《硅谷》杂志:计算机数据库入侵检测技术探析 |
| 2013-01-15 18:19 作者:王艳敏 来源:硅谷网-《硅谷》杂志 HV: 编辑: 【搜索试试】
|
|
据《硅谷》杂志2012年第21期刊文称,网络入侵检测技术是从网络安全的角度对内部攻击、外部攻击以及其自身的错误操作引起的安全防护技术,随着计算机和网络技术的不断发展,入侵检测不能仅仅停留在原先的研究和实验阶段,越来越多的网络安全问题受到人们的高度重视,将对入侵检测技术相关领域进行阐述,以期给相关从业人员借鉴和参考。
关键词:计算机网络;数据库;数据库入侵技术;应对措施
1对网络入侵检测技术的认识
网络入侵技术最初被提出是在上世纪80年代,由乔治敦大学的DorothyDenning和SRI公司计算机科学实验室的PeterNeumann针对计算机存在的安全威胁,共同研究出一套能够实时监测入侵的模型即IDES(IntrusionDetectionExpertSystems入侵监测专家系统,在捕获TCP/IP分组信息时,第一次提出直接将网络流作为审计数据来源来监控主机异常,网络入侵技术从此诞生。
2数据库存在的安全机制缺陷
现有的数据库安全机制尽管具有一定的抵制外来入侵的能力,但其自身的一些缺陷,却不能确保数据库的安全。通过建立数据库入侵检测过程,从事件产生器、入侵检测规则库、事件分析器、响应单元等组成部分分析入手,分析基于数据库的访问机制主要以下几种缺陷。
2.1对数据库账号的管理权限的使用不当
数据库管理的通常采用分级权限制度,管理员作为数据库的直接管理者,在对数据库进行工作的时候,由于缺乏必要的管理权限监控措施,导致管理员的因疏忽而致的信息泄露、数据篡改等现象,为企业数据库安全造成了致命的后果。
2.2对数据库自身的日志审计缺少必要的防范措施
对数据库的实时监测是数据库管理中重要的工作内容,通常数据库系统自身的日志审计功能能够实时记录数据库系统的日常工作情况,包括数据的修改,权限的变更等,由于对数据库异常事件的报告不能实现准确的定位,或者无法第一时间报告管理者,如此导致的数据管理滞后也是对数据安全的重要威胁。
2.3对数据库身份认证机制存在的缺陷
数据库系统本身所提供的用户身份要求用户提供正确的登录账号和口令才能对数据库进行有效的操作,如果对账号和口令没有进行有效的监控,很容易导致非法用户对数据库造成非法登录,篡改或破坏数据安全。
3对网络入侵数据模型的分析
为了有效提高网络入侵检测技术的互操作性,由CIDF(CommonIntrusionDetectionFramework)对入侵检测系统(IDS)建立了通用的模型,即事件产生器(Eventgenerators)、事件分析器(Eventanalyzers)、响应单元(Responseunits)、事件数据库(Eventdatabases),我们从技术上对入侵检测模型进行划分主要有异常检测模型(AnomalyDetection)和误用检测模型(MisuseDetection)两种。
3.1异常检测模型(AnomalyDetection)
当用户的活动与正常的行为存在较大偏离时即被认定为入侵的形成,这样监测模型通过定义可接受的行为和不可接受的行为来分析两者之间的偏差,建立一个由正常操作组成的用户行为特征库来实现。异常检测模型的特点是漏报率低,误报率高。
3.2误用检测模型(MisuseDetection)
与异常检测模型不同,误用检测模型主要是对定义所有的不可接受的行为,并将其收集成非正常操作的行为特征库,将检测到系统异常参数与特征库里的记录进行匹配比较,如果与行为特征库相似则表明存在风险。误用检测模型能够对自身已知的非正常行为作出快速的判断和准备的报告,而对未知的攻击行为因为不能与误用特征库里的非法行为无法实现比较,则无法实现准确检测,因此误报率低,漏报率却高。
4基于网络引擎的网络入侵检测技术设计
4.1数据包的截获技术
我们知道,基于网络引擎主要是在windowsNT平台上,通过分析网络上传输的数据包,来检测是否存在入侵行为。网络引擎主要包含数据包截获、协议分析、数据分析,为了提高网络引擎的检测速度和准确度,有时候需要过滤网络上的一些数据包,对数据包进行过滤的效率决定着网络监听的有效性,因为在过滤网络上的数据包时,都要用到数据过滤模块,在反复的过滤中,很容易丢失网路上的数据包,一旦构成数据包的大量丢失,则影响到整个网络传输的效率,为此,我们专门为数据监听而开发出相应的程序包,以Winpcap模块为例,通过内置的BPF过滤机制和许多接口函数,这些函数和过滤策略不仅能够快速实现监听,避免了重复开发软件的难度,Winpcap模块是由一个数据包监听设备驱动程序组成,针对不同的应用,Winpcap都能按照预先设置的算法进行自动工作。该模块主要支持BPF过滤机制并灵活设置过滤规则;低级的动态链接库主要是为了实现监听设备驱动程序的移植性,实现在不同的系统上运行;高级静态链接库和应用程序编译在一起,能够向应用程序提供完善的监听服务。
4.2对协议的分析技术
为了实现对程序中动态协议进行灵活的分析功能,我们需要建立一棵协议树,类似于二叉树结构,即对网络数据包的分析是从根到某个叶子的路径,以HTTP协议为例,我们将每个请求URL作为二叉树的一个结点,将URL的不同的方法作为二叉树的子结点,在整个二叉树结构中,各个结点所形成的数据结构,能够大大提升对协议的检测效率。在一般情况下,二叉树的每个结点都拥有相同的数据结构,其主要包括以下几项内容,即能够定义协议名称的唯一标志识别码;能够代表分析协议速度的协议代码;下一级协议名称的识别码;代表其父结点的协议名称编码;代表与协议对应的分析函数链接表:在该项应该包含协议检测所需要的函数以及可以配置的各项参数数据等信息。通过对网路上的数据包的协议类型名称进行提取和分析,可以实现我们对被检测数据包所包含的详细信息进行记录、统计。
4.3对数据模块的分析方法
一般情况下,对协议数据中所包含的数据进行分析处理时,尽可能低在树状结构的叶子节点上进行,因为根节点调用次数太多,对系统性格会产生严重的影响,所以,明确叶子节点上的协议函数,可以减少冗余的重复工作,如在特定的数据包到来时,触发一个数据分析函数的启动,通过分析某一特定协议数据,并进行方便的配置,启动了数据分析检测。对数据模块的分析是入侵检测系统的核心,将分析后的数据特征与存放在入侵特征数据库中数据进行快速模式匹配算法,从而判断某种特征的行为是否属于非法入侵,比如当我们发现一个Http请求某个服务器上的“/cgi-bin-phf”时,从而判定可能是某个寻找CGI漏洞的入侵程序。
5结语
通过对网络入侵技术和模型的分析,由于检测模型策略存在着难以实现新入侵的报警,而采用协议分析技术,在检测入侵的准确率方面却大大提升,并能偶及时对反应作出相应的回应,如何规避误报和漏报是实现网络方法入侵的根本所在。协议分析是代表了目前最先进的检测技术,对未知的攻击特征通过识别,有助于对判定事件是否具有攻击性,是未来入侵检测技术的发展趋势。
基金项目:本文系吉林省教育厅“十二五”科学技术研究(吉教科[2012]381);吉林省教育厅“十二五”科学技术研究(吉教科[2011]397)阶段性研究成果。
作者简介:
王艳敏(1978-),女,汉族,吉林长春人,讲师,软件工程硕士,吉林工商学院信息工程分院讲师,研究方向:软件工程、计算机科学与技术、数据库。 |
|
|
|
【对“《硅谷》杂志:计算机数据库入侵检测技术探析”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
