具有認(rèn)知功能的入侵防御系統(tǒng)研究與設(shè)計(jì)

萬召文，徐 慧

（南通大學(xué) 計(jì)算機(jī)學(xué)院，江蘇 南通226019）

0 引 言

網(wǎng)絡(luò)已成為我們生活的一部分，在網(wǎng)絡(luò)帶給我們便利的同時(shí)，也帶來了許多隱患。在過去的幾年中，不論是個(gè)人還是企業(yè)，都曾因計(jì)算機(jī)安全問題受到不同程度的損失。計(jì)算機(jī)安全問題已成為當(dāng)前環(huán)境下一個(gè)備受矚目的重要話題。從以往的實(shí)例來看，為了減少計(jì)算機(jī)安全問題的威脅，僅從單一的網(wǎng)絡(luò)防護(hù)已經(jīng)無法達(dá)到理想的防御效果，無論企業(yè)還是個(gè)人都需要更為深入有效的防御系統(tǒng)來保護(hù)企業(yè)和個(gè)人的數(shù)據(jù)信息安全。

IBM技術(shù)研究部在其發(fā)表的一篇論文［1］中提出了自律計(jì)算的思想。該思想的核心在于簡化和增強(qiáng)終端用戶的體驗(yàn)，在復(fù)雜、動(dòng)態(tài)和不穩(wěn)定的環(huán)境中利用計(jì)算機(jī)本身的自律計(jì)算的特點(diǎn)來達(dá)到用戶的預(yù)期要求。結(jié)合Thomas提出的認(rèn)知網(wǎng)絡(luò)理論［2］，把這兩種思想方法轉(zhuǎn)移到入侵防御當(dāng)中來。為以主機(jī)結(jié)點(diǎn)為核心的入侵防御系統(tǒng) （HIPS）加入認(rèn)知的功能，使系統(tǒng)具備自學(xué)習(xí)和自配置的功能，使IPS能夠更為精準(zhǔn)的服務(wù)用戶。

目前計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)復(fù)雜、信息量龐大，僅靠單一的人工參與已經(jīng)無法達(dá)到預(yù)期目標(biāo)。具備自我認(rèn)知的防御系統(tǒng)，可以通過系統(tǒng)內(nèi)部的循環(huán)識(shí)別惡意數(shù)據(jù)流，依靠主機(jī)內(nèi)部程序就可以進(jìn)行自我配置，動(dòng)態(tài)的防御內(nèi)、外部攻擊，相比傳統(tǒng)的防御系統(tǒng)而言可以達(dá)到更高的防御效率。認(rèn)知網(wǎng)絡(luò)和自律計(jì)算是下一代網(wǎng)絡(luò)的一個(gè)發(fā)展趨勢(shì)，認(rèn)知防御也將是不可缺少的重要部分。

1 研究現(xiàn)狀和設(shè)計(jì)思路

1.1 HIPS的研究現(xiàn)狀

HIPS利用附加在操作系統(tǒng)上的應(yīng)用程序來監(jiān)管主機(jī)上的各類操作及一些特定端口的數(shù)據(jù)流。以包過濾、狀態(tài)包檢測和實(shí)時(shí)入侵檢測技術(shù)組成一個(gè)分層的防御體系。該體系可以合理控制吞吐量，從而對(duì)主機(jī)的主要數(shù)據(jù)提供最大程度的保護(hù)［3］。雖然HIPS可以在攻擊發(fā)生之前就對(duì)有害數(shù)據(jù)進(jìn)行處理，但從其他方面來看，這種處理方式也暴露其不利之處。

從攻擊方來看，現(xiàn)有網(wǎng)絡(luò)攻擊行為從探測到系統(tǒng)漏洞到對(duì)主機(jī)進(jìn)行攻擊之間的時(shí)間間隙很短，當(dāng)主機(jī)探測到這一信息時(shí)，攻擊行為可能已經(jīng)完成了對(duì)主機(jī)的攻擊。攻擊行為的速度之快使得防御系統(tǒng)很難做出及時(shí)的應(yīng)對(duì)。

從防御系統(tǒng)本身來看，HIPS是對(duì)HIDS和防火墻技術(shù)的一個(gè)取長補(bǔ)短的結(jié)合，所以在人員維護(hù)上也是要耗費(fèi)大量人力來對(duì)系統(tǒng)進(jìn)行監(jiān)控，需要手動(dòng)的更新數(shù)據(jù)庫，使系統(tǒng)可以及時(shí)的識(shí)別新的攻擊行為。從目前網(wǎng)絡(luò)環(huán)境來看，這一方法顯的過于笨拙，對(duì)新產(chǎn)生的攻擊策略不能做到及時(shí)有效的防御

為了解決IPS的不足之處，許多研究者通過給系統(tǒng)添加智能來增加其防御能力。在系統(tǒng)中加入適應(yīng)性抽樣算法、數(shù)據(jù)包分類器、增量學(xué)習(xí)算法來增加系統(tǒng)在監(jiān)測到不完備數(shù)據(jù)時(shí)處理數(shù)據(jù)包的智能特性［4，5］。通過添加不均衡分類算法和遺傳算法來改善系統(tǒng)檢測攻擊的準(zhǔn)確性并減少了檢測時(shí)間［6－8］。借鑒人工免疫系統(tǒng)理論，使得IPS通過分析惡意行為及其影響來觸發(fā)自我修復(fù)系統(tǒng)；也可以利用神經(jīng)網(wǎng)絡(luò)、人工智能來提高IPS的主動(dòng)防御能力［9］?；跀?shù)字簽名的防御系統(tǒng)是目前防御能力較為突出的一個(gè)系統(tǒng)，通過交叉引用數(shù)據(jù)庫中的威脅或漏洞數(shù)字簽名來檢測威脅和漏洞。但該系統(tǒng)也存在缺點(diǎn)，即無法從異構(gòu)的數(shù)據(jù)源進(jìn)行數(shù)據(jù)分析。SumitMore等人根據(jù)數(shù)字簽名系統(tǒng)的缺點(diǎn)提出狀態(tài)感知的入侵防御系統(tǒng)，綜合了異構(gòu)的數(shù)據(jù)源建立起一個(gè)語義豐富的知識(shí)庫來彌補(bǔ)數(shù)字簽名系統(tǒng)的不足［10］。另外從整個(gè)網(wǎng)絡(luò)全局考慮，分析和評(píng)估網(wǎng)絡(luò)安狀態(tài)來實(shí)現(xiàn)防御的目的，通過研究網(wǎng)絡(luò)的安全態(tài)勢(shì)來增加防御系統(tǒng)的自我修復(fù)能力［11］。

從上述的這些方法來看，大多都是以提高系統(tǒng)檢測網(wǎng)絡(luò)攻擊的效率為出發(fā)點(diǎn)，改善了系統(tǒng)識(shí)別惡意數(shù)據(jù)的效率，但并沒有提及到認(rèn)知的層次。

1.2 認(rèn)知網(wǎng)絡(luò)

認(rèn)知網(wǎng)絡(luò)的概念最初是由弗吉尼亞大學(xué)的Thomas等學(xué)者共同提出的。認(rèn)知網(wǎng)絡(luò)具有感知當(dāng)前網(wǎng)絡(luò)環(huán)境的認(rèn)知能力，能夠通過對(duì)環(huán)境的理解，動(dòng)態(tài)的調(diào)整網(wǎng)絡(luò)配置，并以此對(duì)未來的網(wǎng)絡(luò)環(huán)境進(jìn)行規(guī)劃、決策。認(rèn)知網(wǎng)絡(luò)具備從變化的網(wǎng)絡(luò)中學(xué)習(xí)的能力，從而對(duì)未來的行為進(jìn)行以端到端為目標(biāo)的決策。

認(rèn)知網(wǎng)絡(luò)的重要特性體現(xiàn)在其異構(gòu)性、協(xié)同性和智能性。其中以高智能性特點(diǎn)最為突出。高智能特點(diǎn)體現(xiàn)在其自學(xué)習(xí)、自適應(yīng)、自配置的功能。認(rèn)知網(wǎng)絡(luò)通過對(duì)周圍的網(wǎng)絡(luò)環(huán)境的感知學(xué)習(xí)、重配置系統(tǒng)參數(shù)，來適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。同時(shí)，重配置引起的網(wǎng)絡(luò)變化又會(huì)引起周圍環(huán)境對(duì)網(wǎng)絡(luò)其他元素的影響，進(jìn)而造成對(duì)網(wǎng)絡(luò)其他元素的配置。在這樣一系列的相互作用，反復(fù)變化中，認(rèn)知網(wǎng)絡(luò)就能對(duì)網(wǎng)絡(luò)進(jìn)行不斷的學(xué)習(xí)，對(duì)系統(tǒng)不斷的優(yōu)化配置，從而達(dá)到網(wǎng)絡(luò)服務(wù)性能最優(yōu)化的目標(biāo)［12］。

認(rèn)知網(wǎng)絡(luò)在這種反復(fù)的認(rèn)知過程中達(dá)到對(duì)網(wǎng)絡(luò)性能優(yōu)化的目的。在這一系列的認(rèn)知過程中，以其具備的自我學(xué)習(xí)能力最為突出。在這樣一個(gè)循環(huán)反饋的系統(tǒng)當(dāng)中，通過對(duì)網(wǎng)絡(luò)目標(biāo)信息的不斷交互，對(duì)已有知識(shí)的不斷完善，又可以對(duì)未知的網(wǎng)絡(luò)行為提出建議和決策，以此達(dá)到網(wǎng)絡(luò)認(rèn)知的目的。從另一方面來看，網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性、異構(gòu)性，對(duì)網(wǎng)絡(luò)的一次學(xué)習(xí)不足以感知到完整的信息。借鑒循環(huán)反饋的機(jī)制可以對(duì)同一網(wǎng)絡(luò)目標(biāo)進(jìn)行多次反復(fù)學(xué)習(xí)，才能獲得目標(biāo)網(wǎng)絡(luò)更為全面的信息。

1.3 設(shè)計(jì)思路

Thomas在他論文中提到認(rèn)知網(wǎng)絡(luò)也可以運(yùn)用到網(wǎng)絡(luò)安全技術(shù)上［2］。通過訪問控制、隧道技術(shù)、信用管理等技術(shù)方法把認(rèn)知網(wǎng)絡(luò)的概念融入到網(wǎng)絡(luò)安全當(dāng)中。分析來源于網(wǎng)絡(luò)各層的反饋信息，使得認(rèn)知網(wǎng)絡(luò)可以發(fā)現(xiàn)存在的威脅，然后通過改變安全機(jī)制例如：規(guī)則設(shè)定、協(xié)議、加密等做出相應(yīng)的反應(yīng)。

從認(rèn)知的理念出發(fā)，為使主機(jī)系統(tǒng)具備自我防御的能力，在設(shè)計(jì)系統(tǒng)結(jié)構(gòu)模型時(shí)也為其引入一個(gè)反饋循環(huán)機(jī)制。因?yàn)榫邆浞答佈h(huán)機(jī)制是一個(gè)系統(tǒng)具備學(xué)習(xí)能力的一個(gè)基礎(chǔ)，并且只有具備了學(xué)習(xí)能力的系統(tǒng)才可能進(jìn)行自我防御。通過自身的學(xué)習(xí)，對(duì)感知到的數(shù)據(jù)進(jìn)行多次提煉達(dá)到認(rèn)知防御的目的。這樣主機(jī)本身就可以處理未知的網(wǎng)絡(luò)行為，所以在一定程度上減少過多操作人員的參與。另外從HIPS面臨的漏報(bào)和誤報(bào)的問題來看，傳統(tǒng)的HIPS在處理網(wǎng)絡(luò)行為時(shí)都是根據(jù)對(duì)已有知識(shí)類型的一個(gè)比對(duì)，來對(duì)當(dāng)前的行為做出決策。因此知識(shí)庫也是HIPS的一個(gè)至關(guān)重要的因素。而一個(gè)具備學(xué)習(xí)能力的HIPS可以通過自我學(xué)習(xí)機(jī)制來不斷更新現(xiàn)有的知識(shí)庫，隨著知識(shí)庫的不斷擴(kuò)充和更新，就能夠減少之前因?yàn)橹R(shí)不完善而造成的誤報(bào)和漏報(bào)的問題。

2 具有認(rèn)知功能的HIPS

結(jié)合認(rèn)知理論設(shè)計(jì)的HIPS結(jié)構(gòu)如圖1所示，該結(jié)構(gòu)分為5個(gè)模塊：傳感器、知識(shí)庫、狀態(tài)庫、認(rèn)知推理及決策執(zhí)行模塊。

圖1 HIPS結(jié)構(gòu)模型

2.1 傳感器

通過對(duì)監(jiān)控端口和系統(tǒng)日志掃描來采集數(shù)據(jù)，包括：對(duì)文件、注冊(cè)表和進(jìn)程的監(jiān)控、自身的防御系統(tǒng)是否運(yùn)行正常、檢測主機(jī)內(nèi)部CPU、內(nèi)存的消耗是否正常，網(wǎng)絡(luò)接口的流量是否正常、使用主機(jī)的人的操作是否合法、主機(jī)內(nèi)部重要文件是否被非法訪問或是被更改或被復(fù)制、刪除等等。

2.2 狀態(tài)庫

狀態(tài)庫用于存儲(chǔ)當(dāng)前的主機(jī)狀態(tài)和感知到的周圍網(wǎng)絡(luò)環(huán)境狀況，只能存儲(chǔ)短期的知識(shí) （即經(jīng)過一段時(shí)間后這些知識(shí)可能會(huì)被刪除掉），當(dāng)感知模塊感知的信息傳遞給認(rèn)知推理模塊時(shí)會(huì)先通過推理模塊的分析部分，然后把知識(shí)的描述轉(zhuǎn)換為規(guī)則描述的觸發(fā)類型 （即當(dāng)出現(xiàn)某個(gè)行為時(shí)就會(huì)造成相應(yīng)的結(jié)果），用于接下來的知識(shí)推理。認(rèn)知推理過程所構(gòu)建的子目標(biāo)或子狀態(tài)也會(huì)存入到狀態(tài)庫中。

所有被傳感器感知到的信息先被轉(zhuǎn)換為規(guī)則觸發(fā)的類型，然后存入到狀態(tài)庫當(dāng)中，接著與知識(shí)庫中已有的知識(shí)類型進(jìn)行比對(duì)。

狀態(tài)庫作為一個(gè)存放即時(shí)產(chǎn)生信息的一個(gè)臨時(shí)倉庫，存放這些被傳感器發(fā)送過來的大量臨時(shí)信息，其主要作用有兩方面，首要功能是接收由傳感器發(fā)送來的數(shù)據(jù)并轉(zhuǎn)換為規(guī)定的規(guī)則觸發(fā)類型。另外一個(gè)重要功能是對(duì)接收到信息進(jìn)行第一次過濾，與計(jì)算機(jī)網(wǎng)絡(luò)的防火墻有相似的作用。當(dāng)狀態(tài)庫與知識(shí)庫進(jìn)行比對(duì)之后無法產(chǎn)生有效結(jié)果時(shí)，就會(huì)轉(zhuǎn)入到之后的環(huán)節(jié)來繼續(xù)對(duì)數(shù)據(jù)進(jìn)行處理。

2.3 知識(shí)庫

知識(shí)庫屬于該模型的一個(gè)核心部分，為了使系統(tǒng)具備更好的認(rèn)知能力，所以該部分又分為兩個(gè)子結(jié)構(gòu)：規(guī)則庫和優(yōu)先級(jí)庫。

（1）規(guī)則庫：把已知的知識(shí)表述為可觸發(fā)的規(guī)則形式，即當(dāng)觸發(fā)某一行為時(shí)就會(huì)產(chǎn)生相應(yīng)的一個(gè)結(jié)果；在描述規(guī)則的時(shí)候，結(jié)果的表述形式也是多樣的，可以是一個(gè)對(duì)主機(jī)直接下達(dá)的命令，也可以是觸發(fā)到另外一個(gè)規(guī)則，因此每一個(gè)規(guī)則之間會(huì)存在直接或間接的聯(lián)系。規(guī)定每個(gè)規(guī)則必須要對(duì)應(yīng)一個(gè)可以被觸發(fā)的根狀態(tài) （最原始的狀態(tài)），比如：常見的DOS攻擊、病毒、蠕蟲攻擊等等，這里的每個(gè)規(guī)則至少要連接到某一可以被觸發(fā)的根狀態(tài)，也可以通過與其他規(guī)則之間的一個(gè)關(guān)系傳遞來連接到根狀態(tài)，否則經(jīng)過一段時(shí)間的系統(tǒng)搜索后那些未與根狀態(tài)對(duì)應(yīng)的規(guī)則就會(huì)被系統(tǒng)自動(dòng)刪除掉。經(jīng)過這樣處理之后，狀態(tài)庫與知識(shí)庫進(jìn)行比對(duì)時(shí)，可以直接通過匹配的知識(shí)類型了解到具體發(fā)生的攻擊行為的種類，從而及時(shí)的采取相應(yīng)的行動(dòng)策略，減少了系統(tǒng)的反應(yīng)時(shí)間，使得防御系統(tǒng)能夠在最快的時(shí)間內(nèi)應(yīng)對(duì)攻擊行為。

知識(shí)庫中規(guī)則的獲取有兩種方式：對(duì)目前已知的所有行為的規(guī)則描述；通過主機(jī)的自我學(xué)習(xí)機(jī)制而獲取的新知識(shí)。

規(guī)則庫的知識(shí)描述形式的設(shè)置，讓系統(tǒng)通過對(duì)一系列因果關(guān)系的判斷后，可以直接尋找源頭，原理簡單，思路清晰。即使在專業(yè)人員干涉時(shí)，也可以順著這些知識(shí)之間的關(guān)系迅速的查找源頭，節(jié)省了很多不必要的時(shí)間。與狀態(tài)庫的作用比較來看，知識(shí)庫適用于存放長期，或者說是已經(jīng)被確定的有害數(shù)據(jù)和安全數(shù)據(jù)，這些知識(shí)體也是系統(tǒng)各個(gè)環(huán)節(jié)進(jìn)行抉擇的一個(gè)根本依據(jù)。

（2）優(yōu)先級(jí)庫：對(duì)目前已知的行為采取一個(gè)優(yōu)先準(zhǔn)則的排序，例如：有多種對(duì)策可以處理相同問題時(shí)根據(jù)每個(gè)方法處理該問題消耗的時(shí)間、系統(tǒng)資源等來對(duì)這些策略進(jìn)行排序，也有可能出現(xiàn)上一條規(guī)則的執(zhí)行結(jié)果和當(dāng)前規(guī)則的執(zhí)行結(jié)果剛好相反，那么可以制定一個(gè)優(yōu)先級(jí)來避免這兩個(gè)規(guī)則順序執(zhí)行。通過在每條規(guī)則中提前設(shè)置好的優(yōu)先級(jí)標(biāo)識(shí)符來定義每個(gè)規(guī)則觸發(fā)行為的先后順序。優(yōu)先級(jí)庫是嵌入到規(guī)則庫中的每條規(guī)則中來區(qū)分每個(gè)規(guī)則的優(yōu)先級(jí)，并且每一個(gè)狀態(tài)庫中的規(guī)則都必須具備一個(gè)優(yōu)先級(jí)標(biāo)示符，否則該條規(guī)則在經(jīng)過幾次循環(huán)之后會(huì)被系統(tǒng)認(rèn)定為無效的，最終將被刪除。

設(shè)立優(yōu)先級(jí)庫的目的在于解決系統(tǒng)在自主解決問題時(shí)可以避免不必要的重復(fù)搜索，以及當(dāng)系統(tǒng)面對(duì)多個(gè)選擇時(shí)，可以根據(jù)之前設(shè)定的優(yōu)先級(jí)參量來判斷選擇哪一個(gè)最好。優(yōu)先級(jí)庫的構(gòu)建一部分靠對(duì)之前已了解知識(shí)的一個(gè)分類，另外一部分則需要系統(tǒng)在不斷的運(yùn)行當(dāng)中來不斷補(bǔ)充。因?yàn)檫@些規(guī)則并不是一次性就可以完全插入到規(guī)則庫中，需要經(jīng)過系統(tǒng)多次的循環(huán)認(rèn)知才能得以完善。

2.4 認(rèn)知推理

該模塊具備知識(shí)推理的能力，借鑒認(rèn)知網(wǎng)絡(luò)的反饋循環(huán)機(jī)制，對(duì)未知的網(wǎng)絡(luò)行為進(jìn)行反復(fù)分析和匹配使主機(jī)可以進(jìn)行自我學(xué)習(xí)和自我配置。以知識(shí)庫為基礎(chǔ)，知識(shí)推理模塊通過與知識(shí)庫的匹配分析來解決問題。

知識(shí)推理模塊處理未知數(shù)據(jù)的方法分兩個(gè)步驟：

（1）通過網(wǎng)絡(luò)詢問臨近可信任的節(jié)點(diǎn)或服務(wù)器來尋求幫助；

（2）當(dāng)?shù)谝徊讲荒芙鉀Q問題的時(shí)候，系統(tǒng)切換到自我推理環(huán)節(jié)。

在認(rèn)知推理模塊中，又被分為3個(gè)子模塊，依次為：分析、匹配、預(yù)處理。

（1）分析：分析模塊把未知的數(shù)據(jù)先轉(zhuǎn)換為知識(shí)體的類型，并存入狀態(tài)庫中，根據(jù)未知數(shù)據(jù)的接入方式、數(shù)據(jù)來源等詳細(xì)內(nèi)容來比對(duì)已有的知識(shí)庫中的知識(shí)體，配合知識(shí)庫中的優(yōu)先級(jí)庫來假設(shè)出該行為可能造成的結(jié)果。假設(shè)的結(jié)果可以是單一的，也可以是多元化的。并把這些假設(shè)稱之為初始狀態(tài)。

（2）匹配：分析模塊在對(duì)未知行為進(jìn)行了初步分析后，匹配模塊把分析結(jié)果優(yōu)先與根狀態(tài)直接相連的知識(shí)進(jìn)行比對(duì)。在匹配分析的過程中可能會(huì)出現(xiàn)因?yàn)榻鉀Q當(dāng)前假設(shè)而產(chǎn)生了另外一個(gè)新的假設(shè)，這里稱之為子狀態(tài)。當(dāng)遇到此類狀況時(shí)匹配模塊便會(huì)自動(dòng)創(chuàng)建一個(gè)類似于棧的結(jié)構(gòu)體來存放這些新生成的子狀態(tài)，把初始狀態(tài)放于棧底，因?yàn)檫@是我們要完成的終極目標(biāo)。因初始狀態(tài)而產(chǎn)生的子狀態(tài)存放在初始狀態(tài)的上面，若之后繼續(xù)出現(xiàn)新的子狀態(tài)則依次存放，每一個(gè)層面的狀態(tài)都是為之前層面服務(wù)的。在出現(xiàn)了這類情況時(shí)，匹配模塊與分析模塊便共同來對(duì)棧結(jié)構(gòu)體中的每一層面的狀態(tài)進(jìn)行同時(shí)搜索匹配，這種并行處理方式可以加快處理問題效率，當(dāng)其中一個(gè)層面的假設(shè)被認(rèn)定之后，則在該層面之上的假設(shè)就會(huì)被自動(dòng)刪除，轉(zhuǎn)而繼續(xù)匹配該層面以下的狀態(tài)。依照此類方式反復(fù)執(zhí)行，直到棧中的初始狀態(tài)被解決為止。當(dāng)所有的狀態(tài)都被解決之后，匹配模塊把分析的最終結(jié)果發(fā)送到預(yù)處理模塊。另外一種情況是在匹配過程中未出現(xiàn)新狀態(tài)，此時(shí)則把分析模塊的結(jié)果直接轉(zhuǎn)到預(yù)處理模塊。

（3）預(yù)處理：接收由匹配模塊發(fā)送過來的分析結(jié)果，在系統(tǒng)內(nèi)部進(jìn)行一個(gè)預(yù)先的處理，把模擬運(yùn)行的結(jié)果發(fā)送給分析模塊。

預(yù)處理模塊的設(shè)定，一方面是為判斷分析模塊的處理是否合理，若執(zhí)行該結(jié)果是否會(huì)對(duì)主機(jī)的其他部件造成影響，若造成影響則發(fā)送信息到分析模塊，告知此類假設(shè)非最佳處理結(jié)果，此時(shí)分析模塊便再次做出結(jié)果假設(shè)，并把對(duì)其他部件造成的影響因子加入的假設(shè)條件當(dāng)中來，進(jìn)行新一輪的匹配分析，繼續(xù)產(chǎn)生新的假設(shè)結(jié)果。通過一系列循環(huán)往復(fù)的交互，最終可以實(shí)現(xiàn)對(duì)未知數(shù)據(jù)的全面分析處理，并得到一個(gè)最佳結(jié)果。此時(shí)，認(rèn)知推理模塊便會(huì)把最終結(jié)果發(fā)送給知識(shí)庫。知識(shí)庫把狀態(tài)庫中對(duì)該數(shù)據(jù)的描述和認(rèn)知推理模塊對(duì)該數(shù)據(jù)的處理結(jié)果結(jié)合起來存入到知識(shí)庫中作為以后的一個(gè)評(píng)判標(biāo)準(zhǔn)。執(zhí)行到此處環(huán)節(jié)時(shí)，系統(tǒng)就完成了一次對(duì)未知數(shù)據(jù)的認(rèn)知學(xué)習(xí)。

2.5 決策執(zhí)行模塊

該模塊作為整個(gè)系統(tǒng)指令的最終實(shí)現(xiàn)環(huán)節(jié)也有其重要作用，主要體現(xiàn)在以下3個(gè)方面：

（1）認(rèn)知推理得出的最終結(jié)果會(huì)首先發(fā)送給決策執(zhí)行模塊，通過該模塊來實(shí)現(xiàn)虛擬環(huán)境與真實(shí)環(huán)境的一個(gè)交互。這也是該模塊最為重要的一項(xiàng)功能。

（2）人為設(shè)定一個(gè)周期時(shí)間內(nèi)，該模塊會(huì)對(duì)知識(shí)庫中的規(guī)則進(jìn)行檢測，排除那些不在于根狀態(tài)匹配的規(guī)則，例如：因?yàn)橄到y(tǒng)的更新，之前的漏洞已經(jīng)被排除，不再需要用以前的處理方式來防御。保留此類規(guī)則只會(huì)給知識(shí)庫增加不必要的開銷和復(fù)雜度。因此，一段時(shí)間內(nèi)就需要對(duì)知識(shí)庫進(jìn)行一次排查，排除此類知識(shí)體

（3）狀態(tài)庫只能存放臨時(shí)的知識(shí)體，通常這類知識(shí)體只是針對(duì)在某一時(shí)間段內(nèi)的數(shù)據(jù)流有效。到了下一個(gè)時(shí)間段，這些知識(shí)體將不在有效，因此需要決策執(zhí)行模塊在一個(gè)較短周期 （周期設(shè)定視狀態(tài)庫的容量而定）對(duì)之前存儲(chǔ)的知識(shí)體進(jìn)行刪除，得意釋放存儲(chǔ)空間。

3 模型防御性能分析

入侵防御的最重要的環(huán)節(jié)在于數(shù)據(jù)收集和數(shù)據(jù)分析，如何在接收到的龐大數(shù)據(jù)集中分析和挖掘出有效的數(shù)據(jù)來應(yīng)對(duì)有害數(shù)據(jù)的威脅，是入侵防御系統(tǒng)的關(guān)鍵。該模型設(shè)計(jì)的優(yōu)勢(shì)體現(xiàn)在以下幾點(diǎn)：①知識(shí)類型的表述使得狀態(tài)庫和知識(shí)庫進(jìn)行信息對(duì)比的時(shí)候可以迅速找準(zhǔn)目標(biāo)信息的源頭，若非知識(shí)庫的內(nèi)容，便快速的轉(zhuǎn)到認(rèn)知推理模塊進(jìn)行下一步的信息處理。較傳統(tǒng)以特征碼檢測技術(shù)為主要手段的防御系統(tǒng)，在檢測速度和效率上有了很大提升。規(guī)則與規(guī)則之間連帶的因果關(guān)系可以使系統(tǒng)快速的定位未知數(shù)據(jù)流的特性。規(guī)則的因果關(guān)系的表示方法，使得分析思路清晰明了，專業(yè)人員可以很清楚的了解各個(gè)信息的來龍去脈。②知識(shí)庫的完備性和全面性是該系統(tǒng)的一個(gè)關(guān)鍵點(diǎn)，有效的數(shù)據(jù)支持是其他模塊得以實(shí)施正確行為判斷的一個(gè)重要前提。在引入了認(rèn)知的功能之后，知識(shí)庫的更新不再僅僅依靠專家經(jīng)驗(yàn)，系統(tǒng)的自我分析成為了知識(shí)庫數(shù)據(jù)更新的關(guān)鍵點(diǎn)。利用系統(tǒng)的自我學(xué)習(xí)能力和聯(lián)網(wǎng)可信任結(jié)點(diǎn)之間的信息共享來完善知識(shí)庫，具備充分的成長性。

該模型通過一系列的循環(huán)反饋來實(shí)現(xiàn)對(duì)數(shù)據(jù)流的有效處理，首先由傳感器接收信息，再將信息發(fā)送給狀態(tài)庫進(jìn)行知識(shí)類型的第一次鑒別。接著把未能檢測的數(shù)據(jù)交由認(rèn)知推理模塊來處理，該模塊與知識(shí)庫的相互結(jié)合，再經(jīng)內(nèi)部的多次反饋來對(duì)未知數(shù)據(jù)流進(jìn)行詳細(xì)分析和認(rèn)知。然后認(rèn)知推理模塊把得出的最終結(jié)果傳遞給決策執(zhí)行模塊來實(shí)現(xiàn)和外界環(huán)境的交互，通過決策執(zhí)行模塊來改變主機(jī)內(nèi)部配置。感器持續(xù)監(jiān)測現(xiàn)有的系統(tǒng)狀態(tài)，監(jiān)測結(jié)果又可以傳遞給之后的模塊來判斷系統(tǒng)是否運(yùn)行正常，之前的決策能否實(shí)現(xiàn)。通過這樣一個(gè)循環(huán)往復(fù)，不斷更新的環(huán)境下達(dá)到對(duì)已知和未知數(shù)據(jù)流的一個(gè)有效監(jiān)控的目標(biāo)。

4 結(jié)束語

認(rèn)知科學(xué)相關(guān)理論及其應(yīng)用已經(jīng)取得了很大的進(jìn)展，把認(rèn)知方法融入到防御系統(tǒng)當(dāng)中是一個(gè)行之有效的方法。通過兩者的結(jié)合來抵御網(wǎng)絡(luò)攻擊將在一定程度上提高檢測有害數(shù)據(jù)的概率，認(rèn)知網(wǎng)絡(luò)是目前網(wǎng)絡(luò)發(fā)展的一個(gè)趨勢(shì)，認(rèn)知防御也必將是以后IPS的一個(gè)發(fā)展方向。本文以認(rèn)知理論為基礎(chǔ)導(dǎo)向構(gòu)建認(rèn)知防御模型，該模型也為之后的研究做出鋪墊，但模型中還有許多細(xì)節(jié)地方需要研究和完善。比如，知識(shí)體是一種規(guī)則觸發(fā)類型，那么如何能讓系統(tǒng)有效的識(shí)別這層因果關(guān)系是需要特別關(guān)注的。另外對(duì)未知數(shù)據(jù)流進(jìn)行認(rèn)知推理的效率高低，直接關(guān)系的一個(gè)系統(tǒng)的安全問題，因?yàn)楝F(xiàn)今的攻擊行為發(fā)生速度之快，很多防御系統(tǒng)在偵測到危險(xiǎn)數(shù)據(jù)的時(shí)，惡意數(shù)據(jù)可能已經(jīng)完成了一次對(duì)受害主機(jī)的感染，因此內(nèi)否在保證安全數(shù)據(jù)無阻礙傳輸?shù)耐瑫r(shí)又可以先阻斷未知數(shù)據(jù)流的傳輸也是一大關(guān)鍵問題。在接下來的工作中利用現(xiàn)有的知識(shí)理論和軟件來構(gòu)建一個(gè)簡單的仿真模型，并針對(duì)某一特定的攻擊來檢驗(yàn)其認(rèn)知學(xué)習(xí)的功能。

［1］Kephart，Thomas J Watson Res.The vision of autonomic computing ［J］.IEEE Computer Socirty，2003，36 （1）：41－50.

［2］Thomas R W.Cognitive networks ［R］.International Symposium on First IEEE，2005：352－360.

［3］WU Haiyan，JIANG Dongxing，CHENG Zhirui，et al.Research of intrusion prevention system ［J］.Computer Engineering and Design，2007，28 （24）：5844－5866 （in Chinese）.［吳海燕，蔣東興，程志銳，等.入侵防御系統(tǒng)研究 ［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2007，28 （24）：5844－5866.］

［4］Vasanthi S，Chandrasekar S.A study on network intrusion detection and prevention system current status and challenging issues ［R］.Froc of Int Conf in Communication and Computing，2011：181－183.

［5］JIANG Yaping，GAN Yong，ZHOU Jianhua，et al.A model of intrusion prevention base on immune ［R］.Fifth International Conference on Information Assurance and Security，2009：441－444.

［6］XU Jiannan，YANG Yun.Research on intrusion prevention sys－tem using imbalanced classification ［R］.Internation conference on instrumentation， Measurement，Computer，Communication and Control，2012：537－540.

［7］Muna Elsadig，Azween Abduallah.Biological intrusion prevention and self－h(huán)ealing model for network security ［R］.Second International Conference on Future Networks，2011：337－342.

［8］WU Yugang，QING Yong，SONG Jiguang，et al.Research overview of intrusion detection algorithm bassed on association rules ［J］.Computer Engineering and Design，2011，32 （3）：834－838（in Chinese）.［武玉剛，秦勇，宋繼光，等.基于關(guān)聯(lián)規(guī)則的入侵檢測算法研究綜述 ［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2011，32 （3）：834－838.］

［9］Rainer Bye，Seyit A Camtepe，Sahin Albayrak.Design and modeling of collaboration architecture for security ［R］.International Symposium on Collaborative Technologies and Systems，2009：330－341.

［10］Sumint More，Mary Matthews，AnupAm Joshi，et al.A knowledge－based approach to intrusion detection modeling［R］.USA：IEEE Symposium on Security and Privacy Workshops，2012：75－81.

［11］XI Rongrong，JIN Shuyuan，YUN Xiaochun，et al.CNSSA：A comprehensive network security situation awareness system［R］.USA：International Joint Conference of IEEE，2011：482－487.

［12］LI Jinshuang，WANG Xingwei.Cognitive and credible network architecture ［R］.China：International Conference on Computer Application and System Modeling，2011：615－619.

［13］Martuza Ahmed，Rima Pal Md，Mojammel Hossain，et al.NIDS：A network based approach to intrusion detection and prevention［R］.Bangladesh：International Association of Computer Science and Information Technology，2009：141－144.

［14］Deris Stiawan，Abdul Hanan Abdullah，Mohd，et al.The trends of intrusion prevention system network ［R］.Indonesia：2nd International Conference on Education Technology and Computer，2010：217－221.