計算機數據庫的入侵檢測技術探析

徐曉暉

摘 要 社會處于不斷的發展之中，計算機行業也是一樣，可以說是日新月異。目前的手機通信和自動化辦公系統的應用已經非常的廣泛。計算機數據庫得到了廣泛的應用，與此同時，計算機數據庫遭到入侵的狀況也屢屢發生，筆者就計算機數據庫的入侵檢測技術進行分析和探討，希望對提高數據庫的安全性具有一定的幫助。

關鍵詞 計算機；數據庫；入侵；技術

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）05-0117-01

數據庫于20世紀70年代誕生于美國，經過幾十年的發展越來越成熟，已經成為國家經濟發展的科技進步的一個重要的工具。在數據庫的作用下，信息化的進程在不斷的加快，企業的管理工作也在不斷的提高。據有關部門的統計，目前我國的數據庫數量已經達到1038個。數據庫的英文是Database，其可以被看作是一個大的倉庫，對數據進行儲存、管理以及組織。數據庫在對數據進行處理時是按照數據的結構出發的。目前，數據庫系統的應用越來越廣泛，已經深入到企業、政府、學校等單位的信息管理中，發揮著重要的作用。然而，在使用的同時也會出現一些問題，比如：遭到入侵，這時就需要使用入侵檢測技術來對數據庫系統加以保護，使其更便捷、安全、更智能。

1 入侵檢測的介紹

數據庫中會存放大量的資料，這些資料關乎個人以及單位的隱私和信息，有的不法分子為了獲取到這些信息往往會對數據庫進行攻擊，這時就需要使用入侵檢測技術來對數據庫的安全進行保駕護航。網絡動作會發生異常的狀況，有的數據庫會遭到攻擊，這時檢測系統和檢測技術就會對此作出回應。入侵檢測技術一般會設立一些信息認證或者是多重的關卡，這樣檢測的目的就會達到。在一般情況下，入侵檢測技術會設置網絡陷阱，這些網絡陷阱主要分布在數據庫中的一些關鍵點上面。這樣，當計算機數據被人為因素或者是病毒進行襲擊的時候，該技術就可以完成對數據的收集以及分析。在此基礎上，一些違反安全策略的跡象以及行為就會無處遁逃。

我們可以看到入侵檢測技術屬于一種安全保護技術，該技術可以對計算機數據庫資料進行保護，保證網絡資源處于安全，不被攻擊。計算機的防火墻往往會被攻破，有的會被繞開，此時使用該技術可以很快的發現侵入行為，對該種惡意行為進行阻止，將其消除在萌芽之中。入侵檢測技術在發現問題的同時會針對破壞和盜竊行為采取有力的措施，這些措施包括：對IP進行封掉、切斷連接，此外還會進行報警。可以說，網絡系統的安全和穩定均離不開這些措施。

2 主要入侵檢測技術的介紹

1）誤用檢測技術。該技術會對以下情況進行有效檢測：病毒、攻擊的模式以及非法入侵活動。系統會對檢測方法進行假定。誤用檢測技術會使用一種模式或者是特征來對侵入的病毒以及入侵活動開展表達。該技術會從現有的入侵行為出發，對其分析之后會構建特性模型。在此情況下，檢測行為就發生了轉變，也就是匹配搜素有關模式或者是特點。

2）異常檢測技術。和誤用檢測技術相比，異常檢測技術使用的范圍比較寬。在使用該檢測技術時，假如入侵行為和正常用戶的惡意活動有區別，那么會對這些行為特征進行分析，之后就會對框架以及模型進行構建。如果用戶活動狀態的數量和正常的情況不一樣，就說明其和統計規律是相反的，也就是說其屬于入侵行為的范疇。異常檢測技術無論是在敏感度還是在使用范圍方面都比誤用檢測技術要強大的多。

3）具體應用—基于日志的入侵檢測技術。IIS服務系一般會遇到不法分子的襲擊，這些不法分子一般會對不同種類的信息進行整理和收集。之后，會使用專業的掃面工具來對系統存在的安全漏洞進行查找和攻擊。但是，在平常的默認狀況下，對各類型本地系統訪問行為的自動記憶是由日志功能完成的。用戶名、客戶端IP地址和被掃描的服務器端口號碼都在日志中蘊藏，因此在對有關的內容進行分析后就可以對IIS服務器系統是不是存在安全隱患進行判斷了。具體的步驟是：①對本地系統對應的日志文件進行查看，進行一下單擊行為：開始、設置、控制面板。這些單擊行為要嚴格按照順序進行；②對控制面板窗口中的“管理工具”進行雙擊，當彈出對話框后進行“事件查看器”雙擊。在以上的操作完成后，我們就可以進入到系統的查看器窗口；③查看系統日志和安全日志的位置：整個界面左側位置的子窗格中。

此外，我們可以將日志文件打開，相對應ID的事件記錄就會看到，故障的位置就找到了。對于一些通信工具來說，其通信應用程序會自動形成日記記錄，對登錄狀況也會進行保存，因此我們可以很容易找出問題。

3 目前入侵檢測出現的弊端

由于入侵檢測技術在我國使用的時間不長，還處于探索期，因此不是那么的成熟，出現了一些問題，比如：檢測系統有待進一步的完善，發展也不是那么的迅速。有的新技術還處于研究的階段，而新的檢測理論發展也比較緩慢，也就產生了問題和弊端。

1）誤報率比較高。由于數據庫系統很龐大，里面包含了難以計數的數據，因此檢測系統在檢測時往往會有漏洞，造成漏報的現象。此外，誤報的狀況也不時發生。有的檢測技術為了提高檢測率，認為“寧可錯殺三千，不能放過一個”，因此在檢測時設置了多項關卡。這時，如果有非外界攻擊行為發生，那么該技術也認為其屬于入侵行為，造成誤檢。

2）檢測效率方面。無論是數據入侵還是反入侵，一個前提條件是：數據計算。而數據計算是建立在二進制編碼的基礎之上的。因此，入侵需要的計算量很大，檢測的計算也是一樣。這就造成檢測效率比較低的現象。

3）自身防護性能方面。自我防御功能在目前的檢測技術中比較欠缺，這既和系統問題有關系，又和設計人員有關。因此，當檢測技術遇到攻擊時，那么全部系統的運作就會混亂，造成癱瘓。這樣，后果是十分嚴重的，有的無法對入侵行為進行記錄，有的系統則再在此時會被攻破，數據庫的安全性性得不到保障，用戶隱私和信息就會泄露。

4）可擴展性方面。入侵檢測技術自身不能實現升級，也就說當其安裝在計算機上時，就會固定不變，不會自動的更新。而計算機病毒卻是常常變化的，因此不會自動的更新的入侵檢測技術是難以應對變化無常的網絡病毒的。因此，可維護性差，需要不斷的進行升級和自我的更新，改變缺乏機動性的現狀。

4 結束語

筆者對目前的入侵檢測技術進行了分析和介紹，并提到了弊端，這就需要研發人員不斷的探索，提高檢測技術水平，這樣數據庫安全才能得到保證。

參考文獻

[1]葛立，牛君蘭.入侵檢測技術在校園數據安全中的應用[J].內蒙古科技與經濟，2010（22）.endprint