МЕТОД АВТОМАТИЧЕСКОГО ОБУЧЕНИЯ ДЛЯ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ В БАЗУ ДАННЫХ, ОСНОВАННОЙ НА ХЕКСПЛЕТАХ

1. Введение

Обнаружение вторжений – это методика идентификации вредоносной активности. В литературе можно найти два главных модели обнаружения вторжений: обнаружение аномалий и обнаружение неправомерного использования. Модель выявления аномалий базируется на профиле пользователя с нормальным поведением. Она анализирует текущую сессию и пользователя и сравнивает ее с так называемым эталоном. Если во время сравнения было обнаружено значительное отклонение, то будет поднят сигнал тревоги. Данную модель сложно реализовать из-за сложности использования «нормального» пользователя и также этот метод сильно подвержен ложным срабатываниям. Другая модель - детектирование неправомерного использования, основанная на сравнении сессии пользователей или команд с сигнатурой атак, ранее использовавшихся самими нарушителями. Таким образом, чтобы обнаружить такую атаку с подписью, эти подписи должны быть хорошо известны. Этот метод хорош для уже известных атак.

Возможность улучшения существующих систем обнаружения аномалий является предметом нашей работы. Мы будем рассматривать систему баз данных c управлением на основе ролей. Также мы отдаем предпочтение структуре данных основанной на транзакциях, которая получает взаимосвязь между запросами.

Главной проблемой обнаружения атакующих вторжений является извлечение правильной информации из базы данных для построения достоверного профиля. Для решения этой задачи мы предлагаем новый вид представления для записи в журнал базы данных, который содержит информацию о транзакции целиком, а не об одном запросе.

2. Разработка системы

Перед нами стоит две задачи: как создать и сохранить профиль с точным и стабильным поведением пользователя и как использовать данный профиль для осуществления задачи обнаружения вторжений. Главной трудностью является извлечение правильных данных из текущей базы данных. После ее преодоления появляются следующая проблема – наблюдения и изучения.

Структура системы состоит из трех главных составляющих: традиционные инструменты СУБД, которые захватывают процессор обработки запроса, журнал аудита БД и механизм обнаружения вторжений. Эта модель образует новую СУБД, которая дополнена независимой системой обнаружения вторжений работающей на уровне приложения. Поток взаимосвязей для процесса детектирования показан на Рисунке 1. Транзакции постоянно запускаются и рассматриваются механизмом до ее выполнения. Сначала система образует новую транзакцию с новой структурой данных. Затем она проверяет хексплет и дает оценку данной транзакции. Этот ответ посылается в базу возможных ответов и после чего получает зависимость от оценки. В случае обнаружения аномалии, администратору посылается сигнал тревоги. Иначе, просто происходят изменения в журнале аудита и профиле, выполнявшем транзакцию. После этапа обнаружения рекомендуется произвести этап изучения  для создания «нормального» профиля.

Рисунок 1. Предлагаемая система обнаружения вторжений

3. Хексплет и классификатор

В целях идентификации поведения пользователя рекомендуемая система использует журнал БД для запрашивания информации об активности пользователя. Записи в журнале используются для формирования предварительного профиля изображающего допустимые действия. Все записи в журнале представлены в виде отдельных блоков.

Чтобы построить профиль, системе необходимо предварительно обработать данные из журнала и перевести их в формат для возможности совершения анализа. Поэтому каждую транзакцию описывает фундаментальный набор данных, который стоит из шести параметров. Такая структура представления транзакции называется хексплетом. Активность пользователя характеризуется данными из таких хексплетов. Каждый хексплет представляет собой одну транзакцию и содержит следующую информацию: первые пять параметров отображает первую SQL команду из транзакции; SQL команда, опубликованная пользователем, набор доступных отношений и для каждого отношения – набор атрибутов. Этот набор данных также  обрабатывает качество элементов запроса. Шестой элемент хранит информацию об оставшихся SQL команд в транзакции.

Для простоты систему характеризует хексплет используемые 6 отношений H(c, P_R, P_A, S_P, S_A, R_SQL), где с – первая команда, P_R – отображает информацию о связях, P_{A –} отображает информацию об атрибутах, S_P – выводит информацию о связях , S_A – выводит информацию об атрибутах, R_SQL – используется для связи с оставшимися командами.

В своей работе мы использовали Наивный Байесовский классификатор, предсказывающий заданное значение или класс предварительной роли для сравнения. Для каждой транзакции ее класс предсказывается и если он отличается от подлинной роли, связанной с транзакцией, то это значит, что обнаружена аномалия.

4. Экспериментальная оценка

Мы провели несколько экспериментов на СУБД Microsoft SQL Server 2000 для проверки производительности предложенного нами метода. Во всех экспериментах для оценки используются реальные наборы данных из 2000 транзакций. Сама БД состоит из 55 таблиц с 665 различными атрибутами в каждой. Также в БД существует 8 ролей, которые имеют различный уровень доступа: только для чтения и чтение-запись. Набор данных извлеченных из лог-файла проверяется на отсутствие вторжений. Сгенерированные аномальные запросы путем считывания из лог-файла и изменения случайным образом для каждой транзакции этой роли (около 25 % транзакций). Запросы в этом наборе данных сочетаются из команд select, insert, update и delete. Кроме того для доступа к обобщенным способностям системы идентификации используется множество атак, ранее не известных. Для оценки  эксперимента, производительность предложенного метода оценивается с точки зрения ложных срабатываний и скорости обнаружения, которые оцениваются следующим образом:

Результаты представлены в Таблице 1.

Таблица 1.

Результат оценки предложенного метода обнаружений аномалий

Можно сделать вывод о том, что достигнутый показатель обнаружений приближен к оптимальному, в то время как показатель ложных срабатываний очень низок. Мы рассчитали такие же показатели для того же набора данных для другого метода (метод KAMRA и др., 2008) и показали результаты в Таблице 2. По сравнению с методом, основанном на запросах, видно, что в нашем методе показатель ложных срабатываний ниже.

Таблица 2.

Сравнительные результаты

5. Выводы

В этой статье мы предложили систему обнаружения аномалий основанной на транзакциях в БД с управлением доступа на основе ролей (RBAC). Система автоматического изучения позволяет извлечь ценную информацию из файлов журнала, относящуюся к модели доступа запроса в одной транзакции. Использование ролей, задействованных для подготовки классификатора, делает систему практичной даже с больших количеством пользователей. По сравнению с методом, основанным на запросах, наша система, безусловно, снизит количество ложных срабатываний, так как она рассматривает связь между запросами в транзакции.

Список литературы:

1. Bertino, E., Kamra, A., Terzi, E., Vakali, A., 2005. Intrusion detection in RBAC-administered databases. In: Proceedings of the 21st Annual Computer Security Applications Conference, USA, December 05–09, pp. 170–182.
2. Chandola, V., Banerjee, A., Kumar, V., 2009. Anomaly detection: a survey. ACM Comput. Surv. 41 (3), 1–58.
3. Kamra, A., Bertino, E., Lebanon, G., 2008a. Mechanisms for database intrusion detection and response. In: Proceedings of the 2nd SIGMOD PhD Workshop on Innovative Database Research, Canada, June 13, pp. 31–36.
4. Saad M. Darwish. Machine learning approach to detect intruders in database based on hexplet data structure  // Journal of Electrical Systems and Information Technology. – 2016. – Volume 3, Issue 2. – стр. 261–269.