面向Web中間件的業務審計系統
責編:admin |2015-05-29 17:09:131.當前市場和技術發展趨勢
隨著數據庫技術的蓬勃發展,絕大多數的業務系統均圍繞數據庫構建,由于數據庫中存放了大量的業務數據和敏感信息,為了更好地對數據庫系統進行監管,網絡安全審計產品得到了廣泛的應用。它能夠實時監測和記錄用戶對數據庫服務器的訪問信息,并按照設定的規則對訪問行為進行報警、記錄、阻斷會話等操作。
但是,由于數據庫訪問行為是與具體的業務操作行為相關,單純的數據庫審計已經無法滿足對單個用戶業務行為進行監管的需求,而這些用戶的業務行為又往往涉及大量的財物信息等敏感數據,違規操作帶來的損失是無法估量的。
IT業務系統的監管不僅關系到企業自身的運營安全,特別是某些行業(比如電力、金融、電信、社保等)的IT業務系統的能否有效監管,更關系到社會的穩定,國家的安全。啟明星辰公司自主研發的面向web中間件的業務關聯分析系統能夠讓監管制度落到實處,有效的促進業務監管水平的提升。
當前業務系統普遍采用三層結構:瀏覽器客戶端、Web服務器/中間件、數據庫服務器。通常的流程是:用戶通過瀏覽器客戶端,利用自己的帳戶登錄Web服務器,向服務器提交訪問數據;Web服務器根據用戶提交的數據構造SQL語句,并利用單一共享賬號訪問數據庫服務器,提交SQL語句,接收數據庫服務器返回結果并返回給用戶。
在這種基于Web的業務行為訪問模式下,傳統的信息安全審計產品一般可審計從瀏覽器到Web服務器的前臺訪問事件,以及從Web服務器到數據庫服務器的后臺訪問事件。但由于后臺訪問事件采用的是唯一的帳戶,對每個后臺訪問事件,難以確定是哪個前臺訪問事件觸發了該事件。如果在后臺訪問事件中出現了越權訪問、惡意訪問等行為,難以定位到具體的前臺用戶上。舉一個典型的例子,內部違規操作人員利用前臺的業務系統,以此作為跳板對后臺數據庫內容進行了篡改和竊取,這種情況下,通常審計產品只能發現來自某個數據庫賬號,而無法判斷最終的發起源頭。
面向web中間件的業務關聯分析系統能夠幫助用戶及時發現內部違規行為,順利地通過內部審計和外部審計,實現真正基于業務的審計和監管。
隨著各行業在業務監管水平的不斷提高,作為一種創新的監管手段,“面向Web中間件的業務審計系統”將會成為國內外網絡安全技術發展的主流方向之一。
2.業務審計系統的主要目標
通過研究面向Web中間件的業務關聯分析技術,通過機器學習與人工智能技術,從海量審計日志中挖掘出應用系統的業務邏輯描述,并以此為基礎,實現海量日志中異常訪問、違規訪問的自動發現和追蹤溯源。要完成上述目標,需要解決以下幾個方面的技術難題:
2.1面向大型數據庫的協議解析技術
目前大部分的業務系統都采用了Oracle、MS SQL Server、DB2等大型數據庫,出于商業利益與安全考慮,這些數據庫的訪問協議都是私有的,且經常隨版本升級而變化。為了實現對業務系統的關聯分析,必須首先獲得從Web中間件到數據庫服務器訪問行為的內容描述,需要研究面向主流數據庫的協議解析技術。
2.2高并發下Http訪問流重組與高速解析技術
在基于Web中間件的業務系統中,用戶一般通過Http頁面提交訪問請求,無法直接對數據庫進行操作。要建立用戶的訪問行為序列,就必須對Http訪問數據進行流重組和協議解析。在高并發下,如何實現對用戶訪問行為的實時分析,是實現業務審計的難點。
2.3應用系統業務邏輯挖掘技術
通過對數據庫訪問和Http訪問進行協議解析,可以對業務系統的工作流程進行建模。業務審計系統采用機器學習的方法,挖掘用戶訪問行為序列間的時序關系,以及Http訪問與數據庫訪問間的關聯關系,并以此描述應用系統的業務邏輯。
2.4面向復雜業務邏輯的違規訪問行為提取技術
在得到業務邏輯描述后,需要依據描述規則對審計日志進行分類,將符合規則描述的日志標記為正常訪問行為,從而發現淹沒在大量日志中難以進行人工分析的異常訪問記錄。但應用系統的業務邏輯具有復雜性,用戶的訪問行為具有高并發性,如何實時處理得到的審計日志、提取異常訪問,是關鍵點所在。
2.5基于孤立點挖掘的異常訪問行為發現技術
有些用戶的操作行為從業務流程上看沒有異常,但其操作內容卻具有明顯異常。業務審計系統在建立應用系統的業務邏輯描述后,還將利用孤立點挖掘的方法,建立每個操作內容的正常輪廓。這樣當觀測到用戶提交的操作具有明顯異常時,將及時發現并產生報警,從而保障業務系統的運行安全。
3.業務審計系統設計思路
當前網絡安全審計產品的廣泛部署,一方面有效保護了業務系統的安全,另一方面由于需要對業務系統中的每一步操作進行審計和記錄,會產生海量的日志,給管理員的日志分析帶來巨大壓力。在實際環境中,惡意行為的審計日志通常會淹沒在大量正常行為的審計日志中,要從中找出真正需要關注的記錄信息,無異于大海撈針。面向Web中間件的業務關聯分析系統的設計思路,就是要構造一套智能日志分析系統,它能夠自動地從海量日志信息中,發現違規訪問記錄和異常訪問記錄,從而有效降低安全管理員日志分析的工作量,提升客戶價值。該分析系統主要解決以下兩方面的問題:
違規訪問的自動發現問題。考慮在某個業務環境中,正常情況下應該通過前臺的業務系統登錄后修改后臺數據庫的內容,此時某個工作人員繞過了前臺的業務系統,直接登錄到數據庫并篡改了其中的數據。如果我們對用戶的業務邏輯進行了建模分析,就會發現該工作人員的操作行為,缺少與之相關的前臺登錄行為,從而有效識別該違規訪問。
異常訪問的追蹤溯源問題。考慮在某個業務環境中,工作人員通過前臺的業務系統,向后臺數據庫提交數據。在正常情況下,每次提交的數據都在一定范圍內,但某次訪問提交的數據遠遠超過了該范圍。如果我們建立了該類提交行為的正常輪廓模型,就能夠發現此次提交行為明顯異常,并根據其對應的前臺業務系統的訪問記錄,發現試圖進行異常操作的可疑人員。
從這兩方面的問題出發,我們解決問題的基本思路是:在原有的基于單一訪問行為的審計產品的基礎上,設計一套面向客戶業務系統的關聯分析系統。通過機器學習和人工智能的方法,建立客戶業務系統的業務邏輯模型和行為輪廓模型,并對Web中間件的前后臺訪問事件進行關聯分析,從而及時發現惡意訪問行為。
4.業務審計系統架構
4.1硬件架構
本系統由前臺審計引擎、日志數據庫、后臺審計引擎、控制/顯示中心組成,各部分的連接關系如下圖所示:
圖中各部分的結構和功能為:
控制/顯示中心
該模塊主要包括3部分功能:
- 定義各種被保護服務、授權和訪問控制安全策略,并下發到前、后臺審計引擎,完成對引擎的配置管理;
- 定義業務關聯分析系統的參數,其中包括序列模式挖掘所需的置信度和支持度、孤立點分析的異常度等信息,完成對關聯分析模塊的配置管理。
- 實現對引擎上報審計日志的實時顯示和歷史日志的報表顯示,接收關聯分析模塊的運行結果,對分析后識別出的異常事件和違規事件進行及時報警。
前臺審計引擎
前臺審計引擎采用了零拷貝技術,各層子任務協同工作時使用的是同一個內存緩存區,即環形報文緩存。在線抓包引擎實時抓包,把捕獲的IP報文實時注入到環形報文緩存中,IP報文處理模塊則實時從環形報文緩存中處理IP報文。IP報文處理模塊在處理IP報文時將先執行報文過濾,對于那些與審計業務無關的IP報文則不作任何處理,對于其它情況執行后續的報文后處理過程。前臺審計引擎的處理對象是用戶業務系統產生的請求事件,它記錄用戶請求事件的類型、訪問目標和參數信息,并產生訪問事件的審計日志,轉存到日志數據庫中。此后該請求事件在業務系統中被發送到Web中間件,并構造動態SQL語句,訪問后臺的業務數據庫。
后臺審計引擎
后臺審計引擎的結構與前臺審計引擎相同,所不同的是其關注對象為從Web中間件到后臺業務數據庫的訪問事件。通常情況下,Web中間件維持一個到后臺業務數據庫的長連接,通過該連接提交SQL語句,返回運行結果給前臺業務系統。為此后臺審計引擎的IP報文處理模塊需要具備數據庫訪問協議解析的能力,能夠解析Web中間件提交的動態SQL語句和參數信息,并產生該數據庫訪問事件的審計日志,轉存到日志數據庫中。
日志數據庫
該模塊主要完成兩方面的功能,一是日志存儲功能,它接收前后臺審計引擎產生的審計記錄,保存在對應的數據表中,供后續報表分析和追蹤溯源。二是關聯分析功能,它產生業務系統的業務邏輯描述,以及用戶訪問行為的正常輪廓模型,并以此為依據,對審計記錄進行實時分析,及時發現惡意訪問行為。
4.2軟件架構
本系統包含兩個獨立的子系統,其軟件框架如下圖所示:
圖2 系統軟件結構圖
本系統主要由違規訪問發現系統和異常訪問追蹤系統組成,二者的連接關系如圖2所示。違規訪問發現系統接收業務系統的審計日志和針對數據庫訪問的審計日志,通過序列模式挖掘方法,找出面向Web中間件的前后臺事件間的時序關系,建立系統的業務邏輯描述。根據此描述信息,異常訪問發現系統對前后臺審計日志進行實時關聯分析,對于不符合業務邏輯描述的審計事件進行違規訪問報警。
對于數據庫訪問審計日志,孤立點規則描述模塊將會通過聚類分析的方法,建立每個數據庫操作的正常輪廓模型。對于經過實時關聯分析檢測符合業務邏輯描述的訪問序列,實時異常發現模塊將會繼續檢測本次訪問序列中的數據庫訪問行為是否偏離了正常的輪廓模型。如果檢測結果表明該數據庫訪問偏離了正常模型,異常訪問追蹤系統將會發出異常訪問報警,并根據該訪問序列中所關聯的業務系統審計日志對訪問行為進行溯源。
下面對這兩個主要的子系統進行進一步的介紹。
4.2.1 違規訪問發現系統
該系統的運行分為學習階段和關聯階段。學習階段的工作是建立前臺業務系統訪問與后臺數據庫訪問的正常行為模型,即建立http訪問事件與SQL事件之間的關聯關系,輸出為前后臺事件的關聯規則。在關聯階段,將會根據該規則對Web中間件的前后臺事件進行關聯性判斷。該系統的架構如下圖所示。
圖3違規訪問發現系統架構圖
學習階段的工作流程為:
- 事件序列預處理:將一個http事件,與其觸發的前后相關的SQL事件作為同一個事件序列。
- 數據挖掘:利用GSP算法,找出前臺http事件與后臺SQL事件之間的關聯關系。根據設定的支持率和置信率,經過一階大序列、組合高階序列、驗證候選序列等步驟,最終得到滿足設定條件的序列模式。
- 序列導出:將自學習階段產生的關聯關系,導出到文件中,供關聯階段使用。
關聯階段的工作流程為:
- 讀取并解析前后臺事件關聯規則文件;
- 讀取設定數量的前臺Http訪問事件;
- 讀取對應時間段內的所有SQL事件;
- 按照序列模式關系進行匹配,如果匹配成功,輸出完整的訪問序列信息;如果匹配失敗,輸出違規訪問報警,以及相關的違規訪問事件信息。
4.22異常訪問追蹤系統
同上一子系統類型類似,該系統的運行也分為學習階段和關聯階段。其架構如下圖所示:
圖4 異常訪問發現系統架構圖
學習階段的工作是建立數據庫訪問行為的正常輪廓模型,本系統中利用K-中心算法,從多個維度上對SQL語句的參數進行聚類分析,輸出為SQL語句參數的聚類規則描述。這樣不符合聚類規則描述的SQL語句即為孤立點,代表了一次異常訪問。在實時關聯階段,將會根據該聚類規則,對于通過了違規訪問子系統檢測、合乎業務邏輯的訪問序列,進一步判斷其訪問行為是否偏離了正常模型,從而進一步保護用戶業務系統的運行安全。
5.未來展望
國外知名調查機構Forrester Research在《Enterprise Database Audit And Real-time Protection 2011.Q2》的分析報告中,提出了評價數據庫審計和實時保護產品的10大指標,,其中就包含了“對應用程序支持的程度”指標,該指標的詳細描述就是“是否能夠審計應用系統帳號訪問行為,甚至在訪問數據庫只采用一個連接的時候也能夠進行審計”(How strong is the vendor’s support for applications? Can the product audit access per individual application user,even when a pooled connection method is userd to access the database?)文中提及了該領域的領導廠商(Guardium、Imperva、Tizor)的研究狀態。Guardium采用的是另一種技術手段(通過網絡層和主機層采集數據)實現的業務關聯分析,對于提供該業務的廠商,比如Oracle、IBM、Symantec等目前尚未實現。由此可以看到,面向Web中間件的業務關聯分析系統是目前國際上合規審計類產品發展的必然方向,國內也應展開相關技術的研究以及產品化,已替代國外產品,滿足國內市場的需求。
6.參考文獻
- The Forrester Wave:Enterprise Database Auditing And Real-Time Protection,Q4 2007
- The Forrester Wave:Market Overview Database Security 2009
- The Forrester Wave: Your Enterprise Database Security Strategy 2010
- Gartner: All 10 of these data-related behaviors should be part of any enterprise’s standard auditing regimen 2010
- Frost & Sullivan: 中國區數據庫安全審計與防護市場分析2012
- Jiawei Han, Micheline Kamber, Jian Pei. Data Mining Concepts and Techniques[M]. 范明,孟小峰, 譯. 北京: 機械工業出版社,
- Shulman, Amichai, Boodaei等. System and method for correlating between HTTP requests and SQL queries[P]. 美國: 609662, 2006.
上一篇:軟件定義安全模型與架構討論
下一篇:云環境中的軟件定義安全