葉碧野

摘要：計算機數(shù)據(jù)庫系統(tǒng)的安全保障是極為重要的，它不僅關(guān)系到企業(yè)和個人的隱私保護，甚至還與社會的穩(wěn)定和國家的安全息息相關(guān)。為了保證計算機數(shù)據(jù)庫的安全，那么我們就需要一種可以查明系統(tǒng)漏洞，成功阻止網(wǎng)絡(luò)黑客入侵，及時發(fā)現(xiàn)入侵及修補的網(wǎng)絡(luò)安全技術(shù)，即入侵檢測技術(shù)。那么入侵檢測的硬件和軟件的組合便是入侵檢測系統(tǒng)。該文首先闡述了防范計算機數(shù)據(jù)庫入侵的重要性，其次，分析了入侵檢測技術(shù)的發(fā)展現(xiàn)狀及入侵檢測模型。同時，就入侵檢測系統(tǒng)特點進行了深入的探討，提出了自己的建議和看法，具有一定的參考價值。

關(guān)鍵詞：計算機數(shù)據(jù)庫；入侵檢測技術(shù)；分析

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)05-1012-03

計算機數(shù)據(jù)庫系統(tǒng)的安全保障是極為重要的，它不僅關(guān)系到企業(yè)和個人的隱私保護，甚至還與社會的穩(wěn)定和國家的安全息息相關(guān)。目前雖然防火墻大量被采用，但由于防火墻自身存在著一些原因，導(dǎo)致防火墻目前還不可以完全抵御黑客的入侵，僅有防火墻來保護計算機數(shù)據(jù)庫系統(tǒng)，這是遠遠不夠的。

第一，防火墻不是動態(tài)的，而只是一種靜態(tài)的安全技術(shù)，不能主動追蹤入侵者，需要人工來實施和維護。第二，由于防火墻自身性能的約束，導(dǎo)致防火墻技術(shù)沒有實時入侵檢測的能力。第三，防火墻雖充當(dāng)了系統(tǒng)內(nèi)部網(wǎng)和外部網(wǎng)之間的屏障，但我們知道，并不是所有的外部訪問都必須要通過防火墻。第四，防火墻不是萬能的，它很有可能被外部黑客攻破。正因為有以上這些原因，那么我們?yōu)榱吮ＷC計算機數(shù)據(jù)庫的安全，那么我們就需要一種可以查明系統(tǒng)漏洞，成功阻止網(wǎng)絡(luò)黑客入侵，及時發(fā)現(xiàn)入侵及修補的網(wǎng)絡(luò)安全技術(shù)，即入侵檢測技術(shù)。那么入侵檢測的硬件和軟件的組合便是入侵檢測系統(tǒng)。

1防范計算機數(shù)據(jù)庫入侵的重要性

計算機數(shù)據(jù)庫面臨的威脅是多方面的，既包括對網(wǎng)絡(luò)中設(shè)備的威脅，又包括對網(wǎng)絡(luò)中信息的威脅。計算機安全一般包含信息安全和物理安全兩方面，信息安全也就是網(wǎng)絡(luò)安全，能夠有效保護網(wǎng)絡(luò)信息的可用性、完整性和保密性。實際上

在信息系統(tǒng)的整體安全中，最吸引攻擊者的目標往往就是數(shù)據(jù)庫。這是因為數(shù)據(jù)庫作為信息系統(tǒng)的關(guān)鍵部件，目前發(fā)揮著日益重要的作用，今天的計算機數(shù)據(jù)庫產(chǎn)品已經(jīng)成為具有數(shù)千億美元產(chǎn)值的工業(yè)，計算機數(shù)據(jù)庫的威脅主要有計算機病毒、黑客的攻擊等，其中黑客對于計算機數(shù)據(jù)庫的攻擊方法已經(jīng)大大超過了計算機病毒的種類，而且許多攻擊都是致命的。因此，加強計算機數(shù)據(jù)庫安全保護尤為重要。只有針對這些數(shù)據(jù)庫威脅采取必要的保護措施，才能確保計算機網(wǎng)絡(luò)信息的可靠性、安全性和保密性。根據(jù)美國FBI(美國聯(lián)邦調(diào)查局)的調(diào)查,美國每年因為網(wǎng)絡(luò)安全造成的經(jīng)濟損失超過170億美元，75%的公司報告財政損失是由于計算機系統(tǒng)的安全問題造成的，平均每天會有1.5萬個網(wǎng)頁受到病毒感染或者遭受黑客攻擊。也就是說，每5秒鐘就會有一個網(wǎng)頁成為黑客們的“盤中餐”。在中國國內(nèi)，互聯(lián)網(wǎng)的安全問題形勢也非常嚴重。據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心2007年的評估數(shù)據(jù)顯示，在全球的620萬臺“僵尸”電腦中，約有360萬臺在中國，占58%以上。同時，感染了“特洛伊”病毒的電腦數(shù)量仍在穩(wěn)步上升。

2入侵檢測技術(shù)的發(fā)展現(xiàn)狀及入侵檢測模型

2.1入侵檢測技術(shù)的發(fā)展現(xiàn)狀

入侵檢測技術(shù)經(jīng)過20多年的發(fā)展，很多方面都已比較成熟，但由于新情況、新需求的不斷出現(xiàn)，入侵檢測技術(shù)還有待于人們不斷研究，不斷推進?，F(xiàn)在的入侵檢測系統(tǒng)主要有兩類：一類是基于主機的入侵檢測系統(tǒng)，主要用于保護某一臺主機的資源不被破壞；另一類是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，主要用于保護整個網(wǎng)絡(luò)不被破壞。入侵檢測的方法可以分為兩類：一類是誤用檢測，對不正常的行為建模，符合特征庫中描述的行為就被視力攻擊。一類是異常檢測，對系統(tǒng)的正常的行為建模，特征庫命沒有描述的行為被懷疑為攻擊。

入侵檢測系統(tǒng)的織成主要有采集模塊、分析模塊和管理模塊。采集模塊主要用來搜集數(shù)據(jù)，供入侵檢測系統(tǒng)進行分析；分析模塊完成對數(shù)據(jù)的解析，給出懷疑值或作出判斷；管理模塊主要功能是作決策響應(yīng)。為了更好地完成入侵檢測系統(tǒng)的功能，系統(tǒng)一般還有數(shù)據(jù)頂處理模塊、通信模塊、響應(yīng)模塊和數(shù)據(jù)存儲模塊等。

入侵檢測系統(tǒng)的應(yīng)用范圍在不斷擴大.開始主要是保護某一臺主機，后來發(fā)展到保護一定規(guī)模的網(wǎng)絡(luò)，現(xiàn)在人們正在研究用于大規(guī)模網(wǎng)絡(luò)的入侵檢測系統(tǒng)。網(wǎng)絡(luò)規(guī)模的擴大.使得在單位時間內(nèi)要處理的數(shù)據(jù)量增大，出此對入侵檢測系統(tǒng)的數(shù)據(jù)處理速度提出了更高要求，對原有一些成熟的技術(shù)提小了挑戰(zhàn)。為了完成人侵檢測的功能，現(xiàn)在的入侵檢測系統(tǒng)多數(shù)采用分布式體系結(jié)構(gòu)，使用代理和移動代助技術(shù)。對于分布式大規(guī)模入侵檢測系統(tǒng)的研究是當(dāng)前入侵檢測系統(tǒng)研究的熱點。

2.2入侵檢測模型

1）通用入侵檢測模型

近年來，美國計算機科學(xué)家Stuart Staniford-Chen等人提出了CIDF模型，這是一個通用的入侵檢測框架，它可以有效將一個入侵檢測系統(tǒng)分為多個組件，分別是事件數(shù)據(jù)庫（Event Databases）、響應(yīng)單元（Response Units）、事件分析器（Event Analyzers）和事件產(chǎn)生器（Event Generators），如圖1所示。

各個組件之間通過通用入侵檢測對象GIDO來進行交互CIDF消息數(shù)據(jù)。CIDF將IDS所需要分析的數(shù)據(jù)都一并稱為事件，這些事件可以是從系統(tǒng)日志等方法的信息，也可以是網(wǎng)絡(luò)中的數(shù)據(jù)包。事件數(shù)據(jù)庫可以是簡單的文本文件，也可以是復(fù)雜的數(shù)據(jù)庫，它是用來各種最終數(shù)據(jù)和中間數(shù)據(jù)的地方。響應(yīng)單元可以只是簡單的報警，也能夠改變文件屬性、做出切斷連接等強烈反應(yīng)，它是一個功能單元，專門用來對分析結(jié)果做出反應(yīng)的。而事件產(chǎn)生器的目的是向系統(tǒng)的其他部分提供此事件，同時從整個計算的環(huán)境中來不斷獲得事件。事件分析器是用事件產(chǎn)生器得到的數(shù)據(jù)來進行分析，并得出有效的分析結(jié)果。目前計算機數(shù)據(jù)庫入侵檢測產(chǎn)品絕大多數(shù)都采用CIDF模型，而CIDF也正在不斷的完善和有效開發(fā)中，筆者相信CIDF模型極其有可能成為入侵檢測系統(tǒng)的標準。

圖1 CIDF模型

2）層次化入侵檢測模型

Steven等人在開發(fā)DIDS這種入侵檢測系統(tǒng)的時候，提出IDM的模型，它是一個基于層次化的入侵檢測模型。IDM模型將入侵檢測系統(tǒng)分為安全狀態(tài)層、威脅層、上下文層、主體層、事件層、數(shù)據(jù)層。

IDM模型給出了全部安全假設(shè)過程，從被監(jiān)側(cè)環(huán)境到高層次的有關(guān)入侵，而不是過去那種分散的原始數(shù)據(jù)。。通過加工抽象和數(shù)據(jù)關(guān)聯(lián)操作收集到的分散數(shù)據(jù)，虛擬出了一臺由主機和網(wǎng)絡(luò)構(gòu)成的機器環(huán)境，從而大大簡化了對跨越單機的入侵行為的識別。IDM模型有個局限性，就是只能夠應(yīng)用于單臺計算機的小型網(wǎng)絡(luò)。

3）管理式入侵檢測模型(SNMP-IDSM)

近年來隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，攻擊者不再采用過去那種單一的網(wǎng)絡(luò)攻擊手段，而是通過合作的方式采用越來越復(fù)雜的網(wǎng)絡(luò)攻擊手段來快速攻擊某個目標系統(tǒng)，那么IDS模型就不能發(fā)現(xiàn)這種入侵方式，容易造成損失。但是，只要IDS系統(tǒng)也可以采用合作的方式，那么就很有可能會檢測到這些網(wǎng)絡(luò)攻擊手段。但是必須有一個前提，就是要有一種統(tǒng)一的數(shù)據(jù)表達格式和公共的語言，只要這樣才可以有效能夠?qū)崿F(xiàn)分布式協(xié)同檢測，讓各個IDS系統(tǒng)之間能夠較為順利地實現(xiàn)信息的交換，基于這樣的因素，北卡羅萊那州立大學(xué)的Felix Wu等人提出SNMP-IDSM，也就是基于SNMP的IDS模型。

SNMP-IDSM定義了IDS-MIB，通過SNMP作為公共語言來實現(xiàn)各個IDS系統(tǒng)的協(xié)同檢測和消息交換，它能夠易于擴展這些關(guān)系，同時也能夠明確抽象事件和原始事件之間的復(fù)雜關(guān)系。SNMP-IDSM的工作原理如圖2所示。在該圖中，

IDS B負責(zé)請求最新的IDS事件和監(jiān)視主機B，一旦主機IDS A檢測到任何一個來自主機B的攻擊企圖，那么很快IDS B和IDS A就會取得聯(lián)系，IDS A的請求能夠在半個小時內(nèi)得到IDSB響應(yīng)，為了驗證和尋找攻擊的來源，IDS A可以通過MID腳本的方式來給IDS B發(fā)送一些必要的代碼。這些代碼可以快速搜集用戶活動的信息和主機B的網(wǎng)絡(luò)活動。最后，這些代碼的執(zhí)行結(jié)果能夠讓IDS A進一步得知入侵行為是來自于主機C。IDS A就馬上和IDS C聯(lián)系，讓IDS C報告入侵事件，有效避免入侵事件的發(fā)生。

圖2

3入侵檢測系統(tǒng)特點分析

基本在國內(nèi)外應(yīng)用較為廣泛的入侵檢測系統(tǒng)都是集網(wǎng)絡(luò)監(jiān)視功能、網(wǎng)絡(luò)管理和入侵檢測于一身，采用國際上較為先進的分布式構(gòu)架，它有超過2300余種規(guī)則，可以使用智能分析和模式匹配的方法，實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，檢測網(wǎng)絡(luò)上發(fā)生的異?，F(xiàn)象和入侵行為，利用內(nèi)置的攻擊特征庫，在數(shù)據(jù)庫中記錄有關(guān)事件，同時把這些事件作為網(wǎng)絡(luò)安全管理員進行事后分析的有效依據(jù)。它是高效的數(shù)據(jù)采集技術(shù)，減少處理TCP/IP堆棧，可以綜合使用網(wǎng)絡(luò)審計、內(nèi)容恢復(fù)、行為分析、狀態(tài)協(xié)議分析、異常分析、模式匹配等入侵分析技術(shù)，檢測到所有的針對底層和應(yīng)用層、端口探察、網(wǎng)絡(luò)的掃描攻擊，能夠有效減少上下文切換和數(shù)據(jù)拷貝而帶來的開銷。脫離了單純的解碼或匹配的檢測模式，綜合運用多種檢測手段，提供了高可用性的告警信息，有效降低了漏報誤報率。入侵檢測系統(tǒng)的基本組成部件如表1所示。

表1入侵檢測系統(tǒng)的基本組成部件

4結(jié)束語

總之，計算機數(shù)據(jù)庫入侵檢測技術(shù)極其重要，但是由于計算機數(shù)據(jù)庫結(jié)構(gòu)具有復(fù)雜性的特點，計算機數(shù)據(jù)庫入侵檢測技術(shù)還面臨著很多的研究難點，還需要對其進行深入的研究。

參考文獻：

[1]郝玉潔,常征.網(wǎng)絡(luò)安全與防火墻技術(shù)[J].北京:電子科技大學(xué)學(xué)報:社科版，2002，4(1):24-28.

[2]蔡忠閩,孫國基.入侵檢測系統(tǒng)評估環(huán)境的設(shè)計與實現(xiàn)系統(tǒng)[J].仿真學(xué)報,2002,14(3).

[3] Rebecca B.Intrusion Detection[M].Macmillan Technical Publishing,2000.

[4]劉永華.基于Agent的分布式入侵檢測系統(tǒng)[J].濰坊學(xué)院學(xué)報,2006(2).

[5] Cai Hongmin,Wu Naiqi,Teng Shaohua.Local network security scanning system design and implementation[J]. Micro computer application, 2005(1):45-48.

[6] Liu P.Architectures for Intrusion Tolerant Database Systems[C]//Proc. of 18th Annual Computer Security Applications Conf.Las Vegas,Ne? vada,Dec.2002.

[7] Ammann P,Jajodia S,McCollum C D,Blaustein B T.Surviving information warfare attacks on databases[C]//Proc. of the IEEE Symposium on Security and Privacy,0akland, CA, May 1997:164-174.

[8] Cai Jinlong,Qin Jing.Study on key technology of firewall[J]. Information Technology Research,2008(27):108-110.

[9] Li Wenping.Firewall technology and its application [J]. Sci tech information development and economy, 2006(20):136-138.

[10] Wu Shizhong,Ma Fang.The Network Information Security [M].Beijing:Mechanical Industry Press,2001: 20-156.