吳正江，姚 琪，馮四風(fēng)，顧 青

（1.河南理工大學(xué) 計算機(jī)科學(xué)與技術(shù)學(xué)院，河南 焦作 454000；2.普華誠信信息技術(shù)有限公司，上海 201499）

0 概述

通過分析近幾年發(fā)生的網(wǎng)絡(luò)安全事件可以發(fā)現(xiàn)，攻擊者利用軟件系統(tǒng)存在的漏洞或后門進(jìn)行網(wǎng)絡(luò)攻擊是常見的攻擊方式，而傳統(tǒng)防御機(jī)制注重系統(tǒng)邊界防御［1-2］。攻擊者一旦通過邊界防御，則被系統(tǒng)認(rèn)為是內(nèi)部用戶，認(rèn)定其不會對系統(tǒng)造成威脅?？梢?，傳統(tǒng)防御機(jī)制過于信任內(nèi)部用戶、事和物，忽略了系統(tǒng)內(nèi)部安全性，從而加大內(nèi)部被攻擊和注入的概率［3-4］。為應(yīng)對傳統(tǒng)防御機(jī)制中的安全缺陷，鄔江興［5］提出網(wǎng)絡(luò)空間擬態(tài)防御，結(jié)合動態(tài)異構(gòu)冗余架構(gòu)［6］、調(diào)度策略［7-9］和裁決策略［10-11］，通過動態(tài)調(diào)整內(nèi)部環(huán)境，達(dá)到主動防御外部攻擊并發(fā)現(xiàn)內(nèi)部威脅的目標(biāo)［12-13］。在面對內(nèi)部攻擊/注入時，裁決策略判斷執(zhí)行體是否可信，若不可信則通過負(fù)反饋機(jī)制下線異常執(zhí)行體進(jìn)行清洗恢復(fù)。裁決策略作為復(fù)制控制方法及屏蔽故障的復(fù)本技術(shù)，在系統(tǒng)容忍入侵時發(fā)揮關(guān)鍵作用［14-16］。

現(xiàn)有的裁決策略主要有自適應(yīng)的一致性表決算法［17］、自檢測多數(shù)一致表決算法［18］、基于執(zhí)行體異構(gòu)度的一致表決擬態(tài)裁決優(yōu)化方法等［19］，系統(tǒng)運(yùn)行時間為異構(gòu)冗余執(zhí)行體中最長，且仲裁效率也較低。競賽式多數(shù)一致表決模型［20］對領(lǐng)先的輸出結(jié)果執(zhí)行仲裁，通過增加執(zhí)行體數(shù)量提高仲裁效率，但仲裁結(jié)果的正確性無法保證，仲裁可能會出現(xiàn)差模逃逸現(xiàn)象。數(shù)據(jù)庫日志記錄了數(shù)據(jù)庫內(nèi)部執(zhí)行的所有操作信息。數(shù)據(jù)庫管理人員可以通過日志對數(shù)據(jù)庫進(jìn)行安全審計和異常檢測，并從大量日志文件中分析并挖掘出所需信息［21-23］。本文結(jié)合數(shù)據(jù)庫日志挖掘和模式匹配算法［24-25］，提出一種基于數(shù)據(jù)庫二進(jìn)制日志的競賽式仲裁優(yōu)化方案。當(dāng)競賽式仲裁模型輸出結(jié)果不一致時，通過對異構(gòu)數(shù)據(jù)庫執(zhí)行體二進(jìn)制日志文件中的操作記錄進(jìn)行查找匹配，將日志匹配結(jié)果與仲裁結(jié)果進(jìn)行校驗(yàn)，判斷仲裁結(jié)果的正確性。

1 表決模型

1.1 基本原理

本文提出的競賽式仲裁優(yōu)化方案將數(shù)據(jù)庫二進(jìn)制日志未受到篡改作為可信根，研究仲裁結(jié)果的正確率。當(dāng)異構(gòu)數(shù)據(jù)庫執(zhí)行體輸出結(jié)果不一致時，根據(jù)不同的輸出結(jié)果出現(xiàn)頻次對異構(gòu)數(shù)據(jù)庫執(zhí)行體進(jìn)行分類，從與仲裁結(jié)果一致且輸出結(jié)果頻次最高的分類中任取一個異構(gòu)數(shù)據(jù)庫執(zhí)行體，從與仲裁結(jié)果不一致且輸出結(jié)果頻次最低的分類中任取一個異構(gòu)數(shù)據(jù)庫執(zhí)行體，分別對這兩個異構(gòu)數(shù)據(jù)庫執(zhí)行體的二進(jìn)制日志文件進(jìn)行查找匹配，以匹配頻次少的二進(jìn)制日志文件作為匹配結(jié)果，將匹配結(jié)果與仲裁結(jié)果進(jìn)行校驗(yàn)，依據(jù)校驗(yàn)結(jié)果判斷仲裁結(jié)果是否正確。與競賽式仲裁方案相比，本文方案提高了仲裁結(jié)果的正確率，能有效避免針對SQL注入攻擊的差模逃逸現(xiàn)象。

1.2 競賽式多數(shù)一致表決模型

競賽式多數(shù)一致表決模型對輸出速率最快的前m個異構(gòu)執(zhí)行體輸出結(jié)果進(jìn)行表決，當(dāng)m-1 個異構(gòu)執(zhí)行體處于同一失效空間時，競賽式多數(shù)一致表決模型會將錯誤仲裁結(jié)果認(rèn)為是正確結(jié)果輸出。該仲裁方式難以應(yīng)對差模逃逸，會增加錯誤結(jié)果仲裁通過概率，降低仲裁正確率。競賽式多數(shù)一致表決模型如圖1 所示。

圖1 競賽式多數(shù)一致表決模型Fig.1 Competitive majority unanimous voting model

1.3 模型優(yōu)化

基于數(shù)據(jù)庫二進(jìn)制日志的競賽式仲裁優(yōu)化模型如圖2 所示，其主要構(gòu)成如下：

1）調(diào)度器。在初始狀態(tài)下，調(diào)度器將輸入信息轉(zhuǎn)發(fā)給所有異構(gòu)數(shù)據(jù)庫執(zhí)行體。根據(jù)收到的異常反饋信息對異常的在線執(zhí)行體進(jìn)行調(diào)度及下線清洗。

2）結(jié)果棧。在初始狀態(tài)下，開辟一個大小為m(m∈[3，n])的?？臻g，按照異構(gòu)數(shù)據(jù)庫執(zhí)行體結(jié)果輸出的先后次序，依次將輸出結(jié)果保存在棧中。

3）多模裁決表決器。多模裁決表決器對保存在結(jié)果棧中的輸出結(jié)果集采用多數(shù)一致表決算法進(jìn)行仲裁。

4）二進(jìn)制日志校驗(yàn)。從選取的異構(gòu)數(shù)據(jù)庫執(zhí)行體中查找二進(jìn)制日志文件進(jìn)行字符串匹配，統(tǒng)計匹配次數(shù)，判定匹配次數(shù)少的執(zhí)行體輸出結(jié)果為匹配結(jié)果，將其與仲裁結(jié)果進(jìn)行比較，校驗(yàn)仲裁結(jié)果的正確性。

圖2 基于數(shù)據(jù)庫二進(jìn)制日志的競賽式仲裁優(yōu)化模型Fig.2 Optimization model of competitive arbitration based on binary database log

1.4 表決流程

基于數(shù)據(jù)庫二進(jìn)制日志的競賽式仲裁優(yōu)化方案的表決流程如圖3 所示，具體流程如下：

1）采用多數(shù)一致性表決算法對結(jié)果棧中保存的m個異構(gòu)執(zhí)行體輸出結(jié)果進(jìn)行仲裁，若仲裁失敗則輸出異常，若仲裁成功則執(zhí)行步驟2。

2）比較m個輸出結(jié)果，若輸出結(jié)果相同的最大頻次為，則執(zhí)行步驟4，否則執(zhí)行步驟3。

5）查找匹配相同時間段內(nèi)（上一次日志更新時間到本次輸出執(zhí)行體結(jié)果的時間）A和B的二進(jìn)制日志中增刪改操作記錄，統(tǒng)計匹配次數(shù)，判定匹配次數(shù)少的執(zhí)行體輸出結(jié)果為匹配結(jié)果，執(zhí)行步驟6。

6）校驗(yàn)匹配結(jié)果與仲裁結(jié)果是否一致：若結(jié)果一致，則執(zhí)行步驟7；若結(jié)果不一致，則仲裁失敗，存在差模逃逸，輸出匹配結(jié)果，同時輸出異常警告。

7）輸出仲裁結(jié)果。

圖3 基于數(shù)據(jù)庫二進(jìn)制日志的競賽式仲裁優(yōu)化方案的表決流程Fig.3 Voting process of optimization scheme of competitive arbitration based on binary database log

2 競賽式仲裁優(yōu)化方案實(shí)現(xiàn)

2.1 相關(guān)定義

X：n個異構(gòu)數(shù)據(jù)庫執(zhí)行體集。

Y：n個異構(gòu)數(shù)據(jù)庫執(zhí)行體輸出結(jié)果集。

R：輸出結(jié)果最快的前m個異構(gòu)數(shù)據(jù)庫執(zhí)行體集，R={r1，r2，…，rk}。

F：R對應(yīng)的二進(jìn)制日志集，F(xiàn)={f1，f2，…，fk}，1≤k≤m。

S：結(jié)果棧中的輸出結(jié)果集，S={s1，s2，…，sk}。

sj：異構(gòu)數(shù)據(jù)庫執(zhí)行體的輸出結(jié)果，sj∈S?Y。

Hj：輸出結(jié)果相同的執(zhí)行體集，Hj={r1，r2，…，rj}。

rj：異構(gòu)數(shù)據(jù)庫執(zhí)行體，rj∈R?X，1≤j≤k。

H：按照輸出結(jié)果的不同對R進(jìn)行分類，H={H1，H2，…，Hk}，H1∪H2∪…∪Hk=R，Hi∩Hj=?，i≠j，1＜i≤k。

P：每種分類中的執(zhí)行體個數(shù)，P={P1，P2，…，Pk}，Pj=|Hj|。

差模逃逸：在N個異構(gòu)執(zhí)行體中，若N-1 個執(zhí)行體處于同一個失效空間，則可能出現(xiàn)N-1 個執(zhí)行體輸出結(jié)果相同且都不正確的情況，此時仲裁機(jī)制會將不正確的結(jié)果認(rèn)為是正確的輸出，該現(xiàn)象在擬態(tài)防御中被稱為N-1 模逃逸現(xiàn)象或者差模逃逸現(xiàn)象。

2.2 多數(shù)一致表決算法及其存在的問題

多數(shù)一致表決算法的具體步驟如下：

1）對比S中的sj，將輸出相同sj的rj放入同一個集合Hj中，此時Hj中有Pj個元素。

2）當(dāng)Pj=max(P1，P2，…，Pk)時：

在情況1 中可能出現(xiàn)差模逃逸，造成錯誤結(jié)果仲裁通過概率增加。在情況2 中可能會在仲裁結(jié)果為正確結(jié)果時，輸出異常警告，降低了輸出結(jié)果正確且裁決通過的概率。例如，當(dāng)時，若個執(zhí)行體輸出結(jié)果相同且不正確，另外個執(zhí)行體輸出結(jié)果相同且正確，則仲裁結(jié)果有50%的概率為正確結(jié)果。

2.3 基于數(shù)據(jù)庫二進(jìn)制日志的競賽式仲裁校驗(yàn)算法

基于數(shù)據(jù)庫二進(jìn)制日志的競賽式仲裁校驗(yàn)算法的具體步驟如下：

1）多數(shù)一致表決算法對S仲裁，結(jié)果記為T。

2）當(dāng)存在Pj和Pl且Pj=max(P1，P2，…，Pk)、Pl=mi n(P1，P2，…，Pk)時，可分為以下情況：

3）分別從rA和rB中查找二進(jìn)制日志文件fA、fB∈F，在fA和fB中依據(jù)特征關(guān)鍵字對增刪改操作日志進(jìn)行匹配，匹配頻次分別記為qA和qB，將q對應(yīng)的執(zhí)行體輸出結(jié)果記為匹配結(jié)果Q，q=min(qA，qB)。

4）對Q和T進(jìn)行校驗(yàn)：若Q=T，則仲裁成功，輸出T；若Q≠T，則仲裁失敗，存在差模逃逸，輸出Q。

3 實(shí)驗(yàn)結(jié)果與分析

3.1 實(shí)驗(yàn)環(huán)境

假定各異構(gòu)執(zhí)行體之間相互獨(dú)立且互不干擾，在輸出結(jié)果已保存在結(jié)果棧的前提下，將CAA（輸出結(jié)果正確且裁決通過）、CAF（輸出結(jié)果正確但裁決未通過）、IAA（輸出結(jié)果錯誤但裁決通過）、IAF（輸出結(jié)果錯誤且裁決未通過）作為衡量本文方案安全性的主要指標(biāo)。為簡化實(shí)驗(yàn)?zāi)Ｐ?，在?shí)驗(yàn)1 和實(shí)驗(yàn)3 中取m=3，以MariaDB、MySQL 和Oracle 作為3 個異構(gòu)數(shù)據(jù)庫執(zhí)行體。實(shí)驗(yàn)1 和實(shí)驗(yàn)3 中3 個異構(gòu)數(shù)據(jù)庫信息如表1 所示。

表1 異構(gòu)數(shù)據(jù)庫信息Table 1 Heterogeneous database information

3.2 安全性分析

本文根據(jù)S的不同進(jìn)行分類H={H1，H2，…，Hm}，假定輸出結(jié)果正確的空間為H1，結(jié)果棧中模擬產(chǎn)生的結(jié)果多數(shù)落在空間H1中。采用競賽式多數(shù)一致表決方案和本文方案進(jìn)行1 萬次仲裁，每次實(shí)驗(yàn)時注入一些異常數(shù)據(jù)，用來調(diào)整輸出結(jié)果正確和輸出結(jié)果不正確之間的比例，在注入異常時確保出現(xiàn)差模逃逸。實(shí)驗(yàn)中執(zhí)行體輸出正確結(jié)果的概率為84.418 8%，輸出錯誤結(jié)果的概率為15.581 2%，即H1=84.418 8%。

實(shí)驗(yàn)1采用競賽式多數(shù)一致表決方案和本文方案分別對S進(jìn)行仲裁。通過CAA、CAF、IAA 和IAF 這4 項(xiàng)安全指標(biāo)可以發(fā)現(xiàn)，相比競賽式多數(shù)一致表決方案，本文方案的CAA 和IAF 的仲裁結(jié)果正確率分別提高了3.085 9和7.716 6個百分點(diǎn)，CAF和IAA的仲裁結(jié)果正確率分別降低了3.085 9 和7.716 6 個百分點(diǎn)，由此可見本文方案可以有效降低CAF、IAA 中差模逃逸的概率，實(shí)驗(yàn)結(jié)果如圖4 所示。

圖4 競賽式多數(shù)一致表決方案與本文方案的安全性對比Fig.4 Security comparison between the competitive majority unanimous voting scheme and the proposed scheme

實(shí)驗(yàn)2在保證每個異構(gòu)執(zhí)行體輸出結(jié)果正確率相同的情況下，通過調(diào)整m值比較CAA 和IAA 的仲裁結(jié)果正確率變化情況。如圖5、圖6 所示，隨著m值的增加，競賽式多數(shù)一致表決方案和本文方案的CAA 和IAA 仲裁結(jié)果正確率整體呈現(xiàn)上升趨勢。在仲裁執(zhí)行體數(shù)目一致的情況下，本文方案相比競賽式多數(shù)一致表決方案仲裁結(jié)果正確率更高，并且安全性和可靠性更好。

圖5 競賽式多數(shù)一致表決方案和本文方案的CAA 仲裁結(jié)果正確率比較Fig.5 Comparison of the correct rate of CAA arbitration results between the competitive majority unanimous voting scheme and the proposed scheme

圖6 競賽式多數(shù)一致表決方案與本文方案的IAA 仲裁結(jié)果正確率比較Fig.6 Comparison of the correct rate of IAA arbitration results between the competitive majority unanimous voting scheme and the proposed scheme

3.3 效率分析

將本文方案和KMP 算法［26］查找匹配二進(jìn)制日志文件fA和fB的擬態(tài)系統(tǒng)記為方案1，系統(tǒng)總執(zhí)行時間記為GT1；將本文方案和Sunday 算法［25］查找匹配fA和fB的擬態(tài)系統(tǒng)記為方案2，系統(tǒng)總執(zhí)行時間記為GT2；將競賽式多數(shù)一致表決方案的擬態(tài)系統(tǒng)記為方案3，系統(tǒng)總執(zhí)行時間記為GT3。在相同條件下，方案1 相比方案3 降低的執(zhí)行效率記為KMP-E，方案2相比方案3 降低的執(zhí)行效率記為Sunday-E。

實(shí)驗(yàn)3在3 種方案中注入異常使得執(zhí)行體異常個數(shù)為0、1、2 和3，且每種情況重復(fù)執(zhí)行1 000 次。如表2 所示，“—”表示在執(zhí)行體異常個數(shù)為0 和3 時上述3 種方案均不涉及日志文件，因此GT1、GT2和GT3均與fA和fB大小無關(guān)。在執(zhí)行體皆正常和皆異常的情況下，3 種方案耗時相同。在執(zhí)行體出現(xiàn)異常的情況下，方案1 和方案2 隨fA和fB呈線性增加，GT1和GT2也呈現(xiàn)線性增加。

表2 系統(tǒng)總執(zhí)行時間與fA 和fB 的關(guān)系Table 2 The relationship between the total execution time of the system and fA，fB

在執(zhí)行體出現(xiàn)異常時，KMP-E 和Sunday-E 隨二進(jìn)制日志文件fA和fB呈線性增加（yKMP=0.219 7x-0.078 7 和ySunday=0.124 9x+0.017 1），采用Sunday 算法的方案2 執(zhí)行效率優(yōu)于采用KMP 算法的方案1，因此本文方案的執(zhí)行效率高低取決于選用模式匹配算法的執(zhí)行效率，若模式匹配算法查找匹配fA和fB耗時越短，則本文方案耗時越短。執(zhí)行效率KMP-E 和Sunday-E 隨fA和fB的變化情況如圖7 所示。

圖7 異常情況下執(zhí)行效率隨fA 和fB 的變化情況Fig.7 Changes of execution efficiency with fA and fB under abnormal situations

由實(shí)驗(yàn)結(jié)果可知，本文方案和競賽式多數(shù)一致表決方案的仲裁結(jié)果正確率和執(zhí)行效率在正常情況下均相同，而在異常情況下本文方案的仲裁結(jié)果正確率更高，通過選用更高效的模式匹配算法，減少系統(tǒng)總體執(zhí)行時間，在保證提高系統(tǒng)安全性的同時使耗時在可承受范圍內(nèi)。

4 結(jié)束語

本文建立一種基于數(shù)據(jù)庫二進(jìn)制日志的競賽式仲裁優(yōu)化方案，通過將執(zhí)行體的二進(jìn)制日志匹配結(jié)果與多數(shù)一致表決的仲裁結(jié)果進(jìn)行對比，校驗(yàn)仲裁結(jié)果的正確性。實(shí)驗(yàn)結(jié)果表明，優(yōu)化方案可提高仲裁結(jié)果正確率，減少差模逃逸概率，適用于含有數(shù)據(jù)庫異構(gòu)執(zhí)行體或者數(shù)據(jù)庫異構(gòu)部件的動態(tài)冗余架構(gòu)，也可作為一種容錯設(shè)計方案應(yīng)用于冗余容錯架構(gòu)中，加強(qiáng)擬態(tài)系統(tǒng)安全性和可靠性。但由于優(yōu)化方案無法處理N個異構(gòu)執(zhí)行體處于同一失效空間的情況，因此下一步將對仲裁結(jié)果中出現(xiàn)的共同失效問題展開深入研究。