论计算机数据库的入侵检测技术

2013-12-29 00:00:00龙厚彦
电脑知识与技术 2013年4期

摘要:计算机网络技术的不断进步给人们的日常生产生活带来了许多便利,但各类非法入侵手段也在与时俱进,给网络安全带来了巨大的威胁。该文在简单介绍入侵检测技术相关概念的基础上,对目前正在使用的不同类型的入侵检测技术进行了分析,并在此基础上对存在的问题与应对办法进行了讨论,以期对实际工作的开展起到参考和借鉴的作用。

关键词:计算机;数据库;入侵检测

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)04-0719-02

目前,互联网在我国已经基本实现了普及,在社会生活的方方面面,我们都可以看到互联网的身影,例如,通过互联网缴纳水电费、购买车票、购物等等,而这些便捷的享受背后,则是数据库默默无闻的长期支持。在以往的数据库安全防护工作中,防火墙技术一头独大,将许多不法分子的不轨意图拦截在高墙之外,但是随着技术的进步,防火墙在面对许多新兴工作方式的时候往往表现得力不从心,给那些掌握了最新攻击技术的不法分子留下了可乘之机。在这场矛与盾的交锋中,计算机安全领域的研究人员引入了入侵检测技术,希望以此为数据库安全提供更多的保护。

1 入侵检测技术的相关内涵

所谓计算机数据库的入侵检测技术,就是指在数据库中设置各类关卡,并以计算机系统和网络中的相关信息为基础,验证外来访问者的身份与信息,通过对信息的分析,对系统是否正在或已经遭到外来攻击加以判定。当发现各类针对数据库的攻击行为时,入侵检测系统会根据所受攻击的类型,做出警报、切断连接、禁止继续访问等应对,并对相关信息加以记录,以便技术人员能够对此类问题进行更为全面的了解,从而在今后的工作中加以巩固或解决。对于已经成功入侵的病毒所引起的数据库非正常行为,入侵检测系统则会将病毒的入口完全封闭,以此避免该入侵行为对数据库及其中信息的进一步破坏。通过这些作用我们可以看出,入侵检测技术是防火墙背后的第二道屏障,是计算机数据库安全保障的重要力量,在防火墙无法应对相关攻击或非法操作时,入侵检测技术可以对来自系统内、外部的误操作或攻击进行有效处理,从而在数据库受到真正威胁之前对其进行化解,在有效补充和完善防火墙防护功能的同时,使技术和管理人员能够及时获取系统所存在的漏洞信息并加以弥补,在提升起安全管理能力的同时,更好的实现信息基础结构安全保障的工作目标。

2 入侵PtOOQySZEqSUnaHZ+Hv+cw==检测技术的类型划分

入侵检测技术一般分为两种类型,分别为异常、误用入侵检测。前者基于用户的正常行为均异于恶意行为理念,通过对各类用户正常行为的记录和分析,构建包含一切正常行为的框架模型。此后,若实时监测的结果表明,某些用户的行为不符合已经构建的框架模型的特征,或是超过了某个阈值,就会发出警报。误用入侵检测指的是通过分析病毒等入侵活动构建入侵行为模型并对恶意行为进行定义的入侵检测方法。若实施监测的结果表明,某些用户的行为与已经构建模型中所定义的恶意行为相匹配,就会发出系统遭到攻击或入侵的提示警报。该方法的检测精确度较高,但却存在着相对静态的特征,对于某种攻击的变体或是新型攻击不具备理想的检测能力。目前,数据库实际应用的检测方法主要包括基于阈值、基于异常、基于模型推理、基于规则的入侵检测四种类型,下面我们就对其进行分别的介绍和说明。

2.1 基于阈值的入侵检测

基于阈值的入侵检测基于非法入侵和攻击必然会从系统的薄弱环节入手理念,且这些行为一定会异于用户的正常行为,例如为了顺利进入系统,可能会对不同的账户进行登录尝试,或多次输入同一用户可能的密码,进入系统后,大多会反复浏览保密信息所在目录等。而在病毒成功入侵后,也必然会出现处理器与内存资源被过多占用的现象。

2.2 基于异常的入侵检测

基于异常的入侵检测基于非法入侵和攻击行为与用户异常行为必然会同时出现的理念,并通过对当前用户行为是否符合正常用户行为的特征对究竟是正常使用还是异常操作加以区分。例如,系统会对用户当前行为与以往行为特征是否相符进行对比(对比内容包括使用时间、登录间隔、资源使用量等),以此判定当前行为是否较以往行为发生变化。若对比结果表明,当前的用户行为明显异于以往行为,就会发出提示警报。

2.3 基于模型推理的入侵检测

基于模型推理的入侵检测基于技术人员对入侵行为的定义,一般来说,入侵窃密行为模型都会表示为用户行为序列,这些用户行为被统一称为“剧情”(是对用户行为的高层描述),而且不需要与设计记录完全对应。根据预先设定的规则,“剧情”会被自动转化为用户动作序列(与审计记录存在对应关系),以此对用户行为是否存在违反安全规章的现象加以判断。由于基于模型推理的入侵检测是以已知的安全规章为依据,所以在攻击者采用未知技术或方法的时候,入侵检测就会丧失应有的保护作用。

2.4 基于规则的入侵检测

基于规则的入侵检测主要依据相关规则对用户行为加以分析,根据当前行为是否符合规则中的相关说明来判断是否属于异常行为。所依据的规则与用户的行为模式间并不存在任何关联,即只要用户行为符合规则要求,就会将其判定为入侵行为。例如,Snort入侵检测系统中基于规则的入侵检测就包含了向前、向后推理两种规则,前者的误报率较低,但是无法对未知入侵行为进行很好的判断;后者虽然能够检测到未知的入侵行为,但误报率相对较高。

3 当前入侵检测技术存在的突出问题

3.1 无法为自身提供足够的防护

入侵检测技术存在的意义就是帮助数据库以及计算机系统低于各种恶意入侵和攻击的威胁,以往的工作业绩也证明了它的非凡性能,但是受设计不足等因素的影响,入侵检测系统的自我防护能力却不尽如人意。所以,如果入侵检测系统自身遭到了攻击,就极易丧失对于病毒的防御能力,无法获取数据库是否被破坏、数据是否被盗取、是否正在被非法入侵等信息,也不能完成对入侵过程的记录,在这样的情况下,入侵检测系统形同虚设,严重时甚至会造成数据库的全面瘫痪,最终引起巨大的损失。

3.2 容易出现误报或漏报现象

受资金和实际需求的影响,大型数据库是入侵检测技术的主要客户,所存储的信息不仅有个人的,也有企业的,而且这些信息的重要性和对安全性的要求往往较一般数据库的信息更为强烈。为了确保数据安全,入侵检测系统对于检测过程的要求也极其严格,在对系统进行实时监测的强度选择上,不少设计人员都采取了“宁可错杀一千,不能放过一个”的理念,所以导致很多正常的用户行为、很多正常的程度都被视为外部攻击,而一些隐蔽性极强的攻击却被遗漏掉。由于采取了过分极端的防护措施,数据库的正常运行受到了来自入侵检测系统的不必要阻碍,服务质量也会因此下降。

3.3 工作效率较低

入侵检测系统想要保障数据库的安全和正常运行,就必须在第一时间对各类病毒侵害以及入侵行为作出响应,若响应时间相对滞后,就会使数据库面临更大的威胁。但是在实际运行的过程中,无论哪一种形式的网络攻击,都必须要进行大规模的二进制码转换,为此,入侵检测系统需要进行更大规模的计算量对编码进行匹配,同时还需要进行大规模的数据搜集,由此导致的结果就是对系统资源的高水平需求。这样一来,入侵检测技术所需费用就会水涨船高,如果未能保障投入力度,系统的工作效率就会下降,无法满足互联网技术日新月异的今天对于安全保障的实际需求。

4 数据库入侵检测技术存在问题的应对

通过上文的描述,我们已经对数据库入侵检测技术的现存问题进行了初步的了解,为了对其加以解决,本次研究采取了以下做法:

4.1 Apriori算法的改进

Apriori算法相对复杂,它对于候选k-1项目集Ck的获取需要通过查找到的频繁k-1项目集k+加以实现;而对于频繁k-1项目集Lk的获取,则需要在扫描数据库的基础上,通过获得候选k-1项目集Ck中不同候选项目支持度信息的方式加以实现。受该工作方式的影响,Apriori算法在应用于那些大型、综合型数据库时,就必须要对众多的候选集进行调整和处理,这部分操作将会占用大量的时间和资源。所以在实际工作中,我们必须要对这一现象给予更多的关注,并针对性的进行改进,使其在更好的帮助入侵检测系统保护数据库安全的同时,提高内部使用效率。具体来说,主要包括两个方面:1)在对数据库进行高效扫描和操作的同时,形成新的编码算法,并在对实施编码进行记录的基础上不断对算法效率的改善进行深入挖掘。2)通过候选项数量的减少降低连接项目集数量。

4.2 系统模型设计

新数据库模型的创立目的,就是使入侵检测系统能够更加全面的发挥出应有的安全防护性能,此项工作主要涉及以下部分:1)数据的搜集:当系统处于训练期时,对于数据库服务器的历史数据进行搜集和统计是必不可少的环节,其作用是使入侵检测工作能够更加精确和顺利的开展;2)数据的处理:数据搜集工作结束后,还需要对其进行深入挖掘,并结合系统的相关特点进行数据的进一步处理;3)数据的挖掘:需要借助与数据挖掘有关的技术,并实现对所搜集数据的高效提取;4)模式调整:数据库入侵检测系统通过对知识规则数据库中相关模式的针对性分析来清理那些不规则的数据;5)特征获取:通过数据挖掘相关技术的运用,对不同角色

的数据进行系统、科学的处理,以便对其特点进行更为全面的掌握;6)入侵检测:系统应高效调用数据库的相关信息,以便为入侵检测工作的顺利进行提供更多的支持和帮助。

5 结束语

总的来说,数据库入侵检测技术弥补了防火墙技术的诸多不足,对其薄弱环节也起到了很好的增强作用,为计算机数据库安全做出了巨大的贡献,但是其自身也存在着很多不尽如人意的地方,需要相关设计和技术人员在今后的实际工作中进行进一步的优化和完善,以便使其积极效用得到更大程度的发挥。

参考文献:

[1] 王艳敏.计算机数据库入侵检测技术探析[J].硅谷,2012(21):35-35.

[2] 王丽华.谈计算机数据库入侵检测技术[J].无线互联科技,2012(10):108-108.

[3] 石燕.入侵检测技术在数据库管理系统中的应用[J].科技致富向导,2012(30):167-167.