陳志薈 王曉可 林劍豪 李國(guó)田

摘要：本文將行為規(guī)范當(dāng)作基本目標(biāo)，將病毒庫(kù)變成行為庫(kù)，簡(jiǎn)要分析了現(xiàn)階段的信息安全策略，提出了具體的方案，并從多角度指出了實(shí)現(xiàn)方法，望能為此領(lǐng)域研究有所借鑒。

關(guān)鍵詞：行為模式；計(jì)算機(jī)安全；實(shí)時(shí)識(shí)別

在整個(gè)計(jì)算機(jī)系統(tǒng)當(dāng)中，入侵為其典型的危險(xiǎn)行為，而從根本上來(lái)講，其乃是破壞系統(tǒng)資源可用性、機(jī)密性及完整性的總體集合，而諸如惡意使用、泄漏、闖入攻擊、拒絕服務(wù)及欺騙攻擊等為其主要表現(xiàn)。針對(duì)入侵檢測(cè)來(lái)講，從基礎(chǔ)層面來(lái)分析，即為識(shí)別，借助網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)當(dāng)中的一些核心信息，開(kāi)展系統(tǒng)化分析，從中找出有無(wú)與安全策略相違背的行為。而針對(duì)入侵檢測(cè)系統(tǒng)而言，即為了對(duì)入侵加以抵制而設(shè)計(jì)。而在本文當(dāng)中，則將此種協(xié)同工作的集合，稱作入侵檢測(cè)系統(tǒng)（IDS）。本文基于行為模式，就計(jì)算機(jī)安全策略作一探討。

1.現(xiàn)階段的信息安全策略

現(xiàn)階段，對(duì)信息安全造成威脅的因素主要有兩方面，其一為病毒，其二是黑客。而針對(duì)計(jì)算機(jī)信息安全系統(tǒng)而言，其比較常用的安全產(chǎn)品的類型主要有：（1）網(wǎng)絡(luò)安全產(chǎn)品；（2）防火墻產(chǎn)品；（3）防雷保安產(chǎn)品；（4）計(jì)算機(jī)病毒防治。而對(duì)于防、查、解病毒軟硬件而言，其實(shí)為一種易耗品，需經(jīng)常性的進(jìn)行升級(jí)與更新。持續(xù)更新既有病毒庫(kù)，而在現(xiàn)實(shí)當(dāng)中，僅能借助數(shù)據(jù)庫(kù)來(lái)進(jìn)行對(duì)比，以此來(lái)加以防范或殺毒。對(duì)于計(jì)算機(jī)病毒而言，之所以會(huì)出現(xiàn)泛濫情況，重要原因即為缺乏有效的防范手段。通常情況下，要想從根本上維護(hù)信息安全，需要做好攻擊前的防范工作，即防火墻：在攻擊過(guò)程中，防范工作主要包含3方面內(nèi)容，其一為取證，其二是入侵檢測(cè)，其三為預(yù)警；在攻擊后，所進(jìn)行的處理工作即為應(yīng)急響應(yīng)。在上述步驟當(dāng)中，最為核心的是入侵檢測(cè)，當(dāng)前，比較常用的方法為混合檢測(cè)法及異常檢測(cè)法等。

2.行為模式的實(shí)現(xiàn)策略

2.1提出方案

推動(dòng)信息安全實(shí)為一項(xiàng)長(zhǎng)期性且十分艱巨的任務(wù)。針對(duì)入侵而言，其目的主要有兩方面，其一為竊取，其二是破壞。從根本上來(lái)講，通過(guò)對(duì)系統(tǒng)的正常運(yùn)行造成破壞與干擾，達(dá)到使系統(tǒng)處于癱瘓狀態(tài)，最終從中竊取所需要的各種情報(bào)。針對(duì)此特點(diǎn)，我們需要將入侵的行為目的當(dāng)作基本的出發(fā)帶你，以此來(lái)更好的進(jìn)行方案；通常情況下，可利用行為控制、目的控制等方法，構(gòu)建更加新型且全面的黑客行為庫(kù)，并對(duì)原先的病毒庫(kù)加以取代。本文所探討的是一種以行為模式為基礎(chǔ)的安全策略，此策略能夠根據(jù)實(shí)際需要，將原先的防范技術(shù)加以改變，并且還能將之前單純性的殺毒功能相防毒轉(zhuǎn)變，在預(yù)防當(dāng)中將病毒屏蔽與隔離，最終達(dá)到防中殺毒的目的。另外，在此操作中，通過(guò)將病毒的行為特征抓住，除了能夠?qū)σ呀?jīng)知曉的病毒進(jìn)行屏蔽之外，還能抵制黑客的入侵與共計(jì)，防范那些未知病毒或威脅的入侵。

需要指出的是，病毒好似是人體當(dāng)中的不良細(xì)胞，只有發(fā)作，并將其行為表現(xiàn)出來(lái)，才能對(duì)身體造成傷害；而對(duì)于傷害的具體程度而言，個(gè)人的抵抗力起到?jīng)Q定作用。現(xiàn)階段，大多處于實(shí)用狀態(tài)的殺毒軟件，均為查殺為其典型特點(diǎn)，且從基礎(chǔ)層面來(lái)考量，均存在著讓病毒牽著鼻子走的尷尬情況，也就是病毒產(chǎn)生在先，而診治手段在其后。對(duì)于用戶來(lái)講，往往埋怨手中無(wú)快速且主動(dòng)式的診治新手段。

2.2實(shí)現(xiàn)方法

針對(duì)入侵檢測(cè)系統(tǒng)來(lái)講，其能夠利用數(shù)據(jù)挖掘技術(shù)及人工智能技術(shù)等，得出許多有價(jià)值的結(jié)果，因而可以為對(duì)抗措施的制定提供輔助與支撐。需要指出的是，針對(duì)一個(gè)比較優(yōu)秀的入侵檢測(cè)系統(tǒng)而言，需要能夠?qū)⒐芾韱T的日常工作給予簡(jiǎn)化，減輕其工作強(qiáng)度，并且還應(yīng)能夠保障整個(gè)網(wǎng)絡(luò)的整體運(yùn)行安全。而對(duì)于病毒發(fā)作而言，其不僅具有不確定性，而且還具有隨機(jī)性。對(duì)于那些新出現(xiàn)的病毒來(lái)講，需要即刻將其找出來(lái)，并制定切實(shí)措施，將其清除掉，將病毒抹殺于萌芽階段。在實(shí)際防范中，可以專門(mén)構(gòu)建一個(gè)中央控制臺(tái)，每次數(shù)據(jù)發(fā)送，均可借助端口來(lái)完成；當(dāng)中央控制臺(tái)接收到數(shù)據(jù)后，便可及時(shí)進(jìn)行隔離操作。而對(duì)于檢測(cè)的具體內(nèi)容來(lái)講，主要有：（1）惡意使用與操作，企圖使系統(tǒng)喪失正常的工作狀態(tài)；（2）闖入到那些沒(méi)有經(jīng)過(guò)授權(quán)的系統(tǒng)中；（3）超出系統(tǒng)安全策略既定的合法行為.

針對(duì)中央控制臺(tái)來(lái)講，其實(shí)為一臺(tái)高效計(jì)算機(jī)，還可以是一個(gè)先進(jìn)的程序模塊，主要作用就是對(duì)各子模塊進(jìn)行協(xié)調(diào)，以此來(lái)更好的推動(dòng)安全策略的實(shí)施。而對(duì)于行為庫(kù)來(lái)講，則能將每次入侵行為給準(zhǔn)確記錄下來(lái)，且借助學(xué)習(xí)，將各此病毒的發(fā)生地點(diǎn)及成功入侵點(diǎn)等信息給記錄下來(lái)，這些內(nèi)容均會(huì)成為后期重點(diǎn)方案的對(duì)象。還需要指出的是，伴隨查殺病毒效能的大幅提升，尤其是在抗病毒能力方面的逐漸提高，自適應(yīng)免疫將成為未來(lái)的一種趨勢(shì)。

當(dāng)發(fā)生事件后，首先行為檢測(cè)會(huì)根據(jù)此事件情況，對(duì)其行為進(jìn)行檢測(cè)，此步驟乃是入侵檢測(cè)系統(tǒng)運(yùn)行架構(gòu)當(dāng)中的首要步驟。通過(guò)開(kāi)展行為檢測(cè)，能夠?qū)κ欠翊嬖诓《疽约捌鋸?fù)制行為進(jìn)行準(zhǔn)確判斷，借助中央控制臺(tái)，就行為庫(kù)進(jìn)行對(duì)比，然后對(duì)已知入侵行為進(jìn)行檢測(cè)。而對(duì)于黑客所進(jìn)行的攻擊來(lái)講，同樣能夠分步驟開(kāi)展，并且通常由一連串的行為來(lái)對(duì)危險(xiǎn)程度進(jìn)行明確，以此來(lái)更加高效且準(zhǔn)確的對(duì)入侵行為進(jìn)行檢測(cè)；而對(duì)于此時(shí)的響應(yīng)單元而言，則能夠及時(shí)作出準(zhǔn)確的響應(yīng)處理。還需要指出的是，在主、客體間，主要通過(guò)三步驟來(lái)進(jìn)行閉環(huán)控制，比如檢測(cè)、反饋與保護(hù)，如果出現(xiàn)被攻擊情況，那么此時(shí)的反饋部件會(huì)及時(shí)向外發(fā)出信號(hào)，保護(hù)部件會(huì)對(duì)配置進(jìn)行更換，以此來(lái)更好的應(yīng)對(duì)攻擊，并盡快恢復(fù)客體。

3.結(jié)語(yǔ)

綜上，針對(duì)行為模式安全策略來(lái)講，其主要優(yōu)點(diǎn)即為能夠?qū)Ω鞔尾《救肭只蛘吆诳凸舻男袨樘卣鹘o準(zhǔn)確記錄下來(lái)，而且還能記錄其破壞方式，并還能還小的融入智能識(shí)別與控制，最終達(dá)成免疫與自適應(yīng)。與傳統(tǒng)IDS相比較，能夠?qū)⑿袨闄z測(cè)與防范更好的體現(xiàn)出來(lái)，如此一來(lái)，除了能強(qiáng)化防范力度，而且還能提高運(yùn)行效率，意義重大。

參考文獻(xiàn)

[1]崔志磊.基于人工免疫的計(jì)算機(jī)安全行為防范模型[J].蘭州理工大學(xué)學(xué)報(bào)，2009，35（4）：107-110.

[2]呂元海，田俊華，郭新明，等.網(wǎng)絡(luò)蠕蟲(chóng)行為模式分析與防范[J].計(jì)算機(jī)安全，2006（12）：69-71.

[3]楊月江，王秀玲.基于行為學(xué)的網(wǎng)絡(luò)安全分析及策略研究[J].中國(guó)人民公安大學(xué)學(xué)報(bào)：自然科學(xué)版，2008，14（1）：67-70.

作者簡(jiǎn)介：陳志薈（1997.12-），男，福建省莆田市人，學(xué)歷：本科在讀，研究方向：管理科學(xué)。