基于神经网络的入侵监测原理及其在档案传输协定中的应用

赵雅红

摘 要 随着网络技术的发展，各种网络攻击行为也越来越多，使得入侵监测系统的重要性大幅提高。本文针对档案传输协定服务，通过神经网络建立异常监测的入侵监测系统，用于评估根据资料监测方式建立的入侵监测系统的可行性，并根据此方式监测未知的入侵行为。

关键词 入侵监测系统；异常监测；神经网络；资料监测；人工异常

中图分类号 TP3 文献标识码 A 文章编号 1674-6708（2016）172-0076-02

随着互联网系统的发展，使得系统随时可能受到来自网络的入侵，因此，如何保护系统与资料安全一直是一个重要的研究课题。近年来，由于资料监测技术的发展，将该技术应用于入侵监测领域，利用事先收集到的资料训练出一个较为一般化的模型，再以该模型针对即时资料进行是否入侵的判断。用来改变现行入侵监测系统使用有限的监测规则来判断入侵迹象，而无法监测未出现过入侵现行的缺点[1，2]。

本文针对档案传输协定（File Transfer Protocol；FTP）服务，利用神经网络建立异常监测的入侵监测系统，其目的在于利用评估资料监测的方式建立入侵监测系统，实现未知入侵行为的监测，解决目前入侵监测研究领域所遇到的问题[3]。

1 入侵监测系统

1.1 入侵监测系统简介

针对入侵监测系统的研究始于1980年，Jim将入侵定义为未经授权而存取、操作、修改或破坏资料，或使电脑系统不稳定，甚至无法使用的行为。而入侵监测系统的目的是监测上面提到的各种行为。大部分的入侵监测系统是根据入侵特征建立的监测规则专家系统，对已知的攻击辨识能力较佳。由于这类入侵监测系统所建立的特征不具一般化，因此很难分辨新的入侵行为。

1.2 入侵监测系统分类

近年来提出了许多不同的监测模式系统，用以应对不同的系统行为，大致可分为模拟正常行为与异常行为两种。入侵监测技术分为滥用监测：使用已知入侵攻击模式判断入侵行为；异常监测：将建立的正常使用模式变异到一定程度时视为不正常的存取行为（甚至是入侵）。

对于滥用监测系统。将具有入侵特征的动作加以编码，然后与收集的检查资料进行比对，以此方式发现入侵。其缺点是入侵特征均需编码后进入系统，面对未知的入侵攻击时，无法监测出来，这样的系统称为滥用监测系统。

入侵监测系统由早期的专家根据入侵特征建立系统监测规则，逐渐发展成以统计方式建立模型，监测使用行为与统计样式差别过大的，即可判断入侵方式。随后进入以资料监测方式为主流的监测系统，以提高检测率及降低误报率的目标。

1.3 入侵监测系统结构

目前的入侵监测系统实际上以资料和数据为主，对该系统整体结构进行以下说明：

1）受监测系统/感测器：入侵监测系统的资料来源，也就是受到监测的电脑主机。

2）审查资料收集：通过感测器收集审查资料。网络封包表头资料、网络封包流量统计、使用者键入命令，使用者登录资料等等，均为审查资料范围。

3）监测处理：通过各种算法，监测收集所得到的资料，找到疑似入侵的行为，由上述观点，监测处理是系统最核心的部分，监测入侵的准确与否，取决于此，处理的方式则有异常与滥用两种。

4）处理中资料：入侵监测系统处理中的资料，如欲比对入侵模型，比对中的审查资料等。

1.4 档案传输协定

本系统运行时，目的是为了对网络入侵的监测，欲监测的入侵以FTP服务为主。选定FTP服务的原因，在于封包资料的可获得性高、FTP命令可供判断入侵行为、且其入侵形态多、容易看出监测效果。

FTP是档案传输协定的缩写，在网络环境下传输档案，亦可将档案通过网络从某系统传输至另一系统。使用此项服务需设定登入服务的账户。这个档案传输协定支持不同操作系统、不同档案结构主机，以ASCII编码传送或接收。FTP使用控制连线和资料连线两个TCP连线来传输文档。除了FTP命令外，该服务的网络封包表头亦为资料来源，这些资料经整理处理后，用以建立入侵监测模型。

1.5 神经网络

神经网络的目标是以计算系统模拟最简单的生物神经网络结构。整个计算系统由多个高度连接的处理单元构成，以此连接网络间的训练学习，并处理外部输入数据。如果将神经网络视为黑盒子，则此盒子由多个节点连接而成，一般可分为3层：输入层、隐藏层及输出层。

训练过程中输入训练参数集，然后根据不同算法调整权重及偏权值，最后让神经网络可以映射输入与输出间的关系模式；模拟过程以测试数据集输入并进行训练后所得的神经网络值为准。

2 系统结构原理

在整个系统主要由以下几个部分组成，包括人工异常资料产生器，特征选取器，模型训练器及模型评估器。人工异常资料产生器主要功能为产生与输入资料不同的输出资料，在异常监测概念中，任何与正常资料不同的资料均视为异常资料。因为FTP的封包资料很难完全收集，因此，异常资料产生器需根据正常资料人工产生异常资料。特征选取器针对FTP服务器端的封包资料，选具有代表性与辨别性的特征，根据选取的特征随机产生人工异常资料至此系统资料前处理结束。模型训练器首先选择一部分资料作为训练资料，一部分为测试资料。模型训练器当模型训练完成后，可使用测试资料集来评估分类模型的正确性。

3 系统运行机理

系统的运行部分包括：输入资料、资料编码方式、人工异常资料产生、特征选取方式，下面对各部分进行详细介绍。

3.1 输入资料

由于档案传输协定（FTP）服务的攻击行为多属于网络形式的攻击，因此输入资料应该选择与网络相关的特征，以有效分辨攻击与非攻击行为。初步选取的特征如下所示，数字代表资料编码后产生的特征个数。

1）连接方式（1）：连线方向“1”表示连接至FTP服务器，“0”表示服务器向外连线。

2）响应编码（5）：FTP响应为3个ASCII数字，第一个代表响应状态，第二个代表错误种类，第三个为更进一步错误信息。

3）出现次数最多的字符（3）：统计封包资料中出现次数最多的字符作为特征输入。

4）数据长度（3）：正常的FTP封包资料部分长度一般较短，较长的可能为异常封包资料。

3.2 资料编码方式

1）连接方式（1）：连线方向“1”表示连接至FTP服务器，“0”表示服务器向外连线。

2）响应编码（5）：以5个输入点来表示响应码的第一个数字，转换方式如下：00001：1；00010：2；00100：3；01000：4；10000：5；00000：以上皆非时。

3）出现次数最多的字符（3）：根据封包资料字符出现次数最多的字符，以3个输入节点表示输入资料，编码如下：001：1≤x≤5；011：6≤x≤10 ；111：x>10；000：以上皆非时。

4）数据长度（3）：以3个节点表示封包的资料长度，其转换方式如下：001：1≤x≤48；011：49≤x≤96 ；111：x>96；000：以上皆非时。

4 结论

通过FTP服务收集的审查资料，以神经网络训练的入侵监测模型，验证了资料监测方式监测入侵问题的可行性。资料监测方式实际应用于入侵监测时仍存在问题需要解决，最明显的就是处理速度，网络传输封包资料数量可能相当大，除收集审查资料外，还需对收集资料做前处理，并且以入侵监测算法来监测是否入侵，达到实时处理的要求。

参考文献

[1]潘连根.数字档案馆研究[M].北京：中国档案出版社，2005.

[2]丁海斌，等.电子文件管理基础[M].北京：中国档案出版社，2007.

[3]钱毅.中国电子文件管理标准体系现状与实施战略[J].档案学通讯，2009（6）：10-12.