防止數(shù)據(jù)泄露是網(wǎng)絡(luò)安全領(lǐng)域的核心需求之一。在關(guān)系數(shù)據(jù)庫中檢測潛在的數(shù)據(jù)泄露��,不僅要求成功識別出數(shù)據(jù)庫中的可疑行為�����,同時也要避免頻繁的誤報警。后者不僅可能給運維工作大大增加負擔(dān)�,而且還會為識別真正的可疑數(shù)據(jù)訪問造成障礙��。
Imperva在最新發(fā)布的CounterBreach解決方案中提出,精準檢測數(shù)據(jù)訪問違規(guī)的關(guān)鍵在于深度理解數(shù)據(jù)庫的類型���。異常行為檢測的成功之匙,藏在數(shù)據(jù)庫背后的故事當中��。
作為精確檢測的前提��,我們需要回答:數(shù)據(jù)庫的目的是什么?我們期待用戶在數(shù)據(jù)庫中執(zhí)行何種行為?我們能從數(shù)據(jù)庫的數(shù)據(jù)中讀出什么?要想回答這些問題�����,我們就必須理解數(shù)據(jù)庫的類型,包括用戶類型��、數(shù)據(jù)類型和數(shù)據(jù)庫類型��。
OLTP與OLAP
在關(guān)系數(shù)據(jù)庫的世界里�,存在兩種系統(tǒng)類型���。第一種是在線交易處理(OLTP)�����,第二種是在線分析處理(OLAP)�。兩種處理類型的功能相似�����,而目的不同���。
OLTP系統(tǒng)在商業(yè)應(yīng)用中使用。發(fā)生在這些數(shù)據(jù)庫中的查詢是簡單的�����、短時的在線交易�����,數(shù)據(jù)實時更新���。OLTP的常見例子是零售�����、金融交易和訂單輸入系統(tǒng)。
OLAP系統(tǒng)在數(shù)據(jù)庫環(huán)境中使用�����,目的是有效分析數(shù)據(jù)��,允許用戶從數(shù)據(jù)中發(fā)掘趨勢���、運算數(shù)字���、提取意義����。OLAP系統(tǒng)廣泛應(yīng)用于數(shù)據(jù)挖掘領(lǐng)域�,數(shù)據(jù)是歷史化的。又因為數(shù)字處理通常涉及很大的數(shù)據(jù)集合,所以與數(shù)據(jù)庫的交互持續(xù)時間也更長�����。另外��,OLAP數(shù)據(jù)庫的交互(SQL查詢)形態(tài)也不可提前預(yù)知���。
數(shù)據(jù)庫特征與訪問模式
OLTP和OLAP數(shù)據(jù)系統(tǒng)的不同性質(zhì)決定了在用戶訪問模式和數(shù)據(jù)特征變化上的差異�。
我們期待OLTP的用戶通過應(yīng)用交互界面訪問儲存在數(shù)據(jù)庫中的商業(yè)應(yīng)用數(shù)據(jù)���,交互式(或人類)用戶不應(yīng)直接通過數(shù)據(jù)庫訪問數(shù)據(jù)�����。而OLAP的情況則不同�����。商業(yè)智能(BI)用戶和分析師需要直接訪問數(shù)據(jù)庫中的數(shù)據(jù),以制作報告���、進行分析并操作數(shù)據(jù)。
為了明確區(qū)分兩種數(shù)據(jù)處理類型,Imperva研究團隊在數(shù)十家企業(yè)客戶的支持下�,利用他們的真實數(shù)據(jù)庫����,集中分析了OLTP和OLAP的數(shù)據(jù)訪問模式和數(shù)據(jù)特征����。在四周的時間里,借助SecureSphere收集觀測數(shù)據(jù),利用CounterBreach整合洞察結(jié)論�����,確認了兩種數(shù)據(jù)庫類型的差異�。
在四周時間里��,在OLTP中幾乎沒有新的交互式(或人類)用戶訪問�,而OLAP數(shù)據(jù)庫則正好相反;OLTP中新增的業(yè)務(wù)數(shù)據(jù)表數(shù)量很小�����,而在OLAP中的數(shù)量則高出很多��?偨Y(jié)而言,OLTP的數(shù)據(jù)表是相對穩(wěn)定的;而OLAP系統(tǒng)中則產(chǎn)生了很多新表。OLAP中存儲的數(shù)據(jù)是歷史化數(shù)據(jù),ETL(抽取�、轉(zhuǎn)化����、加載)過程會定期(每小時/每天/每周)上傳數(shù)據(jù)�����,并對數(shù)據(jù)庫中的數(shù)據(jù)進行操作���。而絕大多數(shù)情況下���,數(shù)據(jù)都要上傳到這些新表之中����。
CounterBreach基于理解推出最佳檢測方案
最新發(fā)布的Imperva CounterBreach進一步增加了對于數(shù)據(jù)庫類型的理解��,并把數(shù)據(jù)庫類型納入它的檢測方法之中�。通過整合OLTP和OLAP的差異���,大大提升了可疑數(shù)據(jù)訪問的檢測水平�������;贗mperva研究團隊的研究成果����,CounterBreach根據(jù)交互式用戶訪問數(shù)據(jù)庫的模式���,利用機器學(xué)習(xí)技術(shù)為數(shù)據(jù)庫分類����。結(jié)合對數(shù)據(jù)庫類型的理解�,CounterBreach得以確定檢測可疑行為的最佳方案。
在OLTP系統(tǒng)中運行的數(shù)據(jù)庫���,CounterBreach檢測并報警任何交互用戶對商業(yè)應(yīng)用數(shù)據(jù)的異常訪問;而在OLAP系統(tǒng)中,訪問商業(yè)應(yīng)用數(shù)據(jù)是交互式用戶的日常工作�,所以CounterBreach不會報警這些合法的行為��。在這些系統(tǒng)中,它會讓BI用戶正常工作���,而使用其它的指標來檢測數(shù)據(jù)濫用,比如從數(shù)據(jù)庫的商業(yè)應(yīng)用表中提取的數(shù)量異常的記錄�。這能夠保證數(shù)據(jù)驅(qū)動的商業(yè)進程不受干擾��,并減少誤警報。
Imperva的數(shù)據(jù)科學(xué)家還在繼續(xù)研究并識別更多區(qū)分OLTP和OLAP系統(tǒng)的特征�����。這些特征超越了交互式用戶訪問數(shù)據(jù)庫和數(shù)據(jù)的模式層面��,囊括了數(shù)據(jù)庫中表的名字�����、用來訪問數(shù)據(jù)庫的源應(yīng)用����、ETL過程,數(shù)據(jù)庫操作之間的多樣性�����、不同實體訪問數(shù)據(jù)庫的比例等等方面�����。不斷拓展的研究成果�,將推動檢測準確度的進一步優(yōu)化�����。對于數(shù)據(jù)庫更深的理解��,讓潛在的數(shù)據(jù)泄露無處藏身。
京公網(wǎng)安備 11010502041587號