陳志薈 王曉可 林劍豪 李國田

摘要：本文將行為規(guī)范當(dāng)作基本目標(biāo)，將病毒庫變成行為庫，簡要分析了現(xiàn)階段的信息安全策略，提出了具體的方案，并從多角度指出了實現(xiàn)方法，望能為此領(lǐng)域研究有所借鑒。

關(guān)鍵詞：行為模式；計算機安全；實時識別

在整個計算機系統(tǒng)當(dāng)中，入侵為其典型的危險行為，而從根本上來講，其乃是破壞系統(tǒng)資源可用性、機密性及完整性的總體集合，而諸如惡意使用、泄漏、闖入攻擊、拒絕服務(wù)及欺騙攻擊等為其主要表現(xiàn)。針對入侵檢測來講，從基礎(chǔ)層面來分析，即為識別，借助網(wǎng)絡(luò)計算機系統(tǒng)當(dāng)中的一些核心信息，開展系統(tǒng)化分析，從中找出有無與安全策略相違背的行為。而針對入侵檢測系統(tǒng)而言，即為了對入侵加以抵制而設(shè)計。而在本文當(dāng)中，則將此種協(xié)同工作的集合，稱作入侵檢測系統(tǒng)（IDS）。本文基于行為模式，就計算機安全策略作一探討。

1.現(xiàn)階段的信息安全策略

現(xiàn)階段，對信息安全造成威脅的因素主要有兩方面，其一為病毒，其二是黑客。而針對計算機信息安全系統(tǒng)而言，其比較常用的安全產(chǎn)品的類型主要有：（1）網(wǎng)絡(luò)安全產(chǎn)品；（2）防火墻產(chǎn)品；（3）防雷保安產(chǎn)品；（4）計算機病毒防治。而對于防、查、解病毒軟硬件而言，其實為一種易耗品，需經(jīng)常性的進(jìn)行升級與更新。持續(xù)更新既有病毒庫，而在現(xiàn)實當(dāng)中，僅能借助數(shù)據(jù)庫來進(jìn)行對比，以此來加以防范或殺毒。對于計算機病毒而言，之所以會出現(xiàn)泛濫情況，重要原因即為缺乏有效的防范手段。通常情況下，要想從根本上維護信息安全，需要做好攻擊前的防范工作，即防火墻：在攻擊過程中，防范工作主要包含3方面內(nèi)容，其一為取證，其二是入侵檢測，其三為預(yù)警；在攻擊后，所進(jìn)行的處理工作即為應(yīng)急響應(yīng)。在上述步驟當(dāng)中，最為核心的是入侵檢測，當(dāng)前，比較常用的方法為混合檢測法及異常檢測法等。

2.行為模式的實現(xiàn)策略

2.1提出方案

推動信息安全實為一項長期性且十分艱巨的任務(wù)。針對入侵而言，其目的主要有兩方面，其一為竊取，其二是破壞。從根本上來講，通過對系統(tǒng)的正常運行造成破壞與干擾，達(dá)到使系統(tǒng)處于癱瘓狀態(tài)，最終從中竊取所需要的各種情報。針對此特點，我們需要將入侵的行為目的當(dāng)作基本的出發(fā)帶你，以此來更好的進(jìn)行方案；通常情況下，可利用行為控制、目的控制等方法，構(gòu)建更加新型且全面的黑客行為庫，并對原先的病毒庫加以取代。本文所探討的是一種以行為模式為基礎(chǔ)的安全策略，此策略能夠根據(jù)實際需要，將原先的防范技術(shù)加以改變，并且還能將之前單純性的殺毒功能相防毒轉(zhuǎn)變，在預(yù)防當(dāng)中將病毒屏蔽與隔離，最終達(dá)到防中殺毒的目的。另外，在此操作中，通過將病毒的行為特征抓住，除了能夠?qū)σ呀?jīng)知曉的病毒進(jìn)行屏蔽之外，還能抵制黑客的入侵與共計，防范那些未知病毒或威脅的入侵。

需要指出的是，病毒好似是人體當(dāng)中的不良細(xì)胞，只有發(fā)作，并將其行為表現(xiàn)出來，才能對身體造成傷害；而對于傷害的具體程度而言，個人的抵抗力起到?jīng)Q定作用?，F(xiàn)階段，大多處于實用狀態(tài)的殺毒軟件，均為查殺為其典型特點，且從基礎(chǔ)層面來考量，均存在著讓病毒牽著鼻子走的尷尬情況，也就是病毒產(chǎn)生在先，而診治手段在其后。對于用戶來講，往往埋怨手中無快速且主動式的診治新手段。

2.2實現(xiàn)方法

針對入侵檢測系統(tǒng)來講，其能夠利用數(shù)據(jù)挖掘技術(shù)及人工智能技術(shù)等，得出許多有價值的結(jié)果，因而可以為對抗措施的制定提供輔助與支撐。需要指出的是，針對一個比較優(yōu)秀的入侵檢測系統(tǒng)而言，需要能夠?qū)⒐芾韱T的日常工作給予簡化，減輕其工作強度，并且還應(yīng)能夠保障整個網(wǎng)絡(luò)的整體運行安全。而對于病毒發(fā)作而言，其不僅具有不確定性，而且還具有隨機性。對于那些新出現(xiàn)的病毒來講，需要即刻將其找出來，并制定切實措施，將其清除掉，將病毒抹殺于萌芽階段。在實際防范中，可以專門構(gòu)建一個中央控制臺，每次數(shù)據(jù)發(fā)送，均可借助端口來完成；當(dāng)中央控制臺接收到數(shù)據(jù)后，便可及時進(jìn)行隔離操作。而對于檢測的具體內(nèi)容來講，主要有：（1）惡意使用與操作，企圖使系統(tǒng)喪失正常的工作狀態(tài)；（2）闖入到那些沒有經(jīng)過授權(quán)的系統(tǒng)中；（3）超出系統(tǒng)安全策略既定的合法行為.

針對中央控制臺來講，其實為一臺高效計算機，還可以是一個先進(jìn)的程序模塊，主要作用就是對各子模塊進(jìn)行協(xié)調(diào)，以此來更好的推動安全策略的實施。而對于行為庫來講，則能將每次入侵行為給準(zhǔn)確記錄下來，且借助學(xué)習(xí)，將各此病毒的發(fā)生地點及成功入侵點等信息給記錄下來，這些內(nèi)容均會成為后期重點方案的對象。還需要指出的是，伴隨查殺病毒效能的大幅提升，尤其是在抗病毒能力方面的逐漸提高，自適應(yīng)免疫將成為未來的一種趨勢。

當(dāng)發(fā)生事件后，首先行為檢測會根據(jù)此事件情況，對其行為進(jìn)行檢測，此步驟乃是入侵檢測系統(tǒng)運行架構(gòu)當(dāng)中的首要步驟。通過開展行為檢測，能夠?qū)κ欠翊嬖诓《疽约捌鋸?fù)制行為進(jìn)行準(zhǔn)確判斷，借助中央控制臺，就行為庫進(jìn)行對比，然后對已知入侵行為進(jìn)行檢測。而對于黑客所進(jìn)行的攻擊來講，同樣能夠分步驟開展，并且通常由一連串的行為來對危險程度進(jìn)行明確，以此來更加高效且準(zhǔn)確的對入侵行為進(jìn)行檢測；而對于此時的響應(yīng)單元而言，則能夠及時作出準(zhǔn)確的響應(yīng)處理。還需要指出的是，在主、客體間，主要通過三步驟來進(jìn)行閉環(huán)控制，比如檢測、反饋與保護，如果出現(xiàn)被攻擊情況，那么此時的反饋部件會及時向外發(fā)出信號，保護部件會對配置進(jìn)行更換，以此來更好的應(yīng)對攻擊，并盡快恢復(fù)客體。

3.結(jié)語

綜上，針對行為模式安全策略來講，其主要優(yōu)點即為能夠?qū)Ω鞔尾《救肭只蛘吆诳凸舻男袨樘卣鹘o準(zhǔn)確記錄下來，而且還能記錄其破壞方式，并還能還小的融入智能識別與控制，最終達(dá)成免疫與自適應(yīng)。與傳統(tǒng)IDS相比較，能夠?qū)⑿袨闄z測與防范更好的體現(xiàn)出來，如此一來，除了能強化防范力度，而且還能提高運行效率，意義重大。

參考文獻(xiàn)

[1]崔志磊.基于人工免疫的計算機安全行為防范模型[J].蘭州理工大學(xué)學(xué)報，2009，35（4）：107-110.

[2]呂元海，田俊華，郭新明，等.網(wǎng)絡(luò)蠕蟲行為模式分析與防范[J].計算機安全，2006（12）：69-71.

[3]楊月江，王秀玲.基于行為學(xué)的網(wǎng)絡(luò)安全分析及策略研究[J].中國人民公安大學(xué)學(xué)報：自然科學(xué)版，2008，14（1）：67-70.

作者簡介：陳志薈（1997.12-），男，福建省莆田市人，學(xué)歷：本科在讀，研究方向：管理科學(xué)。