IDS入侵检测及对数据库系统应用.docVIP

IDS入侵检测及对数据库系统应用 　　摘#8195;要IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。通过对IDS的研究应用到数据库系统，对数据库进行数据分析。 　　关键词入侵检测；数据库系统；IDS 　　中图分类号TP文献标识码A文章编号1673-9671-(2011)072-0109-01 　　 　　入侵检测技术是近20年来出现的一种主动保护自己以免受入侵者攻击的网络安全技术在不影响网络性能的情况下对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。 　　传统的数据库安全机制以身份认证和存取控制为重点，是一种以预防为主的被动安全机制，无法满足日益增长数据库对安全的需要。近年来对数据库入侵检测机制的研究受到了广泛关注和重视。通过建立异常检测机制，有效地发现用户在使用数据库过程中可能发生的入侵和攻击，以期达到保护数据库安全的目的。 　　1入侵检测原理 　　1）什么是入侵检测系统。入侵检测系统（Intrusion Detection System）以后简称IDS就是对网络或操作系统上的可疑行为做出策略反应，及时切断资料入侵源、记录、并通过各种途径通知网络管理员，最大幅度地保障系统，是的合理 补充，帮助系统对付网络攻击，扩展系统管理员的管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性，被认为是之后的第二道安 全闸门，它在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护, 最大幅度地保障系统安全。它在网络安全技术中起到了不可替代的作用，是安全防御体系的一个重要组成部分。如果说防火墙是一栋大楼的门锁，那IDS就是这栋大楼的监视系统。 　　2）入侵检测系统的作用。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，所关注流量指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。 　　主要作用：①实用检测：实时地监视，分析网络中所有的数据报文，发现并实时处理所捕获的数据报文；②安全审计：对系统记录的网络事件进行统计分析，发现异常现象得出系统的安全状态，找出所需证据；③主动响应：主动切断连接或与防火墙联动，调用其他程序处理。 　　3）入侵检测的分类。 　　根据所采用的技术分为：①异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为；②特征检测：特征检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。 　　根据检测对象分：①基于网络的系统：这种ID放置于网络之上，靠近被检测的系统，它们监测网络流量并判断是否正常；②基于主机的系统：这种系统经常运行在被监测的系统之上，用以监测系统上正在运行的进程是否合法。我还想补充最近出现的一种ID：位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。 　　根据系统的工作方式分为：①离线检测系统；②在线检测系统。 　　根据检测原理可分为：异常检测和误用检测。 　　4）工作原理。首先，入侵检测系统要收集信息，包括系统、网络、数据及用户活动的状态和行为。 　　并且需要在系统中的不同关键点（网段和主机）收集信息，这样做的理由就是从一个来源的信息有可能看不出疑点，如：系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。 　　其次，对收集到的上述信息，通过三种手段进行分析：①模式匹配：用于实时的入侵检测；②统计分析：用于实时的入侵检测；③完整性分析：用于随时分析。 　　最后，通过分析作出响应和警报，并基于规则进行入侵检测。 　　此外，我们还可以通过假设入侵者活动异常于正常主体的活动，据此制定主体正常活动的“活动阀值”，把检测到的活动与“活动阀值”相比较看是否违反统计规律，通过这样的方式进行检测。 　　2入侵检测技术应用于数据库系统 　　2.1 数据库安全 　　数据库系统的安全除依赖自身内部的安全机制外，还与外部网络环境、应用环境、从业人员素质等因素息息相关，因此，从广义上讲，数据库系统的安全框架可以划分为三个层次： 　　1）网络系统层