入侵檢測技術(shù)在數據庫系統的應用

　　摘要：入侵檢測是檢測和識別針對計算機系統和網(wǎng)絡(luò )系統的非法攻擊或違反安全策略事件的過(guò)程。數據庫入侵檢測系統的研究與設計借鑒了針對網(wǎng)絡(luò )和針對主機的入侵檢測技術(shù)，又考慮了數據庫自身的特點(diǎn)。
　　關(guān)鍵詞：入侵檢測入侵分析數據庫系統
　　傳統的數據庫安全機制以身份認證和存取控制為重點(diǎn)，是一種以預防為主的被動(dòng)安全機制，無(wú)法滿(mǎn)足日益增長(cháng)數據庫對安全的需要。近年來(lái)對數據庫入侵檢測機制的研究受到了廣泛關(guān)注和重視。通過(guò)建立異常檢測機制，有效地發(fā)現用戶(hù)在使用數據庫過(guò)程中可能發(fā)生的入侵和攻擊，以期達到保護數字圖書(shū)館數據庫安全的目的。
　　1、入侵檢測簡(jiǎn)介
　　入侵檢測是檢測和識別針對計算機系統和網(wǎng)絡(luò )系統，或者更廣泛意義上的信息系統的非法攻擊，或者違反安全策略事件的過(guò)程。它從計算機系統或者網(wǎng)絡(luò )環(huán)境中采集數據，分析數據，發(fā)現可疑攻擊行為或者異常事件，并采取一定的響應措施攔截攻擊行為，降低可能的損失。在入侵檢測系統中，系統將用戶(hù)的當前操作所產(chǎn)生的數據同用戶(hù)的歷史操作數據根據一定的算法進(jìn)行檢測，從而判斷用戶(hù)的當前操作是否屬于入侵行為，然后系統根據檢測結果采取相應的行動(dòng)。入侵檢測作為一種積極主動(dòng)的安全防護技術(shù)，提供了對內部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護，在網(wǎng)絡(luò )系統受到危害之前攔截和響應入侵。入侵檢測系統能很好地彌補防火墻的不足，從某種意義上說(shuō)是防火墻的補充。入侵檢測技術(shù)是計算機安全技術(shù)中的重要部分，它從計算機系統中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢測計算機系統中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測系統在幾乎不影響計算機系統性能的情況下能對計算機系統進(jìn)行實(shí)時(shí)監測，并對系統提供針對內部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護。入侵檢測技術(shù)通過(guò)對入侵行為的過(guò)程與特征的研究，使安全系統對入侵事件和入侵過(guò)程能做出實(shí)時(shí)響應。入侵檢測技術(shù)擴展了系統管理員的安全管理能力，提高了信息安全基礎結構的完整性。
　　2、入侵檢測技術(shù)分類(lèi)
　�。�1）從數據的來(lái)源看
　　入侵檢測通�？梢苑譃閮深�(lèi):基于主機的入侵檢測和基于網(wǎng)絡(luò )的入侵檢測�；�于主機的入侵檢測通常從主機的審計記錄和日志文件中獲得所需的主要數據源，并輔之以主機上的其他信息，例如文件系統屬性、進(jìn)程狀態(tài)等，在此基礎上完成檢測攻擊行為的任務(wù)�；�于網(wǎng)絡(luò )的入侵檢測通過(guò)監聽(tīng)網(wǎng)絡(luò )中的數據包來(lái)獲得必要的數據來(lái)源，并通過(guò)協(xié)議分析、特征匹配、統計分析等手段發(fā)現當前發(fā)生的攻擊行為。從數據分析手段來(lái)看，入侵檢測通常又可以分為兩類(lèi):誤用入侵檢測和異常入侵檢測。誤用檢測的技術(shù)基礎是分析各種類(lèi)型的攻擊手段，并找出可能的“攻擊特征”集合。誤入侵檢測的定義為:識別針對計算機或網(wǎng)絡(luò )資源的惡意企圖和行為，并對此做出反應的過(guò)程。入侵檢測系統則是完成如上功能的獨立系統。入侵檢測系統能夠檢測未授權對象，針對系統的入侵企圖或行為，同時(shí)監控授權對象對系統資源的非法操作。
　�。�2）從數據分析手段看
　　入侵檢測通�？梢�?xún)深?lèi)：濫用入侵檢測和異常入侵檢測。濫用入侵檢測的技術(shù)基礎是分析各種類(lèi)型的攻擊手段，并找出可能的“攻擊特征”集合形成特征庫或者模式庫，濫用入侵檢測利用形成的特征庫，對當前的數據來(lái)源進(jìn)行各種分析處理后，再進(jìn)行特征匹配或者規則匹配工作，如果發(fā)現滿(mǎn)足條件的匹配，則指示已經(jīng)發(fā)生了一次攻擊行為然后入侵檢測系統的響應單元做出相應的處理。異常入侵檢測是通過(guò)觀(guān)察當前活動(dòng)與系統歷史正�；顒�(dòng)情況之間的差異來(lái)實(shí)現。這就需要異常入侵檢測建立一個(gè)關(guān)于系統正�；顒�(dòng)的狀態(tài)模型并不斷更新，然后將用戶(hù)當前的活動(dòng)情況與這個(gè)正常模型進(jìn)行對比，如果發(fā)現了超過(guò)設定值的差異程度，則指示發(fā)現了非法攻擊行為。
　　相比較而言，濫用入侵檢測比異常入侵檢測具備更好的確定解釋能力，即明確指示當前發(fā)生的攻擊手段類(lèi)型，另外，濫用入侵檢測具備較高的檢測率和較低的虛警率，開(kāi)發(fā)規則庫和特征集合相對于建立系統正常模型而言，要更容易、更方便。但是，濫用入侵檢測只能檢測到已知的攻擊模式，模式庫只有不段更新才能檢測到新的攻擊類(lèi)型。而異常檢測的優(yōu)點(diǎn)是可以檢測到未知的入侵行為，盡管可能無(wú)法明確指示是何種類(lèi)型。從現有的實(shí)際系統來(lái)看，大多數都是基于濫用入侵檢測技術(shù)，同時(shí)也結合使用異常入侵檢測技術(shù)，提高了檢測率并降低了虛警率。
　　3、數據庫系統的安全
　　數據庫系統的安全框架可分為三個(gè)層次:網(wǎng)絡(luò )系統層次、宿主操作系統層次和數據庫管理系統層次。由于數據庫系統在操作系統下都是以文件形式進(jìn)行管理的，因此入侵者可以直接利用操作系統的漏洞竊取數據庫文件，或者直接利用OS 工具來(lái)非法偽造、篡改數據庫文件內容。因此，數據庫系統的安全性很大程度上依賴(lài)于數據庫管理系統。如果數據庫管理系統安全機制非常強大，則數據庫系統的安全性能就較好。根據數據庫安全的三個(gè)層次，筆者提出了一個(gè)數據庫入侵檢測系統，其外層用基于網(wǎng)絡(luò )的入侵檢測，中間層用基于主機的入侵檢測，內層采用入侵容忍。此系統采用系統整體安全策略，綜合多種安全措施，實(shí)現了系統關(guān)鍵功能的安全性和健壯性。
　　4、數據庫入侵檢測技術(shù)
　　數據庫入侵檢測系統的研究與設計借鑒了針對網(wǎng)絡(luò )和針對主機的入侵檢測技術(shù)，在此基礎上，又考慮了數據庫自身的特點(diǎn)。按照檢測方法分為: 誤用檢測和反常檢測。
　�。�1）數據庫誤用檢測
　　誤用檢測是指將已知的攻擊特征存儲在誤用特征知識庫里面，然后根據用戶(hù)的當前操作行為與知識庫里的誤用入侵規則進(jìn)行匹配檢驗，如果符合知識庫中的入侵特征，則說(shuō)明發(fā)生了入侵。誤用特征知識庫中的入侵規則由安全專(zhuān)家定義，可以隨時(shí)添加、修改，然后保存在知識庫中，用來(lái)對審計數據進(jìn)行匹配比較。誤用檢測的優(yōu)點(diǎn)是檢測的準確率高，缺點(diǎn)是只能對已知的攻擊特征進(jìn)行匹配檢驗，對未知的攻擊類(lèi)型無(wú)法發(fā)現，而對未知攻擊類(lèi)型的檢測要依靠異常檢測。所以，誤用檢測常常與異常檢測結合起來(lái)使用。
　�。�2）數據庫反常入侵檢測
　　反常檢測是指將用戶(hù)正常的習慣行為特征存儲在特征數據庫中，然后將用戶(hù)當前行為特征與特征數據庫中的特征進(jìn)行比較，若兩者偏差足夠大，則說(shuō)明發(fā)生了反常。這種方法的優(yōu)勢在于它能從大量數據中提取人們感興趣的、事先未知的知識和規律，而不依賴(lài)經(jīng)驗，應用在基于數據庫的入侵檢測系統中，可以從大量的數據中發(fā)現有助于檢測的知識和規則。

【入侵檢測技術(shù)在數據庫系統的應用】相關(guān)文章：

數據庫系統設計中面向對象技術(shù)的應用03-30

無(wú)人機檢測技術(shù)在橋梁檢測工程的應用論文03-15

無(wú)損檢測技術(shù)在壓力容器的應用論文06-13

無(wú)損檢測技術(shù)在電站鍋爐檢驗的應用論文03-15

實(shí)驗檢測技術(shù)在公路工程中的應用11-22

變電設備在線(xiàn)檢測技術(shù)的應用研究03-03

厭氧菌檢測技術(shù)在口腔頜面部感染的應用論文03-15

汽車(chē)工業(yè)無(wú)損檢測技術(shù)的應用論文03-16

煤礦機械設備的超聲檢測技術(shù)應用論文12-03