本发明专利技术公开了一种云端数据库中敏感信息随机化拟态方法,借助于本发明专利技术方法,不但可以将攻击者收集的真实敏感信息的内容基于随机化拟态算法进行替换,而且替换后的拟态敏感信息严格按照真实敏感信息的格式和上下文语法进行生成,可令攻击者误以为其获得了真实的敏感信息,从而一定程度上增加其攻击成本。合法用户不会对此类敏感信息有需求或需要一系列标准的授权过程,所以本发明专利技术不会对合法用户的使用造成影响。
【技术实现步骤摘要】
本专利技术涉及信息安全
,尤其涉及。
技术介绍
目前,随着云计算技术的日益发达,众多普通用户会将其个人资料以及各类的账户密码等敏感信息存放在大中小型企业的云端数据库。然而,各类企业在安全上的技术水平参差不齐,导致云数据库的架构与配置往往存在大量漏洞,当恶意的攻击者借助于某些攻击方法(如SQL注入攻击、爬虫攻击等),即可较为轻易地对数据库内部的用户敏感信息进行收集,给广大正常用户带来经济上的严重损失或个人隐私的泄露。现有的技术大多采取将敏感信息在云端数据库内加密保存,然而考虑到各类加密算法的公开性,一旦攻击者获取到敏感信息的密文形式,通过穷举法等方式即可破解出敏感信息的明文形式,即造成敏感信息的泄露。
技术实现思路
为了克服当前云端数据库存在的敏感信息泄露的问题,本专利技术提供一种敏感信息随机化拟态方法。借助于本专利技术方法,不但可以将攻击者收集的真实敏感信息的内容基于随机化拟态算法进行替换,而且替换后的拟态敏感信息严格按照真实敏感信息的格式和上下文语法进行生成,可令攻击者误以为其获得了真实的敏感信息,从而一定程度上增加其攻击成本。合法用户不会对此类敏感信息有需求或需要一系列标准的授权过程,所以本专利技术不会对合法用户的使用造成影响。本专利技术解决以上问题所采用的技术方案是:,包括以下步骤:(I)在云端数据库所在的服务器所对应的应用层网关中向数据库管理员提供配置接口,该接口用于制定判定经过网关的内容是否为敏感信息的规则;将某一类的敏感信息用一个正则表达式表示,管理员只需在相应的配置文件中书写目标正则表达式即可;此处将敏感信息判别正则表达集合用向量R= Ir1, r2,r3,…,rk,…,rn}表示,其中rk表示第k个敏感信息判别正则表达式,该向量的维度为η ;(2)当恶意攻击者利用工具从云端数据库采集敏感信息时,应用层网关根据配置文件的内容进行随机化拟态处理,该步骤通过以下子步骤来实现:(2.1)云端数据库经过网关的响应内容具体表现形式为HTTP包体,其包含若干用户真实敏感信息,用textMal表示;当text Mal经过网关,网关读取配置文件内容,将text real作为主串,敏感信息判别正则表达集合R中的每一个元素作为模式串,利用KMP算法进行匹配查询;匹配的过程基于正则表达式regex引擎库中的regex.1smatch函数,查找到主串中需要替换的字符串集合,用OBJ = 1bj1, obj2, obj3,…,objk,…,objj表示,其中,m表示需要替换字符串的数量,并且由KMP算法生成的每一个Objk对应一个三维数组mark = {loc,len,i},其中1c表示ob jk原来在text Mal中的位置、Ien表示obj k的字符串长度,i表示objk所依赖的规则r 1在R中的次序;(2.2)将OBJ= 1bj1, obj2, obj3,…,objk,…,objj中的每一个元素基于正则表达式regex引擎库中regex.StringRand函数产生一个随机的字符串,所依赖的正则表达式即为η,最终替换为经过随机化拟态处理过后的虚假敏感信息,用TAR = Itar1, tar2, tar3,…,tarm}表不;(2.3)将TAR中的元素依次取代text,eal中相应OBJ中的元素的原有内容,其位置和长度根据预先生成的三维数组mark,在相同位置替换相同长度的字符串,即:textMal*的objk--->tark;最终生成虚假的HTTP协议包体text false;(3)通过网关将虚假的HTTP协议包体textf—返还给恶意的攻击者。本专利技术的有益效果是:(I)可以将用户存储在云数据库中的敏感信息进行有效的随机动态保护,克服了传统的防护方法中静态加密简单直接、易被破解的问题。(2)对恶意攻击者具有错误的引导作用。通过本专利技术的保护,攻击者得到似是而非的虚假用户敏感信息,对其造成迷惑的效果,一定程度上增加其攻击所用成本。【附图说明】图1是本专利技术的总架构图。图2是本专利技术的总流程图。【具体实施方式】下面以一个真实攻击场景为背景,结合图1和图2,通过一个应用随机化拟态方法的实例详细描述本专利技术。如图1所示,本专利技术方法将随机化拟态方法固化或植入到云端数据库所在的服务器所对应的应用层Nginx网关中。攻击者向服务器发送HTTP请求后,服务器的HTTP响应包头与包体会经过该应用层网关,对包体内容进行随机化拟态,最后将虚假的包体内容返还给恶意攻击者。具体包括以下步骤:(I)在云端数据库所在的服务器所对应的应用层网关中向数据库管理员提供配置接口,该接口用于制定判定经过网关的内容是否为敏感信息的规则;将某一类的敏感信息用一个正则表达式表示,管理员只需在相应的配置文件中书写目标正则表达式即可;此处将敏感信息判别正则表达集合用向量R= Ir1, r2,r3,…,rk,…,rn}表示,其中rk表示第k个敏感信息判别正则表达式,该向量的维度为η;并且敏感信息判别正则表达集合可以随着使用过程中迭代更新。(2)如图2所示,当恶意攻击者利用Sqlmap工具从云端数据库采集敏感信息时,应用层网关根据配置文件的内容进行随机化拟态处理,该步骤通过以下子步骤来实现:(2.1)云端数据库经过网关的响应内容具体表现形式为HTTP包体,其带有真实敏感信息,用text,eal表示,HTTP包体包含若干用户密码的md5加密后的结果。当text ,eal经过网关,网关读取配置文件内容,将textMal作为主串,敏感信息判别正则表达集合R中的每一个元素作为模式串(本实例应用 {32,32}这一正则表达式),利用KMP算法进行匹配查询。匹配的过程基于正则表达式regex引擎库中的regex.1smatch函数,查找到主串中需要替换的字符串集合,用OBJ= (Obj1, Obj2, Obj3,…,objk,…,objm}表示,其中,m表示需要替换字符串的数量,并且由KMP算法生成的每一个objk对应一个三维数组mark={loc,len, i},其中1c表示objk原来在text raal中的位置、Ien表示obj k的字符串长度,i表示Objk所依赖的规则r 1在R中的次序。(2.2)将 OBJ = 1bj1, obj2, obj3,…,objk,…,objj 中的每一个元素基于正则表达式regex引擎库中regex.StringRand函数产生一个随机的字符串,所依赖的正则表达式即为IV如Obj1S 5f4dcc3b5aa765d61d8327deb882cf99,所依赖的正则表达式即为 {32,32},最终替换为经过随机化拟态处理过后的虚假敏感信息,用TAR =Itar1, tar2, tar3,…,tarj 表不,根据 Obj1,生成 tar^ 3el4537bd41a69f42ala6b7823fc2649o(2.3)将TAR中的元素依次取代text,eal中相应OBJ中的元素的原有内容,其位置和长度根据预先生成的三维数组mark,在相同位置替换相同长度的字符串,即:textMal*的objk--->tarko最终生成虚假的HTTP协议包体textfalse。(3)通过网关将虚假的HTTP协议包体仏^^%返还给恶意的攻击者。【主本文档来自技高网...
【技术保护点】
一种云端数据库中敏感信息随机化拟态方法,其特征在于,包括以下步骤:(1)在云端数据库所在的服务器所对应的应用层网关中向数据库管理员提供配置接口,该接口用于制定判定经过网关的内容是否为敏感信息的规则;将某一类的敏感信息用一个正则表达式表示,管理员只需在相应的配置文件中书写目标正则表达式即可;此处将敏感信息判别正则表达集合用向量R={r1,r2,r3,…,rk,…,rn}表示,其中rk表示第k个敏感信息判别正则表达式,该向量的维度为n;(2)当恶意攻击者利用工具从云端数据库采集敏感信息时,应用层网关根据配置文件的内容进行随机化拟态处理,该步骤通过以下子步骤来实现:(2.1)云端数据库经过网关的响应内容具体表现形式为HTTP包体,其包含若干用户真实敏感信息,用textreal表示;当textreal经过网关,网关读取配置文件内容,将textreal作为主串,敏感信息判别正则表达集合R中的每一个元素作为模式串,利用KMP算法进行匹配查询;匹配的过程基于正则表达式regex引擎库中的regex.Ismatch函数,查找到主串中需要替换的字符串集合,用OBJ={obj1,obj2,obj3,…,objk,…,objm}表示,其中,m表示需要替换字符串的数量,并且由KMP算法生成的每一个objk对应一个三维数组mark={loc,len,i},其中loc表示objk原来在textreal中的位置、len表示objk的字符串长度,i表示objk所依赖的规则ri在R中的次序;(2.2)将OBJ={obj1,obj2,obj3,…,objk,…,objm}中的每一个元素基于正则表达式regex引擎库中regex.StringRand函数产生一个随机的字符串,所依赖的正则表达式即为ri,最终替换为经过随机化拟态处理过后的虚假敏感信息,用TAR={tar1,tar2,tar3,…,tarm}表示;(2.3)将TAR中的元素依次取代textreal中相应OBJ中的元素的原有内容,其位置和长度根据预先生成的三维数组mark,在相同位置替换相同长度的字符串,即:textreal中的objk‑‑‑>tark;最终生成虚假的HTTP协议包体textfalse;(3)通过网关将虚假的HTTP协议包体textfalse返还给恶意的攻击者。...
【技术特征摘要】
【专利技术属性】
技术研发人员:吴春明,邢骏驰,
申请(专利权)人:浙江大学,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。