基於主機和網絡入侵檢測的數據挖掘技術

行業科技

作者：鄧淮水

【摘要】數據挖掘指從存儲數據中識別出隱藏的固定模式或異常現象的高級處理過程，由於數據挖掘技術能夠發現隱藏在數據背後的用戶模式和特征，因此，在基於主機和網絡的入侵檢測中，基於數據挖掘的檢測方法是重要的研究課題，也存在著來自統計、模式識別、機器學習等多個領域的數據挖掘算法。使用元學習的方法來進行分布式事務模式挖掘，元學習是一種用於處理從大型分布式數據庫中計算全局分類器的技術，元學習首先在分布式數據庫中使用學習程序並行的計算獨立的分類器，然後再使用另一個學習程序在這些分類器上集成元分類器。在使用元學習得出異常或偏差事務模型後，使用模式指導的推理係統來檢測欺騙事務

【關鍵詞】網絡入侵；檢測數據；挖掘技術

一、數據庫常見缺陷概述

雖然大多數數據庫管理係統都提供了安全管理機製，使對數據庫安全的需求得到了一定程度的滿足，但在很多方麵仍然存在大量的問題。首先，是數據庫賬戶和權限的濫用存在缺陷，數據庫賬戶和權限的濫用缺少針對數據庫管理員的監控機製。數據庫管理員擁有數據庫係統管理、賬號管理、權限分配等係統最高權限。如果數據庫管理員利用工作之便，竊取敏感信息、篡改毀壞重要業務數據，對用戶數據庫安全的打擊將是致命的；其次，是數據庫自身日誌審計的缺陷，此缺陷難以實時監測發現問題，數據庫係統自身的日誌審計功能可以記錄各種數據庫係統修改、權限使用等日誌信息，並不能幫助管理者及時發現定位問題；同時由於不能實時監測報警，因此在數據庫異常安全事件發生時，無法第一時間報告給管理者，導致管理者不能及時采取有效措施；第三是數據庫身份認證的缺陷，數據庫係統雖然提供用戶身份認證機製，但是用戶隻有提供了正確的登錄賬號和登錄口令才能進入數據庫服務器進行操作。如果一個用戶通過非法手段取得一個賬號和口令，則此非法用戶可以進入數據庫服務器進行操作，用戶認證機製對此則有可能無能為力。對數據庫來說，僅僅依靠在文件和係統命令級的底層操作係統和網絡入侵檢測係統無法保證檢測的效率和精度。比如SQL注入技術是一種入侵者使用精心偽造惡意SQL語句來獲取用戶特權的方法，SQL注入常常利用數據庫應用程序的漏洞，這種入侵是操作係統和網絡入侵檢測係統所難以檢測的。因此，對他們的非法行為往往很難檢測。數據庫入侵檢測作為一種動態的網絡安全防衛技術，能同其他安全部件一起構成縱深的、多層次的計算機和網絡安全防禦係統，對數據庫運行係統的狀態和活動進行檢測，分析出非授權的訪問和惡意行為，發現入侵行為和企圖，為入侵防範提供有效的手段，提高檢測的準確度和有效性。

二、目前流行的幾種數據庫入侵檢測技術

首先，是對存儲篡改的檢測，對數據庫的存儲篡改是一種惡意修改數據庫中的存儲數據以降低數據質量的行為，存儲篡改的目的是以錯誤或低質量數據誤導和妨礙對手的行為，存儲篡改是一種內部濫用行為，檢測物是一種檢測篡改數據的惡意行為的抽象機製，在數據庫中，檢測物一般是不被正常用戶和應用所使用，但篡改者又無法將其與正常數據區分開的偽造數據，如果發現檢測物不在正常或可預期的狀態則表示可能發生了數據篡改行為，對防止和檢測企圖繞過數據庫管理係統在磁盤級破壞數據的入侵者，通過將數據庫加密和在小塊可信存儲中保存的散列，驗證數據庫正確性的方法來檢測不可信程序，對數據庫的非法讀取和修改是有效的；其次，在許多場合中，獨立於應用語義對數據庫事務或用戶進行檢測並不足以識別用戶的異常行為，如某個管理員突然將自己每月工資增加一萬元，在正常情況下這是不可能的，但對建立在獨立於應用語義上的檢測方法如對表存取統計、數據文件存取統計、會話統計或上述的各種檢測方法並不能發現異常，這種異常檢測隻能建立在數據庫的應用語義上；再次，數據庫具有自己獨特的事務處理機製和SQL語言查詢，對用戶使用SQL語句的模式進行檢測是數據庫入侵檢測的一項重要內容。指印是一種基於SQL語句的入侵檢測方法，指印是從合法事務中的SQL語句中推出的正則表達式，它代表用戶正常的行為，用戶的事務語句如果偏離指印集則表示可能的異常行為。指印技術特別適應類似於對互聯網上的數據庫入侵檢測，比如SQL語句注入，因為在這些應用中往往使用數據庫應用來查詢數據庫，而這些應用隻通過一定接口使用固定的幾種查詢格式，不允許用戶自構查詢，在這種情況下即使事務較大用戶較多誤警率也較低。