一种新型的数据库安全审计系统

Ｃｏｍｐｕｔｅｒ　Ｅｎｇｉｎｅｅｒｉｎｇ　ａｎｄ　Ａｐｐｌｉｃａｔｉｏｎｓ计算机工程与应用　２００７．４３（５）　１６３　◎数据库与信息处理◎　一种新型的数据库安全审计系统　曹　晖　，王青青　，马义忠　，罗　平　ＣＡＯ　Ｈｕｉ　，ＷＡＮＧ　Ｑｉｎｇ－ｑｉｎｇ　，ＭＡ　Ｙｉ－ｚｈｏｎｇ　，ＬＵＯ　Ｐｉｎｇ２　１．兰州大学信息科学与工程学院．兰州７３００００　２．清华大学计算机科学与技术系，北京１０００８４　１．Ｓｃｈｏｏｌ　ｏｆ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｓｃｉｅｎｃｅ　ａｎｄ　Ｅｎｇｉｎｅｅｒｉｎｇ，Ｌａｎｚｈｏｕ　Ｕｎｉｖｅｒｓｉｔｙ，Ｌａｎｚｈｏｕ　７３００００，Ｃｈｉｎａ　２．Ｄｅｐａｒｔｍｅｎｔ　ｏｆ　Ｃｏｍｐｕｔｅｒ　Ｓｃｉｅｎｃｅ　ａｎｄ　Ｔｅｃｈｎｏｌｏｇｙ，Ｔｓｉｎｇｈｕａ　Ｕｎｉｖｅｒｓｉｔｙ，Ｂｅｉｊｉｎｇ　１０００８４，Ｃｈｉｎａ　ＣＡＯ　ＨＩＩｉ，ＷＡＮＧ　Ｑｉｎｇ－ｑｉｎｇ，Ｍａ　Ｙｉ—ｚｈｏｎｇ，ｅｔ　ａ１．Ｎｅｗ　ｄａｔａｂａｓｅ　ｓｅｃｕｒｉｔｙ　ａｕｄｉｔｉｎｇ　ｓｙｓｔｅｍ．Ｃｏｍｐｕｔｅｒ　Ｅｎｇｉｎｅｅｒｉｎｇ　ａｎｄ　Ａｐｐｌｉｃａｔｉｏｎｓ，２００７，４３（５）：１６３－１６５．　Ａｂｓｔｒａｃｔ：Ａｉｍｉｎｇ　ａｔ　ｔｈｅ　ｐｒｏｂｌｅｍ　ｏｆ　ｖａｓｔ　ｉｆｏｒｎｍａｔｉｏｎ　ｒｅｄｕｎｄａｎｃｙ　ｏｆ　ｄａｔａｂａｓｅ　ａｕｄｉｔｉｎｇ　ｓｙｓｔｅｍ，ｉｎｆｌｅｘｉｂｌｅ　ｏｆ　ａｕｄｉｔｉｎｇ　ｍｅｔｈｏｄ　ａｎｄ　ｉｎｅｆｉｃｉｅｎｔｆ　ｏｆ　ｄａｔａ　ｓｔａｔｉｓｔｉｃ　ａｎａｌｙｓｉｓ．Ｔｈｉｓ　ｐａｐｅｒ　ｐｒｅｓｅｎｔｓ　ａ　ｎｅｗ　ｄａｔａｂａｓｅ　ｓｅｃｕｒｉｔｙ　ａｕｄｉｔｉｎｇ　ｓｙｓｔｅｍ．Ｉｔ　ｈａｓ　ｍｏｒｅ　ｐｒａｃｔｉｃａｌ　ｖａｌｕｅ　ｆｏｒ　ｄａｔａｂａｓｅ　ｓｅｃｕｒｉｔｙ．　Ｋｅｙ　ｗｏｒｄｓ：ｄａｔａｂａｓｅ　ａｕｄｉｔｉｎｇ；ｄａｔａｂａｓｅ　ｓｅｃｕｒｉｔｙ；ｓｔａｔｉｓｔｉｃ　ａｎａｌｙｓｉｓ；ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　摘　要：针对目前主流数据库的审计系统存在审计信息冗余、审计配置方式不灵活、以及数据统计分析能力不足的问题，设计了一　种新型的数据库安全审计系统。该系统能约简大量的审计信息，提供灵活的审计配置方式并能有效检测对数据库可能的攻击，对　数据库安全防范更具有实用价值。　关键词：数据库审计；数据库安全；统计分析；入侵检测　文章编号：１００２—８３３１（２００７）０５—０１６３—０３　文献标识码：Ａ　中图分类号：ＴＰ３１　ｌ　ｌ　引言　在数据库系统实际运行中，有７０％以上的安全威胁都源于　内部人员攻击．而入侵检测和访问控制等机制对这类攻击的防　范能力非常有限：对于很多外部入侵事件．现有的ＩＤＳ（Ｉｎｔｒｕ—　重要性进行了必要的讨论。就数据库安全审计的产品而言，像　ＳｏｆｔＴｒｅｅ公司的ＤＢ　Ａｕｄｉｔ，国内复旦光华的ＤＢ　＿Ａｕｄｉｔ　都用可视化的方法实现了基于数据库的审计系统．并且已经可以支持　Ｏｒａｃｌｅ、Ｍｉｃｒｏｓｏｆｔ　ＳＱＬＳｅｒｖｅｒ等主要的数据库系统。但它们都存　在着审计信息冗余和对审计信息分析能力不足的问题。　本文论述了目前主流数据库的审计模型，并在数据库系统　已有的审计模块基础上重新设计和实现了新的ＤＢＳＡＳ　（Ｄａｔａｂａｓｅ　Ｓｅｃｕｒｉｔｙ　Ａｕｄｉｔｉｎｇ　Ｓｙｓｔｅｍ）。　ｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ）不能及时做出正确的响应。在这些情况　下作为安全事件追踪分析和责任追究的审计机制有着不可替　代的作用。但是目前主流数据库审计系统并没有提供专门的审　计接口．需要ＤＢＡ开启审计功能并进行手工配置。而且在进行　审计配置的过程中也没有一个具体指导的理论．使得审计出的　信息杂而乱。另外，现有主流数据库如Ｏｒａｃｌｅ、Ｍｉｃｒｏｓｏｆｌ　ＳＱＬＳｅｒｖｅｒ、ＩＢＭ　ＤＢ２的审计信息记录格式并不一样，因此在对　不同数据库中的审计记录信息进行审计汇总分析时．会出现数　据记录格式兼容ｆＪ１司题。所以建立一个通用的审计系统能够对　Ｊ『不同数据库系统的不同版本进行有效审计显得更为必要。　在数据库审计方面，文献【９】对Ｏｒａｃｌｅ中的审计模块进行　了详细的分析，从开启审计，配置审计，关闭审计，查看和分析　审计踪迹方面进行了详细的描述。在文献［Ｓｌｑ￣Ｐｉｃｃｉｏｔｔｏ提出了　应对所收集的１３志数据进行约简，以使得异常线索易于被发　２主流数据库产品中的审计模块　成熟的数据库系统有Ｏｒａｃｌｅ、Ｍｉｃｒｏｓｏｆｔ　ＳＱＬＳｅｒｖｅｒ、ＩＢＭ　ＤＢ２等，下面给出Ｏｒａｃｌｅ中的数据库审计模块基本结构图。其　他数据库跟Ｏｒａｌｃｅ的审计模块结构基本相似。　在图１中，审计管理员通过审计控制开关来确定待审计的　主体集、客体集、权限集、和语句集。这样与被审计对象相关的　操作都会写入系统审计表ＡＵＤ￥中。在ＳＹＳ．ＡＤＵ￥表中，系统　创建了多张系统视图，供用户查看审计踪迹。在文献【１】中对　Ｏｒａｃｌｅ、Ｍｉｃｒｏｓｏｆｔ　ＳＱＬＳｅｒｖｅｒ、ＩＢＭ　ＤＢ２中的审计模块都一一作　了详细的分析。指出在这些数据库产品中存储在ＡＵＤ￥表中的　现。在文献【３，４】中研究如何通过审计记录来发现入侵行为及内　部人员权限滥用问题。文献ｆ１，２，９ｌ对于数据库审计的必要性和　审计信息都存在信息冗余和物理空间浪费等现象。　基金项目：国家重点基础研究发展规划（９７３）（ｔｈｅ　Ｎａｔｉｏｎａｌ　Ｇｒａｎｄ　Ｆｕｎｄａｍｅｎｔｌａ　Ｒｅｓｅａｒｃｈ　９７３　Ｐｒｏｇｒａｍ　ｏｆ　Ｃｈｉｎａ　ｕｎｄｅｒ　Ｇｒａｎｔ　Ｎｏ．２００３ＣＢ３１４８０５）。　作者简介：曹晖（１９８２一），男，硕士研究生，主要研究方向：数据库安全、网络安全；王青青（１９８４一），女，硕士研究生，主要研究方向为：网络安全，下　一代互联网技术；马义忠（１９５２一），副教授，主要研究方向：网络通信与分布式系统；罗平（１９５９一），男，副教授，主要研究方向：信息安全、　密码算法、有限元方法、数据库安全检测。　维普资讯 http://www.cqvip.com

１６４　２００７，４３（５）　Ｃｏｍｐｕｔｅｒ　Ｅｎｇｉｎｅｅｒｉｎｇ　ａｎｄ　Ａｐｐｌｉｃａｔｉｏｎｓ计算机工程与应用　从对数据库访问集合中　提取主体、客体、权限、语句信息　［　ｌ萋］　［审计控制开关　萋］摩　Ｉ　审计记录写入ＡＵＤ￥￣　圈ｌ　目前主流数据库中审计模块结构圈　造成这些现象最直接的原因是由于在数据库进行审计的　时候没有一个统一的审计规则框架和审计信息记录格式。并且　这些主流的数据库产品都没有提供一个可视化的审计配置和　查询接口。给ＤＢＡ进行审计维护带来了一定的困难。　３新的数据库安全审计系统　正因为目前数据库安全审计系统存在着上述不足，在此基　础上．重新设计并实现了新的数据库安全审计系统。　３．１安全审计系统的基本结构　在图１的基础之上，设计了新的审计系统结构，如图２所　示。对原来的审计系统做了一定的修改并增加了４个新模块和　２个库：审计信息记录模块、审计规则查询模块、审计信息查询　模块．统计分析报告模块、审计规则库、统计特征库。　从对数据库访问集合中　提取主体、客体、权限、语句信息　审计管理员全局可视化配置审计规则　｛审计规则库（、　＝＝＝　．．．．．．　Ｉ审计规则查询模块　、．．．．．．．．．．．．．　．．．．．．．．．．．．．．．．．　』｝　审计信息记录模块　：　审计信息查询模块　』ｌ　（统计特征库　统计分析报告模块　图２新的数据库安全审计系统结构图　为了更好地了解系统各模块的功能：首先审计管理员应根　据数据库自身的安全需要配置相应的审计规则库，然后按照不　同安全需要生成相应的审计记录信息。对审计出的信息进行分　析并维护一段时间内的统计特征库，统计分析模块输出对数据　库系统的安全审计的分析报告。同时为了便于审计管理员进行　管理．设计了审计规则查询和审计信息查询模块。　３．２基于规则的审计配置　由于数据库的系统读写比较频繁，如果对所有对象的操作　都进行完整记录，会导致性能和存储需求很大，这样做是不必　要的　本节通过制定一个通用有效的审计规则框架，使审计管　理员可以根据待审计的主体、客体的安全级别来实施相应的安　全审计规则配置。这样审计出的信息不仅更具有针对性，还有　利于发现一些可能对数据库安全有威胁的操作。并且简化了审　计规模。　下面给出了数据库安全审计规则的定义：　定义ｌ（安全审计规则）：安全审计规则（Ｓｅｃｕｒｉｔｙ　Ａｕｄｉｔｉｎｇ　Ｒｕｌｅ）ＳＡＲ＝（Ａ０，ＯＰ，Ｔ，Ｍ，．ｓＬ，ＡＦ，．ｓ）是一个七元组，其中：　ＡＯ＝（Ｐｒ，Ｓａ，Ｕ，Ｄ）是审计主体，其中Ｐｒ＝｛ｐｒｌ，ｐｒ２，ｐｒ３，…ｌ　表示在特权审计中要审计的特权名称的集合，Ｓａ＝ｆｓａ１，ｓａ２，　ｓａ３，…ｌ表示在语句审计中要审计的语句名称的集合，Ｕ＝｛ｕｌ，　Ⅱ２，Ⅱ３，…ｌ表示在用户审计中要审计的用户对象名称的集合，　０＝｛ｏｌ，ｏ２，ｏ３，…ｌ表示在对象审计中要审计的对象名称的集　合。　ｏＰ＝（ｏｐ１，ｏｐ２，ｏｐ３，…）是所有作用在审计主体上的操作的　集合。　Ｔ＝｛ｔｌ，ｔ２，ｔ３，…ｌ是所有审计类型的集合，　基本操作集为　｛ｌ，２，３，４ｌ，其中　取值为ｌ代表特权审计、取值为２代表语句　审计、取值为３代表用户审计、取值为４代表对象审计。　Ｍ＝｛ｍｌ，ｍ２，ｍ３，…ｌ是所有审计模式的集合，ＪＩ】ｆ基本操作　集为ｓ，厂，　分别代表审计成功的操作、审计失败的操作和审计　所有的操作。　乩是审计规则的安全级别；基本操作集为ｆｌｏｗ，ｍｉｄｄｌｅ，　ｈｉｇｈ１，安全级别由审计管理员根据实际情况和自己的经验定义　待审计对象。对不同安全级别的审计规则记录的信息不一样。　ＡＦ是审计频度，ＡＦ基本操作集为ｆＳＥＳＳＩＯＮ，ＡＣＣＥＳＳ，　ＴＲＡＮＳＡＣＴＩＯＮ｝．其中ＳＥＳＳＩＯＮ表示会话频度，即在一个会话　中．同样的操作只记录一次。ＡＣＣＥＳＳ表示访问频度，ＴＲＡＮＳ—　ＡＣ册Ⅳ表示事务频度。　．ｓ是审计开关，．ｓ基本操作集为｛ＴＲＵＥ，ＦＡＬＳＥｌ，ＴＲＵＥ表　示开启一条审计规则、ＦＡＬＳＥ表示关闭某一条审计规则。　以上所有集合都是有限集合。由ＳＡＲ规则信息可知，某一　条审计规则都与具体数据库应用中的某一类操作事件相对应。　所有审计规则都存放在系统审计配置表（ｓｙｓ＿ａｕｄ＿ｃｏｎｆ）里面。　例１给出一条安全审计规则实例　ｓａｒｌ＝（ｓｙｓ．ａｕｄ￥，ｄｒｏｐ，４，ａ，ｈｉｇｈ，ａｃｃｅｓｓ，ｔｒｕｅ）　该审计规则表示：开启ｓｖｓ．ａｕｄ￥表高安全级别的对象审计　策略，若有对ｓｖｓ．ａｕｄ￥表执行过ｄｒｏｐ的操作，则不管执行成功　与否都按访问频度进行审计。　需要注意的是当要审计的对象或者审计的用户发生改变　的时候，也可能导致审计规则的修改。例如：当删除一张表时，　针对该表的审计规则就没有任何意义了，审计管理员需要及时　删除。　另外由于不同审计类型信息的意义不同，为了便于审计管　理员查询已有审计规则信息，审计系统提供了基于特权审计、　语句审计、用户审计、对象审计四个视图。　在系统设计应用中，安全审计系统提供了对数据库系统本　身的一些安全级别比较高的对象进行默认审计，如对Ｏｒａｃｌｅ系　统中的ＡＵＤ￥表以及ＤＢＡ一系列操作的审计，应该加入到推　荐的默认审计规则中。　总之．应尽量避免审计不必要的信息，平衡实际应用来收　集足够的信息，以便有能力存储和处理这些信息。同时审计管　理员若制定一个不好的审计规则会对数据库系统安全造成错　误的估计。　３＿３采用统一的审计记录格式　关于审计信息记录的格式‘，有以下两种标准：一是在文献　维普资讯 http://www.cqvip.com

曹　晖，王青青，马义忠，等：一种新型的数据库安全审计系统　１６５　【７１Ｐ？所描述的Ｂｉｓｈｏｐ的标准审计追踪格式。在此标准格式中．　每个日志记录包含一些域，域之间由域分割符“＃”分开，由启动　和终止符号“Ｓ”和“Ｅ”来定界。域的数目是不固定的，以满足扩　展性的需要。全部的数值都是ＡＳＩＣＩＩ代码串，这就避免了字节　排序和浮点格式的问题。二是归一化的审计数据格式。每个审　计数据值存放在一个独立的ＮＡＤＦ记录中，每条记录包括以　下３个域：识别符，审计数据值的类型；长度，审计数据值的长　度；值，审计数据值。　我们应用并扩展了ＮＡＤＦ格式，在记录中最多可包括ｌ１　个域，最少应包括７个域，这７个域（Ｕ、ＵＩＤ、Ｏ、ＯＩＤ、ＳＱＬ＿＿ＴＥＳＴ、　Ｈｏｓｔｎａｍｅ、ＩＰ）可唯一确定某一操作的主体，客体以及操作的内　容。在记录的信息中同时包括Ｈｏｓｔｎａｍｅ，ＩＰ两项，是为了更精　确地取证是否有内部攻击者用别人数据库帐号进行登陆并对　数据库进行破坏操作。审计信息记录的域的个数由上面所制定　的审计规则所属安全级别决定。　下面给出记录格式的定义　定义２（审计记录格式）：审计记录格式（Ｓｅｃｕｒｉｔｙ　Ａｕｄｉｔｉｎｇ　ｒａｉｌ　Ｆｏｒｍａｔ　ｓＡＴＦ＝ｔＵ．ＵｌＤ．Ｏ，ＯｌＤ．Ｔ．ＳＱＬ—ＴＥｘＴ．ＴｌＭＥ．　ＳＵＣ，ＥＲＲ，Ｈｏｓｔｎａｍｅ，１Ｐ）其中：　Ｕ、Ｕ１Ｄ、０、Ｏ／Ｄ分别表示被记录的主体、主体唯一标识、客　体、客体唯一标识，ＳＱＵＥＸＴ表示操作的ＳＱＬ语句，ＴＩＭＥ表　示操作的时间，１Ｓ＿ＳＵＣ表示操作是否成功，ＥＲＲＭ表示如果操　作失败．则记录提示操作失败的错误信息，否则为空，Ｈｏｓｔ、ＩＰ　表示主体登陆的主机名和主机ＩＰ。　所有的审计记录信息都存放在ｓｙｓ—ａｕｄ—ｔｒａｉｌ表中。　例２给出一条审计记录信息，其对应于例１中的一条安　全审计规则　ｓａｔｆｌ＝（ｓｙｓ，００１，ｓｙｓ．ａｕｄ￥．１０３，＜ｄｒｏｐ　ｔａｂｌｅ　ｓｙｓ．ａｕｄＳ＞，　２００６—０１－２７－２０－２２－３４．ＳＵＣＣＥＳＳ，ｎｕｌｌ，ｈｙｄｅ．１９２．１６８．１．１１１）　该记录表示：ｓｙｓ用户登陆到ＩＰ为１９２．１６８．１．１１１，用户名　为ｈｙｄｅ的主机上．在２００６年１月２７日２０时２２分３４秒的时　候成功地ｄｒｏｐ了ｓｙｓ．ａｕｄ￥表。　同一个操作可能符合多种类型的审计规则，为了节省存储　空间．只产生一条审计信息。同时系统也提供了对审计记录存　储空间增长的监视功能．从而避免对数据库性能造成影响，另　外系统可以对审计信息定期自动进行备份和清空。　３．４　自适应审计分析模型　、审计分析模型是根据主体的历史档案（Ｈｉｓｔｏｒｙ　Ｐｍｆｉｌｅ）来　判断主体的当前事件是否偏离了过去的行为模式。每次审计记　录接受后，计算该阶段事件与历史档案中事件的统计值之间的　偏差是否超过了设定的阈值。　３．４．１特征值的选取　统计方法最重要的步骤是异常特征值的选取。因为入侵异　常行为是影响特征值变化的唯一的或主要的因素。而在数据库　系统中．入侵异常行为可划分为实体攻击和强度攻击。　实体攻击：指在用户对数据库的正常使用中，每个用户由　于权限和工作范围只能访问数据库中一部分的对象。如果在检　测过程中，审计记录中用户访问了一个不曾访问过的对象（如：　表、视图等），那么认为有异常存在。　强度攻击：指在正常使用中，用户访问数据库中对象的频　度也是趋于在一个水平范围内。如用户登录失败次数，用户访　问对象失败次数等。　因此可根据攻击类型来构建统计分析所需的特征向量，将　其分成两类：　实体攻击特征向量：用户访问对象的分布，用户使用权限　的分布　强度攻击特征向量：用户登录失败次数．用户访问对象失　败次数，用户会话的ＣＰＵ占用均值，用户写数据量，用户读数　据量　根据这些特征值的变化，对审计记录分析判断是否存在实　体攻击和强度攻击。　３．４．２检测分析方法描述　在具体应用中，采用了方差分析法作为统计分析模型。以　日特征值的统计计算为例描述统计分析方法。　统计区间分为同类值区间和近期值区间两部分。同类值是　指在时间上有相同点的特征数据，如：所有星期一的数据读写　量、所有月份１号那一天的数据读取量。近期值是指在检测当　天往前若干天内的特征数据值，如：２０天内每天的登录失败次　数。具体实例如下：　星期一数据的统计区间：当年所有星期一数据；　工作日近期值统计区间：最近Ｘ日的工作日数据；　休息日近期值统计区间：最近Ｉ，日的休息日数据。　初始设定Ｘ＝２２，Ｙ＝８，可根据应用背景调整。以此类推，可　计算一星期中七天的统计区间。在统计区间内：　Ⅳ　（１）根据公式　＝　１∑ｓ　分别计算各个特征值的均值，其　Ｖ　Ｊ＝ｌ　中Ｓ　为统计区间内每日计算出的特征值，Ⅳ为统计区间的天　数，Ｓ为该特征分量的均值。　．；　（２）根据公式　＝　（∑ｓ　）计算出各特征分量的方差。　Ｖ　，＝ｌ　（３）根据公式ｓ　＝　（ｓ　＋５　）分别计算各个特征分量的参考　值，Ｓ．取上一步骤中得到的统计区间相应均值。Ｓ　是近期值区　间中的统计均值。　３．４Ｉ３判断当日的异常　根据当日的特征数据、参考值和方差，判断各个特征值是　否处于异常区间。　当ａ￣＜ｌＳ　一Ｓ　『＜６　时，处于一般异常状态；　当ｂｏ．＜ｌＳ　一Ｓ　『＜ｃ　时，处于中级异常状态；　当ｃｏ＂＜ＩＳ广Ｓ　Ｉ时，处于严重异常状态。其中ａ，ｂ，ｃ＞０。　根据应用背景和统计分析结果动态调整ａ，ｂ，ｃ的数值。　在异常的情况下，根据下面公式计算相应特征向量Ｓ　的　变化幅度：　ＩＳｃ－－Ｄ：—ＳＪ　１００％　５　３．４．４阈值自适应调整策略　上述统计分析方法的最大优点是应用了成熟的概率统计　理论．可以“学习”用户的正常使用习惯，从而具有较高异常检　出率与可用性。但作为统计分析方法，最大难题是阈值的确定，　阈值过高漏报率增大，阈值过低误报率增大，而且固定阈值还　不能反映近期行为的正常变化。因此，必须引入阈值的自适应　调整策略。在上述统计方法中，从以下方面应用了自适应的调　整策略。　（下转１７１页）　维普资讯 http://www.cqvip.com

须文波，王翔飞：不完备信息系统的Ｒｏｕｇｈ模型扩充　１７１　本文的方法中得到两者是可以分辨的。　在本例中可以看出，若选取等价度ｋ＝Ｏ，可得到与一般容　ｃａｒｄ（　；）　差关系下相同的分类结果；若选取等价度　＝０．２５，可得到与限　制容差关系下相同的分类结果。所以在实际应用中，可根据具　体情况来选取恰当的ｋ值，从而可得到更好的分类。由以上可　以看出，本文的方法更加符合实际，更加灵活　ｙ（　旦　而厂　近似分类精度描述的是使用　对对象分类时，可能的决　策中正确决策的百分比；分类的质量表示的是应用　对对象　分类能确切地划人Ｐ类的对象的百分比。　４　ｋ等价度容差关系下的性质和相关定义　由　等价度容差关系下的上、下近似集定义显然可得出下　列性质（证明略）：　５　结语　本文对不完备信息系统的Ｒｏｕｇｈ模型进行了扩展，建立了　基于ｋ等价度容差关系的粗糙集模型，并给出了此关系下的相　关性质和定义。通过与一般容差关系，相似关系，限制容差关系　的比较，本文的Ｒｏｕｇｈ集模型具有很好的灵活性．得到的分类　（１）　Ｃ＿ＸＣ＿ｆｘ　（２）　ｋ０：　：０　结果也更符合实际情况。（收稿日期：２００６年ｌ１月）　（３）Ｔｋ（ｘｕｌ，１：ＣｘｕＣｖ　（４）　（　ｎＹ）　（５）　（６）　参考文献：　【１】ＰＡＷＬＡＫ　Ｚ，ＢＵＳＳＥ　Ｊ　Ｇ．ＲｏｕＩｇｈ　ｓｅｔｓ［Ｊ］．Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ　ｏｆ　ｔｈｅ　ＡＣＭ，１９９５，３８（１１）：８９－９５．　ｎ　ｌ，　ｋｙ　Ｙ￣一Ｔ　ｋＸＣ＿Ｔ　【２】ＫＲＹＳＺＫＩＥＷ　Ｉ．ｎｏｕ　ｇｈ　ｓｅｔ　ａｐｐｒｏａｃｈ　ｔｏ　ｉｎｃｏｍｐｌｅｔｅ　ｉｎｆｏｒｍａｔｉｏｎｇ　ｓｙｓｔｅｍｓ［Ｊ］．Ｉｎｆｏｒｍａｔｉｏｎｇ　Ｓｃｉｅｎｃｅｓ，１９９８，１１２（１－４）：３９－－４９．　【３】ＳＴＥＦＡＮＯＷ　Ｓ，ＴＳＯＵＫＩＡＳ　Ａ．Ｏｎ　ｔｈｅ　ｅｘｔｅｎｓｉｏｎ　ｏｆ　ｒｏｕ【ｇｈ　ｓｅｔｓ　ｕｎｄｅｒ　ｉｎｃｏｍｐｌｅｔｅ　ｉｎｆｏｒｍａｔｉｏｎ【Ｃ］／／Ｚｈｏｎｇ　Ｎ，Ｓｋｏｗｒｏｎ　Ａ，Ｓｏｈｓｕｇａ．Ｐｒｏｃ　ｏｆ　ｔｈｅ　７ｔｈ　Ｉｎｔ　Ｗｏｒｋｓｈｏｐ　ｏｎ　Ｎｅｗ　Ｄｉｒｅｃｔｉｏｎｓ　ｉｎ　Ｒｏｕｇｈ　Ｓｅｔｓ，Ｄａｔａ　Ｍｉｎｉｎｇ．ａｎｄ　Ｇｒａｎｕｌａｒ—Ｓｏｆｔ　Ｃｏｍｐｕｔｅｒ．Ｂｅｒｌｉｎ：Ｓｐｒｉｎｇｅｒ—Ｖｅｒｌａｇ，１９９９：　７３－８１．　ｌ，ｊ　Ｙ　进一步可以定义两个量度来描述分类的不精确性。近似分　类精度和近似分类质量。　定义１０　Ｐ｛Ｘ。，Ｘ　，…，　｝为　上的一个分类或划分，近似　分类精度ｄ（Ｐ）和近似分类质量　（Ｐ）定义为：　１　【４】ＳＴＥＦＡＮＯＷ　Ｓ，ＴＳＯＵＫＩＡＳ　Ａ．Ｉｎｃｏｍｐｌｅｔｅ　ｉｆｏｒｎｍａｔｉｏｎ　ｔａｂｌｅｓ　ａｎｄ　ｃａｒｄ（　ｄ（Ｐ）＝　———一）　　ｒｏｕｇｈ　ｃｌａｓｓｉｉｆｃａｔｉｏｎ【Ｊ　ＪｌＣｏｍｐｕｔａｔｉｏｎａｌ　Ｉｎｔｅｌｌｉｇｅｎｃｅ，２００１，３（１７）：　５４５－５６６．　乞ｃａｒｄ（ＴＸ　）　【５】王国胤．Ｒｏｕ　ｇｈ集理论在不完备信息系统中的扩充【Ｊ　Ｊｌ计算机研究与　发展．２ｏ０２．３９（１０）：１２３８—１２４３．　（上接１６５页）　日志保护ＳＡＴＰ（Ｓｅｃｕｒｉｔｙ　Ａｕｄｉｔ　Ｔｒａｉｌ　Ｐｒｏｔｅｃｔ）模块，并尝试使用　分布式审计策略来减轻安全审计系统给数据库系统带来的性　能影响。（收稿日期：２００６年１０月）　（１）阈值的确定　在计算参考值时，采用了均值和最近关联值的算术平均　值，由于最近关联值的引入，能够反映数据的近期动态，便于参　考值的自适应调整。　（２）异常区间的确定　对上述分析方法推断的异常数据进行后期的确认和分析，　参考文献：　【１】黄芳．一种新的数据库系统的规约审计模型【ＪＪ．计算机工程与应用，　２００４，４０（１７）：１７５－２０４．　从而获取实际数据库异常入侵行为，通过分析及结果的比对，　验证分析的正确率，在此基础上调整口、ｂ和ｃ的值，确定适合　应用背景的异常区间。　【２】Ｋｏｇａｎ　Ｂ，Ｊａｊｏｄｉａ　Ｓ．Ａｎ　ａｕｄｉｔ　ｍｏｄｅｌ　ｆｏｒ　ｏｂｊｅｃｔ—ｏｒｉｅｎｔｅｄ　ｄａｔａｂａｓｅｓ［Ｊ］．　ＩＥＥＥ　Ｃｏｍｐｕｔｅｒ　Ｓｏｃｉｅｔｙ，１９９１：９０—９９．　【３】Ｈｅｌｍａｎ　Ｐ，Ｌｉｅｐｉｎｓ　Ｇ．Ｓｔａｔｉｓｔｉｃａｌ　ｆｏｕｎｄａｔｉｏｎｓ　ｏｆ　ａｕｄｉｔ　ｔｒａｉｌ　ａｎａｌｙｓｉｓ　ｆｏｒ　ｔｈｅ　ｄｅｔｅｃｔｉｏｎ　ｏｆ　ｃｏｍｐｕｔｅｒ　ｍｉｓｕｓｅ［Ｊ］．ＩＥＥＥ　Ｔｒａｎｓ　ｏｎ　Ｓｏｆｔｗａｒｅ　Ｅｎｇｉｎｅｅｒｉｎｇ，１９９３，１９（９）：８８６—９０１．　４结束语　本文设计的数据库安全审计系统相对于原来数据库的已　有的审计系统，有以下优点：（１）提出基于规则的可视化审计配　【４】Ｂｉｓｋｕｐ．Ｔｒａｎｓａｃｔｉｏｎ－ｂａｓｅｄ　ｐｓｅｕｄｏｎｙｍｓ　ｉｎ　ａｕｄｉｔ　ｄａｔａ　ｆｏｒ　ｐｒｉｖａｃｙ　ｒｅｓｐｅｃｔｉｎｇ　ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ［ＣＪ／／Ｐｒｏｃｅｅｄｉｎｇｓ　ｏｆ　ｔｈｅ　Ｔｈｉｒｄ　Ｉｎｔｅｒ—　ｎａｔｉｏｎａｌ　Ｗｏｒｋｓｈｏｐ　ｏｎ　Ｒｅｃｅｎｔ　Ａｄｖａｎｃｅｓ　ｉｎ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ，　Ｏｃｔｏｂｅｒ　０２—０４，２０００：２８－４８．　置方式，以简化并实施数据库系统全局的审计配置。使得审计　模块定制的可扩展性和通用型都有相应的提高。（２）定义统一　【５】Ｐｉｃｃｉｏｔｔｏ　Ｊ．Ｔｈｅ　ｄｅｓｉｇｎ　ｏｆ　ａｎ　ｅｆｆｅｃｔｉｖｅ　ａｕｄｉｔｉｎｇ　ｓｕｂｓｙｓｔｅｍ［Ｃ］／／ＩＥＥＥ　Ｓｙｍｐ　ｏｎ　Ｓｅｃｕｒｉｔｙ　ａｎｄ　Ｐｒｉｖａｃｙ．ＩＥＥＥ　Ｃｏｍｐｕｔｅｒ　Ｓｏｃｉｅｔｙ　Ｐｒｅｓｓ，１９８７：　ｌ３－２２．　的审计信息记录格式，只记录必要的信息，以解决冗余的数据　信息带来的系统性能问题。（３）能够对审计记录的信息进行查　询和有效的分析，找出可能的攻击。　【６】Ｂｉｓｈｏｐ　Ｍ．Ｇｏａｌ　ｏｒｉｅｎｔｅｄ　ａｕｄｉｔｉｎｇ　ａｎｄ　ｌｏｇｇｉｎｇ［Ｊ］．ＩＥＥＥ　Ｔｒａｎｓａｃｔｉｏｎ　ｏｎ　Ｃｏｍｐｕｔｉｎｇ　ｓｙｓｔｅｍｓ，１９９６．　另外，开启审计会影响数据库性能，并且随着数据库操作　量的增大，这种影响会显著增大。这时必须在安全审计系统跟　【７】Ｂｉｓｈｏｐ　Ｍ．Ａ　ｓｔａｎｄａｒｄ　ａｕｄｉｔ　ｔｒａｉｌ　ｆｏｒｍａｔ［Ｒ］．Ｄｅｐａｒｔｍｅｎｔ　ｏｆ　Ｃｏｍｐｕｔｅｒ　Ｓｃｉｅｎｃｅ，Ｕｎｉｖｅｒｓｉｔｙ　ｏｆ　Ｃａｌｉｆｏｒｎｉａ　ａｔ　Ｄａｖｉｓ，１９９５．　数据库系统性能之间做出权衡。例如：放弃对某几种操作类型　或者某些数据表的审计。但这已属于审计管理的范畴，本文不　做进一步的阐述。　下一步要做的工作，就是在已有安全审计系统上增加安全　【８】Ｍａｒｋａｎｔｏｎａｋｉｓ　Ｃ．Ｓｅｃｕｒｅ　ｌｏｇｇｉｎｇ　ｍｅｃｈａｎｉｓｍｓ　ｆｏｒ　ｓｍａｒｔ　ｃａｒｄ【Ｄ】．　Ｅｇｈａｍ：Ｕｎｉｖｅｒｓｉｔｙ　ｏｆ　Ｌｏｎｄｏｎ，１９９９．　【９】Ｒｅｅｓｅｒ　Ｗ．Ｕｎｄｅｒｓｔａｎｄｉｎｇ　Ｏｒａｃｌｅ．Ａｕｄｉｔｉｎｇ．ｈｔｔｐ：／／ｗｗｗ．ｇｉａｃ．ｏｒｇ／ｃｅｒｔｉ—　ｏｆｅｓｓｉｏｎａｌｓ／ｐｒａｃｔｉｃａｌｓ／ｇｓｅｃ／４０８５．ｐｈｐ．　ｌｅｄｐｒｆ—