國(guó)華
計(jì)算機(jī)數(shù)據(jù)庫(kù)的入侵檢測(cè)技術(shù)作為一種信息技術(shù),是保證數(shù)據(jù)安全的技術(shù)。本文主要以入侵檢測(cè)技術(shù)的相關(guān)認(rèn)識(shí)作為切入點(diǎn),研究和分析入侵檢測(cè)技術(shù)相關(guān)模式。
【關(guān)鍵詞】計(jì)算機(jī)數(shù)據(jù)庫(kù) 層次化 入侵檢測(cè) 模型入侵檢測(cè) 技術(shù)探析
美國(guó)國(guó)家安全通信委員會(huì)下屬的入侵檢測(cè)小組在1997年給出的關(guān)于“入侵檢測(cè)”的定義為:入侵檢測(cè)是對(duì)企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過(guò)程。入侵檢測(cè)是信息安全技術(shù)手段之一,是檢測(cè)內(nèi)外部入侵行為的關(guān)鍵技術(shù),主要依賴于能執(zhí)行入侵檢測(cè)任務(wù)和功能的系統(tǒng)。
1 入侵檢測(cè)技術(shù)的相關(guān)認(rèn)識(shí)
入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。當(dāng)下的入侵檢測(cè)系統(tǒng)主要有兩種,一種是基于主機(jī)的入侵監(jiān)測(cè)系統(tǒng),另一種是基于網(wǎng)絡(luò)的入侵檢測(cè)系,兩種方式都是用于保護(hù)網(wǎng)絡(luò)系統(tǒng)不受破壞。入侵檢測(cè)的方式也有兩種,一種是誤用檢測(cè),對(duì)不正常的行為建模,符合特征庫(kù)中描述的行為就被視力攻擊。另一種是異常檢測(cè),對(duì)系統(tǒng)的正常的行為建模,若是行為建模存在一定的異常,則表現(xiàn)為該系統(tǒng)遭受攻擊或者懷疑攻擊。入侵檢測(cè)系統(tǒng)的主要是由采集模塊、分析模塊和、管理模塊三個(gè)部分組成。采集模塊主要是由數(shù)據(jù)搜集,并將這些數(shù)據(jù)放入系統(tǒng)中進(jìn)行分析。分析模塊主要是對(duì)相應(yīng)的數(shù)據(jù)進(jìn)行分析,從而給出相應(yīng)的判斷和相應(yīng)的懷疑值。管理模塊主要是根據(jù)分析的結(jié)果,系統(tǒng)自動(dòng)對(duì)相應(yīng)的問(wèn)題進(jìn)行決策。當(dāng)然,入侵檢測(cè)系統(tǒng)中還有其他模塊,諸如通信模塊、響應(yīng)模塊和數(shù)據(jù)存儲(chǔ)模塊等,從而保證系統(tǒng)的效率和作用。
2 入侵檢測(cè)技術(shù)相關(guān)模式
2.1 通用入侵檢測(cè)模式
隨著時(shí)代的發(fā)展,人們對(duì)于電腦系統(tǒng)的安全性問(wèn)題越來(lái)越關(guān)注。CIDF作為一種通用性的入侵檢測(cè)方式,是由美國(guó)計(jì)算機(jī)科學(xué)家Stuart Stanifor-Chen等人提出來(lái)的,這種技術(shù)非常具有實(shí)用性,主要是由響應(yīng)單元、事件數(shù)據(jù)庫(kù)、事件分析器、事件產(chǎn)生器組成。如見(jiàn)圖1。各個(gè)組件之間主要是以入侵檢測(cè)對(duì)象GIDO來(lái)實(shí)施CIDF消息數(shù)據(jù)的交互,CIDF一般是將IDS所需要分析的數(shù)據(jù)都統(tǒng)稱為事件,事件既可以是系統(tǒng)日志,也可以是網(wǎng)絡(luò)數(shù)據(jù)包。其形成的事件數(shù)據(jù)庫(kù)既可以表現(xiàn)為簡(jiǎn)單的文本,也可能是復(fù)雜的數(shù)據(jù)庫(kù),是各種數(shù)據(jù)之間進(jìn)行聯(lián)系的關(guān)鍵系統(tǒng)。響應(yīng)單元雖然是簡(jiǎn)單的報(bào)警系統(tǒng),還能改變文件屬性,做出數(shù)據(jù)切斷反應(yīng),屬于功能單元,主要是針對(duì)分析結(jié)果作出相應(yīng)的反應(yīng)。事件產(chǎn)生器是整個(gè)事件的起源指出,能夠向其他部分提供相應(yīng)的事件信息,保證整個(gè)系統(tǒng)中能夠獲取這種事件信息。事件分析器是以事件信息作為基礎(chǔ),分析和研究事件產(chǎn)生器的數(shù)據(jù),同時(shí)準(zhǔn)確地獲取相關(guān)結(jié)果。在當(dāng)下環(huán)境中,相關(guān)的計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)產(chǎn)品大多數(shù)是以CIDF模型作為基礎(chǔ),而CIDF模型仍是隨著數(shù)據(jù)安全的問(wèn)題的出現(xiàn)不斷發(fā)展和進(jìn)步的,可見(jiàn),CIDF模型已是也入侵檢測(cè)系統(tǒng)的重要模型,如圖1所示。
2.2 層次化入侵檢測(cè)模型
這項(xiàng)模型是由Steven等人提出來(lái)的,屬于一種基于層次化的入侵檢測(cè)模型,將入侵檢測(cè)系統(tǒng)分為上下文層、安全狀態(tài)層、事件層、威脅層、主體層、數(shù)據(jù)層。IDM模型給出了全部安全假設(shè)過(guò)程,從被監(jiān)側(cè)環(huán)境到高層次的有關(guān)入侵,而不是過(guò)去那種分散的原始數(shù)據(jù)。通過(guò)將收集的相關(guān)數(shù)據(jù)加以加工抽象和數(shù)據(jù)關(guān)聯(lián)操作,虛擬出了一臺(tái)由主機(jī)和網(wǎng)絡(luò)構(gòu)成的機(jī)器環(huán)境,從而大大簡(jiǎn)化了對(duì)跨越單機(jī)的入侵行為的識(shí)別。數(shù)據(jù)層中,追要包含三方面的數(shù)據(jù),分別是局域網(wǎng)監(jiān)視器結(jié)果、主機(jī)操作系統(tǒng)的審計(jì)記錄、第三方的審計(jì)軟件提供的數(shù)據(jù)。事件層主要是時(shí)間變化的固有特征和動(dòng)態(tài)特征,例如帶臺(tái)的會(huì)話、進(jìn)程執(zhí)行等。主體層主要是識(shí)別網(wǎng)絡(luò)中跨越多臺(tái)主機(jī)使用的用戶。上下層是說(shuō)明時(shí)間發(fā)生的所處在的環(huán)境。威脅層是根據(jù)濫用的特征和對(duì)象而形成的攻擊行為、誤用行為等。安全狀態(tài)層是以1-100之間的某個(gè)數(shù)值來(lái)表示網(wǎng)絡(luò)安全狀態(tài),數(shù)值越大表示越不安全。
2.3 管理式入侵檢測(cè)模型
SNMP-IDSM是以SNMP作為公共語(yǔ)言來(lái)實(shí)現(xiàn)IDS之間進(jìn)行相應(yīng)的信息交換和協(xié)同檢測(cè),主要是由于描述入侵事件的管理信息庫(kù),能夠明確抽象事件和原始事件之間的復(fù)雜關(guān)系。IDSB主要是對(duì)最新的IDS事件和監(jiān)視主機(jī)B進(jìn)行請(qǐng)求操作,若是主機(jī)IDSA檢測(cè)到監(jiān)視主機(jī)出現(xiàn)相應(yīng)的攻擊行為,那么IDSB和IDSA兩者之間能夠很快地進(jìn)行聯(lián)系IDSA發(fā)送相應(yīng)的請(qǐng)求,在較短的時(shí)間內(nèi)會(huì)得到IDSB的響應(yīng),從而有效地驗(yàn)證和尋找攻擊的來(lái)源。同時(shí),IDSA會(huì)以MID腳本作為依據(jù),迅速給IDSB發(fā)送有用的代碼,以這些代碼的形式對(duì)快速搜集用戶活動(dòng)。最后,以這些代碼的執(zhí)行結(jié)果進(jìn)一步確定入侵行為的主機(jī)所在位置的,IDSA就馬上和IDSC聯(lián)系,讓IDSC報(bào)告入侵事件,有效避免入侵事件的發(fā)生。
3 結(jié)語(yǔ)
入侵檢測(cè)技術(shù)是保證信息系統(tǒng)安全的關(guān)鍵技術(shù),盡管入侵檢測(cè)技術(shù)發(fā)展比較晚,始于上個(gè)世紀(jì)80年代,屬于一種新型技術(shù),但是由于電腦技術(shù)的不斷發(fā)展,新型的數(shù)據(jù)庫(kù)問(wèn)題層次不窮,因而研究和分析入侵檢測(cè)技術(shù)顯得至關(guān)重要。
參看文獻(xiàn)
[1]雷利香.計(jì)算機(jī)數(shù)據(jù)庫(kù)的入侵檢測(cè)技術(shù)探析[J].科技傳播,2015,14(12):202+211.
[2]葉碧野.計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)探析[J].電腦知識(shí)與技術(shù),2012,05(21):1012-1014.
[3]苗斌.計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2014,06(06):192+194.
作者單位
四川托普信息技術(shù)職業(yè)學(xué)院計(jì)算機(jī)系 四川省成都市 611743