入侵检测技术在数据库系统的应用

  相比较而言，滥用入侵检测比异常入侵检测具备更好的确定解释能力，即明确指示当前发生的攻击手段类型，另外，滥用入侵检测具备较高的检测率和较低的虚警率，开发规则库和特征集合相对于建立系统正常模型而言，要更容易、更方便。但是，滥用入侵检测只能检测到已知的攻击模式，模式库只有不段更新才能检测到新的攻击类型。而异常检测的优点是可以检测到未知的入侵行为，尽管可能无法明确指示是何种类型。从现有的实际系统来看，大多数都是基于滥用入侵检测技术，同时也结合使用异常入侵检测技术，提高了检测率并降低了虚警率。
        3数据库系统的安全
        数据库系统的安全框架可分为三个层次:网络系统层次、宿主操作系统层次和数据库管理系统层次。由于数据库系统在操作系统下都是以文件形式进行管理的，因此入侵者可以直接利用操作系统的漏洞窃取数据库文件，或者直接利用OS 工具来非法伪造、篡改数据库文件内容。因此，数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大，则数据库系统的安全性能就较好。根据数据库安全的三个层次，笔者提出了一个数据库入侵检测系统，其外层用基于网络的入侵检测，中间层用基于主机的入侵检测，内层采用入侵容忍。此系统采用系统整体安全策略，综合多种安全措施，实现了系统关键功能的安全性和健壮性。
        4数据库入侵检测技术
        数据库入侵检测系统的研究与设计借鉴了针对网络和针对主机的入侵检测技术，在此基础上，又考虑了数据库自身的特点。按照检测方法分为: 误用检测和反常检测。
        （1）数据库误用检测
        误用检测是指将已知的攻击特征存储在误用特征知识库里面，然后根据用户的当前操作行为与知识库里的误用入侵规则进行匹配检验，如果符合知识库中的入侵特征，则说明发生了入侵。误用特征知识库中的入侵规则由安全专家定义，可以随时添加、修改，然后保存在知识库中，用来对审计数据进行匹配比较。误用检测的优点是检测的准确率高，缺点是只能对已知的攻击特征进行匹配检验，对未知的攻击类型无法发现，而对未知攻击类型的检测要依靠异常检测。所以，误用检测常常与异常检测结合起来使用。
        （2）数据库反常入侵检测
        反常检测是指将用户正常的习惯行为特征存储在特征数据库中，然后将用户当前行为特征与特征数据库中的特征进行比较，若两者偏差足够大，则说明发生了反常。这种方法的优势在于它能从大量数据中提取人们感兴趣的、事先未知的知识和规律，而不依赖经验，应用在基于数据库的入侵检测系统中，可以从大量的数据中发现有助于检测的知识和规则。
参考文献：
［1］唐正军.入侵检测技术导论［M］. 机械工业出版社, 2004.
［2］戴英侠,连一峰,王航.系统安全与入侵检测［M］.清华大学出版社, 2002.
［3］玄加林,才书训.入侵监测系统现状与展望［J］.计算机时代, 2005,8.
［4］李新远,吴宇红,狄文远.基于数据发掘的入侵检测建模［J］.计算机工程, 2002,2.
［5］胡昌振.网络入侵检测原理与技术［M］.北京理工大学出版社, 1996.