分類號： 單位代碼： 10422 密 級： 學 號： 200312321 碩 士 學 位 論 文 論文題目 : 入侵容忍數(shù)據(jù)庫的多階段破壞控制模型 作 者 姓 名 專 業(yè) 計算機應用技術 指導教師姓名 專業(yè)技術職務 孟麗榮 教授 20 年 4 月 5 日 原創(chuàng)性聲明和關于論文使用授權的說明 原 創(chuàng) 性 聲 明 本人鄭重 聲明：所呈交的學位論文，是本人在導師的指導下，獨立進行研究所取得的成果。除文中已經(jīng)注明引用的內容外，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫過的科研成果。對本文的研究做出重要貢獻的個人和集體，均已在文中以明確方式標明。本聲明的法律責任由本人承擔。 論文作者簽名： 日 期： 關于學位論文使用授權的聲明 本人完全了解山東大學有關保留、使用學位論文的規(guī)定，同意學校保留或向國家有關部門或機構送交論文的復印件和電子版，允許論文被查閱和借閱；本人授權山東大學 可以將本學位論文的全部或部分內容編入有關數(shù)據(jù)庫進行檢索，可以采用影印、縮印或其他復制手段保存論文和匯編本學位論文。 (保密論文在解密后應遵守此規(guī)定 ) 論文作者簽名： 導師簽名： 日 期： 山 東 大 學 碩 士 學 位 論 文 i 目 錄 摘 要 . I . 1 章 緒論 . 1 題提出的背景 . 1 要研究內容和特色 . 1 第 2 章 數(shù)據(jù)庫入侵容忍技術概述 . 3 侵容忍技術的引入 . 3 侵容忍的理論基礎 . 4 統(tǒng)故障模型 . 4 侵容忍目標和實現(xiàn)機制 . 6 侵容忍安全策略 . 7 用的入侵容忍技術 . 8 級入侵容忍數(shù)據(jù)庫的模型 . 10 第 3 章 多階段破壞控制技術 . 13 念解釋 . 13 階段破壞控制結構模型 . 15 階段破壞控制的各個階段 . 16 第 4 章 單個惡意事務的控制 . 錯誤 !未定義書簽。 據(jù)結構 . 錯誤 !未定義書簽。 于時間戳的控制 . 錯誤 !未定義書簽。 理 破壞擴散 . 錯誤 !未定義書簽。 用事務輪廓 . 錯誤 !未定義書簽。 狀態(tài)的破壞控制 . 錯誤 !未定義書簽。 章小結 . 錯誤 !未定義書簽。 第 5 章 多個惡意事務的控制 . 錯誤 !未定義書簽。 要解決的問題 . 錯誤 !未定義書簽。 念解釋 . 錯誤 !未定義書簽。 個惡意事務的控制 . 錯誤 !未定義書簽。 交時間在受控子歷史記錄之前 . 錯誤 !未定義書簽。 交時間在受控子歷史記錄之后 . 錯誤 !未定義書簽。 交時間在受控子歷史記錄之中 . 錯誤 !未定義書簽。 制一個簇集 . 錯誤 !未定義書簽。 第 6 章 多階段破壞控制原型系統(tǒng) . 錯誤 !未定義書簽。 山 東 大 學 碩 士 學 位 論 文 7 章 結束語 . 18 參考資料 . 20 致謝 . 24 攻讀學位期間發(fā)表的主要學術論文 . 51 山 東 大 學 碩 士 學 位 論 文 I 摘 要 數(shù)據(jù)庫安全涉及到數(shù)據(jù)庫中數(shù)據(jù)的機密性、完整性、可用性。目前，大部分研究集中在如何保護數(shù)據(jù)庫免受損害，很少有研究數(shù)據(jù)庫在面臨著一些成功的攻擊時，如何提高自身的容忍能力。成功的攻擊往往意味著對數(shù)據(jù)庫系統(tǒng)的破壞，而破壞可以通過彼此讀寫而擴散。嚴重的破壞擴散會導致系統(tǒng)的不可用，因此，需要進行破壞控制，避免破壞擴散。目前，入侵容忍破壞控制技術多為單階段破壞控制，受破壞對象直到修復管理器定位到它才受到控制，存在著延遲 及破壞擴散。數(shù)據(jù)庫系統(tǒng)完整性、可用性受到很大破壞。 針對這個問題，本文提出了 多階段破壞控制技術。當入侵檢測器確定某一事務為惡意事務時，立即停止執(zhí)行新的事務，并且立即控制從惡意事務的開始時間到惡意事務被檢測出來的時間這個時間段內所有可能遭到破壞的對象，避免破壞擴散。然后在后續(xù)過程中，分多個階段分析數(shù)據(jù)對象是否真正受到破壞。對那些沒有受到破壞的對象立即解除控制。對受到破壞的對象修復到未被破壞前的最新版本，然后解除控制。多階段破壞控制技術不再等到修復管理器定位到破壞再實行控制，避免了延遲，有效地解決了破壞擴散，保 證了數(shù)據(jù)庫系統(tǒng)完整性、可用性。 本文首先討論了入侵容忍的理論基礎，及常用的入侵容忍技術，分析了多級入侵容忍數(shù)據(jù)庫模型，并介紹了入侵容忍數(shù)據(jù)庫系統(tǒng)的破壞控制技術現(xiàn)狀。然后，提出了多階段破壞控制技術方案。方案包括對單個，兩個及多個惡意事務的破壞控制。首先，方案給出了控制單個惡意事務時，用到的數(shù)據(jù)結構及基于時間戳控制單個惡意事務方案，處理了可能出現(xiàn)的破壞擴散，使用事務輪廓提高了多階段破壞控制的效率，以及利用已完成的掃描進行有狀態(tài)破壞控制。然后，給出了控制兩個惡意事務的方案。方案將控制兩個惡意事務分為三種情況，分別 寫出了嚴謹?shù)乃惴?。然后，給出了多個惡意事務的控制方案，提出了模型，并寫出了算法。最后，針對多階段破壞控制模型給出了其原型系統(tǒng)，并對其可行性進行了分析。 本模型有效地拒絕了破壞擴散，對用戶透明，執(zhí)行破壞評估和恢復時不需要停止正常的事務處理。模型基于時間戳設計，可以方便地應用到任何 統(tǒng)。在解除控制階段，充分利用已有分析，避免重復分析，提高了效率。模型可山 東 大 學 碩 士 學 位 論 文 對多個惡意事務同時進行處理，因而具有很高可用性。 關鍵詞 數(shù)據(jù)庫安全；入侵容忍；多階段破壞控制； 破壞擴散 山 東 大 學 碩 士 學 位 論 文 of in a a of to of a on to of a to by of a it is to is a is it is as a be To we It a be is is to is s In we s in we s In to we s to a We we to we to at We we of At we of 山 東 大 學 碩 士 學 位 論 文 It is to It of so it as In we of It 山 東 大 學 碩 士 學 位 論 文 1 第 1 章 緒論 課題提出的背景 隨著數(shù)據(jù)庫的廣泛應用，企業(yè)和人們的 日常生活對數(shù)據(jù)庫依賴性越來越大，數(shù)據(jù)庫的安全越來越得到人們的關注。但數(shù)據(jù)庫安全事件時常發(fā)生，給受害企業(yè)和個人造成了極大的損失。特別是計算機網(wǎng)絡的日益普及，非法入侵越來越多，如何保證數(shù)據(jù)庫的安全成了目前的研究熱點 1。一般的研究強調將攻擊者拒之門外，通過加密和嚴格的存取控制保護信息的保密和完整 2。很少有研究數(shù)據(jù)庫在面臨一些成功的攻擊時，如何保持數(shù)據(jù)庫的完整性和可用性。而有時一些成功的攻擊是不可避免的。這些成功的攻擊可能 導致數(shù)據(jù)庫系統(tǒng)不能正常 工作 ，造成大量數(shù)據(jù)信息 被破壞 ，甚至使數(shù)據(jù)庫系統(tǒng)崩潰。 像信用卡支 付、銀行、飛機交通控制、后勤管理、在線期貨交易等大量用到數(shù)據(jù)的系統(tǒng)中，正在面臨著一些成功的攻擊。這些對商用數(shù)據(jù)庫系統(tǒng)的攻擊越來越變成我國經(jīng)濟的威脅。這就需要建立具有抵抗力（彈性）的數(shù)據(jù)庫系統(tǒng)。入侵容忍數(shù)據(jù)庫系統(tǒng)是一個很好的選擇。但是，目前入侵容忍數(shù)據(jù)庫系統(tǒng)多為單階段破壞控制系統(tǒng)。數(shù)據(jù)對象直到破壞評估器定位到破壞才受到控制，這會造成檢測延遲、評估延遲、恢復延遲，以至于導致嚴重的破壞擴散，使數(shù)據(jù)庫變得不可用。為此，本文提出了多階段破壞控制的入侵容忍數(shù)據(jù)庫系統(tǒng)。當檢測出惡意事務時，立即控制所有可能受到破壞的對象， 解決了延遲，避免了破壞擴散，然后判斷受控對象是否真正受到破壞。對于沒有受到破壞的對象直接解除控制。對受到惡意事務破壞的對象進行修復，然后解除控制。多階段破壞控制很好地克服了單階段破壞控制的缺點，不會引起破壞擴散，實現(xiàn)了入侵容忍，能夠很好地保證數(shù)據(jù)庫系統(tǒng)的可用性。 要研究內容和特色 1. 論文研究的主要內容 針對目前 入侵容忍數(shù)據(jù)庫系統(tǒng)的單階段破壞控制技術 ， 提出了多階段破壞控山 東 大 學 碩 士 學 位 論 文 2 制技術模型。給出了控制單個惡意事務時用到的數(shù)據(jù)結構，如何基于時間戳控制單個惡意事務，如何處理破壞擴散，如何使用事務輪廓提高多階段 破壞控制的效率，以及如何利用已經(jīng)完成的掃描進行有狀態(tài)的破壞控制，分別給出了算法。然后，根據(jù)控制多個惡意事務需要解決的問題，給出了控制兩個惡意事務的方案?？刂苾蓚€惡意事務可能出現(xiàn)三種情況：新檢測出的惡意事務的提交時間在舊的惡意事務111對三種情況可能出現(xiàn)的問題進行了分析后，分別給出嚴謹 的算法。算法充分利用了前一個惡意事務的掃描結果，在保證沒有破壞擴散的基礎上，避免了重復分析，提高了效率。然后，給出了控制多個惡意事務方案，將多個惡意事務劃分簇集的形式，提出了模型，并給出了算法。最后，針對多階段破壞控制模型給出了其原型系統(tǒng)，并對系統(tǒng)可行性進行了分析。 2. 研究的主要特色： （ 1）本文提出了多階段破壞控制模型，模型具有既不存在破壞擴散，又不會出現(xiàn)重復分析的特點，因此，既保證了數(shù)據(jù)庫系統(tǒng)正確性又保證了效率。 （ 2）模型從單個惡意事務到多個惡意事務，分別給出了詳細的算法，涵蓋了多階段破壞控制的各 種情況，算法嚴謹清晰。 （ 3）算法設計過程中，充分考慮已分析過的記錄，避免了重復分析，提高了效率。 （ 4）模型基于時間戳設計，只需要為每一張表添加一個時間戳域，不需要對數(shù)據(jù)庫做任何其他的修改，可以應用到任何 （ 5）模型設計對用戶透明，用戶不需要知道系統(tǒng)的復雜性。 山 東 大 學 碩 士 學 位 論 文 3 第 2 章 數(shù)據(jù)庫入侵容忍技術概述 隨著來自網(wǎng)絡的越來越多的攻擊，如何增強現(xiàn)有商用數(shù)據(jù)庫系統(tǒng)的安全，使其針對攻擊具有自動地恢復能力，或稱彈性，成為現(xiàn)在的一個熱門課題。入侵容忍技術就是針對這一問題提出的。 侵容忍技術的引 入 計算機網(wǎng)絡的發(fā)展使數(shù)據(jù)庫面臨越來越多的攻擊， 增強 抵御入侵和破壞 能力的技術 成為目前研究的熱點。 在復雜網(wǎng)絡環(huán)境下，特別是在 絡中，嚴格區(qū)分合法用戶和假冒的合法用戶變得困難。一個復雜的應用往往包括許多合法的用戶，很難保證所有用戶都遵守安全管理的規(guī)定。有些用戶無意中泄露了自己的身份 ;有的可能主動請別人代替自己進行一些工作 ;有的薄弱環(huán)節(jié)可能被攻破，導致一些認證信息泄露等。所有這些，都使得系統(tǒng)辨認一個真正的合法用戶變得困難。內部人員的攻擊也成為復雜環(huán)境下系統(tǒng)安全必須考慮的問題。出于種種目的，內部用 戶可能利用合法渠道對系統(tǒng)實施攻擊。利用現(xiàn)有的防攻擊手段很難抵制這種攻擊。另外，數(shù)據(jù)庫系統(tǒng)往往存在一些安全漏洞，攻擊者有時利用安全漏洞進行攻擊，不僅威脅數(shù)據(jù)庫的安全，也威脅到操作系統(tǒng)和其他可信任的系統(tǒng)。有些數(shù)據(jù)庫系統(tǒng)提供的機制威脅著網(wǎng)絡安全低層。比如，某公司的數(shù)據(jù)庫里面保存著所有的技術文檔、手冊和白皮書。即使運行在一個非常安全的操作系統(tǒng)上，入侵者也可能通過數(shù)據(jù)庫獲得操作系統(tǒng)權限，只需要執(zhí)行一些內置在數(shù)據(jù)庫中的擴展存儲過程即可。這些數(shù)據(jù)庫服務器還同其他服務器存在信任關系，入侵者就能夠對整個域機器的安全產(chǎn)生嚴重威 脅。 入侵容忍技術在這個背景下產(chǎn)生了，其目標是當一個系統(tǒng)遭受非法入侵后，其中的防護安全技術都失效或者不能完全排除入侵所造成的影響時，即使系統(tǒng)的某些組件遭受一些成功攻擊者的破壞時，入侵容忍系統(tǒng)仍能及時自我診斷、恢復和重構，并能為合法用戶提供所需的全部或者降級的服務 3。 一個入侵容忍系統(tǒng) 這樣的信息系統(tǒng)，它能夠在面對攻擊的情況下，仍然連續(xù)地為預期的用戶提供及時的服務。入侵容忍系統(tǒng)能夠抵抗一些用攻擊避免山 東 大 學 碩 士 學 位 論 文 4 和預防手段無法檢測的信息攻擊 。 這些攻擊可能透過外層防御，即用攻擊避免和預防手段設置的防御，如防火墻系統(tǒng) ，認證和加密系統(tǒng)等 ， 系統(tǒng)將采取一些必要的措施保證關鍵應用的功能連續(xù)正確。這些措施包括從限制懷疑的代碼和數(shù)據(jù)到重新配置硬件和軟件資源等 。 一般而言，容忍系統(tǒng)包括兩個方面：一是容忍技術，這是目前商用系統(tǒng)所缺乏的功能。容忍技術可以讓系統(tǒng)對入侵和攻擊具有可復原性能（彈性），這些技術包括資源重新分配，系統(tǒng)冗余等；二是容忍機制的觸發(fā)器，入侵檢測系統(tǒng)可以成為一個這樣的觸發(fā)器。但即使目前最頂級的入侵檢測系統(tǒng)，也具有太高的誤警率和太低的入侵識別范圍 4。理論上，觸發(fā)器應該具有很高的覆蓋范圍和零誤警率。很高的覆蓋范圍是指對任何 攻擊和入侵導致的錯誤都能檢測出來，同時，錯誤在系統(tǒng)傳播之前就應該檢測到。例如，如果容忍生存系統(tǒng)結構依賴于單元的冗余備份，就必須在所有備份單元崩潰之前發(fā)現(xiàn)攻擊入侵錯誤 ， 在錯誤影響到容忍機制之前檢測到錯誤也是很重要的。 數(shù)據(jù)庫入侵容忍技術為解決這一問題提供了很好的方案。數(shù)據(jù)庫入侵容忍技術是一種新的安全技術，其核心思想是用硬件或軟件容錯技術屏蔽任何入侵或者攻擊對系統(tǒng)功能的影響，從而使數(shù)據(jù)庫系統(tǒng)具有彈性，在系統(tǒng)遭受一定限度的攻擊后，仍然能為合法用戶提供不間斷的正常服務。 侵容忍的理論基礎 統(tǒng) 故障模型 在面臨攻擊的情況下，一個系統(tǒng)或系統(tǒng)組件被成功入侵的原因主要有兩個：(1)安全漏洞，本質上是需求、規(guī)范、設計或配置方面存在的缺陷，如不安全的口令、使得堆棧溢出的編碼故障等，安全漏洞是系統(tǒng)被入侵的內部原因； (2)攻擊者的攻擊，這是系統(tǒng)被入侵的外部原因，是攻擊者針對安全漏洞的惡意操作，如端口掃描、 擊等方法 5。攻擊者對系統(tǒng)或系統(tǒng)組件的一次成功入侵，能夠使系統(tǒng)狀態(tài)產(chǎn)生錯誤 (進而會引起系統(tǒng)的失效 (為了把傳統(tǒng)容錯技術用到入侵容忍上面來，可把任何攻擊者的攻擊、入侵和系統(tǒng) 組件的安全漏洞抽象成故障系統(tǒng)故障 (一個系統(tǒng)從面臨攻擊到系統(tǒng)失效的過程中，通常會出現(xiàn)以下事件序列：故障 (錯誤 (失效 (為了推理用于建立阻止山 東 大 學 碩 士 學 位 論 文 5 和容忍入侵的機制，有必要對系統(tǒng)故障進行建模。在實踐中，常用的故障模型是合故障模型 (見圖2 設 計 者 /操 作 者攻 擊 者攻 擊（ 故 障 ）安 全 漏 洞（ 故 障 ）入 侵（ 故 障 ）錯 誤 失 效圖 2統(tǒng)故障模型 由圖 2見，故障是引起 系統(tǒng)產(chǎn)生錯誤的原因，錯誤是故障在系統(tǒng)狀態(tài)方面的表現(xiàn)，而失效是一個錯誤在系統(tǒng)為用戶提供服務時的表現(xiàn)，即系統(tǒng)不能為用戶提供預期的服務。為了實現(xiàn)入侵容忍，防止系統(tǒng)失效，可以對事件鏈的各個環(huán)節(jié)進行阻斷，見圖 2 設 計 者 /操 作 者攻 擊 者攻 擊（ 故 障 ）安 全 漏 洞（ 故 障 ）入 侵（ 故 障 ）錯 誤 失 效防 止攻 擊防 止漏 洞防 止入 侵排 除漏 洞入 侵容 忍圖 2止系統(tǒng)失效的 統(tǒng)故障模型 由圖 2見，綜合應用多種安全技術可以防止系統(tǒng)失效，這些安全技術包括： (1)防止攻擊：包括信息過濾、禁止 可能含有惡意的腳本、對入侵進行預測等技術； (2)防止漏洞：包括完善的軟件開發(fā)、預防 配置和操作中的故障； (3)排除漏洞：針對程序堆棧溢出的編碼錯誤、弱口令、未加保護的 用漏洞排除方法，從數(shù)量和嚴重程度上減少安全漏洞的存在，然而要完全排除系統(tǒng)安全漏洞并不現(xiàn)實。 (4)防止入侵：針對已知形式的攻擊，采取防火墻、入侵檢測系統(tǒng)、認證和加密等手段，可以對這些攻擊進行預防和阻止；(5)入侵容忍：作為阻止系統(tǒng)失效發(fā)生的最后一道防線，入侵容忍意味著能檢測到入侵引起的系統(tǒng)錯誤，并采用相應機制進行錯誤處理。 山 東 大 學 碩 士 學 位 論 文 6 侵容忍目標和實現(xiàn)機制 入侵容忍技術從本質上講是一種使系統(tǒng)保持可生存 性 (技術。根據(jù)安全需求，一個入侵容忍系統(tǒng)應達到以下目標： (1)能夠阻止和預防攻擊的發(fā)生； (2)能夠檢測攻擊和評估攻擊造成的破壞： (3)在遭受到攻擊后，能夠維護和恢復關鍵數(shù)據(jù)、關鍵服務或完全服務。入侵容忍系統(tǒng)目標的實現(xiàn)，需要一定的安全機制來保證，主要有以下機制： 安全通信機制 在網(wǎng)絡環(huán)境里，為了保證通信者之間安全可靠的通信，預防和阻止攻擊者竊聽、偽裝和拒絕服務等攻擊，安全通信機制是必需的。入侵容忍的安全通信機制通常采用加密、認證、消息過濾和經(jīng)典的容錯通信等技術。 入侵檢測機制 入侵檢測通過監(jiān)控并分析計算機系統(tǒng)或網(wǎng)絡上發(fā)生的事件，對可能發(fā)生的攻擊、入侵和系統(tǒng)存在的安全漏洞進行檢測和響應。入侵檢測通過和漏洞分析、攻擊預報技術結合，能預測錯誤的發(fā)生、找出造成攻擊或帶來安全漏洞的原因。入侵檢測也可結合審計機制，記錄系統(tǒng)的行為和安全事件，對產(chǎn)生的安全問題及原因進行后驗分析。 入侵遏制機制 通過資源冗余和設計的多樣性增加攻擊者入侵的難度和成本，還可通過安全分隔、結構重配等措施來隔離己遭破壞的組件，限制入侵，阻止入侵的進一步擴散。 錯誤處理機制 錯誤處理旨在阻止產(chǎn)生災難性失效，具體包括錯 誤檢測和錯誤恢復。錯誤檢測包括完整性檢測和日志審計等。錯誤檢測的目的在于：限制錯誤的進一步傳播；觸發(fā)錯誤恢復機制；觸發(fā)故障處理機制，以阻止錯誤的發(fā)生。錯誤恢復機制的目的在于使系統(tǒng)從入侵所造成的錯誤狀態(tài)中恢復過來，以維護或恢復關鍵數(shù)據(jù)、關鍵服務甚至是完全服務。錯誤恢復機制包括：前向恢復 (即系統(tǒng)向前繼續(xù)執(zhí)行到一個狀態(tài)，該狀態(tài)保證提供正確的服務；后向恢復 (即系統(tǒng)回到以前被認為是正確的狀態(tài)并重新運行；錯誤屏蔽 (即 系統(tǒng)地應用冗余來屏蔽錯誤以提供正確的服務，主要保障機制包括組件冗余、門限密碼學、系統(tǒng)投票操作、拜占庭協(xié)商和交互一致性等。由于錯誤檢測方法不可靠或有較大的延遲，從而會影響錯誤恢復的有效性，因此，錯誤屏蔽是優(yōu)先考慮的機制。 本文中多階段破壞控制技術模型就是針對錯誤處理機制提出的模型，它可以山 東 大 學 碩 士 學 位 論 文 7 有效地阻止破壞擴散，有效地修復攻擊造成的破壞，很好地支持了入侵容忍。 侵容忍安全策略 入侵容忍安全策略是指當系統(tǒng)面臨入侵時，系統(tǒng)采取何種安全策略來容忍入侵，避免系統(tǒng)失效的發(fā)生。入侵容忍安全策略來自于經(jīng)典的容錯和安 全策略的融合，策略以操作類型、性能、可得到的技術等因素為條件，在衡量入侵的成本和受保護系統(tǒng)的價值的基礎上制訂。一旦入侵容忍安全策略定義好了，就可根據(jù)確定的入侵容忍機制設計入侵容忍系統(tǒng)。具體而言，入侵容忍策略包括以下幾個方面： 故障避免和容錯 故障避免策略指在系統(tǒng)設計、配置和操作過程中盡可能排除故障發(fā)生的策略，由于要完全排除系統(tǒng)組件的安全漏洞并不現(xiàn)實，而且通過容錯的方法來抵消系統(tǒng)故障的負面影響往往比故障避免更經(jīng)濟，因此，在設計入侵容忍系統(tǒng)時，應將故障避免和容錯策略折衷考慮。在一些特殊情況下，對于至關重要的系 統(tǒng)，故障避免是追求的目標。 機密性操作 當策略目標是保持數(shù)據(jù)的機密時，入侵容忍要求在部分未授權數(shù)據(jù)泄露的情況下，不揭示任何有用的信息。入侵容忍系統(tǒng)的機密性操作服務可以通過錯誤屏蔽機制來實現(xiàn)，錯誤屏蔽有多種方法，如門限密碼體制或法團(案。 可重配操作 可重配操作策略是指在系統(tǒng)遭受攻擊時，系統(tǒng)根據(jù)組件或子系統(tǒng)的受破壞程度來評估入侵者成功的程度，進而對系統(tǒng)資源或服務進行重新配置的策略。可重配操作基于入侵檢測技術，在檢測到系統(tǒng)組件錯誤時能夠自動用正確的組件來替代錯誤組件，或者用適當?shù)呐渲脕泶娌?適當?shù)呐渲谩？芍嘏洳僮鞑呗杂糜谔幚砻嫦蚩捎眯曰蛲暾苑?，比如事務?shù)據(jù)庫、 務等。由于可重配策略需要對資源或服務進行重配，系統(tǒng)提供的服務可能臨時無效而造成一些性能上的降級。 可恢復操作 對于一個系統(tǒng)，假設：使它失效至少需要時間系統(tǒng)至多需要時間失效狀態(tài)恢復到正常狀態(tài)，而且時間系統(tǒng)崩潰也不會產(chǎn)生不正確的計算； 對于一次給定的攻擊，其攻擊持續(xù)山 東 大 學 碩 士 學 位 論 文 8 時間為且有果系統(tǒng)滿足以上四個假設，則其遭受攻擊并失效時，系統(tǒng)可采用可恢復操作來恢復正常。在分布式環(huán)境里，可恢復操作需要借助安全的協(xié)商協(xié)議來實現(xiàn)。 防失敗 當攻擊者成功入侵系統(tǒng)的部分組件時，系統(tǒng)功能或性能受到破壞，當系統(tǒng)不能再容忍故障發(fā)生的情況 下，系統(tǒng)有可能發(fā)展到潛在不安全狀態(tài)。此時，有必要提供緊急措施 (如停止系統(tǒng)的運行 )以避免系統(tǒng)受到不期望的破壞。這種策略常用于任務至關重要的系統(tǒng)，是其他策略的補充。 用的入侵容忍技術 （ 1）冗余技術 冗余是容忍的最基本、最重要的技術。冗余一般是指系統(tǒng)資源超出正常工作條件所需的標準。冗余與復制（備份）是有區(qū)別的，復制只是冗余的一種是物理上對數(shù)據(jù)源的冗余。此外還有兩種冗余：時間冗余和信息冗余。被廣泛應用于通信協(xié)議的超時技術（ 是時間冗余的一個很好的例子，當發(fā)送連接請 求并等待回應時，通常會設置一個超時時間，這個時間范圍允許在一定范圍內容忍通信連接中的臨時錯誤。信息冗余的應用也很廣泛，例如原始數(shù)據(jù)被采用多余的比特編碼，用于提供同步、糾錯等功能，從而更好地容忍錯誤。 采用冗余技術也會帶來很多問題，主要不足有以下兩個方面：一是冗余在減少錯誤發(fā)生的同時會增加系統(tǒng)的復雜度；二是冗余增加系統(tǒng)成本，而且不成熟的冗余會增加潛在的錯誤發(fā)生幾率。 為了保證從冗余的源中得到正確結果，需要進行選舉。舉一個簡單的例子：文件 F 存放在 5 個服務器上，當對 F 進行查詢時，需要從 5 個服務器上取回查詢結果 2,4,，并由一個選舉執(zhí)行者對這 5 個查詢結果進行比較，如果其中的多數(shù)（如 4 個）服務器上的內容一致，則認為選舉成功，同時表明另一個服務器有可能遭受入侵。由此可以看出，選舉的作用有兩個：一是得出正確的結果；二是標識入侵。 （ 2）系統(tǒng)自適應技術 系統(tǒng)根據(jù)攻擊的情況設置入侵容忍策略，為了使系統(tǒng)高效的工作，必須采取自適應技術。常用的自適應技術有以下幾種： 山 東 大 學 碩 士 學 位 論 文 9 回滾：受影響的組件透明地用正確的備份組件代替。 轉移：將所有擁塞的請求轉移到另一個安全的服務器。 共享負載：共享負載（負載平衡）用于避免負載 過重導致服務器不可用或降級。 阻塞：如果某個客戶被認定是攻擊者或是可疑的，則系統(tǒng)可以拒絕為其服務。 魚缸：類似于阻塞，但是允許可疑客戶繼續(xù)接受服務，但是將禁止其執(zhí)行某些操作，以保護其它正常客戶不受影響。 復員：當遭受攻擊的組件恢復正常后，可以被重新啟用。 調整系統(tǒng)狀態(tài)：系統(tǒng)的多級防御措施可以根據(jù)操作環(huán)境和遭受攻擊情況進行調整。 在入侵容忍數(shù)據(jù)庫的設計方案中，可以綜合應用以上自適應技術，但必須注意以下兩個方面：一是系統(tǒng)的自適應方案應該是不可預見的，否則將會被攻擊；二是自適應方案要有彈性，防止短暫的行為導致系統(tǒng) 調整工作狀態(tài)，以致造成系統(tǒng)狀態(tài)的不穩(wěn)定。實時的或無級的自適應是非常困難的。 （ 3）間接訪問技術 間接訪問也是入侵容忍中的重要技術，用來在客戶和服務器之間設置防御。由于間接訪問的實現(xiàn)采用黑盒設計，對于客戶來說是透明的。常用的間接訪問技術有 3 種： 代理 （ 系統(tǒng)的入口，代理客戶的請求，是系統(tǒng)防御的第一道防線。 功能主要有：代理客戶請求；流量（負載）平衡；客戶合法性測試；基于簽名的測試等。由于 系統(tǒng)的入口，因此它的性能是系統(tǒng)性能的瓶頸，而且容易成為被攻擊的目標，解決方法 是采用多 計。 間接訪問能夠提高系統(tǒng)的安全性能，但是會增加額外的成本和時延。 封裝 （ 封裝同代理類似，只是比 件擁有更高的可信度，能夠與服務器直接交互。 沙箱 （ 該方法將不信任的程序在單獨的虛擬地址空間里安全地運行，限制其訪問本地資源的權限，它只能施加有限的影響，破壞有限的資源。行環(huán)境就提供了這種安全技術用來防止 害主機。 （ 4）破壞控制技術 山 東 大 學 碩 士 學 位 論 文 10 入侵容忍數(shù)據(jù)庫的破壞控制技術分為兩種：入侵隔離和多階段破壞控制。 入侵隔離 是實現(xiàn)入侵容忍的一個重要手段。入侵隔離的主要思想是在入侵檢測器無法確定某一事務是否為惡意事務時，設定其為可疑用戶。系統(tǒng)隔離可疑用戶提交的操作，而不是立即終止該用戶提交的數(shù)據(jù)庫事務操作，建立嫌疑版本數(shù)據(jù)庫。如果系統(tǒng)在后續(xù)操作中發(fā)現(xiàn)該用戶不是惡意攻擊者時，數(shù)據(jù)庫系統(tǒng)能夠以較少的資源消耗，達到保留該用戶盡可能多的事務操作的目的。如果是惡意事務，則將嫌疑版本數(shù)據(jù)庫刪除。隔離使得數(shù)據(jù)庫免于被一系列可疑事務可能造成的破壞，而且沒有損失數(shù)據(jù)庫持續(xù)的可用性。入侵隔離技術具有消耗資源少，便于實現(xiàn)的優(yōu)點，具有很高的可用性。入侵 隔離很好地解決了檢測延遲。 多階段破壞控制技術是入侵檢測器確定某一事務為惡意事務時，立即控制所有可能遭到破壞的對象，然后在后續(xù)過程中，分階段的對那些沒有受到破壞的對象或受到破壞但是被正確修復的對象進行解除控制。多階段破壞控制技術拒絕了破壞擴散，有效地保證了數(shù)據(jù)庫系統(tǒng)的可用性和完整性。多階段破壞控制很好地解決了評估延遲和修復延遲。 級入侵容忍數(shù)據(jù)庫的模型 數(shù)據(jù)庫受到的安全威脅主要來自 4 個層面，即用戶、 面、 面和事務層面。首先，身份認證、訪問控制等安全防護措施可以防止非法用戶或合法用戶的 誤操作對數(shù)據(jù)庫安全造成威脅。其次，由于數(shù)據(jù)庫運行在操作系統(tǒng)之上，要保證數(shù)據(jù)庫安全首先需要一個安全的操作系統(tǒng)環(huán)境。例如在 境下運行的 果 用 份驗證，一旦操作系統(tǒng)口令被攻破，則入侵者很容易獲取 的機密數(shù)據(jù)。第三， 安全問題主要有： 口令、數(shù)據(jù)庫管理員對用戶權限分配不合理或管理不善造成的用戶權限和用戶級別混亂、 全漏洞等。采用冗余的辦法，通過一組異構的數(shù)據(jù)庫應用服務器，可以有效的解決來自 和 的惡意攻擊。異構的數(shù)據(jù)庫應用服務器是指在不同的操作系統(tǒng)環(huán)境下運行的不同類型的于不同類型的 安全漏洞不盡相同，一種攻擊不能同時破壞兩種不同的數(shù)據(jù)庫應用服務器。這就意味著要想完全破壞冗余的數(shù)據(jù)，入侵者必須熟悉各種 要做到這一點是非常不容易的。最后，事務層山 東 大 學 碩 士 學 位 論 文 11 面的攻擊主要是入侵者設法獲取合法的身份后，對數(shù)據(jù)庫進行訪問，由于入侵者的操作看上去是合法的，因此可以避開身份認證、訪問控制等安全防護措施?；谌哂嗟娜肭秩萑碳夹g無法解決事務層面的攻擊。本文中的多階段破壞控制模 型建立在事務級入侵容忍的基礎上。 基于入侵容忍的多級數(shù)據(jù)庫安全模型 由四級構成 ， 如圖 2示。 第一級：對用戶采用間接訪問、認證、訪問控制、加密、消息過濾、防火墻等技術，以防范非授權用戶的攻擊和破壞?？蛻粼L問數(shù)據(jù)庫系統(tǒng)時，首先要經(jīng)過防火墻過濾，客戶與服務器進行互相認證，必要時對機密信息進行加密。 第二級：不同類型 用 多種操作系統(tǒng)。由于一種惡意攻擊往往只對一種 效，引入多種 有效防止惡意攻擊對數(shù)據(jù)庫造成破壞。 第三級：冗余異構的 用 多種數(shù)據(jù)庫管理系統(tǒng)存儲數(shù)據(jù)。由于攻擊者不可能對所有 熟悉，一種惡意攻擊往往只對一種 效，因此將機密數(shù)據(jù)存放在不同類型的 有效防止惡意攻擊對數(shù)據(jù)庫造成破壞。 第四級： 事務級入侵容忍 。 容忍入侵技術主要考慮在入侵存在的情況下系統(tǒng)的生存能力 ,保證系統(tǒng)關鍵功能的安全性和健壯性 。數(shù)據(jù)庫安全面臨的最大問題是內部人員攻擊。內部人員攻擊可以是惡意的或是非惡意的。惡意攻擊是指內部人員有計劃地竊聽、偷竊或損壞信息，或拒絕其他授權用戶的訪問。聯(lián)邦調查局（ 評估顯示 80的攻擊和入侵來自組織內部。內部人員熟悉系統(tǒng)的結構、敏感數(shù)據(jù)的存儲及安全系統(tǒng)的情況，這種攻擊最難于檢測和防范。非惡意的攻擊通常指那些由于粗心、缺乏技術知識或為了“方便工作”等無意間繞過安全策略從而對系統(tǒng)造成了破壞的行為。事務級入侵容忍能很好的抵御來自內部的攻擊，保障數(shù)據(jù)庫的數(shù)據(jù)安全。入侵隔離技術和多階段破壞控制技術可以很好地解決事務級的入侵容忍。 山 東 大 學 碩 士 學 位 論 文 12 用戶操作系統(tǒng)事 務級 入侵 容忍非 法 請 求合 法 請 求針 對 操 作 系 統(tǒng) 漏 洞 的 攻 擊針 對 D B M S 漏 洞 的 攻 擊數(shù) 據(jù)庫 管理 系統(tǒng)惡 意 事 務圖 2于多級入侵容忍的數(shù)據(jù)庫安全模型 本文提出的多階段破壞控制模型建立在事務級入侵容忍的基礎上， 系統(tǒng)執(zhí)行事務級安全策略，對事務級惡意攻擊及其造成的破壞進行控制并進行修復，來保證數(shù)據(jù)庫系統(tǒng)的完整性及可用性。 山 東 大 學 碩 士 學 位 論 文 13 第 3 章 多階段破壞控制技術 本模型面向事務級入侵容忍。模型中數(shù)據(jù)庫系統(tǒng)由一系列數(shù)據(jù)對象組成，數(shù)據(jù)對象由事務進行處理。事務是一系列的讀寫操作，事務要么提交要么中斷。 多階段破壞控制是相對于單階段破壞控制而來的。在單階段破壞控制模型中，受破壞對象