趙雅紅

摘 要 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，各種網(wǎng)絡(luò)攻擊行為也越來越多，使得入侵監(jiān)測(cè)系統(tǒng)的重要性大幅提高。本文針對(duì)檔案?jìng)鬏攨f(xié)定服務(wù)，通過神經(jīng)網(wǎng)絡(luò)建立異常監(jiān)測(cè)的入侵監(jiān)測(cè)系統(tǒng)，用于評(píng)估根據(jù)資料監(jiān)測(cè)方式建立的入侵監(jiān)測(cè)系統(tǒng)的可行性，并根據(jù)此方式監(jiān)測(cè)未知的入侵行為。

關(guān)鍵詞 入侵監(jiān)測(cè)系統(tǒng)；異常監(jiān)測(cè)；神經(jīng)網(wǎng)絡(luò)；資料監(jiān)測(cè)；人工異常

中圖分類號(hào) TP3 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2016）172-0076-02

隨著互聯(lián)網(wǎng)系統(tǒng)的發(fā)展，使得系統(tǒng)隨時(shí)可能受到來自網(wǎng)絡(luò)的入侵，因此，如何保護(hù)系統(tǒng)與資料安全一直是一個(gè)重要的研究課題。近年來，由于資料監(jiān)測(cè)技術(shù)的發(fā)展，將該技術(shù)應(yīng)用于入侵監(jiān)測(cè)領(lǐng)域，利用事先收集到的資料訓(xùn)練出一個(gè)較為一般化的模型，再以該模型針對(duì)即時(shí)資料進(jìn)行是否入侵的判斷。用來改變現(xiàn)行入侵監(jiān)測(cè)系統(tǒng)使用有限的監(jiān)測(cè)規(guī)則來判斷入侵跡象，而無法監(jiān)測(cè)未出現(xiàn)過入侵現(xiàn)行的缺點(diǎn)[1，2]。

本文針對(duì)檔案?jìng)鬏攨f(xié)定（File Transfer Protocol；FTP）服務(wù)，利用神經(jīng)網(wǎng)絡(luò)建立異常監(jiān)測(cè)的入侵監(jiān)測(cè)系統(tǒng)，其目的在于利用評(píng)估資料監(jiān)測(cè)的方式建立入侵監(jiān)測(cè)系統(tǒng)，實(shí)現(xiàn)未知入侵行為的監(jiān)測(cè)，解決目前入侵監(jiān)測(cè)研究領(lǐng)域所遇到的問題[3]。

1 入侵監(jiān)測(cè)系統(tǒng)

1.1 入侵監(jiān)測(cè)系統(tǒng)簡(jiǎn)介

針對(duì)入侵監(jiān)測(cè)系統(tǒng)的研究始于1980年，Jim將入侵定義為未經(jīng)授權(quán)而存取、操作、修改或破壞資料，或使電腦系統(tǒng)不穩(wěn)定，甚至無法使用的行為。而入侵監(jiān)測(cè)系統(tǒng)的目的是監(jiān)測(cè)上面提到的各種行為。大部分的入侵監(jiān)測(cè)系統(tǒng)是根據(jù)入侵特征建立的監(jiān)測(cè)規(guī)則專家系統(tǒng)，對(duì)已知的攻擊辨識(shí)能力較佳。由于這類入侵監(jiān)測(cè)系統(tǒng)所建立的特征不具一般化，因此很難分辨新的入侵行為。

1.2 入侵監(jiān)測(cè)系統(tǒng)分類

近年來提出了許多不同的監(jiān)測(cè)模式系統(tǒng)，用以應(yīng)對(duì)不同的系統(tǒng)行為，大致可分為模擬正常行為與異常行為兩種。入侵監(jiān)測(cè)技術(shù)分為濫用監(jiān)測(cè)：使用已知入侵攻擊模式判斷入侵行為；異常監(jiān)測(cè)：將建立的正常使用模式變異到一定程度時(shí)視為不正常的存取行為（甚至是入侵）。

對(duì)于濫用監(jiān)測(cè)系統(tǒng)。將具有入侵特征的動(dòng)作加以編碼，然后與收集的檢查資料進(jìn)行比對(duì)，以此方式發(fā)現(xiàn)入侵。其缺點(diǎn)是入侵特征均需編碼后進(jìn)入系統(tǒng)，面對(duì)未知的入侵攻擊時(shí)，無法監(jiān)測(cè)出來，這樣的系統(tǒng)稱為濫用監(jiān)測(cè)系統(tǒng)。

入侵監(jiān)測(cè)系統(tǒng)由早期的專家根據(jù)入侵特征建立系統(tǒng)監(jiān)測(cè)規(guī)則，逐漸發(fā)展成以統(tǒng)計(jì)方式建立模型，監(jiān)測(cè)使用行為與統(tǒng)計(jì)樣式差別過大的，即可判斷入侵方式。隨后進(jìn)入以資料監(jiān)測(cè)方式為主流的監(jiān)測(cè)系統(tǒng)，以提高檢測(cè)率及降低誤報(bào)率的目標(biāo)。

1.3 入侵監(jiān)測(cè)系統(tǒng)結(jié)構(gòu)

目前的入侵監(jiān)測(cè)系統(tǒng)實(shí)際上以資料和數(shù)據(jù)為主，對(duì)該系統(tǒng)整體結(jié)構(gòu)進(jìn)行以下說明：

1）受監(jiān)測(cè)系統(tǒng)/感測(cè)器：入侵監(jiān)測(cè)系統(tǒng)的資料來源，也就是受到監(jiān)測(cè)的電腦主機(jī)。

2）審查資料收集：通過感測(cè)器收集審查資料。網(wǎng)絡(luò)封包表頭資料、網(wǎng)絡(luò)封包流量統(tǒng)計(jì)、使用者鍵入命令，使用者登錄資料等等，均為審查資料范圍。

3）監(jiān)測(cè)處理：通過各種算法，監(jiān)測(cè)收集所得到的資料，找到疑似入侵的行為，由上述觀點(diǎn)，監(jiān)測(cè)處理是系統(tǒng)最核心的部分，監(jiān)測(cè)入侵的準(zhǔn)確與否，取決于此，處理的方式則有異常與濫用兩種。

4）處理中資料：入侵監(jiān)測(cè)系統(tǒng)處理中的資料，如欲比對(duì)入侵模型，比對(duì)中的審查資料等。

1.4 檔案?jìng)鬏攨f(xié)定

本系統(tǒng)運(yùn)行時(shí)，目的是為了對(duì)網(wǎng)絡(luò)入侵的監(jiān)測(cè)，欲監(jiān)測(cè)的入侵以FTP服務(wù)為主。選定FTP服務(wù)的原因，在于封包資料的可獲得性高、FTP命令可供判斷入侵行為、且其入侵形態(tài)多、容易看出監(jiān)測(cè)效果。

FTP是檔案?jìng)鬏攨f(xié)定的縮寫，在網(wǎng)絡(luò)環(huán)境下傳輸檔案，亦可將檔案通過網(wǎng)絡(luò)從某系統(tǒng)傳輸至另一系統(tǒng)。使用此項(xiàng)服務(wù)需設(shè)定登入服務(wù)的賬戶。這個(gè)檔案?jìng)鬏攨f(xié)定支持不同操作系統(tǒng)、不同檔案結(jié)構(gòu)主機(jī)，以ASCII編碼傳送或接收。FTP使用控制連線和資料連線兩個(gè)TCP連線來傳輸文檔。除了FTP命令外，該服務(wù)的網(wǎng)絡(luò)封包表頭亦為資料來源，這些資料經(jīng)整理處理后，用以建立入侵監(jiān)測(cè)模型。

1.5 神經(jīng)網(wǎng)絡(luò)

神經(jīng)網(wǎng)絡(luò)的目標(biāo)是以計(jì)算系統(tǒng)模擬最簡(jiǎn)單的生物神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)。整個(gè)計(jì)算系統(tǒng)由多個(gè)高度連接的處理單元構(gòu)成，以此連接網(wǎng)絡(luò)間的訓(xùn)練學(xué)習(xí)，并處理外部輸入數(shù)據(jù)。如果將神經(jīng)網(wǎng)絡(luò)視為黑盒子，則此盒子由多個(gè)節(jié)點(diǎn)連接而成，一般可分為3層：輸入層、隱藏層及輸出層。

訓(xùn)練過程中輸入訓(xùn)練參數(shù)集，然后根據(jù)不同算法調(diào)整權(quán)重及偏權(quán)值，最后讓神經(jīng)網(wǎng)絡(luò)可以映射輸入與輸出間的關(guān)系模式；模擬過程以測(cè)試數(shù)據(jù)集輸入并進(jìn)行訓(xùn)練后所得的神經(jīng)網(wǎng)絡(luò)值為準(zhǔn)。

2 系統(tǒng)結(jié)構(gòu)原理

在整個(gè)系統(tǒng)主要由以下幾個(gè)部分組成，包括人工異常資料產(chǎn)生器，特征選取器，模型訓(xùn)練器及模型評(píng)估器。人工異常資料產(chǎn)生器主要功能為產(chǎn)生與輸入資料不同的輸出資料，在異常監(jiān)測(cè)概念中，任何與正常資料不同的資料均視為異常資料。因?yàn)镕TP的封包資料很難完全收集，因此，異常資料產(chǎn)生器需根據(jù)正常資料人工產(chǎn)生異常資料。特征選取器針對(duì)FTP服務(wù)器端的封包資料，選具有代表性與辨別性的特征，根據(jù)選取的特征隨機(jī)產(chǎn)生人工異常資料至此系統(tǒng)資料前處理結(jié)束。模型訓(xùn)練器首先選擇一部分資料作為訓(xùn)練資料，一部分為測(cè)試資料。模型訓(xùn)練器當(dāng)模型訓(xùn)練完成后，可使用測(cè)試資料集來評(píng)估分類模型的正確性。

3 系統(tǒng)運(yùn)行機(jī)理

系統(tǒng)的運(yùn)行部分包括：輸入資料、資料編碼方式、人工異常資料產(chǎn)生、特征選取方式，下面對(duì)各部分進(jìn)行詳細(xì)介紹。

3.1 輸入資料

由于檔案?jìng)鬏攨f(xié)定（FTP）服務(wù)的攻擊行為多屬于網(wǎng)絡(luò)形式的攻擊，因此輸入資料應(yīng)該選擇與網(wǎng)絡(luò)相關(guān)的特征，以有效分辨攻擊與非攻擊行為。初步選取的特征如下所示，數(shù)字代表資料編碼后產(chǎn)生的特征個(gè)數(shù)。

1）連接方式（1）：連線方向“1”表示連接至FTP服務(wù)器，“0”表示服務(wù)器向外連線。

2）響應(yīng)編碼（5）：FTP響應(yīng)為3個(gè)ASCII數(shù)字，第一個(gè)代表響應(yīng)狀態(tài)，第二個(gè)代表錯(cuò)誤種類，第三個(gè)為更進(jìn)一步錯(cuò)誤信息。

3）出現(xiàn)次數(shù)最多的字符（3）：統(tǒng)計(jì)封包資料中出現(xiàn)次數(shù)最多的字符作為特征輸入。

4）數(shù)據(jù)長(zhǎng)度（3）：正常的FTP封包資料部分長(zhǎng)度一般較短，較長(zhǎng)的可能為異常封包資料。

3.2 資料編碼方式

1）連接方式（1）：連線方向“1”表示連接至FTP服務(wù)器，“0”表示服務(wù)器向外連線。

2）響應(yīng)編碼（5）：以5個(gè)輸入點(diǎn)來表示響應(yīng)碼的第一個(gè)數(shù)字，轉(zhuǎn)換方式如下：00001：1；00010：2；00100：3；01000：4；10000：5；00000：以上皆非時(shí)。

3）出現(xiàn)次數(shù)最多的字符（3）：根據(jù)封包資料字符出現(xiàn)次數(shù)最多的字符，以3個(gè)輸入節(jié)點(diǎn)表示輸入資料，編碼如下：001：1≤x≤5；011：6≤x≤10 ；111：x>10；000：以上皆非時(shí)。

4）數(shù)據(jù)長(zhǎng)度（3）：以3個(gè)節(jié)點(diǎn)表示封包的資料長(zhǎng)度，其轉(zhuǎn)換方式如下：001：1≤x≤48；011：49≤x≤96 ；111：x>96；000：以上皆非時(shí)。

4 結(jié)論

通過FTP服務(wù)收集的審查資料，以神經(jīng)網(wǎng)絡(luò)訓(xùn)練的入侵監(jiān)測(cè)模型，驗(yàn)證了資料監(jiān)測(cè)方式監(jiān)測(cè)入侵問題的可行性。資料監(jiān)測(cè)方式實(shí)際應(yīng)用于入侵監(jiān)測(cè)時(shí)仍存在問題需要解決，最明顯的就是處理速度，網(wǎng)絡(luò)傳輸封包資料數(shù)量可能相當(dāng)大，除收集審查資料外，還需對(duì)收集資料做前處理，并且以入侵監(jiān)測(cè)算法來監(jiān)測(cè)是否入侵，達(dá)到實(shí)時(shí)處理的要求。

參考文獻(xiàn)

[1]潘連根.數(shù)字檔案館研究[M].北京：中國(guó)檔案出版社，2005.

[2]丁海斌，等.電子文件管理基礎(chǔ)[M].北京：中國(guó)檔案出版社，2007.

[3]錢毅.中國(guó)電子文件管理標(biāo)準(zhǔn)體系現(xiàn)狀與實(shí)施戰(zhàn)略[J].檔案學(xué)通訊，2009（6）：10-12.