防止數(shù)據(jù)泄露是網(wǎng)絡(luò)安全領(lǐng)域的核心需求之一。在關(guān)系數(shù)據(jù)庫(kù)中檢測(cè)潛在的數(shù)據(jù)泄露,不僅要求成功識(shí)別出數(shù)據(jù)庫(kù)中的可疑行為,同時(shí)也要避免頻繁的誤報(bào)警。后者不僅可能給運(yùn)維工作大大增加負(fù)擔(dān),而且還會(huì)為識(shí)別真正的可疑數(shù)據(jù)訪問(wèn)造成障礙。
Imperva在最新發(fā)布的CounterBreach解決方案中提出,精準(zhǔn)檢測(cè)數(shù)據(jù)訪問(wèn)違規(guī)的關(guān)鍵在于深度理解數(shù)據(jù)庫(kù)的類型。異常行為檢測(cè)的成功之匙,藏在數(shù)據(jù)庫(kù)背后的故事當(dāng)中。
作為精確檢測(cè)的前提,我們需要回答:數(shù)據(jù)庫(kù)的目的是什么?我們期待用戶在數(shù)據(jù)庫(kù)中執(zhí)行何種行為?我們能從數(shù)據(jù)庫(kù)的數(shù)據(jù)中讀出什么?要想回答這些問(wèn)題,我們就必須理解數(shù)據(jù)庫(kù)的類型,包括用戶類型、數(shù)據(jù)類型和數(shù)據(jù)庫(kù)類型。
OLTP與OLAP
在關(guān)系數(shù)據(jù)庫(kù)的世界里,存在兩種系統(tǒng)類型。第一種是在線交易處理(OLTP),第二種是在線分析處理(OLAP)。兩種處理類型的功能相似,而目的不同。
OLTP系統(tǒng)在商業(yè)應(yīng)用中使用。發(fā)生在這些數(shù)據(jù)庫(kù)中的查詢是簡(jiǎn)單的、短時(shí)的在線交易,數(shù)據(jù)實(shí)時(shí)更新。OLTP的常見(jiàn)例子是零售、金融交易和訂單輸入系統(tǒng)。
OLAP系統(tǒng)在數(shù)據(jù)庫(kù)環(huán)境中使用,目的是有效分析數(shù)據(jù),允許用戶從數(shù)據(jù)中發(fā)掘趨勢(shì)、運(yùn)算數(shù)字、提取意義。OLAP系統(tǒng)廣泛應(yīng)用于數(shù)據(jù)挖掘領(lǐng)域,數(shù)據(jù)是歷史化的。又因?yàn)閿?shù)字處理通常涉及很大的數(shù)據(jù)集合,所以與數(shù)據(jù)庫(kù)的交互持續(xù)時(shí)間也更長(zhǎng)。另外,OLAP數(shù)據(jù)庫(kù)的交互(SQL查詢)形態(tài)也不可提前預(yù)知。
數(shù)據(jù)庫(kù)特征與訪問(wèn)模式
OLTP和OLAP數(shù)據(jù)系統(tǒng)的不同性質(zhì)決定了在用戶訪問(wèn)模式和數(shù)據(jù)特征變化上的差異。
我們期待OLTP的用戶通過(guò)應(yīng)用交互界面訪問(wèn)儲(chǔ)存在數(shù)據(jù)庫(kù)中的商業(yè)應(yīng)用數(shù)據(jù),交互式(或人類)用戶不應(yīng)直接通過(guò)數(shù)據(jù)庫(kù)訪問(wèn)數(shù)據(jù)。而OLAP的情況則不同。商業(yè)智能(BI)用戶和分析師需要直接訪問(wèn)數(shù)據(jù)庫(kù)中的數(shù)據(jù),以制作報(bào)告、進(jìn)行分析并操作數(shù)據(jù)。
為了明確區(qū)分兩種數(shù)據(jù)處理類型,Imperva研究團(tuán)隊(duì)在數(shù)十家企業(yè)客戶的支持下,利用他們的真實(shí)數(shù)據(jù)庫(kù),集中分析了OLTP和OLAP的數(shù)據(jù)訪問(wèn)模式和數(shù)據(jù)特征。在四周的時(shí)間里,借助SecureSphere收集觀測(cè)數(shù)據(jù),利用CounterBreach整合洞察結(jié)論,確認(rèn)了兩種數(shù)據(jù)庫(kù)類型的差異。
在四周時(shí)間里,在OLTP中幾乎沒(méi)有新的交互式(或人類)用戶訪問(wèn),而OLAP數(shù)據(jù)庫(kù)則正好相反;OLTP中新增的業(yè)務(wù)數(shù)據(jù)表數(shù)量很小,而在OLAP中的數(shù)量則高出很多。總結(jié)而言,OLTP的數(shù)據(jù)表是相對(duì)穩(wěn)定的;而OLAP系統(tǒng)中則產(chǎn)生了很多新表。OLAP中存儲(chǔ)的數(shù)據(jù)是歷史化數(shù)據(jù),ETL(抽取、轉(zhuǎn)化、加載)過(guò)程會(huì)定期(每小時(shí)/每天/每周)上傳數(shù)據(jù),并對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行操作。而絕大多數(shù)情況下,數(shù)據(jù)都要上傳到這些新表之中。
CounterBreach基于理解推出最佳檢測(cè)方案
最新發(fā)布的Imperva CounterBreach進(jìn)一步增加了對(duì)于數(shù)據(jù)庫(kù)類型的理解,并把數(shù)據(jù)庫(kù)類型納入它的檢測(cè)方法之中。通過(guò)整合OLTP和OLAP的差異,大大提升了可疑數(shù)據(jù)訪問(wèn)的檢測(cè)水平。基于Imperva研究團(tuán)隊(duì)的研究成果,CounterBreach根據(jù)交互式用戶訪問(wèn)數(shù)據(jù)庫(kù)的模式,利用機(jī)器學(xué)習(xí)技術(shù)為數(shù)據(jù)庫(kù)分類。結(jié)合對(duì)數(shù)據(jù)庫(kù)類型的理解,CounterBreach得以確定檢測(cè)可疑行為的最佳方案。
在OLTP系統(tǒng)中運(yùn)行的數(shù)據(jù)庫(kù),CounterBreach檢測(cè)并報(bào)警任何交互用戶對(duì)商業(yè)應(yīng)用數(shù)據(jù)的異常訪問(wèn);而在OLAP系統(tǒng)中,訪問(wèn)商業(yè)應(yīng)用數(shù)據(jù)是交互式用戶的日常工作,所以CounterBreach不會(huì)報(bào)警這些合法的行為。在這些系統(tǒng)中,它會(huì)讓BI用戶正常工作,而使用其它的指標(biāo)來(lái)檢測(cè)數(shù)據(jù)濫用,比如從數(shù)據(jù)庫(kù)的商業(yè)應(yīng)用表中提取的數(shù)量異常的記錄。這能夠保證數(shù)據(jù)驅(qū)動(dòng)的商業(yè)進(jìn)程不受干擾,并減少誤警報(bào)。
Imperva的數(shù)據(jù)科學(xué)家還在繼續(xù)研究并識(shí)別更多區(qū)分OLTP和OLAP系統(tǒng)的特征。這些特征超越了交互式用戶訪問(wèn)數(shù)據(jù)庫(kù)和數(shù)據(jù)的模式層面,囊括了數(shù)據(jù)庫(kù)中表的名字、用來(lái)訪問(wèn)數(shù)據(jù)庫(kù)的源應(yīng)用、ETL過(guò)程,數(shù)據(jù)庫(kù)操作之間的多樣性、不同實(shí)體訪問(wèn)數(shù)據(jù)庫(kù)的比例等等方面。不斷拓展的研究成果,將推動(dòng)檢測(cè)準(zhǔn)確度的進(jìn)一步優(yōu)化。對(duì)于數(shù)據(jù)庫(kù)更深的理解,讓潛在的數(shù)據(jù)泄露無(wú)處藏身。
推薦閱讀
2017全球新能源企業(yè)500強(qiáng)榜單發(fā)布 四季沐歌連續(xù)3年強(qiáng)勢(shì)入榜
12月12日,“2017全球新能源企業(yè)500強(qiáng)榜單”在北京舉辦的“ 一帶一路國(guó)際能源高峰論壇暨第七屆全球新能源企業(yè)500強(qiáng)峰會(huì)”上發(fā)布,上榜企業(yè)分別來(lái)>>>詳細(xì)閱讀
本文標(biāo)題:Imperva創(chuàng)新數(shù)據(jù)安全理念:理解是保護(hù)的前提
地址:http://www.xglongwei.com/a/05/305071.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示