一種隱蔽信道的操作檢測(cè)方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于數(shù)據(jù)庫(kù)安全技術(shù)領(lǐng)域���,尤其是涉及一種隱蔽信道的操作檢測(cè)方法及裝置�。
【背景技術(shù)】
[0002]隱蔽信道是指允許進(jìn)程以危害系統(tǒng)安全策略的方式傳輸信息的通信信道.我國(guó)的《計(jì)算機(jī)信息系統(tǒng)女全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)��。美國(guó)的《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》(TCSEC)似及國(guó)際標(biāo)準(zhǔn)化組織ISO在1999年發(fā)布的《信息技術(shù)女全評(píng)估通用準(zhǔn)則》(IS0/IEC 15408���,簡(jiǎn)稱CC標(biāo)準(zhǔn))[3]都對(duì)隱蔽信道分析提出了明確的規(guī)定.要求高等級(jí)信息系統(tǒng)(GB17859-1999第四級(jí)�����,TCSEC中B2級(jí)以上)必須進(jìn)行隱蔽信道分析���,在識(shí)別隱蔽信道的基礎(chǔ)上,對(duì)隱蔽信道進(jìn)行度量和處置.
[0003]隱蔽信道的概念最初是Lampson在1973年提出�����,其給出的隱蔽信道定義為:不是被設(shè)計(jì)或本意不是用來傳輸信息的通信信道.在這篇開創(chuàng)性的文章里�,Lampson關(guān)注于程序的限制問題,即如何在程序的執(zhí)行過程中進(jìn)行限制�����,使其不能向其他未授權(quán)的程序傳輸信息.他列舉了惡意或行為不當(dāng)?shù)某绦蚶@過限制措施�,泄露數(shù)據(jù)的6種方法和相應(yīng)的處理措施,并把這些方法歸納為3種類型:存儲(chǔ)信道,合法信道和“隱蔽信道”�����。
[0004]合法信道則是一種閾下信道(subliminal channel)����,是公開信道中所建立的一種實(shí)現(xiàn)隱蔽通信的方式.信道中公開的、有意義的信息僅僅充當(dāng)了秘密信息的載體�,秘密信息通過它進(jìn)行傳輸.這種隱蔽傳輸信息的方式后來逐漸淡出了隱蔽信道研究的中心,形成了相對(duì)獨(dú)立的研究領(lǐng)域.
[0005]隱蔽信道分析工作包括信道識(shí)別����、度量和處置.信道識(shí)別是對(duì)系統(tǒng)的靜態(tài)分析,強(qiáng)調(diào)對(duì)設(shè)計(jì)和代碼進(jìn)行分析發(fā)現(xiàn)所有潛在的隱蔽信道.信道度量是對(duì)信道傳輸能力和威脅程度的評(píng)價(jià).信道處置措施包括信道消除���、限制和審計(jì).隱蔽信道消除措施包括修改系統(tǒng)�、排除產(chǎn)生隱蔽信道的源頭�、破壞信道的存在條件.限制措施要求將信道危害降低到系統(tǒng)能夠容忍的范圍內(nèi).但是��,并非所有的潛在隱蔽信道都能被入侵者實(shí)際利用����,如果對(duì)所有的潛在隱蔽信道進(jìn)行度量和處置會(huì)產(chǎn)生不必要的性能消耗,降低系統(tǒng)效率。
【發(fā)明內(nèi)容】
[0006]本發(fā)明實(shí)施例提供了一種隱蔽信道的操作檢測(cè)方法及裝置�����,以實(shí)現(xiàn)在低性能消耗的基礎(chǔ)上�,檢測(cè)隱蔽信道的操作的目的。
[0007]第一方面����,本發(fā)明實(shí)施例提供了一種隱蔽信道的操作檢測(cè)方法,所述方法包括:
[0008]將用戶操作的參數(shù)數(shù)據(jù)轉(zhuǎn)換為布爾型數(shù)據(jù)���;
[0009]對(duì)所述布爾型數(shù)據(jù)進(jìn)行頻繁項(xiàng)集挖掘��;
[0010]根據(jù)所述頻繁項(xiàng)集挖掘關(guān)聯(lián)規(guī)則�����;
[0011]依據(jù)關(guān)聯(lián)規(guī)則檢測(cè)用戶的操作���。
[0012]進(jìn)一步的,所述對(duì)所述布爾型數(shù)據(jù)進(jìn)行頻繁項(xiàng)集挖掘��,包括:
[0013]根據(jù)預(yù)設(shè)的最小支持度確定頻繁項(xiàng)集�。
[0014]進(jìn)一步的�����,所述根據(jù)所述頻繁項(xiàng)集挖掘關(guān)聯(lián)規(guī)則���,包括:
[0015]掃描頻繁項(xiàng)集;
[0016]計(jì)算頻繁項(xiàng)集的置信度��,并與預(yù)設(shè)的最小置信度進(jìn)行比較����,產(chǎn)生至少兩個(gè)規(guī)則頻繁項(xiàng)集;
[0017]對(duì)所述規(guī)則頻繁項(xiàng)集連接��、剪枝���,生成候選項(xiàng)集����;
[0018]將候選項(xiàng)集中的成員關(guān)系作為關(guān)聯(lián)規(guī)則�����。
[0019]更進(jìn)一步的�����,所述依據(jù)關(guān)聯(lián)規(guī)則檢測(cè)用戶的操作����,包括:
[0020]在所述用戶操作的參數(shù)數(shù)據(jù)不符合關(guān)聯(lián)規(guī)則時(shí),確定用戶的操作為隱蔽信道的非法操作��。
[0021]第二方面�����,本發(fā)明實(shí)施例提供了一種隱蔽信道的操作檢測(cè)裝置���,所述裝置包括:
[0022]數(shù)據(jù)轉(zhuǎn)換模塊�,用于將用戶操作的參數(shù)數(shù)據(jù)轉(zhuǎn)換為布爾型數(shù)據(jù)�;
[0023]挖掘模塊,用于對(duì)所述布爾型數(shù)據(jù)進(jìn)行頻繁項(xiàng)集挖掘����;
[0024]規(guī)則挖掘模塊,用于根據(jù)所述頻繁項(xiàng)集挖掘關(guān)聯(lián)規(guī)則���;
[0025]操作檢測(cè)模塊�����,用于依據(jù)關(guān)聯(lián)規(guī)則檢測(cè)用戶的操作��。
[0026]進(jìn)一步的����,所述挖掘模塊,用于:
[0027]根據(jù)預(yù)設(shè)的最小支持度確定頻繁項(xiàng)集�����。
[0028]進(jìn)一步的�,所述規(guī)則挖掘模塊,用于:
[0029]掃描頻繁項(xiàng)集�;
[0030]計(jì)算頻繁項(xiàng)集的置信度,并與預(yù)設(shè)的最小置信度進(jìn)行比較��,產(chǎn)生至少兩個(gè)規(guī)則頻繁項(xiàng)集���;
[0031 ]對(duì)所述規(guī)則頻繁項(xiàng)集連接��、剪枝����,生成候選項(xiàng)集���;
[0032]將候選項(xiàng)集中的成員關(guān)系作為關(guān)聯(lián)規(guī)則����。
[0033]進(jìn)一步的�,所述操作檢測(cè)模塊,用于:
[0034]在所述用戶操作的參數(shù)數(shù)據(jù)不符合關(guān)聯(lián)規(guī)則時(shí)�,確定用戶的操作為隱蔽信道的非法操作。
[0035]采用本發(fā)明實(shí)施例所提供的技術(shù)方案���,通過對(duì)用戶操作的參數(shù)數(shù)據(jù)進(jìn)行綜合統(tǒng)計(jì)����,獲取用戶操作參數(shù)數(shù)據(jù)的關(guān)聯(lián)規(guī)則;并根據(jù)關(guān)聯(lián)規(guī)則判斷用戶的操作是否為隱蔽信道的操作�����?��?梢詿o需大規(guī)模運(yùn)算即可實(shí)現(xiàn)對(duì)隱蔽信道的操作進(jìn)行檢測(cè)���,而且準(zhǔn)確率較高�,極大地提升了性能�。
【附圖說明】
[0036]為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹�����,顯而易見地�����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)性的前提下��,還可以根據(jù)這些附圖獲得其他的附圖����。
[0037]圖1是本發(fā)明第一實(shí)施例提供的隱蔽信道的操作檢測(cè)方法的流程示意圖;
[0038]圖2是本發(fā)明第二實(shí)施例提供的隱蔽信道的操作檢測(cè)裝置的結(jié)構(gòu)示意圖���。
【具體實(shí)施方式】
[0039]下面將結(jié)合本發(fā)明實(shí)施例中的附圖�,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述���,顯然�����,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例����。基于本發(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�����,都屬于本發(fā)明保護(hù)的范圍��。
[0040]圖1是本發(fā)明第一實(shí)施例提供的隱蔽信道的操作檢測(cè)方法的流程示意圖��,所述方法依靠相應(yīng)的裝置來實(shí)現(xiàn)���。所述裝置可由軟件/硬件實(shí)現(xiàn),并一般集成于數(shù)據(jù)庫(kù)中。
[0041]參見圖1�,所述隱蔽信道的操作檢測(cè)方法,包括:
[0042]步驟S101����,將用戶操作的參數(shù)數(shù)據(jù)轉(zhuǎn)換為布爾型數(shù)據(jù)。
[0043]在用戶作數(shù)據(jù)操作時(shí)�,會(huì)涉及到各種參數(shù)狀態(tài),如做一個(gè)操作后�,進(jìn)行下一操作的時(shí)間間隔;一個(gè)操作返回錯(cuò)誤后�����,用戶的反應(yīng)時(shí)間�;進(jìn)行下一操作的類型;用戶在短時(shí)間內(nèi)作出大量操作的時(shí)間間隔長(zhǎng)度���;用戶對(duì)同一數(shù)據(jù)庫(kù)對(duì)象的操作次數(shù)��;用戶對(duì)同一數(shù)據(jù)庫(kù)對(duì)象的操作類型等��。
[0044]這些參數(shù)可能某些是有關(guān)聯(lián)性的�,這種關(guān)聯(lián)反應(yīng)正常用戶的正常操作模式��。可以利用關(guān)聯(lián)規(guī)則挖掘的方法分析大量正常用戶的正常操作��,從而總結(jié)出正常用戶的正常操作數(shù)據(jù)庫(kù)的模式���。
[0045]由于關(guān)聯(lián)規(guī)則挖