基于DBSUIM模型的数据库可疑用户隔离机制

摘　要：为了有效保障数据库安全，必须隔离可疑用户，然而目前可疑用户隔离存在数据丢失与损害传播的问题，导致数据库存在安全隐患。为有效解决这些问题，文章对基于DBSUIM模型的数据库可疑用户隔离机制，进行了简要的探讨。

关键词：DBSUIM模型；数据库安全；可疑用户隔离
      数据库安全主要在于保证数据的完整、可用和机密性，身份认证、加密技术等传统的安全机制仅仅围绕安全隐患的预防，无法应对非授权访问行为和恶意攻击行为，难以满足不间断服务的可生存性、高可用性要求。数据库入侵检测技术能够检测恶意攻击行为和权限滥用行为，然而在准确性方面还存在不足，而且检测结果较为滞后。因此，有必要针对损害传播、恶意入侵建立一种新型的可疑用户隔离机制，以提高合法数据的安全性和高可用性，保证数据库的有效恢复。
1.可疑用户隔离机制问题的描述
　　首先，假设合法用户操作可信、可疑用户操作可疑、恶意用户操作非法，然后对用户操作进行检测与判断。当合法用户操作可疑时，合法用户被认为是可疑用户；当可疑用户操作最终确认合法时，可疑用户被认为是合法用户；当可疑用户操作最终确认非法时，可疑用户被认为是恶意用户。在实际应用中，对用户身份的准确检测与合理判定较为简单，例如用户在非经常性的登录时间或登录地点访问系统，便可以认为该用户在该时期为可疑用户。
　　可疑用户隔离机制如下：假设A用户在T时刻之前是合法用户，在T时刻后发现可疑操作，被判断为可疑用户，当该用户身份在t时刻被最终确认后，可以将T时刻到t时刻之间的范围称为该用户的可疑期。在T时刻之前，该用户是合法用户，这一时期的数据更新认为是可信的，在可疑期的数据更新则被认为是可疑的。如果最终确认A用户为合法用户，那么该用户的数据更新均合法，需要保存该用户所有数据更新，而如果最终确认该用户为恶意用户，那么该用户可疑期的数据更新均非法，非法的数据更新将造成数据损坏，并引起损坏传播，产生大范围的数据损坏。
　　损坏传播的定义为合法用户在访问损坏数据之后导致其它合法数据的损坏。例如合法用户读某损坏数据，再写合法数据，合法数据因损坏数据的影响而损坏，产生传播现象。为了抑制数据损坏传播，本文提出以下的可疑用户隔离思路：当某用户身份被确认为可疑用户时，将该用户隔离并提供独立的数据更新工作区，限制合法用户访问隔离工作区，以免最终确认该用户为恶意用户时产生数据损坏及传播问题；最终确认该用户身份后，如果为恶意用户，认为该用户可疑期的数据更新非法，需要立即中断该用户的操作，丢弃其在隔离工作区更新的数据，如果为合法用户，认为该用户可疑期的数据更新合法，实时处理隔离工作区更新的数据。
模型
　　假设对系统访问用户的操作检测与身份判断及时并且准确。DBSUIM模型（数据库可疑用户隔离模型）的建立包括模型与协议两个部分。将任意数据分为常态与隔离态两种存在状态，常态数据是合法用户创建、维护、更新的合法数据，隔离态数据是可疑用户创建、维护、更新的可疑数据。
　　当可疑用户被隔离后，如果可疑用户提交数据库数据的读操作请求，需要确认该数据的归属，不符合隔离规则读操作失败；如果可疑用户提交数据库数据的写操作请求，也需要确认该数据的归属，不符合隔离规则写操作失败。同样，对合法用户和可疑用户最终确认为合法用户或恶意用户后的操作请求，也需要确认该数据的归属，只有符合隔离规则才能允许其操作。隔离可疑用户的本质在于限制可疑操作，避免合法用户访问、操作可疑数据，在创建隔离态数据的基础上保留常态数据，以供可疑用户最终确认为合法用户后的数据修复所使用。
　　将可疑用户生成的隔离态数据与常态数据整合成可疑数据集，当最终确认可疑用户是恶意用户后，将隔离态数据作为损坏数据，构成损坏数据集。对于常态数据，只有不存在相应的隔离态数据时，才允许合法用户访问。遵循可疑用户隔离协议，可以避免损坏数据被合法用户访问，并且可以修复恶意用户损坏的数据，避免合法数据丢失。
3.隔离机制
　　根据可疑用户隔离协议，能够明确可疑用户隔离需要正确处理可疑用户与合法用户的操作请求以及可疑用户身份确认后的可疑数据修复。因此，基于DBSUIM模型的数据库可疑用户隔离机制利用隔离控制模块与操作执行模块处理可疑用户与合法用户的操作请求，利用可疑数据修复模块对合法信息或恶意信息进行修复。
3.1用户操作执行算法
　　为了有效隔离可疑用户，避免合法用户访问可疑数据造成损坏传播，需要针对合法用户与可疑用户的操作请求进行基于可疑用户隔离协议的操作执行计算。利用用户操作执行算法，能够完全限制合法用户对可疑数据的访问，杜绝合法用户与任何可疑数据的接触，从而避免了可疑数据被合法用户操作所产生的损坏传播，形成了有效抑制机制。与此同时，还可以将可疑用户生成的可疑数据在隔离工作区进行保存，并保留其常态数据，从而避免了可疑用户操作的不良影响，保证了操作的正确和独立，为数据修复提供备份。
3.2可疑数据修复算法
　　最终确认可疑用户身份之后，需要动态修复该用户的可疑数据。利用可疑数据修复算法，能够在最终确认可疑用户身份后，及时撤销该用户的所有操作，取消该用户的访问权限，从而确保数据修复的正确和独立。如果最终确认可疑用户身份合法，该用户所有的数据更新均为可信的，需要将该用户的隔离态数据写入常态数据并删除隔离态数据，从而实现合法数据的修复，保证合法数据不丢失。如果最终确认可疑用户身份为非法，该用户所有的数据更新均为不可信的，需要直接删除隔离态数据，恢复隔离态数据创建前的备份数据，从而实现损坏数据的维修。由于可疑用户隔离协议保证了用户操作的正确和独立，可以使可疑数据修复算法与其他用户的操作并发执行，不需要使数据库处于离线状态下运行，从而可以保证数据库运行的稳定性和可用性。
　　与现行的可疑用户隔离机制相比，基于DBSUIM模型的数据库可疑用户隔离机制能够在最终确认可疑用户身份为合法用户后，保证所有合法用户的正常访问和操作，只需要将该用户可疑期的数据写入常态数据，使隔离态数据恢复成为常态数据，因此修复效率较高。
4.隔离机制性能的验证
　　为了验证基于DBSUIM模型的数据库可疑用户隔离机制的有效性和数据修 复的效率，需要做数据空间负载、用户操作执行算法性能、可疑数据修复算法性能实验。实验条件为：Intel酷睿i3 2100处理器，处理器为双核，3100MHz，4GB内存；Windows XP操作系统，SQL Server 2000后台数据库，C#开发工具，Benchmark TPC-D数据库测试数据集，数据集有8个关系表，由刻度因子控制数据容量，具体数据由数据产生器生成。
4.1数据空间负载实验
　　本实验主要测试当可疑用户数量处于不断增加的情况下，数据库空间负载的情况。自变量是可疑用户数量，因变量是数据空间，测算所选的关系表在不同情况下的占用空间情况。对实验结果的分析得知，可疑用户隔离增加了空间开销，数据占用空间随着可疑用户数量逐渐增加而相应的增大，其原因在于可疑用户数量增多则隔离态数据也相应的增多，隔离关系表将逐渐占用更大的空间，从而数据空间负载变大。当可疑用户数量确定不变，单个可疑用户的隔离态数据数量增加时，整体上的隔离态数据量也会增加，因而数据空间负载也会加大。
4.2用户操作执行算法性能实验
　　用户操作执行算法需要对合法用户的操作请求进行隔离检查，这些隔离检查会对合法用户的操作造成一定程度的影响。通过合法用户操作在隔离检查前后性能的对比，了解该算法对合法用户操作的影响情况。对实验结果的分析得知，合法用户的操作量不变时，在可疑用户数量不断增加的情况下，未执行隔离检查的操作执行时间几乎没有变化，执行隔离检查的操作执行时间不断增加，时间负载增量百分比逐渐增长。其原因在于未执行隔离检查时可疑用户不影响事务的执行，而执行隔离检查后会因时间消耗造成事务执行时间增长。当可疑用户数量不变，读写操作量其中一项不变，另一项增加时，不论是否执行隔离检查，事务执行时间都随之增加，时间负载增量百分比保持在4.1%附近。其原因在于用户操作执行算法隔离检查合法用户的操作，因而会随着操作量的增加而增加事务执行时间。因此，用户操作执行算法会对合法用户操作造成一定影响，但主要受可疑用户数量影响，受操作量的影响较小。
4.3可疑数据修复算法性能实验
　　可疑数据修复算法实验表明，该算法性能受可疑用户数量和可疑用户身份比例影响，可疑用户数量越大、合法用户比例越大，可疑数据修复算法的时间消耗越大。
总结：
　　综上所述，基于DBSUIM模型的数据库可疑用户隔离机制能够有效避免合法数据的丢失和数据损坏的传播，并有效修复数据。通过对该机制性能的实验，确定了影响事务执行、数据修复效率等的因素，为后续的研究指明了方向。
参考文献：
[1] 王珊，萨师煊. 数据库系统概论.4版.北京:高等教育出版社， 2006
[2] Fonseca ], Vieira M,Madeira ated intrusion detection in databases //LNCS 4746: Proc of Dependable Computing, 3rd Latin-American Symp. Berlin: Springer,2007
[3] Bai K, Yu M, Liu P. TRACE: Zero-down-time database damage tracking, Quarantine, and Cleansing with Negligible Run-Time Overhead //LNCS:  5283 Proc of the 13th European Symp on Research in Computer Security.  Berlin: Springer, 2008