摘要：計算機網(wǎng)絡技術的不斷進步給人們的日常生產生活帶來了許多便利，但各類非法入侵手段也在與時俱進，給網(wǎng)絡安全帶來了巨大的威脅。該文在簡單介紹入侵檢測技術相關概念的基礎上，對目前正在使用的不同類型的入侵檢測技術進行了分析，并在此基礎上對存在的問題與應對辦法進行了討論，以期對實際工作的開展起到參考和借鑒的作用。

關鍵詞：計算機；數(shù)據(jù)庫；入侵檢測

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）04-0719-02

目前，互聯(lián)網(wǎng)在我國已經基本實現(xiàn)了普及，在社會生活的方方面面，我們都可以看到互聯(lián)網(wǎng)的身影，例如，通過互聯(lián)網(wǎng)繳納水電費、購買車票、購物等等，而這些便捷的享受背后，則是數(shù)據(jù)庫默默無聞的長期支持。在以往的數(shù)據(jù)庫安全防護工作中，防火墻技術一頭獨大，將許多不法分子的不軌意圖攔截在高墻之外，但是隨著技術的進步，防火墻在面對許多新興工作方式的時候往往表現(xiàn)得力不從心，給那些掌握了最新攻擊技術的不法分子留下了可乘之機。在這場矛與盾的交鋒中，計算機安全領域的研究人員引入了入侵檢測技術，希望以此為數(shù)據(jù)庫安全提供更多的保護。

1 入侵檢測技術的相關內涵

所謂計算機數(shù)據(jù)庫的入侵檢測技術，就是指在數(shù)據(jù)庫中設置各類關卡，并以計算機系統(tǒng)和網(wǎng)絡中的相關信息為基礎，驗證外來訪問者的身份與信息，通過對信息的分析，對系統(tǒng)是否正在或已經遭到外來攻擊加以判定。當發(fā)現(xiàn)各類針對數(shù)據(jù)庫的攻擊行為時，入侵檢測系統(tǒng)會根據(jù)所受攻擊的類型，做出警報、切斷連接、禁止繼續(xù)訪問等應對，并對相關信息加以記錄，以便技術人員能夠對此類問題進行更為全面的了解，從而在今后的工作中加以鞏固或解決。對于已經成功入侵的病毒所引起的數(shù)據(jù)庫非正常行為，入侵檢測系統(tǒng)則會將病毒的入口完全封閉，以此避免該入侵行為對數(shù)據(jù)庫及其中信息的進一步破壞。通過這些作用我們可以看出，入侵檢測技術是防火墻背后的第二道屏障，是計算機數(shù)據(jù)庫安全保障的重要力量，在防火墻無法應對相關攻擊或非法操作時，入侵檢測技術可以對來自系統(tǒng)內、外部的誤操作或攻擊進行有效處理，從而在數(shù)據(jù)庫受到真正威脅之前對其進行化解，在有效補充和完善防火墻防護功能的同時，使技術和管理人員能夠及時獲取系統(tǒng)所存在的漏洞信息并加以彌補，在提升起安全管理能力的同時，更好的實現(xiàn)信息基礎結構安全保障的工作目標。

2 入侵PtOOQySZEqSUnaHZ+Hv+cw==檢測技術的類型劃分

入侵檢測技術一般分為兩種類型，分別為異常、誤用入侵檢測。前者基于用戶的正常行為均異于惡意行為理念，通過對各類用戶正常行為的記錄和分析，構建包含一切正常行為的框架模型。此后，若實時監(jiān)測的結果表明，某些用戶的行為不符合已經構建的框架模型的特征，或是超過了某個閾值，就會發(fā)出警報。誤用入侵檢測指的是通過分析病毒等入侵活動構建入侵行為模型并對惡意行為進行定義的入侵檢測方法。若實施監(jiān)測的結果表明，某些用戶的行為與已經構建模型中所定義的惡意行為相匹配，就會發(fā)出系統(tǒng)遭到攻擊或入侵的提示警報。該方法的檢測精確度較高，但卻存在著相對靜態(tài)的特征，對于某種攻擊的變體或是新型攻擊不具備理想的檢測能力。目前，數(shù)據(jù)庫實際應用的檢測方法主要包括基于閾值、基于異常、基于模型推理、基于規(guī)則的入侵檢測四種類型，下面我們就對其進行分別的介紹和說明。

2.1 基于閾值的入侵檢測

基于閾值的入侵檢測基于非法入侵和攻擊必然會從系統(tǒng)的薄弱環(huán)節(jié)入手理念，且這些行為一定會異于用戶的正常行為，例如為了順利進入系統(tǒng)，可能會對不同的賬戶進行登錄嘗試，或多次輸入同一用戶可能的密碼，進入系統(tǒng)后，大多會反復瀏覽保密信息所在目錄等。而在病毒成功入侵后，也必然會出現(xiàn)處理器與內存資源被過多占用的現(xiàn)象。

2.2 基于異常的入侵檢測

基于異常的入侵檢測基于非法入侵和攻擊行為與用戶異常行為必然會同時出現(xiàn)的理念，并通過對當前用戶行為是否符合正常用戶行為的特征對究竟是正常使用還是異常操作加以區(qū)分。例如，系統(tǒng)會對用戶當前行為與以往行為特征是否相符進行對比（對比內容包括使用時間、登錄間隔、資源使用量等），以此判定當前行為是否較以往行為發(fā)生變化。若對比結果表明，當前的用戶行為明顯異于以往行為，就會發(fā)出提示警報。

2.3 基于模型推理的入侵檢測

基于模型推理的入侵檢測基于技術人員對入侵行為的定義，一般來說，入侵竊密行為模型都會表示為用戶行為序列，這些用戶行為被統(tǒng)一稱為“劇情”（是對用戶行為的高層描述），而且不需要與設計記錄完全對應。根據(jù)預先設定的規(guī)則，“劇情”會被自動轉化為用戶動作序列（與審計記錄存在對應關系），以此對用戶行為是否存在違反安全規(guī)章的現(xiàn)象加以判斷。由于基于模型推理的入侵檢測是以已知的安全規(guī)章為依據(jù)，所以在攻擊者采用未知技術或方法的時候，入侵檢測就會喪失應有的保護作用。

2.4 基于規(guī)則的入侵檢測

基于規(guī)則的入侵檢測主要依據(jù)相關規(guī)則對用戶行為加以分析，根據(jù)當前行為是否符合規(guī)則中的相關說明來判斷是否屬于異常行為。所依據(jù)的規(guī)則與用戶的行為模式間并不存在任何關聯(lián)，即只要用戶行為符合規(guī)則要求，就會將其判定為入侵行為。例如，Snort入侵檢測系統(tǒng)中基于規(guī)則的入侵檢測就包含了向前、向后推理兩種規(guī)則，前者的誤報率較低，但是無法對未知入侵行為進行很好的判斷；后者雖然能夠檢測到未知的入侵行為，但誤報率相對較高。

3 當前入侵檢測技術存在的突出問題

3.1 無法為自身提供足夠的防護

入侵檢測技術存在的意義就是幫助數(shù)據(jù)庫以及計算機系統(tǒng)低于各種惡意入侵和攻擊的威脅，以往的工作業(yè)績也證明了它的非凡性能，但是受設計不足等因素的影響，入侵檢測系統(tǒng)的自我防護能力卻不盡如人意。所以，如果入侵檢測系統(tǒng)自身遭到了攻擊，就極易喪失對于病毒的防御能力，無法獲取數(shù)據(jù)庫是否被破壞、數(shù)據(jù)是否被盜取、是否正在被非法入侵等信息，也不能完成對入侵過程的記錄，在這樣的情況下，入侵檢測系統(tǒng)形同虛設，嚴重時甚至會造成數(shù)據(jù)庫的全面癱瘓，最終引起巨大的損失。

3.2 容易出現(xiàn)誤報或漏報現(xiàn)象

受資金和實際需求的影響，大型數(shù)據(jù)庫是入侵檢測技術的主要客戶，所存儲的信息不僅有個人的，也有企業(yè)的，而且這些信息的重要性和對安全性的要求往往較一般數(shù)據(jù)庫的信息更為強烈。為了確保數(shù)據(jù)安全，入侵檢測系統(tǒng)對于檢測過程的要求也極其嚴格，在對系統(tǒng)進行實時監(jiān)測的強度選擇上，不少設計人員都采取了“寧可錯殺一千，不能放過一個”的理念，所以導致很多正常的用戶行為、很多正常的程度都被視為外部攻擊，而一些隱蔽性極強的攻擊卻被遺漏掉。由于采取了過分極端的防護措施，數(shù)據(jù)庫的正常運行受到了來自入侵檢測系統(tǒng)的不必要阻礙，服務質量也會因此下降。

3.3 工作效率較低

入侵檢測系統(tǒng)想要保障數(shù)據(jù)庫的安全和正常運行，就必須在第一時間對各類病毒侵害以及入侵行為作出響應，若響應時間相對滯后，就會使數(shù)據(jù)庫面臨更大的威脅。但是在實際運行的過程中，無論哪一種形式的網(wǎng)絡攻擊，都必須要進行大規(guī)模的二進制碼轉換，為此，入侵檢測系統(tǒng)需要進行更大規(guī)模的計算量對編碼進行匹配，同時還需要進行大規(guī)模的數(shù)據(jù)搜集，由此導致的結果就是對系統(tǒng)資源的高水平需求。這樣一來，入侵檢測技術所需費用就會水漲船高，如果未能保障投入力度，系統(tǒng)的工作效率就會下降，無法滿足互聯(lián)網(wǎng)技術日新月異的今天對于安全保障的實際需求。

4 數(shù)據(jù)庫入侵檢測技術存在問題的應對

通過上文的描述，我們已經對數(shù)據(jù)庫入侵檢測技術的現(xiàn)存問題進行了初步的了解，為了對其加以解決，本次研究采取了以下做法：

4.1 Apriori算法的改進

Apriori算法相對復雜，它對于候選k-1項目集Ck的獲取需要通過查找到的頻繁k-1項目集k+加以實現(xiàn)；而對于頻繁k-1項目集Lk的獲取，則需要在掃描數(shù)據(jù)庫的基礎上，通過獲得候選k-1項目集Ck中不同候選項目支持度信息的方式加以實現(xiàn)。受該工作方式的影響，Apriori算法在應用于那些大型、綜合型數(shù)據(jù)庫時，就必須要對眾多的候選集進行調整和處理，這部分操作將會占用大量的時間和資源。所以在實際工作中，我們必須要對這一現(xiàn)象給予更多的關注，并針對性的進行改進，使其在更好的幫助入侵檢測系統(tǒng)保護數(shù)據(jù)庫安全的同時，提高內部使用效率。具體來說，主要包括兩個方面：1）在對數(shù)據(jù)庫進行高效掃描和操作的同時，形成新的編碼算法，并在對實施編碼進行記錄的基礎上不斷對算法效率的改善進行深入挖掘。2）通過候選項數(shù)量的減少降低連接項目集數(shù)量。

4.2 系統(tǒng)模型設計

新數(shù)據(jù)庫模型的創(chuàng)立目的，就是使入侵檢測系統(tǒng)能夠更加全面的發(fā)揮出應有的安全防護性能，此項工作主要涉及以下部分：1）數(shù)據(jù)的搜集：當系統(tǒng)處于訓練期時，對于數(shù)據(jù)庫服務器的歷史數(shù)據(jù)進行搜集和統(tǒng)計是必不可少的環(huán)節(jié)，其作用是使入侵檢測工作能夠更加精確和順利的開展；2）數(shù)據(jù)的處理：數(shù)據(jù)搜集工作結束后，還需要對其進行深入挖掘，并結合系統(tǒng)的相關特點進行數(shù)據(jù)的進一步處理；3）數(shù)據(jù)的挖掘：需要借助與數(shù)據(jù)挖掘有關的技術，并實現(xiàn)對所搜集數(shù)據(jù)的高效提取；4）模式調整：數(shù)據(jù)庫入侵檢測系統(tǒng)通過對知識規(guī)則數(shù)據(jù)庫中相關模式的針對性分析來清理那些不規(guī)則的數(shù)據(jù)；5）特征獲?。和ㄟ^數(shù)據(jù)挖掘相關技術的運用，對不同角色

的數(shù)據(jù)進行系統(tǒng)、科學的處理，以便對其特點進行更為全面的掌握；6）入侵檢測：系統(tǒng)應高效調用數(shù)據(jù)庫的相關信息，以便為入侵檢測工作的順利進行提供更多的支持和幫助。

5 結束語

總的來說，數(shù)據(jù)庫入侵檢測技術彌補了防火墻技術的諸多不足，對其薄弱環(huán)節(jié)也起到了很好的增強作用，為計算機數(shù)據(jù)庫安全做出了巨大的貢獻，但是其自身也存在著很多不盡如人意的地方，需要相關設計和技術人員在今后的實際工作中進行進一步的優(yōu)化和完善，以便使其積極效用得到更大程度的發(fā)揮。

參考文獻：

[1] 王艷敏.計算機數(shù)據(jù)庫入侵檢測技術探析[J].硅谷，2012（21）：35-35.

[2] 王麗華.談計算機數(shù)據(jù)庫入侵檢測技術[J].無線互聯(lián)科技，2012（10）：108-108.

[3] 石燕.入侵檢測技術在數(shù)據(jù)庫管理系統(tǒng)中的應用[J].科技致富向導，2012（30）：167-167.