數(shù)據(jù)庫入侵檢測(cè)技術(shù)探析

摘 要 進(jìn)入二十一世紀(jì)后，網(wǎng)絡(luò)各種技術(shù)飛速發(fā)展，數(shù)據(jù)庫安全面臨著前所未有的危機(jī)。數(shù)據(jù)庫入侵檢測(cè)技術(shù)是一種主動(dòng)、積極的安全防御機(jī)制，能夠更有效地防止互聯(lián)網(wǎng)給數(shù)據(jù)庫帶來的層出不窮的惡意攻擊。筆者就是針對(duì)信息安全領(lǐng)域的數(shù)據(jù)庫入侵檢測(cè)技術(shù)做了初步的探析。

關(guān)鍵字 數(shù)據(jù)庫 入侵檢測(cè) 安全

一、引言

隨著互聯(lián)網(wǎng)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)己經(jīng)在社會(huì)、經(jīng)濟(jì)、文化和人們的日常生活中扮演著越來越重要的角色。同時(shí)越來越多的政府、企業(yè)、組織、金融等機(jī)構(gòu)和部門將自己的數(shù)據(jù)庫連接到互聯(lián)網(wǎng)上，然而這些數(shù)據(jù)庫掌握著敏感的金融數(shù)據(jù)，包括交易記錄、商業(yè)事務(wù)和帳號(hào)數(shù)據(jù)，戰(zhàn)略上的或者專業(yè)的信息，甚至市場計(jì)劃等等應(yīng)該保護(hù)起來防止競爭者和其他非法者獲取的資料。

在商業(yè)利益和技術(shù)刺激的雙層驅(qū)使下，網(wǎng)絡(luò)高手、黑客們紛紛對(duì)數(shù)據(jù)庫進(jìn)行攻擊，對(duì)國家安全、企業(yè)經(jīng)濟(jì)造成了巨大的損害，所以數(shù)據(jù)庫安全已然成為信息安全的焦點(diǎn)，我們迫切需要研究針對(duì)數(shù)據(jù)庫的入侵檢測(cè)技術(shù)來提高安全性。

二、數(shù)據(jù)庫安全機(jī)制的缺陷

雖然大多數(shù)數(shù)據(jù)庫管理系統(tǒng)都提供了安全管理機(jī)制，使對(duì)數(shù)據(jù)庫安全的需求得到了一定程度的滿足，但在很多方面仍然存在大量的問題。

（一）數(shù)據(jù)庫賬戶和權(quán)限的濫用

缺少針對(duì)數(shù)據(jù)庫管理員的監(jiān)控機(jī)制。數(shù)據(jù)庫管理員擁有數(shù)據(jù)庫系統(tǒng)管理、賬號(hào)管理、權(quán)限分配等系統(tǒng)最高權(quán)限。如果數(shù)據(jù)庫管理員利用工作之便，竊取敏感信息、篡改毀壞重要業(yè)務(wù)數(shù)據(jù)，對(duì)企業(yè)數(shù)據(jù)庫安全的打擊將是致命的。

（二）數(shù)據(jù)庫自身日志審計(jì)的缺陷

難以實(shí)時(shí)監(jiān)測(cè)發(fā)現(xiàn)問題。數(shù)據(jù)庫系統(tǒng)自身的日志審計(jì)功能可以記錄各種數(shù)據(jù)庫系統(tǒng)修改、權(quán)限使用等日志信息，并不能幫助管理者及時(shí)發(fā)現(xiàn)定位問題；同時(shí)由于不能實(shí)時(shí)監(jiān)測(cè)報(bào)警，因此在數(shù)據(jù)庫異常安全事件發(fā)生時(shí)，無法第一時(shí)間報(bào)告給管理者，導(dǎo)致管理者不能及時(shí)采取有效措施。

（三）數(shù)據(jù)庫身份認(rèn)證的缺陷

數(shù)據(jù)庫系統(tǒng)雖然提供用戶身份認(rèn)證機(jī)制，但是用戶只有提供了正確的登錄賬號(hào)和登錄口令才能進(jìn)入數(shù)據(jù)庫服務(wù)器進(jìn)行操作。如果一個(gè)用戶通過非法手段取得一個(gè)賬號(hào)和口令，則此非法用戶可以進(jìn)入數(shù)據(jù)庫服務(wù)器進(jìn)行操作，用戶認(rèn)證機(jī)制對(duì)此無能為力。

三、數(shù)據(jù)庫入侵檢測(cè)的必要性

對(duì)數(shù)據(jù)庫來說，僅僅依靠在文件和系統(tǒng)命令級(jí)的底層操作系統(tǒng)和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)無法保證檢測(cè)的效率和精度。比如SQL注入技術(shù)是一種入侵者使用精心偽造惡意SQL語句來獲取用戶特權(quán)的方法，SQL注入常常利用數(shù)據(jù)庫應(yīng)用程序的漏洞，這種入侵是操作系統(tǒng)和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)所難以檢測(cè)的。因此，對(duì)他們的非法行為往往很難檢測(cè)。

入侵檢測(cè)作為一種動(dòng)態(tài)的網(wǎng)絡(luò)安全防衛(wèi)技術(shù)，能同其他安全部件一起構(gòu)成縱深的、多層次的計(jì)算機(jī)和網(wǎng)絡(luò)安全防御系統(tǒng)，對(duì)數(shù)據(jù)庫運(yùn)行系統(tǒng)的狀態(tài)和活動(dòng)進(jìn)行檢測(cè)，分析出非授權(quán)的訪問和惡意行為，發(fā)現(xiàn)入侵行為和企圖，為入侵防范提供有效的手段，提高檢測(cè)的準(zhǔn)確度和有效性。

數(shù)據(jù)庫入侵檢測(cè)系統(tǒng)的研究對(duì)Internet的安全、數(shù)據(jù)倉庫的安全有著十分廣闊的前景。并且，信息安全的增強(qiáng)會(huì)進(jìn)一步帶動(dòng)Internet應(yīng)用（特別是電子商務(wù)）的發(fā)展，使其在國民經(jīng)濟(jì)中發(fā)揮更大的作用，產(chǎn)生巨大的經(jīng)濟(jì)效益和社會(huì)效益。

四、流行的數(shù)據(jù)庫入侵檢測(cè)技術(shù)

（一）對(duì)存儲(chǔ)篡改的檢測(cè)

對(duì)數(shù)據(jù)庫的存儲(chǔ)篡改是一種惡意修改數(shù)據(jù)庫中的存儲(chǔ)數(shù)據(jù)以降低數(shù)據(jù)質(zhì)量的行為，存儲(chǔ)篡改的目的是以錯(cuò)誤或低質(zhì)量數(shù)據(jù)誤導(dǎo)和妨礙對(duì)手的行為，存儲(chǔ)篡改是一種內(nèi)部濫用行為。

檢測(cè)物是一種檢測(cè)篡改數(shù)據(jù)的惡意行為的抽象機(jī)制，在數(shù)據(jù)庫中，檢測(cè)物一般是不被正常用戶和應(yīng)用所使用，但篡改者又無法將其與正常數(shù)據(jù)區(qū)分開的偽造數(shù)據(jù)，如果發(fā)現(xiàn)檢測(cè)物不在正?；蚩深A(yù)期的狀態(tài)則表示可能發(fā)生了數(shù)據(jù)篡改行為。對(duì)防止和檢測(cè)企圖繞過數(shù)據(jù)庫管理系統(tǒng)在磁盤級(jí)破壞數(shù)據(jù)的入侵者，通過將數(shù)據(jù)庫加密和在小塊可信存儲(chǔ)中保存的散列，驗(yàn)證數(shù)據(jù)庫正確性的方法來檢測(cè)不可信程序，對(duì)數(shù)據(jù)庫的非法讀取和修改是有效的。

（二）基于數(shù)據(jù)庫應(yīng)用語義的檢測(cè)

在許多場合中，獨(dú)立于應(yīng)用語義對(duì)數(shù)據(jù)庫事務(wù)或用戶進(jìn)行檢測(cè)并不足以識(shí)別用戶的異常行為，如某個(gè)管理員突然將自己每月工資增加一萬元，在正常情況下這是不可能的，但對(duì)建立在獨(dú)立于應(yīng)用語義上的檢測(cè)方法如對(duì)表存取統(tǒng)計(jì)、數(shù)據(jù)文件存取統(tǒng)計(jì)、會(huì)話統(tǒng)計(jì)或上述的各種檢測(cè)方法并不能發(fā)現(xiàn)異常，這種異常檢測(cè)只能建立在數(shù)據(jù)庫的應(yīng)用語義上。

（三）基于數(shù)據(jù)庫事務(wù)級(jí)的入侵檢測(cè)

數(shù)據(jù)庫具有自己獨(dú)特的事務(wù)處理機(jī)制和SQL語言查詢，對(duì)用戶使用SQL語句的模式進(jìn)行檢測(cè)是數(shù)據(jù)庫入侵檢測(cè)的一項(xiàng)重要內(nèi)容。指印是一種基于SQL語句的入侵檢測(cè)方法，指印是從合法事務(wù)中的SQL語句中推出的正則表達(dá)式，它代表用戶正常的行為，用戶的事務(wù)語句如果偏離指印集則表示可能的異常行為。指印技術(shù)特別適應(yīng)類似于對(duì)互聯(lián)網(wǎng)上的數(shù)據(jù)庫入侵檢測(cè)，比如SQL語句注入，因?yàn)樵谶@些應(yīng)用中往往使用數(shù)據(jù)庫應(yīng)用來查詢數(shù)據(jù)庫，而這些應(yīng)用只通過一定接口使用固定的幾種查詢格式，不允許用戶自構(gòu)查詢，在這種情況下即使事務(wù)較大用戶較多誤警率也較低。

（四）基于數(shù)據(jù)挖掘的檢測(cè)

數(shù)據(jù)挖掘指從存儲(chǔ)數(shù)據(jù)中識(shí)別出隱藏的固定模式或異常現(xiàn)象的高級(jí)處理過程，由于數(shù)據(jù)挖掘技術(shù)能夠發(fā)現(xiàn)隱藏在數(shù)據(jù)背后的用戶模式和特征，因此，在基于主機(jī)和網(wǎng)絡(luò)的入侵檢測(cè)中，基于數(shù)據(jù)挖掘的檢測(cè)方法是重要的研究課題，也存在著來自統(tǒng)計(jì)、模式識(shí)別、機(jī)器學(xué)習(xí)等多個(gè)領(lǐng)域的數(shù)據(jù)挖掘算法。使用元學(xué)習(xí)的方法來進(jìn)行分布式事務(wù)模式挖掘，元學(xué)習(xí)是一種用于處理從大型分布式數(shù)據(jù)庫中計(jì)算全局分類器的技術(shù)，元學(xué)習(xí)首先在分布式數(shù)據(jù)庫中使用學(xué)習(xí)程序并行的計(jì)算獨(dú)立的分類器，然后再使用另一個(gè)學(xué)習(xí)程序在這些分類器上集成元分類器。在使用元學(xué)習(xí)得出異?；蚱钍聞?wù)模型后，使用模式指導(dǎo)的推理系統(tǒng)來檢測(cè)欺騙事務(wù)。

參考文獻(xiàn)：

[1]鐘勇，秦小麟.數(shù)據(jù)庫入侵檢測(cè)研究綜述[J].計(jì)算機(jī)科學(xué).2004，31(10).

[2]張?jiān)虑?數(shù)據(jù)庫入侵檢測(cè)技術(shù)研究[J].電腦知識(shí)與技術(shù).2012，8(6).