- 相關(guān)推薦
入侵檢測技術(shù)在數(shù)據(jù)庫系統(tǒng)的應(yīng)用
摘要:入侵檢測是檢測和識別針對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的非法攻擊或違反安全策略事件的過程。數(shù)據(jù)庫入侵檢測系統(tǒng)的研究與設(shè)計借鑒了針對網(wǎng)絡(luò)和針對主機的入侵檢測技術(shù),又考慮了數(shù)據(jù)庫自身的特點。關(guān)鍵詞:入侵檢測入侵分析數(shù)據(jù)庫系統(tǒng)
傳統(tǒng)的數(shù)據(jù)庫安全機制以身份認(rèn)證和存取控制為重點,是一種以預(yù)防為主的被動安全機制,無法滿足日益增長數(shù)據(jù)庫對安全的需要。近年來對數(shù)據(jù)庫入侵檢測機制的研究受到了廣泛關(guān)注和重視。通過建立異常檢測機制,有效地發(fā)現(xiàn)用戶在使用數(shù)據(jù)庫過程中可能發(fā)生的入侵和攻擊,以期達到保護數(shù)字圖書館數(shù)據(jù)庫安全的目的。
1、入侵檢測簡介
入侵檢測是檢測和識別針對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng),或者更廣泛意義上的信息系統(tǒng)的非法攻擊,或者違反安全策略事件的過程。它從計算機系統(tǒng)或者網(wǎng)絡(luò)環(huán)境中采集數(shù)據(jù),分析數(shù)據(jù),發(fā)現(xiàn)可疑攻擊行為或者異常事件,并采取一定的響應(yīng)措施攔截攻擊行為,降低可能的損失。在入侵檢測系統(tǒng)中,系統(tǒng)將用戶的當(dāng)前操作所產(chǎn)生的數(shù)據(jù)同用戶的歷史操作數(shù)據(jù)根據(jù)一定的算法進行檢測,從而判斷用戶的當(dāng)前操作是否屬于入侵行為,然后系統(tǒng)根據(jù)檢測結(jié)果采取相應(yīng)的行動。入侵檢測作為一種積極主動的安全防護技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測系統(tǒng)能很好地彌補防火墻的不足,從某種意義上說是防火墻的補充。入侵檢測技術(shù)是計算機安全技術(shù)中的重要部分,它從計算機系統(tǒng)中的若干關(guān)鍵點收集信息,并分析這些信息,檢測計算機系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測系統(tǒng)在幾乎不影響計算機系統(tǒng)性能的情況下能對計算機系統(tǒng)進行實時監(jiān)測,并對系統(tǒng)提供針對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。入侵檢測技術(shù)通過對入侵行為的過程與特征的研究,使安全系統(tǒng)對入侵事件和入侵過程能做出實時響應(yīng)。入侵檢測技術(shù)擴展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。
2、入侵檢測技術(shù)分類
。1)從數(shù)據(jù)的來源看
入侵檢測通?梢苑譃閮深:基于主機的入侵檢測和基于網(wǎng)絡(luò)的入侵檢測;谥鳈C的入侵檢測通常從主機的審計記錄和日志文件中獲得所需的主要數(shù)據(jù)源,并輔之以主機上的其他信息,例如文件系統(tǒng)屬性、進程狀態(tài)等,在此基礎(chǔ)上完成檢測攻擊行為的任務(wù);诰W(wǎng)絡(luò)的入侵檢測通過監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)包來獲得必要的數(shù)據(jù)來源,并通過協(xié)議分析、特征匹配、統(tǒng)計分析等手段發(fā)現(xiàn)當(dāng)前發(fā)生的攻擊行為。從數(shù)據(jù)分析手段來看,入侵檢測通常又可以分為兩類:誤用入侵檢測和異常入侵檢測。誤用檢測的技術(shù)基礎(chǔ)是分析各種類型的攻擊手段,并找出可能的“攻擊特征”集合。誤入侵檢測的定義為:識別針對計算機或網(wǎng)絡(luò)資源的惡意企圖和行為,并對此做出反應(yīng)的過程。入侵檢測系統(tǒng)則是完成如上功能的獨立系統(tǒng)。入侵檢測系統(tǒng)能夠檢測未授權(quán)對象,針對系統(tǒng)的入侵企圖或行為,同時監(jiān)控授權(quán)對象對系統(tǒng)資源的非法操作。
。2)從數(shù)據(jù)分析手段看
入侵檢測通?梢詢深悾簽E用入侵檢測和異常入侵檢測。濫用入侵檢測的技術(shù)基礎(chǔ)是分析各種類型的攻擊手段,并找出可能的“攻擊特征”集合形成特征庫或者模式庫,濫用入侵檢測利用形成的特征庫,對當(dāng)前的數(shù)據(jù)來源進行各種分析處理后,再進行特征匹配或者規(guī)則匹配工作,如果發(fā)現(xiàn)滿足條件的匹配,則指示已經(jīng)發(fā)生了一次攻擊行為然后入侵檢測系統(tǒng)的響應(yīng)單元做出相應(yīng)的處理。異常入侵檢測是通過觀察當(dāng)前活動與系統(tǒng)歷史正;顒忧闆r之間的差異來實現(xiàn)。這就需要異常入侵檢測建立一個關(guān)于系統(tǒng)正;顒拥臓顟B(tài)模型并不斷更新,然后將用戶當(dāng)前的活動情況與這個正常模型進行對比,如果發(fā)現(xiàn)了超過設(shè)定值的差異程度,則指示發(fā)現(xiàn)了非法攻擊行為。
相比較而言,濫用入侵檢測比異常入侵檢測具備更好的確定解釋能力,即明確指示當(dāng)前發(fā)生的攻擊手段類型,另外,濫用入侵檢測具備較高的檢測率和較低的虛警率,開發(fā)規(guī)則庫和特征集合相對于建立系統(tǒng)正常模型而言,要更容易、更方便。但是,濫用入侵檢測只能檢測到已知的攻擊模式,模式庫只有不段更新才能檢測到新的攻擊類型。而異常檢測的優(yōu)點是可以檢測到未知的入侵行為,盡管可能無法明確指示是何種類型。從現(xiàn)有的實際系統(tǒng)來看,大多數(shù)都是基于濫用入侵檢測技術(shù),同時也結(jié)合使用異常入侵檢測技術(shù),提高了檢測率并降低了虛警率。
3、數(shù)據(jù)庫系統(tǒng)的安全
數(shù)據(jù)庫系統(tǒng)的安全框架可分為三個層次:網(wǎng)絡(luò)系統(tǒng)層次、宿主操作系統(tǒng)層次和數(shù)據(jù)庫管理系統(tǒng)層次。由于數(shù)據(jù)庫系統(tǒng)在操作系統(tǒng)下都是以文件形式進行管理的,因此入侵者可以直接利用操作系統(tǒng)的漏洞竊取數(shù)據(jù)庫文件,或者直接利用OS 工具來非法偽造、篡改數(shù)據(jù)庫文件內(nèi)容。因此,數(shù)據(jù)庫系統(tǒng)的安全性很大程度上依賴于數(shù)據(jù)庫管理系統(tǒng)。如果數(shù)據(jù)庫管理系統(tǒng)安全機制非常強大,則數(shù)據(jù)庫系統(tǒng)的安全性能就較好。根據(jù)數(shù)據(jù)庫安全的三個層次,筆者提出了一個數(shù)據(jù)庫入侵檢測系統(tǒng),其外層用基于網(wǎng)絡(luò)的入侵檢測,中間層用基于主機的入侵檢測,內(nèi)層采用入侵容忍。此系統(tǒng)采用系統(tǒng)整體安全策略,綜合多種安全措施,實現(xiàn)了系統(tǒng)關(guān)鍵功能的安全性和健壯性。
4、數(shù)據(jù)庫入侵檢測技術(shù)
數(shù)據(jù)庫入侵檢測系統(tǒng)的研究與設(shè)計借鑒了針對網(wǎng)絡(luò)和針對主機的入侵檢測技術(shù),在此基礎(chǔ)上,又考慮了數(shù)據(jù)庫自身的特點。按照檢測方法分為: 誤用檢測和反常檢測。
。1)數(shù)據(jù)庫誤用檢測
誤用檢測是指將已知的攻擊特征存儲在誤用特征知識庫里面,然后根據(jù)用戶的當(dāng)前操作行為與知識庫里的誤用入侵規(guī)則進行匹配檢驗,如果符合知識庫中的入侵特征,則說明發(fā)生了入侵。誤用特征知識庫中的入侵規(guī)則由安全專家定義,可以隨時添加、修改,然后保存在知識庫中,用來對審計數(shù)據(jù)進行匹配比較。誤用檢測的優(yōu)點是檢測的準(zhǔn)確率高,缺點是只能對已知的攻擊特征進行匹配檢驗,對未知的攻擊類型無法發(fā)現(xiàn),而對未知攻擊類型的檢測要依靠異常檢測。所以,誤用檢測常常與異常檢測結(jié)合起來使用。
。2)數(shù)據(jù)庫反常入侵檢測
反常檢測是指將用戶正常的習(xí)慣行為特征存儲在特征數(shù)據(jù)庫中,然后將用戶當(dāng)前行為特征與特征數(shù)據(jù)庫中的特征進行比較,若兩者偏差足夠大,則說明發(fā)生了反常。這種方法的優(yōu)勢在于它能從大量數(shù)據(jù)中提取人們感興趣的、事先未知的知識和規(guī)律,而不依賴經(jīng)驗,應(yīng)用在基于數(shù)據(jù)庫的入侵檢測系統(tǒng)中,可以從大量的數(shù)據(jù)中發(fā)現(xiàn)有助于檢測的知識和規(guī)則。
【入侵檢測技術(shù)在數(shù)據(jù)庫系統(tǒng)的應(yīng)用】相關(guān)文章:
入侵檢測在網(wǎng)絡(luò)安全中的應(yīng)用問題論文04-28
論述基于高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的思考08-25
鉭鈮鈹加工材中的無損檢測技術(shù)及其應(yīng)用超聲波的論文05-24
關(guān)于計算機網(wǎng)絡(luò)入侵報警系統(tǒng)技術(shù)的研究08-22
信息技術(shù)在美術(shù)教學(xué)中的應(yīng)用05-30
分析基于現(xiàn)網(wǎng)的OTN技術(shù)應(yīng)用06-11
虛擬現(xiàn)實技術(shù)應(yīng)用研究06-09
圖書館新技術(shù)的發(fā)展與應(yīng)用06-07