（计算机软件与理论专业论文）基于行为状态图的规划识别模型的研究与实现.pdf

摘要 入侵检测是最近二十年才发展起来的一种动态监控、预防或抵御系统入侵行为的安 全机制。它是对入侵行为进行识别和响应的过程。而从其特点上来看，人工智能研究领 域中的一个相当重要的研究热点智能规划识别理论也具有其相同的性质，即对规划 的识别与响应过程。 本文正是从以上两种技术的自身特点出发，经过对特定入侵检测问题的分析，提出 了“攻击事件”、“攻击过程”、“行为状态图”和“危机度”等概念。并在一起攻击事件 的一次攻击过程中，通过采用“行为状态图”的方法来构造规划识别模型，对攻击者攻 击行为所欲实现的多种可能性目标状态进行分析：另外，还通过对各种可能性目标状态 自身危机度和相对危机度的运算，从而达到在当前时间步中起始状态下经过攻击者攻击 行为作用后，对攻击者可能实现的最终目标状态进行有效识别的目的。在此基础上，该 规划识别模型还会根据对最终目标状态的有效判断进而决定是否向安全管理员发送相 应的告警信息，从而实现了对攻击者攻击行为的响应过程。 本文还在该规划识别模型形式化理论研究的基础上，采用了面向对象的分析与设计 思想，用标准c # 语言对该模型规划识别器和针对于特定入侵检测问题的攻击事件模拟、 演示平台的实现进行了初步的设计，并在封闭的虚拟状态下针对于特定的入侵检测问题 对其进行了必要的检测。从中不难发现，本文中所提出的规划识别器能在入侵行为发生 之前就拦截和响应入侵。可以说，它是对传统规划识别理论的合理必要补充。它的提出 与发展大大增强了系统自身的保护能力，进而使得系统安全立于不败之地。 关键词：智能规划识别；行为状态图；攻击事件；攻击过程；危机度 a b s t r a c t i n t r u s i o nd e t e c t i o ni sas a f em e c h a n i s m , w h i c hi sj n s td e v e l o p e dd u r i n gt h e s e2 0y e a r s i n t oas y s t e mo fd y n a m i c m o n i t o r i n ga n dp r e v e n t i n go rd e f e n d i n gt h ei n t r u s i o nb e h a v i o r a n d i ti sap r o c e s so fr e c o g n i z i n ga n dr e s p o n d i n gi n t r u s i o nb e h a v i o r f r o mt h ec h a r a c t e ro ft h i s t e c h n o l o g y , w ec a nf i n dt h a to n eo ft h em o s ti m p o r t a n th o t s p o t si nt h er e s e a r c hf i e l do f a r t i f i c i a li n t e l l i g e n c e - - - i n t e u i g e n tp l a nr e c o g n i t i o nt h e o r y , w h i c hh a st h es a m ec h a r a c t e r i s t i c , n a m e l yt h ep r o c e s sf o rp l a nr e c o g n i t i o na n dr e s p o n s e t h i sp a p e ri sb a s e do nt h ef u n c t i o n a lc h a r a c t e r i s t i c sf r o ma b o v et w oa s p e c t s b y a n a l y z i n gt h es p e c i f i cd e t e c t i n gp r o b l e m so fi n t r u s i o n ，w ef i r s t l yp u tf o r w a r dt h ec o n c e p to f t h ei n v a s i v ee v e n t ，t h ei n v a s i v ep r o c e s s ，t h ea c t i o ns t a t eg r a p ha n dt h ec r i t i c a ld e g r e ee t e a n d i na ni n v a s i v ep r o c e s so fa ni n v a s i v ee v e n t ，t h i sp a p e rc o n s t r u c t sap l a nr e c o g n i t i o nm o d e lb y a d o p t i n gt h ea c t i o ns t a t eg r a p h a n di ta n a l y z e st h ep r e s u m a b l em u l t i t a r g e ts t a t e st h a tw i l lb e a c h i e v e db ya t t a c k e r m o r e o v e r , a c c o r d i n gt oc a l c u l a t i n gf o re v e r yc r i t i c a ld e g r e eo fe v e r y p r e s u m a b l em u l t i - t a r g e ts t a t e s ，i tc a nr e a l i z et h ev a l i dr e c o g n i t i o nt ot h ef i n a lt a r g e ts t a t et h a t a t t a c k e rw i l la c h i e v e ，w h i c hi sa f f e c t e db yt h ei n v a s i v ea c t i o no ft h ea t t a c k e ru n d e rt h ei n i t i a l s t a t ea tt h ec u r r e n tt i m e s t e p b e s i d e s ，o nt h i sb a s i s ，t h ep l a nr e c o g n i t i o nm o d e lc a ns e n dt h e i n f o r m a t i o ns u c ha sw a r n i n gi n f o r m a t i o nt os a f e t ya d m i n i s t r a t o ra u t o m a t i c a l l ya c c o r d i n gt o t h ev a l i dj u d g m e n to ft h ef i n a lt a r g e ts t a t e t h e r e f o r e ，i tc a nr e a l i z et h er e s p o n s ep r o c e s st o t h ei n v a s i v ea c t i o no ft h ea t t a c k e r t h i sp a p e ra d o p t st h ea n a l y s i sa n dd e s i g nt h o u g h tw h i c hf a c et oo b j e c t ，b a s e do nt h e f o r m a lt h e o r e t i c a lr e s e a r c ho ft h i sp l a nr e c o g n i t i o nm o d e l a n di tu s e ss t a n d a r d 酣l a n g u a g e t od e s i g nt h ep l a nr e c o g n i t i o ns y s t e ma n dt h ed e m o n s t r a t i n gp l a t f o r mo fs i m u l a t i o no fi t i n i t i a l l yf u rt h ei n t r u s i o nd e t e c t i o np r o b l e m ss p e c i f i c a l l y , a n du n d e rt h ec l o s e df a b r i c a t e d e n v i r o n m e n ts t a t e ，i td o e ss o m en e c e s s a r yt e s t so nt h i sp l a nr e c o g n i t i o ns y s t e mf o rt h e i n t r u s i o nd e t e c t i o np r o b l e m ss p e c i f i c a l l y a n di ti se a s yt of i n dt h a tt h i sp l a nr e c o g n i t i o n s y s t e mp u tf o r w a r di nt h i sp a p e r c a nr e s p o n s ef o r t h ei n t r u s i o nb e f o r ei n t r u s i o nh a ss u c c e e d e d i ti san e c e s s a r ys u p p l e m e n tt ot h ec l a s s i c a lp l a nr e c o g n i t i o nt h e o r y , a n di ts t r e n g t h e n st h e p r o t e c t i o nc a p a b i l i t yo fs y s t e mi t s e l f , s oi tc 粗m a k et h a tt h es a f e t yo fs y s t e mn e v e rb e d e f e a t e d k e yw o r d s ：i n t e l l i g e n tp l a nr e c o g n i t i o n ；a c t i o ns t a t eg r a p h ；i n v a s i v ee v e n t ；i n v a s i v e p r o c e s s ；c r i t i c a ld e g r e e i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得东北师范大学或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名；二垒乱日期： 彬zz 2 ，z 学位论文版权使用授权书 本学位论文作者完全了解东北师范大学有关保留、使用学位论文的规定， 即：东北师范大学有权保留并向国家有关部门或机构送交学位论文的复印件和 磁盘，允许论文被查阅和借阅。本人授权东北师范大学可以将学位论文的全部 或部分内容编入有关数据库进行检索，可以采用影印、缩印或其它复制手段保 存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：墨童 指导教师签名： 日期：! 翌幺：墨 日期： 学位论文作者毕业后去向： 工作单位： 通讯地址： 电话： 邮编： 引言 近年来，入侵检测技术作为一种新兴的网络安全技术而逐渐被发展和完善。入侵检 测作为一种积极的安全防护手段，它既可以提供对内部攻击、外部攻击和误操作的实时 防护；可以使系统能够抵抗网络的攻击；而且还可以提高安全管理员的安全管理能力； 提高信息安全基础结构的完整性嘲。由此可见，入侵检测技术不仅是对传统网络安全设 备的合理补充，而且也是一种集动态性和实时性于一身的网络安全技术手段。 规划识别理论是人工智能研究领域中的一个很重要的方向，而目前作为人工智能研 究领域中的一个重要分支，其在国际上还只是处于初步研究阶段，在国内对于该领域的 研究和规划识别器的开发也还仅是处于起步阶段。 本文正是从以上方面入手，针对于规划识别自身的特点，在特定的入侵检测问题中 应用规划识别理论，在攻击事件的攻击过程中采用“行为状态图”的方法，通过构造合 理的规划识别模型和对已观察到的一些现象( 敌意a g e n t 执行的动作) 来预测攻击行为 所欲实现的所有可能性目标状态，以便从中找出并发现攻击者攻击行为所欲实现的最终 目标状态，进而达到了在当前攻击过程中对攻击者攻击行为进行有效识别与响应的目 的。 虽然目前国际、国内已经有很多研究人员把规划技术应用于入侵检测领域，比如： 在国际上c h r i s t o p h e rw g e i b 第一次把规划技术引入了入侵检测领域，对入侵检测系 统对规划识别的要求进行了详细讨论，为规划识别理论在入侵检测系统中的应用奠定了 基础嘲；在国内，李家春啪等将规划识别理论引入了入侵检测的研究中，建立了一种基 于贝叶斯网推理模型入侵检测的规划识别模型，采用因果告警关联分析和贝叶斯网推理 模型实现规划识别；冯力啪1 等提出了一种基于规划识别理论的入侵企图预测方法，其实 验结果表明动态贝叶斯网络对预测系统调用序列中的异常入侵企图有较高的精度“。但 到目前为止，国际和国内还没有任何关于利用规划识别技术来解决特定入侵检测问题的 规划识别器和攻击事件模拟演示平台的相关研究报告。 本文研究的基于行为状态图的规划识别模型在入侵检测问题中有着广泛的应用前 景。因为我们可以采用“行为状态图”来表示“攻击事件”中一个具体的入侵行为，即 “攻击过程”。而且可以在行为和目标状态的基础上，利用“危机度”不断跟踪攻击者 在完成整个攻击过程中所必须完成的每个关键步骤。此种检测方法明显不同于传统的入 侵检测技术，因为使用“行为状态图”方法的一大特色就是具备在某种攻击行为尚未造 成实质性危害之前，就及时检测并采取某种响应措施的能力。而以上优点却恰恰体现出 了规划识别技术的自身特点。 本篇论文的结构如下：第一章主要对智能规划识别进行了概述；第二章主要介绍了 入侵检测技术的相关工作；第三章对“规划图”进行了简要的介绍；其目的旨在使读者 通过对规划图和图规划的相关知识的理解，进而方便大家对我们后面章节中所提出的 “行为状态图”的概念的加深；第四章我们对基于行为状态图的入侵检测问题进行了分 析；第五章我们提出了基于行为状态图的规划识别算法，即a s g p r 算法；第六章我们 构建了一个基于a s g p r 算法的规划识别模型：第七章我们在基于a s g p r 算法的规划识 别模型( a s g p r m ) 基础上对其规划识别器的实现进行了初步的设计，并针对于特定的入 侵检测问题迸行了必要的测试。通过我们对实验结果的分析，从而评价其优缺点所在； 最后对本文进行总结性说明。 2 第一章智能规划识别概述 1 1 智能规划识别的发展历史 智能规划识别理论是人工智能研究领域中一个相当活跃的研究方向。它已经被广泛 地应用于自然语言理解、知识理解和情景演算等计算机系统的许多方面。规划识别o “ 是根据观察到的一些现象来推测a g e n t 可能执行的规划。这些规划通常是在假设识别器 具有完整的知识，而且a g e n t 不会犯错误的条件下获得的。如果由于执行了某一个动作 而改变了某个性质或出现某个现象，那么这个动作是能使这个性质改变或这个现象出现 的所知道的所有动作。 s c h m i d e t “1 在1 9 7 8 年第一次提出规划识别问题。规划识别问题属于心理学和人工智 能交叉领域的问题，它涉及到知识表达、知识推理、非单调逻辑、情景演算、人机交互 和知识挖掘等方面知识。经过了二十多年的发展，出现了许多规划识别模型及方法。 k a u t z 嘲在1 9 8 6 年第一次基于限定理论和最小化集合的思想提出了规划识别的通用 框架，使智能规划识别的发展有了很大的飞跃。k a u t z 的方法具有丰富的表达能力，是 目前最著名、也最具广泛影响的一种表示及处理规划识别的方法。在1 9 8 7 年k a u t z 嘲 又提出了规划识别的形式化理论，它的主要思想是建立一个事件( 规划) 的层次结构， 规划识别时通过将观察到的动作与这个层次结构相匹配，试图建立用户高层目标的规划 ”1 。每当观察到一个动作，识别器就试图剪去和该动作不一致的规划，把该动作加入到 与其一致的规划中。但k a u t z 的方法还存在许多问题：比如k a u t z 的规划识别得到的是 所观察到的动作的最小规划集。如果规划集里有多个规划时，它就不能够确定哪一个规 划更能解释观察到的动作集合；另外，高层规划的确定是根据具体的问题来确定的，没 有明确的标准；最后，k a u t z 的规划识别也不能识别没有出现在层次结构中的新规划， 它必须要求有完整的规划库。而l i n 和g o e b e l 0 3 提出将溯因理论运用到规划识别中，当 观察到一个结论时，就会寻找它发生的原因来作为该结论产生的解释。 1 9 9 5 年b l u m 和f u r s t 0 1 提出利用规划图进行快速规划，h o n g j u n o 州”1 从规划图得到 灵感，提出基于目标图的规划识别。这种识别方法的特色是它不需要规划库，而且不像 别的识别系统是在整个规划空间中搜索规划，而是先构造一个目标图，然后分析目标图 来识别目标和有效规划。另一个特点是这种方法识别的规划是与目前观察到的动作一致 的部分或完全实现的目标。它适用于故事理解、软件的咨询系统和数据查询优化等领域。 该方法的优点是目标图构造算法和分析算法都是多项式时间和空间的，而且识别的目标 准确率比较高。 2 0 0 2 年姜云飞教授在一种基于规划知识图的规划识别算法中提出了一种新规 划表示方法及规划知识图的概念，与目前规划识别领域广泛使用的k a u t z 方法相比，它 的主要思想是将k a u t z 的层次结构图转换为一个规划识别图，然后利用与或图的宽度优 先算法来求能够解释观察到的动作集合的规划集。该方法的主要优点是与或图的搜索算 法已经非常成熟，所以可以很好地控制搜索过程。新的规划表示方法更加简便与直观， 而且由于规划知识图中增加了支持程度的概念，使得规划的识别可以随着收集到的新证 据而合理的加以改变。他所提出的基于规划知识图的规划识别算法把规划问题转化为图 搜索问题，因而其效率更高，但其识别结果与k a u t z 方法是一致的。 2 0 0 3 年y m m i n g - h a o “”在h o n gj u n 目标图的基础上提出了利用回归图进行规划识 别。回归图是由命题结点、动作结点和目标结点组成的。它是基于将回归图中的结点分 成确定的结点和可能的结点的思想进行识别确定的目标和可能的目标。该方法既保留了 目标图分析的方法的优点，又有自己独特的优点：能识别出确定的一致目标和可能的一 致目标。 近期随着智能规划的发展，智能规划识别又成为一个非常活跃的研究领域。早期的 规划识别主要运用在故事理解以及智能帮助系统中，但现在规划识别的应用已经扩展到 了操作系统、自然语言理解、军事防御系统、医学诊断系统、网络入侵检测系统以及程 序理解和自动驾驶等多个领域。 而到目前为止，在国际上，当前对规划识别的研究虽然方兴未艾，但在国内却依然 还没有一个成型的规划识别器系统，对规划识别技术的研究也只是处于初级阶段。 1 2 智能规划识别的相关概念 1 2 1 智能规划识别的基本概念 从智能规划识别的概念上来看，我们可以把智能规划识别的过程理解为智能规划过 程中提取有效规划的逆过程。智能规划过程是一种问题求解的方法，一个规划系统我们 可以认为就是一个问题求解的系统，若用它来求解比较复杂的问题，即可求得一个动作 序列，依次执行此动作序列就可以完成某一特定的具体任务，从而最终达到一个特定的 目标。而我们在本文中所要研究的智能规划识别过程却恰恰与之相反，智能规划识别是 指根据已观察到的智能体( a g e n t ) 所发出或执行的一系列部分的、琐碎的、零散的动作( 规 划) 来推断其a g e n t 所要达到的最终( 全部) 目标以及它所要执行的全部规划的过程。 进而达到预测a g e n t 未来动作序列的目的。 1 2 2 规划识别器的基本概念 一个规划识别器是一个应用软件，当它观察到一个实体( a g e n t ) 所执行的最初几个动 作，或观察到实体所执行的某些零散的几个动作就可以识别出实体正在执行的是哪个规 划，从而可以识别出实体的目标和接下来要执行的动作，具有这样功能的应用软件就叫 做规划识别器。规划识别器的输入是观察集和关于问题领域的背景知识，输出的是能够 解释观察集的规划假设的集合。”。 4 l e s h n 玎“”提到了一个规划识别器的质量可以从两个方面来衡量和给予评价：即 1 精确性( a c c u r a c y ) ：指规划识别器识别的正确率。 2 识别率( c o v e r a g e ) ：指规划识别器所能识别的问题范围。 而在实际的应用中，我们可以根据应用本身对识别器这两个方面的不同要求来评价某个 规划识别器，并可以通过构造一个估价函数来实现此过程。 1 2 3 攻击行为及攻击规划的基本概念 攻击行为“，是指由a g e n t 所执行的某些具有攻击性和破坏性质的实例化的操作， 它可能是部分的或零散的，也可能是即时的或实时的。但是不管怎样，这些动作的具体 目标都是意在破坏对手a g e n t 系统( 软件系统、硬件系统或软、硬件相结合的系统) ， 从而达到恶意a g e n t 欲达到的对目标系统进行某种实例化操作的目的。 如果一个实体在初始状态下经过执行一系列攻击行为，如行为1 ，行为2 ，o a a9 行 为n ，从而最终到达目标状态，那么，这一系列动作或动作序列行为1 ，行为2 ， 行为n ，就叫做一个攻击规划。 1 3 智能规划识别的分类 1 3 1 根据智能体在规划识别中的作用进行分类 智能规划识别根据被推理的a g e n t 在规划识别中的作用大致可以分为以下两类o ”： l 。洞孔式规划识别：这种识别方法在识别过程中，被观察和推理的a g e n t 不影响规划 识别过程，通过不引人注目的观察来推断a g e n t 的目标。 2 有意的规划识别：这种识别方法在识别过程中，被观察和推理的a g e n t 影响规划识 别的过程，而这种影响又可以分为两种：即帮助或阻碍识别过程。帮助识别过程这 种情况通常出现在语言理解和协作性系统中；阻碍识别过程这种情况通常出现在敌 对的环境下，如博弈或军事战争中。在此环境中当a g e n t 意识到或发现别人在观察 和推理自己的规划时，a g e n t 会主动采取有效的措施来阻碍规划识别过程。 1 3 2 根据规划识别是否具有规则库进行分类 智能规划识别根据有无规则库又可以分为o ”： 1 。有规则库的规划识别：用分层任务网络、事件层、知识图或其他方式预先描述规划， 并用这些规划作为规划识别的依据。其中主要以k a u t z 的方法为代表；目前大部分 的规划识别方法都是有规则库的规划识别。该方法直观、易于理解，但用这种方法 进行识别前，需要做大量的建立规划库的准备，在搜索过程中常常会消耗大量时间 或空间。 2 无规则库的规划识别：规划识别器不需要根据预先给定的规划就能给出识别结果。 5 无规则库的规划识别突破了必须有特定规则库才能进行规划识别的限制，其中尤以 j u nh o n g 的基于目标图分析的规划识别和以y i nm i n g - h a o 的基于回归图分析的规 划识别方法为代表。 1 3 3 根据规划识别是否具有完整的领域知识进行分类 根据规划识别是否具有完整的领域知识，可将规划识别问题分为有完整领域知识的 规划识别和无完整领域知识的规划识别。 1 有完整领域知识的规划识别：识别器完全掌握动作的前提、效果及动作的执行概率 等情况。 2 无完整领域知识的规划识别：识别器不能完全掌握动作的前提、效果或动作的执行 概率等情况。由于无完整领域知识的规划识别复杂度较高，所以目前的规划识别器 还大都假设识别器具有完整的领域知识。 1 3 4 根据所识别的动作序列是否完全可观察进行分类 根据规划识别的动作序列是否完全可观察，我们又可以将规划识别分为完全可观察 的规划识别和部分可观察的规划识别。 1 完全可观察规划识别：识别器能够观察到所识别智能体的全部动作及动作的执行顺 序。 2 部分可观察规划识别：识别器不能够观察到所识别智能体的全部动作。这可能是由 于识别器遗漏的，也可能动作本身是不可观察的。这种情况通常用动作的效果来进 行识别。 1 3 5 根据观察是否可信赖进行分类 根据规划识别的观察是否可信赖，我们可以分为以下两类： 1 观察可信赖的规划识别：所观察到的动作就是实际发生了的动作，对这些动作所做 的规划识别就是观察可信赖的规划识别。 2 观察不可信赖的规划识别：在这种规划识别中，有些动作不能完全肯定是否真实发 生了，它们的发生带有一种可能性。这种动作通常都被赋值一个可信度，以确定该 动作可信赖的程度。 由于规划识别器的疏忽或某些情况的干扰，识别器可能无法确定一些动作是否真实 发生，因此导致了观察不可信赖。为使问题求解更容易，或者某些领域不存在不可信赖 的动作，通常的规划识别都假设观察是可信赖的。 1 3 6 根据所识别的规划是否有错误进行分类 根据所识别的规划问题是否有错误，我们可以将规划识别问题分为： 6 1 对无误规划的规划识别：识别器所识别的智能体在进行规划的过程中，所执行的每 一个动作对于到达目标都是必要的。 2 对有误规划的规划识别：识别器所识别的智能体在进行规划的过程中，执行了一些 错误动作。这些错误动作，或者是智能体本身能力限制造成的，或者是智能体为了 干扰识别器对它的识别而故意执行的干扰性动作。 1 4 智能规划识别的方法 1 4 1 基于事件层次结构的规划识别方法 基于事件层次结构的规划识别即基于k a u t z 理论的推理方法。k a u t z 的主要思想是 建立一个事件( 规划 的层次结构，并由动作的不同抽象来组成。这个层次结构用来组 成规划库。规划识别时通过将观察到的动作与这个层次结构相匹配，试图建立用户高层 目标的规划。每当观察到一个动作，识别器就试图剪去和该动作不一致的规划，并把该 动作加入到与其一致的规划中。这种规划识别方法具有丰富的表达能力，可以处理动作 间的时序关系及不完全观察动作序列，并能够很好的识别偏序规划。但由于识别中采用 了最小覆盖模型，并认为所有事件出现的可能性都是一样的，使得识别结果过于武断。 该识别还要求所识别的智能体不能犯错误，识别所依据的规划库是完整的，因此也就缩 小了该识别方法的应用范围o ”。 1 4 z 基于溯因理论的规划识别方法 溯因理论是一种逆推理归纳，它是一种由结论成立而退出前提以某种置信度成立的 归纳方法。这种方法的一般模式是：若h 为真时，则h e 必为真；观察到e 成立：则 h 以某种置信度成立。l i n 和g o e b e l 发现了溯因理论和规划识别之间的联系，可以将溯 因理论运用到规划识别中，当观察到一个结论时，会寻找它发生的原因来作为该结论产 生的解释。 1 4 3 基于缺省推理的规划识别方法 缺省理论是在知识不完全的情况下使推理得以继续下去的一种非单调推理理论。缺 省推理的核心是在默认或假设某些命题成立的前提下进行推理。c a r b e r r y “”根据对自然 对话的分析以及对人类推理的心理研究提出了一个基于默认推理的规划识别模型。它的 主要思想是通过支持适当的默认推理来延迟无根据的结论直到进一步的证据出现，从而 逐步地更新用户规划的系统模型。 1 4 4 基于限定理论的规划识剐方法 限定理论是一种非单调推理方法，也是研究的最早的非单调推理方法之一，是 7 m c c a r t h y “6 1 在2 0 世纪7 0 年代末提出的，他并没有引进任何新的算子或逻辑符号，只是 在经典逻辑的框架内研究适合于表示非单调性的特殊推理形式。限定理论的核心思想 是：如果一个句子叙述一个命题，那么它叙述的仅仅是这个命题，不能扩展和延伸。例 如，如果说船能渡河，那么就意味着只有船才能渡河，其他任何可能的渡河工具都不能 被考虑。 人类和智能计算机常常需要得出这样的一些结论：某些具有特定属性或关系的对象 是仅有的满足这些关系的对象。m c c a r t h y 的限定理论就形式化了这种推理。由于限定 理论是在一阶逻辑上添加一些限定规则，因此，可以用传统的逻辑语言来形式化非单调 逻辑。而规划识别问题通常为非单调的逻辑推理问题，因而可以将限定理论与规划识别 问题相结合。 k a u t z 的规划识别问题就是求解观察动作的最小规划集，这与限定理论的思想很相 似。但由于限定理论包含二阶逻辑，计算十分复杂，因此，k a u t z 只是基于限定理论提 出了三个假设( 穷尽假设、互斥假设、使用部件假设) ，并没有直接用限定的方法来求 解规划识别问题。2 0 0 2 年，姜云飞和马宁1 在k a u t z 规划识别的基础上，结合以上两 种方法，提出了基于限定的规划识别问题求解的新方法。根据k a u t z 规划识别，姜云飞、 马宁给出了分解和枚举的概念，并给出了限定求解规划识别问题的算法。根据限定与规 划识别的关系，他们给出定理，用以说明对观察到的现象做限定获得的解集与由观察到 的现象求出的最小规划集是一样的。姜云飞等人借鉴k a u t z 的规划识别方法，首次提出 了用限定理论直接求解规划识别问题，并弥补了k a u t z 规划识别的不足，增强了规划识 别的容错能力。 1 4 5 基于贝叶斯网络的规划识别方法 c h a m i a k 和g o l d m a n “”提出了一种基于贝叶斯网络的规划识别模型。他们将规划识 别看作是推理的特例，并描述了一种根据一些观察到的动作生成可能的解释图的规划识 别方法。这种方法的主要问题是当知识库和证据集合增加时，贝叶斯网络的大小会快速 增加，所以不适用于比较复杂的领域问题。 1 4 6 基于语法分析的规划识别方法 1 9 9 0 年v i l l a i n “8 以k a u t z 理论为基础提出了一种基于语法分析的规划识别理论。他 并没有真正采用语法分析的方法来处理规划识别问题，而是通过减少规划识别的限制情 况来进行语法分析，用以研究k a u t z 理论的复杂度。采用语法分析的规划识别模型主要 用在故事理解和谈话分析中。 1 4 7 基于规划知识图的规划识别方法 2 0 0 2 年，姜云飞、马宁在k a u t z 规划识别的基础上提出了基于规划知识图的规划 识别。他们将k a u t z 的事件层改造为更简便，更直观，更易于操作的规划表示方法一规 8 划知识图。 规划知识图是一个非循环的与或图，由代表规划的节点集合组成。节点间由连接 符连接，表示事件之间的整体与部分、具体与抽象的关系。 他们在规划知识图中添加了支持程度的概念。支持程度是指一个规划( 事件) 的 出现使另一个规划( 事件) 出现的可能性。由已观察到的动作，可能推出多种结果。 k a u t z 会选择e n d 事件最少的推理结果作为识别的最终结果；姜云飞等则认为，不同动 作在满足条件的规划内的重要程度是不一样的，所以对规划出现可能性的支持程度也不 同，因此，根据支持程度来判断识别的最终结果，会与实际情况更为接近。 由于该方法添加了支持程度的概念。因此，与k a u t z 规划识别相比，其结果更合理； 方法中对知识图采用了宽度优先搜索，比k a u t z 规划识别更简捷。 1 4 8 利用目标图分析进行规划识别的方法 通常的规划识别都是建立在规划库基础上的。2 0 0 0 年，j u nh o n g 从规划图得到 灵感，提出了一种不需要规划库的目标识别方法，即目标图进行规划识别的方法。它的 主要思想是先构造一个目标图，然后通过对目标图的分析进行规划识别。这种识别方法 的特色是它不需要规划库，而是先构造一个目标图，然后分析目标图来识别目标和有效 规划。因此，与有规划库的规划识别相比，该方法有着明显的优势。由于该方法突破了 必须有特定规划库才能进行规划识别的限制，能够对新规划做出识别，所以很适合敌意 规划嘲2 2 1 等智能体处于敌对状态下阱1 的识别。但由于它还不够完善，只能解释过去 的动作而不能预测未来动作，因此，该方法目前适合应用在故事理解、博弈啪1 、软件咨 询系统、数据库查询优化和客户数据挖掘等领域。 1 4 9 基于回归图的规划识别 y mm i n g - h a o 在h o n gj u n目标图的基础上提出了利用回归图进行规划识别的方 法。其中，回归图是由命题节点、动作节点和目标结点组成的。它是基于将回归图中的 结点分成确定的结点和可能结点的思想进行识别确定的目标和可能的目标。该方法既保 留了目标图分析的方法的优点，同时又有自己独特的优点，即它能够识别出确定的一致 目标和可能的一致目标。 9 2 1 介绍 第二章入侵检测 根据美国f b i 的调查，美国每年因为计算机安全造成的经济损失超过1 7 0 亿美元； 而且7 5 的公司报告的财政损失也都是由于计算机系统的安全问题造成的；美国商业 杂志信息周刊公布的一项调查报告指出，黑客攻击等安全问题仅在2 0 0 0 年就造成 了上万亿美元的经济损失1 ；根据美国金融时报报道，几乎在全球范围内每隔2 0 秒就会有一起恶意攻击事件的发生，而且超过1 3 的目标系统被攻破。事情还远不仅如 此，2 0 0 3 年1 月，美国总统布什下令制定了全球安全战略，以便在必要的情况下对敌 方的计算机系统发动袭击。以上这些实例都无不使全球各国政府、r r 厂商和业界同仁 在感到震惊的同时，不由自主的开始关注起一个焦点问题的研究，那就是“入侵检测技 术”。而谈到入侵检测技术，首先就要了解“网络安全”的概念。因为这两个概念息息 相关。所谓网络安全。1 就是指网络系统的硬件、软件和系统内的数据受到保护，不会因 为偶然的或者恶意的原因而遭到破坏、修改或泄露，因为只有这样才能够保证网络系统 连续不断的运行，才能够保证网络服务不会被中断。那么，从中我们不难看出，网络安 全并不是- - f 7 单一的学科，它是涉及到计算机科学、网络技术、通信技术、信息安全技 术、密码技术、应用数学、数论以及信息论等多种学科的一门综合性科学。而从其广义 上来说，可以把凡是涉及到网络上信息的机密性、完整性与可用性的相关技术和理论都 纳入网络安全的研究领域中来。纵观目前国际、国内对于网络安全无论是在理论上，还 是在实现上的研究，大致上可以把它概括为以下几大方面：1 数据安全与加密技术； 2 黑客与病毒防范技术；3 访问控制与防火墙技术；4 入侵检测技术。然而基于以上 几类问题的解决难度，我们认为其中一个最适用的方法就是设计比较容易实现的安全系 统，并按照一定的安全策略建立相应的安全辅助机制，而入侵检测系统就恰恰正是在这 种情况下应运而生。入侵检测系统是对防火墙技术的弥补，它可以对系统进行实时的入 侵检测并采取相应的防护手段；入侵检澳0 系统还可以被看作是防火墙技术之后的第二道 安全闸门，是对防火墙技术的重要补充。它可以在不影响系统性能的前提下对系统进行 实时的入侵检测，可以提供对外部攻击、内部攻击和误操作的实时防护功能。 2 2 入侵检测的相关概念 1 入侵 入侵啪1 是指任何企图危及系统资源机密性、完整性与可用性的活动的集合。 ( 1 ) 机密性就是要求保证系统信息不被非授权用户所访问。 1 0 ( 2 ) 完整性要求防止系统信息被非法修改或破坏。 ( 3 ) 可用性则要保证系统信息和资源等能够持续有效的，并能按用户所需要的时间、地 点和方式加以访问。 2 入侵检测 入侵检测( ”是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别并做 出响应的过程。 3 入侵检测系统 入侵检测系统( 玎d s ) 是指所有能够执行入侵检测任务和功能的系统。其中包括软件 系统和软、硬件相结合的系统。 2 3 入侵检测的作用 1 监控、分析用户和系统的活动胁1 。 2 审计系统的配置和弱点。 3 评估关键系统和数据文件的完整性。 4 识别攻击的活动模式。 5 对异常活动进行统计分析。 6 操作系统审计跟踪管理，识别违反政策的用户活动。 2 4 入侵检测的方法 根据检测所基于的原则的不同，我们可以将入侵检测分为异常检测方法和误用检测 方法： 1 异常检测 异常检测( a n o m a l yd e t e c t i o n ) ，也称为基于行为的入侵检测，根据使用者的行为或 资源使用状况的正常程度来判断是否发生入侵。异常检测具有检测系统中未知攻击的能 力。目前广泛使用的较为成熟的技术是统计分析、神经网络、基于贝叶斯网络、基于模 式预测、基于数据挖掘以及基于计算机免疫学的检测技术。 2 误用检测 误用检测( d i s u s ed e t e c t i o n ) ，也称为特征分析或基于知识的检测。误用检测i d s 根 据已知攻击的知识建立攻击特征库，通过用户或系统行为与特征库中各种攻击模式的比 较来确定是否发生入侵。目前主要有基于专家系统的、基于状态转移分析的、基于特征 分析的检测方法。 1 1 2 5 常见的告警和响应方式 入侵检测系统中常见的告警和响应方式主要包括嘲： 1 向管理控制台发出警告指出事件的发生。 2 向安全管理人员发出提示性的电子邮件。 3 执行一个用户自定义程序。 4 重新配置防火墙阻塞攻击的源地址。 5 自动终止攻击。 6 记录事件的日志，包括日期、时间、源地址、目的地址、描述以及事件相关的原始 数据。 7 终止用户连接。 8 禁止用户账号。 2 6 通用入侵检测模型的工作原理 入侵检测基于的重要前提是：入侵行为和合法行为是可区分的，即可以通过提取行 为的模式特征来判断该行为的性质。 从功能结构上看，入侵检测系统大致可分为三个模块：即数据提取模块、入侵分析 模块和响应处理模块渊。 j 7 ，童两 图2 1 通用入侵检测模型结构图 1 数据提取模块在入侵检测系统中居于基础地位，提供用于系统监视的审计记录流 ( 信息源) ，我们可以把它理解成是入侵检测系统的数据采集器。数据提取模块从 入侵检测系统的信息源中收集信息( 包括网络、系统、数据以及用户活动的状态和 行为等) ，而且要从不同计算机网络的若干不同关键点( 不同网段中的不同主机) 处收集信息，因为只有这样才会尽可能的扩大入侵检测系统的检测范围。而收集信 息不能只是从单一的信息源中收集，因为这样不足以看出该信息是否为可疑点。只 有从多个信息源处收集到的信息的不一致性才能更好的体现出信息中是否包含有 可疑或异常行为的标识。数据提取模块从各种数据源中收集到的信息，必须经过预 处理模块对数据进行分析才能传递给入侵分析模块进行识别和处理。而预处理模块 的处理过程首先是去除一些明显无用的信息嘲；其次是进行数据的分类，将同种类 型的数据分在一起，然后再将相关的数据进行合并，在合并的过程中也可以再去除 一些冗余、无用的信息；最后，预处理模块将这些数据进行格式转换，使得这些数 据可以被入侵分析模块识别和处理。在这里，我们把能够为入侵分析模块识别和处 理的数据称之为事件； 2 入侵分析模块是入侵检测系统的核心模块。主要完成对数据提取模块提取上来的事 件进行分析和处理。入侵分析模块就会根据现有的各种入侵检测方法，来确定该事 件是否是攻击。如果是攻击，则产生报警信息；如果不确定，也要给出一个怀疑值。 入侵分析模块就会根据分析结果，来决定已被怀疑的数据是否该发送给关联模块进 行数据融合，这里引入了“数据融合”概念的最终目的就是要综合所有入侵分析模 块提交上来的已被给定怀疑值的事件，以判断最终是否发生了分布式攻击。如果分 析结果不被送往关联模块，那么就直接把结果送往响应处理模块进行响应决策；否 则，如果被送往关联模块，就要在关联模块中对数据进行进一步的融合，从而再把 最终的结果送往响应处理模块进行响应决策； 3 响应处理模块会根据入侵分析模块的分析引擎的输出结果接到报警信息后，来判断 是否产生响应，以及采取何种响应。报警信息、分析结果也可以通过协调管理层的 互动接口与其它安全部件进行信息共享和响应互动。 在这一章中，我们主要对目前入侵检测的一些相关工作进行了简要的介绍。并且通 过后面章节的介绍我们知道，本文中所提出的基于行为状态图的规划识别模型是基于误 用检测的一种规划识别方法，它可以大大降低入侵检测的误检率，提高规划识别模型的 检测效率。并且由于规划识别技术的引入，使得其规划识别器能够在系统受到危害之前 就拦截和响应入侵，并能预测攻击者的下一步行为或攻击意图，从而起到了提前预警的 作用。 3 1 规划图的必要性 第三章规划图 本章中，我们利用较少的篇幅来介绍一下规划图及图规划的相关概念和原则，其 目的就是欲通过对它们的介绍，方便大家对我们后面章节中欲提出的“行为状态图”的 概念的理解。 一个用规划图来表示的规划问题，可以很透彻且很直观的表现出一个规划问题的实 质性。下面我们就通过一个经典的规划问题来看一下，引入“图”概念以后，规划问题 表达形式的直观性： 一个规划问题( p l a n n i n gp r o b l 唧) 涉及以下四个集合嘲： 1 一个操作( o p e r a t o r s ) 的集合； 2 一个对象( o b j e c t s ) 的集合； 3 一个初始条件( i n i t i a lc o n d i t i o n s ) 的集合，其中每个元素都是一个命题； 4 一个目标( g o a l s ) 的集合，其中每个元素都是一个命题，而且要求规划结束时这些命 题必须是真命题。 表3 1 火箭问题的操作 ( o p e r a t o rm o v e ：p a r a m e t