技術領域

本發明主要涉及一種增強數據庫系統安全性的方法及其系統，更確切地是涉及一種在攻擊者繞過數據庫系統入侵防護組件之后，仍能保證數據正確性的方法與系統。

背景技術

隨著信息共享需求的增長，數據庫上層應用不斷擴展，攻擊者的攻擊手段變得多元化，負責存儲和管理敏感信息的數據庫系統面臨著越來越多的威脅，僅通過預防性措施難以保證數據庫系統提供不間斷的服務。高安全性的系統應具備發現入侵，并自動恢復到正常狀態的能力。高安全性數據系統進行入侵防護的一般過程是：保護→檢測→錯誤限制→恢復，這也是新一代安全數據庫系統的發展方向之一。

在數據庫系統中，一般事務處理速度較快，而特征提取、匹配運算和規則庫遍歷等入侵檢測操作都需耗費大量時間，產生檢測結果耗費時間比正常事務運行所需時間高2-3個數量級。考慮到惡意操作遠少于正常操作，高安全性數據庫系統往往采用先應答用戶請求再執行檢測和恢復進程的體系結構。在這樣的體系結構中，入侵檢測組件所生成的檢測結果將滯后于事務的提交，在事務提交到恢復完成的時間區間內，后繼事務可能因為讀取了惡意事務的操作結果而受其影響，從而產生錯誤的操作結果。

現有的數據庫系統具備日志和可信恢復技術主要解決數據庫系統軟硬件故障的問題，但日志僅記錄寫操作所導致的數據元素變化而不記錄事務之間的相互關系。由于日志不能提供事務關系的描述，數據庫系統在遭受惡意攻擊后只能采用先停機然后回滾到出錯點的應對機制，攻擊發生之后的無辜事務也同時被取消。這一缺陷嚴重影響了系統的安全性，甚至可能被敵手所利用成為進行DOS攻擊的工具，如果攻擊者不斷的提交惡意事務，將導致數據庫系統不斷的執行回滾過程，從而使數據庫系統進入不可用的狀態。為提高數據庫系統的安全性，現有技術是在日志寫入時依據數據依賴關系進行分片，這樣僅需要回滾一個分片中的數據，從而保證了其它分片中數據元素的正確性。但這一方案存在以下的明顯缺陷：

(1)僅能保證部分的正確性。在惡意事務所屬分片的回滾中依然存在無辜事務被回滾的可能性。

(2)時間代價高。每次操作時都要寫入日志，并且需對數據依賴關系進行判定，這將顯著增加事務平均響應時間，降低了數據庫使用效率。

(3)存在數據分片聚集的問題。若一個事務讀取了多個分片的數據，那么該事務依賴于多個數據分片，將多個分片的合并才能確保回滾的完整性，從而引起數據分片逐漸聚集的問題。當大多數的數據集中于一個分片之中時，分片方案的功效就下降了。

在入侵檢測結果產生之后，如何使數據庫系統快速恢復到正確的狀態是一直沒有有效解決的問題。

發明內容

針對現有數據庫系統面對惡意事務的攻擊安全性不強和響應效率低下的問題，本發明提供一種數據庫系統惡意事務處理方法及其系統，當入侵檢測系統發現敵手向數據庫系統提交的惡意事務之后，可以精確地查找到此后受到惡意事務影響的后繼事務，并對這些事務進行回滾，未受影響的事務操作結果將被保留，從而保證了數據庫系統的正確性和可用性。

通常，用戶與數據庫系統的交互主要包括兩個過程：首先，用戶向數據庫管理系統提交訪問請求；數據庫管理系統受到訪問請求后，根據訪問控制規則對用戶請求的合法性進行判定，根據判定結果決定進行應答，對數據庫進行訪問或拒絕用戶請求。為達到上述目的，本發明提供的數據庫系統惡意事務處理方法是在上述流程結束之后增加進一步的安全增強措施，即設置一個獨立于數據庫系統原有的日志系統的事務恢復日志系統，事務恢復日志的記錄以事務而不是操作作為記錄的單位，僅在事務完成時進行日志記錄并且不需要在日志寫入時判定事務間依賴關系，當入侵發生時通過檢索日志查詢所有受惡意事務影響的數據，并對這些數據進行恢復，而未受影響的事務操作結果將被保留，因此可以將效率折損限制在可以接受的范圍內，從而確保數據庫系統對用戶請求做出及時的響應。

具體而言，本發明數據庫系統惡意事務處理方法可以通過以下步驟實現：

第一步：生成事務恢復日志過程。針對每一個用戶事務產生一條日志記錄，在事務提交時寫入事務恢復日志表中。