網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)審計跟蹤研究.pdf

1、伴隨著網(wǎng)絡(luò)的普及和數(shù)據(jù)庫的廣泛應(yīng)用，包括銀行等企事業(yè)單位在內(nèi)的幾乎每一個組織都建立了網(wǎng)絡(luò)化的數(shù)據(jù)庫管理系統(tǒng)。數(shù)據(jù)庫的網(wǎng)絡(luò)化管理在為企業(yè)提供辦公自動化、數(shù)據(jù)共享等便利的同時，也引發(fā)了各種網(wǎng)絡(luò)數(shù)據(jù)庫的安全問題。數(shù)據(jù)庫作為大量數(shù)據(jù)的存儲系統(tǒng)，保存著企業(yè)及機構(gòu)的各類重要敏感數(shù)據(jù)，這些數(shù)據(jù)的破壞、竊取會嚴重危害企業(yè)的利益。對網(wǎng)絡(luò)數(shù)據(jù)庫的破壞大都來源于內(nèi)部惡意用戶對數(shù)據(jù)庫的攻擊，因此保護網(wǎng)絡(luò)數(shù)據(jù)庫中的數(shù)據(jù)安全，防止數(shù)據(jù)庫內(nèi)部用戶對數(shù)據(jù)庫的攻擊，是十

2、分必要的。
　　目前一些傳統(tǒng)的安全機制如身份認證、存取控制、防火墻等，重點在于預(yù)防，不僅無法阻止所有的數(shù)據(jù)庫攻擊，對來自內(nèi)部合法用戶的攻擊更是無能為力。而網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的審計跟蹤，通過跟蹤網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)庫服務(wù)器上的用戶活動，可以全面記錄和監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的狀態(tài)和用戶的行為，對于控制用戶行為、檢測安全隱患、進行事后追查和分析等都具有十分重要的意義。
　　針對主流數(shù)據(jù)庫系統(tǒng)只具備日志審核而無審計分析這一審計功能的不足，本文提出了

3、日志與審計分析相結(jié)合的數(shù)據(jù)庫審計方案，并給出了一個基于 SQL Server的數(shù)據(jù)庫安全審計系統(tǒng)DBAudit的實現(xiàn)過程。較之傳統(tǒng)日志審計的不足，DBAudit系統(tǒng)提供了審計查詢、審計分析、管理審計數(shù)據(jù)的功能，并對審計系統(tǒng)實施了安全保護。審計員通過選擇查詢感興趣的審計數(shù)據(jù)，可以及時、準確地進行責任追蹤；通過采用入侵檢測的方法實現(xiàn)審計分析，可以及時檢測到客戶端對數(shù)據(jù)庫的攻擊并進行報警響應(yīng)；通過審計數(shù)據(jù)的導(dǎo)入導(dǎo)出、審計數(shù)據(jù)庫的隔離等措施避免

4、了審計數(shù)據(jù)的溢出，從而確保DBAudit系統(tǒng)的正常運行。文中詳細論述了DBAudit系統(tǒng)中日志模塊、審計分析模塊、安全通知模塊的設(shè)計，重點介紹了采用特征分析的誤用檢測方法、基于數(shù)據(jù)挖掘的異常檢測方法實現(xiàn)審計分析的過程及相關(guān)算法。
　　將DBAudit系統(tǒng)運行在SQL Server數(shù)據(jù)庫的服務(wù)器端進行測試，測試結(jié)果表明，DBAudit系統(tǒng)能夠全面跟蹤網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)中的用戶活動，自動檢測到已知的數(shù)據(jù)庫攻擊企圖以及偽裝攻擊、合法用戶對數(shù)