郭可

摘要：隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，互聯(lián)網(wǎng)在人們的生活中已經(jīng)普及，網(wǎng)絡(luò)攻擊也成為網(wǎng)絡(luò)發(fā)展中需要解決的一個(gè)重要的課題。傳統(tǒng)的防火墻技術(shù)已經(jīng)不能滿足互聯(lián)網(wǎng)安全的需要，數(shù)據(jù)庫的入侵檢測技術(shù)在提高網(wǎng)絡(luò)的安全性方面可以提供有效的保障。該文對入侵檢測系統(tǒng)和數(shù)據(jù)庫入侵檢測技術(shù)進(jìn)行了簡單的分析，提出了SQL server數(shù)據(jù)庫入侵檢測系統(tǒng)設(shè)計(jì)方法。

關(guān)鍵詞：入侵檢測技術(shù)；數(shù)據(jù)庫安全；SQL server；數(shù)據(jù)挖掘

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）19-0003-02

SQL Server Database Intrusion Detection System Research

GUO Ke

（Qinhuangdao Institute of Technology， Qinhuangdao 066100， China）

Abstract： with the rapid development of network technology， the Internet has spread in the life of people， network attack has become a developing needs to solve an important issue. The traditional firewall technology already cannot satisfy the needs of Internet security， intrusion detection technology in improving the security of network database can provide effective protection. In this paper， the intrusion detection system and database intrusion detection technology has carried on the simple analysis， SQL server database intrusion detection system design method is proposed.

Key words： intrusion detection technology； The database security； SQL server； Data mining

1 入侵檢測系統(tǒng)

1.1 入侵檢測系統(tǒng)概念

互聯(lián)網(wǎng)時(shí)代的到來，給人們的生活和工作帶來了很多便利，同時(shí)互聯(lián)網(wǎng)的安全問題也越來越突出。每年因?yàn)榫W(wǎng)絡(luò)安全問題都會給人們造成一定的經(jīng)濟(jì)損失，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全關(guān)系到社會和國家的穩(wěn)定。傳統(tǒng)的防火墻技術(shù)在網(wǎng)絡(luò)安全中所起的作用具有一定的局限性，防火墻主要是處于內(nèi)網(wǎng)和外網(wǎng)之間，作為一道屏障，但是外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問不都是經(jīng)過防火墻進(jìn)入的，防火墻不能夠起到絕對的作用。防火墻很容易被黑客應(yīng)用端口和漏洞技術(shù)進(jìn)行攻擊，而且有好多網(wǎng)絡(luò)安全的威脅不僅是來自外部網(wǎng)絡(luò)的，內(nèi)部網(wǎng)絡(luò)一樣存在網(wǎng)絡(luò)安全的威脅。從防火墻的實(shí)際功能上看不能夠提供實(shí)時(shí)的入侵檢測功能。防火墻技術(shù)存在局限性，防火墻技術(shù)需要人為進(jìn)行配置，是一種靜態(tài)的安全技術(shù)，對入侵的行為不能主動的追蹤。入侵檢測技術(shù)需要一種能對入侵行為及時(shí)發(fā)現(xiàn)，并采取阻止的相應(yīng)策略，防止黑客的攻擊，對入侵行為進(jìn)行分析，查找出系統(tǒng)的漏洞并及時(shí)修復(fù)。入侵檢測系統(tǒng)是把硬件和入侵檢測的軟件兩者相結(jié)合的一種網(wǎng)絡(luò)安全檢測系統(tǒng)。

在國外，入侵檢測的定義首先被提出是在1980年，把入侵行為分為外部的非法闖入和內(nèi)部授權(quán)用戶對權(quán)限的濫用兩種。任何對資源的完整性和可用性進(jìn)行破壞的行為都叫做入侵。在1987年首次把入侵檢測模型和入侵檢測應(yīng)用到計(jì)算機(jī)安全防御中。目前入侵檢測技術(shù)已經(jīng)成為網(wǎng)絡(luò)安全中的熱點(diǎn)課題。

1.2 入侵檢測系統(tǒng)的功能

對惡意使用計(jì)算機(jī)和網(wǎng)絡(luò)資源的行為進(jìn)行識別，對外部的入侵行為進(jìn)行檢測，對內(nèi)部用戶未授權(quán)行為進(jìn)行監(jiān)督，對用戶活動進(jìn)行監(jiān)視和分析，對系統(tǒng)進(jìn)行安全的設(shè)計(jì)和跟蹤管理，對攻擊行為識別后采取報(bào)警策略，報(bào)告相關(guān)人員進(jìn)行處理，這就是入侵檢測的功能。入侵檢測系統(tǒng)的組成是由入侵檢測的軟件和硬件共同構(gòu)成的。入侵檢測技術(shù)已經(jīng)成為網(wǎng)絡(luò)安全技術(shù)中的重要組成部分，在計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)中防火墻是第一道門，入侵檢測系統(tǒng)就是第二道門。

1.3 入侵檢測系統(tǒng)模型：

入侵檢測系統(tǒng)的模型如圖1所示，

在入侵檢測系統(tǒng)模型中包括六個(gè)部分，主體部分通常是在系統(tǒng)上活動的用戶，對象是系統(tǒng)的資源包括文件和命令等，審計(jì)記錄中的活動是指對主體的登陸、讀寫等操作，異常是指違反系統(tǒng)權(quán)限的異?；顒拥膱?bào)告和異常事件的發(fā)生情況，活動檔案是保持系統(tǒng)正?；顒拥男畔?，活動規(guī)則是判斷異常記錄是否是入侵行為，系統(tǒng)的正?；顒幼鳛闃?biāo)準(zhǔn)，對系統(tǒng)審計(jì)記錄進(jìn)行分析，處理發(fā)生的入侵行為。

1.4 入侵檢測系統(tǒng)分類

入侵檢測系統(tǒng)分類可以從數(shù)據(jù)源和檢測技術(shù)兩方面進(jìn)行分類，從數(shù)據(jù)源進(jìn)行分類，可以分為基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。基于主機(jī)的入侵檢測系統(tǒng)，是通過對主機(jī)進(jìn)行監(jiān)視并對審計(jì)記錄進(jìn)行分析，監(jiān)控主要在分布和交換的環(huán)境下進(jìn)行，對攻擊的行為進(jìn)行準(zhǔn)確的判斷?；谥鳈C(jī)的入侵檢測系統(tǒng)主要是針對主機(jī)的，對來至網(wǎng)絡(luò)的攻擊很難做出正確的檢測，檢測過程中占有一定的系統(tǒng)資源?；谥鳈C(jī)的入侵檢測系統(tǒng)也叫做IDS?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)叫做NIDS，在共享的網(wǎng)段上對數(shù)據(jù)進(jìn)行監(jiān)聽并把數(shù)據(jù)采集收集后進(jìn)行分析?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)不需要主機(jī)，所以不占有系統(tǒng)的資源。從檢查技術(shù)上分為基于特征和基于異常的兩種檢測方式，基于特征的檢測要定義一個(gè)入侵特征數(shù)據(jù)庫，在檢測的時(shí)候把檢測的特征和特征庫進(jìn)行對比，在特征庫中存在比對的入侵行為特征，那么就可以判斷出是入侵行為，這樣系統(tǒng)會檢測出來入侵行為。對新的入侵行為和入侵行為的變種的檢測還是存在一定缺陷?；谔卣鞯娜肭謾z測技術(shù)還有專家系統(tǒng)檢測、模式匹配檢測和基于模型推論檢測?；诋惓z測首先是要對系統(tǒng)正常使用情況的數(shù)據(jù)進(jìn)行定義，把系統(tǒng)運(yùn)行時(shí)候的數(shù)據(jù)與系統(tǒng)正常情況的定義的數(shù)據(jù)進(jìn)行對比?；诋惓z測的判別方法范圍比較大，對未發(fā)現(xiàn)的攻擊也可以判斷出來。目前的基于異常的入侵檢測技術(shù)包括狀態(tài)轉(zhuǎn)移分析檢測技術(shù)、統(tǒng)計(jì)分析檢測技術(shù)、基于神經(jīng)網(wǎng)絡(luò)檢測技術(shù)、基于免疫檢測技術(shù)和基于數(shù)據(jù)挖掘的檢測技術(shù)。

2 數(shù)據(jù)庫入侵檢測技術(shù)

2.1 數(shù)據(jù)庫安全機(jī)制

數(shù)據(jù)庫主要是用來進(jìn)行數(shù)據(jù)信息存儲的，網(wǎng)絡(luò)中對數(shù)據(jù)庫的攻擊非常多，SQL injection是數(shù)據(jù)庫攻擊中的主要攻擊方式，SQL injection攻擊時(shí)對SQL injection的漏洞進(jìn)行攻擊，SQL injection的漏洞主要體現(xiàn)在程序中對變量的處理不正確，對用戶數(shù)據(jù)過濾布充分。SQL injection的攻擊原理是在系統(tǒng)的實(shí)際SQL語句中插入想要的SQL語句，獲取信息或者對服務(wù)器進(jìn)行控制。SQL injection攻擊檢測方法主要是對漏洞進(jìn)行檢測，解決SQL injection攻擊的方法要從根本的程序入手，對來源于WEB服務(wù)器的用戶修改的HTML的數(shù)據(jù)和表單數(shù)據(jù)進(jìn)行過濾。數(shù)據(jù)庫存儲大量的數(shù)據(jù)，保證數(shù)據(jù)庫的安全是計(jì)算機(jī)系統(tǒng)安全的重要問題，數(shù)據(jù)庫系統(tǒng)的安全主要取決于系統(tǒng)安全的保護(hù)措施。系統(tǒng)處理和物理處理是數(shù)據(jù)庫安全保密的兩種方式，物理處理是防止通信線路竊聽行為對數(shù)據(jù)進(jìn)行加密，保護(hù)存儲設(shè)備安全，對用戶身份識別的措施。數(shù)據(jù)庫要對執(zhí)行的活動進(jìn)行控制以及對信息進(jìn)行查看與修改，必須要建立一個(gè)安全牢固的數(shù)據(jù)庫安全系統(tǒng)，安全的數(shù)據(jù)庫系統(tǒng)可以對數(shù)據(jù)進(jìn)行有利的保護(hù)。SQL server安全管理包括安全架構(gòu)、安全級別和審計(jì)跟蹤。安全架構(gòu)，在微軟的SQL server 工作時(shí)用戶要經(jīng)過身份驗(yàn)證和權(quán)限驗(yàn)證，授權(quán)是用登陸賬戶對用戶進(jìn)行標(biāo)示，并對用戶連接SQL server進(jìn)行驗(yàn)證。用戶身份驗(yàn)證成功就可以連接到SQL server，對用戶賬戶的訪問權(quán)限要在每個(gè)數(shù)據(jù)庫中進(jìn)行映射。安全級別，數(shù)據(jù)庫應(yīng)用系統(tǒng)都是在特定的操作系統(tǒng)平臺上運(yùn)行的，SQL server安全級別包括操作系統(tǒng)、SQL server登陸、數(shù)據(jù)庫使用和數(shù)據(jù)庫對象的使用。SQL server審計(jì)是通過SQL事件探查器對數(shù)據(jù)進(jìn)行收集以表的形式進(jìn)行分析，SQL 事件查看器可以對執(zhí)行慢的程序進(jìn)行識別，對生產(chǎn)系統(tǒng)中的事件進(jìn)行捕獲，在測試系統(tǒng)中進(jìn)行重播，并解決SQL server中的問題，對測試可以提供很大的幫助。

2.2 數(shù)據(jù)挖掘入侵檢測

隨著數(shù)據(jù)庫技術(shù)的迅速發(fā)展，人們對數(shù)據(jù)存儲能力的要求越來越高，越來越多的數(shù)據(jù)的積累，在大量的數(shù)據(jù)中隱藏著許多重要的信息，人們?yōu)榱烁玫乩眠@些數(shù)據(jù)信息，采用更高層次的方法對這些數(shù)據(jù)信息進(jìn)行分析。數(shù)據(jù)庫系統(tǒng)在對數(shù)據(jù)進(jìn)行錄入和統(tǒng)計(jì)查詢上起著很重要的作用。數(shù)據(jù)的存儲在數(shù)據(jù)庫管理系統(tǒng)，通過機(jī)器的學(xué)習(xí)方法對數(shù)據(jù)進(jìn)行分析，把大量數(shù)據(jù)背后的知識挖掘出來，這個(gè)過程我們叫做KDD，數(shù)據(jù)庫中知識的發(fā)現(xiàn)。數(shù)據(jù)庫中的知識是多樣的，包括統(tǒng)計(jì)、數(shù)據(jù)可視化和模擬識別等，可以說數(shù)據(jù)庫知識的發(fā)現(xiàn)是一門交叉性的綜合學(xué)科。數(shù)據(jù)庫中發(fā)現(xiàn)的知識可以再信息管理和科學(xué)研究等多領(lǐng)域進(jìn)行應(yīng)用。數(shù)據(jù)庫中知識的發(fā)現(xiàn)KDD中最核心的部分就是數(shù)據(jù)挖掘，對知識的學(xué)習(xí)采用機(jī)器學(xué)習(xí)和統(tǒng)計(jì)等方法，發(fā)現(xiàn)知識的好壞直接受數(shù)據(jù)挖掘算法的好壞的影響，數(shù)據(jù)挖掘算法和應(yīng)用的研究受到人們的密切關(guān)注。數(shù)據(jù)挖掘技術(shù)是人工智能的，是一個(gè)決策支持的過程，采用機(jī)器學(xué)習(xí)統(tǒng)計(jì)技術(shù)，對數(shù)據(jù)進(jìn)行高度自動化分析，進(jìn)行歸納并進(jìn)行推理，把潛在的模式挖掘出來，對用戶的行為進(jìn)行預(yù)測。數(shù)據(jù)挖掘技術(shù)采用的算法和技術(shù)都是比較成熟的。數(shù)據(jù)挖掘技術(shù)分析方法包括四種分析方法，分別是關(guān)聯(lián)分析、序列模式、分類和聚類。關(guān)聯(lián)分析方法是把隱藏在數(shù)據(jù)間的關(guān)系挖掘出來，通過分析進(jìn)行推導(dǎo)，在網(wǎng)絡(luò)安全中的具體應(yīng)用就是采用關(guān)聯(lián)分析方法對入侵者的入侵行為進(jìn)行分析，找出入侵者之間的關(guān)聯(lián)性。序列模式分析也是對數(shù)據(jù)之間的關(guān)系進(jìn)行挖掘的，重點(diǎn)是數(shù)據(jù)之間的前后關(guān)系，黑客對網(wǎng)絡(luò)的攻擊都是有先后順序的，比如黑客要對某個(gè)系統(tǒng)進(jìn)行攻擊首先就是要對系統(tǒng)的端口或者漏洞進(jìn)行掃描，然后采取合適的攻擊方式。分類分析是按標(biāo)記對記錄進(jìn)行分配，對每個(gè)標(biāo)記都是標(biāo)注一個(gè)標(biāo)記，對標(biāo)有標(biāo)記的記錄進(jìn)行檢測，把它們的特征描述出來，比如對黑客的入侵可以設(shè)定低中高的安全級別。聚類攻擊時(shí)采用合理的方式和不同的算法對記錄集合進(jìn)行分類，對不同的級別采用顯示或隱示的方法。

3 SQL Server數(shù)據(jù)庫入侵檢測設(shè)計(jì)

在入侵檢測系統(tǒng)中可以采用數(shù)據(jù)挖掘技術(shù)提取出有用的數(shù)據(jù)，數(shù)據(jù)挖掘技術(shù)在大量的數(shù)據(jù)中進(jìn)行特征提取非常實(shí)用，SQL server數(shù)據(jù)庫入侵檢測技術(shù)把入侵檢測技術(shù)和數(shù)據(jù)挖掘技術(shù)結(jié)合到一起，結(jié)構(gòu)包括事件產(chǎn)生器、數(shù)據(jù)挖掘、異常檢測等。在結(jié)構(gòu)設(shè)計(jì)中，事件產(chǎn)生器的設(shè)計(jì)思想是采用SQL server2000中的Profile工具對數(shù)據(jù)庫系統(tǒng)審計(jì)數(shù)據(jù)進(jìn)行采集和追蹤，記錄對象權(quán)限使用情況。在設(shè)計(jì)的試驗(yàn)中我們需要在SQL server的數(shù)據(jù)庫中定義一個(gè)審計(jì)數(shù)據(jù)源，通過執(zhí)行存儲過程createtrace進(jìn)行跟蹤，再執(zhí)行Transact SQL語句把跟蹤到的信息存放到

process數(shù)據(jù)庫表中。實(shí)驗(yàn)設(shè)計(jì)對用戶正常操作的數(shù)據(jù)進(jìn)行采集，得到的數(shù)據(jù)模型是正常狀態(tài)下的用戶的行為，并對采集的待檢測數(shù)據(jù)進(jìn)行處理，以會話表格形式表示出來，進(jìn)行關(guān)聯(lián)挖掘產(chǎn)生關(guān)聯(lián)規(guī)則集，把關(guān)聯(lián)規(guī)則集和異常檢測模型進(jìn)行對比，可以測出異常記錄。

4 總結(jié)

互聯(lián)網(wǎng)已經(jīng)融入社會的各個(gè)領(lǐng)域，網(wǎng)絡(luò)數(shù)據(jù)庫安全也成為網(wǎng)絡(luò)安全問題的焦點(diǎn)，大型的SQL server數(shù)據(jù)庫系統(tǒng)提供了安全機(jī)制，SQL Server數(shù)據(jù)庫入侵檢測系統(tǒng)是網(wǎng)絡(luò)入侵檢測中的重點(diǎn)研究課題，具有一定的意義。

參考文獻(xiàn)：

[1]寇春鵬.SQL Server數(shù)據(jù)庫信息獲取系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京化工大學(xué)，2008.

[2]鄺祝芳.數(shù)據(jù)庫入侵檢測系統(tǒng)GKD-DBIDS的研究與實(shí)現(xiàn)[D].國防科學(xué)技術(shù)大學(xué)，2006.