【摘要】根据入侵检测系统和数据挖掘技术的特征,提出一种运用数据挖掘技术的入侵检测系统。它的架构包括数据采集、规则建立、异常检测、响应处理。采用改进的Apriori算法,即关联规则数据挖掘技术从系统有关数据中提取有关行为特征和规则,从而用于建立数据库安全异常模式或正常模式。
【关键词】计算机数据库;入侵检测技术;发展探讨;
1.前言
随着对计算机使用安全的深入研究,根据对现有的计算机入侵检测技术的使用状况分析,如防火墙、安全路由器、黑客入侵检测等的使用状况分析。总结得出信息网络安全领域是一个综合多学科领域的计算机技术体系,因此单方面的计算机入侵检测技术性能存在着一定的制约限制,入侵检测能力有限。
计算机数据库入侵检测是检测和识别针对计算机数据库使用过程中遭到的非法攻击,或者违反数据库安全指标的过程。主要通过计算机系统或网络运行的环境来采集相关检测数据,并对采集到的数据进行分析,发现非法攻击行为或者可疑事件,自动采取相关的防御技术措施防止攻击行为,降低数据库使用过程中的损失。计算机数据库入侵检测技术主要是通过专业的算法将用户操作过程中所产生的数据进行安全指标检测,并严格按照指标判断用户的操作过程中所产生的数据是否存在入侵现象,并将检测结果反馈给系统,系统将根据检测结果采取相应的措施。计算机数据库入侵检测技术是计算机使用过程中安全防护技术,为广大用户在使用数据库过程中提供实时的内外部信息攻击防御,能有效地拦截非法入侵。提高了数据库信息安全使用的防护效率。
2.数据库入侵检测技术的功能
入侵检测的系统设计主要考虑了其本身特点,按照检测的方法进行分类,可以将入侵检测技术分为:反常检测和误用检测。
2.1反常入侵的检测
所谓反常检测,就是为了能够将用户所做出的行为特征和数据库特征中的特征相比较,而将用户平时习惯用的行为特征储存在数据库的特征中,如果比较的结果相差太大,就表明出现了反常。该种方法的优点是可以不必依赖经验而在大量的信息数据中收集人们喜欢、感兴趣和事先不知道规律以及知识的信息;运用在数据库入侵检测的系统中,能够在大量数据中掌握检测的规则和知识。
2.2误用入侵的检测
误用入侵的检测指将已经知道的一些攻击特征储存在误用知识库特征里,根据用户所做出的行为和知识库里面误用的入侵规则相比较,当出现和知识库里入侵特征一致的现象时,就出现了入侵行为。其中误用知识库特征里入侵的规则是由专业的人员来定义,规则可以随时修改、添加、保存在特征的知识库中,从而对审计的数据进行比较。该种方法的优点是其检测准确率很高,其不足是只能对知道的攻击入侵特征进行比较检测,无法对未知根据类型进行比较,从而只能依靠反常检测来完成。因此,误用检测经常和反常检测相结合使用。
3.数据库的入侵检测技术的运用瓶颈
由于在我国入侵检测的系统和技术应用时间都较短,所以当前我国国内的入侵检测技术还处在启蒙状态,发展较慢,检测的系统也不够完善,其中较多的高新技术和新型检测理论都在研究阶段,尚未正式使用,因此入侵检测的技术还存在如下问题:
(1)漏报以及误报的频率较高
由于入侵检测的系统和相应的入侵检测的技术其使用的目的是为了保护具有较大数据量的数据库,因此在进行系统设定时相当严格,特别是检测系统关卡的设定,从而导致许多非外界的攻击和病毒被错误检测出来了,使入侵检测的系统效率和服务质量都降低了。
(2)入侵检测效率低
在计算机和网络中,任何的数据编程和数据的入侵和反入侵,全部都要使用二进制来对大量的数据进行计算,计算后才能够保证其有效运行,因此其计算量非常庞大、异常检测的技术计算成本也非常巨大,导致的原因是由于用户行为的不断变化,其记录也要跟着其行为进行更新,数量就会随着越来越大,同时又由于误用知识库特征里入侵的规则是由专业的人员来定义后匹配,所以更加增加了其运行的费用。
(3)较差的自身防护能力
当前的检测技术,由于系统存在的问题和设计人员能力的有限,使入侵检测的技术其本身就存在自身防护能力较差的现象,因此,就会导致当有病毒侵入和外界攻击入侵检测的系统时,就会出现整个检测系统全部陷入瘫痪,轻者其入侵行为带来不能正常记录的后果,重则就是系统被外部攻破,从而侵入到数据库中。
(4)没有很好的扩展性,机动性也想当缺乏
就目前的技术运用来说,入侵检测的技术通常都是在某台计算机安装后就一直使用下去,由于入侵检测的技术不能自动升级,同时也未能根据计算机和网路病毒类型的不断增多而自我更新,因此其可维护性和升级性较差是当前检测技术的困惑之一和难点之一。
4.提升计算机数据库入侵检测技术的方略
4.1对Apriori算法进行更新
Apriori算法中最关键地方是调查大项目集,查询的过程要规划成两大部分:(1)根据查询最多的k-1个项目集Lk-1,从而得到待选的k个项目集Ck;(2)将D数据库进行整理和扫描,使待选每个项目即k个项目集Ck都得到应有的支持度,因此得到k个项目集Lk-1。虽然Apriori能够将大多数的待选集整理好,但是当遇到较强的综合能力数据库的时候,就会有较多的待选集等待整理,会耗费较多的时间和精力,因此对对Apriori算法进行更新和改革具有重要的意义。改革的具体措施有:(1)减少数量,重要是指不断的减少待选集中候选项的总体数量;(2)进行扫描控制;其关键部分就是对数据库采取合理扫描操作,将其改进成可以在编码上得到Apriori的算法,并且各项都要根据是数据库中的结果来编码,如果某一项目在交易时出现就要将其编码位置设计成1,否则设计成0.采取该种方法可以很好的改善挖掘算法。
4.2建立计算机数据库入侵检测系统模型
检测系统的工作原理是先对审计数据进行检测,然后判断是否发生了入侵行为,最后进行报警。在实现功能的角度看,IDS可以分为三个模块:采集数据的模块、对数据进行检测分析的模块以及报警响应的模块。另外根据其方法的实现又可以将检测系统分为如下几个模块:采集数据的模块、、对数据进行检测的模块、数据响应的模块、数据库的模块以及管理的模块。下面主要讨论的入侵检测的系统模型可以对数据库进行异常检测,其中系统主要是由数据库的接口组件、采集数据、处理数据、挖掘数据以及入侵的检测等五个部分构成,并且各自工作在训练的阶段与入侵检测的阶段,下面具体分析系统模型。
(1)采集数据;训练阶段中,对数据库中服务器的主机日志资料进行收集,反映出用户的历史操作行为和数据的特征,为构建规则和知识库做好充分的准备;另外在对入侵进行检测的时候,要收集服务器中的审计数据,为入侵的检测做好准备,使这个系统更加顺畅。
(2)处理数据;此模块是处理和集成收集到的各种数据,其目的是为下一步挖掘数据提取到准备的数据,保证下一步的顺利开展。
(3)挖掘数据;挖掘数据技术是运用上步模块中提取的数据,再次提取出相关的规则和行为特征,目的是建立安全正常的数据库模式。
(4)知识的规则库;知识的数据库中具备系统模块需要的安全正常模式,入侵检测的系统将用户的操作行为和规则库中的行为进行比较分析,如果符合的话就可以表明用户的行为是正常的行为,否则就是入侵的行为。
(5)提取特征;该模块是采取与挖掘数据相类似的技术,从当前用户的操作中提取用户操作行为的特征。
(6)入侵检测;该模块是整个系统通过入侵检测的算法,将知识的规则库中取练出规则数据,检测用户的操作行为是否是入侵行为,然后根据检测结果采用相应行动,属于入侵的行为系统要做出报警提示,采取措施阻止其入侵。
4.3建立统一的数据库知识标准
研究和掌握数据库入侵的特点是非常重要的环节,特点库的覆盖面和准确度对于整个的入侵检测结构都有着一定的帮助。数据挖掘技术中比较经常使用的技能就是相关研究,相关研究的关键就是规定一个记录的整理和一组的Item,提示对它们进行有效的整理和研究得出Item相互间的联系程度,然后在数据库的系统里面通过将它们进行有效的结合对潜在入侵行为进行整理研究,以便较快的发现潜在入侵威胁行为。对于系统中的特殊检查要能够选择相应的挖掘项目进行数据的挖掘,此种方法重要包括如下两个方面:(1)采用迭代技术检查出数据库复杂项集,该过程中要是不是对数据库采用扫描措施,保证其准确度;(2)将复杂项集转变为相关的规定,规定成型后就要产生另一种规则,然后系统依照改规定运行。
5.计算机数据库入侵检测技术的发展方向
随着计算机数据库在现实中的广泛应用,在日常生活和工作中数据库越来越重要,此外,攻击数据库安全的手段日趋复杂化,数据库入侵检测技术已经被广大用户所采纳。未来,计算机数据库入侵检测主要有以下发展方向:
(1)分布式数据库入侵检测的应用
传统的入侵检测大多数局限于单一网络结构的数据库检测,对异构数据库体系及大规模的数据库的监测能力明显薄弱,此外不同数据库检测系统之间工作协同性不强。为改善这些不足,需要采用分布式数据库入侵检测技术并不断完善传统入侵检测体系。
(2)层次化数据库入侵检测技术的发展
数据库入侵检测技术的应用应该分层化,当前的数据库检测技术检测范围具有局限性,对一些高端的数据库应用系统仍然存在检测盲点。大多数基于客户/服务器结构的数据库系统需要应用层的数据库入侵检测保护。因此为了更好的发展数据库入侵检测技术,应该采用层次化升级理念。
(3)数据库入侵检测技术的智能化
随着入侵数据库的手段多元化和综合化,尽管当前智能体、神经网络与遗传算法已经在数据库入侵检测技术领域得到应用,但是,那只是初级的尝试性的应用,还存在许多的未知技术应用盲点,因此需要对智能化的入侵检测技术进行深入的研究,不断加强入侵检测技术自身自我自适应与自我升级的能力。
(4)数据库入侵检测技术评测标准化
用户在数据库的使用过程中需要不定期对计算机数据库入侵检测系统进行评价,评价指标有:入侵检测的检测范围、数据库系统的资源占用比率、入侵检测技术的可靠程度。根据这些评价指标,研制出通用的计算机数据库入侵检测测试与评估的标准化系统平台,通过标准化的测评平台的建立,最终可以实现多层级数据库入侵的检测。
(5)综合化的多功能安全防御策略
将工程风险管理的理念融入到现代的计算机数据库安全问题,将数据库安全视作工程体系来处理。按管理、数据库结构、数据加密通道、入侵防护、入侵检测、入侵排除等全方位对数据库入侵检测体系作全面的评估,最后研发出高效可行的安全防御策略。计算机数据库入侵检测将对各类内、外部攻击、失误操作进行实时保护,使数据库信息在受到危害之前即拦截和排除入侵威胁。从立体纵深、多层次防御的角度出发,形成一体化的数据库入侵检测体系,最终实现高效保护数据库安全。
综上所述,计算机数据库入侵检测技术对计算机系统正常运转起着重大的保护作用,计算机数据库检测技术随着计算机网络的发展也得到了普遍的推广和运用。掌握数据库入侵的特点是入侵检测技术不断创新的关键,不断通过入侵检测来升级数据库的安全管理系统,通过有效的途径对潜在的入侵进行系统化的研究整理,以便提高发现各种潜在入侵威胁的效率。因此,为了更好的维护计算机运用的安全,我们应该加大对计算机数据库入侵检测技术的研究探讨力度,不断根据各类实际入侵问题来提升计算机数据库入侵检测技术的检测体系,最终为广大计算机用户营造良好的,安全使用环境。
【参考文献】
[1]袁沛沛.网络安全入侵检测技术[D].西安建筑科技大学,2008.
[2]田宁莉.数据库入侵检测系统的设计 [J].科教文汇2008(21).
[3]何昊,何剑.计算机网络攻击的主要防治措施[J].中国科技信息,2010(21).
[4]袁宝.计算机数据库入侵检测技术的探讨[J]. 计算机光盘软件与应用  2011(9)

文章如转载,请注明转载自:http://www.5iadmin.com/post/1062.html