基于特定入侵檢測問題的規(guī)劃識別模型的研究

摘要:該文在特定的入侵檢測問題中，對于規(guī)劃識別技術(shù)進行了初步研究，提出了基于特定入侵檢測問題的規(guī)劃識別模型。

關(guān)鍵詞:入侵檢測;規(guī)劃識別;規(guī)劃識別模型

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)11-2617-01

Research of Plan Recognition Model Based on Specific Problem in Intrusion Detection

HAN Dan1， WANG Lei2

(1.Computer Office， Aviation University of Air Force， Changchun 130022， China; 2. Computer Office， China Basal Department of The Chinese People's Armed Police Forces Academy， Langfang 065000， China)

Abstract: In this paper， for the particular problem in intrusion detection， it preliminary studied the plan recognition technology， and it proposed the plan recognition model based on the specific problem in intrusion detection.

Key words: intrusion detection; plan recognition; plan recognition model

入侵檢測技術(shù)可以實現(xiàn)對系統(tǒng)的實時防護和采取相應(yīng)的應(yīng)急手段。同時，它還可以在不影響系統(tǒng)性能的前提下對系統(tǒng)進行及時監(jiān)控，并提供對外部攻擊、內(nèi)部攻擊和誤操作的動態(tài)防護功能。

規(guī)劃識別技術(shù)是人工智能研究領(lǐng)域中的一個相當重要的研究方向。目前，還僅是處于初步研究階段。

本文正是從以上兩方面的技術(shù)特點出發(fā)，把二者有機結(jié)合，將規(guī)劃識別技術(shù)應(yīng)用于特定的入侵檢測問題中，將發(fā)生在特定入侵檢測問題中的一系列動作(規(guī)劃)作為執(zhí)行規(guī)劃識別的起始動作序列，欲實現(xiàn)對實時動作序列(規(guī)劃)進行動態(tài)識別的過程，即是實現(xiàn)針對特定入侵檢測問題的規(guī)劃識別的過程。本文創(chuàng)新性地提出了基于特定入侵檢測問題的規(guī)劃識別模型。

1 基本概念

1.1 入侵檢測

入侵檢測[1]是對企圖入侵、正在進行的入侵或者已經(jīng)發(fā)生的行為進行識別并做出響應(yīng)的過程。

1.2 規(guī)劃識別

智能規(guī)劃識別是指根據(jù)已觀察到的Agent所發(fā)出或執(zhí)行的一系列部分的、瑣碎的、零散的動作來推斷其Agent所要達到的最終目標以及它所要執(zhí)行的全部規(guī)劃的過程[2]。

2 基于特定入侵檢測問題的規(guī)劃識別模型的設(shè)計

2.1 規(guī)劃識別模型的設(shè)計原則

本文中所提及的基于特定入侵檢測問題的規(guī)劃識別模型是在封閉的模擬條件下所提出的針對于特定動作序列的規(guī)劃識別模型。該模型可實現(xiàn)對封閉條件下的敵意動作序列進行有效識別的過程。

2.2 規(guī)劃識別模型的整體架構(gòu)

本文通過構(gòu)造規(guī)劃識別的結(jié)構(gòu)化模型，來實現(xiàn)特定入侵檢測問題中攻擊者在攻擊行為作用下對目標系統(tǒng)發(fā)起的目標狀態(tài)的分析與判斷，并向安全管理員發(fā)送相應(yīng)告警信息的過程。該系統(tǒng)模型主要由以下幾大部分組成:

1) 預(yù)處理模塊:它負責(zé)對攻擊行為進行數(shù)據(jù)采集，并將其轉(zhuǎn)換成敵意推理模塊能夠理解并處理的格式;

2) 敵意推理模塊:它能夠結(jié)合敵意知識模塊對預(yù)處理模塊發(fā)送來的行為狀態(tài)數(shù)據(jù)進行分析，并將從預(yù)處理模塊傳遞過來的帶有敵意動作的攻擊行為轉(zhuǎn)換為能在AKB中進行搜索的統(tǒng)一的三元組形式，這時當前攻擊過程中的行為和狀態(tài)就一目了然了;

3) 敵意知識模塊:敵意知識模塊會按照攻擊行為特征在知識庫中有范圍的進行分組搜索，并將搜索后的攻擊行為所對應(yīng)的自身危機度值發(fā)送回敵意推理模塊進行運算處理，進而求出相對危機度值和最大相對危機度值并在敵意推理模塊中來決定是否要將分析結(jié)果發(fā)送給決策響應(yīng)模塊進行決策響應(yīng);從而實現(xiàn)了對攻擊者攻擊行為的識別過程;

4) 決策響應(yīng)模塊:它在接收到敵意推理模塊的響應(yīng)信息后，就會向安全管理員的系統(tǒng)用戶界面發(fā)送告警信息，并使安全管理人員能夠通過決策響應(yīng)模塊給出的分析報告和導(dǎo)出的行為狀態(tài)圖來決定是否采取響應(yīng)以及采取何種響應(yīng)。這個過程就實現(xiàn)了對攻擊者攻擊行為的響應(yīng)過程。

3 結(jié)論

本文中所提出的基于特定入侵檢測問題的規(guī)劃識別模型可在封閉的模擬條件下實現(xiàn)對敵意規(guī)劃過程的動態(tài)識別與監(jiān)控。它可以對入侵檢測過程中所執(zhí)行的敵意動作序列(規(guī)劃)進行有效識別與響應(yīng)。同時，該模型還可以將敵意規(guī)劃識別的結(jié)果送至管理人員使之對其進行決策與響應(yīng)。

參考文獻:

[1] 銀石動力.實戰(zhàn)網(wǎng)絡(luò)安全[M].北京:北京郵電大學(xué)出版社，2005:70-77.

[2] Goldman R P，Geib C W，Miller C A.A New Model of Plan Recognition[C].Proceedings of the 1999 Conference on Uncertainty in Artificial Intelligence，1999.