蔣覲陽　王　玲

[摘要]計(jì)算機(jī)技術(shù)和遠(yuǎn)程通信技術(shù)的飛速發(fā)展,推動(dòng)醫(yī)療衛(wèi)生事業(yè)運(yùn)行模式的改革。醫(yī)療信息或行為的數(shù)字化,為信息的共享、存儲(chǔ)、使用和傳輸提供方便。與此同時(shí)我們不得不關(guān)注信息在各個(gè)環(huán)節(jié)的安全性問題。在對(duì)其現(xiàn)有的入侵防御系統(tǒng)基本原理進(jìn)行介紹的基礎(chǔ)上,討論人工智能、神經(jīng)網(wǎng)絡(luò)、數(shù)據(jù)挖掘在入侵防御系統(tǒng)中的應(yīng)用。

[關(guān)鍵詞]信息安全 人工智能 入侵防御 安全平臺(tái)

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0920079-01

入侵防御系統(tǒng)IPS(Intrusion Prevention System)入侵保護(hù)系統(tǒng)IPS是由入侵檢測(cè)系統(tǒng)IDS發(fā)展起來的。IPS與只進(jìn)行檢測(cè)和報(bào)告已發(fā)生攻擊行為的IDS不同,它是一種主動(dòng)的、積極的入侵防范。阻止系統(tǒng)部署在網(wǎng)絡(luò)的進(jìn)出口處,當(dāng)檢測(cè)到攻擊企圖時(shí)會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷,有效地實(shí)現(xiàn)了主動(dòng)防御。同時(shí)IPS大大加強(qiáng)了對(duì)數(shù)據(jù)包的控制能力檢測(cè)以及對(duì)應(yīng)用層和高層協(xié)議的檢測(cè)。我們將基于IPS談?wù)撘韵略O(shè)計(jì)和改進(jìn):

一、提高入侵防御速度

我們研究和設(shè)計(jì)新的IPS軟件結(jié)構(gòu)與算法,以適應(yīng)高速網(wǎng)絡(luò)環(huán)境,如果將入侵防御的核心功能從軟件轉(zhuǎn)移到硬件來實(shí)現(xiàn),則可以大大提高檢測(cè)速度,但同時(shí)需要兼顧軟件的靈活性、可更新性等優(yōu)點(diǎn)。例如,盡可能減少檢測(cè)條目,如去除早已過時(shí)的、不再使用的攻擊手段,僅對(duì)系統(tǒng)所提供的服務(wù)進(jìn)行檢測(cè)等。

二、人工智能應(yīng)用

將人工智能應(yīng)用于入侵防御領(lǐng)域大大提高IPS的性能。引入計(jì)算機(jī)免疫技術(shù),通過正常行為的學(xué)習(xí)來識(shí)別不符合常態(tài)的行為,使系統(tǒng)能夠自動(dòng)學(xué)習(xí)新的入侵活動(dòng),提高檢全率和檢準(zhǔn)率;研究更好的神經(jīng)網(wǎng)絡(luò)架構(gòu),克服目前基于神經(jīng)網(wǎng)絡(luò)的異常檢測(cè)技術(shù)的缺陷。應(yīng)用遺傳算法來識(shí)別正常行為與異常行為,提高系統(tǒng)分析能力。

三、數(shù)據(jù)挖掘技術(shù)的應(yīng)用

將數(shù)據(jù)挖掘技術(shù)應(yīng)用于IPS。由于網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜、規(guī)模日益龐大,導(dǎo)致需要審計(jì)的數(shù)據(jù)迅速增加,如何從海量數(shù)據(jù)提取出具有代表性的系統(tǒng)特征模式,以便更精確地描述用戶行為,成為實(shí)現(xiàn)入侵防御的關(guān)鍵,而這正是數(shù)據(jù)挖掘技術(shù)所要解決的問題。因此,利用數(shù)據(jù)挖掘中的關(guān)連分析、系列模式分析等算法,提取相關(guān)的用戶行為特征來生成安全事件的分類模型,應(yīng)用于安全事物的自動(dòng)鑒別。

四、入侵防御系統(tǒng)架構(gòu)

五、用戶防御系統(tǒng)和網(wǎng)路防御系統(tǒng)

主要部分采用了神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu),管理器則運(yùn)用了人工智能的部分知識(shí)。具體IPS結(jié)構(gòu)如圖2所示。

用戶防御系統(tǒng):用戶防御系統(tǒng)運(yùn)行在被監(jiān)視的主機(jī)上,主要進(jìn)行用戶異常檢測(cè)以及防御。傳統(tǒng)的用戶異常檢測(cè)是基于統(tǒng)計(jì)方法進(jìn)行的,統(tǒng)計(jì)參數(shù)包括登錄頻度、口令失敗次數(shù)、會(huì)話時(shí)間、命令或程序執(zhí)行頻度、訪問敏感文件次數(shù)等數(shù)據(jù)。對(duì)于用神經(jīng)網(wǎng)絡(luò)檢測(cè)和防御用戶異常行為的代理則是采用了多層感知器MLP(Multilayer pe

rception)結(jié)構(gòu),逆向傳播算法BP(Back Propagation)進(jìn)行訓(xùn)練。網(wǎng)絡(luò)防御系統(tǒng):網(wǎng)絡(luò)防御代理運(yùn)行在網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備或嗅探器中,進(jìn)行基于網(wǎng)絡(luò)的入侵防御。與用戶防御系統(tǒng)架構(gòu)基本相同,訓(xùn)練數(shù)據(jù)不同。

六、神經(jīng)網(wǎng)絡(luò)的應(yīng)用

將神經(jīng)網(wǎng)絡(luò)用于入侵防御系統(tǒng)神經(jīng)網(wǎng)絡(luò)可以通過現(xiàn)有的攻擊方法進(jìn)行訓(xùn)練來學(xué)會(huì)知識(shí),獲得預(yù)測(cè)的能力,并且這一過程可以是很抽象的計(jì)算,不需要向神經(jīng)網(wǎng)絡(luò)解釋知識(shí)的細(xì)節(jié),神經(jīng)網(wǎng)絡(luò)可以根據(jù)已有的實(shí)例自動(dòng)掌握系統(tǒng)的各個(gè)度量之間的內(nèi)在關(guān)系。當(dāng)神經(jīng)網(wǎng)絡(luò)學(xué)會(huì)了正常工作模式之后,能夠?qū)ζx系統(tǒng)正常工作的事件做出反應(yīng),進(jìn)而可以發(fā)現(xiàn)一些新的攻擊模式,使入侵防御系統(tǒng)具有自適應(yīng)的學(xué)習(xí)能力。同時(shí)經(jīng)過訓(xùn)練后的神經(jīng)網(wǎng)絡(luò)將把入侵模式的匹配和判斷轉(zhuǎn)換成具體的數(shù)值的計(jì)算,從而提高了系統(tǒng)的處理速度,滿足IPS的實(shí)時(shí)處理要求。

七、總結(jié)與展望

信息系統(tǒng)安全作為一門綜合性的動(dòng)態(tài)學(xué)科,其研究的內(nèi)容是多層次和多方面的。

1.重點(diǎn)研究授權(quán)訪問控制,控制不同人員對(duì)信息資源的訪問權(quán)限,根據(jù)安全策略對(duì)信息資源進(jìn)行集中管理。完善身份認(rèn)證機(jī)制,提供對(duì)客戶和服務(wù)方的雙向身份認(rèn)證,保證合法用戶接收和使用該數(shù)據(jù)的真實(shí)性。

2.針對(duì)軍事醫(yī)療體系架構(gòu)下的信息管理,探索研究最新的技術(shù)并加以改進(jìn)使其適合醫(yī)療體系的信息安全管理,并且不斷完善安全機(jī)制。

參考文獻(xiàn):

[1]http://www.isi.edu/brian/cidf/drafts/architecture.txt.

[2]Xinyou Zhang,Intrusion prevention system design,Computer and Information Technology,The Fourth International Conference on 14-16 Sept,2004,386-390.

[3]張相鋒、孫玉芳,入侵檢測(cè)系統(tǒng)發(fā)展的研究綜述[J].計(jì)算機(jī)科學(xué),2003,30(8):45-49.

[4]國家交通戰(zhàn)備辦公室,國防教徒信息管理系統(tǒng)實(shí)用教程,2006.

作者簡(jiǎn)介:

蔣覲陽,女,漢族,就職于蘭州軍區(qū)蘭州總醫(yī)院;王玲,女,漢族,就職于蘭州軍區(qū)蘭州總醫(yī)院。