54、数据库联合访问控制与入侵检测系统解析

最新推荐文章于 2026-01-07 17:44:51 发布

原创最新推荐文章于 2026-01-07 17:44:51 发布 · 24 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#数据库 # 联合访问控制 # 入侵检测系统

信息与通信安全：ICICS 2001精华专栏收录该内容

59 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

数据库联合访问控制与入侵检测系统解析

角色与安全对象绑定

在访问控制体系中，模式将每个角色与相关的安全对象绑定。用户被引用在角色中，这种角色被称为直接访问角色。具体而言：
- 为每个本地用户组创建一个角色，相应的用户会被引用在该角色中。为了提供对组资源的访问，会实例化多个权限，这些权限定义了用户组对每个资源的权利。每个权限引用安全对象，并在角色中被引用。
- 对于两个本地用户组之间的包含关系，会创建一个访问继承链接对象，将两个相应的角色链接起来。虽然AHL模式未明确指定，但“父”组的用户可以访问“子”组的安全对象。

强制模型描述

强制安全模型基于系统中主体和对象的分类来管理信息访问。对象是存储信息的被动实体，主体是访问对象的主动实体，通常主体被视为代表用户操作的活动进程。系统中的每个对象和主体都关联着强制访问类，使用保密级别层次结构（具有“支配”关系）来限定每个对象和主体（强制许可）。
有两个公理定义了主体对对象的访问规则：
- 读取公理 ：具有强制许可c的主体可以读取所有保密级别被c支配的对象。
- 写入或✩ - 属性 ：具有强制许可c的主体可以在保密级别严格等于c的所有对象上写入（严格✩ - 属性），也可以在保密级别支配c的所有对象上写入（宽松✩ - 属性）。

强制模型根据安全对象粒度可分为三类：
| 模型类型 | 特点 |
| ---- | ---- |
| 单级强制模型 | 安全对象的组件（即对象类或关系表中的属性）具有相同的保密级别。每个强制对象由一个单一的SO（安全描述）引用一个DDO（数据描述）描述，属性的强制级别必须与其类级别相同。 |
| 多级强制模型 | 对象类或关系表中的属性是强制对象，它们的敏感度级别可以支配或等于其类/关系表的敏感度级别。每个强制对象由一个单一的SO引用一个DDO描述，但属性和类/关系表的强制级别不一定相等。 |
| 多实例化多级强制模型 | 实例属性可以是多值的，属性值捕获的保密级别等于主体的许可级别。每个属性由一个DDO和n个SO描述（SO具有不同的强制级别），n是本地强制敏感度层次结构中的保密级别数量。 |

一个本地强制访问系统按以下六个步骤构建：
1. 描述本地访问安全政策 ：本地模型描述对象描述本地访问安全政策。首先创建本地访问模式表，其中包含与每个本地访问模式等效的联合访问模式组合（主要是只读和只写本地访问模式）。然后创建本地强制表，用于转换本地保密级别层次结构。
2. 创建具有保密级别的用户 ：为每个具有给定许可级别cl的本地主体创建一个具有保密级别的用户。例如，在具有本地强制表{(非机密,1);(机密;2);(秘密;3);(绝密;4)}的强制系统中，史密斯先生具有“秘密”许可级别，他的主体由三个具有强制许可3的UDO描述。
3. 描述本地强制对象的安全对象 ：
- 对于具有给定保密级别sl的单级对象，创建一个强制级别等于sl的SO，该SO指向其相关的DDO。
- 对于基于格的访问模型中的多实例化对象，创建的SO数量与本地敏感度层次结构中的保密级别数量相同。每个SO具有不同的强制级别，所有SO引用一个单一的DDO。
4. 创建角色 ：为每个本地强制类别创建与本地敏感度层次结构中保密级别数量相同的角色。具有强制许可n的用户（本地强制类别的主体）会被引用在强制级别为n的角色中。
5. 应用强制安全公理 ：
- 读取公理和严格✩ - 属性 ：对于每个具有强制级别n的角色，为角色中引用的每个SO创建两个权限（模式为a + u + d ≈ 写入和模式为r用于读取）。在描述的本地强制类别中，访问继承链接（模式为r）将给定级别n（支配）的每个角色与级别n - 1（被支配）的角色绑定，提供降序读取访问继承。
- 读取公理和宽松✩ - 属性 ：对于每个具有强制级别n的角色，为角色中引用的每个SO创建两个权限（模式为a + u + d ≈ 写入和模式为r用于读取）。在描述的本地强制类别中，访问继承链接（模式为r）将给定级别n（支配）的每个AMDR与级别n - 1（被支配）的AMDR绑定，提供降序只读访问继承；访问继承链接（模式为a + u + d）将给定级别n（被支配）的每个AMDR与级别n + 1（支配）的AMDR绑定，提供升序只写访问继承。
6. 示例说明 ：以一个本地单级强制策略（具有宽松✩ - 属性）为例，本地访问模式表为读取（r）和写入（a + u + d），本地敏感度层次结构为非机密（NC）、机密（C）、秘密（S）和绝密（TS），本地强制表为1. 非机密，2. 机密，3. 秘密，4. 绝密。强制类别为金融，该类别下的对象包括销售结果（NC）、工资（C）、账户105（S）、财务计划（TS），主体史密斯具有“秘密”许可级别，属于金融类别。用户018以强制许可3创建，并被引用在正确的角色中。“读取”公理通过降序访问继承（AHL模式为r）实现，宽松✩ - 属性通过升序访问继承（AHL模式为a + u + d）实现。同时，第四个角色引用了一个激活约束链接对象，禁止史密斯用户的同时激活。这种MAC模式描述遵循了MAC信息流的无环性。

联邦流控制策略

在每个本地信息系统中，安全管理员必须定义适合系统与联合之间交换的流控制策略。导入策略（本地系统的输入流）被定义为严格的，每个本地系统都必须遵守。导出策略（本地系统的输出流）可以是严格的或宽松的。
- 严格导入策略 ：所有本地系统采用相同的导入访问策略。任何时候，以下安全公理必须有效：“对于给定的本地用户，对全局数据的访问必须等同于对属于用户本地配置文件的本地数据的访问”。用户配置文件被定义为对本地对象的一组访问权限，在该方案中，这组访问权限存储在描述层引用该用户的一个或多个角色中。
- 严格或宽松的导出策略 ：
- 宽松导出策略 ：本地系统中的导出策略定义了本地数据从联合级别被访问的方式。在宽松导出策略的情况下，来自联合级别的访问请求会自动在本地安全对象上执行。通过用户引用的DDO和实际本地数据之间定义的访问等效性来验证用户对相关数据的权利。与联合用户相关的安全对象上的访问规则优先于本地级别定义的访问规则。
- 严格导出策略 ：首先进行一次映射，以检测本地系统的哪个角色对应于与全局用户相关的角色。然后进行第二次映射，以验证角色中引用的安全对象相关的访问权限的对应关系。

多进程监控的入侵检测系统原型

引言

入侵检测系统依赖于各种可观察数据来区分合法和非法活动。自1996年以来，许多研究小组使用系统调用序列作为可观察样本，以区分正常和入侵行为。然而，现有研究大多只讨论了一个执行进程的情况，而实际系统中通常有多个安全关键程序在执行，一个程序可能由一个或多个进程组成，因此如何监控并行执行的多进程是基于系统调用序列设计入侵检测系统的重要问题。

系统行为分类器

入侵检测系统的目标是区分非法行为（非自身）和合法行为（自身），因此可以将其定义为一个分类系统，用于分析系统行为或安全事件，并从所有系统行为中识别恶意行为。
- 分类模型 ：该模型定义在系统行为模式的全集U上，U是有限的系统行为模式的有限集。U可以划分为两个集合S和N，分别称为自身和非自身，满足U = S ∪ N且S ∩ N = φ。自身模式代表可接受或合法的系统行为（或安全事件），非自身模式代表不可接受或非法的系统行为（或安全事件）。入侵检测系统D可以定义为D = (f, P)，其中f是一个二元分类函数，P是从U中抽取的代表检测系统知识的模式集，P ⊂ U。分类函数f将模式集P和给定模式p ∈ U映射到正常或异常的二元分类。在实践中，如果检测系统未能将自身模式分类为正常，会产生误报；如果未能将非自身模式分类为异常，会产生漏报。

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px
    U[系统行为模式全集U]:::process --> S[自身模式S]:::process
    U --> N[非自身模式N]:::process
    D[(入侵检测系统D)]:::process --> f[二元分类函数f]:::process
    D --> P[模式集P]:::process
    f --> |映射| p[给定模式p]:::process
    p --> |分类结果| Normal[正常]:::process
    p --> |分类结果| Anomalous[异常]:::process

朴素贝叶斯分类器 ：朴素贝叶斯分类器是基于贝叶斯定理的实用学习方法之一。假设目标函数f : X → V，每个实例x ∈ X由属性a₁, a₂, …, aₙ描述，V是实例类集。实例x的最可能类别为：
[
\begin{align }
f(x) &= \underset{v_j \in V}{\text{arg max}} P(v_j) P(a_1, a_2, \ldots, a_n | v_j) \
&= \underset{v_j \in V}{\text{arg max}} P(v_j) \prod_{i = 1}^{n} P(a_i | v_j)
\end{align }
]
其中，第二个等式基于朴素贝叶斯假设。朴素贝叶斯分类器可以定义为：
[
f_{NB}(x) = \underset{v_j \in V}{\text{arg max}} P(v_j) \prod_{i = 1}^{n} P(a_i | v_j)
]

通过上述对数据库联合访问控制和入侵检测系统的分析，我们可以看到在保障系统安全和数据访问控制方面，需要综合考虑多种因素和策略。未来，随着系统的不断发展和变化，这些模型和策略也需要不断优化和完善，以应对日益复杂的安全挑战。同时，对于多进程监控的入侵检测系统，还需要进一步研究如何提高检测的准确性和效率，以及如何更好地适应不同的系统环境。

数据库联合访问控制与入侵检测系统解析

构建多进程监控的入侵检测系统

在明确了系统行为分类器之后，接下来要探讨如何利用异常检测器构建一个能够监控并行运行多进程的进程监控器。
- 异常检测器的作用 ：基于朴素贝叶斯分类器的异常检测器，能够判断一个进程轨迹是正常还是异常。它通过对系统调用序列的分析，依据分类模型和朴素贝叶斯分类器的原理，将进程的行为模式进行分类。
- 多进程监控的实现思路 ：要实现多进程监控，需要将异常检测器应用到多个并行运行的进程上。可以为每个进程分配一个异常检测器，实时监测其系统调用序列的变化。当某个进程的系统调用序列出现与正常模式的偏差时，异常检测器能够及时识别并发出警报。

以下是一个简单的流程示例，展示了多进程监控的基本步骤：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px
    A[启动多进程]:::process --> B[为每个进程分配异常检测器]:::process
    B --> C[实时收集进程系统调用序列]:::process
    C --> D[异常检测器分析序列]:::process
    D --> |正常| E[继续监测]:::process
    D --> |异常| F[发出警报]:::process
    E --> C

综合应用与挑战

将角色与安全对象绑定、强制模型描述、联邦流控制策略以及多进程监控的入侵检测系统结合起来，可以构建一个较为完善的数据库联合访问控制与安全防护体系。但在实际应用中，还面临着一些挑战。
- 策略协调问题 ：不同的本地信息系统可能有不同的安全需求和策略，如何在联邦环境下协调这些策略，确保数据的安全共享和访问，是一个需要解决的问题。例如，在严格导入策略和宽松导出策略的情况下，需要确保数据的流动符合整体的安全要求。
- 性能优化挑战 ：随着系统规模的扩大和进程数量的增加，多进程监控的入侵检测系统的性能可能会受到影响。如何优化检测算法和数据处理流程，提高检测的效率和准确性，是一个重要的挑战。
- 动态适应性问题 ：系统环境和安全威胁是动态变化的，安全策略和检测模型需要具备动态适应性。例如，当出现新的入侵手段时，系统能够及时调整检测规则，以应对新的威胁。

总结与展望

通过对数据库联合访问控制和多进程监控的入侵检测系统的研究，我们可以看到，保障信息系统的安全是一个复杂而系统的工程。需要综合运用角色与安全对象绑定、强制模型描述、联邦流控制策略等多种技术手段，构建多层次的安全防护体系。
同时，随着信息技术的不断发展，安全威胁也在不断演变。未来，我们需要进一步研究和探索新的安全技术和策略，提高系统的安全性和可靠性。例如，结合人工智能和机器学习的方法，实现更智能、更高效的入侵检测和安全防护。

以下是一个总结表格，概括了本文讨论的主要内容：
| 内容模块 | 主要内容 |
| ---- | ---- |
| 角色与安全对象绑定 | 为本地用户组创建角色，绑定用户和安全对象，处理用户组包含关系 |
| 强制模型描述 | 基于主体和对象分类管理信息访问，有不同类型的强制模型和构建步骤 |
| 联邦流控制策略 | 包括严格导入策略和严格或宽松的导出策略 |
| 多进程监控的入侵检测系统 | 利用系统行为分类器构建进程监控器，面临多种挑战 |

通过不断地研究和实践，我们有望构建更加安全、可靠的信息系统，为数据的安全存储和共享提供有力保障。