季林鳳

摘要：所謂的計(jì)算機(jī)入侵檢測指的就是對網(wǎng)絡(luò)或者是計(jì)算機(jī)的數(shù)據(jù)庫設(shè)置一些關(guān)卡，計(jì)算機(jī)在運(yùn)行的過程中如果出現(xiàn)了一些比較異常的行為，或者是外部的其他主體意圖強(qiáng)行的進(jìn)入計(jì)算機(jī)的數(shù)據(jù)庫時(shí)，這些設(shè)定的關(guān)卡就會(huì)發(fā)揮其擁有的作用，對計(jì)算機(jī)的數(shù)據(jù)庫進(jìn)行自動(dòng)的保護(hù)。如果計(jì)算機(jī)的數(shù)據(jù)庫被外部的主體強(qiáng)行進(jìn)入，后果是非常嚴(yán)重的，由此可見，計(jì)算機(jī)數(shù)據(jù)庫入侵檢測的技術(shù)是十分重要的。因此，該文就計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)的應(yīng)用情況進(jìn)行分析。

關(guān)鍵詞：計(jì)算機(jī)；數(shù)據(jù)庫；入侵檢測

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）27-6282-02

Abstract： The so-called computer intrusion detection refers to the network or computer database setting some level， the computer in the course of operation if there is some abnormal behavior， or any other subject is the intention of the computer external forced their way into the data base， which sets the level will play its own role， to automatic protection of computer database. If the subject of the computer database by external force to enter， the consequences are very serious， therefore， intrusion detection of computer database technology is very important. Therefore， this paper will analyze the application of computer technology of the database intrusion detection.

Key words： computer； database； intrusion detection

隨著近些年來的發(fā)展，計(jì)算機(jī)技術(shù)在我國得到了普及，在社會(huì)中的所有行業(yè)中都能找到計(jì)算機(jī)技術(shù)的身影，計(jì)算機(jī)技術(shù)的出現(xiàn)對于人們的生活效率和工作效率都有了很大的提高。隨著計(jì)算機(jī)的廣泛應(yīng)用，計(jì)算機(jī)的安全問題也是越來越嚴(yán)重，各種各樣的黑客和病毒不斷的威脅著廣大計(jì)算機(jī)用戶的信息安全。因此，想要使得計(jì)算機(jī)數(shù)據(jù)庫的保護(hù)工作得到提高，就必須要使用計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)。

1 入侵檢測模型

1.1 通用入侵檢測模型

在近些年，美國的Stuart Staniford-Chen 等一些計(jì)算機(jī)學(xué)家提出了CIDF模型，這種模型是一個(gè)比較通用的入侵檢測框架，它可以把一個(gè)入侵的檢測系統(tǒng)有效的分成多個(gè)組件，分別是響應(yīng)單元、事件數(shù)據(jù)庫、事件產(chǎn)生器以及事件分析器。

每個(gè)組件間以入侵檢測對象GIDO的方式對CIDF消息數(shù)據(jù)進(jìn)行互換IDS所需要分析的數(shù)據(jù)都被CIDF稱為事件，事件可以是從系統(tǒng)日志中抽取的信息，也可以是來源于網(wǎng)絡(luò)的數(shù)據(jù)包事件的數(shù)據(jù)可以是復(fù)雜的數(shù)據(jù)庫，也可以是最為簡單的文本文件。

1.2 層次化入侵檢測模型

美國的一些計(jì)算機(jī)學(xué)家在對DIDS這種入侵檢測系統(tǒng)進(jìn)行開發(fā)時(shí)曾經(jīng)提出過IDM的模型，這種模型是基于層次化的，這種模型把入侵檢測系統(tǒng)分為數(shù)據(jù)層、事件層、主體層、上下文層、威脅層以及安全狀態(tài)層。IDM模型曾經(jīng)將所有的安全假設(shè)過程模擬出來，從被檢測到被入侵，并不是那種過去比較原始的分散數(shù)據(jù)，通過數(shù)據(jù)關(guān)聯(lián)操作和加工抽象將分散的數(shù)據(jù)進(jìn)行收集，模擬除了一臺(tái)由網(wǎng)絡(luò)和主機(jī)所構(gòu)成的機(jī)器環(huán)境，從而對跨越單機(jī)入侵行為的識(shí)別進(jìn)行了簡化。但是IDM具有一定的局限性，其局限性表現(xiàn)為只能使用與單臺(tái)的計(jì)算機(jī)小型網(wǎng)絡(luò)。

1.3 管理式入侵檢測模型

近些年來，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展極為的迅速，病毒和黑客不再是采用單一的攻擊手段，而是以合作的方式使用日益復(fù)雜的攻擊手段對一個(gè)目標(biāo)進(jìn)行快速的打擊。因此原有的IDS模型就沒有了絲毫的作用，很容易造成損失。因此IDS系統(tǒng)也只有采用合作的方式才能夠?qū)@些入侵進(jìn)行檢測。但是想要合作，首先必須要有公共的語言和統(tǒng)一的格式，因此SNMP-IDSM應(yīng)運(yùn)而生，SNMP-IDSM也就是基于SNMP的IDS模型。

IDS-MIB被SNMP-IDSM所定義，以SNMP最為公共語言，使各個(gè)IDS之間完成消息交換和協(xié)同檢測，其工作原理如圖1所示。

IDS B負(fù)責(zé)請求監(jiān)視主機(jī)B和最新的IDS事件，只要IDS A檢測到一個(gè)來源于主機(jī)B 的攻擊企圖，IDS A和IDS B之間就會(huì)很快到的取得聯(lián)系，為了尋找和驗(yàn)證攻擊的來源，IDS A會(huì)使用MID腳本將一些必要的代碼發(fā)送給IDS B。這些代碼能夠?qū)χ鳈C(jī)B和用戶的活動(dòng)進(jìn)行搜集。而這些代碼最終的執(zhí)行結(jié)果可以使IDS A清楚攻擊的來源，IDS A立刻與其進(jìn)行聯(lián)系，并且報(bào)告入侵的事件，可以有效的避免發(fā)生入侵事件。

2 存在的問題

2.1 檢測結(jié)果的準(zhǔn)確度比較低，經(jīng)常出現(xiàn)漏報(bào)現(xiàn)象

在社會(huì)所有行業(yè)的發(fā)展中信息的地位與日俱增，尤其是對于一些企業(yè)的信息來說，企業(yè)的信息一旦發(fā)生了泄漏的事件，將會(huì)給該企業(yè)日后的發(fā)展帶來非常大的影響，嚴(yán)重一些的會(huì)出現(xiàn)虧損的情況甚至是破產(chǎn)。因此導(dǎo)致了對計(jì)算機(jī)入侵檢測技術(shù)研發(fā)人員的檢測技術(shù)要求是非常高的，為了避免發(fā)生信息泄露的事件，在研發(fā)時(shí)堅(jiān)持“寧可殺錯(cuò)，也絕不放過”的原則，在對入侵檢測的關(guān)鍵點(diǎn)進(jìn)行設(shè)置時(shí)標(biāo)準(zhǔn)也是非常高的，基本上一旦出現(xiàn)了可疑的行為第一時(shí)間就會(huì)對其進(jìn)行防御。這種做法使得防御的任務(wù)量變得繁重起來，同時(shí)一些非病毒的程序被檢測出來，同樣采取了自動(dòng)的防御措施，使得整個(gè)防御系統(tǒng)的負(fù)擔(dān)加重了很多，嚴(yán)重的影響了計(jì)算機(jī)的數(shù)據(jù)庫正常的運(yùn)行。

2.2 入侵檢測的效率比較低

一些入侵行為和病毒有可能會(huì)對計(jì)算機(jī)數(shù)據(jù)庫產(chǎn)生嚴(yán)重的危害，所以企業(yè)對于入侵檢測技術(shù)的要求是十分的嚴(yán)格的。但是計(jì)算機(jī)的程序基礎(chǔ)是二進(jìn)制的編碼，計(jì)算機(jī)的入侵檢測系統(tǒng)對入侵的行為和病毒進(jìn)行檢測時(shí)就是將其轉(zhuǎn)換成二進(jìn)制的編碼，然后對這種行為進(jìn)行分析和計(jì)算，在這個(gè)過程中計(jì)算量是非常驚人的，而且檢測的費(fèi)用也是非常的昂貴的，龐大的計(jì)算量和昂貴的費(fèi)用導(dǎo)致了檢測的效率比較低，在當(dāng)今科技飛速發(fā)展的時(shí)代，這種檢測的效率已經(jīng)完全不能夠滿足現(xiàn)今用戶的需求了。

2.3 防御能力過低

因?yàn)橛?jì)算機(jī)技術(shù)在我國起步比較晚，沒有一個(gè)比較完善的培訓(xùn)系統(tǒng)，因此在培養(yǎng)人才時(shí)存在著一定的缺陷，在對入侵檢測系統(tǒng)進(jìn)行研發(fā)時(shí)，研發(fā)的人員一旦出現(xiàn)技術(shù)水平不到位或者是考慮不周的情況，就會(huì)使得檢測系統(tǒng)出現(xiàn)嚴(yán)重的漏洞，導(dǎo)致了系統(tǒng)的防御能力過低。當(dāng)系統(tǒng)受到黑客或者是病毒的攻擊時(shí)，系統(tǒng)將毫無還手之力，處于完全的癱瘓狀態(tài)。在失去了防御的手段之后，各種各樣的入侵行為和病毒將會(huì)更加的猖獗，嚴(yán)重的威脅到了計(jì)算機(jī)數(shù)據(jù)庫的安全。

2.4 擴(kuò)展性比較差

從目前我國計(jì)算機(jī)的入侵檢測技術(shù)水平來看，一臺(tái)計(jì)算機(jī)在安裝了入侵檢測技術(shù)之后，短時(shí)間內(nèi)是不會(huì)發(fā)生改變的，因?yàn)槠渲械母鱾€(gè)關(guān)鍵點(diǎn)都是設(shè)置好了的。網(wǎng)絡(luò)技術(shù)的發(fā)展是非常的快的，因此，一些攻擊的手段和病毒也在不斷的進(jìn)行更新，如果計(jì)算機(jī)入侵檢測系統(tǒng)還停留在不變的階段，那么檢測系統(tǒng)的作用就會(huì)大大的被降低，在黑客和病毒的不斷攻擊下最終會(huì)威脅到計(jì)算機(jī)數(shù)據(jù)庫的安全。因此在對入侵檢測系統(tǒng)進(jìn)行研發(fā)時(shí)應(yīng)該加強(qiáng)其擴(kuò)展性的研究，使得入侵檢測技術(shù)能夠不斷的進(jìn)行優(yōu)化和更新，提高計(jì)算機(jī)數(shù)據(jù)庫的安全。

3 入侵檢測技術(shù)的完善

3.1 減少計(jì)算量

對用戶的信息進(jìn)行儲(chǔ)存的位置就是計(jì)算機(jī)數(shù)據(jù)庫，入侵檢測技術(shù)在對異常行為進(jìn)行檢測時(shí)首先要將其轉(zhuǎn)化為二進(jìn)制的編碼，計(jì)算量非常的龐大，大大的降低了檢測的效率。所以在完善入侵檢測技術(shù)時(shí)應(yīng)該先減少其計(jì)算量。目前我國多數(shù)的企業(yè)在面對比較復(fù)雜的數(shù)據(jù)時(shí)會(huì)采用Apriori的算法。這種算法首先形成一個(gè)候選集，然后與支持度進(jìn)行比較，當(dāng)支持度大于項(xiàng)集時(shí)就對項(xiàng)集進(jìn)行刪減，使其達(dá)到最佳的數(shù)量。其次是掃描數(shù)據(jù)庫，改進(jìn)成能夠在二進(jìn)制碼中得到Apriori算法，在編碼的過程中要以數(shù)據(jù)庫作為根據(jù)，如果其中有一個(gè)項(xiàng)出現(xiàn)就將其設(shè)成“1”反之則為“0”。使用Apriori算法對計(jì)算機(jī)進(jìn)行入侵檢測時(shí)可以大大的減少計(jì)算量，提高數(shù)據(jù)庫的使用效率。

3.2 優(yōu)化系統(tǒng)模型

要想發(fā)揮入侵檢測系統(tǒng)的最大功能就需要對系統(tǒng)模型不斷的進(jìn)行優(yōu)化。首先對數(shù)據(jù)進(jìn)行收集，對數(shù)據(jù)庫中所有用戶的操作行為進(jìn)行收集，對用戶的操作特征進(jìn)行分析為建立數(shù)據(jù)知識(shí)庫打下良好的基礎(chǔ)。同時(shí)對于每次入侵檢測的審計(jì)數(shù)據(jù)進(jìn)行收集，在對數(shù)據(jù)進(jìn)行收集時(shí)一定要保證其準(zhǔn)確性和完整性。其次是處理數(shù)據(jù)，也就是將收集到的各種數(shù)據(jù)進(jìn)行處理以及集成做好下一步的準(zhǔn)備工作。然后進(jìn)行數(shù)據(jù)挖掘，對收集到的數(shù)據(jù)進(jìn)行分析和處理，對數(shù)據(jù)中相似的行為特征進(jìn)行收取，在保證其具有有效性后

建立模型數(shù)據(jù)庫。最后是對用戶行為的特征進(jìn)行提取，兩者相互比較，然后進(jìn)行分析并作出判斷，看其是否屬于異常行為，如果是，就必須采取相應(yīng)的措施。

3.3 建立數(shù)據(jù)庫知識(shí)標(biāo)準(zhǔn)

在挖掘數(shù)據(jù)的過程中經(jīng)常會(huì)使用到關(guān)聯(lián)分析，通過規(guī)定一組項(xiàng)集和一個(gè)記錄，然后對其進(jìn)行整合，對他們之間的關(guān)系進(jìn)行分辨，利用分辨出來的關(guān)系將它們進(jìn)行有效的結(jié)合，并且分析是否存在著潛在的問題。通常這種方法具有兩方面的內(nèi)容，第一方面就是在檢測復(fù)雜項(xiàng)集時(shí)必須要采用迭代技術(shù)，對數(shù)據(jù)庫進(jìn)行不定期的掃描。另外的一個(gè)方面就是把復(fù)雜項(xiàng)集向著另外一種規(guī)定進(jìn)行轉(zhuǎn)化，系統(tǒng)按照這種規(guī)定運(yùn)行，從而使得計(jì)算量降低，同時(shí)還能夠發(fā)現(xiàn)潛在的各種入侵行為。

4 總結(jié)

隨著近些年來的發(fā)展，計(jì)算機(jī)技術(shù)在飛快的進(jìn)步，病毒和黑客也在不斷的進(jìn)行更新。因此，只有對入計(jì)算機(jī)數(shù)據(jù)庫侵檢測技術(shù)不斷的進(jìn)行更新和優(yōu)化，才能夠提高計(jì)算機(jī)數(shù)據(jù)庫的安全，使企業(yè)得以穩(wěn)定的發(fā)展。

參考文獻(xiàn)：

[1] 喬佩利，馮心任.基于CMAC網(wǎng)絡(luò)的異常入侵檢測技術(shù)[J].哈爾濱理工大學(xué)學(xué)報(bào)，2010（05）.

[2] 何昊，何劍，劉劍平.計(jì)算機(jī)網(wǎng)絡(luò)攻擊的主要防治措施[J].中國科技信息，2010（21）.

[3] 康莉，胡燕.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)研究[J].洛陽理工學(xué)院學(xué)報(bào)，2009（02）.