基于神經(jīng)網(wǎng)絡(luò)的入侵監(jiān)測原理及其在檔案傳輸協(xié)定中的應(yīng)用

趙雅紅

摘 要 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，各種網(wǎng)絡(luò)攻擊行為也越來越多，使得入侵監(jiān)測系統(tǒng)的重要性大幅提高。本文針對檔案傳輸協(xié)定服務(wù)，通過神經(jīng)網(wǎng)絡(luò)建立異常監(jiān)測的入侵監(jiān)測系統(tǒng)，用于評估根據(jù)資料監(jiān)測方式建立的入侵監(jiān)測系統(tǒng)的可行性，并根據(jù)此方式監(jiān)測未知的入侵行為。

關(guān)鍵詞 入侵監(jiān)測系統(tǒng)；異常監(jiān)測；神經(jīng)網(wǎng)絡(luò)；資料監(jiān)測；人工異常

中圖分類號 TP3 文獻標(biāo)識碼 A 文章編號 1674-6708（2016）172-0076-02

隨著互聯(lián)網(wǎng)系統(tǒng)的發(fā)展，使得系統(tǒng)隨時可能受到來自網(wǎng)絡(luò)的入侵，因此，如何保護系統(tǒng)與資料安全一直是一個重要的研究課題。近年來，由于資料監(jiān)測技術(shù)的發(fā)展，將該技術(shù)應(yīng)用于入侵監(jiān)測領(lǐng)域，利用事先收集到的資料訓(xùn)練出一個較為一般化的模型，再以該模型針對即時資料進行是否入侵的判斷。用來改變現(xiàn)行入侵監(jiān)測系統(tǒng)使用有限的監(jiān)測規(guī)則來判斷入侵跡象，而無法監(jiān)測未出現(xiàn)過入侵現(xiàn)行的缺點[1，2]。

本文針對檔案傳輸協(xié)定（File Transfer Protocol；FTP）服務(wù)，利用神經(jīng)網(wǎng)絡(luò)建立異常監(jiān)測的入侵監(jiān)測系統(tǒng)，其目的在于利用評估資料監(jiān)測的方式建立入侵監(jiān)測系統(tǒng)，實現(xiàn)未知入侵行為的監(jiān)測，解決目前入侵監(jiān)測研究領(lǐng)域所遇到的問題[3]。

1 入侵監(jiān)測系統(tǒng)

1.1 入侵監(jiān)測系統(tǒng)簡介

針對入侵監(jiān)測系統(tǒng)的研究始于1980年，Jim將入侵定義為未經(jīng)授權(quán)而存取、操作、修改或破壞資料，或使電腦系統(tǒng)不穩(wěn)定，甚至無法使用的行為。而入侵監(jiān)測系統(tǒng)的目的是監(jiān)測上面提到的各種行為。大部分的入侵監(jiān)測系統(tǒng)是根據(jù)入侵特征建立的監(jiān)測規(guī)則專家系統(tǒng)，對已知的攻擊辨識能力較佳。由于這類入侵監(jiān)測系統(tǒng)所建立的特征不具一般化，因此很難分辨新的入侵行為。

1.2 入侵監(jiān)測系統(tǒng)分類

近年來提出了許多不同的監(jiān)測模式系統(tǒng)，用以應(yīng)對不同的系統(tǒng)行為，大致可分為模擬正常行為與異常行為兩種。入侵監(jiān)測技術(shù)分為濫用監(jiān)測：使用已知入侵攻擊模式判斷入侵行為；異常監(jiān)測：將建立的正常使用模式變異到一定程度時視為不正常的存取行為（甚至是入侵）。

對于濫用監(jiān)測系統(tǒng)。將具有入侵特征的動作加以編碼，然后與收集的檢查資料進行比對，以此方式發(fā)現(xiàn)入侵。其缺點是入侵特征均需編碼后進入系統(tǒng)，面對未知的入侵攻擊時，無法監(jiān)測出來，這樣的系統(tǒng)稱為濫用監(jiān)測系統(tǒng)。

入侵監(jiān)測系統(tǒng)由早期的專家根據(jù)入侵特征建立系統(tǒng)監(jiān)測規(guī)則，逐漸發(fā)展成以統(tǒng)計方式建立模型，監(jiān)測使用行為與統(tǒng)計樣式差別過大的，即可判斷入侵方式。隨后進入以資料監(jiān)測方式為主流的監(jiān)測系統(tǒng)，以提高檢測率及降低誤報率的目標(biāo)。

1.3 入侵監(jiān)測系統(tǒng)結(jié)構(gòu)

目前的入侵監(jiān)測系統(tǒng)實際上以資料和數(shù)據(jù)為主，對該系統(tǒng)整體結(jié)構(gòu)進行以下說明：

1）受監(jiān)測系統(tǒng)/感測器：入侵監(jiān)測系統(tǒng)的資料來源，也就是受到監(jiān)測的電腦主機。

2）審查資料收集：通過感測器收集審查資料。網(wǎng)絡(luò)封包表頭資料、網(wǎng)絡(luò)封包流量統(tǒng)計、使用者鍵入命令，使用者登錄資料等等，均為審查資料范圍。

3）監(jiān)測處理：通過各種算法，監(jiān)測收集所得到的資料，找到疑似入侵的行為，由上述觀點，監(jiān)測處理是系統(tǒng)最核心的部分，監(jiān)測入侵的準(zhǔn)確與否，取決于此，處理的方式則有異常與濫用兩種。

4）處理中資料：入侵監(jiān)測系統(tǒng)處理中的資料，如欲比對入侵模型，比對中的審查資料等。

1.4 檔案傳輸協(xié)定

本系統(tǒng)運行時，目的是為了對網(wǎng)絡(luò)入侵的監(jiān)測，欲監(jiān)測的入侵以FTP服務(wù)為主。選定FTP服務(wù)的原因，在于封包資料的可獲得性高、FTP命令可供判斷入侵行為、且其入侵形態(tài)多、容易看出監(jiān)測效果。

FTP是檔案傳輸協(xié)定的縮寫，在網(wǎng)絡(luò)環(huán)境下傳輸檔案，亦可將檔案通過網(wǎng)絡(luò)從某系統(tǒng)傳輸至另一系統(tǒng)。使用此項服務(wù)需設(shè)定登入服務(wù)的賬戶。這個檔案傳輸協(xié)定支持不同操作系統(tǒng)、不同檔案結(jié)構(gòu)主機，以ASCII編碼傳送或接收。FTP使用控制連線和資料連線兩個TCP連線來傳輸文檔。除了FTP命令外，該服務(wù)的網(wǎng)絡(luò)封包表頭亦為資料來源，這些資料經(jīng)整理處理后，用以建立入侵監(jiān)測模型。

1.5 神經(jīng)網(wǎng)絡(luò)

神經(jīng)網(wǎng)絡(luò)的目標(biāo)是以計算系統(tǒng)模擬最簡單的生物神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)。整個計算系統(tǒng)由多個高度連接的處理單元構(gòu)成，以此連接網(wǎng)絡(luò)間的訓(xùn)練學(xué)習(xí)，并處理外部輸入數(shù)據(jù)。如果將神經(jīng)網(wǎng)絡(luò)視為黑盒子，則此盒子由多個節(jié)點連接而成，一般可分為3層：輸入層、隱藏層及輸出層。

訓(xùn)練過程中輸入訓(xùn)練參數(shù)集，然后根據(jù)不同算法調(diào)整權(quán)重及偏權(quán)值，最后讓神經(jīng)網(wǎng)絡(luò)可以映射輸入與輸出間的關(guān)系模式；模擬過程以測試數(shù)據(jù)集輸入并進行訓(xùn)練后所得的神經(jīng)網(wǎng)絡(luò)值為準(zhǔn)。

2 系統(tǒng)結(jié)構(gòu)原理

在整個系統(tǒng)主要由以下幾個部分組成，包括人工異常資料產(chǎn)生器，特征選取器，模型訓(xùn)練器及模型評估器。人工異常資料產(chǎn)生器主要功能為產(chǎn)生與輸入資料不同的輸出資料，在異常監(jiān)測概念中，任何與正常資料不同的資料均視為異常資料。因為FTP的封包資料很難完全收集，因此，異常資料產(chǎn)生器需根據(jù)正常資料人工產(chǎn)生異常資料。特征選取器針對FTP服務(wù)器端的封包資料，選具有代表性與辨別性的特征，根據(jù)選取的特征隨機產(chǎn)生人工異常資料至此系統(tǒng)資料前處理結(jié)束。模型訓(xùn)練器首先選擇一部分資料作為訓(xùn)練資料，一部分為測試資料。模型訓(xùn)練器當(dāng)模型訓(xùn)練完成后，可使用測試資料集來評估分類模型的正確性。

3 系統(tǒng)運行機理

系統(tǒng)的運行部分包括：輸入資料、資料編碼方式、人工異常資料產(chǎn)生、特征選取方式，下面對各部分進行詳細介紹。

3.1 輸入資料

由于檔案傳輸協(xié)定（FTP）服務(wù)的攻擊行為多屬于網(wǎng)絡(luò)形式的攻擊，因此輸入資料應(yīng)該選擇與網(wǎng)絡(luò)相關(guān)的特征，以有效分辨攻擊與非攻擊行為。初步選取的特征如下所示，數(shù)字代表資料編碼后產(chǎn)生的特征個數(shù)。

1）連接方式（1）：連線方向“1”表示連接至FTP服務(wù)器，“0”表示服務(wù)器向外連線。

2）響應(yīng)編碼（5）：FTP響應(yīng)為3個ASCII數(shù)字，第一個代表響應(yīng)狀態(tài)，第二個代表錯誤種類，第三個為更進一步錯誤信息。

3）出現(xiàn)次數(shù)最多的字符（3）：統(tǒng)計封包資料中出現(xiàn)次數(shù)最多的字符作為特征輸入。

4）數(shù)據(jù)長度（3）：正常的FTP封包資料部分長度一般較短，較長的可能為異常封包資料。

3.2 資料編碼方式

1）連接方式（1）：連線方向“1”表示連接至FTP服務(wù)器，“0”表示服務(wù)器向外連線。

2）響應(yīng)編碼（5）：以5個輸入點來表示響應(yīng)碼的第一個數(shù)字，轉(zhuǎn)換方式如下：00001：1；00010：2；00100：3；01000：4；10000：5；00000：以上皆非時。

3）出現(xiàn)次數(shù)最多的字符（3）：根據(jù)封包資料字符出現(xiàn)次數(shù)最多的字符，以3個輸入節(jié)點表示輸入資料，編碼如下：001：1≤x≤5；011：6≤x≤10 ；111：x>10；000：以上皆非時。

4）數(shù)據(jù)長度（3）：以3個節(jié)點表示封包的資料長度，其轉(zhuǎn)換方式如下：001：1≤x≤48；011：49≤x≤96 ；111：x>96；000：以上皆非時。

4 結(jié)論

通過FTP服務(wù)收集的審查資料，以神經(jīng)網(wǎng)絡(luò)訓(xùn)練的入侵監(jiān)測模型，驗證了資料監(jiān)測方式監(jiān)測入侵問題的可行性。資料監(jiān)測方式實際應(yīng)用于入侵監(jiān)測時仍存在問題需要解決，最明顯的就是處理速度，網(wǎng)絡(luò)傳輸封包資料數(shù)量可能相當(dāng)大，除收集審查資料外，還需對收集資料做前處理，并且以入侵監(jiān)測算法來監(jiān)測是否入侵，達到實時處理的要求。

參考文獻

[1]潘連根.數(shù)字檔案館研究[M].北京：中國檔案出版社，2005.

[2]丁海斌，等.電子文件管理基礎(chǔ)[M].北京：中國檔案出版社，2007.

[3]錢毅.中國電子文件管理標(biāo)準(zhǔn)體系現(xiàn)狀與實施戰(zhàn)略[J].檔案學(xué)通訊，2009（6）：10-12.