一種云端數(shù)據(jù)庫(kù)中敏感信息隨機(jī)化擬態(tài)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域��,尤其涉及一種云端數(shù)據(jù)庫(kù)中敏感信息隨機(jī)化擬態(tài)方法����。
【背景技術(shù)】
[0002]目前,隨著云計(jì)算技術(shù)的日益發(fā)達(dá)�����,眾多普通用戶會(huì)將其個(gè)人資料以及各類的賬戶密碼等敏感信息存放在大中小型企業(yè)的云端數(shù)據(jù)庫(kù)�����。然而,各類企業(yè)在安全上的技術(shù)水平參差不齊����,導(dǎo)致云數(shù)據(jù)庫(kù)的架構(gòu)與配置往往存在大量漏洞,當(dāng)惡意的攻擊者借助于某些攻擊方法(如SQL注入攻擊��、爬蟲(chóng)攻擊等)��,即可較為輕易地對(duì)數(shù)據(jù)庫(kù)內(nèi)部的用戶敏感信息進(jìn)行收集�,給廣大正常用戶帶來(lái)經(jīng)濟(jì)上的嚴(yán)重?fù)p失或個(gè)人隱私的泄露。
[0003]現(xiàn)有的技術(shù)大多采取將敏感信息在云端數(shù)據(jù)庫(kù)內(nèi)加密保存����,然而考慮到各類加密算法的公開(kāi)性,一旦攻擊者獲取到敏感信息的密文形式�����,通過(guò)窮舉法等方式即可破解出敏感信息的明文形式�����,即造成敏感信息的泄露�����。
【發(fā)明內(nèi)容】
[0004]為了克服當(dāng)前云端數(shù)據(jù)庫(kù)存在的敏感信息泄露的問(wèn)題�,本發(fā)明提供一種敏感信息隨機(jī)化擬態(tài)方法。借助于本發(fā)明方法����,不但可以將攻擊者收集的真實(shí)敏感信息的內(nèi)容基于隨機(jī)化擬態(tài)算法進(jìn)行替換,而且替換后的擬態(tài)敏感信息嚴(yán)格按照真實(shí)敏感信息的格式和上下文語(yǔ)法進(jìn)行生成����,可令攻擊者誤以為其獲得了真實(shí)的敏感信息,從而一定程度上增加其攻擊成本�����。合法用戶不會(huì)對(duì)此類敏感信息有需求或需要一系列標(biāo)準(zhǔn)的授權(quán)過(guò)程���,所以本發(fā)明不會(huì)對(duì)合法用戶的使用造成影響����。
[0005]本發(fā)明解決以上問(wèn)題所采用的技術(shù)方案是:一種云端數(shù)據(jù)庫(kù)中敏感信息隨機(jī)化擬態(tài)方法�����,包括以下步驟:
[0006](I)在云端數(shù)據(jù)庫(kù)所在的服務(wù)器所對(duì)應(yīng)的應(yīng)用層網(wǎng)關(guān)中向數(shù)據(jù)庫(kù)管理員提供配置接口,該接口用于制定判定經(jīng)過(guò)網(wǎng)關(guān)的內(nèi)容是否為敏感信息的規(guī)則�;將某一類的敏感信息用一個(gè)正則表達(dá)式表示,管理員只需在相應(yīng)的配置文件中書(shū)寫(xiě)目標(biāo)正則表達(dá)式即可�����;此處將敏感信息判別正則表達(dá)集合用向量R= Ir1, r2�,r3,…,rk,…����,rn}表示,其中rk表示第k個(gè)敏感信息判別正則表達(dá)式�����,該向量的維度為η ;
[0007](2)當(dāng)惡意攻擊者利用工具從云端數(shù)據(jù)庫(kù)采集敏感信息時(shí)���,應(yīng)用層網(wǎng)關(guān)根據(jù)配置文件的內(nèi)容進(jìn)行隨機(jī)化擬態(tài)處理�,該步驟通過(guò)以下子步驟來(lái)實(shí)現(xiàn):
[0008](2.1)云端數(shù)據(jù)庫(kù)經(jīng)過(guò)網(wǎng)關(guān)的響應(yīng)內(nèi)容具體表現(xiàn)形式為HTTP包體��,其包含若干用戶真實(shí)敏感信息�,用textMal表示;當(dāng)text Mal經(jīng)過(guò)網(wǎng)關(guān),網(wǎng)關(guān)讀取配置文件內(nèi)容��,將text real作為主串����,敏感信息判別正則表達(dá)集合R中的每一個(gè)元素作為模式串�,利用KMP算法進(jìn)行匹配查詢;匹配的過(guò)程基于正則表達(dá)式regex引擎庫(kù)中的regex.1smatch函數(shù)�����,查找到主串中需要替換的字符串集合��,用OBJ = 1bj1, obj2, obj3,…���,objk,…����,objj表示��,其中�����,m表示需要替換字符串的數(shù)量,并且由KMP算法生成的每一個(gè)Objk對(duì)應(yīng)一個(gè)三維數(shù)組mark = {loc,len����,i},其中1c表示ob jk原來(lái)在text Mal中的位置�����、Ien表示obj k的字符串長(zhǎng)度��,i表示objk所依賴的規(guī)則r 1在R中的次序��;
[0009](2.2)將OBJ= 1bj1, obj2, obj3,…��,objk,…����,objj中的每一個(gè)元素基于正則表達(dá)式regex引擎庫(kù)中regex.StringRand函數(shù)產(chǎn)生一個(gè)隨機(jī)的字符串,所依賴的正則表達(dá)式即為η���,最終替換為經(jīng)過(guò)隨機(jī)化擬態(tài)處理過(guò)后的虛假敏感信息��,用TAR = Itar1, tar2, tar3,…���,tarm}表不���;
[0010](2.3)將TAR中的元素依次取代text,eal中相應(yīng)OBJ中的元素的原有內(nèi)容,其位置和長(zhǎng)度根據(jù)預(yù)先生成的三維數(shù)組mark��,在相同位置替換相同長(zhǎng)度的字符串���,即:textMal*的objk--->tark;最終生成虛假的HTTP協(xié)議包體text false;
[0011](3)通過(guò)網(wǎng)關(guān)將虛假的HTTP協(xié)議包體textf—返還給惡意的攻擊者�����。
[0012]本發(fā)明的有益效果是:
[0013](I)可以將用戶存儲(chǔ)在云數(shù)據(jù)庫(kù)中的敏感信息進(jìn)行有效的隨機(jī)動(dòng)態(tài)保護(hù)�����,克服了傳統(tǒng)的防護(hù)方法中靜態(tài)加密簡(jiǎn)單直接���、易被破解的問(wèn)題�����。
[0014](2)對(duì)惡意攻擊者具有錯(cuò)誤的引導(dǎo)作用����。通過(guò)本發(fā)明的保護(hù),攻擊者得到似是而非的虛假用戶敏感信息����,對(duì)其造成迷惑的效果,一定程度上增加其攻擊所用成本�。
【附圖說(shuō)明】
[0015]圖1是本發(fā)明的總架構(gòu)圖。
[0016]圖2是本發(fā)明的總流程圖��。
【具體實(shí)施方式】
[0017]下面以一個(gè)真實(shí)攻擊場(chǎng)景為背景���,結(jié)合圖1和圖2����,通過(guò)一個(gè)應(yīng)用隨機(jī)化擬態(tài)方法的實(shí)例詳細(xì)描述本發(fā)明�����。
[0018]如圖1所示����,本發(fā)明方法將隨機(jī)化擬態(tài)方法固化或植入到云端數(shù)據(jù)庫(kù)所在的服務(wù)器所對(duì)應(yīng)的應(yīng)用層Nginx網(wǎng)關(guān)中。攻擊者向服務(wù)器發(fā)送HTTP請(qǐng)求后�����,服務(wù)器的HTTP響應(yīng)包頭與包體會(huì)經(jīng)過(guò)該應(yīng)用層網(wǎng)關(guān),對(duì)包體內(nèi)容進(jìn)行隨機(jī)化擬態(tài)�����,最后將虛假的包體內(nèi)容返還給惡意攻擊者�。具體包括以下步驟:
[0019](I)在云端數(shù)據(jù)庫(kù)所在的服務(wù)器所對(duì)應(yīng)的應(yīng)用層網(wǎng)關(guān)中向數(shù)據(jù)庫(kù)管理員提供配置接口,該接口用于制定判定經(jīng)過(guò)網(wǎng)關(guān)的內(nèi)容是否為敏感信息的規(guī)則�����;將某一類的敏感信息用一個(gè)正則表達(dá)式表示��,管理員只需在相應(yīng)的配置文件中書(shū)寫(xiě)目標(biāo)正則表達(dá)式即可���;此處將敏感信息判別正則表達(dá)集合用向量R= Ir1, r2,r3,…��,rk,…���,rn}表示��,其中rk表示第k個(gè)敏感信息判別正則表達(dá)式�����,該向量的維度為η;并且敏感信息判別正則表達(dá)集合可以隨著使用過(guò)程中迭代更新��。
[0020](2)如圖2所示�����,當(dāng)惡意攻擊者利用Sqlmap工具從云端數(shù)據(jù)庫(kù)采集敏感信息時(shí)�����,應(yīng)用層網(wǎng)關(guān)根據(jù)配置文件的內(nèi)容進(jìn)行隨機(jī)化擬態(tài)處理����,該步驟通過(guò)以下子步驟來(lái)實(shí)現(xiàn):
[0021](2.1)云端數(shù)據(jù)庫(kù)經(jīng)過(guò)網(wǎng)關(guān)的響應(yīng)內(nèi)容具體表現(xiàn)形式為HTTP包體,其帶有真實(shí)敏感信息����,用text,eal表示,HTTP包體包含若干用戶密碼的md5加密后的結(jié)果�。當(dāng)text ,eal經(jīng)過(guò)網(wǎng)關(guān),網(wǎng)關(guān)讀取配置文件內(nèi)容�,將textMal作為主串,敏感信息判別正則表達(dá)集合R中的每一個(gè)元素作為模式串(本實(shí)例應(yīng)用[a-fA-FO-9] {32�����,32}這一正則表達(dá)式),利用KMP算法進(jìn)行匹配查詢�����。匹配的過(guò)程基于正則表達(dá)式regex引擎庫(kù)中的regex.1smatch函數(shù)�,查找到主串中需要替換的字符串集合,用OBJ= (Obj1, Obj2, Obj3,…����,objk,…�����,objm}表示���,其中,m表示需要替換字符串的數(shù)量�����,并且由KMP算法生成的每一個(gè)objk對(duì)應(yīng)一個(gè)三維數(shù)組mark={loc��,len, i}����,其中1c表示objk原來(lái)在text raal中的位置���、Ien表示obj k的字符串長(zhǎng)度,i表示Objk所依賴的規(guī)則r 1在R中的次序�����。
[0022](2.2)將 OBJ = 1bj1, obj2, obj3,…�,objk,…,objj 中的每一個(gè)元素基于正則表達(dá)式regex引擎庫(kù)中regex.StringRand函數(shù)產(chǎn)生一個(gè)隨機(jī)的字符串��,所依賴的正則表達(dá)式即為IV如Obj1S 5f4dcc3b5aa765d61d8327deb882cf99���,所依賴的正則表達(dá)式即為[a-fA-FO-9] {32����,32}����,最終替換為經(jīng)過(guò)隨機(jī)化擬態(tài)處理過(guò)后的虛假敏感信息,用TAR =Itar1, tar2, tar3,…�,tarj 表不,根據(jù) Obj1,生成 tar^ 3el4537bd41a69f42ala6b7823fc2649o
[0023](2.3)將TAR中的元素依次取代text,eal中相應(yīng)OBJ中的元素的原有內(nèi)容���,其位置和長(zhǎng)度根據(jù)預(yù)先生成的三維數(shù)組mark���,在相同位置替換相同長(zhǎng)度的字符串��,即:textMal*的objk--->tarko最終生成虛假的HTTP協(xié)議包體textfalse���。
[0024](3)通過(guò)網(wǎng)關(guān)將虛假的HTTP協(xié)議包體仏^^%返還給惡意的攻擊者。
【主權(quán)項(xiàng)】
1.一種云端數(shù)據(jù)庫(kù)中敏感信息隨機(jī)化擬態(tài)方法�,其特征在于,包括以下步驟: (1)在云端數(shù)據(jù)庫(kù)所在的服務(wù)器所對(duì)應(yīng)的應(yīng)用層網(wǎng)關(guān)中向數(shù)據(jù)庫(kù)管理員提供配置接口��,該接口用于制定判定經(jīng)過(guò)網(wǎng)關(guān)的內(nèi)容是否為敏感信息的規(guī)則���;將某一類的敏感信息用一個(gè)正則表達(dá)式表示���,管理員只需在相應(yīng)的配置文件中書(shū)寫(xiě)目標(biāo)正則表達(dá)式即可��;此處將敏感信息判別正則表達(dá)集合用向量R= Ir1, r2����,r3,…,rk,…�,rn}表示�����,其中rk表示第k個(gè)敏感信息判別正則表達(dá)式���,該向量的維度為η ; (2)當(dāng)惡意攻擊者利用工具從云端數(shù)據(jù)庫(kù)采集敏感信息時(shí),應(yīng)用層網(wǎng)關(guān)根據(jù)配置文件的內(nèi)容進(jìn)行隨機(jī)化擬態(tài)處理�����,該步驟通過(guò)以下子步驟來(lái)實(shí)現(xiàn): (2.1)云端數(shù)據(jù)庫(kù)經(jīng)過(guò)網(wǎng)關(guān)的響應(yīng)內(nèi)容具體表現(xiàn)形式為HTTP包體����,其包含若干用戶真實(shí)敏感信息,用textMal表示����;當(dāng)text Mal經(jīng)過(guò)網(wǎng)關(guān),網(wǎng)關(guān)讀取配置文件內(nèi)容���,將text raal作為主串���,敏感信息判別正則表達(dá)集合R中的每一個(gè)元素作為模式串,利用KMP算法進(jìn)行匹配查詢;匹配的過(guò)程基于正則表達(dá)式regex引擎庫(kù)中的regex.1smatch函數(shù)���,查找到主串中需要替換的字符串集合����,用OBJ = 1bj1, obj2, obj3,…���,objk,…�����,objj表示��,其中�����,m表示需要替換字符串的數(shù)量����,并且由KMP算法生成的每一個(gè)objk對(duì)應(yīng)一個(gè)三維數(shù)組mark = {loc�����,len���,i}�,其中l(wèi)oc表示objk原來(lái)在text Mal中的位置�、Ien表示obj k的字符串長(zhǎng)度,i表示ob j k所依賴的規(guī)則^在R中的次序�; (2.2)將OBJ = 1bj1, obj2, obj3,…�����,objk,…�����,objm}中的每一個(gè)元素基于正則表達(dá)式regex引擎庫(kù)中regex.StringRand函數(shù)產(chǎn)生一個(gè)隨機(jī)的字符串����,所依賴的正則表達(dá)式即為η,最終替換為經(jīng)過(guò)隨機(jī)化擬態(tài)處理過(guò)后的虛假敏感信息��,用TAR = Itar1, tar2, tar3,…�����,tarm}表不; (2.3)將TAR中的元素依次取代text,eal中相應(yīng)OBJ中的元素的原有內(nèi)容����,其位置和長(zhǎng)度根據(jù)預(yù)先生成的三維數(shù)組mark,在相同位置替換相同長(zhǎng)度的字符串�����,即:teXtMal中的objk--->tark;最終生成虛假的HTTP協(xié)議包體text false�; (3)通過(guò)網(wǎng)關(guān)將虛假的HTTP協(xié)議包體textfalJg還給惡意的攻擊者。
【專利摘要】本發(fā)明公開(kāi)了一種云端數(shù)據(jù)庫(kù)中敏感信息隨機(jī)化擬態(tài)方法��,借助于本發(fā)明方法�����,不但可以將攻擊者收集的真實(shí)敏感信息的內(nèi)容基于隨機(jī)化擬態(tài)算法進(jìn)行替換��,而且替換后的擬態(tài)敏感信息嚴(yán)格按照真實(shí)敏感信息的格式和上下文語(yǔ)法進(jìn)行生成���,可令攻擊者誤以為其獲得了真實(shí)的敏感信息���,從而一定程度上增加其攻擊成本。合法用戶不會(huì)對(duì)此類敏感信息有需求或需要一系列標(biāo)準(zhǔn)的授權(quán)過(guò)程����,所以本發(fā)明不會(huì)對(duì)合法用戶的使用造成影響�。
【IPC分類】G06F21/62
【公開(kāi)號(hào)】CN104966032
【申請(qǐng)?zhí)枴緾N201510434350
【發(fā)明人】吳春明, 邢駿馳
【申請(qǐng)人】浙江大學(xué)
【公開(kāi)日】2015年10月7日
【申請(qǐng)日】2015年7月22日