計算機數(shù)據(jù)庫的入侵檢測技術探析

徐曉暉

摘 要 社會處于不斷的發(fā)展之中，計算機行業(yè)也是一樣，可以說是日新月異。目前的手機通信和自動化辦公系統(tǒng)的應用已經(jīng)非常的廣泛。計算機數(shù)據(jù)庫得到了廣泛的應用，與此同時，計算機數(shù)據(jù)庫遭到入侵的狀況也屢屢發(fā)生，筆者就計算機數(shù)據(jù)庫的入侵檢測技術進行分析和探討，希望對提高數(shù)據(jù)庫的安全性具有一定的幫助。

關鍵詞 計算機；數(shù)據(jù)庫；入侵；技術

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）05-0117-01

數(shù)據(jù)庫于20世紀70年代誕生于美國，經(jīng)過幾十年的發(fā)展越來越成熟，已經(jīng)成為國家經(jīng)濟發(fā)展的科技進步的一個重要的工具。在數(shù)據(jù)庫的作用下，信息化的進程在不斷的加快，企業(yè)的管理工作也在不斷的提高。據(jù)有關部門的統(tǒng)計，目前我國的數(shù)據(jù)庫數(shù)量已經(jīng)達到1038個。數(shù)據(jù)庫的英文是Database，其可以被看作是一個大的倉庫，對數(shù)據(jù)進行儲存、管理以及組織。數(shù)據(jù)庫在對數(shù)據(jù)進行處理時是按照數(shù)據(jù)的結(jié)構(gòu)出發(fā)的。目前，數(shù)據(jù)庫系統(tǒng)的應用越來越廣泛，已經(jīng)深入到企業(yè)、政府、學校等單位的信息管理中，發(fā)揮著重要的作用。然而，在使用的同時也會出現(xiàn)一些問題，比如：遭到入侵，這時就需要使用入侵檢測技術來對數(shù)據(jù)庫系統(tǒng)加以保護，使其更便捷、安全、更智能。

1 入侵檢測的介紹

數(shù)據(jù)庫中會存放大量的資料，這些資料關乎個人以及單位的隱私和信息，有的不法分子為了獲取到這些信息往往會對數(shù)據(jù)庫進行攻擊，這時就需要使用入侵檢測技術來對數(shù)據(jù)庫的安全進行保駕護航。網(wǎng)絡動作會發(fā)生異常的狀況，有的數(shù)據(jù)庫會遭到攻擊，這時檢測系統(tǒng)和檢測技術就會對此作出回應。入侵檢測技術一般會設立一些信息認證或者是多重的關卡，這樣檢測的目的就會達到。在一般情況下，入侵檢測技術會設置網(wǎng)絡陷阱，這些網(wǎng)絡陷阱主要分布在數(shù)據(jù)庫中的一些關鍵點上面。這樣，當計算機數(shù)據(jù)被人為因素或者是病毒進行襲擊的時候，該技術就可以完成對數(shù)據(jù)的收集以及分析。在此基礎上，一些違反安全策略的跡象以及行為就會無處遁逃。

我們可以看到入侵檢測技術屬于一種安全保護技術，該技術可以對計算機數(shù)據(jù)庫資料進行保護，保證網(wǎng)絡資源處于安全，不被攻擊。計算機的防火墻往往會被攻破，有的會被繞開，此時使用該技術可以很快的發(fā)現(xiàn)侵入行為，對該種惡意行為進行阻止，將其消除在萌芽之中。入侵檢測技術在發(fā)現(xiàn)問題的同時會針對破壞和盜竊行為采取有力的措施，這些措施包括：對IP進行封掉、切斷連接，此外還會進行報警?？梢哉f，網(wǎng)絡系統(tǒng)的安全和穩(wěn)定均離不開這些措施。

2 主要入侵檢測技術的介紹

1）誤用檢測技術。該技術會對以下情況進行有效檢測：病毒、攻擊的模式以及非法入侵活動。系統(tǒng)會對檢測方法進行假定。誤用檢測技術會使用一種模式或者是特征來對侵入的病毒以及入侵活動開展表達。該技術會從現(xiàn)有的入侵行為出發(fā)，對其分析之后會構(gòu)建特性模型。在此情況下，檢測行為就發(fā)生了轉(zhuǎn)變，也就是匹配搜素有關模式或者是特點。

2）異常檢測技術。和誤用檢測技術相比，異常檢測技術使用的范圍比較寬。在使用該檢測技術時，假如入侵行為和正常用戶的惡意活動有區(qū)別，那么會對這些行為特征進行分析，之后就會對框架以及模型進行構(gòu)建。如果用戶活動狀態(tài)的數(shù)量和正常的情況不一樣，就說明其和統(tǒng)計規(guī)律是相反的，也就是說其屬于入侵行為的范疇。異常檢測技術無論是在敏感度還是在使用范圍方面都比誤用檢測技術要強大的多。

3）具體應用—基于日志的入侵檢測技術。IIS服務系一般會遇到不法分子的襲擊，這些不法分子一般會對不同種類的信息進行整理和收集。之后，會使用專業(yè)的掃面工具來對系統(tǒng)存在的安全漏洞進行查找和攻擊。但是，在平常的默認狀況下，對各類型本地系統(tǒng)訪問行為的自動記憶是由日志功能完成的。用戶名、客戶端IP地址和被掃描的服務器端口號碼都在日志中蘊藏，因此在對有關的內(nèi)容進行分析后就可以對IIS服務器系統(tǒng)是不是存在安全隱患進行判斷了。具體的步驟是：①對本地系統(tǒng)對應的日志文件進行查看，進行一下單擊行為：開始、設置、控制面板。這些單擊行為要嚴格按照順序進行；②對控制面板窗口中的“管理工具”進行雙擊，當彈出對話框后進行“事件查看器”雙擊。在以上的操作完成后，我們就可以進入到系統(tǒng)的查看器窗口；③查看系統(tǒng)日志和安全日志的位置：整個界面左側(cè)位置的子窗格中。

此外，我們可以將日志文件打開，相對應ID的事件記錄就會看到，故障的位置就找到了。對于一些通信工具來說，其通信應用程序會自動形成日記記錄，對登錄狀況也會進行保存，因此我們可以很容易找出問題。

3 目前入侵檢測出現(xiàn)的弊端

由于入侵檢測技術在我國使用的時間不長，還處于探索期，因此不是那么的成熟，出現(xiàn)了一些問題，比如：檢測系統(tǒng)有待進一步的完善，發(fā)展也不是那么的迅速。有的新技術還處于研究的階段，而新的檢測理論發(fā)展也比較緩慢，也就產(chǎn)生了問題和弊端。

1）誤報率比較高。由于數(shù)據(jù)庫系統(tǒng)很龐大，里面包含了難以計數(shù)的數(shù)據(jù)，因此檢測系統(tǒng)在檢測時往往會有漏洞，造成漏報的現(xiàn)象。此外，誤報的狀況也不時發(fā)生。有的檢測技術為了提高檢測率，認為“寧可錯殺三千，不能放過一個”，因此在檢測時設置了多項關卡。這時，如果有非外界攻擊行為發(fā)生，那么該技術也認為其屬于入侵行為，造成誤檢。

2）檢測效率方面。無論是數(shù)據(jù)入侵還是反入侵，一個前提條件是：數(shù)據(jù)計算。而數(shù)據(jù)計算是建立在二進制編碼的基礎之上的。因此，入侵需要的計算量很大，檢測的計算也是一樣。這就造成檢測效率比較低的現(xiàn)象。

3）自身防護性能方面。自我防御功能在目前的檢測技術中比較欠缺，這既和系統(tǒng)問題有關系，又和設計人員有關。因此，當檢測技術遇到攻擊時，那么全部系統(tǒng)的運作就會混亂，造成癱瘓。這樣，后果是十分嚴重的，有的無法對入侵行為進行記錄，有的系統(tǒng)則再在此時會被攻破，數(shù)據(jù)庫的安全性性得不到保障，用戶隱私和信息就會泄露。

4）可擴展性方面。入侵檢測技術自身不能實現(xiàn)升級，也就說當其安裝在計算機上時，就會固定不變，不會自動的更新。而計算機病毒卻是常常變化的，因此不會自動的更新的入侵檢測技術是難以應對變化無常的網(wǎng)絡病毒的。因此，可維護性差，需要不斷的進行升級和自我的更新，改變?nèi)狈C動性的現(xiàn)狀。

4 結(jié)束語

筆者對目前的入侵檢測技術進行了分析和介紹，并提到了弊端，這就需要研發(fā)人員不斷的探索，提高檢測技術水平，這樣數(shù)據(jù)庫安全才能得到保證。

參考文獻

[1]葛立，牛君蘭.入侵檢測技術在校園數(shù)據(jù)安全中的應用[J].內(nèi)蒙古科技與經(jīng)濟，2010（22）.endprint