余晓庆 池州市贵池职业教育中心
计算机安全越来越受到人们的重视,尤其是数据库安全,数据库本身储存着大量数据信息,隐私以及机密文件,使它成为黑客攻击的重点。入侵检测是一种对入侵行为的识别过程,它通过对防火墙、路由器等用户使用状态分析包括企图发生、正在发生以及已经发生的入侵行为。入侵检测技术的设计目的是保障计算机数据库系统的安全性,通过实时检测并报告系统中的未授权使用以及异常特征的技术,是计算机系统中的一种安全策略。入侵检测主要分为主机入侵检测以及网络入侵检测。入侵检测系统由采集模块、分析模块、以及管理模块组成,其中采集模块负责数据的收集,并导入分析模块,分析模块对数据进行处理分析,比对已知库给出判断以及怀疑数值,管理模块依据分析结果对可疑事件进行处理。
反常入侵检测主要是通过对用户使用数据库的行为特征和已知的特征库进行对比,如果发生使用习惯特征偏差,就会判断为出现了反常入侵情况。这种检测方法需要建立用户使用习惯的特征集,其优点在于不依赖于经验扩充,而是采集使用用户的使用习惯信息,经过数据分析系统,以及学习系统让反常入侵掌握规则和对比库。
误用入侵检测要首先建立已知攻击特征模型,并存储在误用特征库内,对比用户的使用行为和误用特征库,如发现一致特征则判断为误用入侵行为。这里所说的误用特征库需要专业的数据库维护人员进行定义、删改及更新,在比较审计数据时,具有检测准确度高的特点。但所有的规则都是人为定义的,当侵入的攻击类型不在特征库内则无法对攻击进行侦测,也就无法检出入侵行为,具有一定的局限性。反常入侵检测联合使用可以弥补误用入侵检测的不足。
通用入侵检测主要分析CIDF模型,该系统由响应单元,事件数据库,事件分析器,以及事件产生器组成,检测对象GIDO与通用入侵检测系统各组件进行数据信息交换。IDS分析数据定义为事件,这些事件可以是日志或网络数据包等。事件数据库是处理中间数据以及最终数据的关键部件。响应单元是功能单元,可以进行报警,同时还可以进行文件更改以及切断链接等操作。事件发生器是入侵分析的基础,能够指出事件的起源信息,并在系统交换中提供完整事件信息。事件分析器以事件信息为基础进行比对分析。CIDF模型广泛用于数据库入侵检测系统,且在不断更新完善中。
层次入侵检测模型将检测系统划分为多个不同层次,包括安全状态层,上下文层、数据层等。该模型对入侵过程涉及的检测环境以及入侵层次都进行全面的安全假设。将原始收集数据进行抽象处理,数据关联等处理,并模拟主机网路运行状态,简化了单机入侵行为的识别方法。通过分别获取网络监听结果,主机操作系统的审计记录以及第三方软件提供的审计数据,并依据进程以及基带会话的事件变化特征数据,识别网络主机的使用用户情况。
SNMP-IDSM与IDS系统通信采用统一的语言SNMP作为开发基础并联合进行检测,找到入侵管理信息库时抽象事件与原始事件的关联。通过监控主机以及IDS事件,一旦检测到被检测主机的攻击企图,将立即与被攻击主机建立联系,并发出相关验证信息追踪攻击源。同时可以利用已有的脚本对被攻击主机的用户活动及网络活动进行记录,确定被攻击主机后提交入侵事件报告。
数据库入侵检测的技术的不足主要表现在:其一误报率和漏报率较高,检测过程中设置很多检测关卡,导致一些病毒代码以及非外部攻击信息被误报为侵入威胁,降低了入侵检测系统识别率。其二入侵检测效率较低,主要表现在计算机网络传输数据都是二进制代码,在计算检测入侵和反入侵时代码运算复杂,比对数据才能对其进行判断,对于大规模的异常检测耗费的成本较大,导致整体的入侵检测效率较低。其三自身存在缺陷性,对于误用入侵检测方式,特征库的建立受设计人员能力、统计数据以及更新时效的限制,其自身存在不可控的因素,导致系统存在被入侵的可能。
数据库入侵检测技术在入侵和反入侵的过程中不断发展,新的检测技术将不断被开发出来,向着可学习的智能化、模糊化、多层化以及免疫化方向发展。
[1]李广润.计算机数据库入侵检测技术应用初探[J].山西大同大学学报(自然科学版),2013(03)
[2]杨竞华.计算机数据库入侵检测技术的应用研究[J].电子技术与软件工程,2016(07)