数据库事务恢复日志和入侵响应模型研究

数据库日志记录数据元素的变迁历史,是维护数据库系统正确性和一致性的重要依据.现有的日志模式无法体现事务间依赖关系,系统在遭到恶意攻击时只得让所有数据元素恢复到出错点的状态,容忍入侵的能力差.提出一种新型的事务恢复日志模型,采用抽象状态机描述了日志生成规则和入侵响应模型,对事务之间的依赖关系进行了形式化的定义,并对入侵响应模型的完整性和正确性进行了分析.配置事务恢复日志和入侵响应机制的数据库系统在遭受攻击时,可以仅恢复受恶意事务影响的后继而无需回滚所有事务,从而提高了数据库系统的生存性.     

自修复数据库选择性恢复机制

选择性恢复使得自修复数据库在发生用户错误操作或入侵事务导致的故障之后,只撤销错误操作或入侵事务以及受感染的可疑事务,而保留未受感染的合法事务.提出一种新的选择性恢复机制,使用事务依赖日志、写操作日志和事务语句日志,分别记录事务间的依赖关系、事务写操作的前像数据和事务执行语句,在故障发生后,可以使数据库恢复到故障发生前一...     

数据库恶意事务恢复日志系统

恶意事务攻击成功后的数据恢复机制要求日志文件必须同时记录写操作信息和读操作信息。为此,提出一种数据库恶意事务恢复日志策略,并基于该策略设计日志系统。在日志系统中,结构化查询语言(SQL)语句过滤可保护日志文件的安全,拒绝终端客户对日志文件的非法操作;敏感信息设置从行级和列级2个方面设置日志记录必须满足的约束条件,可有效控制日志文件的规模;写日志产生器通过使用触发器的临时表完成对写操作的记录;读日志产生器通过重构SQL语句产生临时表,再访问临时表完成对读操作的记录。实验结果表明,该系统可有效记录数据库读写操作,但同时会降低整体系统的效率。     

核心化多级安全数据库系统未决提交事务日志写出依赖研究

核心化体系结构的多级安全数据库系统中不同级别事务由该级别DBMS实例处理，DBMS实例自行维护事务日志缓存．事务处理过程中高级事务可能读取已提交的低级事务数据，如果低级事务提交日志记录尚未写入持久存储，而高级事务已提交并且提交日志记录写入持久存储后系统崩溃，恢复后系统将进入不一致的状态．为解决上述问题引入一个可信的日志协调实体维护全局的未决提交事务间的依赖关系，并协调各个DBMS实例的提交日志记录写出操作，保证被依赖的提交日志记录先于依赖它们的日志记录写入持久存储．文中还给出了方案的实现算法，并证明了算法的正确性，通过分析论证了方案的实用性．     

基于事务日志的数据库恢复机制研究

数据库恢复是保障数据库安全性的一个重要机制。通过分析事务日志的工作原理,结合数据库的备份,提出基于事务日志的数据库恢复机制。该机制实现数据库在故障点（特定点）的完整恢复,保证数据库的安全。     

数据库入侵检测的一种数据挖掘方法

针对在数据库系统中检测恶意事务提出了一种数据挖掘方法。该方法挖掘数据库中各数据项事务之间的数据关联规则,所设计的数据关联规则挖掘器主要用来挖掘与数据库日志记录相关的数据。不符合关联规则的事务作为恶意事务。试验证明该方法可以有效的检测到恶意事务。     

SQL SERVER 2005基于事务日志的备份与恢复深入研究

SQL SERVER 2005的备份/恢复功能表面上看似简单, 但实际上其实现机制相当复杂并且微软公司并没有对外公布其备份/恢复机制的具体实现细节. 包括专业数据库管理员在内很少有人能将SQL SERVER 2005的备份/恢复机制解释清楚, 力图从一个较深入的层次研究分析SQL SERVER 2005的事务日志以及基于事务日志的备份与恢复.     

基于Savepoint机制和日志的协作设计事务的恢复方法

给出了一个协作设计事务模型，介绍了一种新的保存机制——savepoint机制，然后在此基础上提出了一个基于savepoint机制和日志的协作设计事务恢复处理方法。     

一种高效的闪存数据库故障恢复方法MMR

故障发生后,迅速而有效的恢复对闪存数据库而言是至关重要的。目前,相关研究者已提出了一些基于闪存数据库的故障恢复方法,但是这些方法都存在一些不足,如事务提交代价高、系统运行开销大等。文中针对闪存的特征,结合存储管理中基于日志更新方法的页内日志,讨论闪存数据库的恢复处理及其实现机制。通过记录内存日志实现事务故障恢复,建立镜像目录实现系统故障恢复。最后,通过实验验证了MMR在恢复时间和写操作数上都比传统的方法低。     

集群数据库系统的日志复制和故障恢复

互联网、社交、购物、金融等各类应用直接面临海量用户的高并发访问,传统的单点数据库逐渐成为这些应用系统的瓶颈,而众多互联网应用能够良好运行的主要原因是使用了基于集群环境的数据管理系统作支撑。与传统数据库系统相比,基于集群环境的数据库系统具有更好的扩展性和可用性,而日志复制是保证这些特性的核心组件。传统的主备架构的日志复制在异常情况下对未决事务日志处理不佳,导致数据副本之间存在不一致的风险,另外,分布式系统领域的一致性算法缺乏对事务一致性的处理,而且在选主时存在活锁、多主和频繁选主的问题,无法直接适用于事务日志复制。本文提出了一种集群环境下的事务日志复制策略和恢复机制,能够有效处理未提交日志,提供了强弱两种读一致性,并且提出了一种轻量级的选主算法,可以避免以上的选主问题。本文在开源OceanBase分布式数据库系统中实现了上述机制,并使用基准测试工具对系统进行测试,通过一系列实验验证了系统的扩展性和可用性。     

不可信环境下的客户端日志保护机制

现有的日志文件保护技术大多集中于保护日志文件不被外来攻击者攻击,而无法抵御恶意的合法用户的攻击。为此,在分析日志技术安全需求的基础上,提出一种在不可信环境下的客户端日志保护机制,基于USB Key对日志文件进行加密和签名处理。给出日志文件的生成、存储及上传过程。安全性与性能分析结果证明了该机制的有效性。     

基于多图层的图形验证码生成技术研究

图形验证码已成为许多网站系统常用的一种防止恶意程序自动注册或登录、恶意灌水等网络攻击的工具,但当前的图形验证码存在容易被恶意程序识别,甚至有时用户很难辨别验证码中的验证字符信息。本文研究一种基于多图层的图形验证码生成技术,由显示随机验证字符串的前景图层和显示干扰字符串的干扰图层构成图形验证码,并采用.NET技术实现了该图形验证码,最后通过验证码识别工具PWNtcha分析该验证码的有效性和安全性。实验证明,基于多图层的图形验证码不仅效率较高、安全性较强,而且能够比较容易被用户识别。     

Automatic high-performance reconstruction and recovery

Self-protecting systems require the ability to instantaneously detect malicious activity at run-time and prevent execution. We argue that it is impossible to perfectly self-protect systems without false positives due to the limited amount of information one might have at run-time and that eventually some undesirable activity will occur that will need to be rolled back. As a consequence of this, it is important that self-protecting systems have the ability to completely and automatically roll back malicious activity which has occurred.As the cost of human resources currently dominates the cost of CPU, network, and storage resources, we contend that computing systems should be built with automated analysis and recovery as a primary goal. Towards this end, we describe the design, implementation, and evaluation of Forensix: a robust, high-precision analysis and recovery system for supporting self-healing. The Forensix system records all activity of a target computer and allows for efficient, automated reconstruction of activity when needed. Such a system can be used to automatically detect patterns of malicious activity and selectively undo their operations.Forensix uses three key mechanisms to improve the accuracy and reduce the human overhead of performing analysis and recovery. First, it performs comprehensive monitoring of the execution of a target system at the kernel event level, giving a high-resolution, application-independent view of all activity. Second, it streams the kernel event information, in real-time, to append-only storage on a separate, hardened, logging machine, making the system resilient to a wide variety of attacks. Third, it uses database technology to support high-level querying of the archived log, greatly reducing the human cost of performing analysis and recovery.     

恶意代码同源性分析及家族聚类

针对恶意代码数量呈爆发式增长,但真正的新型恶意代码却不多,多数是已有代码变种的情况,通过研究恶意代码的行为特征,提出了一套判别恶意代码同源性的方法。从恶意代码的行为特征入手,通过敏感恶意危险行为以及产生危险行为的代码流程、函数调用,应用反汇编工具提取具体特征,计算不同恶意代码之间的相似性度量,进行同源性分析比对,利用DBSCAN聚类算法将具有相同或相似特征的恶意代码汇聚成不同的恶意代码家族。设计并实现了原型系统,实验结果表明提出的方法能够有效地对不同恶意代码及其变种进行同源性分析及判定。     

BIOS恶意代码实现及其检测系统设计

根据基本输入输出系统(BIOS)恶意代码的植入方式,将其分为工业标准体系结构、高级配置和电源管理接口、外部设备互连模块恶意代码3类,分别对其实现过程进行研究。在此基础上,设计一种BIOS恶意代码检测系统,包括采样、模块分解、解压缩、恶意代码分析模块。应用结果表明,该系统能检测出BIOS镜像文件中植入的恶意代码,可有效增强BIOS的安全性。     

基于动态行为和机器学习的恶意代码检测方法

目前恶意代码出现频繁且抗识别性加强,现有基于签名的恶意代码检测方法无法识别未知与隐藏的恶意代码。提出一种结合动态行为和机器学习的恶意代码检测方法。搭建自动化分析Cuckoo沙箱记录恶意代码的行为信息和网络流量,结合Cuckoo沙箱与改进DynamoRIO系统作为虚拟环境,提取并融合恶意代码样本API调用序列及网络行为特征。在此基础上,基于双向门循环单元（BGRU）建立恶意代码检测模型,并在含有12 170个恶意代码样本和5 983个良性应用程序样本的数据集上对模型效果进行验证。实验结果表明,该方法能全面获得恶意代码的行为信息,其所用BGRU模型的检测效果较LSTM、BLSTM等模型更好,精确率和F1值分别达到97.84%和98.07%,训练速度为BLSTM模型的1.26倍。     

基于多线程的超混沌加解密技术

针对现阶段虚拟机防病毒技术存在的缺陷,本文将基于超混沌Hénon映射的加解密技术与多线程技术相结合,提出了基于多线程超混沌密码的恶意代码隐藏算法;在对恶意代码涉及的隐藏性因素进行分析的基础上,基于层次分析法,提出了恶意代码的隐藏性分析模型。利用灰鸽子这一典型恶意代码对提出的恶意代码隐藏算法进行了实验与测试,并利用隐藏性分析模型对测试结果进行了分析,验证了提出的基于多线程超混沌密码的恶意代码隐藏算法的有效性。本文的研究成果可以增强恶意代码的隐藏性,增加恶意代码的威胁程度,为防病毒技术的发展提供了新思路。     

一种基于组合事件行为触发的Android恶意行为检测方法

当前Android恶意应用程序在传播环节缺乏有效的识别手段,对此提出了一种基于自动化测试技术和动态分析技术的Android恶意行为检测方法。 通过自动化测试技术触发Android应用程序的行为,同时构建虚拟的沙箱监控这些行为。设计了一种组合事件行为触发模型——DroidRunner,提高了Android应用程序的代码覆盖率、恶意行为的触发率以及Android恶意应用的检测率。经过实际部署测试,该方法对未知恶意应用具有较高的检测率,能帮助用户发现和分析未知恶意应用。     

恶意行为图构建与匹配算法研究

恶意程序是互联网时代一个非常具有威胁性的安全问题。恶意程序的出现和传播速度的加快,使得对恶意程序的检测变得更加困难。大多数防火墙和防病毒软件都是根据恶意特征、使用一系列特殊字节来识别恶意代码。然而,恶意程序编写者会使用代码混淆技术来躲避这种检测。为此,研究者提出了动态分析方法来检测这种新的恶意程序,但这种方法的时间效率和匹配精度并不令人满意。文中提出了一种有效的恶意行为图构建与匹配算法,包括存储二维关联图的存储方法、行为图的构建方法、行为关联规则的构建方法、行为图解析算法的设计、行为匹配算法等。最后给出了实验分析,证明了该方法具有较高的检测准确率;除Auto类外,其对其他类别恶意程序的识别率都在90%以上。     

恶意代码检测研究前沿与发展趋势的计量分析

主要应用CiteSpace可视化工具，以近16年在恶意代码检测领域的CNKI中文期刊数据和WOS数据为研究对象，基于文献计量内容分析方法系统地回顾了国内外在恶意代码检测领域的关注点、研究脉络的发展规律、存在的共性与差异性和研究现状。通过对比国内外恶意代码检测的研究进展，可以发现目前恶意代码检测的研究处于增长阶段，并且研究主要关注领域为手机客户端和WEB应用安全等。同时，恶意代码检测研究目前存在的典型问题也暴露出来。展望了恶意代码检测研究可能的发展方向，为国内相关的研究提供参考。