电子商务环境中数据库入侵检测系统的研究与实现.doc-道客多多

资源描述

1、贾州大学计机应用技术2005屈硕士研究生论文贵州大学硕士学位论文电子商务环境中数据库入侵检测系统的研究与实现姓名：雷宏申请学位级别：硕士专业：计算机应用技术导教师：杨世平20050401第一章引言hi本文研究的内容及意义随着Internet的普及和发展.电子商务以其廉价高效、无时间和空间限制的优点正走入人们的针会生活中。数据库系统是电子商务系统的核心部分，其屮保存着各种各样的重要的数据，例如客户的信用卡-号，客户的隐私，客户的交易信息，企业的商业秘密等，保护这陛数据的安全对于保护客户的权益，维护企业的信誉，保证电子商务活动的正常开展具有十分重要的意义。由于电子商务系统中Web服务器往往

2、存在安全漏洞，并且由于经济和技术的原因，这些安全漏洞短期内难以完全消除，因此内部或外部攻击者发现和利用这些安全漏洞来窃収和破坏数据库中数据的事件时有发生，给电子商务系统的安全带来严重的威胁。入侵检测技术是解决1.述安全威胁的一种办法，但是长期以来入侵检測研究的重点集中在网络层面和操作系统层面，人量的入侵检测的产品也大都针对这两个层面上的入侵行为进行检测 lia7 uwwu637w44i。基于网络的入侵检测和基于主机的入侵检测系统在保护电子商务数据库系统安全方面存在两个不足：贾州大学计机应用技术2005屈硕士研究生论文(1) 它们不能抵御数据库应用层面的攻击行为，例如SQLije

3、rtioii “l攻击。所谓数据库的应用层攻击行为是指在未授权的情况下利用SQL语句非法访问数据库的行为。(2) 它们很难抵御内部攻击者对数据库的攻击，内部攻击者的入侵行为容易躲避基于网络的入侵检测和基于主机的入侵检測而不被发现。所以，为了保护电子商务环境中数据库的安全，迫切需要在网络屋面和操作系统层面进行入侵检渊之外，还应增加对数据库应用屋面的入侵行为进行检溯.月前，国内外针对数据库入侵检的研究不多.根据掌握的文献，AppRadar是第一个数据库入侵检测系统产品Psi,它采取误用检測技术，缺点是只能检査出已知的入侵攻击行为，对未知的入侵行为无能为力。国内目前还未出现关于数据库入侵检

4、测系统产品的报道。本文的研究目标是设计和实现一个电子商务环境下的数据库入侵检测系统（Database Intrusion Detection System. DIDS),检测出内部和外部攻击者利用数据库服务器或Web服务器的安全漏洞非法访问后端数据库的应用层攻击行为本文的研究内容如下：(1) 研究数据库应用层入侵检测的方法；(2) 设计数据库应用层入侵检测系统的体系结构：资州大学计算机丨、用技术2005届硕士研究生论文(3)实现一个数据库入侵检测系统的原型，对所实现的原型系统进行测试，重点测试检测精度和对数据库系统性能的影响情况。1.2本文所做的工作本文围绕设计和实现一个电子商务

5、环境F的数据库入侵检测系统这一研究0标，rt 体完成了以F.r作：(1) 分析了电子商务系统中数据库存在的安全威胁以及现在广泛使用的安全技术存在的不足：(2) 设计；r 数据库的入侵检测系统.包括系统的工作原理，系统的组成结构，入侵检测方法的选择及其可行性分析，系统的学习模型和系统的检测模型；(3) 根据上述设计结果，基于Apache+PHP+Mysql,实现了-个DIDS的原型系统，并对原魁系统进行测试。1.3本文的组织结构本文的组织结构如下-第一章阐述了本课题研究的内容与意义。第二章简要介绍了本课题的相关技术背景，阐述了 Inteniet的安全问题、入侵检测技术以及数据库安全技术

6、的基本概念和原理。第三章详细说明了数据库入侵检测系统的设计，包括工作原理、体系结构和检测模型第四章详细说明了数据库入侵检测系统原型的实现情况,包括实现的环境以及数据的收集，行为轮靡的建立和入侵检渊的实现*第五章总结了本文的研究工作，说明了课题实现过程中的攻关点以及作者的研究体会t 并结合数据库安全的发展方向提出了下一步的研究方向。第六章和第七章分别是致谢和主要参考文献。第二章相关技术综述2.1丨nternet带来的安全问题2.1.1信息安全以Internet为代表的全球性信息化浪潮H益深刻，信息网络技术的应ffliH日益普及和广泛，应用层次正在深入，应用领域从传统的、小销业务系统逐渐向

7、大型、关键业务系统扩资州大学计算机丨、用技术2005届硕士研究生论文展，典型的如电子政务、网上银行、屯f-商务系统等。伴随网络的普及，安全曰益成为影响网络效能的重要问题，而丨nlemet所具有的幵放性、国际性和自由性在增加应用fi由度的同 B4,对安全提出了更髙的要求，这主要表现在：(1) 开放性幵放的网络，导致网络的技术是全开放的，任何个人、团体都可能获得，闲而网络所面临的破坏和攻击可能是多方面的，例如：可能来自物理传输线路的攻击，也可以对网络通信协议和实现实施攻击：可以是对软件实施攻击，也可以对硬件实施攻击。(2) 国际性全球一体化的一个网络还意味着网络的攻击不仅仅来自本地网络的

8、用户，它可以来自Intemel上的任何一个机器，也就是说，网络安全所面临的是一个国际化的挑战。(3) 自由性自由意味着网络最初对用户的使用并没有提供任何的技术约束，用户可以自由地访问网络，自由地使用和发布各种类型的信息，用户只对自己的行为负责，而没有任何的法律限制。尽管，开放的、自由的、国际化的tatemel的发展给政府机构、企事业单位带来了革命性的改革和幵放，使得他们能够利用Internet提高办事效率和市场反应能力，以便更具竞争力。通过imemel,他们可以从异地取回重要数据，同时又要面对丨nleme 丨开放带来的数据安全的新挑战和新危险。如何保护企业的机密信息不受黑客和工业

9、间谋的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一9信息安全通常强调所谓的“OA“三元组的目标，即保密性（ConfuknlialUy)、完整性 (imegrity)和可用性（Availabilhy), “CIA“概念的阐述来自于信息技术安全评估标准 (Information Technology Security Evaluation Criteria, ITSEC).保密性：确保信息在存储、使用、传输过程中不会泄漏给非授权用户：完整性：确保信息在存储、使用、传输过程中不会被非授权用户第改同时还要防止授权用户对系统及信息进行不恰当的寡改，保持信息内、外部表示的一

10、致性：可用性：确保授权用户对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。2.1.2电子商务安全电于商务（Electronic Commcrcc)是以开放的丨ntcmct 网络环境为基础，在计算机系统 i；持下进行的商务活动。屯？商务的一个重要技术特征是利用IT技术来传输和处理商业信商务交易安全则紧紧ffl 绕传统商务在互联网络上应ffl 时产牛的各种安全问题，在计算机网络安全的基础上，保障电子商务过程的顺利进行，即实现电子商务的保密性、完整性、可鉴别性，不可伪造性和不可抵赖性。计算机网络安全与商务交躲安全密不分，两者相辅相成，缺一不可。资州大学计算机丨

11、、用技术2005届硕士研究生论文们是，随着网络的迅猛发展、网络安全问题的日益突出、黑客入侵活动的日益猎厥，越来越多的系统遭到了入侵的威胁，网络安全问题成为了发展电子商务的一大阻力。g前网络安全的解决主要采取的技术手段有防火墙、安全路由器、身份认证系统、VPN和系统安全性分析系统等。它们对防止系统入侵都有一定的效果，但它们只是起着防御的功能，不能完全阻I 丨. 入侵者攻击或利用计算机软硬件的缺陷阁入未授权的计算机或潘用计算机及网络资源，这些技术已经不能满足日益变化的网络安全潘求了，而另一项技术入侵检测技术在 -定程度上弥补了这些不足。2.2入侵检测技术2.2.1入侵检测的必要性针对信

12、息安全的CIA“三元组目标，计算机网络安全应提供保密性、完整性和抵抗柜绝服务攻的能力。但是随着imcmet网络连接的迅速扩展，网上电子商务的深入，操作系统和应用软件复杂化带来的漏洞和缺陷,使得倌息系统受到入侵者攻击的可能性也随之越来越大。虽然可以使用身份验证和严格的访问控制，以及密码学方法对数据提供保护，但这些只能应付一部分攻击，现在攻击手段越来越多样化、晚秘化，只是用这些手段并不完全可行，因为访问控制和保护模型本身存在以下现在还难以解决的问题：(1) 弱口令问题。如果口令是弱口令并且己被破解，那么访问控制措施就不能阻止受到危害的授权用户的信息丢失或者被破坏.(2) 静态安全措施不

13、足以保护安全对象厲性*通常，在一个系统中，静态的安全保障的方法可能过于简单而且不充分，存在的安全隐患比较多，而且对用户的限制过多，使用起来很不方便。所以，动态安全措施如行为跟踪对检测和尽可能阻止安全突破是必要的，动态安全方法能检测和阻li.安全事故。(3)软件的本身不可能没有缺陷软件工程领域的复杂性，使软件错误在很长的一段时期内进无法解决的。系统软件容错成为安全上的弱点，而且系统软件的缺陷越来越多地被发现和披露出来。(4)软件生命周期缩短和软件测试不充分。由于软件市场的竞争，软件的生命周明不断被缩短.导致设计和测试的时间不足，无法最大地减少软件漏洞和错误。(5)系统软件缺陷的修补T

14、作复染，而ii 源代码大多不公开，也缺乏修补缺陷的专门技术，要将已使用的有安全缺陷的系统转换成安全系统需要相当长的时间。由r蓄意的未授权尝试可能造成非授权信息的访问，并泄漏信息，导致系统不可靠或不可用，因此必须设计系统的安全机制以保护系统资源与数据以防恶意入侵。但要完全防II:安全问题的出现、建立一个完全安全的系统是不可能的。但可以建立起相应的安全辅助系统，资州大学计算机丨、用技术2005届硕士研究生论文来尽可能地检厕出入侵以便及时地修补漏洞、采取补救措施，入侵检溯系统（immsion Detection System, IDS)就是这样的一种安全辅助系统，它从多种计算机系统及网络中

15、收集信息，再从这些信息中分析外部入侵以及内部误用的特征。入侵检测的主要目的是：识别入慢者；识别入侵行为；检测和监视己成功的安全突破；为对抗入侵及时提供重要信息，阻止银件的发生和事态的扩大。因而，入侵检测时非常必要的，2.2.2入侵检测的发展国际上早在20世纪70年代就开始了对计箅机和网络遭受攻击防范的研究,审计跟踪为当肘主要的方法 1980年，Aiidereon 】首先提出了入侵检测的概念，他将入侵尝试或威胁定义为：潜在的、有预谋的，未经授权的访问信息、操作信息，致使系统不可靠或无法使用的企图。他提出审计追踪可应用于监视入侵威胁-但这一设想的重要性当时并未被理解，但他的这一份报告

16、被认为是入侵检測的开创性工作，从1984年到986年，Dming和Neumann 研究并发展了一个实时入侵检测系统模型（图2,1) izii，命名为Mruskm Detection Expert System (入侵检测专家系统，IDES),它是一种通过使用统计方法发现用户异常操作行为并判断检测攻击的基于主机的入侵检测系统，将异常定义为“稀少和不寻常“（指一些统计特征量不在正常范围内），他们的这个假设是许多入侵检测研究和系统原型的基础。1987年，Denning 提出关于这个问题的论文被认为是另一篇入侵检测的开创之作【】。 1988年，Morris丨mcraetfi? 虫事件导

17、致了许多入侵检测系统的开发研制。1988年，丨int等人进一步改进了 Denning提出的入侵检测模型，他提出了与系统平台无关的实时检测思想 1990 年，Heberlein 等人提出基于网络的入侵检测(Network Security Monitor, NSM), NSM 可以通过在局域网上主动地监视网络信息流量来追踪可疑的行为 3 。199年，NADIR (Network Anomaly Detection and Intrusion Reporter DIDS( Distribute Intrusion Detection System)42 I提出了收集和合并处理来自多个主机的审计信

18、息从而用以检測针对一系列主机的协同攻击。1994年，Mark Crosbie和Gene Spafford建议使用自治代理以便提髙入侵监测系统的可伸缩性、可维护性、效率和容错性 32i。1994年BiswanathMukheijee等树先前IDS 的研究做了较为完整的回顾和分析，对各种IDS的系统原型进行了分析和评述。1995年以图2.1 IDES模型资州大学计算机丨、用技术2005届硕士研究生论文后出现了很多不同的新的IDS硏究方法特别是智能IDS,包括神经网络、遗传算法、模糊识别、免疵系统、数据挖掘等，这些方法目前都处在理论研究阶段。2.2.3入侵检测的分类按照信息源来划分ms是目

19、前最通用的分类方法 8 。按照信息源IDS分为基于网络IDS、基于主机IDS和棍合型IDS。基于网络IDS g前大部分商业的入侵检测系统是基于网络的。基于网络的IDS 通过捕获并分析网络数据包来检測攻击。在关键的网段或交换部位侦听，一个基于网络的IDS可以监控影响多个流经这个网段的主机的网络通信流量，从而保护这些主机在体系结构上，基于网络的ms通常由一套单一目的的传感器（semois)或放在一个网络中不同地点的主机钽成。这钱单元监视网络通信流，做局部分析和判断，并向一个中央管理控制台报告攻击.由于传感器上仅限于运行IDS,因此它们相对比较安全而不会遒到攻击。很多传感器都被设计运

20、行在隐藏模式，这样使攻E, M ,. M为轮廓的特征变量，这些变量可以是CPU的使用、I/O使用、使用地点及时间、邮件使用，文件访问数量、网络会话时间等，用 M， ,5。分别表示轮靡的特征变量恥，财的异常测量值。这些值表明了异常程度，若的值越高，则表示Mi异常性就越大。将这些异常测量值的平方后加权计算得出轮廉异常值：这里iii表示轮廉与变量Mi相关的权重，般而言，变量AfhM：!，,A/不是相互独立，需要更复杂的函数处理其相关性。异常性铡量值仅仅是数字，没有明确的理论根据支持这种处理方式。例如，使用多个独立的异常性变量作为结合的依据，资州大学计算机应用技术2005 B硕士研

21、究生论文13是正确的。但是，异常性測量和贝叶斯概率计算的关系并不是很清晰。常见的几种测量类型如下。活动强度测量（Activ丨ylntensily Measures):描述活动处理速度，通常用作检测突发性行为，而检测不出这种长时期的平均行为效果。审计记录分布测量（Audit Record Distribution Measures)：描述最近审计记录屮所有沾动类型分布状况。如特定的用户在整个系统使用中文件访问和I/O活动分布。类型测量（Categorical Measures)：描述特定的活动在各种类型分布状况。如在系统屮，从各个物理位置来的远程登录相关频度，每个邮件发送者、编译器、She

22、ll、编辑器的相关使用。测量关注的是活动的出现的次数多少。顺序测量（Ordinal Measures):描述活动的输出结果，以数字值来表示。如特定的用户CPU和I/O使用总量。统计异常检测方法的有利之处是的应用的技术方法在统计学得到很好的研究。但是这种方法有以下几点不利。统计测量对事件的发生的次序不敏感，单纯的统计入侵检测系统可能不会发觉事件洪中互相依次相连的入侵行为。单纯的统计入侵检测系统将逐渐地训练成单一点，要么行为是异常的，要么是正常的。如果入侵者知道自己的入侵行为被这样的异常检拥器监视，那么他就可以诱导这个系统，使得那些大部分依靠行为统计测量的入侵检測方法对监视的特定的

23、事件模式失效，难以确定异常闽值，闲值设置偏低或髙均会导致误报警事件。统计异常检测行为类型模塑是有限的。运用统计技术对异常作形式化处理需要假设数据来源稳定和具有相似性，但是这种假设并不总是能够满足。(2)基于贝叶斯推理异常检测方法基于贝叶斯推理异常检测方法是通过在任意给定的时刻，測量成，為，礼变量值推理判断是否有入侵事件发生。其中每个变量表示系统不同的方面特征（如磁盘1/0的活动数量，或者系统中页面出错的数)。假定為变量具有两个值，1表示是异常，0表示正常。/表示系统当前遭受入侵攻击。每个异常变貴的异常可靠性和敏感性分别表示为P(头 =1|/)和尸0i=l |，小则在给定每个vii

24、的条件下，由贝叶斯定理得出/ 的可信度为：资州大学计算机应用技术2005 B硕士研究生论文144尸(/14,為，,4)=尸(為.，丨尸其中要求给出/和，/联合概率分布。又假定每个测量仅与/相关，且同其他的测量条件/Jj 无关，i 内则有：J-nn“A”A”. AJ P(I) pf(i)J尸“)根据各种异常测里的值、入侵的先验概率及入侵发生时每祌测量到的异常概率，从而能够检测判断入侵的概率=但是为了检测的准确性，还要必须考虎各测量/li间的独立性。(1) 基于贝叶斯网络异常检测方法贝叶斯网络实现了贝叶斯定理揭示的学习功能，能发现大量变量之间的关系，是进行预测和数据分类的有力工具。基于贝叶

25、斯网络的异常检测方法系指建立异常入侵检测的贝叶斯网络，通过它分折异常测量结果。贝叶斯网络允许以图形方式表示随机变量之间的相关关系,并通过指定的一个小的与邻接结点相关的概率集计算随机变量的联接概率分布，按给定全部结点组合.所有根结点的先验概率和非根结点概率构成这个集。贝叶斯网络是一个有向图DAG (Directed Acyclic Graph),在DAG中弧表示父结点与子结点之间的依赖关系。这样当随机变量的值变为己知时，就允许将它吸收为证据，为其它的剰余随机变量条件值判断提供计算框架潘要解决的关键课题是，判断根结点的先验概率值与确定每个有向弧的连接矩阵。至今有关贝叶斯网络的入侵检測

26、实际系统尚未出现，目前只停留在理论研究上(2) 基于模式预测异常检测方法基于模式预测异常检剰方法的假设条件是事件序列不是随机的而是进循可辨别的模式。这种检测方法的特点是考虑了事件的序列及相互联系。Teng和Chen 给出一种基于时间的推理方法利用时间规则识别用户E常行为模式的特征f4 3。通过归纳学习产从而得到:责州大学计算机应ra技术2005 fi硬4: 研究牛论文4责州大学汁算机应用技术2 005 S硕士研究生论文15生这些规则集，并能动态地修改系统中的这些规则，使之具有高的预测性、准确性和可信度。如果规则大部分时间是正确的，并能够成功地运用预测所观察到的数据，那么规则就

27、具有高的可信度。T1M (Time-based inductive machine)给出了一条产生规则：(：1!2 !：3)(4=95%, ,=5%) 式中，E广E5表示安全事件上述规则说明，事件发生的顺序是E 2, 3. 4. A50事件发生的概率是95% 事件Es 发生的概率是5% 。通过事件中的临时关系， TM能够产生更多的通用规则。根据观察到用户的行为，归纳产生出套规则集来构成用户的轮靡框架。如果观测到的事件序列匹配规则的左边，而后续的事件显著地背离根据规则预测到的事件那么系统就可以检测出这种偏离，这就表明用户操作是异常。由于不可识别行为模式能匹配任何规则的左边,都会导致

28、不可识别行为模式作为异常判断，这是该方法的主要弱点。相反，如果能预测出不jH常的后继事件的片段则一定程度上断定用户行为的异常性。这种方法的主要优点是：能较好地处理变化多样的用户行为，具有很强的时序模式；能够集中考察少数几个相关的安全事件，而不是关注可疑的整个登录会话过程；对发现检测系统遭受攻击具有良好的灵敏皮。因为根据规则的蕴涵语义，在系统学习阶段，能够更容易地辨别出欺骗者训练系统的企图。(5)基于贝叶斯聚类异常检測方法基于贝叶斯聚类异常检测方法通过在数据中发现不同类别数据集合，这些类反映了基本的因果机制（同类的成员比其它的更相似)，以此就可以区分异常用户类，进而推断入侵事件发生

29、来检测异常入侵行为。Cheeseman和Slutz 在1995年开发的自动分类程序（Autodass Program)是一种无监督数据分类技术【洲。自动分类程序实现了使用贝叶斯统计技术对给定的数据进行搜索分类这种方法尽可能地判断处理产生的数据，没有划分给定数据类别，但是定义了每个数据成员。其优点是：根据给定的数据，程序自动地判断决定尽可能的类型数目；不要求特别相似测量、停顿规则和聚类准则；可以自由地混合连续的及离散的属性。基于统计的异常检测方法对所观测到的行为分类处理，到目前为止，所使用到的技术主要集中于监督式的分类，这种分类是根据观測到的用户行为建立起用户轮廊。而贝叶斯分类方法

30、允许理想化的分类数、具有相似的轮麻的用户群组以及遒从符合用户特征集的自然分类。但是该方法比较新，在入侵检濟系统中还没有实现测试自动分类程序怎样处理好固责州大学汁算机应用技术2 005 S硕士研究生论文16资州大学计算机丨、用技术2005届硕士研究生论文有的次序性数据（如审计跟踪）以及将系统分布特性植入分类中等方面，效果并不是十分明足。：“自动分类程序支持处理在线数据时.对新的数据能否递增式地分类或者是否立即需要全部输入数据等这些问题的处理还尚未定论。由于统计的固有的特性，fi动分类程序还存在选定合适的异常闽值和用户逐步地影响类型分布能力的困难。 (6)基于机器学习异常检测方法这种异常

31、检测方法通过机器学习实现入侵检测,其主要的方法有死记硬背式、监督学1、归纳学习（示例学习）、类比学J等。 T.Lanc和C.E.Bidley 将异常检测问题归结为根据离散数据临时序列学习获得个体、系统和网络的行为特征。并提出一个基f相似度实例学习方法（instance-based Iwrain&IBU 该方法通过新的序列相似度计算将原始数据（如离散事件流，无序的记录）转化成可度量的空间。然后，应用丨BL学习技术和一种新的基子序列的分类方法，从而发现异常类型事件，以此检测入侵，其中阐值的选取由成员分类的概率决定。新的序列相似度定义如下：设I 表示长度，序列JiK彻而，知丨)和丨，

32、凡1)0 if i 表示用户的模式库，由一系列的序列构成，A表示最新观测到的用户序列，则有：上面的式子用来分类识别，检测异常序列。实验结果表明这种方法检测迅速，而且误警率低。然而，此方法对于用户动态行为变化以及单独异常检测还有待改善.复杂的相似度量和先验知识加入到检测中可能会提高系统的准确性.但需要做进一步工作总的来说.机器学习中许多模式识别技术对安全领域都有参考价值，特别是用来发现新的攻击行为。 (7)基于数据挖掘异常检测方法计算机联网导致大量审计记录，而且审计记录大多是文件形式存放。若单独依靠手丄方法去发现记录中异常现象是不够的，往往操作不便，不容易找出审计记录间相互关系。Lee

33、和Stolfo将数据挖掘技术应用到入侵检測研究领域中，从审计数据或数据流中提取感兴趣wXJJ)：资州大学计算机丨、用技术2005届硕士研究生论文的知识，这些知识是隐含的、事先未知的潜在有用信息，提取的知识表示为概念、规则、规揮、模式等形式，并用这些知识去检測异常入侵和已知的入侵基于数据挖掘异常检测方法S 前己有现成的 KDD (Knowledge Discovery in Database)算法可以借用，这种方法的优点在于适合处理大量数据但是，对丁实时入侵检测则还存在问题，需要开发出有效的数据挖掘算法和适应的体系。其它异常检测方法还有基于特征选择的异常检测方法、基子神经网络拜常检

34、测方法、基于应用模式的异常检测方法、基于文本分类的异常检测方法等等误用检測(misusedetection)系指根据己知的攻击特征检测入侵，可以直接检测出入S 行为。误用检测方法的优点是误报率低，可以发现已知的攻击行为。但是这种方法检测的效果取决于检测知识库的完备性。为此特征库必须及时更新。此外这种方法无法发现未知的入侵行为。误用入侵检测的前提是，入侵行为能按某种方式进行特征编码。入侵检测的过程，主要是模式匹配的过程。入侵特征描述了安全事件或其它误用事件的特征、条件、排列和关系。特征构造方式有多种，因此误用检测方法也多种多样。下面来分析主要的误用检测方法有1 基于条件概率误用检测方

35、法基于条件概率误用入侵检测方法将入侵方式对应一个事件序列,然后通过观测到事件发生情况来推测入侵出现.这种方法的依据是外部事件序列，根据贝叶斯定理进行推理检测入侵。令S 表示事件序列，先验概率为 P(i)，后验概率为P(_，事件出现的概率为尸(5 )，则通常网络安全专家可以给出先验概率尸(/),对入侵报告数据进行统计处理得出和于是可以计算出-P(ES)=PES I r)-p(ES-ypr)+p(Es 卜j ) 故可以通过事件序列的观测，从而推算出P(/|55。基于条件概率误用入侵在概率理论基础上的一个普遍的方法。它是对贝叶斯方法的改进，其缺点就是先验概率难以给出，而且事件的独立性

36、难以满足。2 基于专家系统误用入侵检测方法基于专家系统误用入侵检测方法是通过将安全专家的知识表示成IF-then规则形成专家知识库，然后，运用推理算法进行检测入侵丨.编码规则说明攻击的必需条件作为IF的17贵州大学计算机应用柱未2 00S 究生；&文組成部分。当规则的左边的全部条件都满足时，规则的右边的动作才会执行。入侵检测专家系统应用的实际问题是耍处理大量的数据和依赖子审计跟综的次序,其推理方式主要有以下两种：根据给定的数据，应用符号推理出入授的发生情况。需要解决的主要问题娃处理序列数据和知识库的维护不足之处就是只能检测已知弱点。根据其它的入侵证据，进行不确定性推理。这种推理的局限性

37、就是推理证据的不精确和专家知识的不精确3 基于状态迁移分析误用入侵检测方法状态迁移分析方法将攻击表示成一系列被监控的系统状态迁移。攻击模式的状态对应十系统状态，并具有迁移到另外状态的条件断言。通过弧将连续的状态连接起来表示状态改变所需要的事件.允许事件类型被棺入到模型，不需同审计记录一 -对应。采用这种方法的系统有STAf “ 和USTAf“l攻击模式只能说明事件序列，因此不能说明更复杂的事件。而且，除了通过植入模继的原始断言，没有通用的方法来排除攻击模式部分匹配。4 基于键盘监控误用入侵检测方法基于键盘监控误用入侵检测方法假设入侵对应特定的击键序列模式，然后监渊用户击键模式，并

38、将这一模式与入侵模式匹配，以此就能检测入侵1 】。这种方法的不利之处是在没有操作系统支持的情况下，缺少捕获用户击键的可靠方法，存在多种击键方式表示同一种攻击。而且，没有击键语义分析，用户很容易欺骗这种技术。因为这种技术仅仅分析击键所以不能够很好的检测到恶意程序执行结果的自动攻5 基于规则的误用检测方法基于规则的误用检测方法（nile-based misuse detection)系指将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是种入侵行为。Snort入侵检测系统就采用了基于规则的误用检测方法基于规则的误用检测按规则组成方式分为以下两类：向前推理规则。根据收集到的数据，规

39、则按预定结果进行推理，直到推出结果时为止9这种方法的优点是能够比较准确地检测入侵行为，误报率低：其缺点是无法检测未知的入侵行为。目前大部分IDS采用这种方法向后推理规则。由结果推测可能发生的原因I然后再根据收集到的信息判断真 it发生的原因。因此这种方法的优点是可以检测未知的入侵行为, 其它异常检测方法还有基于模型误用检测方法、Petri状态转换网等等。2.2.5入侵检测的研究发展方向尽管IDS系统的研究从80年代开始，90年代受到重视，到现在已经得到了长足的发展，也涌现了很多方法.有些方法取得了很好的效果，这种动态主动的保护系统也使得IBS正资州大学计算机丨、用技术2005届硕士

40、研究生论文成为计算机网络安全的核心研究问题，但IDS仍然是个年轻的研究领域，随着 Internet技术不断发展，ros的各个方面的从理论研究到实际应用中还存在很多的问题和难题有待研究、探索和发展.具体表现如下：5 高速网络下，提髙网络IDS的实时检测效率和降低误警率问题：5 IDS对变形和变异已知攻击的检测和对新的攻市的检测问题；5 IDS体系结构的融合问题，包括基于主机 IDS和基于网络IDS之间更好的协作问题，以及异常检测和误用检测的联合使用问题等；5 未来优化的入侵检测系统应该能够基于事件语义分析，而不是单純基丁事件语法分析的检测；5 智能入侵检测技术（神经网络、遗传箅法、模

41、糊识别、数据挖掘、免疫系统等）从理论研究到实际应用的问题：5 基于大规模的信息釆集和网络攻击预警技术的研究问题等；5 对入侵检测系统的测试缺乏统一的标准和平台。IDS尽管是计算机网络安全的重要组成部分，但它不是一个完全的计算机网络系统安全解决方案，它不能替代其它安全系统如：访问控制、身份识别与认证、加密、防火墙、病毒的检测与杀除等的功能，从ros的发展历史来看，IDS更适合作为一个判定支持系统2.3数据库安全技术随着社会的不断信息化，以数据库为基础的信息管理系统正在成为政府机关.军事部 n和企事亚单位的信息基础设施，其应用面很广，几乎所有的领域都要用到数据库，可以说人类社会将越来越

42、依赖数据技术。数据库中存储的信息的价值越来越大,尤其是随着IntoiKt 的迅速普及，Web技术与数据库技术相结合，数据库面临的安全威胁正曰益突出。如何保证和加强其安全性和保密性，已成为目前迫切箱要解决的问题。2.3.1数据库安全威胁对数据库系统的安全威胁主要有：数据篡改、数据损坏和数据窃取。数据改是指对数据库中的数据未经授权就进行修改或删除，使其失i原来的真实性。数据损坏是指由于破坏、恶作剧和病毒等原因，导致数据库表和整个数据库部分或全部被删除、移走或破坏。数据窃取更为严重，甚至当它已经损害到用户的利益时仍然难以发现。数据窃取一般针对敏感数据，通过软盘等可移动存储器或网络窃取。对抗

43、这些威胁，仅仅采用操作系统和网络中的保护是不够的，因为它的结构与其他系统不同，含有重要程度和敏感级别不间的各种数据，并为拥有各种特权的用户共享，同时又不能超出给定的范围。它涉及的范围更广，除了要对计算机、外部设备、联机网络和通讯设备进行物理保护外，还要采取软贵州大学计算机应用柱未2 00S 究生；&文件保护技术，防止非法运行系统软件、应用程序和用户专用软件：釆取访问控制和加密技术，防止非法访问或盗用机密数据；对非法访问进行记隶和跟踪，同时要保证数据的完整性和一致性。2.3.2数据库安全框架网络系统、操作系统和数据库管理系统（DBMS)是信息系统的支播平台，网络主要解决信息的传输、

44、操作系统主要解决信息的存储与资料的管理，而数据库管理系统主要解决信息的有效存取。这三个层次构筑成数据库系统的安全体系,与数据安全的关系是逐步紧密的，防范的重要性也遂层加强，从外到内、由表及里保证数据的安全。5 网络系统层次数据库的安全首先倚赖于网络系统。随着Internet的发展普及，越来越多的公司将其核心业务向互联网转移，各种基于网络的数据库应用系统如雨后春笑般涌现出来，面向网络用户提供各种信息服务。可以说网络系统是数据库应用的外部环境和基础，数据库系统要发挥其强大作用离不幵网络系统的支持，数据库系统的用户（如异地用户、分布式用户）也要通过网络才能访问数据库的数据。网络系统的安全

45、是数据库安全的第一道屏障，外部入侵首先就是从入侵网络系统开始的.网络系统层次的安全防范技术有很多种,大致可以分为防火墙、基于网络入侵检拥、协作式入侵检測技术等5 宿主操作系统层次操作系统是数据库系统的运行平台，为数据库系统提供一定程度的安全保护。目前操作系统平台大多数集中在Windows NT/2000和Unix,安全级别通常为Cl、C Z级。主要安全技术有操作系统安全策略、安全管理策略，数据安全等方面.5 数据库管理系统层次数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大，则数据库系统的安全性能就较好。目前市场上流行的是关系式数据库管理系统，

46、其安全性功能很弱，这就导致数据库系统的安全性存在一定的威胁。由于数据库系统在操作系统下都是以文件形式进行管理的，因此入侵者可以宜接利用操作系统的海洞窃取数据库文件，或者直接利用OS工具来非法伪造、甚改数据库文件内容。这种隐患一般数据库用户难以察觉，分析和堵塞这种漏洞被认为是B2级的安全技术措施。数据库管理系统层次安全技术主要是用来解决这一问题，即当前面两个层次己经被突破的情况下仍能保障数据库数据的安全，这就要求数据库管理系统必须有一套强有力的安全机制。解决这一问题的有效方法之一是数据库管理系统对数据库文件进行加密处理，使得即使数据不幸泄露或者丢失，也难以被人破译和阅读。2.3.3数

47、据库入侵检测的必要性贾州大学计算机应用技术2005届硬十研究生论文22网络系统、操作系统和数据库管理系统这三者的安全性直接影响到粮个信息系统的安全。现阶段，人们把信息安全的研究重点集中在对网络和操作系统的入侵检测上，对数据库的入侵检渕涉及较少对数据库来说,仅仅依靠工作在文件和系统命令级的底层操作系统和网络入侵检测系统无法保证检测的效率和精度，比如SQL注入（SQLiniec丨ion)技术是一种入侵者使用精心伪造意SQL语句来获取用户特权的方法，SQL注入常常利用数据库应用程序的漏洞，这种入侵是操作系统和网络入侵检测系统所难以检测的。而据统计，入侵者往往来自于系统内部，内部入侵者至少构

48、成了入侵者的50%1 411。由于内部入侵者往往具有合法的用户身份，他们往往不会严重地偏离衰期的行为，也不会执行特定的入侵行为丨 41】，因此，对他们的非法行为往往很难检测。而在数据库中的数据具有自己的结构和语义，数据库用户有自己的独特行为，通过数据库入侵检测可以弥补操作系统和网络入侵检測的不足，提商检測的准确度和有效性。2.3.4数据库入侵检测技术基于主机和网络的入侵检测系统的研究思想和成果可以应用到数据库入侵检测中来，但数据库具有自己的结构和语义，数据库入侵检测应能够在更细的粒度上检测用户的行为，但也由于数据库结构的复杂性，使数据库入侵检拥具有比主机和网络入侵检測更为复杂的内

49、容和难点。入儍检测的研究虽然取得了不少的成果，但这些研究大多集中在对网络和操作系统的入侵检测上，对数据库的入侵检測的研究相对很少。下面是一些数据库入侵检测技术的介资州大学计算机应用技术2005届硬士研宄生论文绍网：5 对数据推理的检测对数据推理的检测可以看作是一种早期的数据库误用检测数据推理指的是用户在不存取某些数据的情况卜也能推断出这些数据，如在多级安全数据库中用户利用低密级数据或外部知识推理出某些高密级数据，使用推理进攻的往往是具有某些合法权限的内部误用者对推理的检测可以在数据库的没计阶段或运行阶段。在设计阶段，主要通过对数据库模式的分析以找到推理渠道，比如利用属性的函数依赖图査找第二条路径的方法，如果两个属性之间存在两条路径且这两条路径是不同的分类密级就有可能发生推理进攻对査找到的推理渠道，可以通过提升路径密级的方法或重新设计数据库模式和分级属性来避免推理。使用数据库模式分析推理在数据库设计阶段较为有效，但也存在两个缺点：一是数据库模式不能捕获数据库实例中的所有依赖关系，二是数裾库模式

展开阅读全文