SQLServer數(shù)據(jù)庫入侵檢測(cè)系統(tǒng)的研究

1、    sqlserver數(shù)據(jù)庫入侵檢測(cè)系統(tǒng)的研究    郭可摘要：隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，互聯(lián)網(wǎng)在人們的生活中已經(jīng)普及，網(wǎng)絡(luò)攻擊也成為網(wǎng)絡(luò)發(fā)展中需要解決的一個(gè)重要的課題。傳統(tǒng)的防火墻技術(shù)已經(jīng)不能滿足互聯(lián)網(wǎng)安全的需要，數(shù)據(jù)庫的入侵檢測(cè)技術(shù)在提高網(wǎng)絡(luò)的安全性方面可以提供有效的保障。該文對(duì)入侵檢測(cè)系統(tǒng)和數(shù)據(jù)庫入侵檢測(cè)技術(shù)進(jìn)行了簡(jiǎn)單的分析，提出了sql server數(shù)據(jù)庫入侵檢測(cè)系統(tǒng)設(shè)計(jì)方法。關(guān)鍵詞：入侵檢測(cè)技術(shù)；數(shù)據(jù)庫安全；sql server；數(shù)據(jù)挖掘：tp311 ：a ：1009-3044（2016）19-0003-02sql server databa

2、se intrusion detection system researchguo ke（qinhuangdao institute of technology， qinhuangdao 066100， china）abstract： with the rapid development of network technology， the internet has spread in the life of people， network attack has become a developing needs to solve an important issue. the traditi

3、onal firewall technology already cannot satisfy the needs of internet security， intrusion detection technology in improving the security of network database can provide effective protection. in this paper， the intrusion detection system and database intrusion detection technology has carried on the

4、simple analysis， sql server database intrusion detection system design method is proposed.key words： intrusion detection technology； the database security； sql server； data mining1 入侵檢測(cè)系統(tǒng)1.1 入侵檢測(cè)系統(tǒng)概念互聯(lián)網(wǎng)時(shí)代的到來，給人們的生活和工作帶來了很多便利，同時(shí)互聯(lián)網(wǎng)的安全問題也越來越突出。每年因?yàn)榫W(wǎng)絡(luò)安全問題都會(huì)給人們?cè)斐梢欢ǖ慕?jīng)濟(jì)損失，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全關(guān)系到社會(huì)和國(guó)家的穩(wěn)定。傳統(tǒng)的防火墻技術(shù)在網(wǎng)絡(luò)安

5、全中所起的作用具有一定的局限性，防火墻主要是處于內(nèi)網(wǎng)和外網(wǎng)之間，作為一道屏障，但是外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問不都是經(jīng)過防火墻進(jìn)入的，防火墻不能夠起到絕對(duì)的作用。防火墻很容易被黑客應(yīng)用端口和漏洞技術(shù)進(jìn)行攻擊，而且有好多網(wǎng)絡(luò)安全的威脅不僅是來自外部網(wǎng)絡(luò)的，內(nèi)部網(wǎng)絡(luò)一樣存在網(wǎng)絡(luò)安全的威脅。從防火墻的實(shí)際功能上看不能夠提供實(shí)時(shí)的入侵檢測(cè)功能。防火墻技術(shù)存在局限性，防火墻技術(shù)需要人為進(jìn)行配置，是一種靜態(tài)的安全技術(shù)，對(duì)入侵的行為不能主動(dòng)的追蹤。入侵檢測(cè)技術(shù)需要一種能對(duì)入侵行為及時(shí)發(fā)現(xiàn)，并采取阻止的相應(yīng)策略，防止黑客的攻擊，對(duì)入侵行為進(jìn)行分析，查找出系統(tǒng)的漏洞并及時(shí)修復(fù)。入侵檢測(cè)系統(tǒng)是把硬件和入侵檢測(cè)的軟件兩

6、者相結(jié)合的一種網(wǎng)絡(luò)安全檢測(cè)系統(tǒng)。在國(guó)外，入侵檢測(cè)的定義首先被提出是在1980年，把入侵行為分為外部的非法闖入和內(nèi)部授權(quán)用戶對(duì)權(quán)限的濫用兩種。任何對(duì)資源的完整性和可用性進(jìn)行破壞的行為都叫做入侵。在1987年首次把入侵檢測(cè)模型和入侵檢測(cè)應(yīng)用到計(jì)算機(jī)安全防御中。目前入侵檢測(cè)技術(shù)已經(jīng)成為網(wǎng)絡(luò)安全中的熱點(diǎn)課題。1.2 入侵檢測(cè)系統(tǒng)的功能對(duì)惡意使用計(jì)算機(jī)和網(wǎng)絡(luò)資源的行為進(jìn)行識(shí)別，對(duì)外部的入侵行為進(jìn)行檢測(cè)，對(duì)內(nèi)部用戶未授權(quán)行為進(jìn)行監(jiān)督，對(duì)用戶活動(dòng)進(jìn)行監(jiān)視和分析，對(duì)系統(tǒng)進(jìn)行安全的設(shè)計(jì)和跟蹤管理，對(duì)攻擊行為識(shí)別后采取報(bào)警策略，報(bào)告相關(guān)人員進(jìn)行處理，這就是入侵檢測(cè)的功能。入侵檢測(cè)系統(tǒng)的組成是由入侵檢測(cè)的軟件和硬件

7、共同構(gòu)成的。入侵檢測(cè)技術(shù)已經(jīng)成為網(wǎng)絡(luò)安全技術(shù)中的重要組成部分，在計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)中防火墻是第一道門，入侵檢測(cè)系統(tǒng)就是第二道門。1.3 入侵檢測(cè)系統(tǒng)模型：入侵檢測(cè)系統(tǒng)的模型如圖1所示，在入侵檢測(cè)系統(tǒng)模型中包括六個(gè)部分，主體部分通常是在系統(tǒng)上活動(dòng)的用戶，對(duì)象是系統(tǒng)的資源包括文件和命令等，審計(jì)記錄中的活動(dòng)是指對(duì)主體的登陸、讀寫等操作，異常是指違反系統(tǒng)權(quán)限的異?；顒?dòng)的報(bào)告和異常事件的發(fā)生情況，活動(dòng)檔案是保持系統(tǒng)正?；顒?dòng)的信息，活動(dòng)規(guī)則是判斷異常記錄是否是入侵行為，系統(tǒng)的正常活動(dòng)作為標(biāo)準(zhǔn)，對(duì)系統(tǒng)審計(jì)記錄進(jìn)行分析，處理發(fā)生的入侵行為。1.4 入侵檢測(cè)系統(tǒng)分類入侵檢測(cè)系統(tǒng)分類可以從數(shù)據(jù)源和檢測(cè)技術(shù)兩方面進(jìn)

8、行分類，從數(shù)據(jù)源進(jìn)行分類，可以分為基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)，是通過對(duì)主機(jī)進(jìn)行監(jiān)視并對(duì)審計(jì)記錄進(jìn)行分析，監(jiān)控主要在分布和交換的環(huán)境下進(jìn)行，對(duì)攻擊的行為進(jìn)行準(zhǔn)確的判斷?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)主要是針對(duì)主機(jī)的，對(duì)來至網(wǎng)絡(luò)的攻擊很難做出正確的檢測(cè)，檢測(cè)過程中占有一定的系統(tǒng)資源?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)也叫做ids?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)叫做nids，在共享的網(wǎng)段上對(duì)數(shù)據(jù)進(jìn)行監(jiān)聽并把數(shù)據(jù)采集收集后進(jìn)行分析。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)不需要主機(jī)，所以不占有系統(tǒng)的資源。從檢查技術(shù)上分為基于特征和基于異常的兩種檢測(cè)方式，基于特征的檢測(cè)要定義一個(gè)入侵特征數(shù)據(jù)庫，在檢測(cè)的時(shí)

9、候把檢測(cè)的特征和特征庫進(jìn)行對(duì)比，在特征庫中存在比對(duì)的入侵行為特征，那么就可以判斷出是入侵行為，這樣系統(tǒng)會(huì)檢測(cè)出來入侵行為。對(duì)新的入侵行為和入侵行為的變種的檢測(cè)還是存在一定缺陷?；谔卣鞯娜肭謾z測(cè)技術(shù)還有專家系統(tǒng)檢測(cè)、模式匹配檢測(cè)和基于模型推論檢測(cè)。基于異常檢測(cè)首先是要對(duì)系統(tǒng)正常使用情況的數(shù)據(jù)進(jìn)行定義，把系統(tǒng)運(yùn)行時(shí)候的數(shù)據(jù)與系統(tǒng)正常情況的定義的數(shù)據(jù)進(jìn)行對(duì)比?；诋惓z測(cè)的判別方法范圍比較大，對(duì)未發(fā)現(xiàn)的攻擊也可以判斷出來。目前的基于異常的入侵檢測(cè)技術(shù)包括狀態(tài)轉(zhuǎn)移分析檢測(cè)技術(shù)、統(tǒng)計(jì)分析檢測(cè)技術(shù)、基于神經(jīng)網(wǎng)絡(luò)檢測(cè)技術(shù)、基于免疫檢測(cè)技術(shù)和基于數(shù)據(jù)挖掘的檢測(cè)技術(shù)。 2 數(shù)據(jù)庫入侵檢測(cè)技術(shù)2.1 數(shù)據(jù)庫安全

10、機(jī)制數(shù)據(jù)庫主要是用來進(jìn)行數(shù)據(jù)信息存儲(chǔ)的，網(wǎng)絡(luò)中對(duì)數(shù)據(jù)庫的攻擊非常多，sql injection是數(shù)據(jù)庫攻擊中的主要攻擊方式，sql injection攻擊時(shí)對(duì)sql injection的漏洞進(jìn)行攻擊，sql injection的漏洞主要體現(xiàn)在程序中對(duì)變量的處理不正確，對(duì)用戶數(shù)據(jù)過濾布充分。sql injection的攻擊原理是在系統(tǒng)的實(shí)際sql語句中插入想要的sql語句，獲取信息或者對(duì)服務(wù)器進(jìn)行控制。sql injection攻擊檢測(cè)方法主要是對(duì)漏洞進(jìn)行檢測(cè)，解決sql injection攻擊的方法要從根本的程序入手，對(duì)來源于web服務(wù)器的用戶修改的html的數(shù)據(jù)和表單數(shù)據(jù)進(jìn)行過濾。數(shù)據(jù)庫存儲(chǔ)

11、大量的數(shù)據(jù)，保證數(shù)據(jù)庫的安全是計(jì)算機(jī)系統(tǒng)安全的重要問題，數(shù)據(jù)庫系統(tǒng)的安全主要取決于系統(tǒng)安全的保護(hù)措施。系統(tǒng)處理和物理處理是數(shù)據(jù)庫安全保密的兩種方式，物理處理是防止通信線路竊聽行為對(duì)數(shù)據(jù)進(jìn)行加密，保護(hù)存儲(chǔ)設(shè)備安全，對(duì)用戶身份識(shí)別的措施。數(shù)據(jù)庫要對(duì)執(zhí)行的活動(dòng)進(jìn)行控制以及對(duì)信息進(jìn)行查看與修改，必須要建立一個(gè)安全牢固的數(shù)據(jù)庫安全系統(tǒng)，安全的數(shù)據(jù)庫系統(tǒng)可以對(duì)數(shù)據(jù)進(jìn)行有利的保護(hù)。sql server安全管理包括安全架構(gòu)、安全級(jí)別和審計(jì)跟蹤。安全架構(gòu)，在微軟的sql server 工作時(shí)用戶要經(jīng)過身份驗(yàn)證和權(quán)限驗(yàn)證，授權(quán)是用登陸賬戶對(duì)用戶進(jìn)行標(biāo)示，并對(duì)用戶連接sql server進(jìn)行驗(yàn)證。用戶身份驗(yàn)證成功就

12、可以連接到sql server，對(duì)用戶賬戶的訪問權(quán)限要在每個(gè)數(shù)據(jù)庫中進(jìn)行映射。安全級(jí)別，數(shù)據(jù)庫應(yīng)用系統(tǒng)都是在特定的操作系統(tǒng)平臺(tái)上運(yùn)行的，sql server安全級(jí)別包括操作系統(tǒng)、sql server登陸、數(shù)據(jù)庫使用和數(shù)據(jù)庫對(duì)象的使用。sql server審計(jì)是通過sql事件探查器對(duì)數(shù)據(jù)進(jìn)行收集以表的形式進(jìn)行分析，sql 事件查看器可以對(duì)執(zhí)行慢的程序進(jìn)行識(shí)別，對(duì)生產(chǎn)系統(tǒng)中的事件進(jìn)行捕獲，在測(cè)試系統(tǒng)中進(jìn)行重播，并解決sql server中的問題，對(duì)測(cè)試可以提供很大的幫助。2.2 數(shù)據(jù)挖掘入侵檢測(cè)隨著數(shù)據(jù)庫技術(shù)的迅速發(fā)展，人們對(duì)數(shù)據(jù)存儲(chǔ)能力的要求越來越高，越來越多的數(shù)據(jù)的積累，在大量的數(shù)據(jù)中隱藏著許

13、多重要的信息，人們?yōu)榱烁玫乩眠@些數(shù)據(jù)信息，采用更高層次的方法對(duì)這些數(shù)據(jù)信息進(jìn)行分析。數(shù)據(jù)庫系統(tǒng)在對(duì)數(shù)據(jù)進(jìn)行錄入和統(tǒng)計(jì)查詢上起著很重要的作用。數(shù)據(jù)的存儲(chǔ)在數(shù)據(jù)庫管理系統(tǒng)，通過機(jī)器的學(xué)習(xí)方法對(duì)數(shù)據(jù)進(jìn)行分析，把大量數(shù)據(jù)背后的知識(shí)挖掘出來，這個(gè)過程我們叫做kdd，數(shù)據(jù)庫中知識(shí)的發(fā)現(xiàn)。數(shù)據(jù)庫中的知識(shí)是多樣的，包括統(tǒng)計(jì)、數(shù)據(jù)可視化和模擬識(shí)別等，可以說數(shù)據(jù)庫知識(shí)的發(fā)現(xiàn)是一門交叉性的綜合學(xué)科。數(shù)據(jù)庫中發(fā)現(xiàn)的知識(shí)可以再信息管理和科學(xué)研究等多領(lǐng)域進(jìn)行應(yīng)用。數(shù)據(jù)庫中知識(shí)的發(fā)現(xiàn)kdd中最核心的部分就是數(shù)據(jù)挖掘，對(duì)知識(shí)的學(xué)習(xí)采用機(jī)器學(xué)習(xí)和統(tǒng)計(jì)等方法，發(fā)現(xiàn)知識(shí)的好壞直接受數(shù)據(jù)挖掘算法的好壞的影響，數(shù)據(jù)挖掘算法和應(yīng)用的

14、研究受到人們的密切關(guān)注。數(shù)據(jù)挖掘技術(shù)是人工智能的，是一個(gè)決策支持的過程，采用機(jī)器學(xué)習(xí)統(tǒng)計(jì)技術(shù)，對(duì)數(shù)據(jù)進(jìn)行高度自動(dòng)化分析，進(jìn)行歸納并進(jìn)行推理，把潛在的模式挖掘出來，對(duì)用戶的行為進(jìn)行預(yù)測(cè)。數(shù)據(jù)挖掘技術(shù)采用的算法和技術(shù)都是比較成熟的。數(shù)據(jù)挖掘技術(shù)分析方法包括四種分析方法，分別是關(guān)聯(lián)分析、序列模式、分類和聚類。關(guān)聯(lián)分析方法是把隱藏在數(shù)據(jù)間的關(guān)系挖掘出來，通過分析進(jìn)行推導(dǎo)，在網(wǎng)絡(luò)安全中的具體應(yīng)用就是采用關(guān)聯(lián)分析方法對(duì)入侵者的入侵行為進(jìn)行分析，找出入侵者之間的關(guān)聯(lián)性。序列模式分析也是對(duì)數(shù)據(jù)之間的關(guān)系進(jìn)行挖掘的，重點(diǎn)是數(shù)據(jù)之間的前后關(guān)系，黑客對(duì)網(wǎng)絡(luò)的攻擊都是有先后順序的，比如黑客要對(duì)某個(gè)系統(tǒng)進(jìn)行攻擊首先就是

15、要對(duì)系統(tǒng)的端口或者漏洞進(jìn)行掃描，然后采取合適的攻擊方式。分類分析是按標(biāo)記對(duì)記錄進(jìn)行分配，對(duì)每個(gè)標(biāo)記都是標(biāo)注一個(gè)標(biāo)記，對(duì)標(biāo)有標(biāo)記的記錄進(jìn)行檢測(cè)，把它們的特征描述出來，比如對(duì)黑客的入侵可以設(shè)定低中高的安全級(jí)別。聚類攻擊時(shí)采用合理的方式和不同的算法對(duì)記錄集合進(jìn)行分類，對(duì)不同的級(jí)別采用顯示或隱示的方法。3 sql server數(shù)據(jù)庫入侵檢測(cè)設(shè)計(jì)在入侵檢測(cè)系統(tǒng)中可以采用數(shù)據(jù)挖掘技術(shù)提取出有用的數(shù)據(jù)，數(shù)據(jù)挖掘技術(shù)在大量的數(shù)據(jù)中進(jìn)行特征提取非常實(shí)用，sql server數(shù)據(jù)庫入侵檢測(cè)技術(shù)把入侵檢測(cè)技術(shù)和數(shù)據(jù)挖掘技術(shù)結(jié)合到一起，結(jié)構(gòu)包括事件產(chǎn)生器、數(shù)據(jù)挖掘、異常檢測(cè)等。在結(jié)構(gòu)設(shè)計(jì)中，事件產(chǎn)生器的設(shè)計(jì)思想是采用sql server2000中的profile工具對(duì)數(shù)據(jù)庫系統(tǒng)審計(jì)數(shù)據(jù)進(jìn)行采集和追蹤，記錄對(duì)象權(quán)限使用情況。在設(shè)計(jì)的試驗(yàn)中我們需要在sql server的數(shù)據(jù)庫中定義一個(gè)審計(jì)數(shù)據(jù)源，通過執(zhí)行存儲(chǔ)過程createtrace進(jìn)行跟蹤，再執(zhí)行transact sql語句把跟蹤到的信息存放到process數(shù)據(jù)庫表中。實(shí)驗(yàn)設(shè)計(jì)對(duì)用戶正常操作的數(shù)據(jù)進(jìn)行采集，得到的數(shù)據(jù)模型是正常狀態(tài)下的用戶的行為，并對(duì)采集的待檢測(cè)數(shù)據(jù)進(jìn)行處理，以會(huì)話表格形式表示出來，進(jìn)行關(guān)聯(lián)挖掘產(chǎn)生