電子期刊論文淺析入侵檢測(cè)技術(shù)的應(yīng)用

　　【摘 要】入侵檢測(cè)是檢測(cè)和識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的非法攻擊或違反安全策略事件的過(guò)程。數(shù)據(jù)庫(kù)入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì)借鑒了針對(duì)網(wǎng)絡(luò)和針對(duì)主機(jī)的入侵檢測(cè)技術(shù)，又考慮了數(shù)據(jù)庫(kù)自身的特點(diǎn)。

　　【關(guān)鍵詞】入侵檢測(cè)入侵分析數(shù)據(jù)庫(kù)系統(tǒng)

　　傳統(tǒng)的數(shù)據(jù)庫(kù)安全機(jī)制以身份認(rèn)證和存取控制為重點(diǎn)，是一種以預(yù)防為主的被動(dòng)安全機(jī)制，無(wú)法滿足日益增長(zhǎng)數(shù)據(jù)庫(kù)對(duì)安全的需要。近年來(lái)對(duì)數(shù)據(jù)庫(kù)入侵檢測(cè)機(jī)制的研究受到了廣泛關(guān)注和重視。通過(guò)建立異常檢測(cè)機(jī)制，有效地發(fā)現(xiàn)用戶在使用數(shù)據(jù)庫(kù)過(guò)程中可能發(fā)生的入侵和攻擊，以期達(dá)到保護(hù)數(shù)字圖書(shū)館數(shù)據(jù)庫(kù)安全的目的。

　　1入侵檢測(cè)簡(jiǎn)介

　　入侵檢測(cè)是檢測(cè)和識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊，或者違反安全策略事件的過(guò)程。它從計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)環(huán)境中采集數(shù)據(jù)，分析數(shù)據(jù)，發(fā)現(xiàn)可疑攻擊行為或者異常事件，并采取一定的響應(yīng)措施攔截攻擊行為，降低可能的損失。在入侵檢測(cè)系統(tǒng)中，系統(tǒng)將用戶的當(dāng)前操作所產(chǎn)生的數(shù)據(jù)同用戶的歷史操作數(shù)據(jù)根據(jù)一定的算法進(jìn)行檢測(cè)，從而判斷用戶的當(dāng)前操作是否屬于入侵行為，然后系統(tǒng)根據(jù)檢測(cè)結(jié)果采取相應(yīng)的行動(dòng)。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測(cè)系統(tǒng)能很好地彌補(bǔ)防火墻的不足，從某種意義上說(shuō)是防火墻的補(bǔ)充。入侵檢測(cè)技術(shù)是計(jì)算機(jī)安全技術(shù)中的重要部分，它從計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢測(cè)計(jì)算機(jī)系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)系統(tǒng)在幾乎不影響計(jì)算機(jī)系統(tǒng)性能的情況下能對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并對(duì)系統(tǒng)提供針對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。入侵檢測(cè)技術(shù)通過(guò)對(duì)入侵行為的過(guò)程與特征的研究，使安全系統(tǒng)對(duì)入侵事件和入侵過(guò)程能做出實(shí)時(shí)響應(yīng)。入侵檢測(cè)技術(shù)擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

　　2入侵檢測(cè)技術(shù)分類

　　(1)從數(shù)據(jù)的來(lái)源看

　　入侵檢測(cè)通�？梢苑譃閮深�:基于主機(jī)的入侵檢測(cè)和基于網(wǎng)絡(luò)的入侵檢測(cè)�；�于主機(jī)的入侵檢測(cè)通常從主機(jī)的審計(jì)記錄和日志文件中獲得所需的主要數(shù)據(jù)源，并輔之以主機(jī)上的其他信息，例如文件系統(tǒng)屬性、進(jìn)程狀態(tài)等，在此基礎(chǔ)上完成檢測(cè)攻擊行為的任務(wù)�；�于網(wǎng)絡(luò)的入侵檢測(cè)通過(guò)監(jiān)聽(tīng)網(wǎng)絡(luò)中的數(shù)據(jù)包來(lái)獲得必要的數(shù)據(jù)來(lái)源，并通過(guò)協(xié)議分析、特征匹配、統(tǒng)計(jì)分析等手段發(fā)現(xiàn)當(dāng)前發(fā)生的攻擊行為。從數(shù)據(jù)分析手段來(lái)看，入侵檢測(cè)通常又可以分為兩類:誤用入侵檢測(cè)和異常入侵檢測(cè)。誤用檢測(cè)的技術(shù)基礎(chǔ)是分析各種類型的攻擊手段，并找出可能的“攻擊特征”集合。誤入侵檢測(cè)的定義為:識(shí)別針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為，并對(duì)此做出反應(yīng)的過(guò)程。入侵檢測(cè)系統(tǒng)則是完成如上功能的獨(dú)立系統(tǒng)。入侵檢測(cè)系統(tǒng)能夠檢測(cè)未授權(quán)對(duì)象，針對(duì)系統(tǒng)的入侵企圖或行為，同時(shí)監(jiān)控授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法操作。

　　(2)從數(shù)據(jù)分析手段看

　　入侵檢測(cè)通�？梢詢深悾簽E用入侵檢測(cè)和異常入侵檢測(cè)。濫用入侵檢測(cè)的技術(shù)基礎(chǔ)是分析各種類型的攻擊手段，并找出可能的“攻擊特征”集合形成特征庫(kù)或者模式庫(kù)，濫用入侵檢測(cè)利用形成的特征庫(kù)，對(duì)當(dāng)前的數(shù)據(jù)來(lái)源進(jìn)行各種分析處理后，再進(jìn)行特征匹配或者規(guī)則匹配工作，如果發(fā)現(xiàn)滿足條件的匹配，則指示已經(jīng)發(fā)生了一次攻擊行為然后入侵檢測(cè)系統(tǒng)的響應(yīng)單元做出相應(yīng)的處理。異常入侵檢測(cè)是通過(guò)觀察當(dāng)前活動(dòng)與系統(tǒng)歷史正�；顒�(dòng)情況之間的差異來(lái)實(shí)現(xiàn)。這就需要異常入侵檢測(cè)建立一個(gè)關(guān)于系統(tǒng)正�；顒�(dòng)的狀態(tài)模型并不斷更新，然后將用戶當(dāng)前的活動(dòng)情況與這個(gè)正常模型進(jìn)行對(duì)比，如果發(fā)現(xiàn)了超過(guò)設(shè)定值的差異程度，則指示發(fā)現(xiàn)了非法攻擊行為。

　　相比較而言，濫用入侵檢測(cè)比異常入侵檢測(cè)具備更好的確定解釋能力，即明確指示當(dāng)前發(fā)生的攻擊手段類型，另外，濫用入侵檢測(cè)具備較高的檢測(cè)率和較低的虛警率，開(kāi)發(fā)規(guī)則庫(kù)和特征集合相對(duì)于建立系統(tǒng)正常模型而言，要更容易、更方便。但是，濫用入侵檢測(cè)只能檢測(cè)到已知的攻擊模式，模式庫(kù)只有不段更新才能檢測(cè)到新的攻擊類型。而異常檢測(cè)的優(yōu)點(diǎn)是可以檢測(cè)到未知的入侵行為，盡管可能無(wú)法明確指示是何種類型。從現(xiàn)有的實(shí)際系統(tǒng)來(lái)看，大多數(shù)都是基于濫用入侵檢測(cè)技術(shù)，同時(shí)也結(jié)合使用異常入侵檢測(cè)技術(shù)，提高了檢測(cè)率并降低了虛警率。

　　3數(shù)據(jù)庫(kù)系統(tǒng)的安全

　　數(shù)據(jù)庫(kù)系統(tǒng)的安全框架可分為三個(gè)層次:網(wǎng)絡(luò)系統(tǒng)層次、宿主操作系統(tǒng)層次和數(shù)據(jù)庫(kù)管理系統(tǒng)層次。由于數(shù)據(jù)庫(kù)系統(tǒng)在操作系統(tǒng)下都是以文件形式進(jìn)行管理的，因此入侵者可以直接利用操作系統(tǒng)的漏洞竊取數(shù)據(jù)庫(kù)文件，或者直接利用OS 工具來(lái)非法偽造、篡改數(shù)據(jù)庫(kù)文件內(nèi)容。因此，數(shù)據(jù)庫(kù)系統(tǒng)的安全性很大程度上依賴于數(shù)據(jù)庫(kù)管理系統(tǒng)。如果數(shù)據(jù)庫(kù)管理系統(tǒng)安全機(jī)制非常強(qiáng)大，則數(shù)據(jù)庫(kù)系統(tǒng)的安全性能就較好。根據(jù)數(shù)據(jù)庫(kù)安全的三個(gè)層次，筆者提出了一個(gè)數(shù)據(jù)庫(kù)入侵檢測(cè)系統(tǒng)，其外層用基于網(wǎng)絡(luò)的入侵檢測(cè)，中間層用基于主機(jī)的入侵檢測(cè)，內(nèi)層采用入侵容忍。此系統(tǒng)采用系統(tǒng)整體安全策略，綜合多種安全措施，實(shí)現(xiàn)了系統(tǒng)關(guān)鍵功能的安全性和健壯性。

　　4數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)

　　數(shù)據(jù)庫(kù)入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì)借鑒了針對(duì)網(wǎng)絡(luò)和針對(duì)主機(jī)的入侵檢測(cè)技術(shù)，在此基礎(chǔ)上，又考慮了數(shù)據(jù)庫(kù)自身的特點(diǎn)。按照檢測(cè)方法分為: 誤用檢測(cè)和反常檢測(cè)。

　　(1)數(shù)據(jù)庫(kù)誤用檢測(cè)

　　誤用檢測(cè)是指將已知的攻擊特征存儲(chǔ)在誤用特征知識(shí)庫(kù)里面，然后根據(jù)用戶的當(dāng)前操作行為與知識(shí)庫(kù)里的誤用入侵規(guī)則進(jìn)行匹配檢驗(yàn)，如果符合知識(shí)庫(kù)中的入侵特征，則說(shuō)明發(fā)生了入侵。誤用特征知識(shí)庫(kù)中的入侵規(guī)則由安全專家定義，可以隨時(shí)添加、修改，然后保存在知識(shí)庫(kù)中，用來(lái)對(duì)審計(jì)數(shù)據(jù)進(jìn)行匹配比較。誤用檢測(cè)的優(yōu)點(diǎn)是檢測(cè)的準(zhǔn)確率高，缺點(diǎn)是只能對(duì)已知的攻擊特征進(jìn)行匹配檢驗(yàn)，對(duì)未知的攻擊類型無(wú)法發(fā)現(xiàn)，而對(duì)未知攻擊類型的檢測(cè)要依靠異常檢測(cè)。所以，誤用檢測(cè)常常與異常檢測(cè)結(jié)合起來(lái)使用。

　　(2)數(shù)據(jù)庫(kù)反常入侵檢測(cè)

　　反常檢測(cè)是指將用戶正常的習(xí)慣行為特征存儲(chǔ)在特征數(shù)據(jù)庫(kù)中，然后將用戶當(dāng)前行為特征與特征數(shù)據(jù)庫(kù)中的特征進(jìn)行比較，若兩者偏差足夠大，則說(shuō)明發(fā)生了反常。這種方法的優(yōu)勢(shì)在于它能從大量數(shù)據(jù)中提取人們感興趣的、事先未知的知識(shí)和規(guī)律，而不依賴經(jīng)驗(yàn)，應(yīng)用在基于數(shù)據(jù)庫(kù)的入侵檢測(cè)系統(tǒng)中，可以從大量的數(shù)據(jù)中發(fā)現(xiàn)有助于檢測(cè)的知識(shí)和規(guī)則。

　　參考文獻(xiàn)：

　　[1]唐正軍.入侵檢測(cè)技術(shù)導(dǎo)論[M]. 機(jī)械工業(yè)出版社, 2004.

　　[2]戴英俠,連一峰,王航.系統(tǒng)安全與入侵檢測(cè)[M].清華大學(xué)出版社, 2002.

　　[3]玄加林,才書(shū)訓(xùn).入侵監(jiān)測(cè)系統(tǒng)現(xiàn)狀與展望[J].計(jì)算機(jī)時(shí)代, 2005,8.

　　[4]李新遠(yuǎn),吳宇紅,狄文遠(yuǎn).基于數(shù)據(jù)發(fā)掘的入侵檢測(cè)建模[J].計(jì)算機(jī)工程, 2002,2.

　　[5]胡昌振.網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù)[M].北京理工大學(xué)出版社, 1996.

　　小編推薦優(yōu)秀的電子期刊　無(wú)線電工程電子論文發(fā)表刊物

　　《無(wú)線電工程》(月刊)創(chuàng)刊于1971年，是由工業(yè)和信息化部主管、中國(guó)電子科技集團(tuán)公司第五十四研究所主辦的學(xué)術(shù)性電子科技期刊。

轉(zhuǎn)載請(qǐng)注明來(lái)自發(fā)表學(xué)術(shù)論文網(wǎng)：http:///dzlw/3247.html