趙雅紅
摘 要 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,各種網(wǎng)絡(luò)攻擊行為也越來越多,使得入侵監(jiān)測系統(tǒng)的重要性大幅提高。本文針對檔案傳輸協(xié)定服務(wù),通過神經(jīng)網(wǎng)絡(luò)建立異常監(jiān)測的入侵監(jiān)測系統(tǒng),用于評估根據(jù)資料監(jiān)測方式建立的入侵監(jiān)測系統(tǒng)的可行性,并根據(jù)此方式監(jiān)測未知的入侵行為。
關(guān)鍵詞 入侵監(jiān)測系統(tǒng);異常監(jiān)測;神經(jīng)網(wǎng)絡(luò);資料監(jiān)測;人工異常
中圖分類號 TP3 文獻標(biāo)識碼 A 文章編號 1674-6708(2016)172-0076-02
隨著互聯(lián)網(wǎng)系統(tǒng)的發(fā)展,使得系統(tǒng)隨時可能受到來自網(wǎng)絡(luò)的入侵,因此,如何保護系統(tǒng)與資料安全一直是一個重要的研究課題。近年來,由于資料監(jiān)測技術(shù)的發(fā)展,將該技術(shù)應(yīng)用于入侵監(jiān)測領(lǐng)域,利用事先收集到的資料訓(xùn)練出一個較為一般化的模型,再以該模型針對即時資料進行是否入侵的判斷。用來改變現(xiàn)行入侵監(jiān)測系統(tǒng)使用有限的監(jiān)測規(guī)則來判斷入侵跡象,而無法監(jiān)測未出現(xiàn)過入侵現(xiàn)行的缺點[1,2]。
本文針對檔案傳輸協(xié)定(File Transfer Protocol;FTP)服務(wù),利用神經(jīng)網(wǎng)絡(luò)建立異常監(jiān)測的入侵監(jiān)測系統(tǒng),其目的在于利用評估資料監(jiān)測的方式建立入侵監(jiān)測系統(tǒng),實現(xiàn)未知入侵行為的監(jiān)測,解決目前入侵監(jiān)測研究領(lǐng)域所遇到的問題[3]。
1 入侵監(jiān)測系統(tǒng)
1.1 入侵監(jiān)測系統(tǒng)簡介
針對入侵監(jiān)測系統(tǒng)的研究始于1980年,Jim將入侵定義為未經(jīng)授權(quán)而存取、操作、修改或破壞資料,或使電腦系統(tǒng)不穩(wěn)定,甚至無法使用的行為。而入侵監(jiān)測系統(tǒng)的目的是監(jiān)測上面提到的各種行為。大部分的入侵監(jiān)測系統(tǒng)是根據(jù)入侵特征建立的監(jiān)測規(guī)則專家系統(tǒng),對已知的攻擊辨識能力較佳。由于這類入侵監(jiān)測系統(tǒng)所建立的特征不具一般化,因此很難分辨新的入侵行為。
1.2 入侵監(jiān)測系統(tǒng)分類
近年來提出了許多不同的監(jiān)測模式系統(tǒng),用以應(yīng)對不同的系統(tǒng)行為,大致可分為模擬正常行為與異常行為兩種。入侵監(jiān)測技術(shù)分為濫用監(jiān)測:使用已知入侵攻擊模式判斷入侵行為;異常監(jiān)測:將建立的正常使用模式變異到一定程度時視為不正常的存取行為(甚至是入侵)。
對于濫用監(jiān)測系統(tǒng)。將具有入侵特征的動作加以編碼,然后與收集的檢查資料進行比對,以此方式發(fā)現(xiàn)入侵。其缺點是入侵特征均需編碼后進入系統(tǒng),面對未知的入侵攻擊時,無法監(jiān)測出來,這樣的系統(tǒng)稱為濫用監(jiān)測系統(tǒng)。
入侵監(jiān)測系統(tǒng)由早期的專家根據(jù)入侵特征建立系統(tǒng)監(jiān)測規(guī)則,逐漸發(fā)展成以統(tǒng)計方式建立模型,監(jiān)測使用行為與統(tǒng)計樣式差別過大的,即可判斷入侵方式。隨后進入以資料監(jiān)測方式為主流的監(jiān)測系統(tǒng),以提高檢測率及降低誤報率的目標(biāo)。
1.3 入侵監(jiān)測系統(tǒng)結(jié)構(gòu)
目前的入侵監(jiān)測系統(tǒng)實際上以資料和數(shù)據(jù)為主,對該系統(tǒng)整體結(jié)構(gòu)進行以下說明:
1)受監(jiān)測系統(tǒng)/感測器:入侵監(jiān)測系統(tǒng)的資料來源,也就是受到監(jiān)測的電腦主機。
2)審查資料收集:通過感測器收集審查資料。網(wǎng)絡(luò)封包表頭資料、網(wǎng)絡(luò)封包流量統(tǒng)計、使用者鍵入命令,使用者登錄資料等等,均為審查資料范圍。
3)監(jiān)測處理:通過各種算法,監(jiān)測收集所得到的資料,找到疑似入侵的行為,由上述觀點,監(jiān)測處理是系統(tǒng)最核心的部分,監(jiān)測入侵的準(zhǔn)確與否,取決于此,處理的方式則有異常與濫用兩種。
4)處理中資料:入侵監(jiān)測系統(tǒng)處理中的資料,如欲比對入侵模型,比對中的審查資料等。
1.4 檔案傳輸協(xié)定
本系統(tǒng)運行時,目的是為了對網(wǎng)絡(luò)入侵的監(jiān)測,欲監(jiān)測的入侵以FTP服務(wù)為主。選定FTP服務(wù)的原因,在于封包資料的可獲得性高、FTP命令可供判斷入侵行為、且其入侵形態(tài)多、容易看出監(jiān)測效果。
FTP是檔案傳輸協(xié)定的縮寫,在網(wǎng)絡(luò)環(huán)境下傳輸檔案,亦可將檔案通過網(wǎng)絡(luò)從某系統(tǒng)傳輸至另一系統(tǒng)。使用此項服務(wù)需設(shè)定登入服務(wù)的賬戶。這個檔案傳輸協(xié)定支持不同操作系統(tǒng)、不同檔案結(jié)構(gòu)主機,以ASCII編碼傳送或接收。FTP使用控制連線和資料連線兩個TCP連線來傳輸文檔。除了FTP命令外,該服務(wù)的網(wǎng)絡(luò)封包表頭亦為資料來源,這些資料經(jīng)整理處理后,用以建立入侵監(jiān)測模型。
1.5 神經(jīng)網(wǎng)絡(luò)
神經(jīng)網(wǎng)絡(luò)的目標(biāo)是以計算系統(tǒng)模擬最簡單的生物神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)。整個計算系統(tǒng)由多個高度連接的處理單元構(gòu)成,以此連接網(wǎng)絡(luò)間的訓(xùn)練學(xué)習(xí),并處理外部輸入數(shù)據(jù)。如果將神經(jīng)網(wǎng)絡(luò)視為黑盒子,則此盒子由多個節(jié)點連接而成,一般可分為3層:輸入層、隱藏層及輸出層。
訓(xùn)練過程中輸入訓(xùn)練參數(shù)集,然后根據(jù)不同算法調(diào)整權(quán)重及偏權(quán)值,最后讓神經(jīng)網(wǎng)絡(luò)可以映射輸入與輸出間的關(guān)系模式;模擬過程以測試數(shù)據(jù)集輸入并進行訓(xùn)練后所得的神經(jīng)網(wǎng)絡(luò)值為準(zhǔn)。
2 系統(tǒng)結(jié)構(gòu)原理
在整個系統(tǒng)主要由以下幾個部分組成,包括人工異常資料產(chǎn)生器,特征選取器,模型訓(xùn)練器及模型評估器。人工異常資料產(chǎn)生器主要功能為產(chǎn)生與輸入資料不同的輸出資料,在異常監(jiān)測概念中,任何與正常資料不同的資料均視為異常資料。因為FTP的封包資料很難完全收集,因此,異常資料產(chǎn)生器需根據(jù)正常資料人工產(chǎn)生異常資料。特征選取器針對FTP服務(wù)器端的封包資料,選具有代表性與辨別性的特征,根據(jù)選取的特征隨機產(chǎn)生人工異常資料至此系統(tǒng)資料前處理結(jié)束。模型訓(xùn)練器首先選擇一部分資料作為訓(xùn)練資料,一部分為測試資料。模型訓(xùn)練器當(dāng)模型訓(xùn)練完成后,可使用測試資料集來評估分類模型的正確性。
3 系統(tǒng)運行機理
系統(tǒng)的運行部分包括:輸入資料、資料編碼方式、人工異常資料產(chǎn)生、特征選取方式,下面對各部分進行詳細介紹。
3.1 輸入資料
由于檔案傳輸協(xié)定(FTP)服務(wù)的攻擊行為多屬于網(wǎng)絡(luò)形式的攻擊,因此輸入資料應(yīng)該選擇與網(wǎng)絡(luò)相關(guān)的特征,以有效分辨攻擊與非攻擊行為。初步選取的特征如下所示,數(shù)字代表資料編碼后產(chǎn)生的特征個數(shù)。
1)連接方式(1):連線方向“1”表示連接至FTP服務(wù)器,“0”表示服務(wù)器向外連線。
2)響應(yīng)編碼(5):FTP響應(yīng)為3個ASCII數(shù)字,第一個代表響應(yīng)狀態(tài),第二個代表錯誤種類,第三個為更進一步錯誤信息。
3)出現(xiàn)次數(shù)最多的字符(3):統(tǒng)計封包資料中出現(xiàn)次數(shù)最多的字符作為特征輸入。
4)數(shù)據(jù)長度(3):正常的FTP封包資料部分長度一般較短,較長的可能為異常封包資料。
3.2 資料編碼方式
1)連接方式(1):連線方向“1”表示連接至FTP服務(wù)器,“0”表示服務(wù)器向外連線。
2)響應(yīng)編碼(5):以5個輸入點來表示響應(yīng)碼的第一個數(shù)字,轉(zhuǎn)換方式如下:00001:1;00010:2;00100:3;01000:4;10000:5;00000:以上皆非時。
3)出現(xiàn)次數(shù)最多的字符(3):根據(jù)封包資料字符出現(xiàn)次數(shù)最多的字符,以3個輸入節(jié)點表示輸入資料,編碼如下:001:1≤x≤5;011:6≤x≤10 ;111:x>10;000:以上皆非時。
4)數(shù)據(jù)長度(3):以3個節(jié)點表示封包的資料長度,其轉(zhuǎn)換方式如下:001:1≤x≤48;011:49≤x≤96 ;111:x>96;000:以上皆非時。
4 結(jié)論
通過FTP服務(wù)收集的審查資料,以神經(jīng)網(wǎng)絡(luò)訓(xùn)練的入侵監(jiān)測模型,驗證了資料監(jiān)測方式監(jiān)測入侵問題的可行性。資料監(jiān)測方式實際應(yīng)用于入侵監(jiān)測時仍存在問題需要解決,最明顯的就是處理速度,網(wǎng)絡(luò)傳輸封包資料數(shù)量可能相當(dāng)大,除收集審查資料外,還需對收集資料做前處理,并且以入侵監(jiān)測算法來監(jiān)測是否入侵,達到實時處理的要求。
參考文獻
[1]潘連根.數(shù)字檔案館研究[M].北京:中國檔案出版社,2005.
[2]丁海斌,等.電子文件管理基礎(chǔ)[M].北京:中國檔案出版社,2007.
[3]錢毅.中國電子文件管理標(biāo)準(zhǔn)體系現(xiàn)狀與實施戰(zhàn)略[J].檔案學(xué)通訊,2009(6):10-12.