二、計算機數據庫入侵檢測技術的作用

2.1誤用檢測

誤用檢測所指的是在誤用特征庫中儲存到現在為止已知的攻擊特征，然後便通過誤用特征庫中所儲存的攻擊特征與用戶的操作命令做比較，如果二者之間的特征並沒有相同之處，那麼就可以簡單的初步判斷為沒有入侵行為，如果二者之間的特征與無用數據庫中的攻擊特征有任何一個的相同之處，那麼誤用檢測就可以基本判定出用戶在進行非法入侵行為，並在最短的時間內將非法入侵行為進行預警，同時將這種入侵行為的特征記錄儲存到誤用特征庫中。但這種誤用檢測有一個十分明顯的缺點，那就是不能有效的檢測到那些還沒有被誤用特征庫所記錄的危害，也不能及時的做出反應，因而在這個時候誤用檢測便難以發揮其效用。雖然它的缺點十分明顯，但其也有著一個很大的優點，就是準確率較高，一旦發現相似的攻擊特征，誤用檢測便會及時的預警，其一般不會出錯，因而其穩定性較好。

2.2反常檢測

反常檢測所指的是通過將數據庫在某種狀態下的特征進行記錄，並定義為正常的行為，接著在將這個定義與用戶的行為特征進行對比，如果用戶的行為特征沒有超過某個閾值或者與數據庫的特征相近，那麼便不會被判斷為非法入侵，一旦用戶的行為特征與數據庫的特征相差太大，那麼就可以證明有非法入侵的行為出現。通過反常檢測有一個十分好的優點，就是能夠在巨大的信息流中收集到用戶所需要的信息而不需要依靠經驗，如此一來便可以十分高效的掌握到檢測知識和檢測規則。但其還有一個十分明顯的確定，就是其數據模型需要進行定期的更新，如果更新不夠及時，那麼就有可能無法檢測到新的攻擊行為特征和病毒，因此，更新不及時就會導致數據庫的防護能力大大降低，從而給非法入侵者和病毒製造了入侵的機會。反常檢測的優缺點十分的明了，因而在使用時需要注意細節。

誤用檢測和反常檢測的優點和缺點都十分的明顯，因而在對數據庫進行入侵檢測防護時不能單方麵的進行，需要兩者結合才能夠保證及時、穩定的檢測到非法入侵的行為，因而在進行入侵檢測技術的使用時，要注意結合誤用檢測和反常檢測的使用，隻有聯合使用才能夠體現出入侵檢測技術的強大之處。

三、入侵檢測技術在數據庫中的應用

入侵檢測主要可以分成兩種，一種就是誤用檢測，另一種就是反常檢測，這兩者檢測方法已經在上文有所介紹，但入侵檢測技術並不僅僅是使用這兩種檢測技術，如果說誤用檢測是基於異常的入侵檢測，反常檢測是基於閾值的入侵檢測，那麼還有兩種主要的檢測方法為基於規則的入侵檢測和基於模型推理的入侵檢測。

3.1基於規則的入侵檢測

基於規則的入侵檢測是通過對審計數據進行分析來發現非法入侵的行為，這種入侵檢測方法是基於所製定的規則而進行檢測的，因而這些規則與用戶的行為並不相關，隻要符合規則的都會被認定為一種入侵行為，因而這種入侵檢測一切以規則為法則，隻有采取了合理的規則，才能夠準確的檢測出入侵行為。

3.2基於模型推理的入侵檢測方法

基於係統模型的入侵檢測方法是以安全管理員定義侵入竊密的行為進行測定的，這個模型是建立在一個侵入竊密的行為之上的，侵入竊密行為模型主要體現在與用戶行為進行對比中，用戶在進行著的這些行為都被統稱為劇情。劇情是一種對用戶行為的高層描述，這種高層描述能夠通過一種特定的規則來進行翻譯，並將其翻譯成與審計數據記錄相對應的用戶動作序列，這樣一來就能夠判斷出用戶的行為是否是入侵行為，但這種入侵檢測行為都是建立在已定義的入侵竊密行為之上，一旦有新的入侵竊密行為，且沒有被定義的話，那麼基於模型推理的入侵檢測方法便無法檢測出來。