计算机数据库入侵检测技术优化
非法获取计算机信息系统数据罪-计算机数据库入侵检测技术优化
来源:长昊商业秘密律师
1、计算机数据库入侵检测技术的运用
1.1异常入侵检测
异常入侵检测,是指将用户在使用数据库时所常用的行为特征信息储存到数据库当中,当产生新的数据库使用行为时,系统会自动将当前的使用行为特征与储存好的用户常用数据库使用行为特征相比较,如果两者相差比较大,就说明此次访问行为与平时有明显的不同,即访问出现异常现象.遇到这种现象时系统会自动开启安全防御系统,对异常现象进行处理.异常入侵检测可以适用于大部分的计算机数据库安全检测,具有较强的实用性,而且可以在大量数据中慢慢地掌握检测的方法和规则。
1.2特征入侵检测
特征入侵检测指的是将目前计算机安全防护系统中已知的入侵信息特征储存在数据库当中,当新的数据库访问行为产生时,系统会自动将访问行为的特征与数据库已知的入侵信息特征相比较,如果两者一致,就说明本次访问行为属于入侵行为.而数据库已知入侵信息特征的设定是由专业的计算机操作人员负责,具体规则可以由计算机操作人员进行修改、添加,然后将检测规则储存在数据库系统当中。这种入侵检测方法的好处就是针对性比较强,检测的精确度比较高,但缺点也比较明显,由于针对性比较强,所以其适用范围就会相对较小,只能对于在数据库中所储存的特征入侵进行检测,而无法用于常规入侵检测,所以特征入侵检测通常是与异常入侵检测搭配使用。
2、当前计算机数据库入侵检测技术的局限性
计算机数据库入侵检测技术在我国的运用时间还不长,所以技术不够成熟,检测能力还不够强,许多新的应用方法和检测理论都还未完善,处于待发展阶段.目前我国计算机数据库入侵检测技术的应用主要存在以下几点问题:
2.1检测系统有漏洞或故障
入侵检测系统主要是检测外界对于数据库的攻击,保护数据库安全,所以对于检测系统的检测标准设定十分严格,所以当访问行为产生时,由于与检测标准不符,会有一些正常的访问行为被系统错误地判定为入侵行为,而对于某些真正的入侵行为又无法防范,严重影响了入侵检测系统的运行质量。
2.2检测系统效率不高
在计算机数据库入侵检测时,需要依赖算法来对安全信息进行计算,这个计算过程涉及到大量的二进制数据计算,所以计算量十分庞大.而随着用户的访问次数的不断增多,入侵检测所涉及到的计算量也越来越大,记录数据也越来越多,所以入侵检测的难度将大大增加,入侵检测的效率也会有所降低。
2.3检测系统对于自身的防护薄弱
目前的入侵检测技术尚未成熟,所以对于入侵检测系统本身的安全防护措施不到位.所以当外界攻击入侵时,如果优先攻击入侵检测系统,那么入侵检测系统很容易遭到破坏,从而无法检测入侵行为,系统也不会对入侵行为作出反应,数据库的安全性将遭到破坏.
3、计算机数据库入侵检测技术优化方案
3.1对检测算法进行优化更新
检测算法的关键就是要调查大量选集,虽然在一般情况下,检测算法都能将选集调查处理好,但是如果遇到较为复杂的综合数据库检测分析时,需要处理的选集数量十分庞大,检测算法在进行计算时需要花费较多的时间,所以对检测算法的优化更新十分重要.检测算法优化更新的方法主要有以下几点:
(1)控制一次性检测的选集数量,尽量减少待检测的选集数量;
(2)对数据库使用适当的扫描方式,通过扫描出来的编码可以直接经由算法得出结果。
3.2建立检测系统模型
入侵检测系统的工作原理是先对访问信息进行数据安全检测,确认访问行为的安全性,最后再决定允许访问或者阻止访问并报警.可以通过建立检测系统模型的方式来优化检测系统.检测系统模型一般可以分为访问信息采集模块、数据分析检测模块、分析结果响应模块以及系统管理模块。接下来详细分析数据库检测系统模型在入侵检测的运用流程:
(1)访问信息的采集:对数据库服务器的访问记录进行采集,然后提取出用户访问行为的总体特征,为构建特征数据库打好基础;此外,在面对数据库入侵时,要及时做好入侵检测记录,记录好入侵行为的特征,为以后的入侵检测提供方便,使入侵检测系统运行更加效率.
(2)数据分析处理:将前面采集到的信息进行分析处理,为后续的挖掘提取做准备,保证后续步骤的顺利进行。
(3)数据的挖掘提取:数据的挖掘提取是指将前面经过分析处理好的数据进行行为特征的提取,建立特征行为数据库。
(4)访问行为与特征数据库的比较:将当前访问行为与入侵检测特征数据库当中的行为特征相比较,如果差异比较大则视作入侵行为,如果基本符合则是用户的正常访问行为。
(5)当前访问行为的特征提取:从当前用户的访问行为中提取行为特征,将其与数据库中储存的行为特征进行对比。
(6)入侵检测功能:通过特殊的入侵检测算法,从特征数据库当中提取出入侵检测规则,检测用户的访问行为是否正常,如果正常则允许访问,如果异常则视作入侵行为,自动开启安全防护模式
3.3设置统一的入侵检测标准
了解数据库遭受入侵的原因和入侵的特点是入侵检测当中的一大要点,只有加强对入侵检测的特点的研究,才能掌握防御入侵的方法.在入侵检测的研究中有一个比较常用的方法,就是设置几个相关的研究组,记录研究数据,然后将几个研究组当中的数据进行整理比较,分析各组之间的联系程度,最后将这些数据进行有效结合,设置统一的入侵检测标准,用于检测系统潜在的入侵危险。
