基于Mycat的擬態(tài)數(shù)據(jù)庫(kù)中間件研究①

曹國(guó)棟,倪 明,喻衛(wèi)東,王 燦

(華東計(jì)算技術(shù)研究所,上海 201808)

現(xiàn)在社會(huì),信息技術(shù)飛速發(fā)展,伴隨著數(shù)以億計(jì)的數(shù)據(jù)產(chǎn)生,數(shù)據(jù)庫(kù)作為整個(gè)系統(tǒng)中信息輸入和輸出的重要組件,對(duì)于其保護(hù)和處理,日益成為人們關(guān)注的焦點(diǎn).據(jù)統(tǒng)計(jì)僅2018年數(shù)據(jù)泄露事件高達(dá)945次,導(dǎo)致的信息泄露數(shù)量達(dá)到45億條之多,信息量陡增133個(gè)百分點(diǎn).

2018年5 月,在南京舉辦的“強(qiáng)網(wǎng)杯”擬態(tài)防御挑戰(zhàn)賽,在國(guó)內(nèi)外22支頂尖戰(zhàn)隊(duì)的高強(qiáng)度攻擊下,擬態(tài)防御設(shè)備成功封堵了所有攻擊,即使開放管理員權(quán)限,在擬態(tài)防御設(shè)備中隨意注入后門,也沒(méi)有任何戰(zhàn)隊(duì)突破擬態(tài)防御,為擬態(tài)防御進(jìn)行全方位、高強(qiáng)度的安全檢驗(yàn).擬態(tài)防御[1,2](Cyberspace Mimic Defense,CMD)是在功能等價(jià)的條件下提供可控的執(zhí)行環(huán)境的跳變和遷移,使攻擊者對(duì)目標(biāo)環(huán)境的難以掌握[3,4].在擬態(tài)環(huán)境中,海量數(shù)據(jù)存儲(chǔ)與訪問(wèn)是系統(tǒng)設(shè)計(jì)與使用的瓶頸問(wèn)題,利用開源的分布式存儲(chǔ)數(shù)據(jù)庫(kù)中間件Mycat,通過(guò)對(duì)數(shù)據(jù)進(jìn)行水平切分,將不同的表映射到不同的數(shù)據(jù)庫(kù)中,通過(guò)集群管理,事務(wù)分布式處理[5],實(shí)現(xiàn)數(shù)據(jù)庫(kù)容量的擴(kuò)充和數(shù)據(jù)庫(kù)結(jié)構(gòu)的冗余,加之其對(duì)SQL語(yǔ)句有攔截和分析的作用,依據(jù)指紋特征對(duì)執(zhí)行體指紋化SQL指令進(jìn)行特征化處理,發(fā)現(xiàn)并剔除攻擊者注入的非法指令.Mycat對(duì)數(shù)據(jù)庫(kù)返回的數(shù)據(jù)進(jìn)行表決,判斷異常數(shù)據(jù)庫(kù),并對(duì)出現(xiàn)故障的數(shù)據(jù)庫(kù)進(jìn)行還原保護(hù),實(shí)現(xiàn)數(shù)據(jù)庫(kù)的擬態(tài)化.

1 擬態(tài)介紹

擬態(tài)防御(CMD)是中國(guó)工程院鄔江興院士在2013年的提出的關(guān)于網(wǎng)絡(luò)空間安全防御的創(chuàng)新性理論,網(wǎng)絡(luò)空間擬態(tài)防御是基于一種主動(dòng)防御和被動(dòng)防御相結(jié)合的網(wǎng)絡(luò)安全防御架構(gòu),克服了以往計(jì)算機(jī)系統(tǒng)漏洞,后門或者病毒的時(shí)間不確定性,危害未知性,資源破壞性,為將來(lái)的網(wǎng)絡(luò)安全防御提供普適創(chuàng)新的理論和方法指導(dǎo)[6,7].

1.1 擬態(tài)防御應(yīng)用

在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中,一些高校和科研院所已提出了擬態(tài)防御中異構(gòu)性的構(gòu)造方法,文獻(xiàn)[8]提出了利用軟硬件多樣性實(shí)現(xiàn)多源異構(gòu)化處理方法;文獻(xiàn)[9,10]提出了利用軟件多樣化編譯對(duì)單一軟件進(jìn)行異構(gòu)化處理的方法,也隨之研制出了包括擬態(tài)Web服務(wù)器[11,12]、擬態(tài)防御路由器[13,14]擬態(tài)DNS服務(wù)器[15]等應(yīng)用設(shè)備.

1.2 擬態(tài)防御原理

擬態(tài)防御的基本原理是:在不依賴未知攻擊特征信息的前提下,通過(guò)多個(gè)等價(jià)等功能的不同體系結(jié)構(gòu)的執(zhí)行體,利用動(dòng)態(tài)異構(gòu)冗余架構(gòu)(DynamicHetero geneous Redundant Architecture,DHRA)[2],DHRA模型如圖1所示,實(shí)現(xiàn)運(yùn)行環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)、軟件等結(jié)構(gòu)的主動(dòng)切換或快速轉(zhuǎn)移,代表性技術(shù)如表1,使攻擊者難以判斷目標(biāo)對(duì)象的運(yùn)行環(huán)境和機(jī)制,提高攻擊者在時(shí)間維度和空間維度的攻擊成本和難度[8].

圖1 DHRA模型

表1 動(dòng)態(tài)性技術(shù)分類

在高可靠的非相似余度“容錯(cuò)”模式下,執(zhí)行體通過(guò)可重組,可重構(gòu),可重建和可重定義等動(dòng)態(tài)構(gòu)造方法,實(shí)現(xiàn)異構(gòu)性,動(dòng)態(tài)性和冗余判斷.動(dòng)態(tài)異構(gòu)冗余模型(DHRA)由輸入,輸入代理,執(zhí)行體集(A1,A2,A3,… ,An),多模/策略表決器,輸出組成.根據(jù)系統(tǒng)輸入,異構(gòu)元素池中選擇異構(gòu)元素,組成m個(gè)異構(gòu)構(gòu)件,通過(guò)系統(tǒng)的策略調(diào)度,形成n個(gè)異構(gòu)執(zhí)行體,經(jīng)過(guò)對(duì)執(zhí)行體產(chǎn)生的結(jié)果多模判決,決定系統(tǒng)輸出[2].

2 擬態(tài)數(shù)據(jù)庫(kù)中間件

數(shù)據(jù)庫(kù)中間應(yīng)用于Web服務(wù)器和數(shù)據(jù)服務(wù)器之間,對(duì)兩者之間交互的數(shù)據(jù)庫(kù)指令進(jìn)行攔截.擬態(tài)數(shù)據(jù)庫(kù)中間件要實(shí)現(xiàn)數(shù)據(jù)庫(kù)的切分和擴(kuò)容,集群管理,事務(wù)分布式處理,與此同時(shí),要實(shí)現(xiàn)對(duì)SQL語(yǔ)言進(jìn)行特征處理,識(shí)別和執(zhí)行SQL指紋語(yǔ)句,剔除攻擊者注入的非法指令,并對(duì)出現(xiàn)故障的數(shù)據(jù)庫(kù)進(jìn)行還原保護(hù).

基于此現(xiàn)狀,本研究提出利用Mycat在擬態(tài)環(huán)境中作為數(shù)據(jù)庫(kù)的中間件,借助于動(dòng)態(tài)冗余異構(gòu)模型設(shè)計(jì),利用擬態(tài)安全的環(huán)境為依托,簡(jiǎn)化擬態(tài)環(huán)境中數(shù)據(jù)的切分,存取和同步,調(diào)用對(duì)應(yīng)SQL指紋指令對(duì)前端指紋SQL執(zhí)行進(jìn)行去指紋化.

2.1 中間件簡(jiǎn)介

Mycat是用于解決傳統(tǒng)關(guān)系型數(shù)據(jù)庫(kù)大數(shù)據(jù)存儲(chǔ)不足而設(shè)計(jì)的開源分布式數(shù)據(jù)存儲(chǔ)中間件[16],使用NIO重構(gòu)的網(wǎng)絡(luò)模塊,優(yōu)化緩沖內(nèi)核,增強(qiáng)聚合等基本特性,兼容Oralce、PostgreSQL等多種數(shù)據(jù)庫(kù),實(shí)現(xiàn)跨語(yǔ)言,跨平臺(tái),跨數(shù)據(jù)庫(kù)的通用中間件,并提供和原生數(shù)據(jù)庫(kù)一致的命令訪問(wèn)的支持,可實(shí)現(xiàn)集群管理,自動(dòng)擴(kuò)容,智能優(yōu)化的功能[5],Mycat架構(gòu)如圖2.Mycat作為中間件,其功能更好的對(duì)數(shù)據(jù)庫(kù)實(shí)現(xiàn)擬態(tài)防御中動(dòng)態(tài)異構(gòu)冗余模型(DHRA)構(gòu)造,使數(shù)據(jù)的訪問(wèn)和處理更安全,高效.

2.2 中間件在擬態(tài)中集群管理

由于在擬態(tài)環(huán)境中需要多個(gè)執(zhí)行體,為保證執(zhí)行體執(zhí)行的數(shù)據(jù)統(tǒng)一和多模裁決,所有執(zhí)行體共用一個(gè)數(shù)據(jù)庫(kù)集群,這就要求數(shù)據(jù)庫(kù)能夠同時(shí)容納并處理大量數(shù)據(jù),并且對(duì)指紋SQL語(yǔ)言有切分判決能力.Mycat作為數(shù)據(jù)庫(kù)的中間件能在擬態(tài)環(huán)境中搭建以Mysql為底層節(jié)點(diǎn)的分布式數(shù)據(jù)庫(kù)系統(tǒng)[17],系統(tǒng)通過(guò)Mysql的通信協(xié)議[18]與用戶以及底層數(shù)據(jù)庫(kù)通信,實(shí)現(xiàn)負(fù)載均衡、指紋SQL語(yǔ)句重寫、讀寫分離、多臺(tái)數(shù)據(jù)庫(kù)并行處理以及結(jié)果集合并等功能[5],又因其是開源程序,Mycat對(duì)整個(gè)集群能透明地訪問(wèn)和管理,集群管理如圖3,這在擬態(tài)環(huán)境中,集群管理為數(shù)據(jù)的安全訪問(wèn)和處理提供了更可靠高效的保障.

圖2 Mycat架構(gòu)

圖3 Mycat集群管理

2.2.1 數(shù)據(jù)庫(kù)中間件的切分

在擬態(tài)環(huán)境中,多個(gè)異構(gòu)執(zhí)行體訪問(wèn)同一數(shù)據(jù)庫(kù),這就對(duì)數(shù)據(jù)庫(kù)存儲(chǔ)和運(yùn)算能力有一定的要求.作為執(zhí)行體和數(shù)據(jù)庫(kù)的中間件,Mycat對(duì)執(zhí)行體發(fā)送的SQL語(yǔ)句進(jìn)行攔截分析,通過(guò)邏輯表中的取模分片算法、分片枚舉、Hash分片等特定算法,將數(shù)據(jù)的存儲(chǔ)和讀取,由一個(gè)數(shù)據(jù)庫(kù)分散到多個(gè)數(shù)據(jù)庫(kù)中,減少了單個(gè)數(shù)據(jù)庫(kù)存儲(chǔ)和運(yùn)算壓力,實(shí)現(xiàn)數(shù)據(jù)分布式存儲(chǔ)[5],Mycat分布式數(shù)據(jù)存儲(chǔ)構(gòu)架如圖4.

圖4 Mycat分布式數(shù)據(jù)存儲(chǔ)構(gòu)架

2.2.2 數(shù)據(jù)庫(kù)中間件高可用性

在擬態(tài)環(huán)境中,多個(gè)執(zhí)行體對(duì)數(shù)據(jù)庫(kù)進(jìn)行頻繁的數(shù)據(jù)存儲(chǔ)和讀取,Mycat作為執(zhí)行體和數(shù)據(jù)庫(kù)連接點(diǎn),其本身的高可用性涉及所連接數(shù)據(jù)庫(kù)乃至整個(gè)擬態(tài)系統(tǒng)的高可用性.數(shù)據(jù)庫(kù)經(jīng)過(guò)切分后,在各個(gè)節(jié)點(diǎn)的數(shù)據(jù)庫(kù)獨(dú)立運(yùn)行前提下,Mycat使用主從復(fù)制高的可用配置,將dataHost中的writeNode配置為主節(jié)點(diǎn),readNode配置為從節(jié)點(diǎn),在邏輯表中,可配置多個(gè)readNode和writeNode,實(shí)現(xiàn)多寫多讀.在Mycat正常運(yùn)行時(shí),其內(nèi)部對(duì)dataHost中的全部readHost和WriteHost節(jié)點(diǎn)定期發(fā)起心跳檢測(cè)[5],將全部的DML SQL發(fā)送給第一個(gè)writeNode,當(dāng)?shù)谝粋€(gè)writeNode所在的節(jié)點(diǎn)出現(xiàn)宕機(jī),默認(rèn)3次心跳檢測(cè)失敗后,Mycat將自動(dòng)切換到下一個(gè)可用的writeNode,并執(zhí)行DML SQL語(yǔ)句.由于Mycat是無(wú)狀態(tài)中間件,在擬態(tài)環(huán)境下,用HAProxy等負(fù)載均衡軟件部署為集群模式[1],Mycat高可用架構(gòu)如圖5.

圖5 Mycat高可用架構(gòu)

2.2.3 數(shù)據(jù)庫(kù)中間件分布式處理

事務(wù)處理由一組操作構(gòu)成,其具有原子性(atomicity)、隔離性(isolation)、持久性(durability)和一致性(consistency)4 個(gè)特性[5],在擬態(tài)環(huán)境中,我們希望通過(guò)中間件的分布式處理[17](Distributed Transaction Processing,DTP)將所有SQL語(yǔ)句正確執(zhí)行.分布式事務(wù)處理(DTP)是在一個(gè)或多個(gè)數(shù)據(jù)庫(kù)完成SQL語(yǔ)句執(zhí)行過(guò)程的集合,其關(guān)鍵是知道事務(wù)在數(shù)據(jù)庫(kù)中任何地方所做的動(dòng)作,通過(guò)事務(wù)準(zhǔn)備,提交,反饋,產(chǎn)生統(tǒng)一的結(jié)果,如果某個(gè)步驟發(fā)生錯(cuò)誤,就需要回滾到上一步已經(jīng)完成的操作.X/Open定義了分布式事務(wù)處理模型,其由應(yīng)用程序 (ApplicationProgram,AP)、資源管理器(ResourceManagement,RM)、通信資源管理器 (Communication Resource Management,CRM)、事務(wù)管理器(Transaction Management,TM)四部分組成[5].AP可以和TM以及RM通信,TM和RM互相之間可以通信,TM和RM通過(guò)XA接口進(jìn)行雙向通信,TM通知RM提交事務(wù)或者回滾到上一事務(wù)正確執(zhí)行完的點(diǎn),RM把提交結(jié)果通知給TM.

在擬態(tài)環(huán)境中,在準(zhǔn)備階段,Mycat中事務(wù)管理器通知節(jié)點(diǎn)數(shù)據(jù)庫(kù)準(zhǔn)備分支事務(wù),節(jié)點(diǎn)數(shù)據(jù)庫(kù)準(zhǔn)備結(jié)果;在提交階段,事務(wù)管理器通知節(jié)點(diǎn)數(shù)據(jù)庫(kù)提交分支事務(wù),節(jié)點(diǎn)數(shù)據(jù)庫(kù)將結(jié)果提交給Mycat,正常提交執(zhí)行過(guò)程如圖6.當(dāng)在第一階段出現(xiàn)某一個(gè)數(shù)據(jù)讀取和改寫失敗,第二階段就回滾到第一階段已經(jīng)預(yù)提交成功的數(shù)據(jù),提交失敗執(zhí)行過(guò)程如圖7.

圖6 提交成功

圖7 提交失敗

2.2.4 數(shù)據(jù)庫(kù)中間件對(duì)指紋SQL處理

現(xiàn)在網(wǎng)絡(luò)數(shù)據(jù)竊取成功,主要是攻擊者了解并熟悉被攻擊系統(tǒng)的語(yǔ)言,進(jìn)而注入代碼攻擊成功,在擬態(tài)環(huán)境中,SQL腳本采用基于指紋化的數(shù)據(jù)庫(kù)指令異構(gòu)[2],通過(guò)對(duì)正常的執(zhí)行語(yǔ)句加入指紋,讓攻擊者不了解指紋化的執(zhí)行語(yǔ)言,使其注入的指令是無(wú)法正確執(zhí)行.當(dāng)指紋SQL語(yǔ)句通過(guò)Mycat時(shí),數(shù)據(jù)庫(kù)首先判斷請(qǐng)求的地址,若請(qǐng)求來(lái)自網(wǎng)站端,將請(qǐng)求指令加到執(zhí)行體對(duì)性的隊(duì)列中,然后進(jìn)行指紋SQL語(yǔ)言過(guò)濾,指紋SQL處理結(jié)構(gòu)如圖8,利用多模表決機(jī)制,將SQL語(yǔ)句進(jìn)行一致性表決,表決一致,則執(zhí)行正常SQL語(yǔ)句,表決不一致,則進(jìn)行異常處理.

圖8 指紋SQL處理結(jié)構(gòu)圖

數(shù)據(jù)庫(kù)返回的結(jié)果保存到緩沖區(qū)中,相同的數(shù)據(jù)會(huì)被映射到Hash表中的相同位置,所有結(jié)果返回完整后,對(duì)數(shù)據(jù)庫(kù)返回內(nèi)容的完整性進(jìn)行Hash比較,比較通過(guò)后,數(shù)據(jù)返回給執(zhí)行體,若比較不一致,把出錯(cuò)信息發(fā)送給擬態(tài)系統(tǒng)的反饋調(diào)度服務(wù)器進(jìn)行決策調(diào)度.

Hash表中數(shù)據(jù)信息進(jìn)行比較偽代碼如下所示:數(shù)據(jù)庫(kù)的返回結(jié)果Ri包括多個(gè)數(shù)據(jù)包,形式為:Ri={P1,P2,···,Pn}

Foriin 1..n:

Pi= get_resp()

Put_to_push()//將數(shù)據(jù)庫(kù)返回的結(jié)果放入Hash表中

If get(Pi)＞n/2+1//相同結(jié)果超過(guò)一半時(shí)

Send(Pi)//返回結(jié)果

Remove(Pi)//刪除已經(jīng)對(duì)比完成的數(shù)據(jù)

2.2.5 數(shù)據(jù)庫(kù)多模表決機(jī)制

在擬態(tài)環(huán)境中,用動(dòng)態(tài)冗余架構(gòu)特性改變傳統(tǒng)防御環(huán)境中的相似性,確定性和靜態(tài)性;利用矢量空間多模裁決機(jī)制,如圖9,形成非協(xié)同條件下,多元?jiǎng)討B(tài)目標(biāo)協(xié)同一致攻擊難度以實(shí)現(xiàn)“面防御”功能.在數(shù)據(jù)庫(kù)環(huán)境中,目標(biāo)對(duì)象外部SQL服務(wù)請(qǐng)求依據(jù)策略分發(fā)給各個(gè)數(shù)據(jù)庫(kù),數(shù)據(jù)庫(kù)的輸出矢量經(jīng)過(guò)Hash表比較進(jìn)行裁決輸出.

多模表決器按照規(guī)則對(duì)n個(gè)功能相同但相互獨(dú)立的數(shù)據(jù)庫(kù)的輸出進(jìn)行表決操作,保證系統(tǒng)正確輸出,本文采用n取k表決模型,當(dāng)k個(gè)數(shù)據(jù)庫(kù)正常讀取時(shí),便認(rèn)為數(shù)據(jù)庫(kù)正常運(yùn)行,當(dāng)k個(gè)及以上數(shù)據(jù)庫(kù)返回的數(shù)據(jù)異常時(shí),才會(huì)輸出錯(cuò)誤非正常數(shù)據(jù),在異構(gòu)冗余的擬態(tài)環(huán)境中,不同的數(shù)據(jù)庫(kù)運(yùn)行環(huán)境不同,攻擊注入方式不同,無(wú)論從時(shí)間和技術(shù)上,對(duì)攻擊者都是極大的消耗,由此數(shù)據(jù)庫(kù)的安全性和可靠性得以提高.

圖9 擬態(tài)表決器模型

3 實(shí)驗(yàn)與分析

為了驗(yàn)證Mycat在擬態(tài)環(huán)境中能夠高效保障數(shù)據(jù)的讀取和安全性,我們?cè)陂_源的企業(yè)辦公系統(tǒng)然之協(xié)同中,使用三模異構(gòu)冗余模型進(jìn)行實(shí)驗(yàn)測(cè)試,然之協(xié)同的優(yōu)勢(shì)如下:

(1)功能齊全,能滿足日常的辦公需求,使用范圍廣,人數(shù)無(wú)限制.

(2)私有化部署,安全性高.

(3)開源產(chǎn)品,能修改代碼滿足個(gè)性化需求.

硬件配置如表2.

表2

3.1 環(huán)境配置

在擬態(tài)環(huán)境中,3個(gè)異構(gòu)執(zhí)行體運(yùn)行的系統(tǒng)分別為windows7(IP:192.168.126.133),Ubuntu (IP:192.168.126.134)和centos (IP:192.168.126.135),Mycat安裝在IP 地址為 192.168.126.141,并建立“ranzhi”數(shù)據(jù)庫(kù).

(1)Schema.xml配置

Schema.xml作為Mycat最重要的配置文件之一,管理著邏輯庫(kù),分片規(guī)則,節(jié)點(diǎn)主機(jī)等信息,關(guān)鍵代碼如下:

在各自的系統(tǒng)中,安裝然之協(xié)同,其所連立的數(shù)據(jù)庫(kù)設(shè)置為Mycat所在的物理地址和Mycat的端口,如圖10.

圖10 執(zhí)行體Mycat連接

3.2 實(shí)驗(yàn)結(jié)果分析

(1)指紋SQL識(shí)別

通過(guò)Mycat,指紋SQL能夠在數(shù)據(jù)庫(kù)中正常執(zhí)行,如圖11,無(wú)指紋的SQL語(yǔ)言,不能運(yùn)行,如圖12.

圖11 指紋SQL執(zhí)行結(jié)果

圖12 無(wú)指紋SQL執(zhí)行結(jié)果

(2)數(shù)據(jù)庫(kù)注入測(cè)試

在一般的數(shù)據(jù)庫(kù)中,進(jìn)行數(shù)據(jù)庫(kù)注入攻擊測(cè)試,數(shù)據(jù)庫(kù)返回?cái)?shù)據(jù),如圖13,圖14所示.

當(dāng)使用本文中擬態(tài)環(huán)境中的數(shù)據(jù)庫(kù),進(jìn)行相同的數(shù)據(jù)庫(kù)注入攻擊,未能返回?cái)?shù)據(jù),攻擊失敗,如圖15所示.

圖13 數(shù)據(jù)庫(kù)注入過(guò)程

圖14 數(shù)據(jù)庫(kù)注入結(jié)果

圖15 數(shù)據(jù)庫(kù)注入失敗

數(shù)據(jù)庫(kù)安全測(cè)試如表3所示.

經(jīng)上述實(shí)驗(yàn),在擬態(tài)環(huán)境中,數(shù)據(jù)庫(kù)成功防御數(shù)據(jù)庫(kù)注入攻擊,保障了數(shù)據(jù)庫(kù)安全.

表3 數(shù)據(jù)庫(kù)安全測(cè)試結(jié)果

4 結(jié)論與展望

通過(guò)在擬態(tài)環(huán)境中使用Mycat作為數(shù)據(jù)庫(kù)訪問(wèn)的中間件,實(shí)現(xiàn)了數(shù)據(jù)庫(kù)的集群管理,高可用性,以及對(duì)指紋SQL語(yǔ)言的處理,極大的提高擬態(tài)防御中對(duì)數(shù)據(jù)安全的保障和數(shù)據(jù)存儲(chǔ),讀取的高效性.在未來(lái)的信息時(shí)代,網(wǎng)絡(luò)空間的數(shù)據(jù)存取和保護(hù)越來(lái)越得到重視,隨著社會(huì)科技的發(fā)展,會(huì)有更多的數(shù)據(jù)庫(kù)中間件出現(xiàn),其功能和架構(gòu)模式也會(huì)不斷的更新和成熟,數(shù)據(jù)庫(kù)中間件在擬態(tài)環(huán)境中會(huì)發(fā)揮更大的作用.