探析计算机数据库的入侵检测技术

探析计算机数据库的入侵检测技术

黄彩顺

广东省轻工业高级技工学校510315

摘要：在信息技术不断发展进步的背景下，数据库已经成为一种十分重要的资源库，对于某些方面而言具有十分重要的作用。如何保证数据库安全，已经成为业界广泛关注的一个问题。数据库入侵检测技术，就是一种检测数据库是否遭到入侵的技术，可以迅速发现安全问题，并作出响应。本文主要以入侵检测技术的相关认识作为切入点，研究和分析入侵检测技术相关模式。

关键词：计算机数据库；层次化；入侵检测；模型入侵检测；技术探析

0前言

网络安全已经成为当前最重要的一项安全工作，在网络化和信息化深入发展普及的背景下，如何保证网络安全，如何保证人民大众和企业政府的信息安全，已经成为非常重要的工作。美国国家安全通信委员会下属的入侵检测小组在1997年给出的关于“入侵检测”的定义为：入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。入侵检测是信息安全技术手段之一，是检测内外部入侵行为的关键技术，主要依赖于能执行入侵检测任务和功能的系统。

1、入侵检测技术的相关认识

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。当下的入侵检测系统主要有两种，一种是基于主机的入侵监测系统，另一种是基于网络的入侵检测系，两种方式都是用于保护网络系统不受破坏。入侵检测的方式也有两种，一种是误用检测，对不正常的行为建模，符合特征库中描述的行为就被视力攻击。另一种是异常检测，对系统的正常的行为建模，若是行为建模存在一定的异常，则表现为该系统遭受攻击或者怀疑攻击。入侵检测系统的主要是由采集模块、分析模块和、管理模块三个部分组成。采集模块主要是由数据搜集，并将这些行分析。分析模块主要是对相应的数据进行分析，从而给出相应的判断和相应的怀疑值。管理模块主要是根据分析的结果，系统自动对相应的问题进行决策。当然，入侵检测系统中还有其他模块，诸如通信模块、响应模块和数据存储模块等，从而保证系统的效率和作用。

2、入侵检测技术相关模式

2.1通用入侵检测模式

随着时代的发展，人们对于电脑系统的安全性问题越来越关注。CIDF作为一种通用性的入侵检测方式，是由美国计算机科学家StuartStanifor-Chen等人提出来的，这种技术非常具有实用性，主要是由响应单元、事件数据库、事件分析器、事件产生器组成。如见图1。各个组件之间主要是以入侵检测对象GIDO来实施CIDF消息数据的交互，CIDF一般是将IDS所需要分析的数据都统称为事件，事件既可以是系统日志，也可以是网络数据包。其形成的事件数据库既可以表现为简单的文本，也可能是复杂的数据库，是各种数据之间进行联系的关键系统。响应单元虽然是简单的报警系统，还能改变文件属性，做出数据切断反应，属于功能单元，主要是针对分析结果作出相应的反应。事件产生器是整个事件的起源指出，能够向其他部分提供相应的事件信息，保证整个系统中能够获取这种事件信息。事件分析器是以事件信息作为基础，分析和研究事件产生器的数据，同时准确地获取相关结果。在当下环境中，相关的计算机数据库入侵检测产品大多数是以CIDF模型作为基础，而CIDF模型仍是随着数据安全的问题的出现不断发展和进步的，可见，CIDF模型已是也入侵检测系统的重要模型，如图1所示。

2.2层次化入侵检测模型

这项模型是由Steven等人提出来的，属于一种基于层次化的入侵检测模型，将入侵检测系统分为上下文层、安全状态层、事件层、威胁层、主体层、数据层。IDM模型给出了全部安全假设过程，从被监侧环境到高层次的有关入侵，而不是过去那种分散的原始数据。通过将收集的相关数据加以加工抽象和数据关联操作，虚拟出了一台由主机和网络构成的机器环境，从而大大简化了对跨越单机的入侵行为的识别。数据层中，追要包含三方面的数据，分别是局域网监视器结果、主机操作系统的审计记录、第三方的审计软件提供的数据。事件层主要是时间变化的固有特征和动态特征，例如带台的会话、进程执行等。主体层主要是识别网络中跨越多台主机使用的用户。上下层是说明时间发生的所处在的环境。威胁层是根据滥用的特征和对象而形成的攻击行为、误用行为等。安全状态层是以1-100之间的某个数值来表示网络安全状态，数值越大表示越不安全。

2.3管理式入侵检测模型

SNMP-IDSM是以SNMP作为公共语言来实现IDS之间进行相应的信息交换和协同检测，主要是由于描述入侵事件的管理信息库，能够明确抽象事件和原始事件之间的复杂关系。IDSB主要是对最新的IDS事件和监视主机B进行请求操作，若是主机IDSA检测到监视主机出现相应的攻击行为，那么IDSB和IDSA两者之间能够很快地进行联系IDSA发送相应的请求，在较短的时间内会得到IDSB的响应，从而有效地验证和寻找攻击的来源。同时，IDSA会以MID脚本作为依据，迅速给IDSB发送有用的代码，以这些代码的形式对快速搜集用户活动。最后，以这些代码的执行结果进一步确定入侵行为的主机所在位置的，IDSA就马上和IDSC联系，让IDSC报告入侵事件，有效避免入侵事件的发生。

3、实际应用

3.1数据库系统

数据库系统可以划分为网络系统、宿主操作和管理系统三个层次。一般来说，文件形式是数据库管理的主要形式，恶意行为基本上都是针对计算机系统存在的漏洞直接对文件进行窃取，或者是对数据库中的文件进行篡改、增删等。入侵检测技术在数据库系统中可以从三个方面展开应用，一是利用入侵容忍技术对计算机内层进行防护；二是利用路径监测技术对主机系统进行检测；三是利用入侵检测技术对外层网络进行检测。从而可以实现全面的数据系统安全防护。

3.2数据挖掘

数据挖掘就是对数据库中包含信息的意义和价值进行深入挖掘，在数据库不断庞大的背景下，数据挖掘效率逐渐降低。因此，如何充分挖掘数据库就成了值得深入研究探讨的问题。根据数据库挖掘的实际情况来看，关联规则挖掘和序列模式是最为常用的两种数据挖掘手段。关联规则主要是指对于性质相同的项目对其数据的内在联系进行挖掘，序列模式主要是对数据时间单元之间存在的关联进行挖掘记录。这两种数据挖掘手段，在入侵检测技术中使用非常普遍，对入侵检测发挥出了切实效用。基于数据挖掘的相关思想，一些全新的方法也逐渐形成，比如Apriori算法，就已经成为当前最通用的数据挖掘算法。结合入侵检测技术分析，数据挖掘主要是在用户进行登录时，对其登录操作行为按照时间进行排序，对用户的行为模式展开分析，再对其展开分类和检测，以发现其中存在的异常，及时作出应对措施。

4、结语

随着信息化时代逐步来临，计算机数据库已经成为安全领域的一个重点内容。入侵检测技术是保证信息系统安全的关键技术，入侵检测技术可以主动发现计算机数据库的安全威胁，并且及时作出预警和安全处理，最大程度保证计算机数据库安全。尽管入侵检测技术发展比较晚，始于上个世纪80年代，属于一种新型技术，但是由于电脑技术的不断发展，新型的数据库问题层次不穷，但只要加强研究开发，就可以提升入侵检测技术对计算机数据库的安全防护作用。

参看文献：

[1]雷利香.计算机数据库的入侵检测技术探析[J].科技传播，2015，14（12）：202+211.

[2]叶碧野.计算机数据库入侵检测技术探析[J].电脑知识与技术，2012，05（21）：1012-1014.

[3]苗斌.计算机数据库入侵检测技术研究[J].计算机光盘软件与应用，2014，06（06）：192+194.

[4]刘乔佳.入侵检测技术在计算机数据库中的应用探析[J].无线互联科技，2012（5）.

[5]贾善德.基于入侵检测技术的计算机数据库探究[J].计算机光盘软件与应用，2012（16）