探讨入侵检测技术在计算机数据库中的应用 |
| 2012-06-14 14:57 作者:高旭明 来源:硅谷网-《硅谷》杂志 HV: 编辑: 【搜索试试】
|
|
摘要:随着互联网络的大规模应用,因特网络带给人们巨大好处,但黑客入侵、病毒横行也带得人们越来越多的烦恼,因此网络安全也日益成为整个业界关注的焦点。面对黑客入侵,在网络安全防护中有一个非常重要的系统叫IDS,中文是入侵检测系统,它的主要工作是通过采集本网络中各个主机节点的网络数据包,按照既定的规则,分析出潜在的攻击。
关键词:入侵检测技术;计算机;数据库
中图分类号:TP393文献标识码:A文章编号:1671—7597(2012)0420
【《硅谷》杂志2012年4月刊文】美国的国际计算机安全协会(ICSA)所定义的入侵检测技术为,以计算机系统或计算机网络中的相关信息为基础,经过分析后判定系统或者网络是否存在与安全策略与措施相冲突的行为,从而判定是否遭到外界攻击的安全技术。入侵检测技术是网络信息技术中的新兴技术,能够在防火墙的攻击防御基础上进行网络监测,提高系统的安全性,实现对系统误操作、外部与内部攻击的即时监测分析,并采取必要的防护措施,通过证据记录实现系统恢复、入侵跟踪、断开连接的操作对抗非法侵入。所以,入侵检测技术是计算机系统中防火墙之后的第二道安全阵线,能够通过主动监测实现攻击防范与网络安全。
1入侵检测与数据库审计
入侵检测所针对的对象是入侵行为,而入侵行为是在没有授权的情况下对系统资源进行非法利用的行为,由于非法操作具有破坏性,可能使系统和数据库中的信息出现破坏和丢失的情况,甚至可能影响到到合法用户的正常使用和服务。入侵者可以分为内部入侵者和外部入侵者,内部入侵者是超越权限使用系统资源的合法用户,而外部入侵者是非法进入系统的用户(如常见的黑客)。一个完善的入侵检测系统的主要功能:①监测并分析用户和系统的活动。②核查系统配置和漏洞。③评估系统关键资源和数据文件的完整性。④识别已知的攻击行为。⑤统计分析异常行为。⑥对操作系统进行日志管理,并识别违反安全策略的用户活动。
审计主要是通过审查系统的历史记载宋判断系统中已经发生和即将发生的安全违章,并分析出现安全违章的原因。为此,审计需要登记用户的各种请求和活动。用于审计的数据通常记录在审计索引(AuditTrail)或者审计日志(AuditLog)中,用于审计的数据的特性和格式与具体系统有关。在审计索引中,主要记录了每个事件的访问主体、访问客体、访问操作、访问请求的时间、访问控制系统的反应、资源(如CPU,I/O,内存)的使用情况、操作是否执行成功等。另外,审计索引还要记录特权用户(如系统管理员和安全管理员)的各种行为。这样,既可以有效控制管理员合法使用各种权限,又可以有效控制攻击者非法获驭管理员的权利。随着系统的不断运行,审计数据将迅速增加,在大量的审计数据中搜索安全违章效率较低。另外,对审计数据进行审查也不可能查出所有的安全违章,特别是某些安全违章的活动周期很长。通常,当系统出现异常情况时(如持续的内存不足,处理速度降低等),才进行审计分析。在这种情况下,也只是分析那些与异常情况有关的数据。
2数据库入侵检测系统构建
建立入侵检测系统的方法多种多样,但是每种方法都只是对某些类型的安全违章或侵入窃密有效,而不是对所有的安全违章或侵入窃密有效。
2.1基于阈值的入侵检测方法
基于阈值的入侵检测方法假定非法用户利用系统的脆弱性寸必将涉及到对系统的异常使/R。例如,非法用户如果试图进入系统,他肯定会尝试多个用户账号和口令:非法用户如果试图窃取保密信息,他肯定会对保密信息所在目录多次尝试浏览操作:感染病毒的进程必将需要过多的内存和CPU资源。基于闽值的入侵检测方法依据安全管理员设定的阑值控制给定时间段里特定事件出现的次数。例如,用户登录系统时,如果连续三次以上出现口令错误,那么就认为该用户足试图窃取用户账号的非沾用户:如果一个用户在短时间内多次尝试不同的用户账号,并多次出现口令错误,那么也判定该用广为试图攻击系统的非法用户。
2.2基于异常的入侵检测方法
与基于阈值的入侵检测方法相似,基于异常的入侵检测方法也是假定安全违章必将涉及到村系统的异常使用。基于阑值的入侵检测方法利用事先规定的阈值来判断对系统的异常使用,而基于异常的入侵检测方法则通过比较用户的某行为与其正常十了为之间的差别来判断用户是否异常使用系统资源。基于异常的入侵检测方法通过观察分析目标系统中用产的行为宋编制用户简介(即反映用户正常行为的统计数据),用户简介一般包括一个用户对话期中的事件数目,事件之间的间隔时间,某一段时间内使用的资源数目等。另外,入侵检测系统可以根据用户行为的细微变化,动态调整用户简介的内容。如果用户行为发生重大变化,那么入侵俭测系统将发出异常报警。
2.3基于规则的入侵检测方法
基于规则的入侵检测方法利用规则对审计数据进行分析,从而发现用户的异常行为。这些规则与用户的行为模式无关,它们以已知的系统缺陷和侵入窃向万式为基础对异常仃为进行描述,既呵以说明半个的异常行为,也可以说明异常行为序列。例如,规则可以说明在业余时间远柞舒录系统进行浏览操作属于异常行为,规则也可以说明从账户大量提款,然后在儿大之后又将卜款返川账户足一种异常行为序列,专家系统是这种入侵检测方法的主要实现厅式,它将安全专家关于侵入窃密的知识进行编码。
2.4基于模型的推理方法
基于模型的推理方法足以安全管理员定义的侵入窃密行为模型为基础的。一个侵入窃密行为表示为—个用户行为系列,通常称为剧情(Scenario)。剧情是对用户行为的高层描述,具组成部分无需与审计数据记录一一对应,入侵检测系统依据特定的规则将对用户行为的高层描述转换为与审汁数据记录对应的用户动作序列,并据此判断系统中是否出现安全违章。与基于规则的入侵检测方法相似,基于模型的推理方法也是以己知的安全违章为基础的,而且无法检测新的侵入窃密方式。
2.5基于状态变换的入侵检测方法
在基于状态变换的入侵检测方法中,利用使系统状态由初始状态变换为最终暴露状态的动作卢列为安全违章建模。在初始状态和最终状态之间存在着若干中间状态和状态变换,状态变换与引起安全违章的关键动作相对应。用户发出的一个命令可能引起多个动作,系统的某一状态可以理解为关于系统的一组断言(Assertion),例如,断言可以是对用户是否是某数据的所有者或是否对该数据享有特权的评估。与状态变换对应的动作主要包括:对文件的各种访问(如读、写、执行等),修改与文件相关的各种权限和特性(如授权等)。用户在系统中执行各种操作,引起系统状态的不断变化,当系统状态达到最终的暴露状态寸,发出报警信息。
3结束语
数据库系统的实际安全实现应该结合使用防火墙等技术来组成一个完整的数据库安全解决方案。入侵检测技术虽然也能对网络攻击进行识别并做出反应,但其侧重点还是在于发现,而不能代替防火墙系统执行整个数据库的访问控制策略。防火墙系统能够将一些预期的数据库攻击阻挡于数据库外面,而数据库入侵检测技术除了减小数据库系统的安全风险之外,还能对一些非预期的攻击进行识别并做出反应,切断攻击连接或通知防火墙系统修改控制准则,将下一次的类似攻击阻挡于数据库外部。因此通过数据库安全检测技术和防火墙系统结合,可以实现一个完整的数据库安全解决方案。
参考文献:
[1]陈明忠,入侵检测技术在数据库系统的应用研究[J].计算机工程与科学,2009,31(4):79-80,83.
[2]秦亮,浅析计算机数据库的入侵检测技术[J].电脑知识与技术,2011,07(3):555,559.
[3]张江、唐婧,基于数据库的入侵检测技术研究[J].计算机光盘软件与应用,2010(9):98.
[4]乐瑞卿,计算机数据库入侵检测技术的探讨[J].硅谷,2011(22):173-174.(注:本文版权归作者本人和硅谷杂志所有,禁止他人未经授权转载) |
|
|
|
【对“探讨入侵检测技术在计算机数据库中的应用”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
