以行為模式為基礎的計算機安全策略

陳志薈 王曉可 林劍豪 李國田

摘要：本文將行為規范當作基本目標，將病毒庫變成行為庫，簡要分析了現階段的信息安全策略，提出了具體的方案，并從多角度指出了實現方法，望能為此領域研究有所借鑒。

關鍵詞：行為模式；計算機安全；實時識別

在整個計算機系統當中，入侵為其典型的危險行為，而從根本上來講，其乃是破壞系統資源可用性、機密性及完整性的總體集合，而諸如惡意使用、泄漏、闖入攻擊、拒絕服務及欺騙攻擊等為其主要表現。針對入侵檢測來講，從基礎層面來分析，即為識別，借助網絡計算機系統當中的一些核心信息，開展系統化分析，從中找出有無與安全策略相違背的行為。而針對入侵檢測系統而言，即為了對入侵加以抵制而設計。而在本文當中，則將此種協同工作的集合，稱作入侵檢測系統（IDS）。本文基于行為模式，就計算機安全策略作一探討。

1.現階段的信息安全策略

現階段，對信息安全造成威脅的因素主要有兩方面，其一為病毒，其二是黑客。而針對計算機信息安全系統而言，其比較常用的安全產品的類型主要有：（1）網絡安全產品；（2）防火墻產品；（3）防雷保安產品；（4）計算機病毒防治。而對于防、查、解病毒軟硬件而言，其實為一種易耗品，需經常性的進行升級與更新。持續更新既有病毒庫，而在現實當中，僅能借助數據庫來進行對比，以此來加以防范或殺毒。對于計算機病毒而言，之所以會出現泛濫情況，重要原因即為缺乏有效的防范手段。通常情況下，要想從根本上維護信息安全，需要做好攻擊前的防范工作，即防火墻：在攻擊過程中，防范工作主要包含3方面內容，其一為取證，其二是入侵檢測，其三為預警；在攻擊后，所進行的處理工作即為應急響應。在上述步驟當中，最為核心的是入侵檢測，當前，比較常用的方法為混合檢測法及異常檢測法等。

2.行為模式的實現策略

2.1提出方案

推動信息安全實為一項長期性且十分艱巨的任務。針對入侵而言，其目的主要有兩方面，其一為竊取，其二是破壞。從根本上來講，通過對系統的正常運行造成破壞與干擾，達到使系統處于癱瘓狀態，最終從中竊取所需要的各種情報。針對此特點，我們需要將入侵的行為目的當作基本的出發帶你，以此來更好的進行方案；通常情況下，可利用行為控制、目的控制等方法，構建更加新型且全面的黑客行為庫，并對原先的病毒庫加以取代。本文所探討的是一種以行為模式為基礎的安全策略，此策略能夠根據實際需要，將原先的防范技術加以改變，并且還能將之前單純性的殺毒功能相防毒轉變，在預防當中將病毒屏蔽與隔離，最終達到防中殺毒的目的。另外，在此操作中，通過將病毒的行為特征抓住，除了能夠對已經知曉的病毒進行屏蔽之外，還能抵制黑客的入侵與共計，防范那些未知病毒或威脅的入侵。

需要指出的是，病毒好似是人體當中的不良細胞，只有發作，并將其行為表現出來，才能對身體造成傷害；而對于傷害的具體程度而言，個人的抵抗力起到決定作用。現階段，大多處于實用狀態的殺毒軟件，均為查殺為其典型特點，且從基礎層面來考量，均存在著讓病毒牽著鼻子走的尷尬情況，也就是病毒產生在先，而診治手段在其后。對于用戶來講，往往埋怨手中無快速且主動式的診治新手段。

2.2實現方法

針對入侵檢測系統來講，其能夠利用數據挖掘技術及人工智能技術等，得出許多有價值的結果，因而可以為對抗措施的制定提供輔助與支撐。需要指出的是，針對一個比較優秀的入侵檢測系統而言，需要能夠將管理員的日常工作給予簡化，減輕其工作強度，并且還應能夠保障整個網絡的整體運行安全。而對于病毒發作而言，其不僅具有不確定性，而且還具有隨機性。對于那些新出現的病毒來講，需要即刻將其找出來，并制定切實措施，將其清除掉，將病毒抹殺于萌芽階段。在實際防范中，可以專門構建一個中央控制臺，每次數據發送，均可借助端口來完成；當中央控制臺接收到數據后，便可及時進行隔離操作。而對于檢測的具體內容來講，主要有：（1）惡意使用與操作，企圖使系統喪失正常的工作狀態；（2）闖入到那些沒有經過授權的系統中；（3）超出系統安全策略既定的合法行為.

針對中央控制臺來講，其實為一臺高效計算機，還可以是一個先進的程序模塊，主要作用就是對各子模塊進行協調，以此來更好的推動安全策略的實施。而對于行為庫來講，則能將每次入侵行為給準確記錄下來，且借助學習，將各此病毒的發生地點及成功入侵點等信息給記錄下來，這些內容均會成為后期重點方案的對象。還需要指出的是，伴隨查殺病毒效能的大幅提升，尤其是在抗病毒能力方面的逐漸提高，自適應免疫將成為未來的一種趨勢。

當發生事件后，首先行為檢測會根據此事件情況，對其行為進行檢測，此步驟乃是入侵檢測系統運行架構當中的首要步驟。通過開展行為檢測，能夠對是否存在病毒以及其復制行為進行準確判斷，借助中央控制臺，就行為庫進行對比，然后對已知入侵行為進行檢測。而對于黑客所進行的攻擊來講，同樣能夠分步驟開展，并且通常由一連串的行為來對危險程度進行明確，以此來更加高效且準確的對入侵行為進行檢測；而對于此時的響應單元而言，則能夠及時作出準確的響應處理。還需要指出的是，在主、客體間，主要通過三步驟來進行閉環控制，比如檢測、反饋與保護，如果出現被攻擊情況，那么此時的反饋部件會及時向外發出信號，保護部件會對配置進行更換，以此來更好的應對攻擊，并盡快恢復客體。

3.結語

綜上，針對行為模式安全策略來講，其主要優點即為能夠對各次病毒入侵或者黑客攻擊的行為特征給準確記錄下來，而且還能記錄其破壞方式，并還能還小的融入智能識別與控制，最終達成免疫與自適應。與傳統IDS相比較，能夠將行為檢測與防范更好的體現出來，如此一來，除了能強化防范力度，而且還能提高運行效率，意義重大。

參考文獻

[1]崔志磊.基于人工免疫的計算機安全行為防范模型[J].蘭州理工大學學報，2009，35（4）：107-110.

[2]呂元海，田俊華，郭新明，等.網絡蠕蟲行為模式分析與防范[J].計算機安全，2006（12）：69-71.

[3]楊月江，王秀玲.基于行為學的網絡安全分析及策略研究[J].中國人民公安大學學報：自然科學版，2008，14（1）：67-70.

作者簡介：陳志薈（1997.12-），男，福建省莆田市人，學歷：本科在讀，研究方向：管理科學。