一种隐蔽信道通信的检测方法及装置的制造方法

一种隐蔽信道通信的检测方法及装置的制造方法
【技术领域】
[0001]本发明实施例涉及数据库技术，尤其涉及一种隐蔽信道通信的检测方法及装置。
【背景技术】
[0002]隐蔽信道是指允许进程以危害系统安全策略的方式传输信息的通信信道。
[0003]隐蔽信道的概念最初是Lampson在1973年提出，其给出的隐蔽信道定义为:不是被设计或本意不是用来传输信息的通信信道。在这篇开创性的文章里，Lampson关注于程序的限制问题，即如何在程序的执行过程中进行限制，使其不能向其他未授权的程序传输信息。他列举了恶意或行为不当的程序绕过限制措施，泄露数据的6种方法和相应的处理措施，并把这些方法归纳为3种类型:存储信道，合法信道和“隐蔽信道”。后续的研究将隐蔽信道重新划分为两种类型:存储隐蔽信道和时间隐蔽信道，统称隐蔽信道。其中:时间隐蔽信道对应于Lampson所指的“隐蔽信道”；合法信道则是一种阈下信道(subliminal channel)，是公开信道中所建立的一种实现隐蔽通信的方式。信道中公开的、有意义的信息仅仅充当了秘密信息的载体，秘密信息通过它进行传输。这种隐蔽传输信息的方式后来逐渐淡出了隐蔽信道研究的中心，形成了相对独立的研究领域。
[0004]隐蔽信道分析工作包括信道识别、度量和处置。信道识别是对系统的静态分析，强调对设计和代码进行分析发现所有潜在的隐蔽信道。信道度量是对信道传输能力和威胁程度的评价。信道处置措施包括信道消除、限制和审计。隐蔽信道消除措施包括修改系统、排除产生隐蔽信道的源头、破坏信道的存在条件.限制措施要求将信道危害降低到系统能够容忍的范围内。但是，并非所有的潜在隐蔽信道都能被入侵者实际利用，如果对所有的潜在隐蔽信道进行度量和处置会产生不必要的性能消耗，降低系统效率。另外，由于目前的基于隐蔽信道判断规则对于隐蔽信道的使用主体是自然人还是程序不做区分，因而检测隐蔽信道技术存在误判率高和漏检的情况。

【发明内容】

[0005]本发明提供一种隐蔽信道通信的检测方法及装置，以实现降低对隐蔽信道进行度量和处置的性能消耗及提高系统效率的目的。
[0006]第一方面，本发明实施例提供了一种隐蔽信道通信的检测方法，包括:
[0007]确定可能被用户利用进行隐蔽通信的数据库对象；
[0008]监控用户对所述数据库对象的操作是否满足设定扩展规则；
[0009]对满足设定扩展规则的操作按照设定方式进行试探性测试；
[0010]将未通过所述试探性测试的操作确定为隐蔽信道通信的异常操作。
[0011]第二方面，本发明实施例还提供了一种隐蔽信道通信的检测装置，该装置包括:
[0012]数据库对象确定单元，用于确定可能被用户利用进行隐蔽通信的数据库对象；
[0013]操作监控单元，用于监控用户对所述数据库对象的操作是否满足设定扩展规则；
[0014]试探性测试单元，用于对满足设定扩展规则的操作按照设定方式进行试探性测试；
[0015]异常操作确定单元，用于将未通过所述试探性测试的操作确定为隐蔽信道通信的异常操作。
[0016]本发明通过确定可能被用户利用进行隐蔽通信的数据库对象;监控用户对所述数据库对象的操作是否满足设定扩展规则;对满足设定扩展规则的操作按照设定方式进行试探性测试;将未通过所述试探性测试的操作确定为隐蔽信道通信的异常操作。本发明解决因对所有的潜在隐蔽信道进行度量和处置产生不必要的性能消耗及降低系统效率的问题，将隐蔽信道的使用主体是自然人还是程序进行区分，达到了降低对隐蔽信道进行度量和处置的性能消耗及提高系统效率的效果。
【附图说明】
[0017]图1是本发明实施例一中的一种隐蔽信道通信的检测方法的流程图；
[0018]图2是本发明实施例二中的一种隐蔽信道通信的检测装置的结构示意图。
【具体实施方式】
[0019]下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。
[0020]实施例一
[0021]图1为本发明实施例一提供的隐蔽信道通信的检测方法的流程图，本实施例可适用于对潜在隐蔽信道的相关操作进行监测和记录，通过分析记录，检测出入侵者对信道的实际使用操作的情况，该方法可以由隐蔽信道通信的检测装置来执行，具体包括如下步骤:
[0022]步骤110、确定可能被用户利用进行隐蔽通信的数据库对象。
[0023]其中，数据库对象包括可能被用户利用以进行隐蔽通信的共享的数据库资源。
[0024]终端获取用户对数据库对象的操作，根据所述数据库对象确定用户可操作的共享资源;根据所述共享资源构建共享资源矩阵，通过共享资源矩阵确定可能被用户利用进行隐蔽通信的数据库对象。例如，利用共享资源矩阵法确定可能的隐蔽通道，具体包括:I)分析全部TCB原语操作，确定用户通过TCB接口可见/可修改的共享资源属性;2)构造共享资源矩阵，该矩阵的行对应TCB原语，列对应可见/可修改的共享资源属性;如果一个原语可以读一个变量，则将该矩阵项标记为R，如果一个原语可以修改一个变量，则将该矩阵项标记为M;3)对共享资源矩阵完成传递闭包操作;分析每个矩阵行，找出同时包含R和M的行，并删去其他矩阵行。当一个进程可以读一个变量且另一个进程可以写该变量时，如果写进程的安全级支配读进程的安全级，就可能产生潜在的隐蔽通道。
[0025]步骤120、监控用户对所述数据库对象的操作是否满足设定扩展规则。
[0026]其中，所述设定扩展规则包括:用户对同一个或同一组数据库对象进行多次重复操作。例如，同一用户在一个时间段内，反复做同样的操作，如建立同样表名的表。还可能是有一个用户在每隔5秒钟建立一个表，若建立一个表则在随后的下一个5秒钟的时间段内执行删除这个表的操作。以及，还可能是有一个用户每隔5秒钟对一个表进行插入操作，且插入同样的数据，如果有插入操作则在随后的下一个5秒钟的时间段内却删除这个数据的操作。应当注意的是，对于设定扩展规则越全面及越合理，最后处理隐蔽信道的效果就越好。该设定扩展规则的设定不是一成不变的，而是随着研究的发展与经验的总结进行不断完善的。
[0027]终端监控用户操作数据库对象的方式及次数，以确定用户是否对同一个或同一组数据库对象进行多次重复操作。若终端监控到同一用户每隔5秒建立一个表a，在建立表a之后，在随后的下一个5秒钟的时间段内又执行删除该表a的操作。如此重复检查到多次建立数据表以及随后删除相应新建数据表的操作，则确定该用户对所述数据库对象的操作满足设定扩展规则。
[0028]步骤130、对满足设定扩展规则的操作按照设定方式进行试探性测试。
[0029]其中，试探性测试为终端在对隐蔽信道进行检测时，检测到有非正常操作的可能时，向该非正常操作对应的用户发送无逻辑信息或非正常信息的方式。终端在检测到满足设定规则的操作完成后，返回无逻辑或非正常信息给用户以进行试探性测试。例如，终端在检测到用户重复创建数据表及删除新创建的数据表的操作，检测到设定次数的创建数据表的操作之后，若再次检测都用户创建数据表的操作，则在创建操作完成后，无论创建操作是成功或失败，终端对应于该创建操作向用户返回如“你好，楼下有你快递”或“ahuifahaf”等无逻辑或非正常信息。
[0030]终端检测用户输入的信息是否为所述无逻辑或非正常信息的响应信息。终端在返回上述无逻辑或非正常信息后，检测用户的响应信息。若用户输入的信息是所述无逻辑或非正常信息的响应信息，则确定该用户通过所述试探性测试;若用户输入的信息是重复对同一个或同一组数据库对象的操作，则确定该用户未通过所述试探性测试。例如:如果上述创建数据表a的用户是正常用户，则当该正常用户接收到终端返回的无逻辑或非正常信息时，他应该会立即重复做创建数据库表a的操作，而不是按原操作模式执行删除数据表a的操作。终端可以根据用户的响应信息确定该用户是正常用户还是非正常用户。
[0031]步骤140、将未通过所述试探性测试的操作确定为隐蔽信道通信的异常操作。
[0032]终端检测用户对所述试探性测试的响应信息(下一时刻的操作)，若用户未响应所述试探性测试，而是继续执行重复对同一个或同一组数据库对象的操作，则确定该用户为非正常用户，该用户的操作为隐蔽信道的异常操作。例如，终端在检测到用户多次向同一数据库中重复插入数据表b及删除新插入的数据表b的操作，检测到设定次数的向同一数据库插入数据表b的操作之后，若再次检测都用户向同一数据库插入数据表b的操作，则在插入数据表b的操作完成后，无论插入数据表b的操作是成功或失败，终端对该用户进行试探性测试，即返回如“你好，楼下有你快递”的信息。终端检测用户输入的响应信息，若该用户不响应该信息，继续执行删除数据表b的操作，则确定该用户未通过所述试探性测试，该用户的向同一数据库插入及删除数据表的操作为隐蔽信道通信的异常操作。
[0033]本实施例的技术方案，通过确定可能被用户利用进行隐蔽通信的数据库对象;监控用户对所述数据