您好, 访客   登录/注册

数据库入侵检测技术研究

来源:用户上传      作者: 张月琴

  摘要:入侵检测技术作为网络安全防护的重要手段,对计算机数据库的运行安全具有保障作用,近年来得以广泛应用。该文结合当前数据库入侵检测技术应用现状,对入侵检测技术的意义、系统构成以及具体应用等问题进行分析与阐述。
  关键词:计算机;数据库;入侵检测;应用
  中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)06-1225-03
  随着计算机与网络技术的快速发展,数据库应用越来越广泛,企事业单位、政府机关、科研机构、金融体系等已经将数据库与互联网相连接,同时产生的数据安全问题不容忽视。在各种各样的应用系统中,涉及到敏感数据、安全问题、防篡改与防窃取等问题,越来越引起人们关注。基本的防火墙技术,已难以应对复杂的数据库网络安全,数据库的SQL注入、非法访问、跨脚本攻击等,均绕过数据库的前台安全系统,攻击数据来源。因此,深入研究数据库入侵检测技术,对保障数据库安全具有重要意义。
   1数据库入侵检测概述
  入侵检测系统可以是硬件系统,也可以是软件系统。通过入侵检测,对计算机系统的非授权访问资源行为作出及时判断、报警和记录。通过应用入侵检测技术,可有效确保系统安全,及时发现系统中与安全规则不相符或者存在安全隐患的行为、活动。在检测过程中,对系统行为或者用户行为实行可疑程度评估,根据评估结果来判断系统行为是否正常,以此协助数据库管理员的安全管理工作,并对数据库可能受到的攻击行为采取相应措施。
  1.1入侵检测技术的意义
  在计算机数据库系统中,加强安全保障措施,是基本的信息设施,甚至与社会稳定、国家安全密切相关。当前,虽然防火墙技术广泛应用,但是仍然由于种种原因而无法彻底抵御入侵行为,应用入侵检测技术势在必行。
  1)单一的防火墙保护措施过于薄弱,防火墙仅能作为内外网络之间的一道屏障,而有些外部访问则可越过防火墙直接进入数据库;
  2)有些安全隐患来自网络内部,而由于防火墙的薄弱性,自身也可能受到黑客攻击侵害;
  3)防火墙技术以静态安全防御为主,需要人工实施与维护,缺乏对入侵者的主动防御。
  鉴于此,为了确保计算机数据库的安全,必须寻求一种主动出击、及时发现入侵行为、采取相应措施的防御技术,并在事后对入侵行为进行分析、查明系统漏洞原因,并做好修补工作,入侵检测技术应运而生。检测入侵行为的硬件与软件相结合,即入侵检测
  系统[1]。
  1.2数据库入侵检测的构成
  当前,数据库中较常应用的入侵检测技术主要为静态配置、异常检测、基于行为的检测三种方法,具体分析如下:
  1.2.1静态配置
  静态配置分析技术,主要通过对数据库系统的配置实行例行检查,包括系统中的文件、数据、非正常访问行为等。静态分析法主要依据是非正常访问行为状态下产生的攻击痕迹。所谓静态,就是通过对系统静态的特征观察,确保系统运行安全。1.2.2异常检测
  异常检测技术,主要对冒充合法用户的入侵行为进行检测和抵御。事先建立正常用户行为的轮廓特征库,但是由于入侵者的行为并不都具备明显异常性,因此在入侵检测的应用过程中,不能单一采取异常检测技术,而是与其他方式相配合。对于经验丰富的入侵者来说,可能通过改变攻击行为方式,而成为检测系统中的正常用户模式,以此逃避检测。
  1.2.3基于行为的检测
  基于行为的检测,主要通过对用户在数据库中的使用行为,与已知入侵模式相匹配;或者利用系统中的漏洞、缺陷等,间接违反数据库安全规则的行为,通过实际行动,判断系统中的入侵行为,采取相应措施。基于行为的检测技术,主要具备如下优势:如果在检测器中,已经包含了已知入侵行为特征,并存储于模式库中,那么当系统受到类似攻击行为时,就可快速检验出来并采取对策。但是当前基于行为的检测技术,还仅能对已知入侵行为进行防范,对未知入侵行为的防范技术,仍有待进一步研究。
   2基于数据挖掘的数据库入侵检测
  当前,我国较为常用的数据挖掘分析主要有关联分析、分类分析、聚类分析、序列分析等形式。将数据挖掘技术与入侵检测技术相结合,提高数据库入侵检测系统的优化性,从大量的网络数据中获得正确数据模式,改变传统入侵检测行为的识别劣势,并对未知攻击行为或者变种攻击行为快速识别。
  2.1关联分析
  关联分析,可以通过现有数据库,发现其关联的特点。可识别记录中属性不同的关系,为用户提供更强大、更可靠的信息支持。通过应用关联分析,可快速建立给定数据之间的规律,由此判断数据之间的关联性[2]。2.2分类分析
  应用分类分析办法,主要对数据库中的数据实行分析,发现共性,再按照相关标准进行分类。在这一过程中,首先分析数据,再根据数据的某一特殊属性进行分类,根据分类规则准确描述。2.3聚类分析
  聚类分析主要是组合物理对象或者抽象对象的过程。当不了解数据库规律的情况下,利用聚类方式,集合分析数据对象,并将对象划分为若干个类别或者簇。在相同的簇中,其对象之间相似度较高,而不同簇的对象差别比较大。其相异度主要描述了对象的属性值,对象之间的距离常为度量指标。
  2.4序列分析
  应用序列分析,主要在于优化序列模式,将不同数据之间的属性,按照一定规则相联系,实现数据和时间的联系,寻求数据之间的时序关系。将数据根据时间顺序排列,列出高频。当黑客入侵时,根据一定顺序采取对应攻击行为,通过序列分析即可发现时间序列规律,以此应对攻击检测。
   3数据库入侵检测技术的优化应用
  3.1数据库的系统安全
  在数据库系统中,可将其安全框架划分为网络系统、宿主操作系统、数据库管理系统三大层次。在操作系统中,数据库均以文件形式实行管理,因此入侵者可能直接利用系统漏洞而非法访问、盗取数据信息,或者通过QS工具篡改数据库的文件内容。因此,数据库安全管理很大程度上取决于数据库的管理系统。根据数据库安全框架的三大层次,应用入侵检测技术,外层采取针对网络运行的入侵检测、中间层采取针对主机硬件的入侵检测、内层采取针对容忍的入侵检测。通过应用这样的检测模式,提升系统的整体安全策略,推行综合安全措施,提高系统关键功能的稳定性、安全性[3]。
  3.2 Apriori算法的改进
  由于计算机网络与数据库系统的构成较为复杂,尤其数据多、综合性高的数据库中,需要调整、处理候选集合。但是这种调整与处理的过程,需要耗费较大的时间与精力,因此Apriori算法的改进与优化,可增强候选集的剪枝作用。另外,在应用Apriori算法时,需要重新扫描数据库,并实行相应处理,进而强化候选集的支持能力,形成全新候选集。实际上,Apriori算法较为复杂,因此在运行与操作过程中,应谨慎对待。
  在优化改进Apriori算法之后,就可以在计算机的数据库入侵检测系统中应用,以此实现数据库内部资源应用的最大化,提高应用效率。对于改进Apriori算法的过程,首先,减少了候选项目集中的数量;如果项目集的数量低于支持度,就需要进行适当的删减,直到达到最佳候选数量为止;其次,对数据库实行扫描,合理控制扫描过程,确保一次性完成编码过程;后续操作则可根据既成编码来实现,以此提高算法效率,支持数据库稳定运行[4]。
  3.3构建关键模型3.3.1数据整理
  当系统处于培训过程中,需要对数据库中的操作数据进行集合整理,为构建知识库奠定基础。当数据库系统处于入侵检测过程中,则主要针对服务器中的计算数据实行整理,为进一步实行入侵检测技术的优化提供帮助。3.3.2数据挖掘
  针对数据库中的内容,采取合理的提取方式,同时要求与相关数据挖掘技术相结合,提高数据系统的稳定性、可操作性,实现数据库的优化创立。3.3.3集合整理
  当相关数据整理完毕后,需要进行合理挖掘,并根据相关特征,实行集合整理,为构建数据库模型提供基本要素。
  3.3.4入侵检测
  在数据库系统中,要求进行相应的检测与计算工作,为数据库的正常运行提供相关数据信息,创设良好的入侵检测条件,将非法访问、恶意入侵行为拒之门外。3.3.5获得特点
  利用数据库中的相关挖掘能力,对数据库各个部分、各个环节的数据,实行全方位、多角度的整理,深入分析与研究,获得数据 特征,合理分类并应用。3.3.6调换模式
  在数据库系统的知识规则库中,已经具备相应的运行规则。这就需要在全新数据库检测系统中,对不同的数据实行整理与研究,一旦发现与规定不相符的数据,则及时处理[5]。3.4提出数据标准
  针对数据库的入侵检测特点,建立起相关标准非常重要。由于数据库的覆盖面以及精确度,对整个数据库系统的整体运行较为重要,因此开展相关研究,是较为常用的技能之一。在相关研究中,规定一组数据以及一个记录的整理,同时研究其有效性、关联性。
  在数据库的安全管理系统中,将潜在的入侵进行关联整理,更利于发现可能出现的入侵行为及入侵隐患。有关数据库系统的特殊检测,应选择有关的挖掘项目,实行数据挖掘。主要包括以下两大步骤:其一,应用迭代方式,获得数据库中的复杂项集。在这一操作过程中,经常发生待选复杂方案问题,这就需要对数据库实行反复扫描,进一步确定其项集是否为复杂项目集,但是这一项目操作过程,需要浪费的时间较多[6];其二,提出有关频繁集的相关规定,当规定形成之后,提出相应规则,系统按照既定方式运行,节约时间,提高精准性。
   4结束语
  由上可见,计算机网络的应用是一把双刃剑,尤其在数据库运行过程中,各有利弊。当前,数据库的安全隐患问题已不容忽视,需要对整个信息基础设置安全模式,而入侵检测技术恰好符合这一需要,对数据库的安全运行提供帮助。通过应用入侵检测技术,对内外攻击行为主动防御、自主分析,实现数据库的多重保护。入侵检测技术除了抵御外来黑客、病毒入侵、非法访问行为之外,还可查杀系统潜在病毒与漏洞,确保数据安全性、完整性、可靠性。当前,我国有关数据库入侵检测技术的研究尚处于初级阶段,仍存在诸多问题亟待解决,但是随着科学的进步与时代的发展,必将提出更多入侵检测优化策略,提升网络环境运行的安全性。
  参考文献:
  [1]钟再淳.新型分布式入侵检测系统模型研究[J].移动通信,2009(16).
  [2]王作鹏,刘春光.数据库安全监控技术研究与实现[J].煤炭技术,2011(9).
  [3]马国君,宗东军.基于多维数据流挖掘技术的入侵检测模型与算法[J].计算机研究与发展,2009(4).
  [4]王渊,马骏.一种基于入侵检测的数据库安全审计[J].计算机仿真,2007(2).
  [5]李胜君.IDS入侵检测及对数据库系统的应用[J].科技与生活,2011(14).
  [6]石云峰.智能性入侵检测日志审计系统[D].大连理工大学:软件工程,2007.


转载注明来源:https://www.xzbu.com/8/view-1683684.htm