AIB-DBIDM_一种基于人工免疫的数据库入侵检测模型

计算机研究与发展 ISSN1000—12391CN11—1777／TP JournalofComputcrResearchandDevelopment 46(Suppl．)：112—118，2009 AIB—DBIDM：一种基于人工免疫的数据库入侵检测模型 赵 敏 王红伟 张 涛 张毓森 (解放军理T大学指挥自动化学院南京210007) (ezhouzhaomin@gmail．corn) AIB-DBIDM：ADatabaseIntrusionDetectionModelBasedonArtificialImmune Technology ZhaoMin，WangHongwei，ZhangTao，andZhangYusen (InstituteofCommandandAutomation，PLAUniversityofScienceandTechnology，Nanjing210007) AbstractThecurrentartifieialimmune—basedintrusiondetectionsystemsuseinformationfrom0Sor network，butthedataindatabasehasitsownstructureandsemantics．Theycannotdetectdatabase intrusionexactlyandefficiently．Toaddresstheseproblems，anartificialimmune—baseddatabase intrusionmodelisbroughtforwardandaprototypesystemisimplemented．Theexperimentresults showthatthesystemcanobtainhigherdetectionrateanddecreasethefalsepositiverate． Keywordsartificialimmune；intrusiondetection；affirmationselection；genepool；pendingdetection 摘要现有基于人工免疫原理的网络和操作系统级别的入侵检测系统仅仅依靠网络层和底层操作系 统提供的 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 信息，而数据库中的数据具有自己的结构和语义．针对现有入侵检测系统无法保证数据库 入侵检测的效率和精度的问题，设计了一个基于人工免疫原理的数据库入侵检测模型AIB-DBIDM并 实现了原型系统．测试表明该系统对数据库异常入侵具有较高的检测率、较低的误报率和漏报率． 关键词人工免疫；入侵检测；肯定选择；基因库；待定检测器 中图法分类号TP309 入侵检测通过对运行系统的状态和活动进行检 测，发现入侵行为和企图．当前入侵检测主要集中在 操作系统和网络层面，取得了不少研究成果，但针对 数据库系统的入侵检测研究相对较少L1]．入侵检测 系统用于分析检测的信息主要来自系统的审计日 志，数据库系统的审计日志与操作系统和网络的日 志相比，结构较为复杂，具有独特的语义．传统的基 于数据挖掘、神经网络、机器学习等技术设计的网络 和操作系统级别的入侵检测模型通常未考虑数据库 操作模式的语义特点，对数据库系统入侵检测存在 一些不足． 生物免疫系统具有良好的多样性、耐受性、免疫 记忆、分布式并行处理、自组织、自学习、自适应和鲁 收稿日期：2009～06—19 棒性‘2|．用免疫原理构建数据库入侵检测模型可克 服传统技术的多种缺陷，能显著提高入侵检测系统 的检测效率． 本文建立了一个基于人工免疫技术的数据库入 侵检测模型AI昏DBIDM(artificialimmune-based databaseintrusionmodel)．在经典的人工免疫模型 基础上提出了基因的概念，并用以描述对数据库操 作的操作类型和操作对象的组合；提出了有条件的 最长不重复规则用于提取长度不等的抗原和不等长 字符串匹配规则用于亲和力计算；引入了一种改进 的检测器生命周期机制用以控制检测器数量和提高 检测器精度．测试表明所建立的入侵检测模型能有 效检测数据库异常使用行为． 万方数据 赵敏等：AIB-DBIDM：一种基于人工免疫的数据库入侵检测模型 113 1相关工作介绍及 评价 LEC评价法下载LEC评价法下载评价量规免费下载学院评价表文档下载学院评价表文档下载 1974年，Jerne[2j提出了免疫系统的第1个 数学 数学高考答题卡模板高考数学答题卡模板三年级数学混合运算测试卷数学作业设计案例新人教版八年级上数学教学计划 模型，奠定了免疫计算的基础．1994年，Forrest等 人【30提出了否定选择算法，并利用该算法模拟实现 了自体耐受过程计算机免疫系统的一些基本概念． 2000年，Forrest[43等人建立了人工免疫系统的体系 结构并基于它实现了一个网络入侵检测原型系统 Lisys．文献V53提出针对数据库模式之间的关系，通 过模式的主键和外键的函数依赖来确定查询属性之 间的关系参量来检测异常．文献E6]通过数据依赖关 系来确定恶意事务．文献[7—8]提出对数据库事务活 动的异常进行监控．文献[9]通过捕获数据库的应用 语义来检测数据库应用程序的异常．文献[10]提出 从访问数据库的SQL语句中提取指纹的方式用于 数据库访问异常检测． 由于数据库结构的复杂性，数据库入侵检测技 术面临着更多的研究难点．使用主键和外键的函数 依赖关系只考虑属性结构的稳定性，未考虑查询结 构的稳定性；使用数据依赖关系和应用语义受数据 关系和上下文的限制较大；而指纹等技术也不完善 且受一定的应用范围限制，通常只能检测Web应 用．主机和网络的审计日志通常包含各种1二具对系 统的操作，而数据库日志通常与具体的数据库应用 程序关联较大，对数据库的操作通常都是通过固定 的应用程序来实施的．当数据库应用系统开发完成 后，用户通常通过应用系统的相关功能模块来使用 数据库，一个功能模块操作数据库的SQL语句和操 作时间先后顺序是固定的，即数据库的操作模式通 常比较固定，与生物体中自体细胞的稳定性相似，适 合用人工免疫原理来建模和处理． 2预备知识 2．1 问题形式化描述 在进一步进行研究之前，需要对基于人工免疫 的数据库入侵检测问题进行形式化描述，明确相关 概念和定义． 定义1．数据库会话(databasesession，DS)．经 过预处理的一次数据库访问过程称为一个数据库会 话，其中包含的主要信息是用户从登录数据库到从 数据库注销的时间段内进行的数据库操作序列． 定义2．自体和非体(self8Lnonself)．根据数 据库会话的概念，将自体定义为正常的数据库会话， 非自体定义为非正常的数据库会话．系统使用操作 短序列用于判断数据库会话属于自体或者非自体， 使用self表示属于自体的短序列集合，nonself表示 属于非自体的短序列集合． 定义3．基因库(genepool，GP)．定义操作类型 (0P)和操作对象(O())的组合{OP，OO)为基因，并 根据OP对数据库的改变情况分为“读操作 (Select)”、“写操作(Insert，Delete，Update)”和“修 改权限操作(Grant，Revoke等)”，使用Read，Write和 Change表示，简记为R，W和C． 定义4．抗原和抗体(Ag&Ab)．抗原和抗体 均由基因库中的基因组成．一次数据库会话中的操 作被分类成{001，OP。，002，0P。，⋯，o防，OP。}的 序列为抗原，如果该序列存在于检测器中则称为抗 体．使用集合Ag表示抗原：Ag={aglag=(ag-， ag。，⋯ag。))，其中ag。表示抗原的第以个基因，使 用集合Ab表示抗体：Ab一{口6Iab=(ab。，ab：，⋯ ab。)}，其中口6。表示抗体的第行个基因． 定义5．检测器．检测器的主要组成部分是抗 体。此外还包括表示检测器状态的各种参数，如年 龄、寿命、已匹配数和成熟度等，可以使用下式表示： D一{dd一， type∈(1，2，3，4)，age∈N，age≤rife， n6∈Ab，life∈N，count∈N)， 其中type表示检测器类型，1为未成熟检测器 (immaturedetector，ImD)；2为成熟检测器(mature detector，MaD)；3为记忆检测器(memorydetector， MeD)；4为在检测阶段出现的待定检测器(pending detector，PeD)，是一种特殊的未成熟检测器；ab表 示抗体，即操作短序列；age代表检测器的年龄；life 表示检测器的寿命，不同类型的检测器具有不同的 寿命Count表示与检测器中的抗体发生匹配的短序 列数量；Ab是抗体集合；N为自然数集合．引入符号 “．”来表示抗体的各个组成部分，如d．count表示该 检测器的抗原匹配数．检测器满足下面的关系： ImD∈D，PeD∈D，MaD∈D，MeDSD； ImDUPeDUMaDUMeD=D： ImDNPeDNMaANMeD=⑦． 4种检测器的转换关系如图1所示． 图1中的虚线框中的内容表示两种检测器的相 似性，两个阶段划分只针对未成熟检测器和待定检 测器，而与虚线框外的内容无关． 万方数据 什算机研究与发展2009，46(增刊) l—幽堕叫+_塑塑一ll嚣絮L耐受成功l确认巴多嗡&入侵lI被否定 成熟检测器I l记忆检测器 图1 4种检测器的转换关系图 根据以上给出的定义，基于人工免疫的数据库 入侵检测问题描述如下：在有限资源的条件下，入侵 检测模型检测包含审计到的所有数据库会话组成的 全集U中任一元素，将其判断为正常会话集NS或 异常会话集AS的过程．检测过程中存在错误肯定 和错误否定两种错误，模型的评估使用检测率、误报 率和漏报率等3个指标． 2．2有条件的最长不重复规则 最长不重复规则是指存在有序可重复字符串 S，并且S中的字符均属于包含有限字符的字符表 三，从S的第1个元素依次开始截取子字符串Sub， 要求Sub在不包含重复元素的情况下长度最大，并 且子字符串中不允许出现单元素．使用有条件的最 长不重复规则划分字符串的过程如图2所示： Subl Sub2 ⋯ Sub。一1Sub— J 图2有条件的最长不重复规则划分字符串示意图 但这种划分字符串的方法可能导致一个超长的 字符串的最长不重复字符串划分为其本身．如果一 次数据库会话中出现不重复的对表的操作，同样会 发生这样的问题，因此对最长不重复字符串划分规 则添加限制条件：限定允许的最长子字符串为K， 即对长度大于K的字符串进行分割，即使字符串中 所有的字符均不相同，对其进行划分所能够获得的 最长字符串长度为只能为K．通过这种限定可避免 检测器的抗体无限制增长， 2．3不等长字符串匹配规则 存在两个长度不等的字符串z和Y，如果较短 的字符串的长度大于较长字符串长度的一半，并且 较短字符串是较长字符串的子字符串，就认为两个 字符串匹配，定义这种匹配规则为不等长字符串匹 配．形式化描述如下： 了z，y(Izl≠IYf^Imin{z，Y)I> 寺fmax(z，Y)f^ min{x，Y)是max{x，Y)的子串)． 根据审计日志产生的各个抗原长度不等，使用 口6和口g完全相同的比较方法会产生大量的冗余检 测器，在本模型中，口6和ng的基因来自于GP，GP 是一个包含定量字符的集合，因此模型设计中使用 不等长字符串匹配规则用于口6和ag的匹配，可以 使用下式表示： m∽=任篡二￡引难确子串； 2．4匹配处理 匹配(match)是指口g和口6符合如下的关系： {(ab，ag>f(ab∈A6)^(ag∈Ag)^ (f(ab，ag)=1))． 函数f(ab，ag)表示使用不等长字符串匹配规 则判断n6和ag的匹配关系，定义口g是口6的子串 的匹配为正匹配(positivematch，PM)，定义口6是 口g的子串的匹配为负匹配(negativematch，NM)． ag和n6发生匹配时的处理算法为： 算法1．MatchDispose． Input：Ag，Ab，ag，ab； Output：Detector． ①ifPM(ag，ab) ② count++； ③(active转换过程)or(alert)； ④endif ⑤if(Detector=MaDandDetector处于训练阶 段)or(Detector=ImD)or(Detector=PeD) ⑥Delete(Detector)； ⑦ 以抗体为抗原构造一个新PeD或ImD； ⑧endif ⑨ifNM(ag，ab)and(Detector=MaD) ⑩ activeDetector； ⑥ alert； ⑩endif ⑩if(管理员确定为正常访问) ⑩ 执行⑤～⑧； ⑩else ⑩Delete(Detector)； ⑩ 抗原构造一个新MeD； ⑩endif ⑩if(Detector=MnD)and(PM(ag，ab)or 万方数据 赵 敏等：AIB-DBIDM：一种基于人工免疫的数据库入侵检测模型 115 NM(ag，ab)) ⑦ alert； ◎ ifNM(ag，ab) ◎ if(管理员确定为正常访问) ⑦Delete(Detector)； @ else @ 执行⑤～⑧； ④ endif ◎endif 历史审计日志 日志预处理 3 AIB-DBIDM组成和关键技术 AIB-DBIDM主要包括审计日志预处理模块、 基因库模块、未成熟(待定)检测器耐受模块、成熟检 测器检测模块和记忆检测器检测模块5个主要的模 块．模型引入了检测器生命周期机制，可以有效控制 检测器的规模并使模型具备较好的动态特征．模型 如图3所示： I．皇生里查 )知；菇磊n丢意丌《磊磊磊 f耋二：季藿覆丽!鬲夏≤二二≤三妻囊i||囊主≥奎写差一成熟检测器)_■叫成熟检测器检测 图3 AIB-DBIDM框架 图3中的方形表示处理过程，虚线椭圆形表示 临时数据表或集合，实线椭圆形表示存储数据表或 集合，空箭头表示控制流，实箭头表示数据流． 检测模型包括训练和检测两个阶段：训练阶段 的任务是为异常检测提供成熟检测器集合；检测阶 段根据模型预先学习获得的知识执行入侵检测任 务．以入侵检测阶段为例，首先是审计日志预处理获 得数据库会话表，这个过程是后续操作的基础；然后 是异常检测，使用训练阶段得到的检测器集合进行 用户操作序列级的检测． 异常检测的核心工作是管理和维持3类检测器 中的抗体的更新、耐受和死亡，如图4所示： 抗体死亡 一；．：T：：：j一．：．一：] 罔 |肾，l|t荆丘主凶臣噩)圜 图4异常检测的人-r免疫模型 理流程(如图4中虚线标识的过程)；二是检测器中 的抗体演化过程(如图4中实线标识的过程)．图4 中的协同刺激即向管理人员发出告警信息，得到肯 定回答称为协同刺激成功，得到否定回答或在一定 时间内没有任何应答称为协同刺激失败． 3．1 抗原处理 经过审计日志预处理可以获得DS表和操作序 列表，根据有条件的最长不重复规则从表中得到基 因短系列，即抗原．下面是抗原处理算法： 算法2．AgDispose． Input：ag； Output：ag，Detector． ①ifG(ag)NotInGP ② alert； ③endif ④if(G(ag)match记忆ab) ⑤ if(协同刺激成功) ⑥ 记忆abeAS； ⑦ else ⑧Delete(Detector)； ⑨ endif ⑩endif 万方数据 计算机研究与发展2009，46(增刊) ⑩iffG(ag)match未成熟ab)and(匹配数≥f) ⑩ activeab； ⑩ wait协同刺激信号； ⑩endif ⑩if协同刺激成功 ⑩Delete(ag)； ⑩endif ⑩if!(G(ng)match成熟ab) ⑩ 以此抗原构造PeD； ④endif 3．2抗体演化过程 产生于训练阶段的未成熟和成熟抗体集合是模 型运行的基础和前提，3类不同类型的抗体演化过 程分别为： 1)记忆抗体．当记忆抗体匹配抗原时，系统判 断存在入侵行为，发出警报等待管理人员确认．如果 协同刺激成功则记忆抗体保留，并提高其亲和力，否 则记忆抗体死亡． 2)未成熟抗体．模型使用肯定选择算法，未成 熟检测器是发现和检测入侵的关键．未成熟抗体的 演化主要存在两个流向：一是由于在寿命期内没有 匹配足够的抗体而无法激活，由于年龄过大被删除； 二是在生命周期内被成功激活，进入协同刺激过程， 如果协同刺激成功则转换为记忆抗体，保持入侵行 为的特征，否则转换为成熟抗体，保持合法会话的特 征． 3)成熟抗体．成熟抗体属于可信度较高的自体 集合，任务是保持一个适度规模的自体集合，根据与 抗原的匹配情况产生新的未成熟抗体．成熟抗体会 因为在生命周期内没有匹配足够数量的抗原而被删 除． 为了保证抗体的多样性，避免未成熟抗体和成 熟抗体过少而不能及时检测非自体抗原，同时又需 要限制抗体的规模，因此AIB-DBIDM系统限定抗 体的总数为一个常量，策略为对成熟抗体实行定期 扫描，删除部分质量较差的抗体． 3．3基因库管理 基因库管理模块是AIB—DBIDM不同于传统人 工免疫的重要特点之一，实际应用中安全管理员通 常无法获得数据库应用的开发人员在数据库中创建 的所有表以及对表的操作过程，因此只有通过审计 日志包含的信息提取需要的操作类型和操作对象． 由此可知，模型的基因库是递增的，所以在对稳定的 数据库应用访问数据库的过程进行入侵检测时，一 旦发现新的基因即可认为存在入侵行为．基因库管 理模块的工作流程如图5所示： DS表的基冈序列 ————T—一I基斟序列的所有基因 在摹【大J库中检索 异常访问处理 图5基因库管理模块工作流程 3．4生命周期机制 由于数据库应用可能发生变化，检测器必须对 此及时作出反应，而且如果检测器无限期的存在下 去，只有记忆检测器在检测到自体抗原是死亡，就可 能导致两个严重的后果： 1)检测器会不断增加，而系统资源是有限的； 2)任何出现在训练阶段的非自体抗原均不能 被识别． 因此AIKDBIDM对检测器引入了一种改进了 生命周期机制，检测器的生命周期如图6所示： 生命周期内旺配值广——一没有达到闽值广————，I未成熟检测器卜_—————叫 死f卜———] 超过 激活阈值 寿命期内 没有匹配 不是 一入侵行为 罨#丽涵丽订—汀五茹面f 是入侵行为 图6检测器的生命周期 4测试与评价 4．1评价标准 评价一个入侵检测系统的优劣有3个要素：检 测率、误报率和漏报率．检测率=笔赞骅×100％； 误报率一避笔鳞笋继×100％；漏报率一甥产×100％． 除了上述的3个参数外，处理能力、容错性和对 原数据库的性能影响恤．可用来评价一个数据库入侵 万方数据 赵敏等：AIB-DBIDM：一种基于人T免疫的数据库入侵检测模型 117 检测系统．本文主要利用检测率、误报率和漏报率来 进行评价． 4．2 实验设置 本文使用Delphi基于AIB—DBIDM实现了一 个数据库入侵检测原型系统．实验系统的运行环境 为：PentiumD2．8GHz处理器、2GBDDR800内存 的PC机，操作系统为WindowsXPProfessional SP2，被测数据库为Oracle8．1．7．实验设置了两种 类型的攻击场景[11|，分别为： 1)合法用户攻击．合法授权用户绕过安全机 制，访问安全机制不允许访问的数据库对象或有访 问数据库对象的权限，但执行了未授权的操作．具体 实施方法是：合法的应用系统用户(studentl)通过 合法的操作系统终端在合法的时间登录应用系统 100 80 籁60 ± 啡40 20 0 100 80 毋60 褂 丑40 20 O 合法用户攻击测试结果曲线图 1／■、 I—．-r7—k、r／Y。 、 一入侵事件数一+被检测事件数 一漏报事件数一 r7．■—，———■、、—_——_ l 2 3 4 5 6 7 8 9 10 测试组号 合法用户攻击测试结果曲线图 I／■、 -—．Ir7—L、／Y一 、 +检测率一+漏报率 一误报率一㈧．—，’1—’。’。●-，—_—●■一Il 2 3 4 5 6 7 8 9 10 测试组号 (a)合法用户攻击测试 (学生学籍管理系统)之后，完成自己合法操作过程 (浏览课程和查看成绩)中对非自己操作范围的功能 (修改课程信息)进行了操作，从而修改了数据库中 非授权的数据． 2)伪装攻击．通过合法的登录过程进入数据库 系统(正确的用户名和口令，可能是窃取或者拷贝得 到的)，而系统使用方式与平常不同．具体实施方法 是：一个非法用户获得一个合法用户名(student2) 和口令登录应用系统后，随意进行了一些操作． 4．3 测试实施 攻击测试时对每种场景分别产生100次正常事 件和100次入侵事件，对获得的审计日志进行离线 检测，统计入侵检测系统的检测结果如图7所示： 80 60 螽 蠢40 20 O 100 80 术60 得 丑40 20 O 伪装攻击测试结果曲线图 k -／I、、 。～·7＼／、，—＼、．1 一入侵事件数一+被捡测事件数 一漏撤事件数一 ▲．，▲＼． ．——▲ ．～ 一、、-厂 一 l 2 3 4 5 6 7 8 9 10 测试组号 伪装攻击测试结果曲线图 k -—L 1、17Y、r“、、_ --!--检测率—— ——一漏报率 一误报率—— }—r—'—t—节—斗二～；—t—1 I 2 3 4 5 6 7 8 9 lO 测试组号 (b)伪装攻击 图7攻击测试结果曲线图 从图7中可以看出，对合法用户的攻击检测率 较高，都在80％以上，对伪装攻击的检测率在70％ 以上．就漏报率来说，对合法用户的攻击漏报率较 低，对伪装的漏报率较高．对两种攻击行为的误报率 都在10％以下．总的来说，对合法用户的攻击检测 效果较好． 入侵检测模型AIB—DBIDM，并依据模型实现了一 个原型系统．实验表明，原型系统能对合法用户攻击 和伪装攻击进行较好的检测．目前系统尚不支持基 于特征的检测，后期工作可考虑将基于特征的检测 加入模型之中． 参 考文 献 5结论及展望 11-1钟勇，秦小麟．数据库入侵检测综述．计算机科学，2004，31 本文基于人工免疫的原理，设计了一个数据库 (10)：15—18 万方数据 118 计算机研究与发展2009，46(增刊) C2]JerneNK．Towardsanetworktheoryoftheimmune system．AnnualImmunology，1974，125C：373—389 [3]ForrestS，PerelsonA S，CherukuriR．Self-nonself 。discriminationina computater／／ProcofIEEESympon ResearchinSecurityandPrivacy．LosAlamitos：IEEE ComputerSociety，1994：236—241 [4]StevenA．HofmeyramdS．ForrestArchitectureforan ArtificialImmuneSystem．Journalof Evolutionary Computation，2000：1—5 [5]ChungC Y，GertzM，LevittK．DEMIDS：A misusedetectionsystemfordatabasesystems／Procofthe3rd AnnualIFIPTC211 WGl1．5WorkingConfonIntegrityand InternaIControlin InformationSystems．Amsterdam， Netherlands：KluwerAcademicPublishers。1999：159—178 [6]HuY，PandaB．Adataminingapproachfordatabase intrusiondetection／／Procofthe2004ACMSymponApplied Computing．NewYork：ACM，2004：711—716 [7]IngsriswangS，LiuP．AAID：Anapplicationaware transaction21eveldatabaseintrusiondetectionsystem．Dept ofInformationSystems，UMBC，200I Cs]LeeSY，LowWL，WongPY．Learningfingerprintsfora databaseintrusiondetectionsystem／／Procof the7th [9] Do] [11] EuropeanSympon Researchin ComputerSecurity (ESORlCS2002)．Piscataway。NJ：IEEE，2002：264—280 SielkenRS．Applicationintrusiondetection．CS299217． Virginia：DepartmentofComputerScience。Universityof Virginia．1999 LowWaiLup，LeeJoseph，TeohPeter．Didafit：Detecting IntrusionsinDatabasesThroughFingerprintingTransactions． Piscataway，NJ：IEEE，2002：121—124 詹伟．关系数据库入侵检测系统的设计与系统．武汉：华中 科技大学，2004：42-45 赵敏男，1980年生，博士研究生，主要研究方向为 系统软件、信息安全等． 王红伟男，1983年生。硕士研究生，主要研究方向为 数据库安全等． 张涛男，1973年生，副教授，硕十生导师，主要研究 方向为系统软件、信息安全、嵌入式系统等． 张毓森男，1949年生，教授，博士生导师，主要研究方 向为系统软件、信息安全等． 万方数据 AIB-DBIDM:一种基于人工免疫的数据库入侵检测模型 作者： 赵敏， 王红伟， 张涛， 张毓森， Zhao Min， Wang Hongwei， Zhang Tao， Zhang Yusen 作者单位： 解放军理工大学指挥自动化学院,南京,210007 刊名： 计算机研究与发展 英文刊名： JOURNAL OF COMPUTER RESEARCH AND DEVELOPMENT 年，卷(期)： 2009,46(z2) 参考文献(11条) 1.Steven A.Hofmeyr;S.Forrest Architecture for an Artificial Immune System 2000 2.Forrest S;Perelson A S;Cherukuri R Self-nonself discrimination in a computater 1994 3.Jerne N K Towards a network theory of the immune system 1974 4.钟勇;秦小麟 数据库入侵检测综述[期刊 论文 政研论文下载论文大学下载论文大学下载关于长拳的论文浙大论文封面下载 ]-计算机科学 2004(10) 5.詹伟 关系数据库入侵检测系统的设计与系统 2004 6.Low Wai Lup;Lee Joseph;Teoh Peter Didafit:Detecting Intrusions in Databases Through Fingerprinting Transactions 2002 7.Sielken R S Application intrusion detection[CS299217] 1999 8.Lee S Y;Low W L;Wong P Y Learning fingerprints for a database intrusion detection system 2002 9.lngsriswang S;Liu P AAID:An application aware transaction2level database intrusion detection system 2001 10.Hu Y;Panda B A data mining approach for database intrusion detection 2004 11.Chung C Y;Gertz M;Levitt K DEMIDS:A misusedetection systemfor database systems 1999 本文链接：http://d.g.wanfangdata.com.cn/Periodical_jsjyjyfz2009z2081.aspx