開(kāi)放環(huán)境下網(wǎng)絡(luò)安全規(guī)劃問(wèn)題的研究

摘 要：智能規(guī)劃與規(guī)劃識(shí)別技術(shù)在目前的計(jì)算機(jī)各個(gè)領(lǐng)域中的應(yīng)用較為廣泛，其中，網(wǎng)絡(luò)安全領(lǐng)域是其應(yīng)用的重要方面。本文在目前已有的研究成果基礎(chǔ)上進(jìn)一步深入探討開(kāi)放環(huán)境下，采用入侵檢測(cè)技術(shù)獲取敵對(duì)agent的攻擊動(dòng)作，根據(jù)對(duì)動(dòng)作的識(shí)別采取應(yīng)對(duì)措施，進(jìn)而提高網(wǎng)絡(luò)的安全性、穩(wěn)定性及可靠性。

關(guān)鍵詞：開(kāi)放環(huán)境；網(wǎng)絡(luò)安全；規(guī)劃；應(yīng)對(duì)

中圖分類號(hào)：TP311.52

隨著計(jì)算機(jī)技術(shù)與通信技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)安全和信息數(shù)據(jù)保密漸漸地成為一個(gè)必須解決的重要問(wèn)題。計(jì)算機(jī)網(wǎng)絡(luò)所具備的開(kāi)放性、共享性，及設(shè)備之間的連接關(guān)系等使得上網(wǎng)絡(luò)存在著必然的安全問(wèn)題。對(duì)此，保障網(wǎng)絡(luò)安全應(yīng)當(dāng)采取的各項(xiàng)措施應(yīng)能夠針對(duì)各種威脅，保障網(wǎng)絡(luò)信息的保密性、完整性和可用性。威脅到網(wǎng)絡(luò)安全的因素主要有三個(gè)方面：軟件系統(tǒng)漏洞、硬件設(shè)備故障、人為因素。本文主要的工作是針對(duì)第三種情況產(chǎn)生的安全問(wèn)題采取的措施。

智能規(guī)劃與規(guī)劃識(shí)別是人工智能研究中應(yīng)用性很強(qiáng)的一個(gè)研究領(lǐng)域。研究智能規(guī)劃的方法主要方面是經(jīng)典規(guī)劃問(wèn)題。經(jīng)典規(guī)劃問(wèn)題有狀態(tài)空間規(guī)劃和規(guī)劃空間規(guī)劃，在解決規(guī)劃問(wèn)題時(shí)，常采用規(guī)劃圖的狀態(tài)空間求解方式解決規(guī)劃問(wèn)題。即從初始狀態(tài)出發(fā)，在確定的狀態(tài)空間內(nèi)，正向狀態(tài)搜索，選擇滿足要求的動(dòng)作，同時(shí)將動(dòng)作的效果添加到狀態(tài)空間中，進(jìn)而產(chǎn)生新的狀態(tài)空間，直到找到一個(gè)所有目標(biāo)都能夠得以實(shí)現(xiàn)的狀態(tài)為止。這類問(wèn)題也稱為狀態(tài)集合動(dòng)態(tài)可變的規(guī)劃問(wèn)題的求解。

1 基本概念

1.1 開(kāi)放環(huán)境、

目前，在網(wǎng)絡(luò)安全領(lǐng)域及智能規(guī)劃領(lǐng)域中，都沒(méi)有對(duì)開(kāi)放環(huán)境予以明確的定義，而對(duì)于開(kāi)放環(huán)境下的問(wèn)題研究卻很多。在本論文中所研究的開(kāi)放環(huán)境指的是，在計(jì)算機(jī)網(wǎng)絡(luò)對(duì)應(yīng)用者開(kāi)放使用的條件下，硬件系統(tǒng)能夠保障網(wǎng)絡(luò)的正常運(yùn)行，操作系統(tǒng)及軟件能夠?yàn)楣芾韱T及普通用戶提供各個(gè)角色所需要的功能，即軟硬件系統(tǒng)能夠?yàn)閼?yīng)用者提供服務(wù)。

1.2 網(wǎng)絡(luò)安全、

網(wǎng)絡(luò)安全其從應(yīng)用的角度包含設(shè)備安全、信息安全、軟件安全。網(wǎng)絡(luò)攻擊者通過(guò)以計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)的入侵達(dá)到竊取重要信息的目的，同時(shí)，也有部分計(jì)算機(jī)高手為達(dá)到某種目的，通過(guò)使用計(jì)算機(jī)網(wǎng)絡(luò)攻擊競(jìng)爭(zhēng)對(duì)手的服務(wù)器，進(jìn)而造成網(wǎng)絡(luò)企業(yè)無(wú)法正常運(yùn)營(yíng)。本文所討論的網(wǎng)絡(luò)安全即是為了防范信息丟失或服務(wù)器攻擊所采取的措施。

1.3 智能規(guī)劃、

智能規(guī)劃是一個(gè)動(dòng)作序列，是一個(gè)智能體agent在初始狀態(tài)（initialstate）下經(jīng)過(guò)執(zhí)行動(dòng)作1，動(dòng)作2，……，動(dòng)作n這樣的一系列動(dòng)作，最后到達(dá)目標(biāo)狀態(tài)（goalstate），該一系列動(dòng)作，我們也稱為是這個(gè)動(dòng)作的序列所構(gòu)成的整體叫做一個(gè)規(guī)劃。每一個(gè)規(guī)劃問(wèn)題（planningproblem）都要涉及到以下四個(gè)集合：一個(gè)操作的集合operators、一個(gè)對(duì)象的集合objects、一個(gè)初始條件集合initialconditions和一個(gè)目標(biāo)集合goals，其中初始條件集合和目標(biāo)集合的每個(gè)元素都是一個(gè)命題。

1.4 規(guī)劃識(shí)別、

規(guī)劃識(shí)別是人工智能一個(gè)重要的研究領(lǐng)域，是多學(xué)科交叉的一個(gè)研究領(lǐng)域，涉及到了知識(shí)表達(dá)、知識(shí)推理、非單調(diào)邏輯和情景演算等。規(guī)劃識(shí)別問(wèn)題是指從觀察到的某一智能體的動(dòng)作或動(dòng)作效果出發(fā)，推導(dǎo)出該智能體的目標(biāo)/規(guī)劃的過(guò)程。

1.5 入侵檢測(cè)、

入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

1.6 應(yīng)對(duì)規(guī)劃

應(yīng)對(duì)規(guī)劃是將規(guī)劃識(shí)別和智能規(guī)劃進(jìn)行融合，實(shí)現(xiàn)識(shí)別與應(yīng)對(duì)同時(shí)進(jìn)行，針對(duì)敵方系統(tǒng)實(shí)施的敵意規(guī)劃，采取一個(gè)動(dòng)作序列來(lái)阻止、破壞敵意規(guī)劃的執(zhí)行，進(jìn)而使我方系統(tǒng)不受到破壞或者將所受損失降到最小，這樣的動(dòng)作序列就稱為應(yīng)對(duì)規(guī)劃（counterplan）。在作者蔡增玉的《基于應(yīng)對(duì)規(guī)劃的入侵防護(hù)系統(tǒng)設(shè)計(jì)與研究》一文中對(duì)應(yīng)對(duì)規(guī)劃賦予的定義是：為Agent根據(jù)敵對(duì)Agent的動(dòng)作，利用規(guī)劃識(shí)別技術(shù)發(fā)現(xiàn)敵對(duì)Agent的目標(biāo)和將來(lái)的動(dòng)作，并采取適當(dāng)?shù)捻憫?yīng)措施阻止敵對(duì)Agent目標(biāo)的實(shí)現(xiàn)，整個(gè)過(guò)程稱為應(yīng)對(duì)規(guī)劃.在網(wǎng)絡(luò)安全領(lǐng)域，敵對(duì)Agent通常是指網(wǎng)絡(luò)的入侵者。

2 識(shí)別及應(yīng)對(duì)模型

對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全的研究較多，但是，將智能規(guī)劃與規(guī)劃識(shí)別技術(shù)應(yīng)用于該領(lǐng)域的研究卻并不多見(jiàn)。本文在前期的理論研究的基礎(chǔ)上，提出了開(kāi)放環(huán)境下網(wǎng)絡(luò)安全規(guī)劃問(wèn)題的識(shí)別與應(yīng)對(duì)模型，進(jìn)而得到了解決網(wǎng)絡(luò)安全問(wèn)題的新的方法。具體模型如下圖所示：

該模型的具體執(zhí)行過(guò)程是根據(jù)針對(duì)服務(wù)器端或客戶端產(chǎn)生的人為攻擊，通過(guò)入侵檢測(cè)的方法，檢測(cè)到該動(dòng)作后，對(duì)這一動(dòng)作進(jìn)行識(shí)別，并在此動(dòng)作中提取該動(dòng)作所導(dǎo)致的系統(tǒng)變化，將變化的結(jié)果作為當(dāng)前系統(tǒng)工作的初始狀態(tài)，將此狀態(tài)傳遞至應(yīng)對(duì)規(guī)劃器，此規(guī)劃器中以此狀態(tài)為初始狀態(tài)展開(kāi)應(yīng)對(duì)規(guī)劃的求解過(guò)程，應(yīng)對(duì)規(guī)劃器均以系統(tǒng)安全為目標(biāo)狀態(tài)，并按照規(guī)劃器得到的規(guī)劃步驟，觸發(fā)相關(guān)軟硬件設(shè)備，逐步執(zhí)行規(guī)劃中的每個(gè)操作，使服務(wù)器端及客戶端達(dá)到安全狀態(tài)。

該模型的核心在于攻擊動(dòng)作的識(shí)別及應(yīng)對(duì)規(guī)劃的產(chǎn)生。動(dòng)作的識(shí)別主要依靠規(guī)劃識(shí)別器，應(yīng)對(duì)規(guī)劃的產(chǎn)生則依靠應(yīng)對(duì)規(guī)劃器，將這兩個(gè)部分進(jìn)行組合，并應(yīng)用到網(wǎng)絡(luò)安全的問(wèn)題中，進(jìn)而對(duì)人為攻擊計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題有了解決的方法。

3 總結(jié)

通過(guò)本文的研究，我們提出了一種在開(kāi)放環(huán)境下應(yīng)對(duì)網(wǎng)絡(luò)安全的規(guī)劃問(wèn)題的模型及算法，為網(wǎng)絡(luò)安全的理論研究提供了一個(gè)新的解決方案。同時(shí)，通過(guò)本論文的研究，能夠在理論上為計(jì)算機(jī)網(wǎng)絡(luò)的安全性、計(jì)算機(jī)網(wǎng)絡(luò)中數(shù)據(jù)的安全性的保障奠定理論基礎(chǔ)。

參考文獻(xiàn)

[1]Avrim L.Blum， Merrick L.Furst.Fast planning through planning graph analysis[J].Artificial Intelligence，1997，90：281-300.

[2]蔡增玉.基于應(yīng)對(duì)規(guī)劃的入侵防護(hù)系統(tǒng)設(shè)計(jì)與研究[J].東北師大學(xué)報(bào)，2011，3.

[3]李家春，李芝棠.入侵檢測(cè)的規(guī)劃識(shí)別模型研究[J].華中科技大學(xué)學(xué)報(bào)，2004，32（3）：80-82.

[4]谷文祥，李麗，李丹丹.規(guī)劃識(shí)別的研究及其應(yīng)用[J].智能系統(tǒng)學(xué)報(bào)，2007，2（1）：1-15.

[5]蔡增玉，谷文祥.基于規(guī)劃識(shí)別的入侵檢測(cè)研究[J].計(jì)算機(jī)工程與科學(xué)，2011，12.

[6]劉瑩，邵鐵君，谷文祥.應(yīng)對(duì)規(guī)劃器模型的研究[J].東北師大學(xué)報(bào)，2008，40（2）：30-33.

[7]胡廣朋，程輝，邵玉寶.基于層疊條件隨機(jī)場(chǎng)的網(wǎng)絡(luò)入侵識(shí)別[J].江蘇科技大學(xué)學(xué)報(bào)，2008，22（5）：63-66.

[8]谷文祥，劉科成.帶有規(guī)劃庫(kù)的規(guī)劃器設(shè)計(jì)模型研究[J].東北師大學(xué)報(bào)（自然科學(xué)版），2007，39（4）：38-41.

作者單位：吉林農(nóng)業(yè)科技學(xué)院電氣與信息工程學(xué)院，吉林吉林 132101；鄭州輕工業(yè)學(xué)院計(jì)算機(jī)與通信工程學(xué)院，鄭州 450002