基于神經網絡的入侵監測原理及其在檔案傳輸協定中的應用

趙雅紅

摘 要 隨著網絡技術的發展，各種網絡攻擊行為也越來越多，使得入侵監測系統的重要性大幅提高。本文針對檔案傳輸協定服務，通過神經網絡建立異常監測的入侵監測系統，用于評估根據資料監測方式建立的入侵監測系統的可行性，并根據此方式監測未知的入侵行為。

關鍵詞 入侵監測系統；異常監測；神經網絡；資料監測；人工異常

中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708（2016）172-0076-02

隨著互聯網系統的發展，使得系統隨時可能受到來自網絡的入侵，因此，如何保護系統與資料安全一直是一個重要的研究課題。近年來，由于資料監測技術的發展，將該技術應用于入侵監測領域，利用事先收集到的資料訓練出一個較為一般化的模型，再以該模型針對即時資料進行是否入侵的判斷。用來改變現行入侵監測系統使用有限的監測規則來判斷入侵跡象，而無法監測未出現過入侵現行的缺點[1，2]。

本文針對檔案傳輸協定（File Transfer Protocol；FTP）服務，利用神經網絡建立異常監測的入侵監測系統，其目的在于利用評估資料監測的方式建立入侵監測系統，實現未知入侵行為的監測，解決目前入侵監測研究領域所遇到的問題[3]。

1 入侵監測系統

1.1 入侵監測系統簡介

針對入侵監測系統的研究始于1980年，Jim將入侵定義為未經授權而存取、操作、修改或破壞資料，或使電腦系統不穩定，甚至無法使用的行為。而入侵監測系統的目的是監測上面提到的各種行為。大部分的入侵監測系統是根據入侵特征建立的監測規則專家系統，對已知的攻擊辨識能力較佳。由于這類入侵監測系統所建立的特征不具一般化，因此很難分辨新的入侵行為。

1.2 入侵監測系統分類

近年來提出了許多不同的監測模式系統，用以應對不同的系統行為，大致可分為模擬正常行為與異常行為兩種。入侵監測技術分為濫用監測：使用已知入侵攻擊模式判斷入侵行為；異常監測：將建立的正常使用模式變異到一定程度時視為不正常的存取行為（甚至是入侵）。

對于濫用監測系統。將具有入侵特征的動作加以編碼，然后與收集的檢查資料進行比對，以此方式發現入侵。其缺點是入侵特征均需編碼后進入系統，面對未知的入侵攻擊時，無法監測出來，這樣的系統稱為濫用監測系統。

入侵監測系統由早期的專家根據入侵特征建立系統監測規則，逐漸發展成以統計方式建立模型，監測使用行為與統計樣式差別過大的，即可判斷入侵方式。隨后進入以資料監測方式為主流的監測系統，以提高檢測率及降低誤報率的目標。

1.3 入侵監測系統結構

目前的入侵監測系統實際上以資料和數據為主，對該系統整體結構進行以下說明：

1）受監測系統/感測器：入侵監測系統的資料來源，也就是受到監測的電腦主機。

2）審查資料收集：通過感測器收集審查資料。網絡封包表頭資料、網絡封包流量統計、使用者鍵入命令，使用者登錄資料等等，均為審查資料范圍。

3）監測處理：通過各種算法，監測收集所得到的資料，找到疑似入侵的行為，由上述觀點，監測處理是系統最核心的部分，監測入侵的準確與否，取決于此，處理的方式則有異常與濫用兩種。

4）處理中資料：入侵監測系統處理中的資料，如欲比對入侵模型，比對中的審查資料等。

1.4 檔案傳輸協定

本系統運行時，目的是為了對網絡入侵的監測，欲監測的入侵以FTP服務為主。選定FTP服務的原因，在于封包資料的可獲得性高、FTP命令可供判斷入侵行為、且其入侵形態多、容易看出監測效果。

FTP是檔案傳輸協定的縮寫，在網絡環境下傳輸檔案，亦可將檔案通過網絡從某系統傳輸至另一系統。使用此項服務需設定登入服務的賬戶。這個檔案傳輸協定支持不同操作系統、不同檔案結構主機，以ASCII編碼傳送或接收。FTP使用控制連線和資料連線兩個TCP連線來傳輸文檔。除了FTP命令外，該服務的網絡封包表頭亦為資料來源，這些資料經整理處理后，用以建立入侵監測模型。

1.5 神經網絡

神經網絡的目標是以計算系統模擬最簡單的生物神經網絡結構。整個計算系統由多個高度連接的處理單元構成，以此連接網絡間的訓練學習，并處理外部輸入數據。如果將神經網絡視為黑盒子，則此盒子由多個節點連接而成，一般可分為3層：輸入層、隱藏層及輸出層。

訓練過程中輸入訓練參數集，然后根據不同算法調整權重及偏權值，最后讓神經網絡可以映射輸入與輸出間的關系模式；模擬過程以測試數據集輸入并進行訓練后所得的神經網絡值為準。

2 系統結構原理

在整個系統主要由以下幾個部分組成，包括人工異常資料產生器，特征選取器，模型訓練器及模型評估器。人工異常資料產生器主要功能為產生與輸入資料不同的輸出資料，在異常監測概念中，任何與正常資料不同的資料均視為異常資料。因為FTP的封包資料很難完全收集，因此，異常資料產生器需根據正常資料人工產生異常資料。特征選取器針對FTP服務器端的封包資料，選具有代表性與辨別性的特征，根據選取的特征隨機產生人工異常資料至此系統資料前處理結束。模型訓練器首先選擇一部分資料作為訓練資料，一部分為測試資料。模型訓練器當模型訓練完成后，可使用測試資料集來評估分類模型的正確性。

3 系統運行機理

系統的運行部分包括：輸入資料、資料編碼方式、人工異常資料產生、特征選取方式，下面對各部分進行詳細介紹。

3.1 輸入資料

由于檔案傳輸協定（FTP）服務的攻擊行為多屬于網絡形式的攻擊，因此輸入資料應該選擇與網絡相關的特征，以有效分辨攻擊與非攻擊行為。初步選取的特征如下所示，數字代表資料編碼后產生的特征個數。

1）連接方式（1）：連線方向“1”表示連接至FTP服務器，“0”表示服務器向外連線。

2）響應編碼（5）：FTP響應為3個ASCII數字，第一個代表響應狀態，第二個代表錯誤種類，第三個為更進一步錯誤信息。

3）出現次數最多的字符（3）：統計封包資料中出現次數最多的字符作為特征輸入。

4）數據長度（3）：正常的FTP封包資料部分長度一般較短，較長的可能為異常封包資料。

3.2 資料編碼方式

1）連接方式（1）：連線方向“1”表示連接至FTP服務器，“0”表示服務器向外連線。

2）響應編碼（5）：以5個輸入點來表示響應碼的第一個數字，轉換方式如下：00001：1；00010：2；00100：3；01000：4；10000：5；00000：以上皆非時。

3）出現次數最多的字符（3）：根據封包資料字符出現次數最多的字符，以3個輸入節點表示輸入資料，編碼如下：001：1≤x≤5；011：6≤x≤10 ；111：x>10；000：以上皆非時。

4）數據長度（3）：以3個節點表示封包的資料長度，其轉換方式如下：001：1≤x≤48；011：49≤x≤96 ；111：x>96；000：以上皆非時。

4 結論

通過FTP服務收集的審查資料，以神經網絡訓練的入侵監測模型，驗證了資料監測方式監測入侵問題的可行性。資料監測方式實際應用于入侵監測時仍存在問題需要解決，最明顯的就是處理速度，網絡傳輸封包資料數量可能相當大，除收集審查資料外，還需對收集資料做前處理，并且以入侵監測算法來監測是否入侵，達到實時處理的要求。

參考文獻

[1]潘連根.數字檔案館研究[M].北京：中國檔案出版社，2005.

[2]丁海斌，等.電子文件管理基礎[M].北京：中國檔案出版社，2007.

[3]錢毅.中國電子文件管理標準體系現狀與實施戰略[J].檔案學通訊，2009（6）：10-12.