入侵检测技术在数据库中的应用及实践探讨

2014-12-17钟云胜

四川文理学院学报 2014年2期

钟云胜

（四川文理学院国资处，四川达州635000）

0 引言

计算机作为第三次科技革命的产物，在20世纪90年代引进到了中国.伴随着20多年的发展历程，计算机已经成为人们家庭和工作中必不可少的工具.计算机在普及的同时，也带动了计算机技术的发展，近年来，入侵技术作为计算机技术中的高端领域，日益成为黑客入侵用户系统、盗取用户资料的相关工具，给国家、社会以及用户带来了巨大的经济损失和信息安全.为了减少同类现象在今后发生的可能性，加快数据库入侵技术的研发已经变得非常紧迫.

1 入侵检测技术

1.1 入侵检测技术的概述

入侵检测技术是指当数据进入到网络当中时，技术系统会根据数据的格式、大小、内容，进行全方位的检测.检测合格对系统无不良企图的数据，技术系统会放其进入下一个网段；检测不合格对系统存在恶意的数据，系统会发出报警信号，并根据系统管理者的指令，做出阻挡、清理或者放行地行为.［1］这种技术能够很好的弥补杀毒软件或者防火墙存在的缺陷，将网络攻击者隔离到网络之外，在网络安全保护程度较高的部门、网站或者用户中应用还是比较广泛的，入侵检测技术的保护不仅仅包括对恶意行为的防护，对于一些网络中的试探性行为，系统也会发出警告.下图就是入侵检测技术的工作原理：

1.2 入侵检测技术的功能

用户在使用计算机进行工作时，系统会对计算机的整体运行情况进行监视，当计算机运行程序出现不正常活动时，系统就会发出警报；入侵系统不同于传统的防火墙技术，它可以对计算机程序的缺点进行审计，审计的主要内容是对计算机使用人员的日常活动进行记录，系统会根据计算机使用人员日常活动的特点对系统运行进行分析，当程序运行的方式与管理员的日常工作情况特点不符，系统就会介入到程序当中，对数据进行检测；系统自身会带有报警系统，针对程序运行当中的不合理情况，系统会将检测出来的异常原因发送给系统管理者，管理者再根据实际情况对系统下发指令；管理系统作为入侵系统的大脑会对系统的整体运行发出指令，系统的工作程序会受到管理系统的监督，当系统的某些程序没有正常工作时，管理系统会及时采取解决措施，防止程序的损坏影响到整个系统的正常运行.

1.3 入侵检测技术的重要性

计算机入侵检测系统在网络防护中的应用取得了不错的进展，特别是在近几年来，随着计算机技术的普及以及计算机入侵事件的频繁发生，都加速了入侵检测技术的发展进度.但是社会依旧在进步，人才相比于以前会更加的专业，黑客入侵技术将不断的被更新，这就对入侵检测系统的更新速度提出了很大的挑战.

现在的入侵检测系统主要包括两种技术，第一种是对网络的防护.网络是数据、信息上传和下载的来源，检测系统会对网络的相关资源进行检测、分析、比对，然后将没有恶意的文件存留下来，提供给用户进行浏览或者下载.从这种防护方式来看，这种方法更加注重的是对源头的保护，它可以将网络防护的范围扩大，一次检测，终身受益.［2］但是，这种保护也存在着一定的缺点，网络的不断扩展会为大面积的检测提供很大的难度，另外，这种一步到位的方式，难免会留下一定的隐患，试想如果某种入侵技术躲避掉了检测系统的检查，那么这种整体传播广阔、局部防御不高的手段，会造成更大的危害.第二种保护的系统是对主机的保护.这种防护只是局部性的保护，防护的程度肯定是不能和网络防护相提并论了，由于高额的成本投入并不是小户家庭或者小型企业所能承受的，所以注定其防护范围仅仅局限于一些高端群体，防护的整体性效果不如网络防护来的直接.

2 入侵检测技术存在的问题

虽然计算机技术在中国有了比较长的发展时间，但是由于入侵检测系统也是近几年才被提出并应用在实际当中的，其技术水平还远远没有达到国际的先进水平.其推广较为缓慢，主要是存在着一些技术上的原因，能否做好相关的技术研究，对入侵检测系统在未来的发展具有重要影响.

2.1 误报情况出现频繁

军队、政府或者大型企业一般会采用入侵检测技术来对数据进行保护，主要原因在于数据的机密程度较高，一旦数据泄露就会造成巨大的经济损失或者社会影响.入侵检测系统的应用对象的重要程度决定了其安全防护必须要达到极高的标准，想要提高安全防护的要求，肯定会造成系统检测渠道的冗长和程序的复杂化.深入骨髓的数据检测程序经常会导致数据因某一细节不合格而被拒之门外，这无疑会降低部门的工作效率.如果误报的频率过高，就会导致部门烦躁情绪的滋生，进而减少对检测系统的使用.

2.2 入侵检测成本高昂

由于入侵检测技术采取的全方位、多角度的测量方法，对数据的检测极为严格，即便是很小的数据也要进行复杂的二进制核算，强大的运算系统运用到无关紧要的文件检测之中，就会造成资源的浪费.当然，这只是针对正常的数据来说的，如果数据检测异常呢？当系统发现数据检测异常的情况时，会及时启动报警系统和异常检测系统，异常检测系统不同于常规的检测，一经启动就会带来巨额的成本投入.伴随着系统误报频率过高的情况，将会增加系统的异常检测次数，这无疑会是雪上加霜，这种高额的成本投入也是许多中小型企业望而却步的主要原因之一.

2.3 自身防护能力较差

入侵检测技术虽然在保护恶意攻击方面有着不错的效果，但是，作为系统防御者的本身，却没有很好的自我保护能力.这就要归结于我国计算机以及入侵检测系统的发展时间较短、技术人员专业素质水平较低等方面了，当外界的恶意攻击能力高于入侵检测系统的防护能力时，病毒就会躲过系统的检查，趁机窃取用户的资料，如果病毒的破坏性较强的话，很可能会对防护系统造成损害，严重时会造成系统的瘫痪.因此，科研人员在加强系统对数据保护能力的同时，要做好系统的自身防卫工作，针对我国现如今的入侵检测系统，在保护用户数据方面都尚存在严重的缺陷，再加上自身的提供防护的程序设计将会变得更加困难.国家要加大在系统研发上的经费投入，也可以通过引用国外先进的技术或者专家学者，来加快系统研究的进展.

2.4 未来改进空间较低

现有的入侵检测系统有着很强的目的性，通俗点说，有着什么样的病毒，就开什么样的“药”，病毒采取何种手段进行攻击，就采取何种手段进行防御.这就导致了入侵系统一经引用，就处在了一个较为被动的环境之下，也许在一段时间之内，这种系统会有着不错的防御效果，但是病毒是在不断更新的，攻击手段是在不断优化的，这将对入侵系统的更新速度提出很高的要求，一旦研发人员不能对网络中的攻击手段有着很好的预判，并做好相关的应对措施，就会导致检测系统的更新速度落后于病毒的更新速度，从而造成巨大的经济损失，而且随着技术人员应对时间的变化，这种损失还会进一步加大.另外，由于系统的针对对象比较单一，其设计就会比较局限，扩展能力就会降低.即便是技术人员能够及时应对网络上日益丰富的病毒和黑客，也不能做出及时有效的系统更新，因为其较差的扩展能力无法满足更新的相关要求，所以就需要对整个系统进行改造，这样会大量增加投入成本.［3］

3 计算机入侵检测技术相关问题的应对策略

3.1 加强程序算法的改进

目前，计算机入侵检测技术主要采用的是Apriori算法，这种算法主要功能是对数据库的数据进行分类和整理，算法的主要原理：首先，系统会对数据库的数据容量进行检测，根据数据的容量，制定出能够处理数据的最大值和最小值，通常情况下，将数据的最大容量值设置为k，系统会将最小值设置为k-1，将最大值设置为k＋1，当最大值和最小值确定之后，数据库内的数据就会成为系统的待选项目，然后，系统就会对待选项目进行整理，一般情况下的数据库整理，这种算法都能够比较从容的应对，不过当遇到处理能力较强的数据库时，这种算法的处理能力就会降低，大量的待选项目会被积压，导致处理效率的降低.针对这种问题的处理方法主要有两种.第一，减少算法中最大值和最小值，比如将最大值设置为k＋2，将最小值设置为k，这就会将系统数据的总待选量减少，数据量的减少会加快系统的处理速度，在一定程度上能提高系统对数据库的核算能力.第二、系统对数据处理进行处理的过程就是系统对数据进行扫描的过程，对扫描的过程进行适当的控制，也能提高系统处理数据的能力.

3.2 建立相关的模型

计算机入侵检测系统的工作原理和常见杀毒软件在表面上是比较相似的，都需要对计算机的程序运行做出反应.但是，计算机入侵技术的运行过程比较鲜明，大致的过程主要分以下几个阶段：首先，系统会对主机的配置和管理员日常的工作情况进行备份，也就是采集数据模块；在数据备份完成之后，系统就会对采集而来的数据进行整理、分类以及存储，这就是处理数据模块；系统在对数据分析完成之后会对数据作进一步的处理和审核，我们称之为挖掘数据模块；最后系统根据数据的流动情况，对数据进行分析，我们称之为检测模块.下面就对模块建立的过程进行具体的分析：

3.2.1 采集数据模块

采集数据的过程主要包括主机数据的采集和流动数据的采集，主机数据的采集就是对主机日常活动中存留的运行特征以及备忘日志进行采集，将采集而来的数据进行备份.流动数据的采集是对管理员操作过程中产生的数据、文件进行审计检测，系统会根据检测结果进行备份.

3.2.2 处理数据模块

将采集数据模块中的数据进行初步的加工和处理，然后，将粗糙的处理结果储存，随着程序的运行，储存的结果流入到下一个阶段.

3.2.3 挖掘数据模块

将粗糙的数据模块进行深层次的加工，使数据的格式、大小、来源、内容更加清晰，在对流动数据处理完成之后，需要将之前的主机数据提取出来，以待备用.将精加工的数据和提取出来的主机数据打包，传到下一个阶段模型.

3.2.4 入侵检测模块

系统或根据上述模块处理而来的数据进行最后的比对，如果流动数据的相关信息不能符合主机数据的要求，系统就会发出警告.如果数据与主机数据特征相符，数据就会被放行，最终流入数据库等待用户的处理.

3.3 扩充数据库的处理对象

想要全面提高数据库的处理能力，首先要增加数据库处理对象特点的研究，当病毒的类型和入侵手段都被技术人员破解并应用到数据监测系统当中，这就相当于为系统打上了病毒疫苗，只要该类病毒或者与该类病毒攻击手段相似的病毒，系统的都能根据数据库中存有的病毒类型做出及时有效的反应，这很大程度上提高了系统的处理能力和处理质量.但是这种方法对技术人员提出了比较大的挑战，要求相关技术人员掌握不同类型、不同特点的病毒，并能对其做出破解，只有解决方法真正应用到检测系统当中，才能对恶意攻击做出有效的防御.

4 入侵检测技术在实际中的应用

4.1 分布式数据库系统

计算机数据库系统防御外界入侵的主要方法，是通过对文件的检测进行管理，正是基于文件的处理手段，对计算机数据库进行了程序设计.黑客可以根据数据库的这一特性，对文件进行修改、伪造，使其样式与数据库内部文件相符，从而打入到数据库内部，实施资料的窃取行为，如果数据库的安全程度能够满足相关标准的话，安全性会得到一定的提高.［4］分布式数据库会改善传统数据库检测能力较弱的缺点，提升数据库的自身防御能力.