具有認知功能的入侵防御系統研究與設計

萬召文，徐 慧

（南通大學 計算機學院，江蘇 南通226019）

0 引 言

網絡已成為我們生活的一部分，在網絡帶給我們便利的同時，也帶來了許多隱患。在過去的幾年中，不論是個人還是企業，都曾因計算機安全問題受到不同程度的損失。計算機安全問題已成為當前環境下一個備受矚目的重要話題。從以往的實例來看，為了減少計算機安全問題的威脅，僅從單一的網絡防護已經無法達到理想的防御效果，無論企業還是個人都需要更為深入有效的防御系統來保護企業和個人的數據信息安全。

IBM技術研究部在其發表的一篇論文［1］中提出了自律計算的思想。該思想的核心在于簡化和增強終端用戶的體驗，在復雜、動態和不穩定的環境中利用計算機本身的自律計算的特點來達到用戶的預期要求。結合Thomas提出的認知網絡理論［2］，把這兩種思想方法轉移到入侵防御當中來。為以主機結點為核心的入侵防御系統 （HIPS）加入認知的功能，使系統具備自學習和自配置的功能，使IPS能夠更為精準的服務用戶。

目前計算機系統結構復雜、信息量龐大，僅靠單一的人工參與已經無法達到預期目標。具備自我認知的防御系統，可以通過系統內部的循環識別惡意數據流，依靠主機內部程序就可以進行自我配置，動態的防御內、外部攻擊，相比傳統的防御系統而言可以達到更高的防御效率。認知網絡和自律計算是下一代網絡的一個發展趨勢，認知防御也將是不可缺少的重要部分。

1 研究現狀和設計思路

1.1 HIPS的研究現狀

HIPS利用附加在操作系統上的應用程序來監管主機上的各類操作及一些特定端口的數據流。以包過濾、狀態包檢測和實時入侵檢測技術組成一個分層的防御體系。該體系可以合理控制吞吐量，從而對主機的主要數據提供最大程度的保護［3］。雖然HIPS可以在攻擊發生之前就對有害數據進行處理，但從其他方面來看，這種處理方式也暴露其不利之處。

從攻擊方來看，現有網絡攻擊行為從探測到系統漏洞到對主機進行攻擊之間的時間間隙很短，當主機探測到這一信息時，攻擊行為可能已經完成了對主機的攻擊。攻擊行為的速度之快使得防御系統很難做出及時的應對。

從防御系統本身來看，HIPS是對HIDS和防火墻技術的一個取長補短的結合，所以在人員維護上也是要耗費大量人力來對系統進行監控，需要手動的更新數據庫，使系統可以及時的識別新的攻擊行為。從目前網絡環境來看，這一方法顯的過于笨拙，對新產生的攻擊策略不能做到及時有效的防御

為了解決IPS的不足之處，許多研究者通過給系統添加智能來增加其防御能力。在系統中加入適應性抽樣算法、數據包分類器、增量學習算法來增加系統在監測到不完備數據時處理數據包的智能特性［4，5］。通過添加不均衡分類算法和遺傳算法來改善系統檢測攻擊的準確性并減少了檢測時間［6－8］。借鑒人工免疫系統理論，使得IPS通過分析惡意行為及其影響來觸發自我修復系統；也可以利用神經網絡、人工智能來提高IPS的主動防御能力［9］。基于數字簽名的防御系統是目前防御能力較為突出的一個系統，通過交叉引用數據庫中的威脅或漏洞數字簽名來檢測威脅和漏洞。但該系統也存在缺點，即無法從異構的數據源進行數據分析。SumitMore等人根據數字簽名系統的缺點提出狀態感知的入侵防御系統，綜合了異構的數據源建立起一個語義豐富的知識庫來彌補數字簽名系統的不足［10］。另外從整個網絡全局考慮，分析和評估網絡安狀態來實現防御的目的，通過研究網絡的安全態勢來增加防御系統的自我修復能力［11］。

從上述的這些方法來看，大多都是以提高系統檢測網絡攻擊的效率為出發點，改善了系統識別惡意數據的效率，但并沒有提及到認知的層次。

1.2 認知網絡

認知網絡的概念最初是由弗吉尼亞大學的Thomas等學者共同提出的。認知網絡具有感知當前網絡環境的認知能力，能夠通過對環境的理解，動態的調整網絡配置，并以此對未來的網絡環境進行規劃、決策。認知網絡具備從變化的網絡中學習的能力，從而對未來的行為進行以端到端為目標的決策。

認知網絡的重要特性體現在其異構性、協同性和智能性。其中以高智能性特點最為突出。高智能特點體現在其自學習、自適應、自配置的功能。認知網絡通過對周圍的網絡環境的感知學習、重配置系統參數，來適應網絡環境的變化。同時，重配置引起的網絡變化又會引起周圍環境對網絡其他元素的影響，進而造成對網絡其他元素的配置。在這樣一系列的相互作用，反復變化中，認知網絡就能對網絡進行不斷的學習，對系統不斷的優化配置，從而達到網絡服務性能最優化的目標［12］。

認知網絡在這種反復的認知過程中達到對網絡性能優化的目的。在這一系列的認知過程中，以其具備的自我學習能力最為突出。在這樣一個循環反饋的系統當中，通過對網絡目標信息的不斷交互，對已有知識的不斷完善，又可以對未知的網絡行為提出建議和決策，以此達到網絡認知的目的。從另一方面來看，網絡結構的復雜性、異構性，對網絡的一次學習不足以感知到完整的信息。借鑒循環反饋的機制可以對同一網絡目標進行多次反復學習，才能獲得目標網絡更為全面的信息。

1.3 設計思路

Thomas在他論文中提到認知網絡也可以運用到網絡安全技術上［2］。通過訪問控制、隧道技術、信用管理等技術方法把認知網絡的概念融入到網絡安全當中。分析來源于網絡各層的反饋信息，使得認知網絡可以發現存在的威脅，然后通過改變安全機制例如：規則設定、協議、加密等做出相應的反應。

從認知的理念出發，為使主機系統具備自我防御的能力，在設計系統結構模型時也為其引入一個反饋循環機制。因為具備反饋循環機制是一個系統具備學習能力的一個基礎，并且只有具備了學習能力的系統才可能進行自我防御。通過自身的學習，對感知到的數據進行多次提煉達到認知防御的目的。這樣主機本身就可以處理未知的網絡行為，所以在一定程度上減少過多操作人員的參與。另外從HIPS面臨的漏報和誤報的問題來看，傳統的HIPS在處理網絡行為時都是根據對已有知識類型的一個比對，來對當前的行為做出決策。因此知識庫也是HIPS的一個至關重要的因素。而一個具備學習能力的HIPS可以通過自我學習機制來不斷更新現有的知識庫，隨著知識庫的不斷擴充和更新，就能夠減少之前因為知識不完善而造成的誤報和漏報的問題。

2 具有認知功能的HIPS

結合認知理論設計的HIPS結構如圖1所示，該結構分為5個模塊：傳感器、知識庫、狀態庫、認知推理及決策執行模塊。

圖1 HIPS結構模型

2.1 傳感器

通過對監控端口和系統日志掃描來采集數據，包括：對文件、注冊表和進程的監控、自身的防御系統是否運行正常、檢測主機內部CPU、內存的消耗是否正常，網絡接口的流量是否正常、使用主機的人的操作是否合法、主機內部重要文件是否被非法訪問或是被更改或被復制、刪除等等。

2.2 狀態庫

狀態庫用于存儲當前的主機狀態和感知到的周圍網絡環境狀況，只能存儲短期的知識 （即經過一段時間后這些知識可能會被刪除掉），當感知模塊感知的信息傳遞給認知推理模塊時會先通過推理模塊的分析部分，然后把知識的描述轉換為規則描述的觸發類型 （即當出現某個行為時就會造成相應的結果），用于接下來的知識推理。認知推理過程所構建的子目標或子狀態也會存入到狀態庫中。

所有被傳感器感知到的信息先被轉換為規則觸發的類型，然后存入到狀態庫當中，接著與知識庫中已有的知識類型進行比對。

狀態庫作為一個存放即時產生信息的一個臨時倉庫，存放這些被傳感器發送過來的大量臨時信息，其主要作用有兩方面，首要功能是接收由傳感器發送來的數據并轉換為規定的規則觸發類型。另外一個重要功能是對接收到信息進行第一次過濾，與計算機網絡的防火墻有相似的作用。當狀態庫與知識庫進行比對之后無法產生有效結果時，就會轉入到之后的環節來繼續對數據進行處理。

2.3 知識庫

知識庫屬于該模型的一個核心部分，為了使系統具備更好的認知能力，所以該部分又分為兩個子結構：規則庫和優先級庫。

（1）規則庫：把已知的知識表述為可觸發的規則形式，即當觸發某一行為時就會產生相應的一個結果；在描述規則的時候，結果的表述形式也是多樣的，可以是一個對主機直接下達的命令，也可以是觸發到另外一個規則，因此每一個規則之間會存在直接或間接的聯系。規定每個規則必須要對應一個可以被觸發的根狀態 （最原始的狀態），比如：常見的DOS攻擊、病毒、蠕蟲攻擊等等，這里的每個規則至少要連接到某一可以被觸發的根狀態，也可以通過與其他規則之間的一個關系傳遞來連接到根狀態，否則經過一段時間的系統搜索后那些未與根狀態對應的規則就會被系統自動刪除掉。經過這樣處理之后，狀態庫與知識庫進行比對時，可以直接通過匹配的知識類型了解到具體發生的攻擊行為的種類，從而及時的采取相應的行動策略，減少了系統的反應時間，使得防御系統能夠在最快的時間內應對攻擊行為。

知識庫中規則的獲取有兩種方式：對目前已知的所有行為的規則描述；通過主機的自我學習機制而獲取的新知識。

規則庫的知識描述形式的設置，讓系統通過對一系列因果關系的判斷后，可以直接尋找源頭，原理簡單，思路清晰。即使在專業人員干涉時，也可以順著這些知識之間的關系迅速的查找源頭，節省了很多不必要的時間。與狀態庫的作用比較來看，知識庫適用于存放長期，或者說是已經被確定的有害數據和安全數據，這些知識體也是系統各個環節進行抉擇的一個根本依據。

（2）優先級庫：對目前已知的行為采取一個優先準則的排序，例如：有多種對策可以處理相同問題時根據每個方法處理該問題消耗的時間、系統資源等來對這些策略進行排序，也有可能出現上一條規則的執行結果和當前規則的執行結果剛好相反，那么可以制定一個優先級來避免這兩個規則順序執行。通過在每條規則中提前設置好的優先級標識符來定義每個規則觸發行為的先后順序。優先級庫是嵌入到規則庫中的每條規則中來區分每個規則的優先級，并且每一個狀態庫中的規則都必須具備一個優先級標示符，否則該條規則在經過幾次循環之后會被系統認定為無效的，最終將被刪除。

設立優先級庫的目的在于解決系統在自主解決問題時可以避免不必要的重復搜索，以及當系統面對多個選擇時，可以根據之前設定的優先級參量來判斷選擇哪一個最好。優先級庫的構建一部分靠對之前已了解知識的一個分類，另外一部分則需要系統在不斷的運行當中來不斷補充。因為這些規則并不是一次性就可以完全插入到規則庫中，需要經過系統多次的循環認知才能得以完善。

2.4 認知推理

該模塊具備知識推理的能力，借鑒認知網絡的反饋循環機制，對未知的網絡行為進行反復分析和匹配使主機可以進行自我學習和自我配置。以知識庫為基礎，知識推理模塊通過與知識庫的匹配分析來解決問題。

知識推理模塊處理未知數據的方法分兩個步驟：

（1）通過網絡詢問臨近可信任的節點或服務器來尋求幫助；

（2）當第一步不能解決問題的時候，系統切換到自我推理環節。

在認知推理模塊中，又被分為3個子模塊，依次為：分析、匹配、預處理。

（1）分析：分析模塊把未知的數據先轉換為知識體的類型，并存入狀態庫中，根據未知數據的接入方式、數據來源等詳細內容來比對已有的知識庫中的知識體，配合知識庫中的優先級庫來假設出該行為可能造成的結果。假設的結果可以是單一的，也可以是多元化的。并把這些假設稱之為初始狀態。

（2）匹配：分析模塊在對未知行為進行了初步分析后，匹配模塊把分析結果優先與根狀態直接相連的知識進行比對。在匹配分析的過程中可能會出現因為解決當前假設而產生了另外一個新的假設，這里稱之為子狀態。當遇到此類狀況時匹配模塊便會自動創建一個類似于棧的結構體來存放這些新生成的子狀態，把初始狀態放于棧底，因為這是我們要完成的終極目標。因初始狀態而產生的子狀態存放在初始狀態的上面，若之后繼續出現新的子狀態則依次存放，每一個層面的狀態都是為之前層面服務的。在出現了這類情況時，匹配模塊與分析模塊便共同來對棧結構體中的每一層面的狀態進行同時搜索匹配，這種并行處理方式可以加快處理問題效率，當其中一個層面的假設被認定之后，則在該層面之上的假設就會被自動刪除，轉而繼續匹配該層面以下的狀態。依照此類方式反復執行，直到棧中的初始狀態被解決為止。當所有的狀態都被解決之后，匹配模塊把分析的最終結果發送到預處理模塊。另外一種情況是在匹配過程中未出現新狀態，此時則把分析模塊的結果直接轉到預處理模塊。

（3）預處理：接收由匹配模塊發送過來的分析結果，在系統內部進行一個預先的處理，把模擬運行的結果發送給分析模塊。

預處理模塊的設定，一方面是為判斷分析模塊的處理是否合理，若執行該結果是否會對主機的其他部件造成影響，若造成影響則發送信息到分析模塊，告知此類假設非最佳處理結果，此時分析模塊便再次做出結果假設，并把對其他部件造成的影響因子加入的假設條件當中來，進行新一輪的匹配分析，繼續產生新的假設結果。通過一系列循環往復的交互，最終可以實現對未知數據的全面分析處理，并得到一個最佳結果。此時，認知推理模塊便會把最終結果發送給知識庫。知識庫把狀態庫中對該數據的描述和認知推理模塊對該數據的處理結果結合起來存入到知識庫中作為以后的一個評判標準。執行到此處環節時，系統就完成了一次對未知數據的認知學習。

2.5 決策執行模塊

該模塊作為整個系統指令的最終實現環節也有其重要作用，主要體現在以下3個方面：

（1）認知推理得出的最終結果會首先發送給決策執行模塊，通過該模塊來實現虛擬環境與真實環境的一個交互。這也是該模塊最為重要的一項功能。

（2）人為設定一個周期時間內，該模塊會對知識庫中的規則進行檢測，排除那些不在于根狀態匹配的規則，例如：因為系統的更新，之前的漏洞已經被排除，不再需要用以前的處理方式來防御。保留此類規則只會給知識庫增加不必要的開銷和復雜度。因此，一段時間內就需要對知識庫進行一次排查，排除此類知識體

（3）狀態庫只能存放臨時的知識體，通常這類知識體只是針對在某一時間段內的數據流有效。到了下一個時間段，這些知識體將不在有效，因此需要決策執行模塊在一個較短周期 （周期設定視狀態庫的容量而定）對之前存儲的知識體進行刪除，得意釋放存儲空間。

3 模型防御性能分析

入侵防御的最重要的環節在于數據收集和數據分析，如何在接收到的龐大數據集中分析和挖掘出有效的數據來應對有害數據的威脅，是入侵防御系統的關鍵。該模型設計的優勢體現在以下幾點：①知識類型的表述使得狀態庫和知識庫進行信息對比的時候可以迅速找準目標信息的源頭，若非知識庫的內容，便快速的轉到認知推理模塊進行下一步的信息處理。較傳統以特征碼檢測技術為主要手段的防御系統，在檢測速度和效率上有了很大提升。規則與規則之間連帶的因果關系可以使系統快速的定位未知數據流的特性。規則的因果關系的表示方法，使得分析思路清晰明了，專業人員可以很清楚的了解各個信息的來龍去脈。②知識庫的完備性和全面性是該系統的一個關鍵點，有效的數據支持是其他模塊得以實施正確行為判斷的一個重要前提。在引入了認知的功能之后，知識庫的更新不再僅僅依靠專家經驗，系統的自我分析成為了知識庫數據更新的關鍵點。利用系統的自我學習能力和聯網可信任結點之間的信息共享來完善知識庫，具備充分的成長性。

該模型通過一系列的循環反饋來實現對數據流的有效處理，首先由傳感器接收信息，再將信息發送給狀態庫進行知識類型的第一次鑒別。接著把未能檢測的數據交由認知推理模塊來處理，該模塊與知識庫的相互結合，再經內部的多次反饋來對未知數據流進行詳細分析和認知。然后認知推理模塊把得出的最終結果傳遞給決策執行模塊來實現和外界環境的交互，通過決策執行模塊來改變主機內部配置。感器持續監測現有的系統狀態，監測結果又可以傳遞給之后的模塊來判斷系統是否運行正常，之前的決策能否實現。通過這樣一個循環往復，不斷更新的環境下達到對已知和未知數據流的一個有效監控的目標。

4 結束語

認知科學相關理論及其應用已經取得了很大的進展，把認知方法融入到防御系統當中是一個行之有效的方法。通過兩者的結合來抵御網絡攻擊將在一定程度上提高檢測有害數據的概率，認知網絡是目前網絡發展的一個趨勢，認知防御也必將是以后IPS的一個發展方向。本文以認知理論為基礎導向構建認知防御模型，該模型也為之后的研究做出鋪墊，但模型中還有許多細節地方需要研究和完善。比如，知識體是一種規則觸發類型，那么如何能讓系統有效的識別這層因果關系是需要特別關注的。另外對未知數據流進行認知推理的效率高低，直接關系的一個系統的安全問題，因為現今的攻擊行為發生速度之快，很多防御系統在偵測到危險數據的時，惡意數據可能已經完成了一次對受害主機的感染，因此內否在保證安全數據無阻礙傳輸的同時又可以先阻斷未知數據流的傳輸也是一大關鍵問題。在接下來的工作中利用現有的知識理論和軟件來構建一個簡單的仿真模型，并針對某一特定的攻擊來檢驗其認知學習的功能。

［1］Kephart，Thomas J Watson Res.The vision of autonomic computing ［J］.IEEE Computer Socirty，2003，36 （1）：41－50.

［2］Thomas R W.Cognitive networks ［R］.International Symposium on First IEEE，2005：352－360.

［3］WU Haiyan，JIANG Dongxing，CHENG Zhirui，et al.Research of intrusion prevention system ［J］.Computer Engineering and Design，2007，28 （24）：5844－5866 （in Chinese）.［吳海燕，蔣東興，程志銳，等.入侵防御系統研究 ［J］.計算機工程與設計，2007，28 （24）：5844－5866.］

［4］Vasanthi S，Chandrasekar S.A study on network intrusion detection and prevention system current status and challenging issues ［R］.Froc of Int Conf in Communication and Computing，2011：181－183.

［5］JIANG Yaping，GAN Yong，ZHOU Jianhua，et al.A model of intrusion prevention base on immune ［R］.Fifth International Conference on Information Assurance and Security，2009：441－444.

［6］XU Jiannan，YANG Yun.Research on intrusion prevention sys－tem using imbalanced classification ［R］.Internation conference on instrumentation， Measurement，Computer，Communication and Control，2012：537－540.

［7］Muna Elsadig，Azween Abduallah.Biological intrusion prevention and self－healing model for network security ［R］.Second International Conference on Future Networks，2011：337－342.

［8］WU Yugang，QING Yong，SONG Jiguang，et al.Research overview of intrusion detection algorithm bassed on association rules ［J］.Computer Engineering and Design，2011，32 （3）：834－838（in Chinese）.［武玉剛，秦勇，宋繼光，等.基于關聯規則的入侵檢測算法研究綜述 ［J］.計算機工程與設計，2011，32 （3）：834－838.］

［9］Rainer Bye，Seyit A Camtepe，Sahin Albayrak.Design and modeling of collaboration architecture for security ［R］.International Symposium on Collaborative Technologies and Systems，2009：330－341.

［10］Sumint More，Mary Matthews，AnupAm Joshi，et al.A knowledge－based approach to intrusion detection modeling［R］.USA：IEEE Symposium on Security and Privacy Workshops，2012：75－81.

［11］XI Rongrong，JIN Shuyuan，YUN Xiaochun，et al.CNSSA：A comprehensive network security situation awareness system［R］.USA：International Joint Conference of IEEE，2011：482－487.

［12］LI Jinshuang，WANG Xingwei.Cognitive and credible network architecture ［R］.China：International Conference on Computer Application and System Modeling，2011：615－619.

［13］Martuza Ahmed，Rima Pal Md，Mojammel Hossain，et al.NIDS：A network based approach to intrusion detection and prevention［R］.Bangladesh：International Association of Computer Science and Information Technology，2009：141－144.

［14］Deris Stiawan，Abdul Hanan Abdullah，Mohd，et al.The trends of intrusion prevention system network ［R］.Indonesia：2nd International Conference on Education Technology and Computer，2010：217－221.