許葵元

（信陽職業(yè)技術(shù)學(xué)院，河南信陽 464000）

計(jì)算機(jī)數(shù)據(jù)庫入侵的安全防御措施研究

許葵元

（信陽職業(yè)技術(shù)學(xué)院，河南信陽 464000）

隨著網(wǎng)絡(luò)技術(shù)不斷發(fā)展與進(jìn)步，計(jì)算機(jī)的使用也越來越普遍。許多組織與機(jī)構(gòu)都會(huì)采用數(shù)據(jù)庫來保存大量信息，因而數(shù)據(jù)庫內(nèi)部存在的安全隱患就越來越得到人們的關(guān)注。當(dāng)前數(shù)據(jù)庫中主要使用的入侵檢測(cè)技術(shù)包括統(tǒng)計(jì)分析、預(yù)測(cè)模式生成技術(shù)與神經(jīng)網(wǎng)絡(luò)3個(gè)部分。提升計(jì)算機(jī)數(shù)據(jù)庫入侵檢測(cè)技術(shù)，可以采取的方法有更新Apriori算法與建立數(shù)據(jù)庫入侵檢測(cè)系統(tǒng)結(jié)構(gòu)，進(jìn)而得到較為詳細(xì)的數(shù)據(jù)庫入侵檢測(cè)系統(tǒng)結(jié)構(gòu)。

計(jì)算機(jī)；數(shù)據(jù)庫入侵；安全防御措施

數(shù)據(jù)庫是整個(gè)企業(yè)內(nèi)部的信息存儲(chǔ)載體，企業(yè)數(shù)據(jù)庫中存在的信息安全對(duì)整個(gè)企業(yè)發(fā)展有著極大影響。大多數(shù)安全專家都提出只要將操作系統(tǒng)與網(wǎng)絡(luò)的安全問題解決，應(yīng)用程序就必將處于安全狀態(tài)。但從實(shí)際情況來看，當(dāng)前數(shù)據(jù)庫系統(tǒng)中存在的許多漏洞都會(huì)對(duì)整個(gè)安全問題產(chǎn)生威脅。數(shù)據(jù)庫普遍都是以TCP/IP作為基礎(chǔ)展開端口鏈接，其代表的具體含義為在沒有設(shè)置訪問控制的條件下，所有人都可以使用分析工具，鏈接到企業(yè)使用的數(shù)據(jù)庫內(nèi)部，同時(shí)不被企業(yè)內(nèi)部的安全體系察覺。例如，Oracle8采用的端口為1526，并且大量數(shù)據(jù)庫系統(tǒng)中普遍具備默認(rèn)密碼與默認(rèn)賬號(hào)，這也會(huì)對(duì)數(shù)據(jù)庫安全造成威脅。

1 入侵檢測(cè)常用技術(shù)

一個(gè)完整的檢測(cè)系統(tǒng)，通常由3部分組成。

1.1 統(tǒng)計(jì)分析

世界上使用最早的異常檢測(cè)技術(shù)為統(tǒng)計(jì)分析技術(shù)，各個(gè)使用者要建立歷史統(tǒng)計(jì)模型，其主要的作用就是判斷某個(gè)數(shù)值與歷史數(shù)據(jù)的大小關(guān)系，如果該數(shù)值超過歷史數(shù)值，那么就可以認(rèn)為是入侵行為。同時(shí)使用的模型也要不斷更新，進(jìn)而能夠表現(xiàn)出使用者的具體行為與時(shí)間之間的變化關(guān)系。統(tǒng)計(jì)分析過程中普遍使用的測(cè)量參數(shù)主要有資源消耗情況、間隔時(shí)間與事件數(shù)量。當(dāng)前已經(jīng)被學(xué)者大量使用的入侵檢測(cè)模型有5種，分別是時(shí)間序列分析、馬爾柯夫過程模型、多元模型、方差與操作模型等。

1.2 預(yù)測(cè)模式生成技術(shù)

預(yù)測(cè)模式生成技術(shù)主要是使用已經(jīng)發(fā)生的事情對(duì)未來時(shí)間展開預(yù)測(cè)，例如最常使用的規(guī)則如下：EI-E2-(E3=80%，E4=15%，E5=5%)，如果事件E1與E2已經(jīng)發(fā)生，那么事件E3發(fā)生的概率則為80%，在發(fā)生事件E3的基礎(chǔ)上發(fā)生事件E4的概率是15%，進(jìn)而隨后發(fā)生事件E5的概率是5%。若發(fā)生的事件與實(shí)際估算的概率有較大差距，那么就可以將其定義為攻擊。預(yù)測(cè)模式生成技術(shù)最大的問題是沒有被大量規(guī)則描述的腳本不能被正常標(biāo)記。

1.3 神經(jīng)網(wǎng)絡(luò)

神經(jīng)網(wǎng)絡(luò)表示的具體含義是用n個(gè)已經(jīng)固定的動(dòng)作訓(xùn)練神經(jīng)網(wǎng)絡(luò)來表示未來使用者將會(huì)執(zhí)行的下一個(gè)命令。進(jìn)行相應(yīng)的周期訓(xùn)練后，根據(jù)神經(jīng)網(wǎng)絡(luò)所展示出的用戶特征實(shí)現(xiàn)針對(duì)性的用戶指令，若出現(xiàn)較大差距，則判定操作屬違法。神經(jīng)網(wǎng)絡(luò)最大的優(yōu)勢(shì)是能夠盡可能降低噪聲數(shù)據(jù)帶來的影響，所以該網(wǎng)絡(luò)的影響因素也只有用戶行為，而無須各種不同的數(shù)據(jù)性統(tǒng)計(jì)。

2 實(shí)現(xiàn)計(jì)算機(jī)數(shù)據(jù)庫入侵檢測(cè)技術(shù)提升

2.1 對(duì)Apriori算法進(jìn)行更新

當(dāng)前在計(jì)算機(jī)中使用的Apriori算法的核心內(nèi)容是調(diào)查各種大項(xiàng)目集，在查詢過程中，必須強(qiáng)調(diào)下述兩個(gè)不同部分：第一，以被查詢次數(shù)最多的k-1個(gè)項(xiàng)目集Lk-1為基礎(chǔ)，構(gòu)建處于待選狀態(tài)下的k個(gè)項(xiàng)目集Ck。第二，對(duì)現(xiàn)存的數(shù)據(jù)庫D實(shí)施掃描或整合措施，保證具有待選性的k個(gè)項(xiàng)目集獲取針對(duì)性的支持度，進(jìn)而得到查詢次數(shù)最多的項(xiàng)目集Lk-1。在計(jì)算機(jī)運(yùn)行時(shí)，雖說Apriori算法能夠整理絕大多數(shù)待選項(xiàng)目集，不過當(dāng)其所處理的數(shù)據(jù)庫具備較強(qiáng)的綜合性時(shí)，需要進(jìn)行整理的待選項(xiàng)目集也會(huì)不斷增加，進(jìn)而導(dǎo)致整體消耗時(shí)間及精力呈幾何倍數(shù)增長(zhǎng)。所以，應(yīng)當(dāng)對(duì)Apriori算法實(shí)施針對(duì)性的改革措施。

改革主要體現(xiàn)在下列兩個(gè)方面：第一，數(shù)量的降低。主要體現(xiàn)為待選項(xiàng)目集總數(shù)的減少。第二，實(shí)施掃描、控制等措施。該改革最重要的部分就是實(shí)現(xiàn)合理的數(shù)據(jù)庫掃描措施，進(jìn)一步實(shí)現(xiàn)編程方面的Apriori算法，對(duì)各種項(xiàng)目集進(jìn)行設(shè)計(jì)時(shí)，必須以數(shù)據(jù)庫的編碼結(jié)果為依據(jù)。當(dāng)交易過程中出現(xiàn)某一項(xiàng)目時(shí)，就可以將其編碼設(shè)為1，反之則為0，該方式從本質(zhì)上講就是對(duì)挖掘算法的一種改善。

2.2 構(gòu)建計(jì)算機(jī)數(shù)據(jù)庫入侵行為的檢測(cè)模型

當(dāng)前，計(jì)算機(jī)檢測(cè)系統(tǒng)的主要運(yùn)行原理為針對(duì)性檢測(cè)審計(jì)數(shù)據(jù)之后，對(duì)入侵行為的發(fā)生情況進(jìn)行判定，最后實(shí)現(xiàn)報(bào)警行為。將功能實(shí)現(xiàn)作為主要運(yùn)行視角，可以對(duì)IDS進(jìn)行具體化分割，之后出現(xiàn)3個(gè)主要的運(yùn)行模塊，即采集數(shù)據(jù)、數(shù)據(jù)檢測(cè)分析及分析報(bào)警響應(yīng)等。此外，以上述方式成功的結(jié)果為基礎(chǔ)，可以將檢測(cè)系統(tǒng)分割為數(shù)據(jù)采集、數(shù)據(jù)監(jiān)測(cè)分析、數(shù)據(jù)響應(yīng)、數(shù)據(jù)庫控制及管理等5個(gè)模塊。所以，以異常數(shù)據(jù)庫檢測(cè)為依據(jù)，對(duì)入侵系統(tǒng)的系統(tǒng)模型組成進(jìn)行針對(duì)性分析，主要包括數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)挖掘以及入侵檢測(cè)。

第一，數(shù)據(jù)采集。在模型培訓(xùn)階段，收集數(shù)據(jù)庫服務(wù)器日常資料，對(duì)服務(wù)器歷史操作、數(shù)據(jù)特征進(jìn)行信息反饋，為構(gòu)建知識(shí)庫進(jìn)行各項(xiàng)準(zhǔn)備，同時(shí)保障系統(tǒng)運(yùn)行的流暢性。

第二，數(shù)據(jù)處理。處理經(jīng)由集成收集回來的數(shù)據(jù)，準(zhǔn)備進(jìn)行下一步數(shù)據(jù)挖掘。

第三，數(shù)據(jù)挖掘。挖掘上述收集得到的大量數(shù)據(jù)，進(jìn)而使數(shù)據(jù)庫模式構(gòu)建更有保障，更加安全。

第四，入侵檢測(cè)。該模塊是系統(tǒng)實(shí)施入侵檢測(cè)計(jì)算的前提，獲取上述規(guī)整的數(shù)據(jù)后，檢測(cè)用戶行為，明確其入侵意圖，并實(shí)施針對(duì)性預(yù)防和解決措施。

3 數(shù)據(jù)庫入侵檢測(cè)體系實(shí)際組成部分

數(shù)據(jù)庫安全檢測(cè)系統(tǒng)是將主機(jī)入侵檢測(cè)模型與原理作為基礎(chǔ)，搜集數(shù)據(jù)庫內(nèi)部存在的大量審計(jì)數(shù)據(jù)，然后再對(duì)這些數(shù)據(jù)展開進(jìn)一步分析，確定這些數(shù)據(jù)是否應(yīng)該被標(biāo)記為攻擊。若具有攻擊與濫用行為，就應(yīng)該及時(shí)采取針對(duì)性措施，進(jìn)而減少不必要的損失。

DBA經(jīng)常會(huì)以提升性能與節(jié)省空間為理由關(guān)閉與忽略數(shù)據(jù)庫，這樣會(huì)大幅度減小管理分析帶來的效應(yīng)與可靠性。同時(shí)因?yàn)閮?nèi)部存在的審計(jì)功能無法正常記載用戶在操作過程中存在的大量信息，僅僅只能記載操作的大致活動(dòng)，所以該監(jiān)督行為相對(duì)來說較為有限。合法用戶能夠在其自身使用領(lǐng)域中，合理改變數(shù)據(jù)庫中的信息，在得到大量利益后將數(shù)據(jù)恢復(fù)到合法狀態(tài)。從該行為的角度來說，審計(jì)記錄不能完全跟蹤到其操作的具體流程，所以不能得到更加直接的證據(jù)來證明其行為的性質(zhì)。所以，要完全消除數(shù)據(jù)庫中存在的安全隱患就一定要完善與擴(kuò)充審計(jì)體系內(nèi)部具備的監(jiān)督職能。筆者建立了數(shù)據(jù)庫系統(tǒng)與使用者之間存在的訪問接口，同時(shí)以該接口作為前提對(duì)使用者的數(shù)據(jù)庫操作做出詳細(xì)記載。

數(shù)據(jù)庫安全監(jiān)控系統(tǒng)內(nèi)部能夠在得到信息的同時(shí)，展開分析機(jī)子系統(tǒng)。分析機(jī)子系統(tǒng)在設(shè)計(jì)過程中主要使用的是專家系統(tǒng)技術(shù)。這里提到的專家系統(tǒng)主要是儲(chǔ)存大量專家提出的知識(shí)，進(jìn)而使用這些知識(shí)解決各種不同的實(shí)際問題。從結(jié)構(gòu)組成的角度來看，專家系統(tǒng)的實(shí)質(zhì)就是存放大量知識(shí)的容器，同時(shí)還可以選擇與運(yùn)用不同知識(shí)形成的計(jì)算機(jī)系統(tǒng)。專家系統(tǒng)普遍包含知識(shí)獲取、綜合數(shù)據(jù)庫、推理機(jī)、知識(shí)庫與解釋接口等部分。

4 結(jié)語

當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展越來越迅速，對(duì)應(yīng)的入侵檢測(cè)技術(shù)也逐漸普及到各個(gè)領(lǐng)域中。因此，為了保證在網(wǎng)絡(luò)發(fā)展過程中計(jì)算機(jī)運(yùn)行的安全性，就必須增加該方面的研究力度，構(gòu)建更多完善的計(jì)算機(jī)入侵檢測(cè)體系，真正意義上實(shí)現(xiàn)網(wǎng)絡(luò)安全。

［1］徐曉暉.計(jì)算機(jī)數(shù)據(jù)庫的入侵檢測(cè)技術(shù)探析［J］.硅谷，2014，(05)：189.

［2］陳華.計(jì)算機(jī)數(shù)據(jù)庫入侵檢測(cè)技術(shù)的分析與探討［J］.電腦知識(shí)與技術(shù)，2012，（17）：40-41.

TP392

A

1674-8646（2016）01-0026-02

2015-09-29

許葵元（1977-），男，河南信陽人，碩士，講師，主要從事計(jì)算機(jī)網(wǎng)絡(luò)與數(shù)據(jù)庫研究。