問題日益突出。對數(shù)據(jù)庫審計(jì)進(jìn)行研究，通過數(shù)據(jù)分析，挖掘建立數(shù)據(jù)庫正常行為規(guī)則庫，實(shí)現(xiàn)數(shù)據(jù)庫異常行為檢測，進(jìn)而提高數(shù)據(jù)庫安全。主要采用數(shù)據(jù)挖掘中的AprioriTid算法，用該算法發(fā)現(xiàn)關(guān)聯(lián)規(guī)則，然后利用關(guān)聯(lián)規(guī)則將用戶長期的操作習(xí)慣和操作權(quán)限挖掘出來，以達(dá)到審計(jì)用戶行為的目的，確保數(shù)據(jù)庫安全。

關(guān)鍵詞：數(shù)據(jù)庫安全；數(shù)據(jù)庫審計(jì)；數(shù)據(jù)挖掘

DOIDOI：10.11907/rjdk.162123

中圖分類號(hào)：TP392

文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672-7800（2016）012-0139-02

0 引言

隨著網(wǎng)絡(luò)的迅速發(fā)展，加上網(wǎng)絡(luò)的開放性，信息安全越來越重要，對于數(shù)據(jù)庫系統(tǒng)而言，其數(shù)據(jù)的安全性及隱私性是衡量一個(gè)數(shù)據(jù)庫好壞的標(biāo)準(zhǔn)之一。提高數(shù)據(jù)庫安全性的方法有很多，包括身份認(rèn)證、數(shù)據(jù)加密、權(quán)限控制、數(shù)據(jù)庫審計(jì)。其中，數(shù)據(jù)庫審計(jì)主要用于一些對安全性要求比較高的部門，是數(shù)據(jù)庫系統(tǒng)極為重要的一道防線。

1 數(shù)據(jù)庫審計(jì)

數(shù)據(jù)庫審計(jì)是數(shù)據(jù)庫安全技術(shù)中的重要部分，當(dāng)用戶對數(shù)據(jù)庫進(jìn)行各種操作時(shí)，數(shù)據(jù)庫審計(jì)可以實(shí)時(shí)監(jiān)控和記錄用戶的各種行為，包括合法和不合法的行為，然后將用戶對數(shù)據(jù)庫的所有操作放入審計(jì)日志中。審計(jì)是對計(jì)算機(jī)特權(quán)使用的一種記錄，只有管理員才可以查看審計(jì)日志，審計(jì)本身并不能加強(qiáng)系統(tǒng)的安全性，但通過審計(jì)可以詳細(xì)了解數(shù)據(jù)庫操作的有關(guān)信息，及時(shí)發(fā)現(xiàn)安全隱患。

目前，許多數(shù)據(jù)庫系統(tǒng)中都設(shè)置了審計(jì)和日志查看功能，一旦數(shù)據(jù)庫發(fā)生異常，數(shù)據(jù)庫管理員（DBA）就可以通過特定的事件日志查看器查看所發(fā)生的操作，確定數(shù)據(jù)庫是否被破壞以及破壞的程度及范圍，并有針對性地制定相應(yīng)的安全措施，避免不必要的損失，保護(hù)數(shù)據(jù)庫安全。一些數(shù)據(jù)庫自帶審計(jì)系統(tǒng)，但系統(tǒng)自帶的審計(jì)功能有時(shí)并不能滿足所有用戶的需求，因此需要對審計(jì)功能進(jìn)行改進(jìn)。在國際上，根據(jù)TDI/TCSEC標(biāo)準(zhǔn)要求，數(shù)據(jù)庫管理系統(tǒng)只有包含審計(jì)功能，才能達(dá)到C2以上安全級別[1]，因此審計(jì)功能十分重要。

2 SQL Server數(shù)據(jù)庫審計(jì)

SQL Server中雖然也提供了審計(jì)功能，但其審計(jì)功能只是以日志的形式記錄了數(shù)據(jù)庫的活動(dòng)，并不能對這些數(shù)據(jù)進(jìn)行分析檢測，因此在數(shù)據(jù)庫開發(fā)活動(dòng)中也無法自動(dòng)檢測是否被入侵。由此可知，SQL Server數(shù)據(jù)庫系統(tǒng)中的審計(jì)只是一個(gè)單純的日志系統(tǒng)，審計(jì)分析能力不足，要想提高其審計(jì)能力，達(dá)到預(yù)期目標(biāo)，必須對審計(jì)功能進(jìn)行完善。將數(shù)據(jù)挖掘應(yīng)用到審計(jì)中可以達(dá)到全面監(jiān)控、自動(dòng)分析的審計(jì)目的。

3 審計(jì)數(shù)據(jù)分析方法

審計(jì)系統(tǒng)中對數(shù)據(jù)的常用分析方法主要包括：特征分析方法、基于規(guī)則的方法、基于數(shù)理統(tǒng)計(jì)的方法和基于數(shù)據(jù)挖掘的方法。綜合考慮各種因素，本文主要選用數(shù)據(jù)挖掘的方法實(shí)現(xiàn)審計(jì)分析，建立正常行為規(guī)則庫。

基于數(shù)據(jù)挖掘的數(shù)據(jù)庫安全審計(jì)系統(tǒng)和其它審計(jì)系統(tǒng)的不同之處在于，它無需知道數(shù)據(jù)庫攻擊者的攻擊手段，只需將用戶操作與正常行為進(jìn)行對比，即可檢測行為是否異常。在數(shù)據(jù)庫審計(jì)中，正常行為的獲取是通過對數(shù)據(jù)庫的大量數(shù)據(jù)進(jìn)行分析和處理找到的。這樣建立的數(shù)據(jù)庫安全審計(jì)系統(tǒng)與傳統(tǒng)的審計(jì)系統(tǒng)相比具有更好的智能性[2]，并且自動(dòng)化程度高、自學(xué)習(xí)好、檢測效率高、自適應(yīng)能力強(qiáng)。

4 數(shù)據(jù)庫審計(jì)流程

數(shù)據(jù)庫審計(jì)流程如下：

數(shù)據(jù)采集→數(shù)據(jù)預(yù)處理→關(guān)聯(lián)規(guī)則挖掘→正常行為規(guī)則庫→異常檢測。

首先開啟SQL Server數(shù)據(jù)庫中的審計(jì)功能，采集數(shù)據(jù)庫中的原始數(shù)據(jù)，對其進(jìn)行預(yù)處理，對預(yù)處理得到的數(shù)據(jù)通過關(guān)聯(lián)規(guī)則算法進(jìn)行挖掘，得到正常用戶行為模型，并將這些規(guī)則儲(chǔ)存到規(guī)則庫中。將需要審計(jì)的數(shù)據(jù)和正常規(guī)則庫中的規(guī)則進(jìn)行比較，如果兩者相似，則操作正常，否則有可能被入侵。在整個(gè)流程中，配置異常檢測規(guī)則庫作為審計(jì)分析的策略，將日志模塊采集的審計(jì)數(shù)據(jù)作為檢測數(shù)據(jù)源，根據(jù)審計(jì)規(guī)則對審計(jì)數(shù)據(jù)進(jìn)行分析處理，主要采用基于數(shù)據(jù)挖掘的異常檢測方法[3]。

4.1 數(shù)據(jù)采集與預(yù)處理

數(shù)據(jù)采集和預(yù)處理：首先搜集原始數(shù)據(jù)，然后進(jìn)行預(yù)處理，主要包括濾除噪聲、推導(dǎo)計(jì)算、消除重復(fù)記錄和完成數(shù)據(jù)類型轉(zhuǎn)換等。數(shù)據(jù)預(yù)處理的目的是在所有的數(shù)據(jù)中找到真正有用的特征，這樣既可以降低維度，也可以縮短挖掘時(shí)間。

4.2 關(guān)聯(lián)規(guī)則挖掘

數(shù)據(jù)庫審計(jì)系統(tǒng)的關(guān)鍵技術(shù)就是關(guān)聯(lián)規(guī)則挖掘，關(guān)聯(lián)規(guī)則挖掘的目的在于發(fā)現(xiàn)隱藏在數(shù)據(jù)庫中的關(guān)聯(lián)關(guān)系，并應(yīng)用這些關(guān)系對現(xiàn)實(shí)分析提供依據(jù)，通俗而言就是決定哪些事情將一起發(fā)生。關(guān)聯(lián)規(guī)則中有兩個(gè)重要閾值：支持度和可信度。

關(guān)聯(lián)規(guī)則的挖掘分為兩步：①找出所有頻繁項(xiàng)集：項(xiàng)集的相對支持度不小于預(yù)定義的最小支持度[4]；②由頻繁項(xiàng)集產(chǎn)生強(qiáng)關(guān)聯(lián)規(guī)則：滿足最小支持度和最小置信度的規(guī)則，即為強(qiáng)關(guān)聯(lián)規(guī)則。

關(guān)聯(lián)規(guī)則挖掘的核心步驟是找出所有頻繁項(xiàng)集。挖掘關(guān)聯(lián)規(guī)則的算法主要包括Apriori算法、AprioriTid算法和FP-Growth算法，對這3種算法的比較分析，采用效率較高的AprioriTid算法進(jìn)行關(guān)聯(lián)規(guī)則的挖掘。

以一個(gè)簡化的數(shù)據(jù)庫操作為例，說明AprioriTid算法進(jìn)行關(guān)聯(lián)規(guī)則挖掘的過程。其中操作對象01=table1，02=table2；操作類型1=insert|0，2=delect|0，3=update|0。事務(wù)總數(shù)為10，最小支持度為minsup=20%，置信度為50%，數(shù)據(jù)如表1所示。

①對原始數(shù)據(jù)庫進(jìn)行掃描，每一項(xiàng)都屬于候選1項(xiàng)集的集合C1，選出C1中滿足最小支持度的所有項(xiàng)目集，得到頻繁1項(xiàng)集的集合L1；②將頻繁1項(xiàng)集進(jìn)行連接，生成候選2項(xiàng)集的集合C2；③接下來就是由C1-對2階候選項(xiàng)集C2中的項(xiàng)計(jì)數(shù)并生成C2-的過程。首先，對C2中的第一個(gè)2階候選集{D1，01}進(jìn)行計(jì)數(shù)，可以得出T1、T2和T3這3個(gè)事務(wù)中包括{D1，01}的兩個(gè)一階子集{Dl}，{0l}，所以將{D1，01}寫成C2-的T1、T2、T3對應(yīng)的項(xiàng)集合，{D1，01}的計(jì)數(shù)為3，分別對C2中各個(gè)2階候選項(xiàng)集計(jì)數(shù)，并構(gòu)造C2-；④若Apriori-gen（LK）的返回值為空，算法停止，否則，重復(fù)步驟②、③直到滿足終止條件為止。最后得到3頻繁項(xiàng)集滿足正常用戶行為模型的要求“用戶^操作對象=>操作類型”規(guī)則：D1^01=>2，置信度=2/3=66.6%>50%；D2^02=>2，置信度=2/3=66.6%>50%；D3^02=>2，置信度=2/3=66.6%>50%。

3條規(guī)則都滿足最小置信度，可以插入正常規(guī)則庫。由此可以得到數(shù)據(jù)庫的正常行為規(guī)則庫中的一部分規(guī)則，對此不斷進(jìn)行更新直到穩(wěn)定，則可產(chǎn)生能進(jìn)行異常檢測的正常行為規(guī)則庫如圖1所示。

4.3 異常檢測

建立好用戶正常行為規(guī)則庫后，就可以將當(dāng)前行為和正常的行為規(guī)則進(jìn)行比較，判斷是否有可能存在異常。如果當(dāng)前操作和行為規(guī)則庫相似，則操作正常，則將此用戶的行為規(guī)則或行為序列加入用戶正常行為規(guī)則庫中；如果與行為規(guī)則庫不同則說明數(shù)據(jù)庫有可能已被入侵。通過數(shù)據(jù)分析和異常檢測維護(hù)，極大程度地提高了數(shù)據(jù)庫的安全性。

5 結(jié)語

數(shù)據(jù)庫安全問題日益突出，數(shù)據(jù)庫審計(jì)可以維護(hù)數(shù)據(jù)庫安全，因此數(shù)據(jù)庫審計(jì)也越來越受到人們的重視。數(shù)據(jù)挖掘算法作為最經(jīng)典的算法之一，與數(shù)據(jù)庫審計(jì)相結(jié)合，即將數(shù)據(jù)挖掘技術(shù)應(yīng)用于數(shù)據(jù)庫安全審計(jì)，可在很大程度上提高數(shù)據(jù)庫的安全性能。AprioriTid可以挖掘數(shù)據(jù)中的關(guān)聯(lián)規(guī)則，其效率雖然有所提高但還有很大的提升空間，有待進(jìn)一步研究。

參考文獻(xiàn)：

[1] 聶元銘，吳曉明.基于數(shù)據(jù)庫安全審計(jì)的研究[J].專題研究，2010（6）：4-6.

[2] 鄧?yán)?基于關(guān)聯(lián)規(guī)則的數(shù)據(jù)庫安全審計(jì)系統(tǒng)[D].長沙：中南大學(xué)，2011：40-43.

[3] 李晶媛.網(wǎng)絡(luò)數(shù)據(jù)庫審計(jì)跟蹤研究[D].太原：中北大學(xué)，2011：30-33.

[4] 王珊，薩師煊.數(shù)據(jù)庫系統(tǒng)概論[M].北京：高等教育出版社，2007：145-148.

（責(zé)任編輯：孫 娟）