郭可

摘要：随着网络技术的迅速发展，互联网在人们的生活中已经普及，网络攻击也成为网络发展中需要解决的一个重要的课题。传统的防火墙技术已经不能满足互联网安全的需要，数据库的入侵检测技术在提高网络的安全性方面可以提供有效的保障。该文对入侵检测系统和数据库入侵检测技术进行了简单的分析，提出了SQL server数据库入侵检测系统设计方法。

关键词：入侵检测技术；数据库安全；SQL server；数据挖掘

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2016）19-0003-02

SQL Server Database Intrusion Detection System Research

GUO Ke

（Qinhuangdao Institute of Technology， Qinhuangdao 066100， China）

Abstract： with the rapid development of network technology， the Internet has spread in the life of people， network attack has become a developing needs to solve an important issue. The traditional firewall technology already cannot satisfy the needs of Internet security， intrusion detection technology in improving the security of network database can provide effective protection. In this paper， the intrusion detection system and database intrusion detection technology has carried on the simple analysis， SQL server database intrusion detection system design method is proposed.

Key words： intrusion detection technology； The database security； SQL server； Data mining

1 入侵检测系统

1.1 入侵检测系统概念

互联网时代的到来，给人们的生活和工作带来了很多便利，同时互联网的安全问题也越来越突出。每年因为网络安全问题都会给人们造成一定的经济损失，计算机网络系统安全关系到社会和国家的稳定。传统的防火墙技术在网络安全中所起的作用具有一定的局限性，防火墙主要是处于内网和外网之间，作为一道屏障，但是外部网络对内部网络的访问不都是经过防火墙进入的，防火墙不能够起到绝对的作用。防火墙很容易被黑客应用端口和漏洞技术进行攻击，而且有好多网络安全的威胁不仅是来自外部网络的，内部网络一样存在网络安全的威胁。从防火墙的实际功能上看不能够提供实时的入侵检测功能。防火墙技术存在局限性，防火墙技术需要人为进行配置，是一种静态的安全技术，对入侵的行为不能主动的追踪。入侵检测技术需要一种能对入侵行为及时发现，并采取阻止的相应策略，防止黑客的攻击，对入侵行为进行分析，查找出系统的漏洞并及时修复。入侵检测系统是把硬件和入侵检测的软件两者相结合的一种网络安全检测系统。

在国外，入侵检测的定义首先被提出是在1980年，把入侵行为分为外部的非法闯入和内部授权用户对权限的滥用两种。任何对资源的完整性和可用性进行破坏的行为都叫做入侵。在1987年首次把入侵检测模型和入侵检测应用到计算机安全防御中。目前入侵检测技术已经成为网络安全中的热点课题。

1.2 入侵检测系统的功能

对恶意使用计算机和网络资源的行为进行识别，对外部的入侵行为进行检测，对内部用户未授权行为进行监督，对用户活动进行监视和分析，对系统进行安全的设计和跟踪管理，对攻击行为识别后采取报警策略，报告相关人员进行处理，这就是入侵检测的功能。入侵检测系统的组成是由入侵检测的软件和硬件共同构成的。入侵检测技术已经成为网络安全技术中的重要组成部分，在计算机网络安全系统中防火墙是第一道门，入侵检测系统就是第二道门。

1.3 入侵检测系统模型：

入侵检测系统的模型如图1所示，

在入侵检测系统模型中包括六个部分，主体部分通常是在系统上活动的用户，对象是系统的资源包括文件和命令等，审计记录中的活动是指对主体的登陆、读写等操作，异常是指违反系统权限的异常活动的报告和异常事件的发生情况，活动档案是保持系统正常活动的信息，活动规则是判断异常记录是否是入侵行为，系统的正常活动作为标准，对系统审计记录进行分析，处理发生的入侵行为。

1.4 入侵检测系统分类

入侵检测系统分类可以从数据源和检测技术两方面进行分类，从数据源进行分类，可以分为基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统，是通过对主机进行监视并对审计记录进行分析，监控主要在分布和交换的环境下进行，对攻击的行为进行准确的判断。基于主机的入侵检测系统主要是针对主机的，对来至网络的攻击很难做出正确的检测，检测过程中占有一定的系统资源。基于主机的入侵检测系统也叫做IDS。基于网络的入侵检测系统叫做NIDS，在共享的网段上对数据进行监听并把数据采集收集后进行分析。基于网络的入侵检测系统不需要主机，所以不占有系统的资源。从检查技术上分为基于特征和基于异常的两种检测方式，基于特征的检测要定义一个入侵特征数据库，在检测的时候把检测的特征和特征库进行对比，在特征库中存在比对的入侵行为特征，那么就可以判断出是入侵行为，这样系统会检测出来入侵行为。对新的入侵行为和入侵行为的变种的检测还是存在一定缺陷。基于特征的入侵检测技术还有专家系统检测、模式匹配检测和基于模型推论检测。基于异常检测首先是要对系统正常使用情况的数据进行定义，把系统运行时候的数据与系统正常情况的定义的数据进行对比。基于异常检测的判别方法范围比较大，对未发现的攻击也可以判断出来。目前的基于异常的入侵检测技术包括状态转移分析检测技术、统计分析检测技术、基于神经网络检测技术、基于免疫检测技术和基于数据挖掘的检测技术。

2 数据库入侵检测技术

2.1 数据库安全机制

数据库主要是用来进行数据信息存储的，网络中对数据库的攻击非常多，SQL injection是数据库攻击中的主要攻击方式，SQL injection攻击时对SQL injection的漏洞进行攻击，SQL injection的漏洞主要体现在程序中对变量的处理不正确，对用户数据过滤布充分。SQL injection的攻击原理是在系统的实际SQL语句中插入想要的SQL语句，获取信息或者对服务器进行控制。SQL injection攻击检测方法主要是对漏洞进行检测，解决SQL injection攻击的方法要从根本的程序入手，对来源于WEB服务器的用户修改的HTML的数据和表单数据进行过滤。数据库存储大量的数据，保证数据库的安全是计算机系统安全的重要问题，数据库系统的安全主要取决于系统安全的保护措施。系统处理和物理处理是数据库安全保密的两种方式，物理处理是防止通信线路窃听行为对数据进行加密，保护存储设备安全，对用户身份识别的措施。数据库要对执行的活动进行控制以及对信息进行查看与修改，必须要建立一个安全牢固的数据库安全系统，安全的数据库系统可以对数据进行有利的保护。SQL server安全管理包括安全架构、安全级别和审计跟踪。安全架构，在微软的SQL server 工作时用户要经过身份验证和权限验证，授权是用登陆账户对用户进行标示，并对用户连接SQL server进行验证。用户身份验证成功就可以连接到SQL server，对用户账户的访问权限要在每个数据库中进行映射。安全级别，数据库应用系统都是在特定的操作系统平台上运行的，SQL server安全级别包括操作系统、SQL server登陆、数据库使用和数据库对象的使用。SQL server审计是通过SQL事件探查器对数据进行收集以表的形式进行分析，SQL 事件查看器可以对执行慢的程序进行识别，对生产系统中的事件进行捕获，在测试系统中进行重播，并解决SQL server中的问题，对测试可以提供很大的帮助。

2.2 数据挖掘入侵检测

随着数据库技术的迅速发展，人们对数据存储能力的要求越来越高，越来越多的数据的积累，在大量的数据中隐藏着许多重要的信息，人们为了更好地利用这些数据信息，采用更高层次的方法对这些数据信息进行分析。数据库系统在对数据进行录入和统计查询上起着很重要的作用。数据的存储在数据库管理系统，通过机器的学习方法对数据进行分析，把大量数据背后的知识挖掘出来，这个过程我们叫做KDD，数据库中知识的发现。数据库中的知识是多样的，包括统计、数据可视化和模拟识别等，可以说数据库知识的发现是一门交叉性的综合学科。数据库中发现的知识可以再信息管理和科学研究等多领域进行应用。数据库中知识的发现KDD中最核心的部分就是数据挖掘，对知识的学习采用机器学习和统计等方法，发现知识的好坏直接受数据挖掘算法的好坏的影响，数据挖掘算法和应用的研究受到人们的密切关注。数据挖掘技术是人工智能的，是一个决策支持的过程，采用机器学习统计技术，对数据进行高度自动化分析，进行归纳并进行推理，把潜在的模式挖掘出来，对用户的行为进行预测。数据挖掘技术采用的算法和技术都是比较成熟的。数据挖掘技术分析方法包括四种分析方法，分别是关联分析、序列模式、分类和聚类。关联分析方法是把隐藏在数据间的关系挖掘出来，通过分析进行推导，在网络安全中的具体应用就是采用关联分析方法对入侵者的入侵行为进行分析，找出入侵者之间的关联性。序列模式分析也是对数据之间的关系进行挖掘的，重点是数据之间的前后关系，黑客对网络的攻击都是有先后顺序的，比如黑客要对某个系统进行攻击首先就是要对系统的端口或者漏洞进行扫描，然后采取合适的攻击方式。分类分析是按标记对记录进行分配，对每个标记都是标注一个标记，对标有标记的记录进行检测，把它们的特征描述出来，比如对黑客的入侵可以设定低中高的安全级别。聚类攻击时采用合理的方式和不同的算法对记录集合进行分类，对不同的级别采用显示或隐示的方法。

3 SQL Server数据库入侵检测设计

在入侵检测系统中可以采用数据挖掘技术提取出有用的数据，数据挖掘技术在大量的数据中进行特征提取非常实用，SQL server数据库入侵检测技术把入侵检测技术和数据挖掘技术结合到一起，结构包括事件产生器、数据挖掘、异常检测等。在结构设计中，事件产生器的设计思想是采用SQL server2000中的Profile工具对数据库系统审计数据进行采集和追踪，记录对象权限使用情况。在设计的试验中我们需要在SQL server的数据库中定义一个审计数据源，通过执行存储过程createtrace进行跟踪，再执行Transact SQL语句把跟踪到的信息存放到

process数据库表中。实验设计对用户正常操作的数据进行采集，得到的数据模型是正常状态下的用户的行为，并对采集的待检测数据进行处理，以会话表格形式表示出来，进行关联挖掘产生关联规则集，把关联规则集和异常检测模型进行对比，可以测出异常记录。

4 总结

互联网已经融入社会的各个领域，网络数据库安全也成为网络安全问题的焦点，大型的SQL server数据库系统提供了安全机制，SQL Server数据库入侵检测系统是网络入侵检测中的重点研究课题，具有一定的意义。

参考文献：

[1]寇春鹏.SQL Server数据库信息获取系统的设计与实现[D].北京化工大学，2008.

[2]邝祝芳.数据库入侵检测系统GKD-DBIDS的研究与实现[D].国防科学技术大学，2006.