萬召文，徐 慧

（南通大學(xué) 計算機(jī)學(xué)院，江蘇 南通226019）

0 引 言

網(wǎng)絡(luò)已成為我們生活的一部分，在網(wǎng)絡(luò)帶給我們便利的同時，也帶來了許多隱患。在過去的幾年中，不論是個人還是企業(yè)，都曾因計算機(jī)安全問題受到不同程度的損失。計算機(jī)安全問題已成為當(dāng)前環(huán)境下一個備受矚目的重要話題。從以往的實例來看，為了減少計算機(jī)安全問題的威脅，僅從單一的網(wǎng)絡(luò)防護(hù)已經(jīng)無法達(dá)到理想的防御效果，無論企業(yè)還是個人都需要更為深入有效的防御系統(tǒng)來保護(hù)企業(yè)和個人的數(shù)據(jù)信息安全。

IBM技術(shù)研究部在其發(fā)表的一篇論文［1］中提出了自律計算的思想。該思想的核心在于簡化和增強(qiáng)終端用戶的體驗，在復(fù)雜、動態(tài)和不穩(wěn)定的環(huán)境中利用計算機(jī)本身的自律計算的特點來達(dá)到用戶的預(yù)期要求。結(jié)合Thomas提出的認(rèn)知網(wǎng)絡(luò)理論［2］，把這兩種思想方法轉(zhuǎn)移到入侵防御當(dāng)中來。為以主機(jī)結(jié)點為核心的入侵防御系統(tǒng) （HIPS）加入認(rèn)知的功能，使系統(tǒng)具備自學(xué)習(xí)和自配置的功能，使IPS能夠更為精準(zhǔn)的服務(wù)用戶。

目前計算機(jī)系統(tǒng)結(jié)構(gòu)復(fù)雜、信息量龐大，僅靠單一的人工參與已經(jīng)無法達(dá)到預(yù)期目標(biāo)。具備自我認(rèn)知的防御系統(tǒng)，可以通過系統(tǒng)內(nèi)部的循環(huán)識別惡意數(shù)據(jù)流，依靠主機(jī)內(nèi)部程序就可以進(jìn)行自我配置，動態(tài)的防御內(nèi)、外部攻擊，相比傳統(tǒng)的防御系統(tǒng)而言可以達(dá)到更高的防御效率。認(rèn)知網(wǎng)絡(luò)和自律計算是下一代網(wǎng)絡(luò)的一個發(fā)展趨勢，認(rèn)知防御也將是不可缺少的重要部分。

1 研究現(xiàn)狀和設(shè)計思路

1.1 HIPS的研究現(xiàn)狀

HIPS利用附加在操作系統(tǒng)上的應(yīng)用程序來監(jiān)管主機(jī)上的各類操作及一些特定端口的數(shù)據(jù)流。以包過濾、狀態(tài)包檢測和實時入侵檢測技術(shù)組成一個分層的防御體系。該體系可以合理控制吞吐量，從而對主機(jī)的主要數(shù)據(jù)提供最大程度的保護(hù)［3］。雖然HIPS可以在攻擊發(fā)生之前就對有害數(shù)據(jù)進(jìn)行處理，但從其他方面來看，這種處理方式也暴露其不利之處。

從攻擊方來看，現(xiàn)有網(wǎng)絡(luò)攻擊行為從探測到系統(tǒng)漏洞到對主機(jī)進(jìn)行攻擊之間的時間間隙很短，當(dāng)主機(jī)探測到這一信息時，攻擊行為可能已經(jīng)完成了對主機(jī)的攻擊。攻擊行為的速度之快使得防御系統(tǒng)很難做出及時的應(yīng)對。

從防御系統(tǒng)本身來看，HIPS是對HIDS和防火墻技術(shù)的一個取長補(bǔ)短的結(jié)合，所以在人員維護(hù)上也是要耗費大量人力來對系統(tǒng)進(jìn)行監(jiān)控，需要手動的更新數(shù)據(jù)庫，使系統(tǒng)可以及時的識別新的攻擊行為。從目前網(wǎng)絡(luò)環(huán)境來看，這一方法顯的過于笨拙，對新產(chǎn)生的攻擊策略不能做到及時有效的防御

為了解決IPS的不足之處，許多研究者通過給系統(tǒng)添加智能來增加其防御能力。在系統(tǒng)中加入適應(yīng)性抽樣算法、數(shù)據(jù)包分類器、增量學(xué)習(xí)算法來增加系統(tǒng)在監(jiān)測到不完備數(shù)據(jù)時處理數(shù)據(jù)包的智能特性［4，5］。通過添加不均衡分類算法和遺傳算法來改善系統(tǒng)檢測攻擊的準(zhǔn)確性并減少了檢測時間［6－8］。借鑒人工免疫系統(tǒng)理論，使得IPS通過分析惡意行為及其影響來觸發(fā)自我修復(fù)系統(tǒng)；也可以利用神經(jīng)網(wǎng)絡(luò)、人工智能來提高IPS的主動防御能力［9］?；跀?shù)字簽名的防御系統(tǒng)是目前防御能力較為突出的一個系統(tǒng)，通過交叉引用數(shù)據(jù)庫中的威脅或漏洞數(shù)字簽名來檢測威脅和漏洞。但該系統(tǒng)也存在缺點，即無法從異構(gòu)的數(shù)據(jù)源進(jìn)行數(shù)據(jù)分析。SumitMore等人根據(jù)數(shù)字簽名系統(tǒng)的缺點提出狀態(tài)感知的入侵防御系統(tǒng)，綜合了異構(gòu)的數(shù)據(jù)源建立起一個語義豐富的知識庫來彌補(bǔ)數(shù)字簽名系統(tǒng)的不足［10］。另外從整個網(wǎng)絡(luò)全局考慮，分析和評估網(wǎng)絡(luò)安狀態(tài)來實現(xiàn)防御的目的，通過研究網(wǎng)絡(luò)的安全態(tài)勢來增加防御系統(tǒng)的自我修復(fù)能力［11］。

從上述的這些方法來看，大多都是以提高系統(tǒng)檢測網(wǎng)絡(luò)攻擊的效率為出發(fā)點，改善了系統(tǒng)識別惡意數(shù)據(jù)的效率，但并沒有提及到認(rèn)知的層次。

1.2 認(rèn)知網(wǎng)絡(luò)

認(rèn)知網(wǎng)絡(luò)的概念最初是由弗吉尼亞大學(xué)的Thomas等學(xué)者共同提出的。認(rèn)知網(wǎng)絡(luò)具有感知當(dāng)前網(wǎng)絡(luò)環(huán)境的認(rèn)知能力，能夠通過對環(huán)境的理解，動態(tài)的調(diào)整網(wǎng)絡(luò)配置，并以此對未來的網(wǎng)絡(luò)環(huán)境進(jìn)行規(guī)劃、決策。認(rèn)知網(wǎng)絡(luò)具備從變化的網(wǎng)絡(luò)中學(xué)習(xí)的能力，從而對未來的行為進(jìn)行以端到端為目標(biāo)的決策。

認(rèn)知網(wǎng)絡(luò)的重要特性體現(xiàn)在其異構(gòu)性、協(xié)同性和智能性。其中以高智能性特點最為突出。高智能特點體現(xiàn)在其自學(xué)習(xí)、自適應(yīng)、自配置的功能。認(rèn)知網(wǎng)絡(luò)通過對周圍的網(wǎng)絡(luò)環(huán)境的感知學(xué)習(xí)、重配置系統(tǒng)參數(shù)，來適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。同時，重配置引起的網(wǎng)絡(luò)變化又會引起周圍環(huán)境對網(wǎng)絡(luò)其他元素的影響，進(jìn)而造成對網(wǎng)絡(luò)其他元素的配置。在這樣一系列的相互作用，反復(fù)變化中，認(rèn)知網(wǎng)絡(luò)就能對網(wǎng)絡(luò)進(jìn)行不斷的學(xué)習(xí)，對系統(tǒng)不斷的優(yōu)化配置，從而達(dá)到網(wǎng)絡(luò)服務(wù)性能最優(yōu)化的目標(biāo)［12］。

認(rèn)知網(wǎng)絡(luò)在這種反復(fù)的認(rèn)知過程中達(dá)到對網(wǎng)絡(luò)性能優(yōu)化的目的。在這一系列的認(rèn)知過程中，以其具備的自我學(xué)習(xí)能力最為突出。在這樣一個循環(huán)反饋的系統(tǒng)當(dāng)中，通過對網(wǎng)絡(luò)目標(biāo)信息的不斷交互，對已有知識的不斷完善，又可以對未知的網(wǎng)絡(luò)行為提出建議和決策，以此達(dá)到網(wǎng)絡(luò)認(rèn)知的目的。從另一方面來看，網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性、異構(gòu)性，對網(wǎng)絡(luò)的一次學(xué)習(xí)不足以感知到完整的信息。借鑒循環(huán)反饋的機(jī)制可以對同一網(wǎng)絡(luò)目標(biāo)進(jìn)行多次反復(fù)學(xué)習(xí)，才能獲得目標(biāo)網(wǎng)絡(luò)更為全面的信息。

1.3 設(shè)計思路

Thomas在他論文中提到認(rèn)知網(wǎng)絡(luò)也可以運用到網(wǎng)絡(luò)安全技術(shù)上［2］。通過訪問控制、隧道技術(shù)、信用管理等技術(shù)方法把認(rèn)知網(wǎng)絡(luò)的概念融入到網(wǎng)絡(luò)安全當(dāng)中。分析來源于網(wǎng)絡(luò)各層的反饋信息，使得認(rèn)知網(wǎng)絡(luò)可以發(fā)現(xiàn)存在的威脅，然后通過改變安全機(jī)制例如：規(guī)則設(shè)定、協(xié)議、加密等做出相應(yīng)的反應(yīng)。

從認(rèn)知的理念出發(fā)，為使主機(jī)系統(tǒng)具備自我防御的能力，在設(shè)計系統(tǒng)結(jié)構(gòu)模型時也為其引入一個反饋循環(huán)機(jī)制。因為具備反饋循環(huán)機(jī)制是一個系統(tǒng)具備學(xué)習(xí)能力的一個基礎(chǔ)，并且只有具備了學(xué)習(xí)能力的系統(tǒng)才可能進(jìn)行自我防御。通過自身的學(xué)習(xí)，對感知到的數(shù)據(jù)進(jìn)行多次提煉達(dá)到認(rèn)知防御的目的。這樣主機(jī)本身就可以處理未知的網(wǎng)絡(luò)行為，所以在一定程度上減少過多操作人員的參與。另外從HIPS面臨的漏報和誤報的問題來看，傳統(tǒng)的HIPS在處理網(wǎng)絡(luò)行為時都是根據(jù)對已有知識類型的一個比對，來對當(dāng)前的行為做出決策。因此知識庫也是HIPS的一個至關(guān)重要的因素。而一個具備學(xué)習(xí)能力的HIPS可以通過自我學(xué)習(xí)機(jī)制來不斷更新現(xiàn)有的知識庫，隨著知識庫的不斷擴(kuò)充和更新，就能夠減少之前因為知識不完善而造成的誤報和漏報的問題。

2 具有認(rèn)知功能的HIPS

結(jié)合認(rèn)知理論設(shè)計的HIPS結(jié)構(gòu)如圖1所示，該結(jié)構(gòu)分為5個模塊：傳感器、知識庫、狀態(tài)庫、認(rèn)知推理及決策執(zhí)行模塊。

圖1 HIPS結(jié)構(gòu)模型

2.1 傳感器

通過對監(jiān)控端口和系統(tǒng)日志掃描來采集數(shù)據(jù)，包括：對文件、注冊表和進(jìn)程的監(jiān)控、自身的防御系統(tǒng)是否運行正常、檢測主機(jī)內(nèi)部CPU、內(nèi)存的消耗是否正常，網(wǎng)絡(luò)接口的流量是否正常、使用主機(jī)的人的操作是否合法、主機(jī)內(nèi)部重要文件是否被非法訪問或是被更改或被復(fù)制、刪除等等。

2.2 狀態(tài)庫

狀態(tài)庫用于存儲當(dāng)前的主機(jī)狀態(tài)和感知到的周圍網(wǎng)絡(luò)環(huán)境狀況，只能存儲短期的知識 （即經(jīng)過一段時間后這些知識可能會被刪除掉），當(dāng)感知模塊感知的信息傳遞給認(rèn)知推理模塊時會先通過推理模塊的分析部分，然后把知識的描述轉(zhuǎn)換為規(guī)則描述的觸發(fā)類型 （即當(dāng)出現(xiàn)某個行為時就會造成相應(yīng)的結(jié)果），用于接下來的知識推理。認(rèn)知推理過程所構(gòu)建的子目標(biāo)或子狀態(tài)也會存入到狀態(tài)庫中。

所有被傳感器感知到的信息先被轉(zhuǎn)換為規(guī)則觸發(fā)的類型，然后存入到狀態(tài)庫當(dāng)中，接著與知識庫中已有的知識類型進(jìn)行比對。

狀態(tài)庫作為一個存放即時產(chǎn)生信息的一個臨時倉庫，存放這些被傳感器發(fā)送過來的大量臨時信息，其主要作用有兩方面，首要功能是接收由傳感器發(fā)送來的數(shù)據(jù)并轉(zhuǎn)換為規(guī)定的規(guī)則觸發(fā)類型。另外一個重要功能是對接收到信息進(jìn)行第一次過濾，與計算機(jī)網(wǎng)絡(luò)的防火墻有相似的作用。當(dāng)狀態(tài)庫與知識庫進(jìn)行比對之后無法產(chǎn)生有效結(jié)果時，就會轉(zhuǎn)入到之后的環(huán)節(jié)來繼續(xù)對數(shù)據(jù)進(jìn)行處理。

2.3 知識庫

知識庫屬于該模型的一個核心部分，為了使系統(tǒng)具備更好的認(rèn)知能力，所以該部分又分為兩個子結(jié)構(gòu)：規(guī)則庫和優(yōu)先級庫。

（1）規(guī)則庫：把已知的知識表述為可觸發(fā)的規(guī)則形式，即當(dāng)觸發(fā)某一行為時就會產(chǎn)生相應(yīng)的一個結(jié)果；在描述規(guī)則的時候，結(jié)果的表述形式也是多樣的，可以是一個對主機(jī)直接下達(dá)的命令，也可以是觸發(fā)到另外一個規(guī)則，因此每一個規(guī)則之間會存在直接或間接的聯(lián)系。規(guī)定每個規(guī)則必須要對應(yīng)一個可以被觸發(fā)的根狀態(tài) （最原始的狀態(tài)），比如：常見的DOS攻擊、病毒、蠕蟲攻擊等等，這里的每個規(guī)則至少要連接到某一可以被觸發(fā)的根狀態(tài)，也可以通過與其他規(guī)則之間的一個關(guān)系傳遞來連接到根狀態(tài)，否則經(jīng)過一段時間的系統(tǒng)搜索后那些未與根狀態(tài)對應(yīng)的規(guī)則就會被系統(tǒng)自動刪除掉。經(jīng)過這樣處理之后，狀態(tài)庫與知識庫進(jìn)行比對時，可以直接通過匹配的知識類型了解到具體發(fā)生的攻擊行為的種類，從而及時的采取相應(yīng)的行動策略，減少了系統(tǒng)的反應(yīng)時間，使得防御系統(tǒng)能夠在最快的時間內(nèi)應(yīng)對攻擊行為。

知識庫中規(guī)則的獲取有兩種方式：對目前已知的所有行為的規(guī)則描述；通過主機(jī)的自我學(xué)習(xí)機(jī)制而獲取的新知識。

規(guī)則庫的知識描述形式的設(shè)置，讓系統(tǒng)通過對一系列因果關(guān)系的判斷后，可以直接尋找源頭，原理簡單，思路清晰。即使在專業(yè)人員干涉時，也可以順著這些知識之間的關(guān)系迅速的查找源頭，節(jié)省了很多不必要的時間。與狀態(tài)庫的作用比較來看，知識庫適用于存放長期，或者說是已經(jīng)被確定的有害數(shù)據(jù)和安全數(shù)據(jù)，這些知識體也是系統(tǒng)各個環(huán)節(jié)進(jìn)行抉擇的一個根本依據(jù)。

（2）優(yōu)先級庫：對目前已知的行為采取一個優(yōu)先準(zhǔn)則的排序，例如：有多種對策可以處理相同問題時根據(jù)每個方法處理該問題消耗的時間、系統(tǒng)資源等來對這些策略進(jìn)行排序，也有可能出現(xiàn)上一條規(guī)則的執(zhí)行結(jié)果和當(dāng)前規(guī)則的執(zhí)行結(jié)果剛好相反，那么可以制定一個優(yōu)先級來避免這兩個規(guī)則順序執(zhí)行。通過在每條規(guī)則中提前設(shè)置好的優(yōu)先級標(biāo)識符來定義每個規(guī)則觸發(fā)行為的先后順序。優(yōu)先級庫是嵌入到規(guī)則庫中的每條規(guī)則中來區(qū)分每個規(guī)則的優(yōu)先級，并且每一個狀態(tài)庫中的規(guī)則都必須具備一個優(yōu)先級標(biāo)示符，否則該條規(guī)則在經(jīng)過幾次循環(huán)之后會被系統(tǒng)認(rèn)定為無效的，最終將被刪除。

設(shè)立優(yōu)先級庫的目的在于解決系統(tǒng)在自主解決問題時可以避免不必要的重復(fù)搜索，以及當(dāng)系統(tǒng)面對多個選擇時，可以根據(jù)之前設(shè)定的優(yōu)先級參量來判斷選擇哪一個最好。優(yōu)先級庫的構(gòu)建一部分靠對之前已了解知識的一個分類，另外一部分則需要系統(tǒng)在不斷的運行當(dāng)中來不斷補(bǔ)充。因為這些規(guī)則并不是一次性就可以完全插入到規(guī)則庫中，需要經(jīng)過系統(tǒng)多次的循環(huán)認(rèn)知才能得以完善。

2.4 認(rèn)知推理

該模塊具備知識推理的能力，借鑒認(rèn)知網(wǎng)絡(luò)的反饋循環(huán)機(jī)制，對未知的網(wǎng)絡(luò)行為進(jìn)行反復(fù)分析和匹配使主機(jī)可以進(jìn)行自我學(xué)習(xí)和自我配置。以知識庫為基礎(chǔ)，知識推理模塊通過與知識庫的匹配分析來解決問題。

知識推理模塊處理未知數(shù)據(jù)的方法分兩個步驟：

（1）通過網(wǎng)絡(luò)詢問臨近可信任的節(jié)點或服務(wù)器來尋求幫助；

（2）當(dāng)?shù)谝徊讲荒芙鉀Q問題的時候，系統(tǒng)切換到自我推理環(huán)節(jié)。

在認(rèn)知推理模塊中，又被分為3個子模塊，依次為：分析、匹配、預(yù)處理。

（1）分析：分析模塊把未知的數(shù)據(jù)先轉(zhuǎn)換為知識體的類型，并存入狀態(tài)庫中，根據(jù)未知數(shù)據(jù)的接入方式、數(shù)據(jù)來源等詳細(xì)內(nèi)容來比對已有的知識庫中的知識體，配合知識庫中的優(yōu)先級庫來假設(shè)出該行為可能造成的結(jié)果。假設(shè)的結(jié)果可以是單一的，也可以是多元化的。并把這些假設(shè)稱之為初始狀態(tài)。

（2）匹配：分析模塊在對未知行為進(jìn)行了初步分析后，匹配模塊把分析結(jié)果優(yōu)先與根狀態(tài)直接相連的知識進(jìn)行比對。在匹配分析的過程中可能會出現(xiàn)因為解決當(dāng)前假設(shè)而產(chǎn)生了另外一個新的假設(shè)，這里稱之為子狀態(tài)。當(dāng)遇到此類狀況時匹配模塊便會自動創(chuàng)建一個類似于棧的結(jié)構(gòu)體來存放這些新生成的子狀態(tài)，把初始狀態(tài)放于棧底，因為這是我們要完成的終極目標(biāo)。因初始狀態(tài)而產(chǎn)生的子狀態(tài)存放在初始狀態(tài)的上面，若之后繼續(xù)出現(xiàn)新的子狀態(tài)則依次存放，每一個層面的狀態(tài)都是為之前層面服務(wù)的。在出現(xiàn)了這類情況時，匹配模塊與分析模塊便共同來對棧結(jié)構(gòu)體中的每一層面的狀態(tài)進(jìn)行同時搜索匹配，這種并行處理方式可以加快處理問題效率，當(dāng)其中一個層面的假設(shè)被認(rèn)定之后，則在該層面之上的假設(shè)就會被自動刪除，轉(zhuǎn)而繼續(xù)匹配該層面以下的狀態(tài)。依照此類方式反復(fù)執(zhí)行，直到棧中的初始狀態(tài)被解決為止。當(dāng)所有的狀態(tài)都被解決之后，匹配模塊把分析的最終結(jié)果發(fā)送到預(yù)處理模塊。另外一種情況是在匹配過程中未出現(xiàn)新狀態(tài)，此時則把分析模塊的結(jié)果直接轉(zhuǎn)到預(yù)處理模塊。

（3）預(yù)處理：接收由匹配模塊發(fā)送過來的分析結(jié)果，在系統(tǒng)內(nèi)部進(jìn)行一個預(yù)先的處理，把模擬運行的結(jié)果發(fā)送給分析模塊。

預(yù)處理模塊的設(shè)定，一方面是為判斷分析模塊的處理是否合理，若執(zhí)行該結(jié)果是否會對主機(jī)的其他部件造成影響，若造成影響則發(fā)送信息到分析模塊，告知此類假設(shè)非最佳處理結(jié)果，此時分析模塊便再次做出結(jié)果假設(shè)，并把對其他部件造成的影響因子加入的假設(shè)條件當(dāng)中來，進(jìn)行新一輪的匹配分析，繼續(xù)產(chǎn)生新的假設(shè)結(jié)果。通過一系列循環(huán)往復(fù)的交互，最終可以實現(xiàn)對未知數(shù)據(jù)的全面分析處理，并得到一個最佳結(jié)果。此時，認(rèn)知推理模塊便會把最終結(jié)果發(fā)送給知識庫。知識庫把狀態(tài)庫中對該數(shù)據(jù)的描述和認(rèn)知推理模塊對該數(shù)據(jù)的處理結(jié)果結(jié)合起來存入到知識庫中作為以后的一個評判標(biāo)準(zhǔn)。執(zhí)行到此處環(huán)節(jié)時，系統(tǒng)就完成了一次對未知數(shù)據(jù)的認(rèn)知學(xué)習(xí)。

2.5 決策執(zhí)行模塊

該模塊作為整個系統(tǒng)指令的最終實現(xiàn)環(huán)節(jié)也有其重要作用，主要體現(xiàn)在以下3個方面：

（1）認(rèn)知推理得出的最終結(jié)果會首先發(fā)送給決策執(zhí)行模塊，通過該模塊來實現(xiàn)虛擬環(huán)境與真實環(huán)境的一個交互。這也是該模塊最為重要的一項功能。

（2）人為設(shè)定一個周期時間內(nèi)，該模塊會對知識庫中的規(guī)則進(jìn)行檢測，排除那些不在于根狀態(tài)匹配的規(guī)則，例如：因為系統(tǒng)的更新，之前的漏洞已經(jīng)被排除，不再需要用以前的處理方式來防御。保留此類規(guī)則只會給知識庫增加不必要的開銷和復(fù)雜度。因此，一段時間內(nèi)就需要對知識庫進(jìn)行一次排查，排除此類知識體

（3）狀態(tài)庫只能存放臨時的知識體，通常這類知識體只是針對在某一時間段內(nèi)的數(shù)據(jù)流有效。到了下一個時間段，這些知識體將不在有效，因此需要決策執(zhí)行模塊在一個較短周期 （周期設(shè)定視狀態(tài)庫的容量而定）對之前存儲的知識體進(jìn)行刪除，得意釋放存儲空間。

3 模型防御性能分析

入侵防御的最重要的環(huán)節(jié)在于數(shù)據(jù)收集和數(shù)據(jù)分析，如何在接收到的龐大數(shù)據(jù)集中分析和挖掘出有效的數(shù)據(jù)來應(yīng)對有害數(shù)據(jù)的威脅，是入侵防御系統(tǒng)的關(guān)鍵。該模型設(shè)計的優(yōu)勢體現(xiàn)在以下幾點：①知識類型的表述使得狀態(tài)庫和知識庫進(jìn)行信息對比的時候可以迅速找準(zhǔn)目標(biāo)信息的源頭，若非知識庫的內(nèi)容，便快速的轉(zhuǎn)到認(rèn)知推理模塊進(jìn)行下一步的信息處理。較傳統(tǒng)以特征碼檢測技術(shù)為主要手段的防御系統(tǒng)，在檢測速度和效率上有了很大提升。規(guī)則與規(guī)則之間連帶的因果關(guān)系可以使系統(tǒng)快速的定位未知數(shù)據(jù)流的特性。規(guī)則的因果關(guān)系的表示方法，使得分析思路清晰明了，專業(yè)人員可以很清楚的了解各個信息的來龍去脈。②知識庫的完備性和全面性是該系統(tǒng)的一個關(guān)鍵點，有效的數(shù)據(jù)支持是其他模塊得以實施正確行為判斷的一個重要前提。在引入了認(rèn)知的功能之后，知識庫的更新不再僅僅依靠專家經(jīng)驗，系統(tǒng)的自我分析成為了知識庫數(shù)據(jù)更新的關(guān)鍵點。利用系統(tǒng)的自我學(xué)習(xí)能力和聯(lián)網(wǎng)可信任結(jié)點之間的信息共享來完善知識庫，具備充分的成長性。

該模型通過一系列的循環(huán)反饋來實現(xiàn)對數(shù)據(jù)流的有效處理，首先由傳感器接收信息，再將信息發(fā)送給狀態(tài)庫進(jìn)行知識類型的第一次鑒別。接著把未能檢測的數(shù)據(jù)交由認(rèn)知推理模塊來處理，該模塊與知識庫的相互結(jié)合，再經(jīng)內(nèi)部的多次反饋來對未知數(shù)據(jù)流進(jìn)行詳細(xì)分析和認(rèn)知。然后認(rèn)知推理模塊把得出的最終結(jié)果傳遞給決策執(zhí)行模塊來實現(xiàn)和外界環(huán)境的交互，通過決策執(zhí)行模塊來改變主機(jī)內(nèi)部配置。感器持續(xù)監(jiān)測現(xiàn)有的系統(tǒng)狀態(tài)，監(jiān)測結(jié)果又可以傳遞給之后的模塊來判斷系統(tǒng)是否運行正常，之前的決策能否實現(xiàn)。通過這樣一個循環(huán)往復(fù)，不斷更新的環(huán)境下達(dá)到對已知和未知數(shù)據(jù)流的一個有效監(jiān)控的目標(biāo)。

4 結(jié)束語

認(rèn)知科學(xué)相關(guān)理論及其應(yīng)用已經(jīng)取得了很大的進(jìn)展，把認(rèn)知方法融入到防御系統(tǒng)當(dāng)中是一個行之有效的方法。通過兩者的結(jié)合來抵御網(wǎng)絡(luò)攻擊將在一定程度上提高檢測有害數(shù)據(jù)的概率，認(rèn)知網(wǎng)絡(luò)是目前網(wǎng)絡(luò)發(fā)展的一個趨勢，認(rèn)知防御也必將是以后IPS的一個發(fā)展方向。本文以認(rèn)知理論為基礎(chǔ)導(dǎo)向構(gòu)建認(rèn)知防御模型，該模型也為之后的研究做出鋪墊，但模型中還有許多細(xì)節(jié)地方需要研究和完善。比如，知識體是一種規(guī)則觸發(fā)類型，那么如何能讓系統(tǒng)有效的識別這層因果關(guān)系是需要特別關(guān)注的。另外對未知數(shù)據(jù)流進(jìn)行認(rèn)知推理的效率高低，直接關(guān)系的一個系統(tǒng)的安全問題，因為現(xiàn)今的攻擊行為發(fā)生速度之快，很多防御系統(tǒng)在偵測到危險數(shù)據(jù)的時，惡意數(shù)據(jù)可能已經(jīng)完成了一次對受害主機(jī)的感染，因此內(nèi)否在保證安全數(shù)據(jù)無阻礙傳輸?shù)耐瑫r又可以先阻斷未知數(shù)據(jù)流的傳輸也是一大關(guān)鍵問題。在接下來的工作中利用現(xiàn)有的知識理論和軟件來構(gòu)建一個簡單的仿真模型，并針對某一特定的攻擊來檢驗其認(rèn)知學(xué)習(xí)的功能。

［1］Kephart，Thomas J Watson Res.The vision of autonomic computing ［J］.IEEE Computer Socirty，2003，36 （1）：41－50.

［2］Thomas R W.Cognitive networks ［R］.International Symposium on First IEEE，2005：352－360.

［3］WU Haiyan，JIANG Dongxing，CHENG Zhirui，et al.Research of intrusion prevention system ［J］.Computer Engineering and Design，2007，28 （24）：5844－5866 （in Chinese）.［吳海燕，蔣東興，程志銳，等.入侵防御系統(tǒng)研究 ［J］.計算機(jī)工程與設(shè)計，2007，28 （24）：5844－5866.］

［4］Vasanthi S，Chandrasekar S.A study on network intrusion detection and prevention system current status and challenging issues ［R］.Froc of Int Conf in Communication and Computing，2011：181－183.

［5］JIANG Yaping，GAN Yong，ZHOU Jianhua，et al.A model of intrusion prevention base on immune ［R］.Fifth International Conference on Information Assurance and Security，2009：441－444.

［6］XU Jiannan，YANG Yun.Research on intrusion prevention sys－tem using imbalanced classification ［R］.Internation conference on instrumentation， Measurement，Computer，Communication and Control，2012：537－540.

［7］Muna Elsadig，Azween Abduallah.Biological intrusion prevention and self－h(huán)ealing model for network security ［R］.Second International Conference on Future Networks，2011：337－342.

［8］WU Yugang，QING Yong，SONG Jiguang，et al.Research overview of intrusion detection algorithm bassed on association rules ［J］.Computer Engineering and Design，2011，32 （3）：834－838（in Chinese）.［武玉剛，秦勇，宋繼光，等.基于關(guān)聯(lián)規(guī)則的入侵檢測算法研究綜述 ［J］.計算機(jī)工程與設(shè)計，2011，32 （3）：834－838.］

［9］Rainer Bye，Seyit A Camtepe，Sahin Albayrak.Design and modeling of collaboration architecture for security ［R］.International Symposium on Collaborative Technologies and Systems，2009：330－341.

［10］Sumint More，Mary Matthews，AnupAm Joshi，et al.A knowledge－based approach to intrusion detection modeling［R］.USA：IEEE Symposium on Security and Privacy Workshops，2012：75－81.

［11］XI Rongrong，JIN Shuyuan，YUN Xiaochun，et al.CNSSA：A comprehensive network security situation awareness system［R］.USA：International Joint Conference of IEEE，2011：482－487.

［12］LI Jinshuang，WANG Xingwei.Cognitive and credible network architecture ［R］.China：International Conference on Computer Application and System Modeling，2011：615－619.

［13］Martuza Ahmed，Rima Pal Md，Mojammel Hossain，et al.NIDS：A network based approach to intrusion detection and prevention［R］.Bangladesh：International Association of Computer Science and Information Technology，2009：141－144.

［14］Deris Stiawan，Abdul Hanan Abdullah，Mohd，et al.The trends of intrusion prevention system network ［R］.Indonesia：2nd International Conference on Education Technology and Computer，2010：217－221.