計算機數(shù)據(jù)庫的入侵檢測技術(shù)

程昊

摘 要在信息時代到來的今天，各類信息資源大幅度增多，對這些信息進行有效地管理和利用是科學研究和決策的前提條件。計算機數(shù)據(jù)庫作為信息系統(tǒng)的核心部分，其安全性尤為重要，一旦數(shù)據(jù)庫被非法入侵，可能會導致信息丟失，由此造成的后果十分嚴重。入侵檢測技術(shù)可以對計算機數(shù)據(jù)庫進行保護，為信息安全提高保障?；诖它c，本文就計算機數(shù)據(jù)庫的入侵檢測技術(shù)展開探討。

【關(guān)鍵詞】計算機 數(shù)據(jù)庫 入侵檢測技術(shù)

1 入侵檢測技術(shù)及其在數(shù)據(jù)庫安全中的重要作用

1.1 入侵檢測技術(shù)

入侵檢測技術(shù)歸屬于新型網(wǎng)絡安全技術(shù)的范疇，其能夠?qū)徲嫈?shù)據(jù)進行分析，如果發(fā)現(xiàn)非法入侵，則會給出提示，管理人員據(jù)此可采取相應的補救措施，進而保證重要數(shù)據(jù)信息的安全性。入侵檢測系統(tǒng)是由入侵檢測硬件與軟件組合而成，它可以對用戶及系統(tǒng)的活動進行監(jiān)測和分析，查找越權(quán)操作；能夠檢測系統(tǒng)的安全漏洞，并提示修補；可以找出入侵行為的規(guī)律，并對檢測到的入侵行為做出反應。入侵檢測系統(tǒng)的應用，給計算機的安全性提供了強有力的保障。

1.2 入侵檢測技術(shù)在數(shù)據(jù)庫中的作用

在數(shù)據(jù)庫的使用過程中面臨著諸多安全威脅，其中以設備安全和信息安全威脅為主。對于信息安全而言，其安全隱患直接威脅到數(shù)據(jù)庫信息的保密性和完整性。當前，常見的安全威脅為計算機病毒、黑客攻擊等形式，一旦數(shù)據(jù)庫被入侵攻擊，就會給計算機用戶帶來嚴重損失。所以，必須加大對計算機數(shù)據(jù)庫的信息安全防范。而入侵檢測技術(shù)作為有效的防范技術(shù)之一，能夠?qū)?shù)據(jù)庫使用過程中可能存在的非法攻擊和安全問題進行識別檢測，避免安全威脅對數(shù)據(jù)庫造成破壞，起到防患于未然的作用。即便是在發(fā)生入侵行為的情況下，入侵檢測技術(shù)也能夠采取相應措施將入侵損失將至最低。

2 計算機數(shù)據(jù)庫的入侵檢測技術(shù)應用

2.1 數(shù)據(jù)庫入侵檢測模型的構(gòu)建思路

通過研究數(shù)據(jù)顯示，在數(shù)據(jù)庫入侵行為檢測中內(nèi)部入侵行為占比高達80%。但是，由于內(nèi)部入侵的用戶身份大部分為合法用戶，所以僅僅依靠入侵檢測技術(shù)很難檢測到用戶的非法操作行為。而將數(shù)據(jù)挖掘技術(shù)與入侵檢測技術(shù)相結(jié)合，共同應用于數(shù)據(jù)的入侵檢測系統(tǒng)中，能夠?qū)崿F(xiàn)對大量用戶數(shù)據(jù)的同步審計，快速識別偽裝攻擊，保障數(shù)據(jù)庫信息的安全。同時，在網(wǎng)絡環(huán)境中，入侵檢測技術(shù)只能對部分簡單的攻擊行為進行檢測，而對復雜攻擊行為束手無策，因此必須對基于數(shù)據(jù)挖掘的入侵檢測模型進行優(yōu)化，具體構(gòu)建思路如下：將網(wǎng)絡與主機的入侵檢測相結(jié)合，利用數(shù)據(jù)挖掘技術(shù)提取用戶行為，形成檢測規(guī)則庫，并在聚類挖掘的幫助下實現(xiàn)自主學習，一旦發(fā)生入侵行為，入侵檢測系統(tǒng)自動啟動入侵容忍技術(shù)，最大程度地減小入侵帶來的損失。

2.2 關(guān)鍵技術(shù)

數(shù)據(jù)庫入侵檢測模型采用Snort開源系統(tǒng)，建設輕量級的檢測系統(tǒng)，使系統(tǒng)具備網(wǎng)絡數(shù)據(jù)截取、分析、報警功能。Snort經(jīng)過多年來的開發(fā)，其開源代碼已經(jīng)具備了一定的應用優(yōu)勢，可支持在多個系統(tǒng)平臺下運行，用戶可根據(jù)實際使用需求擴充系統(tǒng)模塊。數(shù)據(jù)挖掘技術(shù)是數(shù)據(jù)庫入侵檢測系統(tǒng)的關(guān)鍵技術(shù)，通過挖掘數(shù)據(jù)用戶的操作行為形成規(guī)則庫，并對規(guī)則庫中的數(shù)據(jù)進行聚類審計分析，將其進行分類合并，并自動歸集多次出現(xiàn)的規(guī)則，以提高數(shù)據(jù)檢測的工作效率，滿足網(wǎng)絡與主機的入侵檢測需求。

2.3 功能模塊設計

在數(shù)據(jù)庫入侵檢測系統(tǒng)中設計網(wǎng)絡入侵模塊和主機入侵模塊，若通過檢測的行為符合規(guī)則，則準許用戶繼續(xù)執(zhí)行操作行為。若未通過規(guī)則庫的檢測，則將其視為可疑行為，先對該行為隔離處理，之后再利用入侵容忍技術(shù)降低入侵損失。在系統(tǒng)中，主要包括以下功能模塊：

2.3.1 訓練數(shù)據(jù)集模塊

該模塊收集用戶初始操作產(chǎn)生的數(shù)據(jù)，若操作行為未被入侵，各項數(shù)據(jù)安全有效，則將一段時間內(nèi)的用戶操作行為歸集為訓練數(shù)據(jù)集，該數(shù)據(jù)集默認為安全級別較高的數(shù)據(jù)。

2.3.2 數(shù)據(jù)預處理模塊

該模塊負責轉(zhuǎn)化訓練集中的數(shù)據(jù)，對其進行算法處理。如，對跟蹤采集的數(shù)據(jù)轉(zhuǎn)化為數(shù)據(jù)庫表或行為，包括delete、insert、select等，再利用算法將數(shù)據(jù)庫表或行為轉(zhuǎn)化為多值型數(shù)據(jù)，對數(shù)據(jù)進行預處理，根據(jù)數(shù)字代碼執(zhí)行對應操作。如在數(shù)據(jù)預處理之后，用戶1對數(shù)據(jù)庫表1進行delete操作，則可用數(shù)據(jù)代碼（1，10，8）進行表示，以保證各個操作行為均形成相應的數(shù)據(jù)。其中，1代表用戶1；10代表數(shù)據(jù)庫表1；8代表刪除操作。

2.3.3 聚類分析模塊

該模塊對預處理的數(shù)據(jù)進行分析、關(guān)聯(lián)、聚類，采用數(shù)據(jù)挖掘算法、聚類算法和關(guān)聯(lián)算法使數(shù)據(jù)產(chǎn)生各種規(guī)則，對各種規(guī)則進行歸類，形成規(guī)則庫，并將已經(jīng)轉(zhuǎn)化的數(shù)據(jù)按類別歸入各個規(guī)則庫中。

2.3.4 入侵容忍模塊

該模塊用于隔離與規(guī)則庫中不相符的用戶操作行為，識別可疑的入侵行為。在發(fā)生入侵之后，該模塊要根據(jù)日志及時對被入侵的數(shù)據(jù)進行恢復，降低入侵損壞程度。

2.4 系統(tǒng)的應用效果

本文所構(gòu)建的入侵檢測系統(tǒng)，可以對以下幾種攻擊類型進行有效檢測：

2.4.1 偽裝攻擊

此類攻擊具體是指通過合法的登錄過程對數(shù)據(jù)庫進行入侵，但使用方式與平時不同；

2.4.2 合法用戶的攻擊

比較典型的有越權(quán)及特權(quán)濫用攻擊；

2.4.3 攻擊企圖

進行未授權(quán)操作而導致的失敗。以上幾種攻擊類型對計算機數(shù)據(jù)庫安全威脅較大，通過入侵檢測系統(tǒng)，能夠使這些攻擊被及時檢測出來，從而確保了計算機數(shù)據(jù)庫的安全性。

3 結(jié)論

綜上所述，為確保計算機數(shù)據(jù)庫的安全性，可對入侵檢測技術(shù)進行合理應用，利用該技術(shù)構(gòu)建起先對完善的入侵檢測系統(tǒng)，對計算機數(shù)據(jù)庫中的重要信息進行保護，由此可以阻止非法用戶入侵數(shù)據(jù)庫。在未來，除了對現(xiàn)有的技術(shù)進行改進和完善之外，還應該研發(fā)一些新技術(shù)，同時加大對入侵檢測技術(shù)的研究力度，從而更好地為計算機數(shù)據(jù)庫安全服務。

參考文獻

[1]谷文雙.基于日志挖掘的數(shù)據(jù)庫入侵檢測方法研究[D].吉林大學，2016.

[2]李磊.入侵檢測技術(shù)在計算機數(shù)據(jù)庫的應用研究[J].數(shù)字技術(shù)與應用，2016（01）：143-145.

[3]張曉明，王玉鑫，王廣，張戈彤等.基于Hadoop的網(wǎng)站入侵檢測與分析系統(tǒng)設計[J].實驗室研究與探索，2016（04）：86-98.

[4]馮娜，韓淑芹.計算機網(wǎng)絡數(shù)據(jù)庫的安全管理技術(shù)研討[J].通訊世界，2017（02）：32-33.

作者單位

四川職業(yè)技術(shù)學院 四川省遂寧市 629000