許葵元

（信陽職業(yè)技術(shù)學(xué)院，河南信陽 464000）

計(jì)算機(jī)數(shù)據(jù)庫入侵的安全防御措施研究

許葵元

（信陽職業(yè)技術(shù)學(xué)院，河南信陽 464000）

隨著網(wǎng)絡(luò)技術(shù)不斷發(fā)展與進(jìn)步，計(jì)算機(jī)的使用也越來越普遍。許多組織與機(jī)構(gòu)都會采用數(shù)據(jù)庫來保存大量信息，因而數(shù)據(jù)庫內(nèi)部存在的安全隱患就越來越得到人們的關(guān)注。當(dāng)前數(shù)據(jù)庫中主要使用的入侵檢測技術(shù)包括統(tǒng)計(jì)分析、預(yù)測模式生成技術(shù)與神經(jīng)網(wǎng)絡(luò)3個部分。提升計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)，可以采取的方法有更新Apriori算法與建立數(shù)據(jù)庫入侵檢測系統(tǒng)結(jié)構(gòu)，進(jìn)而得到較為詳細(xì)的數(shù)據(jù)庫入侵檢測系統(tǒng)結(jié)構(gòu)。

計(jì)算機(jī)；數(shù)據(jù)庫入侵；安全防御措施

數(shù)據(jù)庫是整個企業(yè)內(nèi)部的信息存儲載體，企業(yè)數(shù)據(jù)庫中存在的信息安全對整個企業(yè)發(fā)展有著極大影響。大多數(shù)安全專家都提出只要將操作系統(tǒng)與網(wǎng)絡(luò)的安全問題解決，應(yīng)用程序就必將處于安全狀態(tài)。但從實(shí)際情況來看，當(dāng)前數(shù)據(jù)庫系統(tǒng)中存在的許多漏洞都會對整個安全問題產(chǎn)生威脅。數(shù)據(jù)庫普遍都是以TCP/IP作為基礎(chǔ)展開端口鏈接，其代表的具體含義為在沒有設(shè)置訪問控制的條件下，所有人都可以使用分析工具，鏈接到企業(yè)使用的數(shù)據(jù)庫內(nèi)部，同時不被企業(yè)內(nèi)部的安全體系察覺。例如，Oracle8采用的端口為1526，并且大量數(shù)據(jù)庫系統(tǒng)中普遍具備默認(rèn)密碼與默認(rèn)賬號，這也會對數(shù)據(jù)庫安全造成威脅。

1 入侵檢測常用技術(shù)

一個完整的檢測系統(tǒng)，通常由3部分組成。

1.1 統(tǒng)計(jì)分析

世界上使用最早的異常檢測技術(shù)為統(tǒng)計(jì)分析技術(shù)，各個使用者要建立歷史統(tǒng)計(jì)模型，其主要的作用就是判斷某個數(shù)值與歷史數(shù)據(jù)的大小關(guān)系，如果該數(shù)值超過歷史數(shù)值，那么就可以認(rèn)為是入侵行為。同時使用的模型也要不斷更新，進(jìn)而能夠表現(xiàn)出使用者的具體行為與時間之間的變化關(guān)系。統(tǒng)計(jì)分析過程中普遍使用的測量參數(shù)主要有資源消耗情況、間隔時間與事件數(shù)量。當(dāng)前已經(jīng)被學(xué)者大量使用的入侵檢測模型有5種，分別是時間序列分析、馬爾柯夫過程模型、多元模型、方差與操作模型等。

1.2 預(yù)測模式生成技術(shù)

預(yù)測模式生成技術(shù)主要是使用已經(jīng)發(fā)生的事情對未來時間展開預(yù)測，例如最常使用的規(guī)則如下：EI-E2-(E3=80%，E4=15%，E5=5%)，如果事件E1與E2已經(jīng)發(fā)生，那么事件E3發(fā)生的概率則為80%，在發(fā)生事件E3的基礎(chǔ)上發(fā)生事件E4的概率是15%，進(jìn)而隨后發(fā)生事件E5的概率是5%。若發(fā)生的事件與實(shí)際估算的概率有較大差距，那么就可以將其定義為攻擊。預(yù)測模式生成技術(shù)最大的問題是沒有被大量規(guī)則描述的腳本不能被正常標(biāo)記。

1.3 神經(jīng)網(wǎng)絡(luò)

神經(jīng)網(wǎng)絡(luò)表示的具體含義是用n個已經(jīng)固定的動作訓(xùn)練神經(jīng)網(wǎng)絡(luò)來表示未來使用者將會執(zhí)行的下一個命令。進(jìn)行相應(yīng)的周期訓(xùn)練后，根據(jù)神經(jīng)網(wǎng)絡(luò)所展示出的用戶特征實(shí)現(xiàn)針對性的用戶指令，若出現(xiàn)較大差距，則判定操作屬違法。神經(jīng)網(wǎng)絡(luò)最大的優(yōu)勢是能夠盡可能降低噪聲數(shù)據(jù)帶來的影響，所以該網(wǎng)絡(luò)的影響因素也只有用戶行為，而無須各種不同的數(shù)據(jù)性統(tǒng)計(jì)。

2 實(shí)現(xiàn)計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)提升

2.1 對Apriori算法進(jìn)行更新

當(dāng)前在計(jì)算機(jī)中使用的Apriori算法的核心內(nèi)容是調(diào)查各種大項(xiàng)目集，在查詢過程中，必須強(qiáng)調(diào)下述兩個不同部分：第一，以被查詢次數(shù)最多的k-1個項(xiàng)目集Lk-1為基礎(chǔ)，構(gòu)建處于待選狀態(tài)下的k個項(xiàng)目集Ck。第二，對現(xiàn)存的數(shù)據(jù)庫D實(shí)施掃描或整合措施，保證具有待選性的k個項(xiàng)目集獲取針對性的支持度，進(jìn)而得到查詢次數(shù)最多的項(xiàng)目集Lk-1。在計(jì)算機(jī)運(yùn)行時，雖說Apriori算法能夠整理絕大多數(shù)待選項(xiàng)目集，不過當(dāng)其所處理的數(shù)據(jù)庫具備較強(qiáng)的綜合性時，需要進(jìn)行整理的待選項(xiàng)目集也會不斷增加，進(jìn)而導(dǎo)致整體消耗時間及精力呈幾何倍數(shù)增長。所以，應(yīng)當(dāng)對Apriori算法實(shí)施針對性的改革措施。

改革主要體現(xiàn)在下列兩個方面：第一，數(shù)量的降低。主要體現(xiàn)為待選項(xiàng)目集總數(shù)的減少。第二，實(shí)施掃描、控制等措施。該改革最重要的部分就是實(shí)現(xiàn)合理的數(shù)據(jù)庫掃描措施，進(jìn)一步實(shí)現(xiàn)編程方面的Apriori算法，對各種項(xiàng)目集進(jìn)行設(shè)計(jì)時，必須以數(shù)據(jù)庫的編碼結(jié)果為依據(jù)。當(dāng)交易過程中出現(xiàn)某一項(xiàng)目時，就可以將其編碼設(shè)為1，反之則為0，該方式從本質(zhì)上講就是對挖掘算法的一種改善。

2.2 構(gòu)建計(jì)算機(jī)數(shù)據(jù)庫入侵行為的檢測模型

當(dāng)前，計(jì)算機(jī)檢測系統(tǒng)的主要運(yùn)行原理為針對性檢測審計(jì)數(shù)據(jù)之后，對入侵行為的發(fā)生情況進(jìn)行判定，最后實(shí)現(xiàn)報(bào)警行為。將功能實(shí)現(xiàn)作為主要運(yùn)行視角，可以對IDS進(jìn)行具體化分割，之后出現(xiàn)3個主要的運(yùn)行模塊，即采集數(shù)據(jù)、數(shù)據(jù)檢測分析及分析報(bào)警響應(yīng)等。此外，以上述方式成功的結(jié)果為基礎(chǔ)，可以將檢測系統(tǒng)分割為數(shù)據(jù)采集、數(shù)據(jù)監(jiān)測分析、數(shù)據(jù)響應(yīng)、數(shù)據(jù)庫控制及管理等5個模塊。所以，以異常數(shù)據(jù)庫檢測為依據(jù)，對入侵系統(tǒng)的系統(tǒng)模型組成進(jìn)行針對性分析，主要包括數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)挖掘以及入侵檢測。

第一，數(shù)據(jù)采集。在模型培訓(xùn)階段，收集數(shù)據(jù)庫服務(wù)器日常資料，對服務(wù)器歷史操作、數(shù)據(jù)特征進(jìn)行信息反饋，為構(gòu)建知識庫進(jìn)行各項(xiàng)準(zhǔn)備，同時保障系統(tǒng)運(yùn)行的流暢性。

第二，數(shù)據(jù)處理。處理經(jīng)由集成收集回來的數(shù)據(jù)，準(zhǔn)備進(jìn)行下一步數(shù)據(jù)挖掘。

第三，數(shù)據(jù)挖掘。挖掘上述收集得到的大量數(shù)據(jù)，進(jìn)而使數(shù)據(jù)庫模式構(gòu)建更有保障，更加安全。

第四，入侵檢測。該模塊是系統(tǒng)實(shí)施入侵檢測計(jì)算的前提，獲取上述規(guī)整的數(shù)據(jù)后，檢測用戶行為，明確其入侵意圖，并實(shí)施針對性預(yù)防和解決措施。

3 數(shù)據(jù)庫入侵檢測體系實(shí)際組成部分

數(shù)據(jù)庫安全檢測系統(tǒng)是將主機(jī)入侵檢測模型與原理作為基礎(chǔ)，搜集數(shù)據(jù)庫內(nèi)部存在的大量審計(jì)數(shù)據(jù)，然后再對這些數(shù)據(jù)展開進(jìn)一步分析，確定這些數(shù)據(jù)是否應(yīng)該被標(biāo)記為攻擊。若具有攻擊與濫用行為，就應(yīng)該及時采取針對性措施，進(jìn)而減少不必要的損失。

DBA經(jīng)常會以提升性能與節(jié)省空間為理由關(guān)閉與忽略數(shù)據(jù)庫，這樣會大幅度減小管理分析帶來的效應(yīng)與可靠性。同時因?yàn)閮?nèi)部存在的審計(jì)功能無法正常記載用戶在操作過程中存在的大量信息，僅僅只能記載操作的大致活動，所以該監(jiān)督行為相對來說較為有限。合法用戶能夠在其自身使用領(lǐng)域中，合理改變數(shù)據(jù)庫中的信息，在得到大量利益后將數(shù)據(jù)恢復(fù)到合法狀態(tài)。從該行為的角度來說，審計(jì)記錄不能完全跟蹤到其操作的具體流程，所以不能得到更加直接的證據(jù)來證明其行為的性質(zhì)。所以，要完全消除數(shù)據(jù)庫中存在的安全隱患就一定要完善與擴(kuò)充審計(jì)體系內(nèi)部具備的監(jiān)督職能。筆者建立了數(shù)據(jù)庫系統(tǒng)與使用者之間存在的訪問接口，同時以該接口作為前提對使用者的數(shù)據(jù)庫操作做出詳細(xì)記載。

數(shù)據(jù)庫安全監(jiān)控系統(tǒng)內(nèi)部能夠在得到信息的同時，展開分析機(jī)子系統(tǒng)。分析機(jī)子系統(tǒng)在設(shè)計(jì)過程中主要使用的是專家系統(tǒng)技術(shù)。這里提到的專家系統(tǒng)主要是儲存大量專家提出的知識，進(jìn)而使用這些知識解決各種不同的實(shí)際問題。從結(jié)構(gòu)組成的角度來看，專家系統(tǒng)的實(shí)質(zhì)就是存放大量知識的容器，同時還可以選擇與運(yùn)用不同知識形成的計(jì)算機(jī)系統(tǒng)。專家系統(tǒng)普遍包含知識獲取、綜合數(shù)據(jù)庫、推理機(jī)、知識庫與解釋接口等部分。

4 結(jié)語

當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展越來越迅速，對應(yīng)的入侵檢測技術(shù)也逐漸普及到各個領(lǐng)域中。因此，為了保證在網(wǎng)絡(luò)發(fā)展過程中計(jì)算機(jī)運(yùn)行的安全性，就必須增加該方面的研究力度，構(gòu)建更多完善的計(jì)算機(jī)入侵檢測體系，真正意義上實(shí)現(xiàn)網(wǎng)絡(luò)安全。

［1］徐曉暉.計(jì)算機(jī)數(shù)據(jù)庫的入侵檢測技術(shù)探析［J］.硅谷，2014，(05)：189.

［2］陳華.計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)的分析與探討［J］.電腦知識與技術(shù)，2012，（17）：40-41.

TP392

A

1674-8646（2016）01-0026-02

2015-09-29

許葵元（1977-），男，河南信陽人，碩士，講師，主要從事計(jì)算機(jī)網(wǎng)絡(luò)與數(shù)據(jù)庫研究。