基于日志挖掘的数据库入侵检测方法研究

【摘要】：目前,信息系统越来越开放,人们的信息以显示或隐式的方式存储于互联网络之中。如果这些信息遭到泄露或者被盗取,某些违法人群可以利用这些信息获取人们的电话、地址和工作等内容,向人们推送广告和服务;更有甚者,通过技术手段获得人们的信用卡账号和密码,从而获取不良钱款。因此,存储的信息的安全也十分重要。人们和组织花费了大量的金钱和设备来确保他们的主机和服务器的安全,然而作为直接存储数据的数据库来说,大多数设备和算法并不能够有效地用来保护数据库的安全。在这篇文章中,提出了一种新的数据挖掘方法:基于最大规则的数据库入侵检测算法(Database Intrusion Detection based on Maximal Rules,简称MRDID)用于检测数据库系统中的异常事务。异常事务是指那些与平时操作习惯存在较大偏差的事务,它们可能是入侵行为。通过记录数据库事务的日志可以检测到这些异常的事务。最大规则包含两种规则:频繁最大数据项规则和频繁最大域规则。MRDID方法在两种不同的粒度上挖掘数据库日志中数据项与数据项之间、域与域之间隐藏的最大规则。主要分为两大步骤:数据预处理和频繁最大化。MRDID方法挖掘的最大规则来源于数据库日志,相比于其它已经存在的化简数据库日志的方法,MRDID将数据库日志中的SQL语句简化为三种基本操作取代以前简化方法的两种基本操作,在读操作和写操作的基础上增加了删除操作,新的化简方法可以处理以前无法处理的删除(Delete)语句,增加了对删除操作的判断,从而提高了检测完整性。通过对日志的格式化转换,使之成为便于计算机挖掘最大规则的统一的格式。从正常的数据库事务集中挖掘出的最大规则被认为是正常的事务集合,本文认为最大规则能够包含最大的和最完整的正常事务的信息。如果一个事务不符合最大规则,则认为其是异常行为,异常行为包括恶意行为和一部分不符合最大规则的正常行为。实验表明,该方法能在提供足够的正常行为的日志的基础上,能有效的发现数据库系统中的异常行为,具有较高准确率和较低错误率。