本发明专利技术公开了一种基于攻击概率的数据库属性敏感度量化方法,包括以下步骤:1)赋予数据库中各列,攻击者可能提前获取该列的概率;2)将数据库输入到数据库主键分析系统中,得数据库的所有主键和复合主键;3)根据步骤2)输出的结果对数据库中的各列进行整理,找到各列分别出现在哪些主键和复合主键中;4)计算数据库中各列被攻击成功的概率;5)根据步骤4)计算得到的数据库中各列被攻击成功的概率的大小对数据库中各列进行敏感度量化和排序,并输出敏感度量化和排序的结果,完成基于攻击概率的数据库属性敏感度量化,该方法能够将数据库中所有属性根据攻击者攻击成功的概率进行敏感度的量化及排序,且准确性较高。
A quantitative method of database attribute sensitivity based on attack probability
【技术实现步骤摘要】
一种基于攻击概率的数据库属性敏感度量化方法
本专利技术属于数据安全
,涉及一种基于攻击概率的数据库属性敏感度量化方法。
技术介绍
随着大数据时代的来临,各种类型的数据在人们的日常生活中扮演了越来越重要的角色。形形色色的数据服务在给人们带来了无数便捷的同时,也衍生出了一系列的安全问题。例如社交网络中的手机号,照片,工作单位,出生年月等个人信息,以及用户的操作日志,定位信息等实时信息,都将被服务提供方存储进数据库中,这些数据一旦遭到攻击,发生数据泄露,那么用户所有的隐私信息就可能流入不法分子手中,后果不堪设想。因此,社会安全大数据带来的管理风险日益突出,如果不能妥善解决将必然造成“大数据就是大风险”的可怕后果。要保护数据安全,首要与核心的步骤就是分析数据,识别和提取出敏感信息。数据敏感度量化技术指的是将结构化数据库中的属性列的敏感程度转化为直观精确的数字,并将各个列划分为不同的敏感等级。其意义在于迅速准确地识别出数据中的敏感成分和非敏感成分,对同一个数据库中,不同敏感程度的数据采取不同的处理方式,在尽量保持原有数据特征的同时,避免攻击者窃取到敏感数据,造成信息泄露等严重后果。目前,现有的数据敏感度量化技术大致有以下几种:直接利用模板匹配判定数据库中数据的类型和敏感度,例如预先定义出如“身份证号”,“手机号”,“银行卡号”等固定格式的敏感信息模板,再用这些模板去匹配数据库中的每一个列,以此判断数据库中是否有定义过的敏感信息列。此方法的缺点在于敏感信息是无法定义完的,采用预定义的方式定会漏掉一些未经定义但是也高度敏感的属性。并且模板匹配对于数据格式的要求非常严苛,如果某些数据的格式和预先定义模板的格式略有差异便有无法成功匹配的风险。统计每个列的元素重复率,来量化该列的敏感程度。即统计每一列中存在多少不重复的数据,以此来量化其敏感程度,数据重复率越小的列越敏感,重复率越大的列越不敏感。例如数据库的主键在每个元组上均不重复,因此其敏感度最高。这种技术的缺点在于,它只从单个列入手分析敏感度,忽略了列与列之间的相互关系,并且忽略了每一列的语义信息。综上所述,现有的敏感度量化制度有着敏感信息定义不全,列与列之间关系考虑不周等各种问题,在面对不同种类,不同语义信息,不同应用场景的数据库时,无法准确,快速地识别敏感信息并划分敏感度。
技术实现思路
本专利技术的目的在于克服上述现有技术的缺点,提供了一种基于攻击概率的数据库属性敏感度量化方法,该方法能够将数据库中所有属性根据攻击者攻击成功的概率进行敏感度的量化及排序,且准确性较高。为达到上述目的,本专利技术所述的基于攻击概率的数据库属性敏感度量化方法包括以下步骤:1)赋予数据库中各列,攻击者可能提前获取该列的概率;2)将数据库输入到数据库主键分析系统中,得数据库的所有主键和复合主键;3)根据步骤2)输出的结果对数据库中的各列进行整理,找到各列分别出现在哪些主键和复合主键中;4)根据步骤1)中赋予的数据库中各列的概率以及步骤3)中得到的数据库中各列在复合主键及主键中的出现情况,计算数据库中各列被攻击成功的概率;5)根据步骤4)计算得到的数据库中各列被攻击成功的概率的大小对数据库中各列进行敏感度量化及排序,输出敏感度量化及排序的结果,完成基于攻击概率的数据库属性敏感度量化。步骤3)中,将所有的属性列分为三类,第一类作为数据库主键的主键列;第二类为至少在某个复合主键中出现过的复合主键列;第三类为在主键和复合主键中均未出现过的列。步骤4)中,计算数据库中各列被攻击成功的概率的具体过程为:设数据库中一共有n个列,设每一列提前被攻击者获取的概率为P(1),P(2),P(3),...P(n),对于列x,设其被攻击者提前获取的概率为P(x);对于第一类的列,其被攻击成功的概率Patt(x)=P(x);对于第二类的列,其被攻击成功的概率Patt(x)为:Patt(x)=P(x)×{1-[1-Px(UCC1)]×[1-Px(UCC2)]×...×[1-Px(UCCn)]}其中,UCC1,UCC2,...,UCCn表示由列x组成的n个复合主键;Px(UCC1),Px(UCC2),...,Px(UCCn)表示在列x已经被攻击者提前获取的前提下,攻击者分别通过UCC1,UCC2,...,UCCn攻击成功的概率,设列x组成的某个复合主键由k个不同的列组成,分别为j1,j2,...,jk,则攻击者通过该复合主键攻击成功的概率Px(UCCj)为:Px(UCCj)=P(j1)×P(j2)×...×P(jk-1)即除列x以外其他组成该复合主键的列的提前被获取概率P之积;对于第三类的列,其被攻击成功的概率Patt(x)=0。本专利技术具有以下有益效果:本专利技术所述的基于攻击概率的数据库属性敏感度量化方法在具体操作时,从攻击者的角度入手,先预先设定各列被攻击者获取的概率,再将数据库输入到数据库主键分析系统中,得数据库的所有主键和复合主键,并找到各列分别出现在哪些主键和复合主键中,并以此计算数据库中各列被攻击成功的概率,该概率作为敏感度排列的依据,既符合客观攻击模型,又使得结果真实可信,在保留数据可用性的前提下,快速精确地得到量化结果,为数据管理者提供了基于敏感度方面的参考,为进一步的数据脱敏以及数据发布工作打下了良好的基础。附图说明图1为本专利技术的流程图。具体实施方式下面结合附图对本专利技术做进一步详细描述:本专利技术所述的基于攻击概率的数据库属性敏感度量化方法包括以下步骤:1)赋予数据库中各列,攻击者可能提前获取该列的概率;具体的,步骤1)中赋予的攻击者可能提前获取该列的概率为估计值,由数据库管理者或风险评估专家,基于数据库中某些属性的已公开发布情况以及现有经验给出。例如,在某个人信息类数据库中,姓名信息已经公开,因此姓名属性已被攻击者获取的概率即为1,而公司地址属性曾经在某个相关数据库中公开发布过,根据经验,攻击者获取通过相关数据库该属性的概率为0.8。而其他属性从未公开发布,此数据库发生泄露的风险概率为0.01,因此其他属性被攻击者获取的概率亦为0.01。当数据库的属性均为未知属性,即数据管理者无法预知攻击者具有多大的概率获取某一列,可以在分析时采取一视同仁的态度,即将所有属性被攻击者提前获取的概率设为一致,以得到科学的量化结果。2)将数据库输入到数据库主键分析系统中,得数据库的所有主键和复合主键;3)根据步骤2)输出的结果对数据库中的各列进行整理,找到各列分别出现在哪些主键和复合主键中;将所有的属性列分为三类,第一类作为数据库主键的主键列;第二类为至少在某个复合主键中出现过的复合主键列,对于该类,整理出所有包含该列的复合主键;第三类为在主键和复合主键中均未出现过的列。4)根据步骤1)中赋予的数据库中各列的概率以及步骤3)中得到的数据库中各列在复合主键及主键中的出现情本文档来自技高网...
【技术保护点】
1.一种基于攻击概率的数据库属性敏感度量化方法,其特征在于,包括以下步骤:/n1)赋予数据库中各列,攻击者可能提前获取该列的概率;/n2)将数据库输入到数据库主键分析系统中,得数据库的所有主键和复合主键;/n3)根据步骤2)输出的结果对数据库中的各列进行整理,找到各列分别出现在哪些主键和复合主键中;/n4)根据步骤1)中赋予的数据库中各列的概率以及步骤3)中得到的数据库中各列在复合主键及主键中的出现情况,计算数据库中各列被攻击成功的概率;/n5)根据步骤4)计算得到的数据库中各列被攻击成功的概率的大小对数据库中各列进行敏感度量化及排序,并输出敏感度量化及排序的结果,完成基于攻击概率的数据库属性敏感度量化。/n
【技术特征摘要】
1.一种基于攻击概率的数据库属性敏感度量化方法,其特征在于,包括以下步骤:
1)赋予数据库中各列,攻击者可能提前获取该列的概率;
2)将数据库输入到数据库主键分析系统中,得数据库的所有主键和复合主键;
3)根据步骤2)输出的结果对数据库中的各列进行整理,找到各列分别出现在哪些主键和复合主键中;
4)根据步骤1)中赋予的数据库中各列的概率以及步骤3)中得到的数据库中各列在复合主键及主键中的出现情况,计算数据库中各列被攻击成功的概率;
5)根据步骤4)计算得到的数据库中各列被攻击成功的概率的大小对数据库中各列进行敏感度量化及排序,并输出敏感度量化及排序的结果,完成基于攻击概率的数据库属性敏感度量化。
2.根据权利要求1所述的基于攻击概率的数据库属性敏感度量化方法,其特征在于,步骤3)中,将所有的属性列分为三类,第一类作为数据库主键的主键列;第二类为至少在某个复合主键中出现过的复合主键列;第三类为在主键和复合主键中均未出现过的列。
3.根据权利要求2所述的基于攻击概率的数据库属性敏感度量化方法,其特征在于,步骤4)中,计算数据库中各列被攻击...
【专利技术属性】
技术研发人员:李辉,龚政,赵柯纯,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。