計算機數據庫的入侵檢測技術

國華

計算機數據庫的入侵檢測技術作為一種信息技術，是保證數據安全的技術。本文主要以入侵檢測技術的相關認識作為切入點，研究和分析入侵檢測技術相關模式。

【關鍵詞】計算機數據庫 層次化 入侵檢測 模型入侵檢測 技術探析

美國國家安全通信委員會下屬的入侵檢測小組在1997年給出的關于“入侵檢測”的定義為：入侵檢測是對企圖入侵、正在進行的入侵或者已經發生的入侵進行識別的過程。入侵檢測是信息安全技術手段之一，是檢測內外部入侵行為的關鍵技術，主要依賴于能執行入侵檢測任務和功能的系統。

1 入侵檢測技術的相關認識

入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。當下的入侵檢測系統主要有兩種，一種是基于主機的入侵監測系統，另一種是基于網絡的入侵檢測系，兩種方式都是用于保護網絡系統不受破壞。入侵檢測的方式也有兩種，一種是誤用檢測，對不正常的行為建模，符合特征庫中描述的行為就被視力攻擊。另一種是異常檢測，對系統的正常的行為建模，若是行為建模存在一定的異常，則表現為該系統遭受攻擊或者懷疑攻擊。入侵檢測系統的主要是由采集模塊、分析模塊和、管理模塊三個部分組成。采集模塊主要是由數據搜集，并將這些數據放入系統中進行分析。分析模塊主要是對相應的數據進行分析，從而給出相應的判斷和相應的懷疑值。管理模塊主要是根據分析的結果，系統自動對相應的問題進行決策。當然，入侵檢測系統中還有其他模塊，諸如通信模塊、響應模塊和數據存儲模塊等，從而保證系統的效率和作用。

2 入侵檢測技術相關模式

2.1 通用入侵檢測模式

隨著時代的發展，人們對于電腦系統的安全性問題越來越關注。CIDF作為一種通用性的入侵檢測方式，是由美國計算機科學家Stuart Stanifor-Chen等人提出來的，這種技術非常具有實用性，主要是由響應單元、事件數據庫、事件分析器、事件產生器組成。如見圖1。各個組件之間主要是以入侵檢測對象GIDO來實施CIDF消息數據的交互，CIDF一般是將IDS所需要分析的數據都統稱為事件，事件既可以是系統日志，也可以是網絡數據包。其形成的事件數據庫既可以表現為簡單的文本，也可能是復雜的數據庫，是各種數據之間進行聯系的關鍵系統。響應單元雖然是簡單的報警系統，還能改變文件屬性，做出數據切斷反應，屬于功能單元，主要是針對分析結果作出相應的反應。事件產生器是整個事件的起源指出，能夠向其他部分提供相應的事件信息，保證整個系統中能夠獲取這種事件信息。事件分析器是以事件信息作為基礎，分析和研究事件產生器的數據，同時準確地獲取相關結果。在當下環境中，相關的計算機數據庫入侵檢測產品大多數是以CIDF模型作為基礎，而CIDF模型仍是隨著數據安全的問題的出現不斷發展和進步的，可見，CIDF模型已是也入侵檢測系統的重要模型，如圖1所示。

2.2 層次化入侵檢測模型

這項模型是由Steven等人提出來的，屬于一種基于層次化的入侵檢測模型，將入侵檢測系統分為上下文層、安全狀態層、事件層、威脅層、主體層、數據層。IDM模型給出了全部安全假設過程，從被監側環境到高層次的有關入侵，而不是過去那種分散的原始數據。通過將收集的相關數據加以加工抽象和數據關聯操作，虛擬出了一臺由主機和網絡構成的機器環境，從而大大簡化了對跨越單機的入侵行為的識別。數據層中，追要包含三方面的數據，分別是局域網監視器結果、主機操作系統的審計記錄、第三方的審計軟件提供的數據。事件層主要是時間變化的固有特征和動態特征，例如帶臺的會話、進程執行等。主體層主要是識別網絡中跨越多臺主機使用的用戶。上下層是說明時間發生的所處在的環境。威脅層是根據濫用的特征和對象而形成的攻擊行為、誤用行為等。安全狀態層是以1-100之間的某個數值來表示網絡安全狀態，數值越大表示越不安全。

2.3 管理式入侵檢測模型

SNMP-IDSM是以SNMP作為公共語言來實現IDS之間進行相應的信息交換和協同檢測，主要是由于描述入侵事件的管理信息庫，能夠明確抽象事件和原始事件之間的復雜關系。IDSB主要是對最新的IDS事件和監視主機B進行請求操作，若是主機IDSA檢測到監視主機出現相應的攻擊行為，那么IDSB和IDSA兩者之間能夠很快地進行聯系IDSA發送相應的請求，在較短的時間內會得到IDSB的響應，從而有效地驗證和尋找攻擊的來源。同時，IDSA會以MID腳本作為依據，迅速給IDSB發送有用的代碼，以這些代碼的形式對快速搜集用戶活動。最后，以這些代碼的執行結果進一步確定入侵行為的主機所在位置的，IDSA就馬上和IDSC聯系，讓IDSC報告入侵事件，有效避免入侵事件的發生。

3 結語

入侵檢測技術是保證信息系統安全的關鍵技術，盡管入侵檢測技術發展比較晚，始于上個世紀80年代，屬于一種新型技術，但是由于電腦技術的不斷發展，新型的數據庫問題層次不窮，因而研究和分析入侵檢測技術顯得至關重要。

參看文獻

[1]雷利香.計算機數據庫的入侵檢測技術探析[J].科技傳播，2015，14（12）：202+211.

[2]葉碧野.計算機數據庫入侵檢測技術探析[J].電腦知識與技術，2012，05（21）：1012-1014.

[3]苗斌.計算機數據庫入侵檢測技術研究[J].計算機光盤軟件與應用，2014，06（06）：192+194.

作者單位

四川托普信息技術職業學院計算機系 四川省成都市 611743