計(jì)算機(jī)數(shù)據(jù)庫(kù)的入侵檢測(cè)技術(shù)

國(guó)華

計(jì)算機(jī)數(shù)據(jù)庫(kù)的入侵檢測(cè)技術(shù)作為一種信息技術(shù)，是保證數(shù)據(jù)安全的技術(shù)。本文主要以入侵檢測(cè)技術(shù)的相關(guān)認(rèn)識(shí)作為切入點(diǎn)，研究和分析入侵檢測(cè)技術(shù)相關(guān)模式。

【關(guān)鍵詞】計(jì)算機(jī)數(shù)據(jù)庫(kù) 層次化 入侵檢測(cè) 模型入侵檢測(cè) 技術(shù)探析

美國(guó)國(guó)家安全通信委員會(huì)下屬的入侵檢測(cè)小組在1997年給出的關(guān)于“入侵檢測(cè)”的定義為：入侵檢測(cè)是對(duì)企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過(guò)程。入侵檢測(cè)是信息安全技術(shù)手段之一，是檢測(cè)內(nèi)外部入侵行為的關(guān)鍵技術(shù)，主要依賴于能執(zhí)行入侵檢測(cè)任務(wù)和功能的系統(tǒng)。

1 入侵檢測(cè)技術(shù)的相關(guān)認(rèn)識(shí)

入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。當(dāng)下的入侵檢測(cè)系統(tǒng)主要有兩種，一種是基于主機(jī)的入侵監(jiān)測(cè)系統(tǒng)，另一種是基于網(wǎng)絡(luò)的入侵檢測(cè)系，兩種方式都是用于保護(hù)網(wǎng)絡(luò)系統(tǒng)不受破壞。入侵檢測(cè)的方式也有兩種，一種是誤用檢測(cè)，對(duì)不正常的行為建模，符合特征庫(kù)中描述的行為就被視力攻擊。另一種是異常檢測(cè)，對(duì)系統(tǒng)的正常的行為建模，若是行為建模存在一定的異常，則表現(xiàn)為該系統(tǒng)遭受攻擊或者懷疑攻擊。入侵檢測(cè)系統(tǒng)的主要是由采集模塊、分析模塊和、管理模塊三個(gè)部分組成。采集模塊主要是由數(shù)據(jù)搜集，并將這些數(shù)據(jù)放入系統(tǒng)中進(jìn)行分析。分析模塊主要是對(duì)相應(yīng)的數(shù)據(jù)進(jìn)行分析，從而給出相應(yīng)的判斷和相應(yīng)的懷疑值。管理模塊主要是根據(jù)分析的結(jié)果，系統(tǒng)自動(dòng)對(duì)相應(yīng)的問(wèn)題進(jìn)行決策。當(dāng)然，入侵檢測(cè)系統(tǒng)中還有其他模塊，諸如通信模塊、響應(yīng)模塊和數(shù)據(jù)存儲(chǔ)模塊等，從而保證系統(tǒng)的效率和作用。

2 入侵檢測(cè)技術(shù)相關(guān)模式

2.1 通用入侵檢測(cè)模式

隨著時(shí)代的發(fā)展，人們對(duì)于電腦系統(tǒng)的安全性問(wèn)題越來(lái)越關(guān)注。CIDF作為一種通用性的入侵檢測(cè)方式，是由美國(guó)計(jì)算機(jī)科學(xué)家Stuart Stanifor-Chen等人提出來(lái)的，這種技術(shù)非常具有實(shí)用性，主要是由響應(yīng)單元、事件數(shù)據(jù)庫(kù)、事件分析器、事件產(chǎn)生器組成。如見(jiàn)圖1。各個(gè)組件之間主要是以入侵檢測(cè)對(duì)象GIDO來(lái)實(shí)施CIDF消息數(shù)據(jù)的交互，CIDF一般是將IDS所需要分析的數(shù)據(jù)都統(tǒng)稱為事件，事件既可以是系統(tǒng)日志，也可以是網(wǎng)絡(luò)數(shù)據(jù)包。其形成的事件數(shù)據(jù)庫(kù)既可以表現(xiàn)為簡(jiǎn)單的文本，也可能是復(fù)雜的數(shù)據(jù)庫(kù)，是各種數(shù)據(jù)之間進(jìn)行聯(lián)系的關(guān)鍵系統(tǒng)。響應(yīng)單元雖然是簡(jiǎn)單的報(bào)警系統(tǒng)，還能改變文件屬性，做出數(shù)據(jù)切斷反應(yīng)，屬于功能單元，主要是針對(duì)分析結(jié)果作出相應(yīng)的反應(yīng)。事件產(chǎn)生器是整個(gè)事件的起源指出，能夠向其他部分提供相應(yīng)的事件信息，保證整個(gè)系統(tǒng)中能夠獲取這種事件信息。事件分析器是以事件信息作為基礎(chǔ)，分析和研究事件產(chǎn)生器的數(shù)據(jù)，同時(shí)準(zhǔn)確地獲取相關(guān)結(jié)果。在當(dāng)下環(huán)境中，相關(guān)的計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)產(chǎn)品大多數(shù)是以CIDF模型作為基礎(chǔ)，而CIDF模型仍是隨著數(shù)據(jù)安全的問(wèn)題的出現(xiàn)不斷發(fā)展和進(jìn)步的，可見(jiàn)，CIDF模型已是也入侵檢測(cè)系統(tǒng)的重要模型，如圖1所示。

2.2 層次化入侵檢測(cè)模型

這項(xiàng)模型是由Steven等人提出來(lái)的，屬于一種基于層次化的入侵檢測(cè)模型，將入侵檢測(cè)系統(tǒng)分為上下文層、安全狀態(tài)層、事件層、威脅層、主體層、數(shù)據(jù)層。IDM模型給出了全部安全假設(shè)過(guò)程，從被監(jiān)側(cè)環(huán)境到高層次的有關(guān)入侵，而不是過(guò)去那種分散的原始數(shù)據(jù)。通過(guò)將收集的相關(guān)數(shù)據(jù)加以加工抽象和數(shù)據(jù)關(guān)聯(lián)操作，虛擬出了一臺(tái)由主機(jī)和網(wǎng)絡(luò)構(gòu)成的機(jī)器環(huán)境，從而大大簡(jiǎn)化了對(duì)跨越單機(jī)的入侵行為的識(shí)別。數(shù)據(jù)層中，追要包含三方面的數(shù)據(jù)，分別是局域網(wǎng)監(jiān)視器結(jié)果、主機(jī)操作系統(tǒng)的審計(jì)記錄、第三方的審計(jì)軟件提供的數(shù)據(jù)。事件層主要是時(shí)間變化的固有特征和動(dòng)態(tài)特征，例如帶臺(tái)的會(huì)話、進(jìn)程執(zhí)行等。主體層主要是識(shí)別網(wǎng)絡(luò)中跨越多臺(tái)主機(jī)使用的用戶。上下層是說(shuō)明時(shí)間發(fā)生的所處在的環(huán)境。威脅層是根據(jù)濫用的特征和對(duì)象而形成的攻擊行為、誤用行為等。安全狀態(tài)層是以1-100之間的某個(gè)數(shù)值來(lái)表示網(wǎng)絡(luò)安全狀態(tài)，數(shù)值越大表示越不安全。

2.3 管理式入侵檢測(cè)模型

SNMP-IDSM是以SNMP作為公共語(yǔ)言來(lái)實(shí)現(xiàn)IDS之間進(jìn)行相應(yīng)的信息交換和協(xié)同檢測(cè)，主要是由于描述入侵事件的管理信息庫(kù)，能夠明確抽象事件和原始事件之間的復(fù)雜關(guān)系。IDSB主要是對(duì)最新的IDS事件和監(jiān)視主機(jī)B進(jìn)行請(qǐng)求操作，若是主機(jī)IDSA檢測(cè)到監(jiān)視主機(jī)出現(xiàn)相應(yīng)的攻擊行為，那么IDSB和IDSA兩者之間能夠很快地進(jìn)行聯(lián)系IDSA發(fā)送相應(yīng)的請(qǐng)求，在較短的時(shí)間內(nèi)會(huì)得到IDSB的響應(yīng)，從而有效地驗(yàn)證和尋找攻擊的來(lái)源。同時(shí)，IDSA會(huì)以MID腳本作為依據(jù)，迅速給IDSB發(fā)送有用的代碼，以這些代碼的形式對(duì)快速搜集用戶活動(dòng)。最后，以這些代碼的執(zhí)行結(jié)果進(jìn)一步確定入侵行為的主機(jī)所在位置的，IDSA就馬上和IDSC聯(lián)系，讓IDSC報(bào)告入侵事件，有效避免入侵事件的發(fā)生。

3 結(jié)語(yǔ)

入侵檢測(cè)技術(shù)是保證信息系統(tǒng)安全的關(guān)鍵技術(shù)，盡管入侵檢測(cè)技術(shù)發(fā)展比較晚，始于上個(gè)世紀(jì)80年代，屬于一種新型技術(shù)，但是由于電腦技術(shù)的不斷發(fā)展，新型的數(shù)據(jù)庫(kù)問(wèn)題層次不窮，因而研究和分析入侵檢測(cè)技術(shù)顯得至關(guān)重要。

參看文獻(xiàn)

[1]雷利香.計(jì)算機(jī)數(shù)據(jù)庫(kù)的入侵檢測(cè)技術(shù)探析[J].科技傳播，2015，14（12）：202+211.

[2]葉碧野.計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)探析[J].電腦知識(shí)與技術(shù)，2012，05（21）：1012-1014.

[3]苗斌.計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2014，06（06）：192+194.

作者單位

四川托普信息技術(shù)職業(yè)學(xué)院計(jì)算機(jī)系 四川省成都市 611743