计算机数据库入侵检测技术探析

季林凤

摘要：所谓的计算机入侵检测指的就是对网络或者是计算机的数据库设置一些关卡，计算机在运行的过程中如果出现了一些比较异常的行为，或者是外部的其他主体意图强行的进入计算机的数据库时，这些设定的关卡就会发挥其拥有的作用，对计算机的数据库进行自动的保护。如果计算机的数据库被外部的主体强行进入，后果是非常严重的，由此可见，计算机数据库入侵检测的技术是十分重要的。因此，该文就计算机数据库入侵检测技术的应用情况进行分析。

关键词：计算机；数据库；入侵检测

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）27-6282-02

Abstract： The so-called computer intrusion detection refers to the network or computer database setting some level， the computer in the course of operation if there is some abnormal behavior， or any other subject is the intention of the computer external forced their way into the data base， which sets the level will play its own role， to automatic protection of computer database. If the subject of the computer database by external force to enter， the consequences are very serious， therefore， intrusion detection of computer database technology is very important. Therefore， this paper will analyze the application of computer technology of the database intrusion detection.

Key words： computer； database； intrusion detection

随着近些年来的发展，计算机技术在我国得到了普及，在社会中的所有行业中都能找到计算机技术的身影，计算机技术的出现对于人们的生活效率和工作效率都有了很大的提高。随着计算机的广泛应用，计算机的安全问题也是越来越严重，各种各样的黑客和病毒不断的威胁着广大计算机用户的信息安全。因此，想要使得计算机数据库的保护工作得到提高，就必须要使用计算机数据库入侵检测技术。

1 入侵检测模型

1.1 通用入侵检测模型

在近些年，美国的Stuart Staniford-Chen 等一些计算机学家提出了CIDF模型，这种模型是一个比较通用的入侵检测框架，它可以把一个入侵的检测系统有效的分成多个组件，分别是响应单元、事件数据库、事件产生器以及事件分析器。

每个组件间以入侵检测对象GIDO的方式对CIDF消息数据进行互换IDS所需要分析的数据都被CIDF称为事件，事件可以是从系统日志中抽取的信息，也可以是来源于网络的数据包事件的数据可以是复杂的数据库，也可以是最为简单的文本文件。

1.2 层次化入侵检测模型

美国的一些计算机学家在对DIDS这种入侵检测系统进行开发时曾经提出过IDM的模型，这种模型是基于层次化的，这种模型把入侵检测系统分为数据层、事件层、主体层、上下文层、威胁层以及安全状态层。IDM模型曾经将所有的安全假设过程模拟出来，从被检测到被入侵，并不是那种过去比较原始的分散数据，通过数据关联操作和加工抽象将分散的数据进行收集，模拟除了一台由网络和主机所构成的机器环境，从而对跨越单机入侵行为的识别进行了简化。但是IDM具有一定的局限性，其局限性表现为只能使用与单台的计算机小型网络。

1.3 管理式入侵检测模型

近些年来，计算机网络技术的发展极为的迅速，病毒和黑客不再是采用单一的攻击手段，而是以合作的方式使用日益复杂的攻击手段对一个目标进行快速的打击。因此原有的IDS模型就没有了丝毫的作用，很容易造成损失。因此IDS系统也只有采用合作的方式才能够对这些入侵进行检测。但是想要合作，首先必须要有公共的语言和统一的格式，因此SNMP-IDSM应运而生，SNMP-IDSM也就是基于SNMP的IDS模型。

IDS-MIB被SNMP-IDSM所定义，以SNMP最为公共语言，使各个IDS之间完成消息交换和协同检测，其工作原理如图1所示。

IDS B负责请求监视主机B和最新的IDS事件，只要IDS A检测到一个来源于主机B 的攻击企图，IDS A和IDS B之间就会很快到的取得联系，为了寻找和验证攻击的来源，IDS A会使用MID脚本将一些必要的代码发送给IDS B。这些代码能够对主机B和用户的活动进行搜集。而这些代码最终的执行结果可以使IDS A清楚攻击的来源，IDS A立刻与其进行联系，并且报告入侵的事件，可以有效的避免发生入侵事件。

2 存在的问题

2.1 检测结果的准确度比较低，经常出现漏报现象

在社会所有行业的发展中信息的地位与日俱增，尤其是对于一些企业的信息来说，企业的信息一旦发生了泄漏的事件，将会给该企业日后的发展带来非常大的影响，严重一些的会出现亏损的情况甚至是破产。因此导致了对计算机入侵检测技术研发人员的检测技术要求是非常高的，为了避免发生信息泄露的事件，在研发时坚持“宁可杀错，也绝不放过”的原则，在对入侵检测的关键点进行设置时标准也是非常高的，基本上一旦出现了可疑的行为第一时间就会对其进行防御。这种做法使得防御的任务量变得繁重起来，同时一些非病毒的程序被检测出来，同样采取了自动的防御措施，使得整个防御系统的负担加重了很多，严重的影响了计算机的数据库正常的运行。

2.2 入侵检测的效率比较低

一些入侵行为和病毒有可能会对计算机数据库产生严重的危害，所以企业对于入侵检测技术的要求是十分的严格的。但是计算机的程序基础是二进制的编码，计算机的入侵检测系统对入侵的行为和病毒进行检测时就是将其转换成二进制的编码，然后对这种行为进行分析和计算，在这个过程中计算量是非常惊人的，而且检测的费用也是非常的昂贵的，庞大的计算量和昂贵的费用导致了检测的效率比较低，在当今科技飞速发展的时代，这种检测的效率已经完全不能够满足现今用户的需求了。

2.3 防御能力过低

因为计算机技术在我国起步比较晚，没有一个比较完善的培训系统，因此在培养人才时存在着一定的缺陷，在对入侵检测系统进行研发时，研发的人员一旦出现技术水平不到位或者是考虑不周的情况，就会使得检测系统出现严重的漏洞，导致了系统的防御能力过低。当系统受到黑客或者是病毒的攻击时，系统将毫无还手之力，处于完全的瘫痪状态。在失去了防御的手段之后，各种各样的入侵行为和病毒将会更加的猖獗，严重的威胁到了计算机数据库的安全。

2.4 扩展性比较差

从目前我国计算机的入侵检测技术水平来看，一台计算机在安装了入侵检测技术之后，短时间内是不会发生改变的，因为其中的各个关键点都是设置好了的。网络技术的发展是非常的快的，因此，一些攻击的手段和病毒也在不断的进行更新，如果计算机入侵检测系统还停留在不变的阶段，那么检测系统的作用就会大大的被降低，在黑客和病毒的不断攻击下最终会威胁到计算机数据库的安全。因此在对入侵检测系统进行研发时应该加强其扩展性的研究，使得入侵检测技术能够不断的进行优化和更新，提高计算机数据库的安全。

3 入侵检测技术的完善

3.1 减少计算量

对用户的信息进行储存的位置就是计算机数据库，入侵检测技术在对异常行为进行检测时首先要将其转化为二进制的编码，计算量非常的庞大，大大的降低了检测的效率。所以在完善入侵检测技术时应该先减少其计算量。目前我国多数的企业在面对比较复杂的数据时会采用Apriori的算法。这种算法首先形成一个候选集，然后与支持度进行比较，当支持度大于项集时就对项集进行删减，使其达到最佳的数量。其次是扫描数据库，改进成能够在二进制码中得到Apriori算法，在编码的过程中要以数据库作为根据，如果其中有一个项出现就将其设成“1”反之则为“0”。使用Apriori算法对计算机进行入侵检测时可以大大的减少计算量，提高数据库的使用效率。

3.2 优化系统模型

要想发挥入侵检测系统的最大功能就需要对系统模型不断的进行优化。首先对数据进行收集，对数据库中所有用户的操作行为进行收集，对用户的操作特征进行分析为建立数据知识库打下良好的基础。同时对于每次入侵检测的审计数据进行收集，在对数据进行收集时一定要保证其准确性和完整性。其次是处理数据，也就是将收集到的各种数据进行处理以及集成做好下一步的准备工作。然后进行数据挖掘，对收集到的数据进行分析和处理，对数据中相似的行为特征进行收取，在保证其具有有效性后

建立模型数据库。最后是对用户行为的特征进行提取，两者相互比较，然后进行分析并作出判断，看其是否属于异常行为，如果是，就必须采取相应的措施。

3.3 建立数据库知识标准

在挖掘数据的过程中经常会使用到关联分析，通过规定一组项集和一个记录，然后对其进行整合，对他们之间的关系进行分辨，利用分辨出来的关系将它们进行有效的结合，并且分析是否存在着潜在的问题。通常这种方法具有两方面的内容，第一方面就是在检测复杂项集时必须要采用迭代技术，对数据库进行不定期的扫描。另外的一个方面就是把复杂项集向着另外一种规定进行转化，系统按照这种规定运行，从而使得计算量降低，同时还能够发现潜在的各种入侵行为。

4 总结

随着近些年来的发展，计算机技术在飞快的进步，病毒和黑客也在不断的进行更新。因此，只有对入计算机数据库侵检测技术不断的进行更新和优化，才能够提高计算机数据库的安全，使企业得以稳定的发展。

参考文献：

[1] 乔佩利，冯心任.基于CMAC网络的异常入侵检测技术[J].哈尔滨理工大学学报，2010（05）.

[2] 何昊，何剑，刘剑平.计算机网络攻击的主要防治措施[J].中国科技信息，2010（21）.

[3] 康莉，胡燕.基于数据挖掘的入侵检测系统研究[J].洛阳理工学院学报，2009（02）.