Imperva创新数据安全理念：理解是保护的前提

　　防止数据泄露是网络安全领域的核心需求之一。在关系数据库中检测潜在的数据泄露，不仅要求成功识别出数据库中的可疑行为，同时也要避免频繁的误报警。后者不仅可能给运维工作大大增加负担，而且还会为识别真正的可疑数据访问造成障碍。

　　Imperva在最新发布的CounterBreach解决方案中提出，精准检测数据访问违规的关键在于深度理解数据库的类型。异常行为检测的成功之匙，藏在数据库背后的故事当中。

　　作为精确检测的前提，我们需要回答：数据库的目的是什么?我们期待用户在数据库中执行何种行为?我们能从数据库的数据中读出什么?要想回答这些问题，我们就必须理解数据库的类型，包括用户类型、数据类型和数据库类型。

　　OLTP与OLAP

　　在关系数据库的世界里，存在两种系统类型。第一种是在线交易处理(OLTP)，第二种是在线分析处理(OLAP)。两种处理类型的功能相似，而目的不同。

　　OLTP系统在商业应用中使用。发生在这些数据库中的查询是简单的、短时的在线交易，数据实时更新。OLTP的常见例子是零售、金融交易和订单输入系统。

　　OLAP系统在数据库环境中使用，目的是有效分析数据，允许用户从数据中发掘趋势、运算数字、提取意义。OLAP系统广泛应用于数据挖掘领域，数据是历史化的。又因为数字处理通常涉及很大的数据集合，所以与数据库的交互持续时间也更长。另外，OLAP数据库的交互(SQL查询)形态也不可提前预知。

　　数据库特征与访问模式

　　OLTP和OLAP数据系统的不同性质决定了在用户访问模式和数据特征变化上的差异。

　　我们期待OLTP的用户通过应用交互界面访问储存在数据库中的商业应用数据，交互式(或人类)用户不应直接通过数据库访问数据。而OLAP的情况则不同。商业智能(BI)用户和分析师需要直接访问数据库中的数据，以制作报告、进行分析并操作数据。

　　为了明确区分两种数据处理类型，Imperva研究团队在数十家企业客户的支持下，利用他们的真实数据库，集中分析了OLTP和OLAP的数据访问模式和数据特征。在四周的时间里，借助SecureSphere收集观测数据，利用CounterBreach整合洞察结论，确认了两种数据库类型的差异。

　　在四周时间里，在OLTP中几乎没有新的交互式(或人类)用户访问，而OLAP数据库则正好相反;OLTP中新增的业务数据表数量很小，而在OLAP中的数量则高出很多。总结而言，OLTP的数据表是相对稳定的;而OLAP系统中则产生了很多新表。OLAP中存储的数据是历史化数据，ETL(抽取、转化、加载)过程会定期(每小时/每天/每周)上传数据，并对数据库中的数据进行操作。而绝大多数情况下，数据都要上传到这些新表之中。

　　CounterBreach基于理解推出最佳检测方案

　　最新发布的Imperva CounterBreach进一步增加了对于数据库类型的理解，并把数据库类型纳入它的检测方法之中。通过整合OLTP和OLAP的差异，大大提升了可疑数据访问的检测水平。基于Imperva研究团队的研究成果，CounterBreach根据交互式用户访问数据库的模式，利用机器学习技术为数据库分类。结合对数据库类型的理解，CounterBreach得以确定检测可疑行为的最佳方案。

　　在OLTP系统中运行的数据库，CounterBreach检测并报警任何交互用户对商业应用数据的异常访问;而在OLAP系统中，访问商业应用数据是交互式用户的日常工作，所以CounterBreach不会报警这些合法的行为。在这些系统中，它会让BI用户正常工作，而使用其它的指标来检测数据滥用，比如从数据库的商业应用表中提取的数量异常的记录。这能够保证数据驱动的商业进程不受干扰，并减少误警报。

　　Imperva的数据科学家还在继续研究并识别更多区分OLTP和OLAP系统的特征。这些特征超越了交互式用户访问数据库和数据的模式层面，囊括了数据库中表的名字、用来访问数据库的源应用、ETL过程，数据库操作之间的多样性、不同实体访问数据库的比例等等方面。不断拓展的研究成果，将推动检测准确度的进一步优化。对于数据库更深的理解，让潜在的数据泄露无处藏身。