基于条件随机场的MYSQL数据库强制访问控制自适应优化方法技术

本发明专利技术公开了一种针对具有强制访问控制策略的改进了的MYSQL安全数据库的系统访问日志进行处理和分析，对系统运行过程中发生的漏洞和危险事件进行人工标注，提取特征值，定义特征模版，并通过设置不同的模型参数来调整和验证CRFs-BLP模型的正确性和合理性，然后通过标注结果分析与挖掘出系统现有安全策略规则设置上的缺陷，进而修正用户的相关访问权限，以增强数据库系统的安全感知和自我修复能力。本发明专利技术提出的强制访问控制策略以达到B1级别安全；其F值达到了93％以上，具有一定的实际意义。

【技术实现步骤摘要】

本专利技术属于数据安全领域，尤其涉及一种基于条件随机场的MYSQL数据库强制访问控制自适应优化方法。
技术介绍
随着各种网络威胁不断增多，信息系统对安全的需求越来越迫切，人们逐渐意识到安全而高效的访问控制技术对于复杂系统的重要性。访问控制通过限制系统中主体对敏感数据和关键资源的访问来避免因非法用户访问或合法用户的失误操作而带来的安全隐患。目前国内外对访问控制技术的研究很多，从传统的访问控制如DAC、MAC和RBAC到其它各种访问控制机制，该技术已愈来愈适合现代社会发展的需求。从20世纪六、七十年代开始，访问控制技术就逐渐发展起来，它最初的目的主要是解决数据安全共享问题。访问控制机制是保护数据安全的重要途径之一，使用某种方式显式的限制用户对系统资源的访问范围和权限，以此约束用户对系统中某些特定资源的越权访问，从而避免不合法用户的非法访问或者因合法用户的失误操作而导致的安全问题，以保证系统资源在受控的状态下被正常访问。访问控制主要可以用于限定：合法用户对非法资源的访问、非法用户对合法资源的访问和合法用户允许访问的资源范围。其核心部分就是访问控制策略的制定，策略主要是确定用户访问系统资源时必须遵循的规则，只有得到了授权的用户才可以在系统中进行相应合法操作。由于网络技术不断发展、交替变更，自主访问控制DAC(DiscretionaryAccessControlpolicy)、强制访问控制MAC(MandatoryAccessControl)和基于角色的访问控制RBAC(Role-BasedAccessControl)等主流访问控制技术已经在各个领域得到了充分应用。此外数据库技术作为目前信息系统的核心技术之一，已经被广泛应用于各行各业，主要用于对数据进行有效管理、存储和处理。尤其是在政府、军事、公安等机要部门以及金融、证券等重要经济部门有着广泛的应用，这些部门通常对数据的安全性要求都比较高，并且其数据具有严格的分层结构，要求不同级别的用户所看的内容是不同的，一旦重要的敏感信息被泄露，将导致严重的后果和巨大的经济损失。数据库系统作为管理数据的核心软件，必须保证数据信息的保密性、完整性和可用性。本专利技术实验使用的数据库是MYSQL数据库，开源数据库系统MySQL的业务逻辑是典型的自主访问控制机制。一方面，现今使用的MySQL数据库只拥有一套简单的安全管理措施，其安全访问控制机制相对较弱，只实现了用户登录时的身份认证和基于权限系统的访问控制(也就是自主访问控制)。自主访问控制模型DAC是一种最普遍的用于保护系统资源的访问控制方法，它最早出现在20世纪60年代末70年代初的分时系统中，通过数据的创建者(即主体，又称属主)按照自己的意愿设置其它主体对该数据的访问规则实现，此外数据属主还可以随时对其拥有的数据的访问策略进行更改。由于其授权机制的灵活性和易于扩展性，DAC被广泛应用于目前流行的Unix，Linux和Windows操作系统中。由于DAC策略的灵活性和易于实现的优点使得它在各种商业操作系统的访问控制中起着重要作用，然而也存在着以下的不足：1.主体权限过大。由于客体属主可以按照自己的意愿决定其他主体对该客体的访问能力，其他主体一旦获得相应权限，同样可以自主的将对该客体的访问权限传递给别的主体，即其他主体可以通过间接的方式得到对客体的访问权限。主体权限过大导致权限在系统中不断地扩散，使得权限泄漏，从而威胁到客体的安全性；2.数据流向不可控。主体可以随意的授予或撤销其他主体对该客体的访问权限，不能对数据流向进行有效的控制和管理，也无法预测数据的传播方向，这将会导致数据的泄漏；3.无法抵御特洛伊木马攻击。当主体对某一客体没有访问权限时，他可以运行合法程序来读取或修改该客体，而系统是无法区分这种修改是用户操作还是恶意程序的攻击。为了解决以上问题，加强现有实施DAC策略的系统的安全性是不可避免的，强制访问控制策略就是一种比较好的手段。强制访问控制MAC通过比较主客体的安全标记来限制信息的流向，增强系统的安全性，在一定程度上解决了DAC不能抵御的特洛伊木马攻击。BLP模型是第一个能够提供多级安全机密性保障的用于军方的安全策略模型，它基于一个信息流策略，通过允许信息从低安全级别系统到高安全级别系统的单向流动，来实现多级安全的强制访问控制。BLP模型首先是由D.Bell和J.LaPadula提出来的，然后他们再对其进行修订并加以完善，成为了第一个比较完整地用形式化方法对系统安全进行严格证明的数学模型，也是多级安全策略的基础。因其通用性和理论安全性，BLP模型在各种安全需求较高的系统中已经得到广泛的研究和应用尽管BLP模型在保护系统资源的机密性方面得到了广泛的应用，但随着计算机安全理论的发展，它也逐渐暴露出以下缺陷：1.BLP模型的关注点在于敏感数据的机密性，没有考虑数据的完整性方面，导致它不能很好地应用在商业领域当中；2.由于BLP主要用于安全级别层次较多的应用中，这会导致对访问控制的管理带来不便，工作量大，对授权进行管理比较困难，缺乏灵活性；3.不能模拟和避免隐通道问题；4.BLP模型过于机密，导致它不能很好的在实际中运用；5.一旦某个主体被定义为可信主体，那么在其生命周期内它就拥有者至高无上的权利，可信主体过大的访问权限可能会引发客体资源的泄漏。
技术实现思路
为解决上述问题，本专利技术提供了一种基于条件随机场的MYSQL数据库强制访问控制自适应优化方法。本专利技术针对具有强制访问控制策略的改进了的MYSQL安全数据库的系统访问日志进行处理和分析，对系统运行过程中发生的漏洞和危险事件进行人工标注，提取特征值，定义特征模版，并通过设置不同的模型参数来调整和验证CRFs-BLP模型的正确性和合理性，然后通过标注结果分析与挖掘出系统现有安全策略规则设置上的缺陷，进而修正用户的相关访问权限，以增强数据库系统的安全感知和自我修复能力。为达到上述技术效果，本专利技术的技术方案是：一种基于条件随机场的MYSQL数据库强制访问控制自适应优化方法，包括如下步骤:步骤一、在MySQL数据库源码中添加强制访问控制策略,在用户操作之前增加强制访问控制功能；强制访问控制策略的模型为基于条件随机场的BLP强制访问控制模型，条件随机场的原始数据集为MySQL数据库的历史访问日志；对原始数据集进行标注，所述标注包括主体信息的安全标记和客体信息的安全标记；对MySQL数据库增加主体表和客体表，其中主体表里包括系统中的所有主体信息和主体信息的安全标记，客体表里包括本文档来自技高网...

【技术保护点】
一种基于条件随机场的MYSQL数据库强制访问控制自适应优化方法，其特征在于，包括如下步骤:步骤一、在MySQL数据库源码中添加强制访问控制策略,在用户操作之前增加强制访问控制功能；强制访问控制策略的模型为基于条件随机场的BLP强制访问控制模型，条件随机场的原始数据集为MySQL数据库的历史访问日志；对原始数据集进行标注，所述标注包括主体信息的安全标记和客体信息的安全标记；对MySQL数据库增加主体表和客体表，其中主体表里包括系统中的所有主体信息和主体信息的安全标记，客体表里包括客体信息及客体信息的安全标记；主体表和客体表用于将MySQL数据库中的主体信息的安全标记和客体信息的安全标记永久存于MySQL数据库中；步骤二、根据对原始数据集进行的标注，使用机器学习方法对基于条件随机场的BLP强制访问控制模型定义系统状态转移规则、提出特征提取方法，分析与挖掘出系统现有安全策略规则设置上的缺陷，修正用户的相关访问权限进行重新建模，使误拦截率将会随着系统访问的增加而减少。

【技术特征摘要】
1.一种基于条件随机场的MYSQL数据库强制访问控制自适应优化方法，其特征在于，包
括如下步骤:
步骤一、在MySQL数据库源码中添加强制访问控制策略,在用户操作之前增加强制访问
控制功能；强制访问控制策略的模型为基于条件随机场的BLP强制访问控制模型，条件随机
场的原始数据集为MySQL数据库的历史访问日志；对原始数据集进行标注，所述标注包括主
体信息的安全标记和客体信息的安全标记；对MySQL数据库增加主体表和客体表，其中主体
表里包括系统中的所有主体信息和主体信息的安全标记，客体表里包括客体信息及客体信
息的安全标记；主体表和客体表用于将MySQL数据库中的主体信息的安全标记和客体信息
的安全标记永久存于MySQL数据库中；
步骤二、根据对原始数据集进行的标注，使用机器学习方法对基于条件随机场的BLP强
制访问控制模型定义系统状态转移规则、提出特征提取方法，分析与挖掘出系统现有安全
策略规则设置上的缺陷，修正用户的相关访问权限进行重新建模，使误拦截率将会随着系
统访问的增加而减少。
2.如权利要求1所述的基于条件随机场的MYSQL数据库强制访问控制自适应优化方法，
其特征在于，所述步骤一，包括如下步骤：
1.1、在MySQL服务器启动的同时初始化强制访问控制信息，强制访问控制信息的模型
为基于条件随机场的BLP强制访问控制模型；条件随机场的原始数据集为MySQL数据库的历
史访问日志；历史访问日志预处理成为CRF++数据集格式；条件随机场的原始数据集中的一
条数据集中包括当前时刻系统状态、用户所做的操作以及系统对用户请求做出的响应；
1.2、在MySQL原有的数据字典中加入主体表和客体表；其中主体表里包括系统中的所
有主体信息和主体信息的安全标记，客体表里包括客体信息及客体信息的安全标记；主体
表和客体表用于将MySQL数据库中的主体信息的安全标记和客体信息的安全标记永久存于
MySQL数据库中；
1.3、获取请求访问的用户、被访问的客体和访问的形式；被访问的客体包括表、数据库
和用户；访问使用的语言包括数据定义语言和数据操纵语言；
1.4、判断访问请求是否符合请求的定义域，然后调用compare()方法比较主客体的安
全级,并判断是否满足安全公理,最后返回请求结果,此方法首先获得主客体密级和部门
集，然后进行比较，通过则返回1，没通过则返回-1；1表示访问请求通过；-1表示访问请求不
通过；所述安全公理包括简单安全性、自主安全性和*性质；
1.5、判断访问请求是否满足安全公理，返回请求结果；根据请求结果对原始数据集进
行标注，所述标注包括主体信息的安全标记和客体信息的安全标记。
3.如权利要求2所述的基于条件随机场的MYSQL数据库强制访问控制自适应优化方法，

【专利技术属性】
技术研发人员：唐卓，李巧巧，李肯立，刘昆昆，付仲明，钟莹，
申请(专利权)人：湖南大学，
类型：发明
国别省市：湖南;43