Details

Целью работы является повышение точности обнаружения атак на конфиденциальность данных в СУБД с помощью поведенческого анализа. Объектом исследования являются системы обнаружения вторжений в СУБД. Задачи, решаемые в ходе исследования: 1. Проанализировать подходы к защите от атак, направленных на нарушение конфиденциальности данных в СУБД; 2. Разработать способ обнаружения рассматриваемых атак в СУБД с использованием поведенческого анализа; 3. Сформировать набор данных для обучения и тестирования модуля машинного обучения; 4. Разработать и протестировать программный прототип. В ходе работы были исследованы методы защиты от атак на конфиденциальность данных в СУБД и их применение в реализации СОВ на основе поведенческого анализа. Были проанализированы современные исследования в области обеспечения безопасности данных в СУБД. В результате работы был разработан программный компонент для выявления аномалий в поведении пользователей, который был протестирован на различных сценариях атак на СУБД. Была продемонстрирована эффективность компонента и сделан вывод, что подход на основе анализа поведения данных является перспективным направлением для изучения. Полученные результаты могут быть использованы в качестве основы для проектирования СОВ в СУБД. Для достижения данных результатов был разработан прототип СОВ для СУБД PostgreSQL, использующий модель машинного обучения LOF для определения аномального поведения.

The purpose of the study is to enhance the accuracy of detecting data confidentiality attacks in DBMS using behavioral analysis. The object of the work is intrusion detection systems for DBMS. The research set the following goals: 1. Analyze approaches to protection against attacks aimed at violating the confidentiality of data in the DBMS; 2. Developing a method for detecting the studied attacks in DBMS using behavioral analysis; 3. Creating a dataset for training and testing a machine learning module; 4. Designing and testing a software prototype. The study examined methods of protecting against data confidentiality attacks in DBMS and their application in implementing a behavior-based IDS. Current research in the field of DBMS data security was analyzed. As a result of the work, a software component for detecting user behavior anomalies was developed and tested on various DBMS attack scenarios. The effectiveness of the component was demonstrated, and it was concluded that the data behavior analysis approach is a promising direction for further research. The obtained results can serve as a basis for designing IDS in DBMS. To achieve these results, a prototype IDS for PostgreSQL DBMS was developed, utilizing the LOF machine learning model to detect anomalous behavior.

• РЕФЕРАТ
• ABSTRACT
• Содержание
• Определения, обозначения и сокращения
• введение
• 1 Анализ подходов к защите от атак на конфиденциальность данных в СУБД
  • 1.1 Систематизация угроз и атак на СУБД
  • 1.2 Виды систем обнаружения вторжений
    • 1.2.1 Обнаружение сигнатур
    • 1.2.2 Обнаружение аномалий
  • 1.3 Подходы к обнаружению атак на основе поведенческого анализа
    • 1.3.1 Контекст-ориентированный подход
    • 1.3.2 Синтакс-ориентированный подход
    • 1.3.3 Дата-ориентированный подход
  • 1.4 Сопоставление атак и подходов
• 2 Разработка способа обнаружения атак на субд
  • 2.1 Анализ взаимосвязей запросов на основе возвращаемой выборки
    • 2.1.1 Метрики, основанные на анализе данных
      • 2.1.1.1 Коэффициент Жаккара
      • 2.1.1.2 Метрика уникальности
      • 2.1.1.3 Количество запросов и записей
      • 2.1.1.4 Пример расчета метрик
    • 2.1.2 Метрики, основанные на анализе синтаксиса запроса
  • 2.2 Модуль принятия решений об аномальности запроса
    • 2.2.1 Выбор подхода обнаружения аномалий
    • 2.2.2 Local Outlier Factor
  • 2.3 Схема разработанного способа
  • 2.4 Вывод
• 3 Формирование набора данных
  • 3.1 Создание базы данных
  • 3.2 Генерация наборов пользовательских запросов
    • 3.2.1 Формирование профиля нормального поведения пользователя
    • 3.2.2 Формирование наборов аномального поведения пользователя
      • 3.2.2.1 Обращение к нетипичным для пользователя данным
      • 3.2.2.2 Обращение к нетипичным таблицам и атрибутам
      • 3.2.2.3 Массовый сбор данных
  • 3.3 Вывод
• 4 Реализация и тестирование прототипа системы обнаружения вторжений
  • 4.1 Описание работы прототипа
    • 4.1.1 Извлечение метаданных целевой базы данных
    • 4.1.2 Предобработка пользовательского запроса
    • 4.1.3 Синтаксический анализ пользовательского запроса
    • 4.1.4 База знаний профилей пользователей
      • 4.1.4.1 Заполнение базы знаний
      • 4.1.4.2 Использование базы знаний
    • 4.1.5 Вычисление дата-ориентированных метрик
    • 4.1.6 Использование модели машинного обучения
  • 4.2 Результаты работы
• заключение
• список использованных источников
• ПРИЛОЖЕНИЕ 1. генератор sql-запросов
• ПРИЛОЖЕНИЕ 2. извлечение схемы базы данных