Imperva創(chuàng)新數(shù)據(jù)安全理念：理解是保護(hù)的前提

　　防止數(shù)據(jù)泄露是網(wǎng)絡(luò)安全領(lǐng)域的核心需求之一。在關(guān)系數(shù)據(jù)庫(kù)中檢測(cè)潛在的數(shù)據(jù)泄露，不僅要求成功識(shí)別出數(shù)據(jù)庫(kù)中的可疑行為，同時(shí)也要避免頻繁的誤報(bào)警。后者不僅可能給運(yùn)維工作大大增加負(fù)擔(dān)，而且還會(huì)為識(shí)別真正的可疑數(shù)據(jù)訪問(wèn)造成障礙。

　　Imperva在最新發(fā)布的CounterBreach解決方案中提出，精準(zhǔn)檢測(cè)數(shù)據(jù)訪問(wèn)違規(guī)的關(guān)鍵在于深度理解數(shù)據(jù)庫(kù)的類(lèi)型。異常行為檢測(cè)的成功之匙，藏在數(shù)據(jù)庫(kù)背后的故事當(dāng)中。

　　作為精確檢測(cè)的前提，我們需要回答：數(shù)據(jù)庫(kù)的目的是什么?我們期待用戶在數(shù)據(jù)庫(kù)中執(zhí)行何種行為?我們能從數(shù)據(jù)庫(kù)的數(shù)據(jù)中讀出什么?要想回答這些問(wèn)題，我們就必須理解數(shù)據(jù)庫(kù)的類(lèi)型，包括用戶類(lèi)型、數(shù)據(jù)類(lèi)型和數(shù)據(jù)庫(kù)類(lèi)型。

　　OLTP與OLAP

　　在關(guān)系數(shù)據(jù)庫(kù)的世界里，存在兩種系統(tǒng)類(lèi)型。第一種是在線交易處理(OLTP)，第二種是在線分析處理(OLAP)。兩種處理類(lèi)型的功能相似，而目的不同。

　　OLTP系統(tǒng)在商業(yè)應(yīng)用中使用。發(fā)生在這些數(shù)據(jù)庫(kù)中的查詢是簡(jiǎn)單的、短時(shí)的在線交易，數(shù)據(jù)實(shí)時(shí)更新。OLTP的常見(jiàn)例子是零售、金融交易和訂單輸入系統(tǒng)。

　　OLAP系統(tǒng)在數(shù)據(jù)庫(kù)環(huán)境中使用，目的是有效分析數(shù)據(jù)，允許用戶從數(shù)據(jù)中發(fā)掘趨勢(shì)、運(yùn)算數(shù)字、提取意義。OLAP系統(tǒng)廣泛應(yīng)用于數(shù)據(jù)挖掘領(lǐng)域，數(shù)據(jù)是歷史化的。又因?yàn)閿?shù)字處理通常涉及很大的數(shù)據(jù)集合，所以與數(shù)據(jù)庫(kù)的交互持續(xù)時(shí)間也更長(zhǎng)。另外，OLAP數(shù)據(jù)庫(kù)的交互(SQL查詢)形態(tài)也不可提前預(yù)知。

　　數(shù)據(jù)庫(kù)特征與訪問(wèn)模式

　　OLTP和OLAP數(shù)據(jù)系統(tǒng)的不同性質(zhì)決定了在用戶訪問(wèn)模式和數(shù)據(jù)特征變化上的差異。

　　我們期待OLTP的用戶通過(guò)應(yīng)用交互界面訪問(wèn)儲(chǔ)存在數(shù)據(jù)庫(kù)中的商業(yè)應(yīng)用數(shù)據(jù)，交互式(或人類(lèi))用戶不應(yīng)直接通過(guò)數(shù)據(jù)庫(kù)訪問(wèn)數(shù)據(jù)。而OLAP的情況則不同。商業(yè)智能(BI)用戶和分析師需要直接訪問(wèn)數(shù)據(jù)庫(kù)中的數(shù)據(jù)，以制作報(bào)告、進(jìn)行分析并操作數(shù)據(jù)。

　　為了明確區(qū)分兩種數(shù)據(jù)處理類(lèi)型，Imperva研究團(tuán)隊(duì)在數(shù)十家企業(yè)客戶的支持下，利用他們的真實(shí)數(shù)據(jù)庫(kù)，集中分析了OLTP和OLAP的數(shù)據(jù)訪問(wèn)模式和數(shù)據(jù)特征。在四周的時(shí)間里，借助SecureSphere收集觀測(cè)數(shù)據(jù)，利用CounterBreach整合洞察結(jié)論，確認(rèn)了兩種數(shù)據(jù)庫(kù)類(lèi)型的差異。

　　在四周時(shí)間里，在OLTP中幾乎沒(méi)有新的交互式(或人類(lèi))用戶訪問(wèn)，而OLAP數(shù)據(jù)庫(kù)則正好相反;OLTP中新增的業(yè)務(wù)數(shù)據(jù)表數(shù)量很小，而在OLAP中的數(shù)量則高出很多�？偨Y(jié)而言，OLTP的數(shù)據(jù)表是相對(duì)穩(wěn)定的;而OLAP系統(tǒng)中則產(chǎn)生了很多新表。OLAP中存儲(chǔ)的數(shù)據(jù)是歷史化數(shù)據(jù)，ETL(抽取、轉(zhuǎn)化、加載)過(guò)程會(huì)定期(每小時(shí)/每天/每周)上傳數(shù)據(jù)，并對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行操作。而絕大多數(shù)情況下，數(shù)據(jù)都要上傳到這些新表之中。

　　CounterBreach基于理解推出最佳檢測(cè)方案

　　最新發(fā)布的Imperva CounterBreach進(jìn)一步增加了對(duì)于數(shù)據(jù)庫(kù)類(lèi)型的理解，并把數(shù)據(jù)庫(kù)類(lèi)型納入它的檢測(cè)方法之中。通過(guò)整合OLTP和OLAP的差異，大大提升了可疑數(shù)據(jù)訪問(wèn)的檢測(cè)水平�；�于Imperva研究團(tuán)隊(duì)的研究成果，CounterBreach根據(jù)交互式用戶訪問(wèn)數(shù)據(jù)庫(kù)的模式，利用機(jī)器學(xué)習(xí)技術(shù)為數(shù)據(jù)庫(kù)分類(lèi)。結(jié)合對(duì)數(shù)據(jù)庫(kù)類(lèi)型的理解，CounterBreach得以確定檢測(cè)可疑行為的最佳方案。

　　在OLTP系統(tǒng)中運(yùn)行的數(shù)據(jù)庫(kù)，CounterBreach檢測(cè)并報(bào)警任何交互用戶對(duì)商業(yè)應(yīng)用數(shù)據(jù)的異常訪問(wèn);而在OLAP系統(tǒng)中，訪問(wèn)商業(yè)應(yīng)用數(shù)據(jù)是交互式用戶的日常工作，所以CounterBreach不會(huì)報(bào)警這些合法的行為。在這些系統(tǒng)中，它會(huì)讓BI用戶正常工作，而使用其它的指標(biāo)來(lái)檢測(cè)數(shù)據(jù)濫用，比如從數(shù)據(jù)庫(kù)的商業(yè)應(yīng)用表中提取的數(shù)量異常的記錄。這能夠保證數(shù)據(jù)驅(qū)動(dòng)的商業(yè)進(jìn)程不受干擾，并減少誤警報(bào)。

　　Imperva的數(shù)據(jù)科學(xué)家還在繼續(xù)研究并識(shí)別更多區(qū)分OLTP和OLAP系統(tǒng)的特征。這些特征超越了交互式用戶訪問(wèn)數(shù)據(jù)庫(kù)和數(shù)據(jù)的模式層面，囊括了數(shù)據(jù)庫(kù)中表的名字、用來(lái)訪問(wèn)數(shù)據(jù)庫(kù)的源應(yīng)用、ETL過(guò)程，數(shù)據(jù)庫(kù)操作之間的多樣性、不同實(shí)體訪問(wèn)數(shù)據(jù)庫(kù)的比例等等方面。不斷拓展的研究成果，將推動(dòng)檢測(cè)準(zhǔn)確度的進(jìn)一步優(yōu)化。對(duì)于數(shù)據(jù)庫(kù)更深的理解，讓潛在的數(shù)據(jù)泄露無(wú)處藏身。