防止數據泄露是網絡安全領域的核心需求之一����。在關系數據庫中檢測潛在的數據泄露,不僅要求成功識別出數據庫中的可疑行為�,同時也要避免頻繁的誤報警�。后者不僅可能給運維工作大大增加負擔�,而且還會為識別真正的可疑數據訪問造成障礙。
Imperva在最新發(fā)布的CounterBreach解決方案中提出����,精準檢測數據訪問違規(guī)的關鍵在于深度理解數據庫的類型。異常行為檢測的成功之匙�,藏在數據庫背后的故事當中。
作為精確檢測的前提��,我們需要回答:數據庫的目的是什么?我們期待用戶在數據庫中執(zhí)行何種行為?我們能從數據庫的數據中讀出什么?要想回答這些問題��,我們就必須理解數據庫的類型����,包括用戶類型、數據類型和數據庫類型����。
OLTP與OLAP
在關系數據庫的世界里,存在兩種系統類型��。第一種是在線交易處理(OLTP)�����,第二種是在線分析處理(OLAP)。兩種處理類型的功能相似���,而目的不同����。
OLTP系統在商業(yè)應用中使用��。發(fā)生在這些數據庫中的查詢是簡單的�����、短時的在線交易��,數據實時更新����。OLTP的常見例子是零售���、金融交易和訂單輸入系統���。
OLAP系統在數據庫環(huán)境中使用,目的是有效分析數據,允許用戶從數據中發(fā)掘趨勢����、運算數字、提取意義���。OLAP系統廣泛應用于數據挖掘領域���,數據是歷史化的。又因為數字處理通常涉及很大的數據集合��,所以與數據庫的交互持續(xù)時間也更長�。另外,OLAP數據庫的交互(SQL查詢)形態(tài)也不可提前預知��。
數據庫特征與訪問模式
OLTP和OLAP數據系統的不同性質決定了在用戶訪問模式和數據特征變化上的差異��。
我們期待OLTP的用戶通過應用交互界面訪問儲存在數據庫中的商業(yè)應用數據�,交互式(或人類)用戶不應直接通過數據庫訪問數據。而OLAP的情況則不同�。商業(yè)智能(BI)用戶和分析師需要直接訪問數據庫中的數據,以制作報告��、進行分析并操作數據��。
為了明確區(qū)分兩種數據處理類型,Imperva研究團隊在數十家企業(yè)客戶的支持下��,利用他們的真實數據庫����,集中分析了OLTP和OLAP的數據訪問模式和數據特征。在四周的時間里����,借助SecureSphere收集觀測數據,利用CounterBreach整合洞察結論����,確認了兩種數據庫類型的差異。
在四周時間里���,在OLTP中幾乎沒有新的交互式(或人類)用戶訪問�,而OLAP數據庫則正好相反;OLTP中新增的業(yè)務數據表數量很小�,而在OLAP中的數量則高出很多����?偨Y而言���,OLTP的數據表是相對穩(wěn)定的;而OLAP系統中則產生了很多新表���。OLAP中存儲的數據是歷史化數據���,ETL(抽取、轉化�、加載)過程會定期(每小時/每天/每周)上傳數據,并對數據庫中的數據進行操作�。而絕大多數情況下,數據都要上傳到這些新表之中�����。
CounterBreach基于理解推出最佳檢測方案
最新發(fā)布的Imperva CounterBreach進一步增加了對于數據庫類型的理解���,并把數據庫類型納入它的檢測方法之中����。通過整合OLTP和OLAP的差異��,大大提升了可疑數據訪問的檢測水平��������;贗mperva研究團隊的研究成果��,CounterBreach根據交互式用戶訪問數據庫的模式����,利用機器學習技術為數據庫分類。結合對數據庫類型的理解����,CounterBreach得以確定檢測可疑行為的最佳方案。
在OLTP系統中運行的數據庫�,CounterBreach檢測并報警任何交互用戶對商業(yè)應用數據的異常訪問;而在OLAP系統中,訪問商業(yè)應用數據是交互式用戶的日常工作���,所以CounterBreach不會報警這些合法的行為��。在這些系統中����,它會讓BI用戶正常工作���,而使用其它的指標來檢測數據濫用����,比如從數據庫的商業(yè)應用表中提取的數量異常的記錄�����。這能夠保證數據驅動的商業(yè)進程不受干擾���,并減少誤警報�。
Imperva的數據科學家還在繼續(xù)研究并識別更多區(qū)分OLTP和OLAP系統的特征�。這些特征超越了交互式用戶訪問數據庫和數據的模式層面,囊括了數據庫中表的名字�����、用來訪問數據庫的源應用���、ETL過程���,數據庫操作之間的多樣性、不同實體訪問數據庫的比例等等方面����。不斷拓展的研究成果���,將推動檢測準確度的進一步優(yōu)化。對于數據庫更深的理解�����,讓潛在的數據泄露無處藏身����。
京公網安備 11010502041587號