试析入侵检测技术在计算机数据库应用.docVIP

试析入侵检测技术在计算机数据库应用 　　摘要：本文首先简要介绍了入侵检测技术，然后指出了数据库入侵检测技术方面存在的问题，最后对当前入侵检测技术在数据库中的应用进行了探讨，希望对加强数据库的入侵检测有所帮助，或者能够为新技术的出现做铺垫。 　　关键词：入侵检测技术；数据库；安全 　　中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 （2012） 16-0000-02 　　伴随着计算机网络技术的发展，有关数据库的应用变得十分广泛，已经遍布到社会生活的各个方面，越来越多的企业将自身的数据库直接连到互联网上，但随之也带来了数据库的安全问题，尤其是黑客的入侵，当前的防火墙技术难以满足数据库的安全需要，像跨站点的脚本攻击、SQL注入、未经授权的用户访问等技术都将绕过前台对后台数据直接发起攻击。不过在数据库中有效运用入侵检测技术可以有效防止此类攻击。 　　1 数据??入侵检测技术概述 　　作为一项能够有效防止黑客和病毒攻击的网络技术，它以计算机系统和计算机网络中的相关信息为基础，经过分析后判定网络或系统是否存在相互冲突的行为，进而判断出是否受到攻击的一种技术。若从收集到的信息判断出网络或者数据库中发现异常，则入侵检测系统会根据实际情况作出判断和行动，如报警、禁止某个IP地址的访问，切断连接等。它能够检测未授权对象对系统的入侵企图和行为，以及授权对象对系统资源的非法操作，并自动对所检测出的行为做出响应，记录并报告检测过程和结果。作为防火墙之后第二道安全门，它能够对来自系统内部和外部的攻击和误操作提供实时保护，在系统受到危害之前对入侵进行拦截和响应，很好的弥补了防火墙的不足，扩展了系统管理员的安全管理能力（包括安全审计、监视和进攻识别和相应），提高了信息基础结构的安全性。 　　2 数据库入侵检测技术中存在的问题 　　2.1 漏报误报率较高，入侵检测的正确率较低 　　一般配备入侵检测系统的数据库都比较庞大，数据库中的信息既可包括公司信息也可包括个人信息，并且，通常这些信息都非常重要，因此，其检测过程非常的严格，在检测过程中，本着“宁可错杀一千，不可放过一个”的目标对系统活动进行检测，导致很多正常的程序都被错报为外部攻击，有些隐蔽的攻击却无法检测出来，入侵检测系统这种过于极端的措施，给数据库的正常运行带来了很大的障碍，降低了系统服务的质量。 　　2.2 系统检测效率低下 　　入侵检测系统必须对恶意的攻击和病毒侵害做出及时的反应，否则可能会对数据库造成致命的伤害，所以我们的入侵检测系统在检测到异常情况时，要及时作出反应。而在实际运行当中，任何形式的网络攻击都需要进行大规模的二进制码转换才能顺利进行，而检测系统则要进行更大规模的计算量来匹配编码，而且需要搜集大量数据，因此，对于系统的计算量要求非常之高，导致入侵检测费用的大幅增加，如此低效率的检测不能满足当前日新月异的发展现状。 　　2.3 入侵检测系统自身保护能力比较差 　　入侵检测系统是防护计算机系统免遭入侵的重要工具，尽管他对其他对象有比较强的保护能力，但是，入侵检测系统本身却由于系统设计人员自身知识水平的限制或者系统自身携带的问题，使得入侵检测技术缺乏一定的自我防范功能。因此，一旦入侵检测系统本身遭到攻击，那么它本身无法对病毒进行防御，入侵检测系统就形同虚设，且无法知道现在系统正在被入侵，数据被盗取，系统被破坏，系统自身却一点都不知道，无法将整个入侵过程记录下来，最后甚至会会使整个系统陷入瘫痪之中，其后果可想而知。 　　3 入侵检测技术在数据库中的应用 　　入侵检测一般分为两种，一种是异常入侵检测，一种是误用入侵检测，异常入侵检测是指在记录某种状态下的系统运行行为，将其定义为正常行为。对系统运行进行实时监测，一旦发现与正常行为在超过某个阈值的不匹配的特征，便进行报警。误用入侵检测系统是指定义恶意行为，对系统进行实时监测，一旦发现与定义的恶意行为匹配的行为，便进行报警。现有在数据库中应用的主要检测方法有基于异常的入侵检测、基于阈值的入侵检测、基于规则的入侵检测、基于模型推理的入侵检测等。 　　3.1 基于异常的入侵检测 　　基于异常的入侵检测系统是假定某些对象的安全违章操作必然涉及到对系统的异常使用，基于异常的入侵检测方法通过比较用户的某些行为与正常行为之间的差别来正确判断用户是否正常使用系统资源，其过程包括分析目标系统中的用户的简介（统计用户的行为），其中用户简介包括一个用户对话期内的用户事件数目，时间之间的间隔时间，某一时间内使用的资源数目等。另外，基于异常的入侵检测不仅还可以根据用户行为的细微变化，动态的调整用户行为的细微变化，并对用户简介内容进行调整。可当用户行为发生重大变化时，入侵检测系统会发出警报。 　　3.2 基于阈值的入侵检测 　　与基于异常的入侵检