入侵檢測技術在數據庫中的應用及實踐探討

鐘云勝

（四川文理學院 國資處，四川 達州635000）

0 引言

計算機作為第三次科技革命的產物，在20世紀90年代引進到了中國.伴隨著20多年的發展歷程，計算機已經成為人們家庭和工作中必不可少的工具.計算機在普及的同時，也帶動了計算機技術的發展，近年來，入侵技術作為計算機技術中的高端領域，日益成為黑客入侵用戶系統、盜取用戶資料的相關工具，給國家、社會以及用戶帶來了巨大的經濟損失和信息安全.為了減少同類現象在今后發生的可能性，加快數據庫入侵技術的研發已經變得非常緊迫.

1 入侵檢測技術

1.1 入侵檢測技術的概述

入侵檢測技術是指當數據進入到網絡當中時，技術系統會根據數據的格式、大小、內容，進行全方位的檢測.檢測合格對系統無不良企圖的數據，技術系統會放其進入下一個網段；檢測不合格對系統存在惡意的數據，系統會發出報警信號，并根據系統管理者的指令，做出阻擋、清理或者放行地行為.［1］這種技術能夠很好的彌補殺毒軟件或者防火墻存在的缺陷，將網絡攻擊者隔離到網絡之外，在網絡安全保護程度較高的部門、網站或者用戶中應用還是比較廣泛的，入侵檢測技術的保護不僅僅包括對惡意行為的防護，對于一些網絡中的試探性行為，系統也會發出警告.下圖就是入侵檢測技術的工作原理：

1.2 入侵檢測技術的功能

用戶在使用計算機進行工作時，系統會對計算機的整體運行情況進行監視，當計算機運行程序出現不正常活動時，系統就會發出警報；入侵系統不同于傳統的防火墻技術，它可以對計算機程序的缺點進行審計，審計的主要內容是對計算機使用人員的日常活動進行記錄，系統會根據計算機使用人員日常活動的特點對系統運行進行分析，當程序運行的方式與管理員的日常工作情況特點不符，系統就會介入到程序當中，對數據進行檢測；系統自身會帶有報警系統，針對程序運行當中的不合理情況，系統會將檢測出來的異常原因發送給系統管理者，管理者再根據實際情況對系統下發指令；管理系統作為入侵系統的大腦會對系統的整體運行發出指令，系統的工作程序會受到管理系統的監督，當系統的某些程序沒有正常工作時，管理系統會及時采取解決措施，防止程序的損壞影響到整個系統的正常運行.

1.3 入侵檢測技術的重要性

計算機入侵檢測系統在網絡防護中的應用取得了不錯的進展，特別是在近幾年來，隨著計算機技術的普及以及計算機入侵事件的頻繁發生，都加速了入侵檢測技術的發展進度.但是社會依舊在進步，人才相比于以前會更加的專業，黑客入侵技術將不斷的被更新，這就對入侵檢測系統的更新速度提出了很大的挑戰.

現在的入侵檢測系統主要包括兩種技術，第一種是對網絡的防護.網絡是數據、信息上傳和下載的來源，檢測系統會對網絡的相關資源進行檢測、分析、比對，然后將沒有惡意的文件存留下來，提供給用戶進行瀏覽或者下載.從這種防護方式來看，這種方法更加注重的是對源頭的保護，它可以將網絡防護的范圍擴大，一次檢測，終身受益.［2］但是，這種保護也存在著一定的缺點，網絡的不斷擴展會為大面積的檢測提供很大的難度，另外，這種一步到位的方式，難免會留下一定的隱患，試想如果某種入侵技術躲避掉了檢測系統的檢查，那么這種整體傳播廣闊、局部防御不高的手段，會造成更大的危害.第二種保護的系統是對主機的保護.這種防護只是局部性的保護，防護的程度肯定是不能和網絡防護相提并論了，由于高額的成本投入并不是小戶家庭或者小型企業所能承受的，所以注定其防護范圍僅僅局限于一些高端群體，防護的整體性效果不如網絡防護來的直接.

2 入侵檢測技術存在的問題

雖然計算機技術在中國有了比較長的發展時間，但是由于入侵檢測系統也是近幾年才被提出并應用在實際當中的，其技術水平還遠遠沒有達到國際的先進水平.其推廣較為緩慢，主要是存在著一些技術上的原因，能否做好相關的技術研究，對入侵檢測系統在未來的發展具有重要影響.

2.1 誤報情況出現頻繁

軍隊、政府或者大型企業一般會采用入侵檢測技術來對數據進行保護，主要原因在于數據的機密程度較高，一旦數據泄露就會造成巨大的經濟損失或者社會影響.入侵檢測系統的應用對象的重要程度決定了其安全防護必須要達到極高的標準，想要提高安全防護的要求，肯定會造成系統檢測渠道的冗長和程序的復雜化.深入骨髓的數據檢測程序經常會導致數據因某一細節不合格而被拒之門外，這無疑會降低部門的工作效率.如果誤報的頻率過高，就會導致部門煩躁情緒的滋生，進而減少對檢測系統的使用.

2.2 入侵檢測成本高昂

由于入侵檢測技術采取的全方位、多角度的測量方法，對數據的檢測極為嚴格，即便是很小的數據也要進行復雜的二進制核算，強大的運算系統運用到無關緊要的文件檢測之中，就會造成資源的浪費.當然，這只是針對正常的數據來說的，如果數據檢測異常呢？當系統發現數據檢測異常的情況時，會及時啟動報警系統和異常檢測系統，異常檢測系統不同于常規的檢測，一經啟動就會帶來巨額的成本投入.伴隨著系統誤報頻率過高的情況，將會增加系統的異常檢測次數，這無疑會是雪上加霜，這種高額的成本投入也是許多中小型企業望而卻步的主要原因之一.

2.3 自身防護能力較差

入侵檢測技術雖然在保護惡意攻擊方面有著不錯的效果，但是，作為系統防御者的本身，卻沒有很好的自我保護能力.這就要歸結于我國計算機以及入侵檢測系統的發展時間較短、技術人員專業素質水平較低等方面了，當外界的惡意攻擊能力高于入侵檢測系統的防護能力時，病毒就會躲過系統的檢查，趁機竊取用戶的資料，如果病毒的破壞性較強的話，很可能會對防護系統造成損害，嚴重時會造成系統的癱瘓.因此，科研人員在加強系統對數據保護能力的同時，要做好系統的自身防衛工作，針對我國現如今的入侵檢測系統，在保護用戶數據方面都尚存在嚴重的缺陷，再加上自身的提供防護的程序設計將會變得更加困難.國家要加大在系統研發上的經費投入，也可以通過引用國外先進的技術或者專家學者，來加快系統研究的進展.

2.4 未來改進空間較低

現有的入侵檢測系統有著很強的目的性，通俗點說，有著什么樣的病毒，就開什么樣的“藥”，病毒采取何種手段進行攻擊，就采取何種手段進行防御.這就導致了入侵系統一經引用，就處在了一個較為被動的環境之下，也許在一段時間之內，這種系統會有著不錯的防御效果，但是病毒是在不斷更新的，攻擊手段是在不斷優化的，這將對入侵系統的更新速度提出很高的要求，一旦研發人員不能對網絡中的攻擊手段有著很好的預判，并做好相關的應對措施，就會導致檢測系統的更新速度落后于病毒的更新速度，從而造成巨大的經濟損失，而且隨著技術人員應對時間的變化，這種損失還會進一步加大.另外，由于系統的針對對象比較單一，其設計就會比較局限，擴展能力就會降低.即便是技術人員能夠及時應對網絡上日益豐富的病毒和黑客，也不能做出及時有效的系統更新，因為其較差的擴展能力無法滿足更新的相關要求，所以就需要對整個系統進行改造，這樣會大量增加投入成本.［3］

3 計算機入侵檢測技術相關問題的應對策略

3.1 加強程序算法的改進

目前，計算機入侵檢測技術主要采用的是Apriori算法，這種算法主要功能是對數據庫的數據進行分類和整理，算法的主要原理：首先，系統會對數據庫的數據容量進行檢測，根據數據的容量，制定出能夠處理數據的最大值和最小值，通常情況下，將數據的最大容量值設置為k，系統會將最小值設置為k-1，將最大值設置為k＋1，當最大值和最小值確定之后，數據庫內的數據就會成為系統的待選項目，然后，系統就會對待選項目進行整理，一般情況下的數據庫整理，這種算法都能夠比較從容的應對，不過當遇到處理能力較強的數據庫時，這種算法的處理能力就會降低，大量的待選項目會被積壓，導致處理效率的降低.針對這種問題的處理方法主要有兩種.第一，減少算法中最大值和最小值，比如將最大值設置為k＋2，將最小值設置為k，這就會將系統數據的總待選量減少，數據量的減少會加快系統的處理速度，在一定程度上能提高系統對數據庫的核算能力.第二、系統對數據處理進行處理的過程就是系統對數據進行掃描的過程，對掃描的過程進行適當的控制，也能提高系統處理數據的能力.

3.2 建立相關的模型

計算機入侵檢測系統的工作原理和常見殺毒軟件在表面上是比較相似的，都需要對計算機的程序運行做出反應.但是，計算機入侵技術的運行過程比較鮮明，大致的過程主要分以下幾個階段：首先，系統會對主機的配置和管理員日常的工作情況進行備份，也就是采集數據模塊；在數據備份完成之后，系統就會對采集而來的數據進行整理、分類以及存儲，這就是處理數據模塊；系統在對數據分析完成之后會對數據作進一步的處理和審核，我們稱之為挖掘數據模塊；最后系統根據數據的流動情況，對數據進行分析，我們稱之為檢測模塊.下面就對模塊建立的過程進行具體的分析：

3.2.1 采集數據模塊

采集數據的過程主要包括主機數據的采集和流動數據的采集，主機數據的采集就是對主機日常活動中存留的運行特征以及備忘日志進行采集，將采集而來的數據進行備份.流動數據的采集是對管理員操作過程中產生的數據、文件進行審計檢測，系統會根據檢測結果進行備份.

3.2.2 處理數據模塊

將采集數據模塊中的數據進行初步的加工和處理，然后，將粗糙的處理結果儲存，隨著程序的運行，儲存的結果流入到下一個階段.

3.2.3 挖掘數據模塊

將粗糙的數據模塊進行深層次的加工，使數據的格式、大小、來源、內容更加清晰，在對流動數據處理完成之后，需要將之前的主機數據提取出來，以待備用.將精加工的數據和提取出來的主機數據打包，傳到下一個階段模型.

3.2.4 入侵檢測模塊

系統或根據上述模塊處理而來的數據進行最后的比對，如果流動數據的相關信息不能符合主機數據的要求，系統就會發出警告.如果數據與主機數據特征相符，數據就會被放行，最終流入數據庫等待用戶的處理.

3.3 擴充數據庫的處理對象

想要全面提高數據庫的處理能力，首先要增加數據庫處理對象特點的研究，當病毒的類型和入侵手段都被技術人員破解并應用到數據監測系統當中，這就相當于為系統打上了病毒疫苗，只要該類病毒或者與該類病毒攻擊手段相似的病毒，系統的都能根據數據庫中存有的病毒類型做出及時有效的反應，這很大程度上提高了系統的處理能力和處理質量.但是這種方法對技術人員提出了比較大的挑戰，要求相關技術人員掌握不同類型、不同特點的病毒，并能對其做出破解，只有解決方法真正應用到檢測系統當中，才能對惡意攻擊做出有效的防御.

4 入侵檢測技術在實際中的應用

4.1 分布式數據庫系統

計算機數據庫系統防御外界入侵的主要方法，是通過對文件的檢測進行管理，正是基于文件的處理手段，對計算機數據庫進行了程序設計.黑客可以根據數據庫的這一特性，對文件進行修改、偽造，使其樣式與數據庫內部文件相符，從而打入到數據庫內部，實施資料的竊取行為，如果數據庫的安全程度能夠滿足相關標準的話，安全性會得到一定的提高.［4］分布式數據庫會改善傳統數據庫檢測能力較弱的缺點，提升數據庫的自身防御能力.

4.2 層次化數據庫系統

數據庫系統內在結構的復雜性，決定了其對數據的監測會有很多的盲區，特別是對一些品格好高的數據.因此，采用層次化的數據庫防御系統，可以提升數據庫的防御等級，當前一層防御被躲過之后，第二層防御就會進行監測，以此類推，數據庫防御層數越多，對內在數據的保護就會越好.

4.3 智能化數據庫系統

雖然智能化技術在目前的入侵檢測系統當中得到了比較廣泛的應用，但是實際檢測過程中仍然還有許多的盲區.加快智能化在數據庫系統中的應用不僅對于系統的內在防護具有重要影響，而且對宿主數據的保護應用上將更加方便快捷.另外，將智能化應用到設備擴展上，保證系統在未來發展中有更加廣闊的運作空間，節約改造成本.

5 結束語

要想實現計算機入侵檢測技術真正的飛躍，就不能一直處在被動的地位，技術人員應該充分發揮主觀能動性，將應對措施放在攻擊之前，這樣才能做到積極有效的保護.此外，國家要加大科研投入，為技術研發鋪路.

［1］李廣潤.計算機數據庫入侵檢測技術應用初探［J］.山西大同大學學報，2013（6）：17-18.

［2］蔡蘇亞.淺析計算機數據庫入侵檢測技術［J］.電子測試，2013（18）：72-73.

［3］于曉東.淺談計算機數據庫入侵檢測技術的應用與實踐［J］.計算機光盤軟件與應用，2012（7）：62.

［4］高旭明.入侵檢測技術在計算機數據庫中的應用［J］.南京曉莊學院學報，2012（4）：142.