CN104966032B - 一种云端数据库中敏感信息随机化拟态方法 - Google Patents

一种云端数据库中敏感信息随机化拟态方法 Download PDF

Info

Publication number
CN104966032B
CN104966032B CN201510434350.3A CN201510434350A CN104966032B CN 104966032 B CN104966032 B CN 104966032B CN 201510434350 A CN201510434350 A CN 201510434350A CN 104966032 B CN104966032 B CN 104966032B
Authority
CN
China
Prior art keywords
obj
sensitive information
tar
represent
text
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510434350.3A
Other languages
English (en)
Other versions
CN104966032A (zh
Inventor
吴春明
邢骏驰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN201510434350.3A priority Critical patent/CN104966032B/zh
Publication of CN104966032A publication Critical patent/CN104966032A/zh
Application granted granted Critical
Publication of CN104966032B publication Critical patent/CN104966032B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6263Protecting personal data, e.g. for financial or medical purposes during internet communication, e.g. revealing personal data from cookies

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种云端数据库中敏感信息随机化拟态方法,借助于本发明方法,不但可以将攻击者收集的真实敏感信息的内容基于随机化拟态算法进行替换,而且替换后的拟态敏感信息严格按照真实敏感信息的格式和上下文语法进行生成,可令攻击者误以为其获得了真实的敏感信息,从而一定程度上增加其攻击成本。合法用户不会对此类敏感信息有需求或需要一系列标准的授权过程,所以本发明不会对合法用户的使用造成影响。

Description

一种云端数据库中敏感信息随机化拟态方法
技术领域
本发明涉及信息安全技术领域,尤其涉及一种云端数据库中敏感信息随机化拟态方法。
背景技术
目前,随着云计算技术的日益发达,众多普通用户会将其个人资料以及各类的账户密码等敏感信息存放在大中小型企业的云端数据库。然而,各类企业在安全上的技术水平参差不齐,导致云数据库的架构与配置往往存在大量漏洞,当恶意的攻击者借助于某些攻击方法(如SQL注入攻击、爬虫攻击等),即可较为轻易地对数据库内部的用户敏感信息进行收集,给广大正常用户带来经济上的严重损失或个人隐私的泄露。
现有的技术大多采取将敏感信息在云端数据库内加密保存,然而考虑到各类加密算法的公开性,一旦攻击者获取到敏感信息的密文形式,通过穷举法等方式即可破解出敏感信息的明文形式,即造成敏感信息的泄露。
发明内容
为了克服当前云端数据库存在的敏感信息泄露的问题,本发明提供一种敏感信息随机化拟态方法。借助于本发明方法,不但可以将攻击者收集的真实敏感信息的内容基于随机化拟态算法进行替换,而且替换后的拟态敏感信息严格按照真实敏感信息的格式和上下文语法进行生成,可令攻击者误以为其获得了真实的敏感信息,从而一定程度上增加其攻击成本。合法用户不会对此类敏感信息有需求或需要一系列标准的授权过程,所以本发明不会对合法用户的使用造成影响。
本发明解决以上问题所采用的技术方案是:一种云端数据库中敏感信息随机化拟态方法,包括以下步骤:
(1)在云端数据库所在的服务器所对应的应用层网关中向数据库管理员提供配置接口,该接口用于制定判定经过网关的内容是否为敏感信息的规则;将某一类的敏感信息用一个正则表达式表示,管理员只需在相应的配置文件中书写目标正则表达式即可;此处将敏感信息判别正则表达集合用向量R={r1,r2,r3,…,rk,…,rn}表示,其中rk表示第k个敏感信息判别正则表达式,该向量的维度为n;
(2)当恶意攻击者利用工具从云端数据库采集敏感信息时,应用层网关根据配置文件的内容进行随机化拟态处理,该步骤通过以下子步骤来实现:
(2.1)云端数据库经过网关的响应内容具体表现形式为HTTP包体,其包含若干用户真实敏感信息,用textreal表示;当textreal经过网关,网关读取配置文件内容,将textreal作为主串,敏感信息判别正则表达集合R中的每一个元素作为模式串,利用KMP算法进行匹配查询;匹配的过程基于正则表达式regex引擎库中的regex.Ismatch函数,查找到主串中需要替换的字符串集合,用OBJ={obj1,obj2,obj3,…,objk,…,objm}表示,其中,m表示需要替换字符串的数量,并且由KMP算法生成的每一个objk对应一个三维数组mark={loc,len,i},其中loc表示objk原来在textreal中的位置、len表示objk的字符串长度,i表示objk所依赖的规则ri在R中的次序;
(2.2)将OBJ={obj1,obj2,obj3,…,objk,…,objm}中的每一个元素基于正则表达式regex引擎库中regex.StringRand函数产生一个随机的字符串,所依赖的正则表达式即为ri,最终替换为经过随机化拟态处理过后的虚假敏感信息,用TAR={tar1,tar2,tar3,…,tarm}表示;
(2.3)将TAR中的元素依次取代textreal中相应OBJ中的元素的原有内容,其位置和长度根据预先生成的三维数组mark,在相同位置替换相同长度的字符串,即:textreal中的objk--->tark;最终生成虚假的HTTP协议包体textfalse
(3)通过网关将虚假的HTTP协议包体textfalse返还给恶意的攻击者。
本发明的有益效果是:
(1)可以将用户存储在云数据库中的敏感信息进行有效的随机动态保护,克服了传统的防护方法中静态加密简单直接、易被破解的问题。
(2)对恶意攻击者具有错误的引导作用。通过本发明的保护,攻击者得到似是而非的虚假用户敏感信息,对其造成迷惑的效果,一定程度上增加其攻击所用成本。
附图说明
图1是本发明的总架构图。
图2是本发明的总流程图。
具体实施方式
下面以一个真实攻击场景为背景,结合图1和图2,通过一个应用随机化拟态方法的实例详细描述本发明。
如图1所示,本发明方法将随机化拟态方法固化或植入到云端数据库所在的服务器所对应的应用层Nginx网关中。攻击者向服务器发送HTTP请求后,服务器的HTTP响应包头与包体会经过该应用层网关,对包体内容进行随机化拟态,最后将虚假的包体内容返还给恶意攻击者。具体包括以下步骤:
(1)在云端数据库所在的服务器所对应的应用层网关中向数据库管理员提供配置接口,该接口用于制定判定经过网关的内容是否为敏感信息的规则;将某一类的敏感信息用一个正则表达式表示,管理员只需在相应的配置文件中书写目标正则表达式即可;此处将敏感信息判别正则表达集合用向量R={r1,r2,r3,…,rk,…,rn}表示,其中rk表示第k个敏感信息判别正则表达式,该向量的维度为n;并且敏感信息判别正则表达集合可以随着使用过程中迭代更新。
(2)如图2所示,当恶意攻击者利用Sqlmap工具从云端数据库采集敏感信息时,应用层网关根据配置文件的内容进行随机化拟态处理,该步骤通过以下子步骤来实现:
(2.1)云端数据库经过网关的响应内容具体表现形式为HTTP包体,其带有真实敏感信息,用textreal表示,HTTP包体包含若干用户密码的md5加密后的结果。当textreal经过网关,网关读取配置文件内容,将textreal作为主串,敏感信息判别正则表达集合R中的每一个元素作为模式串(本实例应用[a-fA-F0-9]{32,32}这一正则表达式),利用KMP算法进行匹配查询。匹配的过程基于正则表达式regex引擎库中的regex.Ismatch函数,查找到主串中需要替换的字符串集合,用OBJ={obj1,obj2,obj3,…,objk,…,objm}表示,其中,m表示需要替换字符串的数量,并且由KMP算法生成的每一个objk对应一个三维数组mark={loc,len,i},其中loc表示objk原来在textreal中的位置、len表示objk的字符串长度,i表示objk所依赖的规则ri在R中的次序。
(2.2)将OBJ={obj1,obj2,obj3,…,objk,…,objm}中的每一个元素基于正则表达式regex引擎库中regex.StringRand函数产生一个随机的字符串,所依赖的正则表达式即为ri,如obj1为5f4dcc3b5aa765d61d8327deb882cf99,所依赖的正则表达式即为[a-fA-F0-9]{32,32},最终替换为经过随机化拟态处理过后的虚假敏感信息,用TAR={tar1,tar2,tar3,…,tarm}表示,根据obj1,生成tar1为3e14537bd41a69f42a1a6b7823fc2649。
(2.3)将TAR中的元素依次取代textreal中相应OBJ中的元素的原有内容,其位置和长度根据预先生成的三维数组mark,在相同位置替换相同长度的字符串,即:textreal中的objk--->tark。最终生成虚假的HTTP协议包体textfalse
(3)通过网关将虚假的HTTP协议包体textfalse返还给恶意的攻击者。

Claims (1)

1.一种云端数据库中敏感信息随机化拟态方法,其特征在于,包括以下步骤:
(1)在云端数据库所在的服务器所对应的应用层网关中向数据库管理员提供配置接口,该接口用于制定判定经过网关的内容是否为敏感信息的规则;将某一类的敏感信息用一个正则表达式表示,管理员只需在相应的配置文件中书写目标正则表达式即可;此处将敏感信息判别正则表达集合用向量R={r1,r2,r3,…,rk,…,rn}表示,其中rk表示第k个敏感信息判别的正则表达式,该向量的维度为n;
(2)当恶意攻击者利用工具从云端数据库采集敏感信息时,应用层网关根据配置文件的内容进行随机化拟态处理,该步骤通过以下子步骤来实现:
(2.1)云端数据库经过网关的响应内容具体表现形式为HTTP包体,其包含若干用户真实敏感信息,用textreal表示;当textreal经过网关,网关读取配置文件内容,将textreal作为主串,敏感信息判别正则表达集合R中的每一个元素作为模式串,利用KMP算法进行匹配查询;匹配的过程基于正则表达式regex引擎库中的regex.Ismatch函数,查找到主串中需要替换的字符串集合,用OBJ={obj1,obj2,obj3,…,objk,…,objm}表示,其中,m表示需要替换字符串的数量,并且由KMP算法生成的每一个objk对应一个三维数组mark={loc,len,i},其中loc表示objk原来在textreal中的位置、len表示objk的字符串长度,i表示objk所依赖的正则表达式ri在R中的次序;
(2.2)将OBJ={obj1,obj2,obj3,…,objk,…,objm}中的每一个元素基于正则表达式regex引擎库中regex.StringRand函数产生一个随机的字符串,所依赖的正则表达式即为ri,最终替换为经过随机化拟态处理过后的虚假敏感信息,用TAR={tar1,tar2,tar3,…,tarm}表示;
(2.3)将TAR中的元素依次取代textreal中相应OBJ中的元素的原有内容,其位置和长度根据预先生成的三维数组mark,在相同位置替换相同长度的字符串,即:textreal中的objk--->tark;最终生成虚假的HTTP协议包体textfalse
(3)通过网关将虚假的HTTP协议包体textfalse返还给恶意的攻击者。
CN201510434350.3A 2015-07-22 2015-07-22 一种云端数据库中敏感信息随机化拟态方法 Active CN104966032B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510434350.3A CN104966032B (zh) 2015-07-22 2015-07-22 一种云端数据库中敏感信息随机化拟态方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510434350.3A CN104966032B (zh) 2015-07-22 2015-07-22 一种云端数据库中敏感信息随机化拟态方法

Publications (2)

Publication Number Publication Date
CN104966032A CN104966032A (zh) 2015-10-07
CN104966032B true CN104966032B (zh) 2017-11-17

Family

ID=54220070

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510434350.3A Active CN104966032B (zh) 2015-07-22 2015-07-22 一种云端数据库中敏感信息随机化拟态方法

Country Status (1)

Country Link
CN (1) CN104966032B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106203145A (zh) * 2016-08-04 2016-12-07 北京网智天元科技股份有限公司 数据脱敏方法及相关设备
CN106295400A (zh) * 2016-08-04 2017-01-04 北京网智天元科技股份有限公司 蒙版式数据脱敏方法及相关设备
CN106295366B (zh) * 2016-08-15 2020-11-24 北京奇虎科技有限公司 敏感数据识别方法及装置
CN108197466A (zh) * 2017-12-25 2018-06-22 哈尔滨安天科技股份有限公司 基于判定策略前置的反病毒引擎检测方法及系统
CN110309646A (zh) * 2019-06-28 2019-10-08 广州小鹏汽车科技有限公司 个人信息保护方法、保护装置和车辆
CN112367290A (zh) * 2020-09-11 2021-02-12 浙江大学 一种内生安全waf构造方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102158557A (zh) * 2011-04-12 2011-08-17 华中科技大学 云存储环境下安全策略分解与验证系统
CN102480481A (zh) * 2010-11-26 2012-05-30 腾讯科技(深圳)有限公司 一种提高产品用户数据安全性的方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8875240B2 (en) * 2011-04-18 2014-10-28 Bank Of America Corporation Tenant data center for establishing a virtual machine in a cloud environment
US8782762B2 (en) * 2011-08-17 2014-07-15 International Business Machines Corporation Building data security in a networked computing environment

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102480481A (zh) * 2010-11-26 2012-05-30 腾讯科技(深圳)有限公司 一种提高产品用户数据安全性的方法及装置
CN102158557A (zh) * 2011-04-12 2011-08-17 华中科技大学 云存储环境下安全策略分解与验证系统

Also Published As

Publication number Publication date
CN104966032A (zh) 2015-10-07

Similar Documents

Publication Publication Date Title
CN104966032B (zh) 一种云端数据库中敏感信息随机化拟态方法
Sigler Crypto-jacking: how cyber-criminals are exploiting the crypto-currency boom
Cui et al. A quantitative analysis of the insecurity of embedded network devices: results of a wide-area scan
CN102801697B (zh) 基于多url的恶意代码检测方法和系统
US10855722B1 (en) Deception service for email attacks
Riccardi et al. Titans’ revenge: Detecting Zeus via its own flaws
Karnwal et al. A filter tree approach to protect cloud computing against XML DDoS and HTTP DDoS attack
CN109359480A (zh) 一种面向数字图书馆的用户隐私保护方法及系统
Papaodyssefs et al. Web identity translator: Behavioral advertising and identity privacy with wit
Oqaily et al. SegGuard: segmentation-based anonymization of network data in clouds for privacy-preserving security auditing
US20180309782A1 (en) Method and Apparatus for Determining a Threat Using Distributed Trust Across a Network
Singh et al. A comparative review of malware analysis and detection in HTTPs traffic
Kebande A novel cloud forensic readiness service model
Korać et al. A hybrid XSS attack (HYXSSA) based on fusion approach: Challenges, threats and implications in cybersecurity
Ramaswamy et al. High-speed prefix-preserving IP address anonymization for passive measurement systems
CN110032862A (zh) 一种防撞库攻击的数据动态防护方法及装置
Pan et al. Assessing the threat of web worker distributed attacks
Brindtha et al. Identification and detecting of attacker in a purchase portal using honeywords
Ray et al. Using ILP to Analyse Ransomware Attacks.
Riccardi et al. Taming Zeus by leveraging its own crypto internals
Prathap et al. Detection of data breaching websites using machine learning
Uchibori et al. Honeypot Method to Lure Attackers Without Holding Crypto-Assets
Alauthman et al. Malware Threats Targeting Cryptocurrency: A Comparative Study
Novakovic et al. Detection of URL-based Phishing Attacks Using Neural Networks
Li et al. Collaborative intelligence analysis for industrial control systems threat profiling

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant