计算机数据库的入侵检测技术探析

徐晓晖

摘 要 社会处于不断的发展之中，计算机行业也是一样，可以说是日新月异。目前的手机通信和自动化办公系统的应用已经非常的广泛。计算机数据库得到了广泛的应用，与此同时，计算机数据库遭到入侵的状况也屡屡发生，笔者就计算机数据库的入侵检测技术进行分析和探讨，希望对提高数据库的安全性具有一定的帮助。

关键词 计算机；数据库；入侵；技术

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）05-0117-01

数据库于20世纪70年代诞生于美国，经过几十年的发展越来越成熟，已经成为国家经济发展的科技进步的一个重要的工具。在数据库的作用下，信息化的进程在不断的加快，企业的管理工作也在不断的提高。据有关部门的统计，目前我国的数据库数量已经达到1038个。数据库的英文是Database，其可以被看作是一个大的仓库，对数据进行储存、管理以及组织。数据库在对数据进行处理时是按照数据的结构出发的。目前，数据库系统的应用越来越广泛，已经深入到企业、政府、学校等单位的信息管理中，发挥着重要的作用。然而，在使用的同时也会出现一些问题，比如：遭到入侵，这时就需要使用入侵检测技术来对数据库系统加以保护，使其更便捷、安全、更智能。

1 入侵检测的介绍

数据库中会存放大量的资料，这些资料关乎个人以及单位的隐私和信息，有的不法分子为了获取到这些信息往往会对数据库进行攻击，这时就需要使用入侵检测技术来对数据库的安全进行保驾护航。网络动作会发生异常的状况，有的数据库会遭到攻击，这时检测系统和检测技术就会对此作出回应。入侵检测技术一般会设立一些信息认证或者是多重的关卡，这样检测的目的就会达到。在一般情况下，入侵检测技术会设置网络陷阱，这些网络陷阱主要分布在数据库中的一些关键点上面。这样，当计算机数据被人为因素或者是病毒进行袭击的时候，该技术就可以完成对数据的收集以及分析。在此基础上，一些违反安全策略的迹象以及行为就会无处遁逃。

我们可以看到入侵检测技术属于一种安全保护技术，该技术可以对计算机数据库资料进行保护，保证网络资源处于安全，不被攻击。计算机的防火墙往往会被攻破，有的会被绕开，此时使用该技术可以很快的发现侵入行为，对该种恶意行为进行阻止，将其消除在萌芽之中。入侵检测技术在发现问题的同时会针对破坏和盗窃行为采取有力的措施，这些措施包括：对IP进行封掉、切断连接，此外还会进行报警。可以说，网络系统的安全和稳定均离不开这些措施。

2 主要入侵检测技术的介绍

1）误用检测技术。该技术会对以下情况进行有效检测：病毒、攻击的模式以及非法入侵活动。系统会对检测方法进行假定。误用检测技术会使用一种模式或者是特征来对侵入的病毒以及入侵活动开展表达。该技术会从现有的入侵行为出发，对其分析之后会构建特性模型。在此情况下，检测行为就发生了转变，也就是匹配搜素有关模式或者是特点。

2）异常检测技术。和误用检测技术相比，异常检测技术使用的范围比较宽。在使用该检测技术时，假如入侵行为和正常用户的恶意活动有区别，那么会对这些行为特征进行分析，之后就会对框架以及模型进行构建。如果用户活动状态的数量和正常的情况不一样，就说明其和统计规律是相反的，也就是说其属于入侵行为的范畴。异常检测技术无论是在敏感度还是在使用范围方面都比误用检测技术要强大的多。

3）具体应用—基于日志的入侵检测技术。IIS服务系一般会遇到不法分子的袭击，这些不法分子一般会对不同种类的信息进行整理和收集。之后，会使用专业的扫面工具来对系统存在的安全漏洞进行查找和攻击。但是，在平常的默认状况下，对各类型本地系统访问行为的自动记忆是由日志功能完成的。用户名、客户端IP地址和被扫描的服务器端口号码都在日志中蕴藏，因此在对有关的内容进行分析后就可以对IIS服务器系统是不是存在安全隐患进行判断了。具体的步骤是：①对本地系统对应的日志文件进行查看，进行一下单击行为：开始、设置、控制面板。这些单击行为要严格按照顺序进行；②对控制面板窗口中的“管理工具”进行双击，当弹出对话框后进行“事件查看器”双击。在以上的操作完成后，我们就可以进入到系统的查看器窗口；③查看系统日志和安全日志的位置：整个界面左侧位置的子窗格中。

此外，我们可以将日志文件打开，相对应ID的事件记录就会看到，故障的位置就找到了。对于一些通信工具来说，其通信应用程序会自动形成日记记录，对登录状况也会进行保存，因此我们可以很容易找出问题。

3 目前入侵检测出现的弊端

由于入侵检测技术在我国使用的时间不长，还处于探索期，因此不是那么的成熟，出现了一些问题，比如：检测系统有待进一步的完善，发展也不是那么的迅速。有的新技术还处于研究的阶段，而新的检测理论发展也比较缓慢，也就产生了问题和弊端。

1）误报率比较高。由于数据库系统很庞大，里面包含了难以计数的数据，因此检测系统在检测时往往会有漏洞，造成漏报的现象。此外，误报的状况也不时发生。有的检测技术为了提高检测率，认为“宁可错杀三千，不能放过一个”，因此在检测时设置了多项关卡。这时，如果有非外界攻击行为发生，那么该技术也认为其属于入侵行为，造成误检。

2）检测效率方面。无论是数据入侵还是反入侵，一个前提条件是：数据计算。而数据计算是建立在二进制编码的基础之上的。因此，入侵需要的计算量很大，检测的计算也是一样。这就造成检测效率比较低的现象。

3）自身防护性能方面。自我防御功能在目前的检测技术中比较欠缺，这既和系统问题有关系，又和设计人员有关。因此，当检测技术遇到攻击时，那么全部系统的运作就会混乱，造成瘫痪。这样，后果是十分严重的，有的无法对入侵行为进行记录，有的系统则再在此时会被攻破，数据库的安全性性得不到保障，用户隐私和信息就会泄露。

4）可扩展性方面。入侵检测技术自身不能实现升级，也就说当其安装在计算机上时，就会固定不变，不会自动的更新。而计算机病毒却是常常变化的，因此不会自动的更新的入侵检测技术是难以应对变化无常的网络病毒的。因此，可维护性差，需要不断的进行升级和自我的更新，改变缺乏机动性的现状。

4 结束语

笔者对目前的入侵检测技术进行了分析和介绍，并提到了弊端，这就需要研发人员不断的探索，提高检测技术水平，这样数据库安全才能得到保证。

参考文献

[1]葛立，牛君兰.入侵检测技术在校园数据安全中的应用[J].内蒙古科技与经济，2010（22）.endprint