计算机数据库入侵检测技术应用探究

摘要：随着网络技术更新周期的缩短，网络安全问题越来越引起社会的关注。数据库是最容易受到黑客与病毒攻击的部件，加上数据库存储有数以亿计用户的信息，因此必须采取措施确保计算机数据率的网络安全，做好安全管理。。本文主要对入侵检测出现的诸多问题及其发展趋势及入侵检测技术方法和步骤分析，以供参考。

关键词：计算机；问题发展 ；模型构建 ；步骤分析

中图分类号： G623 文献标识码： A

入侵检测技术的应用已相当成熟，但仍然存在诸多问题待解决，本文提出计算机数据库入侵检测技术应该坚持“分布型、层次化、智能化检测及反术测评标准化”的发展道路，由此提高网络安全及维护社会的安定和谐。

一、计算机入侵检测出现的诸多问题及其发展趋势分析

1、问题分析

1.1误报及漏报率较高

从目前的形势来看，入侵检测系统的检测速度要明显小于网络的传输速度，这样就使得漏报率非常高，甚至出现了误报率。

1.2较低的入侵检测效率

计算机系统内部与网络连接中，多数的入侵同反入侵数据，都是要运用二进制来计算的，计算量庞大、关于异常检测的计算成本也很庞大。同时，误用检测的规则制定是由专业人士完成的，运行成本很高，检测效率和检测成本难以匹配。

1.3自身防护能力不高

因为属于网络性质的入侵检测系统对于加密保护及其交换网络无法检测，且它自身的构建也经常受到攻击。

1.4存在于检测系统内的体系结构问题。

2、发展方向

一般来讲，因为信息系统对国民经济以及社会生产的影响作用越来越大，而且目前攻击者的手段和工具也正在向着复杂化发展，各个国家之间的战争也逐步向信息方面战争的趋势发展。主要有如下几点入侵检测方式：

2.1通用和分布式入侵检测架构

因为入侵检测系统一直都单纯的限制在了主机架构上，也有一些是在网络上，使得大规模监测存在着非常大的缺陷，且对于不同的网络入侵检测系统无法有效的协同工作，基于出现的这些问题，有关部门使用了通用和分布式入侵检测架构。

2.2应用层入侵检测

一些入侵语义在应用层面上非常容易被人们理解，可是目前的IDS只能对Web之类的协议有很好的检测，对Lotus Notes等系统无法进行有效处理。一些基于客服结构、中间技术和对象技术的应用一定要在应用层面上才能够得到入侵检测保护的。

2.3职能入侵检测

目前网络入侵的方式变得逐步趋向多样化，虽然目前出现了一些诸如遗传算法、智能体等技术的使用，但是这些都是尝试性工作，我们要对IDS的智能化做更深层次的分析，从而真正解决问题。

2.4入侵检测评测法

全部用户都应该对于IDS系统评价，一般的评价指标为系统的监测范围、资源占用、系统自身可靠性等，之后设计出满足广大用户的入侵检测平台，完成对于各种IDS的检测工作。

2.5 建立健全安全防范措施

根据安全风险管理方式对网络进行安全处理，我们将网络安全的各项工作看成一个统一的整体，通过病毒防护、网络结构、加密通道、入侵检测等进行系统、全面的评估，从而真正做到安全性。

二、计算机数据库入侵检测技术方法

1.误用检测技术

误用检测就是一种对已知攻击模式、入侵活动或者是病毒的有效检测，具体的检测方法通常是由系统进行假定，所有的入侵者的活动或者病毒的侵入都能够用一种特征或模式进行表达，那么，误用检测技术则是分析已知的入侵行为并建立特征模型，这样对入侵行为的检测就转化为对特征或模式的匹配搜索，如果和已知的入侵特征匹配，就认为是攻击，误用入侵检测技术对已知的攻击有较高的检测准确度，但不能很好检测到新型的攻击或已知攻击的变体。

2.异常检测技术

异常检测技术，比误用检测技术检测的范围更宽，在异常检测技术及检测系统中，假设所有的入侵者活动或者是病毒的入侵，都是异常于正常用户的恶意活动，那么，系统会对正常用户的活动特征进行详细的分析，并构建一定的模型与框架，统计所有不同于正常模型的用户活动状态的数量，当其违反统计规律时，认为该活动可能是入侵行为，所以，异常检测技术的范围更宽，检测敏感度也更高。

三、数据库的入侵检测技术系统模型的构建

数据库的入侵检测技术系统模型的构建 主要从下面三点说明：

1.数据采集

收集服务器中的主机日志有关资料，对用户的操作行为与数据特征进行反映，给规则构建和知识库完成做准备。此外，在检测入侵行为时，要收集起服务器内的审计数据，给入侵检测打基础，让检测系统与计算机运行系统都变得更为流畅。

2.数据处理

这一模块做的是数据的处理与集成工作，目的是给下一步数据挖掘做准备。

3.数据挖掘

运用上一模块中提取到的数据，提取相关规则、行为特征，建立起正常安全的数据库模式。

4.规则库构建

数据库里具有系统模块里所需要的正常模式，当入侵检测系统把用户行为同数据规则库里的行为进行比对时，特征行为相符，用户行为正常，反止，可能遭到入侵。

四、入侵检测步骤分析

我们可以说，入侵检测为网络安全很好的提供了实时监测，并且能够依据检测结果提出相关的防护手段。而针对攻击性的行为检测则非常容易被发现，可以对于已经完成安检的嫌疑者，更需要对信息系统安全进行检测。步骤主要可以分为以下几个方面：

1.收集状态、行为信息

入侵检测常常使用分布式结构，在网络系统的不同关键点进行信息的收集工作，不但扩大了检测的范围，同时还能够对各种采集点信息有效的分析，从而对是否存在入侵行为进行很好的判断。

入侵检测使用的信息常常取自下面的4方面：物理形式入侵信息；在程序执行过程中出现的不期望的行为；存在于目录或者文件中的不希望出现的改动；来自系统或者网络的日志。

2.分析采集的信息

一般来讲，我们平时应用的分析方法主要有三种，分别为：完整性分析、统计分析、模式匹配。

完整性分析一般是对于被关注的对象和文件是否被改动进行检测，这些包括了目录和文件属性。应用这种方法能够很好的防范特洛伊木马的攻击作用。

统计分析的方法是为系统的对象建立统计描述，对使用的测量属性统计。这些测量的平均值会与网络行为比较，假如发现了观察值超过正常值，那么就可能会存在入侵行为。在阈值的选择上，此种方法是没有太大优点的，阈值太大可能对部分入侵事件进行漏报，太小的话则可能有错误的入侵报告产生。

模式匹配是将收集到的信息及其系统误用模式进行对比，从而更好及时的发现安全问题。

五、计算机数据库入侵检测技术未来的前进方向

1.分布型检测

原来的入侵检测，绝大部分都是局限在单一网络结构内对数据库进行检测，而对于大规模的异构体系数据库，则明显监测能力不足。另外，各数据库检测体系之间的协同性较弱。针对于这些问题，我们需要用取分布式的数据库侵入检测手段，对检测进行全面的互动的完善。

2.层次化检测

原来的入侵检测技术在检测范围上有非常大的局限性，甚至对于某些高端数据库系统，尚存在盲点。很多客户的服务器结构系统都亟需全面多层次的入侵检测保护功能。为了更好发挥检测技术作用，应当采取层次化的检测方式，让高端数据库系统与普通系统区别开来。

3.智能化检测

尽管现有的神经网络、遗传算法等在入侵检测技术中得到了应用，但也仅仅是尝试性的，我们需要把智能化入侵检测进行专项课题研究，强化入侵检测的自我适应与升级能力。

4.反术测评标准化

用户在应用入侵检测技术的时候，应当对技术系统进行不定期测评，测评内容包括：检测范围、资源占用比、检测可靠程度。从这些测评指标来对检测系统进行评估，再根据评估结果对检测系统进行后续的完善工作。网络技术的发展与普及也让数据库受到威胁的形式与种类变得更新颖，我们惟有密切关注科技的发展，根据需要找出保护数据库的最有效方案，充分结合模糊技术、遗传算法、免疫原理、机器学习等技术，把计算机数据库的入侵检测技术做得更好。

六、结束语

计算机网络系统就是一把双刃剑，在人们使用的过程中，它有利也有弊，作为一项积极主动防御外来侵害的高新技术，入侵检测技术对计算机的对重保护作用是不言而喻的，尽管目前在我国入侵检测技术的发展还不完善，但是，随着科学技术的发展和时代的进步，这项技术一定会日益完善，从而使我们的整个计算机网络环境越来越安全，从而保障国家的安全和社会的稳定。

参考文献：

[1]陈杰.计算机网络入侵检测技术发展[J].硅谷,2009(10).

[2]乔佩利,冯心任.基于CMAC网络的异常入侵检测技术[J].哈尔滨理工大学学报，2010.5

[3]袁宁,高博.网络入侵检测技术应用研究[J].科技信息，2010.22