摘 要 進入二十一世紀(jì)后，網(wǎng)絡(luò)各種技術(shù)飛速發(fā)展，數(shù)據(jù)庫安全面臨著前所未有的危機。數(shù)據(jù)庫入侵檢測技術(shù)是一種主動、積極的安全防御機制，能夠更有效地防止互聯(lián)網(wǎng)給數(shù)據(jù)庫帶來的層出不窮的惡意攻擊。筆者就是針對信息安全領(lǐng)域的數(shù)據(jù)庫入侵檢測技術(shù)做了初步的探析。

關(guān)鍵字 數(shù)據(jù)庫 入侵檢測 安全

一、引言

隨著互聯(lián)網(wǎng)的發(fā)展，計算機網(wǎng)絡(luò)己經(jīng)在社會、經(jīng)濟、文化和人們的日常生活中扮演著越來越重要的角色。同時越來越多的政府、企業(yè)、組織、金融等機構(gòu)和部門將自己的數(shù)據(jù)庫連接到互聯(lián)網(wǎng)上，然而這些數(shù)據(jù)庫掌握著敏感的金融數(shù)據(jù)，包括交易記錄、商業(yè)事務(wù)和帳號數(shù)據(jù)，戰(zhàn)略上的或者專業(yè)的信息，甚至市場計劃等等應(yīng)該保護起來防止競爭者和其他非法者獲取的資料。

在商業(yè)利益和技術(shù)刺激的雙層驅(qū)使下，網(wǎng)絡(luò)高手、黑客們紛紛對數(shù)據(jù)庫進行攻擊，對國家安全、企業(yè)經(jīng)濟造成了巨大的損害，所以數(shù)據(jù)庫安全已然成為信息安全的焦點，我們迫切需要研究針對數(shù)據(jù)庫的入侵檢測技術(shù)來提高安全性。

二、數(shù)據(jù)庫安全機制的缺陷

雖然大多數(shù)數(shù)據(jù)庫管理系統(tǒng)都提供了安全管理機制，使對數(shù)據(jù)庫安全的需求得到了一定程度的滿足，但在很多方面仍然存在大量的問題。

（一）數(shù)據(jù)庫賬戶和權(quán)限的濫用

缺少針對數(shù)據(jù)庫管理員的監(jiān)控機制。數(shù)據(jù)庫管理員擁有數(shù)據(jù)庫系統(tǒng)管理、賬號管理、權(quán)限分配等系統(tǒng)最高權(quán)限。如果數(shù)據(jù)庫管理員利用工作之便，竊取敏感信息、篡改毀壞重要業(yè)務(wù)數(shù)據(jù)，對企業(yè)數(shù)據(jù)庫安全的打擊將是致命的。

（二）數(shù)據(jù)庫自身日志審計的缺陷

難以實時監(jiān)測發(fā)現(xiàn)問題。數(shù)據(jù)庫系統(tǒng)自身的日志審計功能可以記錄各種數(shù)據(jù)庫系統(tǒng)修改、權(quán)限使用等日志信息，并不能幫助管理者及時發(fā)現(xiàn)定位問題；同時由于不能實時監(jiān)測報警，因此在數(shù)據(jù)庫異常安全事件發(fā)生時，無法第一時間報告給管理者，導(dǎo)致管理者不能及時采取有效措施。

（三）數(shù)據(jù)庫身份認(rèn)證的缺陷

數(shù)據(jù)庫系統(tǒng)雖然提供用戶身份認(rèn)證機制，但是用戶只有提供了正確的登錄賬號和登錄口令才能進入數(shù)據(jù)庫服務(wù)器進行操作。如果一個用戶通過非法手段取得一個賬號和口令，則此非法用戶可以進入數(shù)據(jù)庫服務(wù)器進行操作，用戶認(rèn)證機制對此無能為力。

三、數(shù)據(jù)庫入侵檢測的必要性

對數(shù)據(jù)庫來說，僅僅依靠在文件和系統(tǒng)命令級的底層操作系統(tǒng)和網(wǎng)絡(luò)入侵檢測系統(tǒng)無法保證檢測的效率和精度。比如SQL注入技術(shù)是一種入侵者使用精心偽造惡意SQL語句來獲取用戶特權(quán)的方法，SQL注入常常利用數(shù)據(jù)庫應(yīng)用程序的漏洞，這種入侵是操作系統(tǒng)和網(wǎng)絡(luò)入侵檢測系統(tǒng)所難以檢測的。因此，對他們的非法行為往往很難檢測。

入侵檢測作為一種動態(tài)的網(wǎng)絡(luò)安全防衛(wèi)技術(shù)，能同其他安全部件一起構(gòu)成縱深的、多層次的計算機和網(wǎng)絡(luò)安全防御系統(tǒng)，對數(shù)據(jù)庫運行系統(tǒng)的狀態(tài)和活動進行檢測，分析出非授權(quán)的訪問和惡意行為，發(fā)現(xiàn)入侵行為和企圖，為入侵防范提供有效的手段，提高檢測的準(zhǔn)確度和有效性。

數(shù)據(jù)庫入侵檢測系統(tǒng)的研究對Internet的安全、數(shù)據(jù)倉庫的安全有著十分廣闊的前景。并且，信息安全的增強會進一步帶動Internet應(yīng)用（特別是電子商務(wù)）的發(fā)展，使其在國民經(jīng)濟中發(fā)揮更大的作用，產(chǎn)生巨大的經(jīng)濟效益和社會效益。

四、流行的數(shù)據(jù)庫入侵檢測技術(shù)

（一）對存儲篡改的檢測

對數(shù)據(jù)庫的存儲篡改是一種惡意修改數(shù)據(jù)庫中的存儲數(shù)據(jù)以降低數(shù)據(jù)質(zhì)量的行為，存儲篡改的目的是以錯誤或低質(zhì)量數(shù)據(jù)誤導(dǎo)和妨礙對手的行為，存儲篡改是一種內(nèi)部濫用行為。

檢測物是一種檢測篡改數(shù)據(jù)的惡意行為的抽象機制，在數(shù)據(jù)庫中，檢測物一般是不被正常用戶和應(yīng)用所使用，但篡改者又無法將其與正常數(shù)據(jù)區(qū)分開的偽造數(shù)據(jù)，如果發(fā)現(xiàn)檢測物不在正?；蚩深A(yù)期的狀態(tài)則表示可能發(fā)生了數(shù)據(jù)篡改行為。對防止和檢測企圖繞過數(shù)據(jù)庫管理系統(tǒng)在磁盤級破壞數(shù)據(jù)的入侵者，通過將數(shù)據(jù)庫加密和在小塊可信存儲中保存的散列，驗證數(shù)據(jù)庫正確性的方法來檢測不可信程序，對數(shù)據(jù)庫的非法讀取和修改是有效的。

（二）基于數(shù)據(jù)庫應(yīng)用語義的檢測

在許多場合中，獨立于應(yīng)用語義對數(shù)據(jù)庫事務(wù)或用戶進行檢測并不足以識別用戶的異常行為，如某個管理員突然將自己每月工資增加一萬元，在正常情況下這是不可能的，但對建立在獨立于應(yīng)用語義上的檢測方法如對表存取統(tǒng)計、數(shù)據(jù)文件存取統(tǒng)計、會話統(tǒng)計或上述的各種檢測方法并不能發(fā)現(xiàn)異常，這種異常檢測只能建立在數(shù)據(jù)庫的應(yīng)用語義上。

（三）基于數(shù)據(jù)庫事務(wù)級的入侵檢測

數(shù)據(jù)庫具有自己獨特的事務(wù)處理機制和SQL語言查詢，對用戶使用SQL語句的模式進行檢測是數(shù)據(jù)庫入侵檢測的一項重要內(nèi)容。指印是一種基于SQL語句的入侵檢測方法，指印是從合法事務(wù)中的SQL語句中推出的正則表達式，它代表用戶正常的行為，用戶的事務(wù)語句如果偏離指印集則表示可能的異常行為。指印技術(shù)特別適應(yīng)類似于對互聯(lián)網(wǎng)上的數(shù)據(jù)庫入侵檢測，比如SQL語句注入，因為在這些應(yīng)用中往往使用數(shù)據(jù)庫應(yīng)用來查詢數(shù)據(jù)庫，而這些應(yīng)用只通過一定接口使用固定的幾種查詢格式，不允許用戶自構(gòu)查詢，在這種情況下即使事務(wù)較大用戶較多誤警率也較低。

（四）基于數(shù)據(jù)挖掘的檢測

數(shù)據(jù)挖掘指從存儲數(shù)據(jù)中識別出隱藏的固定模式或異常現(xiàn)象的高級處理過程，由于數(shù)據(jù)挖掘技術(shù)能夠發(fā)現(xiàn)隱藏在數(shù)據(jù)背后的用戶模式和特征，因此，在基于主機和網(wǎng)絡(luò)的入侵檢測中，基于數(shù)據(jù)挖掘的檢測方法是重要的研究課題，也存在著來自統(tǒng)計、模式識別、機器學(xué)習(xí)等多個領(lǐng)域的數(shù)據(jù)挖掘算法。使用元學(xué)習(xí)的方法來進行分布式事務(wù)模式挖掘，元學(xué)習(xí)是一種用于處理從大型分布式數(shù)據(jù)庫中計算全局分類器的技術(shù)，元學(xué)習(xí)首先在分布式數(shù)據(jù)庫中使用學(xué)習(xí)程序并行的計算獨立的分類器，然后再使用另一個學(xué)習(xí)程序在這些分類器上集成元分類器。在使用元學(xué)習(xí)得出異?；蚱钍聞?wù)模型后，使用模式指導(dǎo)的推理系統(tǒng)來檢測欺騙事務(wù)。

參考文獻：

[1]鐘勇，秦小麟.數(shù)據(jù)庫入侵檢測研究綜述[J].計算機科學(xué).2004，31(10).

[2]張月琴.數(shù)據(jù)庫入侵檢測技術(shù)研究[J].電腦知識與技術(shù).2012，8(6).