试析入侵检测技术在计算机数据库的应用

【前言】试析入侵检测技术在计算机数据库的应用由文秘帮小编整理而成，但愿对你的学习工作带来帮助。作为一项能够有效防止黑客和病毒攻击的网络技术，它以计算机系统和计算机网络中的相关信息为基础，经过分析后判定网络或系统是否存在相互冲突的行为，进而判断出是否受到攻击的一种技术。若从收集到的信息判断出网络或者数据库中发现异常，则入侵检测系统会根据实际情...

摘要：本文首先简要介绍了入侵检测技术，然后指出了数据库入侵检测技术方面存在的问题，最后对当前入侵检测技术在数据库中的应用进行了探讨，希望对加强数据库的入侵检测有所帮助，或者能够为新技术的出现做铺垫。

关键词：入侵检测技术；数据库；安全

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 （2012） 16-0000-02

伴随着计算机网络技术的发展，有关数据库的应用变得十分广泛，已经遍布到社会生活的各个方面，越来越多的企业将自身的数据库直接连到互联网上，但随之也带来了数据库的安全问题，尤其是黑客的入侵，当前的防火墙技术难以满足数据库的安全需要，像跨站点的脚本攻击、SQL注入、未经授权的用户访问等技术都将绕过前台对后台数据直接发起攻击。不过在数据库中有效运用入侵检测技术可以有效防止此类攻击。

1 数据库入侵检测技术概述

作为一项能够有效防止黑客和病毒攻击的网络技术，它以计算机系统和计算机网络中的相关信息为基础，经过分析后判定网络或系统是否存在相互冲突的行为，进而判断出是否受到攻击的一种技术。若从收集到的信息判断出网络或者数据库中发现异常，则入侵检测系统会根据实际情况作出判断和行动，如报警、禁止某个IP地址的访问，切断连接等。它能够检测未授权对象对系统的入侵企图和行为，以及授权对象对系统资源的非法操作，并自动对所检测出的行为做出响应，记录并报告检测过程和结果。作为防火墙之后第二道安全门，它能够对来自系统内部和外部的攻击和误操作提供实时保护，在系统受到危害之前对入侵进行拦截和响应，很好的弥补了防火墙的不足，扩展了系统管理员的安全管理能力（包括安全审计、监视和进攻识别和相应），提高了信息基础结构的安全性。

2 数据库入侵检测技术中存在的问题

2.1 漏报误报率较高，入侵检测的正确率较低

一般配备入侵检测系统的数据库都比较庞大，数据库中的信息既可包括公司信息也可包括个人信息，并且，通常这些信息都非常重要，因此，其检测过程非常的严格，在检测过程中，本着“宁可错杀一千，不可放过一个”的目标对系统活动进行检测，导致很多正常的程序都被错报为外部攻击，有些隐蔽的攻击却无法检测出来，入侵检测系统这种过于极端的措施，给数据库的正常运行带来了很大的障碍，降低了系统服务的质量。

2.2 系统检测效率低下

入侵检测系统必须对恶意的攻击和病毒侵害做出及时的反应，否则可能会对数据库造成致命的伤害，所以我们的入侵检测系统在检测到异常情况时，要及时作出反应。而在实际运行当中，任何形式的网络攻击都需要进行大规模的二进制码转换才能顺利进行，而检测系统则要进行更大规模的计算量来匹配编码，而且需要搜集大量数据，因此，对于系统的计算量要求非常之高，导致入侵检测费用的大幅增加，如此低效率的检测不能满足当前日新月异的发展现状。

2.3 入侵检测系统自身保护能力比较差

入侵检测系统是防护计算机系统免遭入侵的重要工具，尽管他对其他对象有比较强的保护能力，但是，入侵检测系统本身却由于系统设计人员自身知识水平的限制或者系统自身携带的问题，使得入侵检测技术缺乏一定的自我防范功能。因此，一旦入侵检测系统本身遭到攻击，那么它本身无法对病毒进行防御，入侵检测系统就形同虚设，且无法知道现在系统正在被入侵，数据被盗取，系统被破坏，系统自身却一点都不知道，无法将整个入侵过程记录下来，最后甚至会会使整个系统陷入瘫痪之中，其后果可想而知。

3 入侵检测技术在数据库中的应用

入侵检测一般分为两种，一种是异常入侵检测，一种是误用入侵检测，异常入侵检测是指在记录某种状态下的系统运行行为，将其定义为正常行为。对系统运行进行实时监测，一旦发现与正常行为在超过某个阈值的不匹配的特征，便进行报警。误用入侵检测系统是指定义恶意行为，对系统进行实时监测，一旦发现与定义的恶意行为匹配的行为，便进行报警。现有在数据库中应用的主要检测方法有基于异常的入侵检测、基于阈值的入侵检测、基于规则的入侵检测、基于模型推理的入侵检测等。

3.1 基于异常的入侵检测

基于异常的入侵检测系统是假定某些对象的安全违章操作必然涉及到对系统的异常使用，基于异常的入侵检测方法通过比较用户的某些行为与正常行为之间的差别来正确判断用户是否正常使用系统资源，其过程包括分析目标系统中的用户的简介（统计用户的行为），其中用户简介包括一个用户对话期内的用户事件数目，时间之间的间隔时间，某一时间内使用的资源数目等。另外，基于异常的入侵检测不仅还可以根据用户行为的细微变化，动态的调整用户行为的细微变化，并对用户简介内容进行调整。可当用户行为发生重大变化时，入侵检测系统会发出警报。

3.2 基于阈值的入侵检测

与基于异常的入侵检测相类似，基于阈值的入侵检测方法假定非法用户在利用系统的脆弱性是必定对异常使用系统。例如，当非法用户尝试进入系统时，必定会尝试使用多个系统账户和密码，且会多次尝试对保密信息所在目录浏览操作。系统感染病毒后，必然过多的占用内存和处理器资源。针对以上特点，管理员设定通过设置一定的与之，控制在一定的时间段里，某一事件出现的次数，例如当用户登陆系统时，如果出现连续三次以上的密码错误，系统就会将该用户设问可疑用户，若一个用户在短时间内在同一地点多次尝试用不同账户，那么系统也应将该用户判定为可疑用户。在得出试图登陆的用户为可以用户时，在通过各种方法限制该用户的活动。

3.3 基于规则的入侵检测

基于规则的入侵检测方法是利用规则对审计数据进行分析，进而发现用户的异常行为，这些规则与用户的行为模式无关，只要符合规则就被认定为一种入侵行为，其中Snort入侵检测系统就采用了基于规则的误用检测方法，基于规则的误用检测规则主要分为两类，一类是向前推理规则，一类是向后推理规则。向前推理规则是首先采集一定的数据，按预定结果记性推理，直到推出结果未知，它能够准确的检测出入侵行为，降低误报率，不过它却无法检测出未知的入侵行为。向后推理规则是指由结果推测可能发生的原因，然后根据收集到的信息，判断出问题发生的真正原因，它可以准确的检测出未知的入侵行为，但误报率也很高。

3.4 基于模型推理的入侵检测方法

基于系统模型的推理方法是以安全管理员定义侵入窃密行为为基础的，一个基于侵入窃密行为模型为基础的。一个侵入窃密行为模型通常表示为用户行为系列，并将用户这些行为统称为剧情。这些剧情是用户行为的一种高层描述，且无需与设计记录一一对应。只需依据特定的规则对用户的高层行为描述转换为与审计数据记录相对应的用户动作序列，并据此判断用户行为中是否出现安全违章，它是以已知的安全规章为依据，若采用新的入侵窃密方式，则无法检测出来。

尽管入侵检测技术尚不是十分的成熟，使用中仍然存在着许多问题，但是它与防火墙技术组成了一个完整的数据库安全解决方案，在数据库中应用安全检测技术不仅可以减小数据库系统的安全风险，还可以对一些非预期的入侵或者其它破坏行为作出反应，切断有关链接，并通知防火墙，修改系统控制规则，防止下一次的类似攻击，通过将入侵检测技术应用到数据库系统中去，可以有效提高数据库的安全性。

参考文献：

[1]陈明忠.入侵检测技术在数据库系统的应用研究[J].计算机工程与科学，2009，31（4）：79-80.

[2]秦亮.浅析计算机数据库的入侵检测技术[J].电脑知识与技术，2011，7（3）：555，559.

[作者简介]叶扬（1978-），男，籍贯：福建福州，工作单位：福建省教育管理信息中心，职称：工程师，学历：本科，研究方向：信息技术应用。