CN104966032A - 一种云端数据库中敏感信息随机化拟态方法 - Google Patents
一种云端数据库中敏感信息随机化拟态方法 Download PDFInfo
- Publication number
- CN104966032A CN104966032A CN201510434350.3A CN201510434350A CN104966032A CN 104966032 A CN104966032 A CN 104966032A CN 201510434350 A CN201510434350 A CN 201510434350A CN 104966032 A CN104966032 A CN 104966032A
- Authority
- CN
- China
- Prior art keywords
- obj
- sensitive information
- tar
- text
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6263—Protecting personal data, e.g. for financial or medical purposes during internet communication, e.g. revealing personal data from cookies
Abstract
本发明公开了一种云端数据库中敏感信息随机化拟态方法,借助于本发明方法,不但可以将攻击者收集的真实敏感信息的内容基于随机化拟态算法进行替换,而且替换后的拟态敏感信息严格按照真实敏感信息的格式和上下文语法进行生成,可令攻击者误以为其获得了真实的敏感信息,从而一定程度上增加其攻击成本。合法用户不会对此类敏感信息有需求或需要一系列标准的授权过程,所以本发明不会对合法用户的使用造成影响。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种云端数据库中敏感信息随机化拟态方法。
背景技术
目前,随着云计算技术的日益发达,众多普通用户会将其个人资料以及各类的账户密码等敏感信息存放在大中小型企业的云端数据库。然而,各类企业在安全上的技术水平参差不齐,导致云数据库的架构与配置往往存在大量漏洞,当恶意的攻击者借助于某些攻击方法(如SQL注入攻击、爬虫攻击等),即可较为轻易地对数据库内部的用户敏感信息进行收集,给广大正常用户带来经济上的严重损失或个人隐私的泄露。
现有的技术大多采取将敏感信息在云端数据库内加密保存,然而考虑到各类加密算法的公开性,一旦攻击者获取到敏感信息的密文形式,通过穷举法等方式即可破解出敏感信息的明文形式,即造成敏感信息的泄露。
发明内容
为了克服当前云端数据库存在的敏感信息泄露的问题,本发明提供一种敏感信息随机化拟态方法。借助于本发明方法,不但可以将攻击者收集的真实敏感信息的内容基于随机化拟态算法进行替换,而且替换后的拟态敏感信息严格按照真实敏感信息的格式和上下文语法进行生成,可令攻击者误以为其获得了真实的敏感信息,从而一定程度上增加其攻击成本。合法用户不会对此类敏感信息有需求或需要一系列标准的授权过程,所以本发明不会对合法用户的使用造成影响。
本发明解决以上问题所采用的技术方案是:一种云端数据库中敏感信息随机化拟态方法,包括以下步骤:
(1)在云端数据库所在的服务器所对应的应用层网关中向数据库管理员提供配置接口,该接口用于制定判定经过网关的内容是否为敏感信息的规则;将某一类的敏感信息用一个正则表达式表示,管理员只需在相应的配置文件中书写目标正则表达式即可;此处将敏感信息判别正则表达集合用向量R={r1,r2,r3,…,rk,…,rn}表示,其中rk表示第k个敏感信息判别正则表达式,该向量的维度为n;
(2)当恶意攻击者利用工具从云端数据库采集敏感信息时,应用层网关根据配置文件的内容进行随机化拟态处理,该步骤通过以下子步骤来实现:
(2.1)云端数据库经过网关的响应内容具体表现形式为HTTP包体,其包含若干用户真实敏感信息,用textreal表示;当textreal经过网关,网关读取配置文件内容,将textreal作为主串,敏感信息判别正则表达集合R中的每一个元素作为模式串,利用KMP算法进行匹配查询;匹配的过程基于正则表达式regex引擎库中的regex.Ismatch函数,查找到主串中需要替换的字符串集合,用OBJ={obj1,obj2,obj3,…,objk,…,objm}表示,其中,m表示需要替换字符串的数量,并且由KMP算法生成的每一个objk对应一个三维数组mark={loc,len,i},其中loc表示objk原来在textreal中的位置、len表示objk的字符串长度,i表示objk所依赖的规则ri在R中的次序;
(2.2)将OBJ={obj1,obj2,obj3,…,objk,…,objm}中的每一个元素基于正则表达式regex引擎库中regex.StringRand函数产生一个随机的字符串,所依赖的正则表达式即为ri,最终替换为经过随机化拟态处理过后的虚假敏感信息,用TAR={tar1,tar2,tar3,…,tarm}表示;
(2.3)将TAR中的元素依次取代textreal中相应OBJ中的元素的原有内容,其位置和长度根据预先生成的三维数组mark,在相同位置替换相同长度的字符串,即:textreal中的objk--->tark;最终生成虚假的HTTP协议包体textfalse;
(3)通过网关将虚假的HTTP协议包体textfalse返还给恶意的攻击者。
本发明的有益效果是:
(1)可以将用户存储在云数据库中的敏感信息进行有效的随机动态保护,克服了传统的防护方法中静态加密简单直接、易被破解的问题。
(2)对恶意攻击者具有错误的引导作用。通过本发明的保护,攻击者得到似是而非的虚假用户敏感信息,对其造成迷惑的效果,一定程度上增加其攻击所用成本。
附图说明
图1是本发明的总架构图。
图2是本发明的总流程图。
具体实施方式
下面以一个真实攻击场景为背景,结合图1和图2,通过一个应用随机化拟态方法的实例详细描述本发明。
如图1所示,本发明方法将随机化拟态方法固化或植入到云端数据库所在的服务器所对应的应用层Nginx网关中。攻击者向服务器发送HTTP请求后,服务器的HTTP响应包头与包体会经过该应用层网关,对包体内容进行随机化拟态,最后将虚假的包体内容返还给恶意攻击者。具体包括以下步骤:
(1)在云端数据库所在的服务器所对应的应用层网关中向数据库管理员提供配置接口,该接口用于制定判定经过网关的内容是否为敏感信息的规则;将某一类的敏感信息用一个正则表达式表示,管理员只需在相应的配置文件中书写目标正则表达式即可;此处将敏感信息判别正则表达集合用向量R={r1,r2,r3,…,rk,…,rn}表示,其中rk表示第k个敏感信息判别正则表达式,该向量的维度为n;并且敏感信息判别正则表达集合可以随着使用过程中迭代更新。
(2)如图2所示,当恶意攻击者利用Sqlmap工具从云端数据库采集敏感信息时,应用层网关根据配置文件的内容进行随机化拟态处理,该步骤通过以下子步骤来实现:
(2.1)云端数据库经过网关的响应内容具体表现形式为HTTP包体,其带有真实敏感信息,用textreal表示,HTTP包体包含若干用户密码的md5加密后的结果。当textreal经过网关,网关读取配置文件内容,将textreal作为主串,敏感信息判别正则表达集合R中的每一个元素作为模式串(本实例应用[a-fA-F0-9]{32,32}这一正则表达式),利用KMP算法进行匹配查询。匹配的过程基于正则表达式regex引擎库中的regex.Ismatch函数,查找到主串中需要替换的字符串集合,用OBJ={obj1,obj2,obj3,…,objk,…,objm}表示,其中,m表示需要替换字符串的数量,并且由KMP算法生成的每一个objk对应一个三维数组mark={loc,len,i},其中loc表示objk原来在textreal中的位置、len表示objk的字符串长度,i表示objk所依赖的规则ri在R中的次序。
(2.2)将OBJ={obj1,obj2,obj3,…,objk,…,objm}中的每一个元素基于正则表达式regex引擎库中regex.StringRand函数产生一个随机的字符串,所依赖的正则表达式即为ri,如obj1为5f4dcc3b5aa765d61d8327deb882cf99,所依赖的正则表达式即为[a-fA-F0-9]{32,32},最终替换为经过随机化拟态处理过后的虚假敏感信息,用TAR={tar1,tar2,tar3,…,tarm}表示,根据obj1,生成tar1为3e14537bd41a69f42a1a6b7823fc2649。
(2.3)将TAR中的元素依次取代textreal中相应OBJ中的元素的原有内容,其位置和长度根据预先生成的三维数组mark,在相同位置替换相同长度的字符串,即:textreal中的objk--->tark。最终生成虚假的HTTP协议包体textfalse。
(3)通过网关将虚假的HTTP协议包体textfalse返还给恶意的攻击者。
Claims (1)
1.一种云端数据库中敏感信息随机化拟态方法,其特征在于,包括以下步骤:
(1)在云端数据库所在的服务器所对应的应用层网关中向数据库管理员提供配置接口,该接口用于制定判定经过网关的内容是否为敏感信息的规则;将某一类的敏感信息用一个正则表达式表示,管理员只需在相应的配置文件中书写目标正则表达式即可;此处将敏感信息判别正则表达集合用向量R={r1,r2,r3,…,rk,…,rn}表示,其中rk表示第k个敏感信息判别正则表达式,该向量的维度为n;
(2)当恶意攻击者利用工具从云端数据库采集敏感信息时,应用层网关根据配置文件的内容进行随机化拟态处理,该步骤通过以下子步骤来实现:
(2.1)云端数据库经过网关的响应内容具体表现形式为HTTP包体,其包含若干用户真实敏感信息,用textreal表示;当textreal经过网关,网关读取配置文件内容,将textreal作为主串,敏感信息判别正则表达集合R中的每一个元素作为模式串,利用KMP算法进行匹配查询;匹配的过程基于正则表达式regex引擎库中的regex.Ismatch函数,查找到主串中需要替换的字符串集合,用OBJ={obj1,obj2,obj3,…,objk,…,objm}表示,其中,m表示需要替换字符串的数量,并且由KMP算法生成的每一个objk对应一个三维数组mark={loc,len,i},其中loc表示objk原来在textreal中的位置、len表示objk的字符串长度,i表示objk所依赖的规则ri在R中的次序;
(2.2)将OBJ={obj1,obj2,obj3,…,objk,…,objm}中的每一个元素基于正则表达式regex引擎库中regex.StringRand函数产生一个随机的字符串,所依赖的正则表达式即为ri,最终替换为经过随机化拟态处理过后的虚假敏感信息,用TAR={tar1,tar2,tar3,…,tarm}表示;
(2.3)将TAR中的元素依次取代textreal中相应OBJ中的元素的原有内容,其位置和长度根据预先生成的三维数组mark,在相同位置替换相同长度的字符串,即:textreal中的objk--->tark;最终生成虚假的HTTP协议包体textfalse;
(3)通过网关将虚假的HTTP协议包体textfalse返还给恶意的攻击者。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510434350.3A CN104966032B (zh) | 2015-07-22 | 2015-07-22 | 一种云端数据库中敏感信息随机化拟态方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510434350.3A CN104966032B (zh) | 2015-07-22 | 2015-07-22 | 一种云端数据库中敏感信息随机化拟态方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104966032A true CN104966032A (zh) | 2015-10-07 |
CN104966032B CN104966032B (zh) | 2017-11-17 |
Family
ID=54220070
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510434350.3A Active CN104966032B (zh) | 2015-07-22 | 2015-07-22 | 一种云端数据库中敏感信息随机化拟态方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104966032B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106203145A (zh) * | 2016-08-04 | 2016-12-07 | 北京网智天元科技股份有限公司 | 数据脱敏方法及相关设备 |
CN106295400A (zh) * | 2016-08-04 | 2017-01-04 | 北京网智天元科技股份有限公司 | 蒙版式数据脱敏方法及相关设备 |
CN106295366A (zh) * | 2016-08-15 | 2017-01-04 | 北京奇虎科技有限公司 | 敏感数据识别方法及装置 |
CN108197466A (zh) * | 2017-12-25 | 2018-06-22 | 哈尔滨安天科技股份有限公司 | 基于判定策略前置的反病毒引擎检测方法及系统 |
CN110309646A (zh) * | 2019-06-28 | 2019-10-08 | 广州小鹏汽车科技有限公司 | 个人信息保护方法、保护装置和车辆 |
CN112367290A (zh) * | 2020-09-11 | 2021-02-12 | 浙江大学 | 一种内生安全waf构造方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102158557A (zh) * | 2011-04-12 | 2011-08-17 | 华中科技大学 | 云存储环境下安全策略分解与验证系统 |
CN102480481A (zh) * | 2010-11-26 | 2012-05-30 | 腾讯科技(深圳)有限公司 | 一种提高产品用户数据安全性的方法及装置 |
US20120265976A1 (en) * | 2011-04-18 | 2012-10-18 | Bank Of America Corporation | Secure Network Cloud Architecture |
US20130047230A1 (en) * | 2011-08-17 | 2013-02-21 | International Business Machines Corporation | Building data security in a networked computing environment |
-
2015
- 2015-07-22 CN CN201510434350.3A patent/CN104966032B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102480481A (zh) * | 2010-11-26 | 2012-05-30 | 腾讯科技(深圳)有限公司 | 一种提高产品用户数据安全性的方法及装置 |
CN102158557A (zh) * | 2011-04-12 | 2011-08-17 | 华中科技大学 | 云存储环境下安全策略分解与验证系统 |
US20120265976A1 (en) * | 2011-04-18 | 2012-10-18 | Bank Of America Corporation | Secure Network Cloud Architecture |
US20130047230A1 (en) * | 2011-08-17 | 2013-02-21 | International Business Machines Corporation | Building data security in a networked computing environment |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106203145A (zh) * | 2016-08-04 | 2016-12-07 | 北京网智天元科技股份有限公司 | 数据脱敏方法及相关设备 |
CN106295400A (zh) * | 2016-08-04 | 2017-01-04 | 北京网智天元科技股份有限公司 | 蒙版式数据脱敏方法及相关设备 |
CN106295366A (zh) * | 2016-08-15 | 2017-01-04 | 北京奇虎科技有限公司 | 敏感数据识别方法及装置 |
CN108197466A (zh) * | 2017-12-25 | 2018-06-22 | 哈尔滨安天科技股份有限公司 | 基于判定策略前置的反病毒引擎检测方法及系统 |
CN110309646A (zh) * | 2019-06-28 | 2019-10-08 | 广州小鹏汽车科技有限公司 | 个人信息保护方法、保护装置和车辆 |
CN112367290A (zh) * | 2020-09-11 | 2021-02-12 | 浙江大学 | 一种内生安全waf构造方法 |
Also Published As
Publication number | Publication date |
---|---|
CN104966032B (zh) | 2017-11-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104966032A (zh) | 一种云端数据库中敏感信息随机化拟态方法 | |
Sigler | Crypto-jacking: how cyber-criminals are exploiting the crypto-currency boom | |
Xu et al. | DNS for massive-scale command and control | |
Sabahi | Cloud computing security threats and responses | |
Ali et al. | DaSCE: Data security for cloud environment with semi-trusted third party | |
Karnwal et al. | A comber approach to protect cloud computing against XML DDoS and HTTP DDoS attack | |
Vukalović et al. | Advanced persistent threats-detection and defense | |
CN108885665A (zh) | 用于解密虚拟化环境中的网络流量的系统和方法 | |
Karnwal et al. | A filter tree approach to protect cloud computing against XML DDoS and HTTP DDoS attack | |
Wu et al. | Ensuring privacy in location-based services: An approach based on opacity enforcement | |
Delettre et al. | Cloud computing, security and data concealment | |
CN109726565A (zh) | 在抗泄漏原语中使用白盒 | |
US20080148404A1 (en) | Method, system, and program product for characterizing computer attackers | |
Venkatachary et al. | Cybersecurity infrastructure challenges in IoT based virtual power plants | |
WO2018158710A1 (en) | Partition-based prefix preserving anonymization approach for network traces containing ip addresses | |
Oqaily et al. | SegGuard: segmentation-based anonymization of network data in clouds for privacy-preserving security auditing | |
CN102185696B (zh) | 基于笔迹特征的无可信第三方手机用户认证方法 | |
CN110032862A (zh) | 一种防撞库攻击的数据动态防护方法及装置 | |
Xu et al. | Attack identification for software-defined networking based on attack trees and extension innovation methods | |
CN110457948A (zh) | 一种基于存储指令随机化的动态数据防护方法及系统 | |
Chhajed et al. | Detecting cross-site scripting vulnerability and performance comparison using C-Time and E-Time | |
Brindtha et al. | Identification and detecting of attacker in a purchase portal using honeywords | |
Smiraus et al. | Risks of advanced persistent threats and defense against them | |
Watkins et al. | Using inherent command and control vulnerabilities to halt DDoS attacks | |
Sujeetha et al. | Cyber-space and its menaces |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |