一種云端數(shù)據(jù)庫中敏感信息隨機化擬態(tài)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種云端數(shù)據(jù)庫中敏感信息隨機化擬態(tài)方法。
【背景技術(shù)】
[0002]目前，隨著云計算技術(shù)的日益發(fā)達，眾多普通用戶會將其個人資料以及各類的賬戶密碼等敏感信息存放在大中小型企業(yè)的云端數(shù)據(jù)庫。然而，各類企業(yè)在安全上的技術(shù)水平參差不齊，導致云數(shù)據(jù)庫的架構(gòu)與配置往往存在大量漏洞，當惡意的攻擊者借助于某些攻擊方法(如SQL注入攻擊、爬蟲攻擊等)，即可較為輕易地對數(shù)據(jù)庫內(nèi)部的用戶敏感信息進行收集，給廣大正常用戶帶來經(jīng)濟上的嚴重損失或個人隱私的泄露。
[0003]現(xiàn)有的技術(shù)大多采取將敏感信息在云端數(shù)據(jù)庫內(nèi)加密保存，然而考慮到各類加密算法的公開性，一旦攻擊者獲取到敏感信息的密文形式，通過窮舉法等方式即可破解出敏感信息的明文形式，即造成敏感信息的泄露。

【發(fā)明內(nèi)容】

[0004]為了克服當前云端數(shù)據(jù)庫存在的敏感信息泄露的問題，本發(fā)明提供一種敏感信息隨機化擬態(tài)方法。借助于本發(fā)明方法，不但可以將攻擊者收集的真實敏感信息的內(nèi)容基于隨機化擬態(tài)算法進行替換，而且替換后的擬態(tài)敏感信息嚴格按照真實敏感信息的格式和上下文語法進行生成，可令攻擊者誤以為其獲得了真實的敏感信息，從而一定程度上增加其攻擊成本。合法用戶不會對此類敏感信息有需求或需要一系列標準的授權(quán)過程，所以本發(fā)明不會對合法用戶的使用造成影響。
[0005]本發(fā)明解決以上問題所采用的技術(shù)方案是:一種云端數(shù)據(jù)庫中敏感信息隨機化擬態(tài)方法，包括以下步驟:
[0006](I)在云端數(shù)據(jù)庫所在的服務(wù)器所對應(yīng)的應(yīng)用層網(wǎng)關(guān)中向數(shù)據(jù)庫管理員提供配置接口，該接口用于制定判定經(jīng)過網(wǎng)關(guān)的內(nèi)容是否為敏感信息的規(guī)則；將某一類的敏感信息用一個正則表達式表示，管理員只需在相應(yīng)的配置文件中書寫目標正則表達式即可；此處將敏感信息判別正則表達集合用向量R= Ir1, r2，r3,…，rk,…，rn}表示，其中rk表示第k個敏感信息判別正則表達式，該向量的維度為η ;
[0007](2)當惡意攻擊者利用工具從云端數(shù)據(jù)庫采集敏感信息時，應(yīng)用層網(wǎng)關(guān)根據(jù)配置文件的內(nèi)容進行隨機化擬態(tài)處理，該步驟通過以下子步驟來實現(xiàn):
[0008](2.1)云端數(shù)據(jù)庫經(jīng)過網(wǎng)關(guān)的響應(yīng)內(nèi)容具體表現(xiàn)形式為HTTP包體，其包含若干用戶真實敏感信息，用textMal表示；當text Mal經(jīng)過網(wǎng)關(guān)，網(wǎng)關(guān)讀取配置文件內(nèi)容，將text real作為主串，敏感信息判別正則表達集合R中的每一個元素作為模式串，利用KMP算法進行匹配查詢；匹配的過程基于正則表達式regex引擎庫中的regex.1smatch函數(shù)，查找到主串中需要替換的字符串集合，用OBJ = 1bj1, obj2, obj3,…，objk,…，objj表示，其中，m表示需要替換字符串的數(shù)量，并且由KMP算法生成的每一個Objk對應(yīng)一個三維數(shù)組mark = {loc,len，i}，其中1c表示ob jk原來在text Mal中的位置、Ien表示obj k的字符串長度，i表示objk所依賴的規(guī)則r 1在R中的次序；
[0009](2.2)將OBJ= 1bj1, obj2, obj3,…，objk,…，objj中的每一個元素基于正則表達式regex引擎庫中regex.StringRand函數(shù)產(chǎn)生一個隨機的字符串，所依賴的正則表達式即為η，最終替換為經(jīng)過隨機化擬態(tài)處理過后的虛假敏感信息，用TAR = Itar1, tar2, tar3,…，tarm}表不；
[0010](2.3)將TAR中的元素依次取代text,eal中相應(yīng)OBJ中的元素的原有內(nèi)容，其位置和長度根據(jù)預先生成的三維數(shù)組mark，在相同位置替換相同長度的字符串，即:textMal*的objk--->tark;最終生成虛假的HTTP協(xié)議包體text false；
[0011](3)通過網(wǎng)關(guān)將虛假的HTTP協(xié)議包體textf—返還給惡意的攻擊者。
[0012]本發(fā)明的有益效果是:
[0013](I)可以將用戶存儲在云數(shù)據(jù)庫中的敏感信息進行有效的隨機動態(tài)保護，克服了傳統(tǒng)的防護方法中靜態(tài)加密簡單直接、易被破解的問題。
[0014](2)對惡意攻擊者具有錯誤的引導作用。通過本發(fā)明的保護，攻擊者得到似是而非的虛假用戶敏感信息，對其造成迷惑的效果，一定程度上增加其攻擊所用成本。
【附圖說明】
[0015]圖1是本發(fā)明的總架構(gòu)圖。
[0016]圖2是本發(fā)明的總流程圖。
【具體實施方式】
[0017]下面以一個真實攻擊場景為背景，結(jié)合圖1和圖2，通過一個應(yīng)用隨機化擬態(tài)方法的實例詳細描述本發(fā)明。
[0018]如圖1所示，本發(fā)明方法將隨機化擬態(tài)方法固化或植入到云端數(shù)據(jù)庫所在的服務(wù)器所對應(yīng)的應(yīng)用層Nginx網(wǎng)關(guān)中。攻擊者向服務(wù)器發(fā)送HTTP請求后，服務(wù)器的HTTP響應(yīng)包頭與包體會經(jīng)過該應(yīng)用層網(wǎng)關(guān)，對包體內(nèi)容進行隨機化擬態(tài)，最后將虛假的包體內(nèi)容返還給惡意攻擊者。具體包括以下步驟:
[0019](I)在云端數(shù)據(jù)庫所在的服務(wù)器所對應(yīng)的應(yīng)用層網(wǎng)關(guān)中向數(shù)據(jù)庫管理員提供配置接口，該接口用于制定判定經(jīng)過網(wǎng)關(guān)的內(nèi)容是否為敏感信息的規(guī)則；將某一類的敏感信息用一個正則表達式表示，管理員只需在相應(yīng)的配置文件中書寫目標正則表達式即可；此處將敏感信息判別正則表達集合用向量R= Ir1, r2，r3,…，rk,…，rn}表示，其中rk表示第k個敏感信息判別正則表達式，該向量的維度為η;并且敏感信息判別正則表達集合可以隨著使用過程中迭代更新。
[0020](2)如圖2所示，當惡意攻擊者利用Sqlmap工具從云端數(shù)據(jù)庫采集敏感信息時，應(yīng)用層網(wǎng)關(guān)根據(jù)配置文件的內(nèi)容進行隨機化擬態(tài)處理，該步驟通過以下子步驟來實現(xiàn):
[0021](2.1)云端數(shù)據(jù)庫經(jīng)過網(wǎng)關(guān)的響應(yīng)內(nèi)容具體表現(xiàn)形式為HTTP包體，其帶有真實敏感信息，用text,eal表示，HTTP包體包含若干用戶密碼的md5加密后的結(jié)果。當text ,eal經(jīng)過網(wǎng)關(guān)，網(wǎng)關(guān)讀取配置文件內(nèi)容，將textMal作為主串，敏感信息判別正則表達集合R中的每一個元素作為模式串(本實例應(yīng)用[a-fA-FO-9] {32，32}這一正則表達式)，利用KMP算法進行匹配查詢。匹配的過程基于正則表達式regex引擎庫中的regex.1smatch函數(shù)，查找到主串中需要替換的字符串集合，用OBJ= (Obj1, Obj2, Obj3,…，objk，…，objm}表示，其中，m表示需要替換字符串的數(shù)量，并且由KMP算法生成的每一個objk對應(yīng)一個三維數(shù)組mark={loc，len, i}，其中1c表示objk原來在text raal中的位置、Ien表示obj k的字符串長度，i表示Objk所依賴的規(guī)則r 1在R中的次序。
[0022](2.2)將 OBJ = 1bj1, obj2, obj3,…，objk,…，objj 中的每一個元素基于正則表達式regex引擎庫中regex.StringRand函數(shù)產(chǎn)生一個隨機的字符串，所依賴的正則表達式即為IV如Obj1S 5f4dcc3b5aa765d61d8327deb882cf99，所依賴的正則表達式即為[a-fA-FO-9] {32，32}，最終替換為經(jīng)過隨機化擬態(tài)處理過后的虛假敏感信息，用TAR =Itar1, tar2, tar3,…，tarj 表不，根據(jù) Obj1,生成 tar^ 3el4537bd41a69f42ala6b7823fc2649o
[0023](2.3)將TAR中的元素依次取代text,eal中相應(yīng)OBJ中的元素的原有內(nèi)容，其位置和長度根據(jù)預先生成的三維數(shù)組mark，在相同位置替換相同長度的字符串，即:textMal*的objk--->tarko最終生成虛假的HTTP協(xié)議包體textfalse。
[0024](3)通過網(wǎng)關(guān)將虛假的HTTP協(xié)議包體仏^^%返還給惡意的攻擊者。
【主權(quán)項】
1.一種云端數(shù)據(jù)庫中敏感信息隨機化擬態(tài)方法，其特征在于，包括以下步驟: (1)在云端數(shù)據(jù)庫所在的服務(wù)器所對應(yīng)的應(yīng)用層網(wǎng)關(guān)中向數(shù)據(jù)庫管理員提供配置接口，該接口用于制定判定經(jīng)過網(wǎng)關(guān)的內(nèi)容是否為敏感信息的規(guī)則；將某一類的敏感信息用一個正則表達式表示，管理員只需在相應(yīng)的配置文件中書寫目標正則表達式即可；此處將敏感信息判別正則表達集合用向量R= Ir1, r2，r3,…，rk,…，rn}表示，其中rk表示第k個敏感信息判別正則表達式，該向量的維度為η ; (2)當惡意攻擊者利用工具從云端數(shù)據(jù)庫采集敏感信息時，應(yīng)用層網(wǎng)關(guān)根據(jù)配置文件的內(nèi)容進行隨機化擬態(tài)處理，該步驟通過以下子步驟來實現(xiàn): (2.1)云端數(shù)據(jù)庫經(jīng)過網(wǎng)關(guān)的響應(yīng)內(nèi)容具體表現(xiàn)形式為HTTP包體，其包含若干用戶真實敏感信息，用textMal表示；當text Mal經(jīng)過網(wǎng)關(guān)，網(wǎng)關(guān)讀取配置文件內(nèi)容，將text raal作為主串，敏感信息判別正則表達集合R中的每一個元素作為模式串，利用KMP算法進行匹配查詢；匹配的過程基于正則表達式regex引擎庫中的regex.1smatch函數(shù)，查找到主串中需要替換的字符串集合，用OBJ = 1bj1, obj2, obj3,…，objk,…，objj表示，其中，m表示需要替換字符串的數(shù)量，并且由KMP算法生成的每一個objk對應(yīng)一個三維數(shù)組mark = {loc，len，i}，其中l(wèi)oc表示objk原來在text Mal中的位置、Ien表示obj k的字符串長度，i表示ob j k所依賴的規(guī)則^在R中的次序； (2.2)將OBJ = 1bj1, obj2, obj3，…，objk,…，objm}中的每一個元素基于正則表達式regex引擎庫中regex.StringRand函數(shù)產(chǎn)生一個隨機的字符串，所依賴的正則表達式即為η，最終替換為經(jīng)過隨機化擬態(tài)處理過后的虛假敏感信息，用TAR = Itar1, tar2, tar3,…，tarm}表不； (2.3)將TAR中的元素依次取代text,eal中相應(yīng)OBJ中的元素的原有內(nèi)容，其位置和長度根據(jù)預先生成的三維數(shù)組mark，在相同位置替換相同長度的字符串，即:teXtMal中的objk--->tark;最終生成虛假的HTTP協(xié)議包體text false； (3)通過網(wǎng)關(guān)將虛假的HTTP協(xié)議包體textfalJg還給惡意的攻擊者。
【專利摘要】本發(fā)明公開了一種云端數(shù)據(jù)庫中敏感信息隨機化擬態(tài)方法，借助于本發(fā)明方法，不但可以將攻擊者收集的真實敏感信息的內(nèi)容基于隨機化擬態(tài)算法進行替換，而且替換后的擬態(tài)敏感信息嚴格按照真實敏感信息的格式和上下文語法進行生成，可令攻擊者誤以為其獲得了真實的敏感信息，從而一定程度上增加其攻擊成本。合法用戶不會對此類敏感信息有需求或需要一系列標準的授權(quán)過程，所以本發(fā)明不會對合法用戶的使用造成影響。
【IPC分類】G06F21/62
【公開號】CN104966032
【申請?zhí)枴緾N201510434350
【發(fā)明人】吳春明, 邢駿馳
【申請人】浙江大學
【公開日】2015年10月7日
【申請日】2015年7月22日