摘要:计算机数据库系统的安全保障是极为重要的,它不仅关系到企业和个人的隐私保护,甚至还与社会的稳定和国家的安全息息相关。为了保证计算机数据库的安全,那么我们就需要一种可以查明系统漏洞,成功阻止网络黑客入侵,及时发现入侵及修补的网络安全技术,即入侵检测技术。那么入侵检测的硬件和软件的组合便是入侵检测系统。该文首先阐述了防范计算机数据库入侵的重要性,其次,分析了入侵检测技术的发展现状及入侵检测模型。同时,就入侵检测系统特点进行了深入的探讨,提出了自己的建议和看法,具有一定的参考价值。
关键词:计算机数据库;入侵检测技术;分析
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)05-1012-03
计算机数据库系统的安全保障是极为重要的,它不仅关系到企业和个人的隐私保护,甚至还与社会的稳定和国家的安全息息相关。目前虽然防火墙大量被采用,但由于防火墙自身存在着一些原因,导致防火墙目前还不可以完全抵御黑客的入侵,仅有防火墙来保护计算机数据库系统,这是远远不够的。
第一,防火墙不是动态的,而只是一种静态的安全技术,不能主动追踪入侵者,需要人工来实施和维护。第二,由于防火墙自身性能的约束,导致防火墙技术没有实时入侵检测的能力。第三,防火墙虽充当了系统内部网和外部网之间的屏障,但我们知道,并不是所有的外部访问都必须要通过防火墙。第四,防火墙不是万能的,它很有可能被外部黑客攻破。正因为有以上这些原因,那么我们为了保证计算机数据库的安全,那么我们就需要一种可以查明系统漏洞,成功阻止网络黑客入侵,及时发现入侵及修补的网络安全技术,即入侵检测技术。那么入侵检测的硬件和软件的组合便是入侵检测系统。
1防范计算机数据库入侵的重要性
计算机数据库面临的威胁是多方面的,既包括对网络中设备的威胁,又包括对网络中信息的威胁。计算机安全一般包含信息安全和物理安全两方面,信息安全也就是网络安全,能够有效保护网络信息的可用性、完整性和保密性。实际上
在信息系统的整体安全中,最吸引攻击者的目标往往就是数据库。这是因为数据库作为信息系统的关键部件,目前发挥着日益重要的作用,今天的计算机数据库产品已经成为具有数千亿美元产值的工业,计算机数据库的威胁主要有计算机病毒、黑客的攻击等,其中黑客对于计算机数据库的攻击方法已经大大超过了计算机病毒的种类,而且许多攻击都是致命的。因此,加强计算机数据库安全保护尤为重要。只有针对这些数据库威胁采取必要的保护措施,才能确保计算机网络信息的可靠性、安全性和保密性。根据美国FBI(美国联邦调查局)的调查,美国每年因为网络安全造成的经济损失超过170亿美元,75%的公司报告财政损失是由于计算机系统的安全问题造成的,平均每天会有1.5万个网页受到病毒感染或者遭受黑客攻击。也就是说,每5秒钟就会有一个网页成为黑客们的“盘中餐”。在中国国内,互联网的安全问题形势也非常严重。据国家计算机网络应急技术处理协调中心2007年的评估数据显示,在全球的620万台“僵尸”电脑中,约有360万台在中国,占58%以上。同时,感染了“特洛伊”病毒的电脑数量仍在稳步上升。
2入侵检测技术的发展现状及入侵检测模型
2.1入侵检测技术的发展现状
入侵检测技术经过20多年的发展,很多方面都已比较成熟,但由于新情况、新需求的不断出现,入侵检测技术还有待于人们不断研究,不断推进。现在的入侵检测系统主要有两类:一类是基于主机的入侵检测系统,主要用于保护某一台主机的资源不被破坏;另一类是基于网络的入侵检测系统,主要用于保护整个网络不被破坏。入侵检测的方法可以分为两类:一类是误用检测,对不正常的行为建模,符合特征库中描述的行为就被视力攻击。一类是异常检测,对系统的正常的行为建模,特征库命没有描述的行为被怀疑为攻击。
入侵检测系统的织成主要有采集模块、分析模块和管理模块。采集模块主要用来搜集数据,供入侵检测系统进行分析;分析模块完成对数据的解析,给出怀疑值或作出判断;管理模块主要功能是作决策响应。为了更好地完成入侵检测系统的功能,系统一般还有数据顶处理模块、通信模块、响应模块和数据存储模块等。
入侵检测系统的应用范围在不断扩大.开始主要是保护某一台主机,后来发展到保护一定规模的网络,现在人们正在研究用于大规模网络的入侵检测系统。网络规模的扩大.使得在单位时间内要处理的数据量增大,出此对入侵检测系统的数据处理速度提出了更高要求,对原有一些成熟的技术提小了挑战。为了完成人侵检测的功能,现在的入侵检测系统多数采用分布式体系结构,使用代理和移动代助技术。对于分布式大规模入侵检测系统的研究是当前入侵检测系统研究的热点。
2.2入侵检测模型
1)通用入侵检测模型
近年来,美国计算机科学家Stuart Staniford-Chen等人提出了CIDF模型,这是一个通用的入侵检测框架,它可以有效将一个入侵检测系统分为多个组件,分别是事件数据库(Event Databases)、响应单元(Response Units)、事件分析器(Event Analyzers)和事件产生器(Event Generators),如图1所示。
各个组件之间通过通用入侵检测对象GIDO来进行交互CIDF消息数据。CIDF将IDS所需要分析的数据都一并称为事件,这些事件可以是从系统日志等方法的信息,也可以是网络中的数据包。事件数据库可以是简单的文本文件,也可以是复杂的数据库,它是用来各种最终数据和中间数据的地方。响应单元可以只是简单的报警,也能够改变文件属性、做出切断连接等强烈反应,它是一个功能单元,专门用来对分析结果做出反应的。而事件产生器的目的是向系统的其他部分提供此事件,同时从整个计算的环境中来不断获得事件。事件分析器是用事件产生器得到的数据来进行分析,并得出有效的分析结果。目前计算机数据库入侵检测产品绝大多数都采用CIDF模型,而CIDF也正在不断的完善和有效开发中,笔者相信CIDF模型极其有可能成为入侵检测系统的标准。
图1 CIDF模型
2)层次化入侵检测模型
Steven等人在开发DIDS这种入侵检测系统的时候,提出IDM的模型,它是一个基于层次化的入侵检测模型。IDM模型将入侵检测系统分为安全状态层、威胁层、上下文层、主体层、事件层、数据层。
IDM模型给出了全部安全假设过程,从被监侧环境到高层次的有关入侵,而不是过去那种分散的原始数据。。通过加工抽象和数据关联操作收集到的分散数据,虚拟出了一台由主机和网络构成的机器环境,从而大大简化了对跨越单机的入侵行为的识别。IDM模型有个局限性,就是只能够应用于单台计算机的小型网络。
3)管理式入侵检测模型(SNMP-IDSM)
近年来随着互联网技术的快速发展,攻击者不再采用过去那种单一的网络攻击手段,而是通过合作的方式采用越来越复杂的网络攻击手段来快速攻击某个目标系统,那么IDS模型就不能发现这种入侵方式,容易造成损失。但是,只要IDS系统也可以采用合作的方式,那么就很有可能会检测到这些网络攻击手段。但是必须有一个前提,就是要有一种统一的数据表达格式和公共的语言,只要这样才可以有效能够实现分布式协同检测,让各个IDS系统之间能够较为顺利地实现信息的交换,基于这样的因素,北卡罗莱那州立大学的Felix Wu等人提出SNMP-IDSM,也就是基于SNMP的IDS模型。
SNMP-IDSM定义了IDS-MIB,通过SNMP作为公共语言来实现各个IDS系统的协同检测和消息交换,它能够易于扩展这些关系,同时也能够明确抽象事件和原始事件之间的复杂关系。SNMP-IDSM的工作原理如图2所示。在该图中,
IDS B负责请求最新的IDS事件和监视主机B,一旦主机IDS A检测到任何一个来自主机B的攻击企图,那么很快IDS B和IDS A就会取得联系,IDS A的请求能够在半个小时内得到IDSB响应,为了验证和寻找攻击的来源,IDS A可以通过MID脚本的方式来给IDS B发送一些必要的代码。这些代码可以快速搜集用户活动的信息和主机B的网络活动。最后,这些代码的执行结果能够让IDS A进一步得知入侵行为是来自于主机C。IDS A就马上和IDS C联系,让IDS C报告入侵事件,有效避免入侵事件的发生。
图2
3入侵检测系统特点分析
基本在国内外应用较为广泛的入侵检测系统都是集网络监视功能、网络管理和入侵检测于一身,采用国际上较为先进的分布式构架,它有超过2300余种规则,可以使用智能分析和模式匹配的方法,实时捕获内外网之间传输的所有数据,检测网络上发生的异常现象和入侵行为,利用内置的攻击特征库,在数据库中记录有关事件,同时把这些事件作为网络安全管理员进行事后分析的有效依据。它是高效的数据采集技术,减少处理TCP/IP堆栈,可以综合使用网络审计、内容恢复、行为分析、状态协议分析、异常分析、模式匹配等入侵分析技术,检测到所有的针对底层和应用层、端口探察、网络的扫描攻击,能够有效减少上下文切换和数据拷贝而带来的开销。脱离了单纯的解码或匹配的检测模式,综合运用多种检测手段,提供了高可用性的告警信息,有效降低了漏报误报率。入侵检测系统的基本组成部件如表1所示。
表1入侵检测系统的基本组成部件
4结束语
总之,计算机数据库入侵检测技术极其重要,但是由于计算机数据库结构具有复杂性的特点,计算机数据库入侵检测技术还面临着很多的研究难点,还需要对其进行深入的研究。
参考文献:
[1]郝玉洁,常征.网络安全与防火墙技术[J].北京:电子科技大学学报:社科版,2002,4(1):24-28.
[2]蔡忠闽,孙国基.入侵检测系统评估环境的设计与实现系统[J].仿真学报,2002,14(3).
[3] Rebecca B.Intrusion Detection[M].Macmillan Technical Publishing,2000.
[4]刘永华.基于Agent的分布式入侵检测系统[J].潍坊学院学报,2006(2).
[5] Cai Hongmin,Wu Naiqi,Teng Shaohua.Local network security scanning system design and implementation[J]. Micro computer application, 2005(1):45-48.
[6] Liu P.Architectures for Intrusion Tolerant Database Systems[C]//Proc. of 18th Annual Computer Security Applications Conf.Las Vegas,Ne? vada,Dec.2002.
[7] Ammann P,Jajodia S,McCollum C D,Blaustein B T.Surviving information warfare attacks on databases[C]//Proc. of the IEEE Symposium on Security and Privacy,0akland, CA, May 1997:164-174.
[8] Cai Jinlong,Qin Jing.Study on key technology of firewall[J]. Information Technology Research,2008(27):108-110.
[9] Li Wenping.Firewall technology and its application [J]. Sci tech information development and economy, 2006(20):136-138.
[10] Wu Shizhong,Ma Fang.The Network Information Security [M].Beijing:Mechanical Industry Press,2001: 20-156.