基于特定入侵检测问题的规划识别模型的研究

【前言】基于特定入侵检测问题的规划识别模型的研究由文秘帮小编整理而成，但愿对你的学习工作带来帮助。(puter Office, Aviation University of Air Force, Changchun 130022, China; 2. Computer Office, China Basal Department of The Chinese People's Armed Police Forces Academy, Langfang 065000, China) Abstract: In this paper, for the particular problem in...

摘要:该文在特定的入侵检测问题中,对于规划识别技术进行了初步研究,提出了基于特定入侵检测问题的规划识别模型。

关键词:入侵检测;规划识别;规划识别模型

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)11-2617-01

Research of Plan Recognition Model Based on Specific Problem in Intrusion Detection

HAN Dan1, WANG Lei2

(puter Office, Aviation University of Air Force, Changchun 130022, China; 2. Computer Office, China Basal Department of The Chinese People's Armed Police Forces Academy, Langfang 065000, China)

Abstract: In this paper, for the particular problem in intrusion detection, it preliminary studied the plan recognition technology, and it proposed the plan recognition model based on the specific problem in intrusion detection.

Key words: intrusion detection; plan recognition; plan recognition model

入侵检测技术可以实现对系统的实时防护和采取相应的应急手段。同时,它还可以在不影响系统性能的前提下对系统进行及时监控,并提供对外部攻击、内部攻击和误操作的动态防护功能。

规划识别技术是人工智能研究领域中的一个相当重要的研究方向。目前,还仅是处于初步研究阶段。

本文正是从以上两方面的技术特点出发,把二者有机结合,将规划识别技术应用于特定的入侵检测问题中,将发生在特定入侵检测问题中的一系列动作(规划)作为执行规划识别的起始动作序列,欲实现对实时动作序列(规划)进行动态识别的过程,即是实现针对特定入侵检测问题的规划识别的过程。本文创新性地提出了基于特定入侵检测问题的规划识别模型。

1 基本概念

1.1 入侵检测

入侵检测[1]是对企图入侵、正在进行的入侵或者已经发生的行为进行识别并做出响应的过程。

1.2 规划识别

智能规划识别是指根据已观察到的Agent所发出或执行的一系列部分的、琐碎的、零散的动作来推断其Agent所要达到的最终目标以及它所要执行的全部规划的过程[2]。

2 基于特定入侵检测问题的规划识别模型的设计

2.1 规划识别模型的设计原则

本文中所提及的基于特定入侵检测问题的规划识别模型是在封闭的模拟条件下所提出的针对于特定动作序列的规划识别模型。该模型可实现对封闭条件下的敌意动作序列进行有效识别的过程。

2.2 规划识别模型的整体架构

本文通过构造规划识别的结构化模型,来实现特定入侵检测问题中攻击者在攻击行为作用下对目标系统发起的目标状态的分析与判断,并向安全管理员发送相应告警信息的过程。该系统模型主要由以下几大部分组成:

1) 预处理模块:它负责对攻击行为进行数据采集,并将其转换成敌意推理模块能够理解并处理的格式;

2) 敌意推理模块:它能够结合敌意知识模块对预处理模块发送来的行为状态数据进行分析,并将从预处理模块传递过来的带有敌意动作的攻击行为转换为能在AKB中进行搜索的统一的三元组形式,这时当前攻击过程中的行为和状态就一目了然了;

3) 敌意知识模块:敌意知识模块会按照攻击行为特征在知识库中有范围的进行分组搜索,并将搜索后的攻击行为所对应的自身危机度值发送回敌意推理模块进行运算处理,进而求出相对危机度值和最大相对危机度值并在敌意推理模块中来决定是否要将分析结果发送给决策响应模块进行决策响应;从而实现了对攻击者攻击行为的识别过程;

4) 决策响应模块:它在接收到敌意推理模块的响应信息后,就会向安全管理员的系统用户界面发送告警信息,并使安全管理人员能够通过决策响应模块给出的分析报告和导出的行为状态图来决定是否采取响应以及采取何种响应。这个过程就实现了对攻击者攻击行为的响应过程。

3 结论

本文中所提出的基于特定入侵检测问题的规划识别模型可在封闭的模拟条件下实现对敌意规划过程的动态识别与监控。它可以对入侵检测过程中所执行的敌意动作序列(规划)进行有效识别与响应。同时,该模型还可以将敌意规划识别的结果送至管理人员使之对其进行决策与响应。

参考文献:

[1] 银石动力.实战网络安全[M].北京:北京邮电大学出版社,2005:70-77.

[2] Goldman R P,Geib C W,Miller C A.A New Model of Plan Recognition[C].Proceedings of the 1999 Conference on Uncertainty in Artificial Intelligence,1999.