第六章 結論
6.1 討論與結論
在本論文中,我們討論到如何利用 Neural Network、資料探勘及相關背景知 識來找出每筆 SQL 封包相對應的 http 封包,進而找出每筆 SQL 封包的來源是那 些 AP 伺服器。我們在儘量不變更三層式網路服務伺服器架構,及不考量 AP 伺服 器的網頁是由何種網頁程式寫成的情況下,設計了一套資料庫稽查的方法。之後,
我們在找 http 封包與 SQL 封包間的配對時,用了一些背景知識的處理方式,來 獲得方便後續配對的 http 及 SQL 封包資訊。在獲得上述的 http 與 SQL 封包資訊 後,我們再利用類神經網路來協助進階找出 http 封包與 SQL 封包間的配對。
雖然利用本文中提到的方法可以達到資料庫稽查的效果,但這樣的方法在現 今資訊量龐大、網路服務掛帥的情況下,仍需要其他技術的支援使演算法效能部 分能更加提升。像是相似字比對的部分在未來累計的種類與數目變多後,或許我 們可以從電腦病毒比對或生物資料庫比對的技術中找尋更好的比對演算法,使得 系統在面對更多的服務時也能達到不錯的效果。
然而我們在實驗中所提出的找尋 SQL 封包來源的方法,有部份都是參考一般 伺服器在傳送封包時所產生的現象,進而擬定可以處理的方法,未來如果有特別 針對像是沙賓法案或是個資法的部分,或許我們可以再依照這些需求提出額外的 處理步驟,使得找尋 SQL 封包來源及後續資料庫稽查的精準度上能再提升。
40
6.2
未來工作未來工作未來工作未來工作在資料庫的稽查的這個任務中,除了要先把發送每筆 SQL 封包的 AP 伺服器 找到外,接下來就是要辨別在這些 SQL 封包中,那些可能是惡意或是違法的操作,
例如公司內部非會計也不是人資部門的人士卻大量搜查其他人的資料,或是非上 班時間卻使用資料庫從事公務行為等等,這些動作雖然不一定就是資料外洩的非 法操作行為,但資料外洩卻往往藏在這些資料庫操作中。然而諸如此類可被歸納 在可疑資料庫操作的行為卻不勝枚舉。因此如何定義這類可能造成資料外洩的行 為,及是否能利用資料探勘和類神經網路的技術對資料安全領域進行更上一層的 提升,便成為我們接下來最重要的議題了。
41
參考文獻 參考文獻 參考文獻 參考文獻
[1] Kang Li, Zhenyu Zhong, and Lakshmish Ramaswamy, “Privacy-Aware Collaborative Spam Filtering,” IEEE Transactions on Parallel and Distributed systems, Vol. 20, No. 5, Pages 725 – 739, May 2009.
[2] Zhenyu Zhong and Kang Li, “Speed Up Statistical Spam Filter by Approximation,“ IEEE Transactions on Computers, Vol. 60, No. 1, Pages 120 – 134, January 2011.
[3] Z. Bar-Yossef and S. Rajagopalan, “Template Detection via Data Mining and Its Applications,” In Proceedings of the 11th International Conference on World Wide Web, Pages 725 – 739, May 2002.
[4] M. Fisher, S. G. Elbaum, and G. Rothermel, “Dynamic characterization
of web application interfaces,” In Proceedings of the 10th Fundamental Approaches to Software Engineering, Pages 260 - 275, May 2007.
[5] Y. Xie and A. Aiken, “Static detection of security vulnerabilities in scripting languages,” In Proceedings of the 15th conference on USENIX Security Symposium, Vol. 15, No.13, Pages 179 – 192, July – August 2006.
[6] Z. Zhong, L. Ramaswamy, and K. Li, “Alpacas: A Large-Scale Privacy-Aware Collaborative Anti-Spam System,” In Proceedings of the the 27th IEEE International Conference on Computer Communications, Pages 556 – 564, April 2008.
[7] T. Meyer and B. Whateley, “SpamBayes: Effective Open-Source, Bayesian Based, Email Classifications,” In Proceedings of the 1st Email and Anti-Spam Conference, July 2004.
42
[8] William G. J. Halfond, Alessandro Orso, and Panagiotis Manolios, “WASP:
Protecting Web Applications Using Positive Tainting and Syntax-Aware Evaluation,”
IEEE Transactions on Software Engineering, Vol. 34, No. 1, Pages 65 – 81, January 2008.
[9] Peter Likarish, Eunjin (EJ) Jung and Insoon Jo, “Obfuscated Malicious Javascript Detection using Classification Techniques,” In Proceedings of the the 4th International Conference on Malicious and Unwanted Software, Pages 47 – 54, October 2009.
[10] Vassilios S. Verykios, Ahmed K. Elmagarmid, Elisa Bertino, Yucel Saygin, and Elena Dasseni, “Association Rule Hiding,” IEEE Transactions on Knowledge and Data Engineering, Vol. 16, No. 4, Pages 434 – 447, April 2004.
[11] Chi-Yao Tseng, Pin-Chieh Sung, and Ming-Syan Chen, “Cosdes: A Collaborative Spam Detection System with a Novel E-Mail Abstraction Scheme,”
IEEE Transactions on Knowledge and Data Engineering, Vol. 23, No. 5, Pages 669 – 682, May 2011.
[12] Elisa Bertino, and Ravi Sandhu, “Database Security—Concepts, Approaches, and Challenges,” IEEE Transactions on Dependable and Secure Computing, Vol. 2, No. 1, Pages 2 – 19, January-March 2005.
[13] Kieyzun, A., Guo, P.J., Jayaraman, K., Ernst, M.D., “Automatic Creation of SQL Injection and Cross-Site Scripting Attacks,” In Proceedings of the 31st IEEE International Conference on Software Engineering, Pages 199 – 209, May 2009.
[14] Shay Artzi, Adam Kiezun, Julian Dolby, Frank Tip, Danny Dig, Amit Paradkar, and Michael D., “Finding Bugs In Dynamic Web Applications,” In Proceedings of the 2008 international symposium on Software testing and analysis, Pages 261 – 272, July 2008.
43
[15] Tao Li and Chao Liu, “Data ‘Audit’ Research Based on The Accounting Information System,” In Proceedings of the 2010 International Conference on E-Business and E-Government, Pages 2416 – 2419, May 2010.
[16] Wei Chen, Wally J. Smieliauskas, and Si-fengLiu, “Performance Assessment of Online Auditing in China from the Perspective of Audit Cost Control, “ In Proceedings of the 2010 IEEE International Conference on Systems Man and Cybernetics, Pages 833-837, October 2010.
[17] 類神經網路模式應用與實作,葉怡成編著,(初版)2003 年,儒林出版社。
[18] 類神經網路與模糊控制理論-入門與應用,王進德編著,(初版)2006 年,全 華圖書公司。
[19] 資料探勘原理與技術,張云濤、龔玲編著,(初版)2007 年,五南圖書公司。
[20] 資料採掘理論與實務規劃手冊,孫惠民編著,(初版)2007年,松崗出版社。