張立群 王啟揚

（1、遼寧長城會展廣告有限公司，遼寧 沈陽110004 2、沈陽市電信規(guī)劃設(shè)計院股份有限公司，遼寧 沈陽110023）

伴隨著互聯(lián)網(wǎng)和信息產(chǎn)業(yè)的快速發(fā)展，數(shù)據(jù)信息已經(jīng)成為企業(yè)重要的戰(zhàn)略資源之一，數(shù)據(jù)的重要性不僅體現(xiàn)在企業(yè)的日常經(jīng)營管理、戰(zhàn)略計劃制定和短期計劃的制定等方面，還將決定著企業(yè)的市場競爭力與品牌競爭力[1]。當前，由于行業(yè)發(fā)展和供應(yīng)鏈發(fā)展的需要，大多數(shù)企業(yè)都擁有屬于本企業(yè)數(shù)據(jù)庫服務(wù)器系統(tǒng)[2]。企業(yè)數(shù)據(jù)庫服務(wù)器系統(tǒng)大都基于B/S 基礎(chǔ)結(jié)構(gòu)設(shè)計[3]，并內(nèi)嵌多個與服務(wù)器兼容Web 應(yīng)用程序，進而對企業(yè)的數(shù)據(jù)和行業(yè)的數(shù)據(jù)進行分析與管理。在開放的網(wǎng)絡(luò)環(huán)境下，企業(yè)數(shù)據(jù)庫服務(wù)器容易受到惡意的入侵、攻擊、或被盜取，給企業(yè)帶來難以估量的損失[4]，因此針對企業(yè)數(shù)據(jù)庫服務(wù)器實施系統(tǒng)化的安全防護，對于企業(yè)的日常運營和發(fā)展而言至關(guān)重要。為此，本文提出一種基于蜜罐的企業(yè)數(shù)據(jù)庫服務(wù)器安全技術(shù)，從架構(gòu)設(shè)計和模塊設(shè)計的視角提升企業(yè)數(shù)據(jù)庫的安全等級。

1 蜜罐在企業(yè)服務(wù)器網(wǎng)絡(luò)中的位置及核心防御技術(shù)

企業(yè)數(shù)據(jù)庫服務(wù)器與Web 應(yīng)用進行實時的數(shù)據(jù)交互，根據(jù)頁面接收到的指令信息對數(shù)據(jù)庫做制定的操作。企業(yè)數(shù)據(jù)的存儲、交互與使用都基于B/S 結(jié)構(gòu)和Web 應(yīng)用完成，用于基于Web 瀏覽器向系統(tǒng)提出請求，邏輯層通過增加和更新系統(tǒng)指令判斷數(shù)據(jù)請求的風險值，并做出具體的響應(yīng)?；诨ヂ?lián)網(wǎng)的攻擊具有普遍性和隨機性，隨著網(wǎng)絡(luò)攻擊方式的多樣化及病毒變異，傳統(tǒng)基于防火墻的入侵檢測方法無法滿足網(wǎng)絡(luò)安全實時檢測的要求。蜜罐思想是一種基于逆向思維的防范策略，即通過在系統(tǒng)中故意設(shè)置漏洞來誘捕攻擊者的方法。甚至可以通過對模擬網(wǎng)絡(luò)攻擊過程中應(yīng)用程序數(shù)據(jù)的分析，進一步優(yōu)化和改善局域網(wǎng)絡(luò)的防御功能。蜜罐具有高效的惡意數(shù)據(jù)分析能力，因此在有效減少和控制網(wǎng)絡(luò)威脅，及數(shù)據(jù)庫服務(wù)器威脅等方面具有重要的價值。

蜜罐防御系統(tǒng)本身不具有主動清除惡意數(shù)據(jù)和病毒的功能，因此傳統(tǒng)的防火墻、入侵檢測等技術(shù)不能直接被替代，蜜罐的價值在于了解網(wǎng)絡(luò)攻擊的屬性特征和特有手段，達到被動防御的效果。蜜罐的防護價值體現(xiàn)在以下幾個方面：首先蜜罐增加了一種網(wǎng)絡(luò)攻擊的應(yīng)對方式，該種看似被動的防護方式卻能夠掌握各種病毒的本質(zhì)特征，是防火墻功能改進的基礎(chǔ)；其次蜜罐的檢測能力和病毒特征識別能力較強，能夠顯著降低系統(tǒng)檢測誤報率和漏報率；最后，蜜罐檢測技術(shù)的響應(yīng)速度更快，通常作為服務(wù)器系統(tǒng)安全預警的第一道閘門。蜜罐在企業(yè)數(shù)據(jù)庫服務(wù)器網(wǎng)絡(luò)中的位置并不固定，可以放在防火墻系統(tǒng)之前、DMZ 區(qū)之后或防火墻之后，也可以同時布置多個蜜罐，更好地提升數(shù)據(jù)庫服務(wù)網(wǎng)絡(luò)的安全性，圖1 是一種較為普遍的蜜罐網(wǎng)絡(luò)布置示意圖。

圖1 數(shù)據(jù)庫服務(wù)器網(wǎng)絡(luò)中蜜罐位置示意圖

蜜罐的價值在于被攻擊或被探測時記錄病毒或攻擊者的特征，因此信息捕獲技術(shù)是蜜罐的核心技術(shù)。信息捕獲技術(shù)要求蜜罐具有強大的信息捕獲功能和隱匿性，即在不被入侵者發(fā)現(xiàn)其行動軌跡的前提下，盡可能捕獲更多的供給者信息。在企業(yè)數(shù)據(jù)庫服務(wù)系統(tǒng)中布置性能更加強大的高交互度蜜罐，分三個層次捕獲入侵數(shù)據(jù)或病毒的特征。其中第一層數(shù)據(jù)配合防火墻完成，主要記錄與入侵病毒相關(guān)的日志信息；第二層由數(shù)據(jù)庫服務(wù)器系統(tǒng)的IDS 模塊完成，利用IDS 抓取進入蜜罐的所有數(shù)據(jù)的網(wǎng)絡(luò)包，并將其存放于本地的病毒庫中做一一對比；第三層的數(shù)據(jù)檢測工作由蜜罐主機完成，檢測結(jié)果以加密后的方式存儲于本地服務(wù)中。當服務(wù)器網(wǎng)絡(luò)中包含兩個或兩個以上的蜜罐時，在本地即可性能具有更強防御性能的密網(wǎng)。密網(wǎng)是一種具有高交互性、防御性的蜜罐網(wǎng)絡(luò)系統(tǒng)，基于密網(wǎng)可以獲得更廣泛攻擊信息，使系統(tǒng)服務(wù)器的防御性能升級；此外，基于蜜罐系統(tǒng)的數(shù)據(jù)庫服務(wù)器原本就具備較為完善的防火墻系統(tǒng)，因此密網(wǎng)形成后其防御功能會進一步強大。

企業(yè)應(yīng)用型數(shù)據(jù)庫服務(wù)器密網(wǎng)的三大基礎(chǔ)性功能，包括數(shù)據(jù)控制功能、特征捕獲功能和數(shù)據(jù)采集功能。進入蜜罐的惡意數(shù)據(jù)首先無法察覺到蜜罐的存在，也不能采取任何的反制措施，因為蜜罐完全是開放的，與其它的網(wǎng)絡(luò)服務(wù)器節(jié)點無明顯差別。蜜罐在識別到惡意數(shù)據(jù)之后并不會對病毒采取任何攻擊措施，只是提取惡意數(shù)據(jù)或病毒的基礎(chǔ)特征，并將這些特征傳遞給其它的蜜罐、系統(tǒng)防火墻系統(tǒng)和IDS 系統(tǒng)。由于并未對病毒做出攻擊，病毒會認為自身沒有被識別出，只有一定數(shù)量的病毒和惡意數(shù)據(jù)到達防火墻或IDS系統(tǒng)后，數(shù)據(jù)庫服務(wù)器防御系統(tǒng)根據(jù)蜜罐提供的信息，將具有相同特征的入侵數(shù)據(jù)一網(wǎng)打盡。由此可見，蜜罐和密網(wǎng)具有強大的控制性和穩(wěn)健性，更適合隱匿病毒的識別和處理。蜜罐和密網(wǎng)的數(shù)據(jù)捕獲功能是間接實現(xiàn)，其主要價值是在未發(fā)起攻擊的條件下，先識別出對象的特征，一方面可以多層次、多角度、全方位地掌握病毒的特征，另一方面還可以保證數(shù)據(jù)信息的準確性，避免出現(xiàn)過高的誤判率。數(shù)據(jù)采集的目的在于形成一個應(yīng)對病毒變異完整病毒庫，當惡意入侵的數(shù)據(jù)被識別出與系統(tǒng)服務(wù)器病毒庫中的樣本一致時，可以直接利用防火墻或IDS 系統(tǒng)處理，無需蜜罐和密網(wǎng)的介入。

2 基于蜜罐的企業(yè)應(yīng)用數(shù)據(jù)庫服務(wù)器安全防范設(shè)計

一個具有高交互度的蜜罐系統(tǒng)具體由數(shù)據(jù)控制模塊、數(shù)據(jù)捕獲模塊、日志模塊、特征提取模塊和報警模塊組成，這些模塊之間通過局域網(wǎng)連接，且與企業(yè)數(shù)據(jù)庫服務(wù)器連接，保證應(yīng)用數(shù)據(jù)庫服務(wù)器系統(tǒng)的安全性。其中，數(shù)據(jù)控制模塊是安全防范系統(tǒng)的核心模塊之一，其控制對象的進入服務(wù)器的數(shù)據(jù)流，大部分病毒和惡意數(shù)據(jù)會隱匿于數(shù)據(jù)流當中，數(shù)據(jù)庫服務(wù)器數(shù)據(jù)流的控制流程見圖2。

圖2 基于蜜罐的服務(wù)器數(shù)據(jù)流控制過程

蜜罐的布置具有隨機性，且蜜罐從外部看僅是一個普通的數(shù)據(jù)庫節(jié)點不易被識別。為了完整記錄入侵數(shù)據(jù)或病毒的特征，蜜罐的訪問設(shè)置是開放性的。數(shù)據(jù)控制模塊根據(jù)系統(tǒng)數(shù)據(jù)庫服務(wù)器的承載能力，對數(shù)據(jù)流的閾值范圍作出限定和抑制，其中攻擊包的特征識別有系統(tǒng)檢測系統(tǒng)完成，并根據(jù)病毒和入侵數(shù)據(jù)的特征，給出適合的標簽。

數(shù)據(jù)捕獲模塊采用三層次的結(jié)構(gòu)設(shè)計，第一層由蜜罐和密網(wǎng)標定惡意數(shù)據(jù)或病毒特征，并將相關(guān)的信息傳遞給防火墻和IDS系統(tǒng)；由于蜜罐和密網(wǎng)并不具備數(shù)據(jù)捕獲功能，數(shù)據(jù)的處理有防火墻和IDS 系統(tǒng)完成；第二層的惡意數(shù)據(jù)捕獲任務(wù)由服務(wù)器的防火墻系統(tǒng)完成，根據(jù)蜜罐和密網(wǎng)的信息記錄主動攔截進入服務(wù)器系統(tǒng)的病毒或惡意數(shù)據(jù)；第三層系統(tǒng)會選擇主動檢測或主動出擊的方式清除進入服務(wù)器的病毒或惡意數(shù)據(jù)，數(shù)據(jù)捕獲的總體流程見圖3。

圖3 惡意入侵數(shù)據(jù)捕獲的總體流程

日志模塊主要負責記錄兩類數(shù)據(jù)，一類是數(shù)據(jù)庫服務(wù)器在網(wǎng)絡(luò)連接時產(chǎn)生的各種主要參數(shù)，包括IP 地址、端口、時間戳等關(guān)鍵參數(shù)，這些與數(shù)據(jù)相關(guān)的參數(shù)可以基于對入侵數(shù)據(jù)包的分析獲得；另一類數(shù)據(jù)為原始入侵數(shù)據(jù)本身，即一些內(nèi)嵌于數(shù)據(jù)包的病毒特征碼和惡意數(shù)據(jù)，這些病毒和惡意數(shù)據(jù)構(gòu)成了對系統(tǒng)服務(wù)器的真正威脅。如果能夠完全提取到病毒、惡意數(shù)據(jù)的特征碼及與特征碼對應(yīng)相關(guān)參數(shù)，就可以較為容易的提高對惡意數(shù)據(jù)和病毒的識別率，進而改善網(wǎng)絡(luò)防御功能，保證數(shù)據(jù)庫服務(wù)器的安全。攜帶病毒的數(shù)據(jù)或具備惡意攻擊能力的數(shù)據(jù)會篡改系統(tǒng)數(shù)據(jù)及相關(guān)的設(shè)置，而日志模塊的功能就是將整個攻擊過程及篡改前后的差異記錄下來，并將篡改后的信息及時傳遞給防火墻及IDS 系統(tǒng)。惡意攻擊數(shù)據(jù)和病毒特征的提取過程本質(zhì)上是一種數(shù)據(jù)包的抓取過程，通過字符串比對、拓展名比對等方式識別出存在異?；虼嬖跐撛陲L險的數(shù)據(jù)。在特征提取過程中數(shù)據(jù)包的大小、字符串長度等因素會影響到特征提取性能和效果，當可疑數(shù)據(jù)的規(guī)模較小時，可以選擇基于單模式字符串匹配的BM 算法，提高特征提取的效率；當數(shù)據(jù)集的規(guī)模較大時，可選用Wu-Manber 算法兼顧算法效率、特征提取能力和穩(wěn)定性。

基于蜜罐的企業(yè)數(shù)據(jù)庫安全防御系統(tǒng)自帶報警功能，當發(fā)生數(shù)據(jù)入侵時蜜罐會對進入系統(tǒng)的數(shù)據(jù)進行檢測和比對，如果存在異常會向系統(tǒng)預警同時通過網(wǎng)絡(luò)將惡意數(shù)據(jù)的代碼傳遞給其它蜜罐、防火墻和IDS 系統(tǒng)。預警模塊的監(jiān)控方式有自動監(jiān)控和手動監(jiān)控兩種，為了確保數(shù)據(jù)監(jiān)控和病毒檢測的過程更加可靠，必要時可以進行人工干預鑒別入侵數(shù)據(jù)的危害性。

3 結(jié)論與建議

當前，在互聯(lián)網(wǎng)、計算機科學技術(shù)和信息產(chǎn)業(yè)技術(shù)的推動下，數(shù)據(jù)資源已經(jīng)成為了企業(yè)擁有和控制的最重要資源之一，甚至對行業(yè)數(shù)據(jù)、市場數(shù)據(jù)的合理分析和利用，能夠幫助企業(yè)占領(lǐng)市場，獲得經(jīng)營上的成功。大多數(shù)注重數(shù)據(jù)資源利用的企業(yè)都會建立一套完整的應(yīng)用型數(shù)據(jù)庫管理系統(tǒng)，但在開放的網(wǎng)絡(luò)環(huán)境下，企業(yè)數(shù)據(jù)庫服務(wù)器直接與外部網(wǎng)絡(luò)相連，存在被惡意攻擊的風險。為進一步提升傳統(tǒng)防火墻系統(tǒng)及IDS 防御系統(tǒng)的功能，本文通過在局域網(wǎng)布置蜜罐的方式，檢測進入系數(shù)的數(shù)據(jù)是否為惡意數(shù)據(jù)和病毒。蜜罐防御具有良好的隱匿性，在多個位置布置蜜罐形成密網(wǎng)，數(shù)據(jù)庫防御系統(tǒng)的安全等級會得到進一步提高。

由于蜜罐主要采用誘捕的方式提取惡意數(shù)據(jù)和病毒的特征，因此蜜罐系統(tǒng)的甜度一直是領(lǐng)域內(nèi)的研究熱點之一，在合理的成本控制范圍內(nèi)增加蜜罐系統(tǒng)甜度，是后續(xù)研究工作的重點方向之一。此外，考慮到蜜罐和密網(wǎng)本身不具備對惡意數(shù)據(jù)和病毒主動攻擊功能，在利用蜜罐和密網(wǎng)進行防御的同時，還要提高企業(yè)數(shù)據(jù)庫服務(wù)器自身防御能力，提高本地防火墻的防御功能及IDS 防御系統(tǒng)的綜合性能。數(shù)據(jù)庫服務(wù)器安全防御系統(tǒng)性能的提升，依賴以大量軟硬件資源和人力資源的投入，因此企業(yè)應(yīng)針對服務(wù)器網(wǎng)絡(luò)防御的具體要求，加大對企業(yè)數(shù)據(jù)庫服務(wù)管理活動的人力、物力投入，持續(xù)保障系統(tǒng)的安全。