计算机数据库入侵检测技术剖析.docVIP

计算机数据库入侵检测技术剖析 　　摘 要： 网络入侵检测技术是从网络安全的角度对内部攻击、外部攻击以及其自身的错误操作引起的安全防护技术，随着计算机和网络技术的不断发展，入侵检测不能仅仅停留在原先的研究和实验阶段，越来越多的网络安全问题受到人们的高度重视，将对入侵检测技术相关领域进行阐述，以期给相关从业人员借鉴和参考。 　　关键词： 计算机网络；数据库；数据库入侵技术；应对措施 　　1 对网络入侵检测技术的认识 　　网络入侵技术最初被提出是在上世纪80年代，由乔治敦大学的DorothyDenning和SRI公司计算机科学实验室的PeterNeum 　　ann针对计算机存在的安全威胁，共同研究出一套能够实时监测入侵的模型即IDES（Intrusion Detection Expert Systems）入侵监测专家系统，在捕获TCP/IP分组信息时，第一次提出直接将网络流作为审计数据来源来监控主机异常，网络入侵技术从此诞生。 　　2 数据库存在的安全机制缺陷 　　现有的数据库安全机制尽管具有一定的抵制外来入侵的能力，但其自身的一些缺陷，却不能确保数据库的安全。通过建立数据库入侵检测过程，从事件产生器、入侵检测规则库、事件分析器、响应单元等组成部分分析入手，分析基于数据库的访问机制主要以下几种缺陷。 　　2.1 对数据库账号的管理权限的使用不当 　　数据库管理的通常采用分级权限制度，管理员作为数据库的直接管理者，在对数据库进行工作的时候，由于缺乏必要的管理权限监控措施，导致管理员的因疏忽而致的信息泄露、数据篡改等现象，为企业数据库安全造成了致命的后果。 　　2.2 对数据库自身的日志审计缺少必要的防范措施 　　对数据库的实时监测是数据库管理中重要的工作内容，通常数据库系统自身的日志审计功能能够实时记录数据库系统的日常工作情况，包括数据的修改，权限的变更等，由于对数据库异常事件的报告不能实现准确的定位，或者无法第一时间报告管理者，如此导致的数据管理滞后也是对数据安全的重要威胁。 　　2.3 对数据库身份认证机制存在的缺陷 　　数据库系统本身所提供的用户身份要求用户提供正确的登录账号和口令才能对数据库进行有效的操作，如果对账号和口令没有进行有效的监控，很容易导致非法用户对数据库造成非法登录，篡改或破坏数据安全。 　　3 对网络入侵数据模型的分析 　　为了有效提高网络入侵检测技术的互操作性，由CIDF（Common Intrusion Detection Framework）对入侵检测系统（IDS）建立了通用的模型，即事件产生器（Event generators）、事件分析器（Event analyzers）、响应单元（Responseunits）、事件数据库（Event databases），我们从技术上对入侵检测模型进行划分主要有异常检测模型（Anomaly Detection）和误用检测模型（Misuse Detection）两种。 　　3.1 异常检测模型（Anomaly Detection） 　　当用户的活动与正常的行为存在较大偏离时即被认定为入侵的形成，这样监测模型通过定义可接受的行为和不可接受的行为来分析两者之间的偏差，建立一个由正常操作组成的用户行为特征库来实现。异常检测模型的特点是漏报率低，误报率高。 　　3.2 误用检测模型（Misuse Detection） 　　与异常检测模型不同，误用检测模型主要是对定义所有的不可接受的行为，并将其收集成非正常操作的行为特征库，将检测到系统异常参数与特征库里的记录进行匹配比较，如果与行为特征库相似则表明存在风险。误用检测模型能够对自身已知的非正常行为作出快速的判断和准备的报告，而对未知的攻击行为因为不能与误用特征库里的非法行为无法实现比较，则无法实现准确检测，因此误报率低，漏报率却高。 　　4 基于网络引擎的网络入侵检测技术设计 　　4.1 数据包的截获技术 　　我们知道，基于网络引擎主要是在windows NT平台上，通过分析网络上传输的数据包，来检测是否存在入侵行为。网络引擎主要包含数据包截获、协议分析、数据分析，为了提高网络引擎的检测速度和准确度，有时候需要过滤网络上的一些数据包，对数据包进行过滤的效率决定着网络监听的有效性，因为在过滤网络上的数据包时，都要用到数据过滤模块，在反复的过滤中，很容易丢失网路上的数据包，一旦构成数据包的大量丢失，则影响到整个网络传输的效率，为此，我们专门为数据监听而开发出相应的程序包，以Winpcap模块为例，通过内置的BPF过滤机制和许多接口函数，这些函数和过滤策略不仅能够快速实现监听，避免了重复开发软件的难度，Winpcap模块是由一个数据包监听设备驱动程序组成，针对不同的应用，Winpcap都能按照预先设置的算法进行自动工作。该模块主要