計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)探究

陳 健

(黑龍江信息技術(shù)職業(yè)學(xué)院，哈爾濱150025)

在計(jì)算機(jī)技術(shù)剛剛發(fā)展起來(lái)的時(shí)候，數(shù)據(jù)庫(kù)的主要功能都是認(rèn)證身份和控制存取，這無(wú)疑是較為被動(dòng)的安全機(jī)制，隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，這樣的數(shù)據(jù)庫(kù)安全機(jī)制已經(jīng)無(wú)法滿足數(shù)據(jù)庫(kù)的增長(zhǎng)需求，因此，人們更加重視對(duì)計(jì)算機(jī)數(shù)據(jù)庫(kù)的入侵檢測(cè)技術(shù)研究，現(xiàn)已發(fā)現(xiàn)可能的入侵和攻擊方式，尤其為數(shù)字圖書館的數(shù)據(jù)庫(kù)保護(hù)工作提供了有力的支持。

1 數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)簡(jiǎn)介

入侵檢測(cè)是檢測(cè)和識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、信息系統(tǒng)的非法攻擊，以及違反安全策略事件的過(guò)程。它從計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)環(huán)境中采集數(shù)據(jù)，分析數(shù)據(jù)，發(fā)現(xiàn)可疑攻擊行為或者異常事件，并采取一定的措施攔截攻擊行為，降低可能的損失。在入侵檢測(cè)系統(tǒng)中，系統(tǒng)將用戶的當(dāng)前操作所產(chǎn)生的數(shù)據(jù)同用戶的歷史操作數(shù)據(jù)根據(jù)一定的算法進(jìn)行對(duì)比，從而判斷用戶的當(dāng)前操作是否屬于入侵行為，然后系統(tǒng)根據(jù)檢測(cè)結(jié)果采取相應(yīng)的行動(dòng)。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測(cè)系統(tǒng)能很好地彌補(bǔ)防火墻的不足，從某種意義上說(shuō)是防火墻的補(bǔ)充。

2 計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)的分類

2.1 數(shù)據(jù)的來(lái)源不同

計(jì)算機(jī)數(shù)據(jù)庫(kù)的入侵檢測(cè)系統(tǒng)主要分為主機(jī)的入侵檢測(cè)以及網(wǎng)絡(luò)的入侵檢測(cè)，前者主要是以存入主機(jī)的相關(guān)文件日志或者工作人員輸入的審計(jì)記錄中獲得大量的有效信息，作為數(shù)據(jù)庫(kù)的來(lái)源，同時(shí)也會(huì)包含關(guān)于主機(jī)的其他有用信息，比如計(jì)算機(jī)工作的狀態(tài)、進(jìn)程以及系統(tǒng)中文件的屬性等，根據(jù)上述的信息來(lái)源計(jì)算機(jī)數(shù)據(jù)庫(kù)才能夠完成檢測(cè)和攻擊的任務(wù)。網(wǎng)絡(luò)的入侵檢測(cè)通過(guò)監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)包來(lái)獲得必要的數(shù)據(jù)來(lái)源，并通過(guò)協(xié)議分析、特征匹配、統(tǒng)計(jì)分析等手段發(fā)現(xiàn)當(dāng)前發(fā)生的攻擊行為。從數(shù)據(jù)分析手段來(lái)看，入侵檢測(cè)通常又可以分為誤用入侵檢測(cè)和異常入侵檢測(cè)。誤用檢測(cè)的技術(shù)基礎(chǔ)是分析各種類型的攻擊手段，并找出可能的“攻擊特征”集合。誤用入侵檢測(cè)是識(shí)別針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為，并對(duì)此做出反應(yīng)的過(guò)程。入侵檢測(cè)系統(tǒng)能夠檢測(cè)未授權(quán)對(duì)象、針對(duì)系統(tǒng)的入侵企圖或行為，同時(shí)監(jiān)控授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法操作。

2.2 數(shù)據(jù)分析方法不同

入侵檢測(cè)技術(shù)可以分為濫用入侵檢測(cè)和異常入侵檢測(cè)。濫用入侵檢測(cè)技術(shù)是以分析不同的攻擊手段作為基礎(chǔ)，從而達(dá)到找出具有相同或相似的攻擊特征集合的目的。濫用入侵檢測(cè)技術(shù)會(huì)把已經(jīng)分辨出的模式庫(kù)或特征庫(kù)按照相應(yīng)的數(shù)據(jù)來(lái)源進(jìn)行分類處理，最后把特征相符或比較規(guī)則的特征庫(kù)匹配到一起，如果發(fā)現(xiàn)滿足條件的匹配，則指示已經(jīng)發(fā)生了一次攻擊行為，然后入侵檢測(cè)系統(tǒng)的響應(yīng)單元做出相應(yīng)的處理。異常入侵檢測(cè)是通過(guò)觀察當(dāng)前活動(dòng)與系統(tǒng)歷史正?；顒?dòng)情況之間的差異來(lái)實(shí)現(xiàn)，這就需要異常入侵檢測(cè)建立一個(gè)關(guān)于系統(tǒng)正?；顒?dòng)的狀態(tài)模型并不斷更新，然后將用戶當(dāng)前的活動(dòng)情況與這個(gè)正常模型進(jìn)行對(duì)比，如果發(fā)現(xiàn)了超過(guò)設(shè)定值的差異程度，則指示發(fā)現(xiàn)了非法攻擊行為。

濫用入侵檢測(cè)技術(shù)更能夠準(zhǔn)確、明了地發(fā)現(xiàn)入侵和攻擊的類型，檢測(cè)率和警示效率都比異常入侵檢測(cè)技術(shù)高，而且更方便、更容易。從現(xiàn)有的實(shí)際系統(tǒng)來(lái)看，大多數(shù)都是基于濫用入侵檢測(cè)技術(shù)，同時(shí)也結(jié)合使用異常入侵檢測(cè)技術(shù)，提高了檢測(cè)率并降低了虛警率。然而，濫用入侵檢測(cè)技術(shù)美中不足的就是其只能檢測(cè)出已經(jīng)存在的攻擊形式，需要不斷地更新模式庫(kù)，這樣才能保證不會(huì)漏掉新的攻擊形式的檢測(cè)，就這方面而言，異常檢測(cè)技術(shù)就能夠預(yù)測(cè)未知的入侵形式。

3 對(duì)計(jì)算機(jī)數(shù)據(jù)庫(kù)系統(tǒng)安全性的探究

計(jì)算機(jī)數(shù)據(jù)庫(kù)系統(tǒng)的安全框架分三個(gè)層次，即數(shù)據(jù)庫(kù)管理系統(tǒng)層次、網(wǎng)絡(luò)系統(tǒng)層次以及宿主操作層次，通過(guò)相應(yīng)的操作將計(jì)算機(jī)數(shù)據(jù)庫(kù)的系統(tǒng)進(jìn)行規(guī)范化的管理，并以文件的形式展現(xiàn)出來(lái)，這樣就使得入侵者有機(jī)可乘，他們可以通過(guò)操作數(shù)據(jù)庫(kù)系統(tǒng)的文件將信息盜取，給企業(yè)或個(gè)人的機(jī)密甚至財(cái)產(chǎn)造成損失。筆者通過(guò)研究發(fā)現(xiàn)可以用三層防范措施加強(qiáng)數(shù)據(jù)庫(kù)的安全性，也就是入侵檢測(cè)系統(tǒng)的外層用基于網(wǎng)絡(luò)的入侵檢測(cè)，內(nèi)層用入侵容忍的方式，而中間加入基于主機(jī)的入侵檢測(cè)，這樣多層次的防護(hù)措施能夠更加有效地對(duì)數(shù)據(jù)庫(kù)的系統(tǒng)進(jìn)行管理，提高了計(jì)算機(jī)數(shù)據(jù)庫(kù)的整體安全性能，也壯大了系統(tǒng)相應(yīng)安全功能的安全性。

4 結(jié)語(yǔ)

本研究強(qiáng)調(diào)了計(jì)算機(jī)數(shù)據(jù)庫(kù)系統(tǒng)安全的重要性，希望通過(guò)對(duì)計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)的研究能夠加強(qiáng)計(jì)算機(jī)數(shù)據(jù)的安全，促進(jìn)我國(guó)計(jì)算機(jī)事業(yè)的健康發(fā)展。

[1]唐正軍.入侵檢測(cè)技術(shù)導(dǎo)論[M］.北京:機(jī)械工業(yè)出版社，2004.

[2]戴英俠，連一峰，王航.系統(tǒng)安全與入侵檢測(cè)[M］.北京:清華大學(xué)出版社，2002.

[3]玄加林，才書訓(xùn).入侵監(jiān)測(cè)系統(tǒng)現(xiàn)狀與展望[J］.計(jì)算機(jī)時(shí)代，2005，(8).