赵雅红
摘 要 随着网络技术的发展,各种网络攻击行为也越来越多,使得入侵监测系统的重要性大幅提高。本文针对档案传输协定服务,通过神经网络建立异常监测的入侵监测系统,用于评估根据资料监测方式建立的入侵监测系统的可行性,并根据此方式监测未知的入侵行为。
关键词 入侵监测系统;异常监测;神经网络;资料监测;人工异常
中图分类号 TP3 文献标识码 A 文章编号 1674-6708(2016)172-0076-02
随着互联网系统的发展,使得系统随时可能受到来自网络的入侵,因此,如何保护系统与资料安全一直是一个重要的研究课题。近年来,由于资料监测技术的发展,将该技术应用于入侵监测领域,利用事先收集到的资料训练出一个较为一般化的模型,再以该模型针对即时资料进行是否入侵的判断。用来改变现行入侵监测系统使用有限的监测规则来判断入侵迹象,而无法监测未出现过入侵现行的缺点[1,2]。
本文针对档案传输协定(File Transfer Protocol;FTP)服务,利用神经网络建立异常监测的入侵监测系统,其目的在于利用评估资料监测的方式建立入侵监测系统,实现未知入侵行为的监测,解决目前入侵监测研究领域所遇到的问题[3]。
1 入侵监测系统
1.1 入侵监测系统简介
针对入侵监测系统的研究始于1980年,Jim将入侵定义为未经授权而存取、操作、修改或破坏资料,或使电脑系统不稳定,甚至无法使用的行为。而入侵监测系统的目的是监测上面提到的各种行为。大部分的入侵监测系统是根据入侵特征建立的监测规则专家系统,对已知的攻击辨识能力较佳。由于这类入侵监测系统所建立的特征不具一般化,因此很难分辨新的入侵行为。
1.2 入侵监测系统分类
近年来提出了许多不同的监测模式系统,用以应对不同的系统行为,大致可分为模拟正常行为与异常行为两种。入侵监测技术分为滥用监测:使用已知入侵攻击模式判断入侵行为;异常监测:将建立的正常使用模式变异到一定程度时视为不正常的存取行为(甚至是入侵)。
对于滥用监测系统。将具有入侵特征的动作加以编码,然后与收集的检查资料进行比对,以此方式发现入侵。其缺点是入侵特征均需编码后进入系统,面对未知的入侵攻击时,无法监测出来,这样的系统称为滥用监测系统。
入侵监测系统由早期的专家根据入侵特征建立系统监测规则,逐渐发展成以统计方式建立模型,监测使用行为与统计样式差别过大的,即可判断入侵方式。随后进入以资料监测方式为主流的监测系统,以提高检测率及降低误报率的目标。
1.3 入侵监测系统结构
目前的入侵监测系统实际上以资料和数据为主,对该系统整体结构进行以下说明:
1)受监测系统/感测器:入侵监测系统的资料来源,也就是受到监测的电脑主机。
2)审查资料收集:通过感测器收集审查资料。网络封包表头资料、网络封包流量统计、使用者键入命令,使用者登录资料等等,均为审查资料范围。
3)监测处理:通过各种算法,监测收集所得到的资料,找到疑似入侵的行为,由上述观点,监测处理是系统最核心的部分,监测入侵的准确与否,取决于此,处理的方式则有异常与滥用两种。
4)处理中资料:入侵监测系统处理中的资料,如欲比对入侵模型,比对中的审查资料等。
1.4 档案传输协定
本系统运行时,目的是为了对网络入侵的监测,欲监测的入侵以FTP服务为主。选定FTP服务的原因,在于封包资料的可获得性高、FTP命令可供判断入侵行为、且其入侵形态多、容易看出监测效果。
FTP是档案传输协定的缩写,在网络环境下传输档案,亦可将档案通过网络从某系统传输至另一系统。使用此项服务需设定登入服务的账户。这个档案传输协定支持不同操作系统、不同档案结构主机,以ASCII编码传送或接收。FTP使用控制连线和资料连线两个TCP连线来传输文档。除了FTP命令外,该服务的网络封包表头亦为资料来源,这些资料经整理处理后,用以建立入侵监测模型。
1.5 神经网络
神经网络的目标是以计算系统模拟最简单的生物神经网络结构。整个计算系统由多个高度连接的处理单元构成,以此连接网络间的训练学习,并处理外部输入数据。如果将神经网络视为黑盒子,则此盒子由多个节点连接而成,一般可分为3层:输入层、隐藏层及输出层。
训练过程中输入训练参数集,然后根据不同算法调整权重及偏权值,最后让神经网络可以映射输入与输出间的关系模式;模拟过程以测试数据集输入并进行训练后所得的神经网络值为准。
2 系统结构原理
在整个系统主要由以下几个部分组成,包括人工异常资料产生器,特征选取器,模型训练器及模型评估器。人工异常资料产生器主要功能为产生与输入资料不同的输出资料,在异常监测概念中,任何与正常资料不同的资料均视为异常资料。因为FTP的封包资料很难完全收集,因此,异常资料产生器需根据正常资料人工产生异常资料。特征选取器针对FTP服务器端的封包资料,选具有代表性与辨别性的特征,根据选取的特征随机产生人工异常资料至此系统资料前处理结束。模型训练器首先选择一部分资料作为训练资料,一部分为测试资料。模型训练器当模型训练完成后,可使用测试资料集来评估分类模型的正确性。
3 系统运行机理
系统的运行部分包括:输入资料、资料编码方式、人工异常资料产生、特征选取方式,下面对各部分进行详细介绍。
3.1 输入资料
由于档案传输协定(FTP)服务的攻击行为多属于网络形式的攻击,因此输入资料应该选择与网络相关的特征,以有效分辨攻击与非攻击行为。初步选取的特征如下所示,数字代表资料编码后产生的特征个数。
1)连接方式(1):连线方向“1”表示连接至FTP服务器,“0”表示服务器向外连线。
2)响应编码(5):FTP响应为3个ASCII数字,第一个代表响应状态,第二个代表错误种类,第三个为更进一步错误信息。
3)出现次数最多的字符(3):统计封包资料中出现次数最多的字符作为特征输入。
4)数据长度(3):正常的FTP封包资料部分长度一般较短,较长的可能为异常封包资料。
3.2 资料编码方式
1)连接方式(1):连线方向“1”表示连接至FTP服务器,“0”表示服务器向外连线。
2)响应编码(5):以5个输入点来表示响应码的第一个数字,转换方式如下:00001:1;00010:2;00100:3;01000:4;10000:5;00000:以上皆非时。
3)出现次数最多的字符(3):根据封包资料字符出现次数最多的字符,以3个输入节点表示输入资料,编码如下:001:1≤x≤5;011:6≤x≤10 ;111:x>10;000:以上皆非时。
4)数据长度(3):以3个节点表示封包的资料长度,其转换方式如下:001:1≤x≤48;011:49≤x≤96 ;111:x>96;000:以上皆非时。
4 结论
通过FTP服务收集的审查资料,以神经网络训练的入侵监测模型,验证了资料监测方式监测入侵问题的可行性。资料监测方式实际应用于入侵监测时仍存在问题需要解决,最明显的就是处理速度,网络传输封包资料数量可能相当大,除收集审查资料外,还需对收集资料做前处理,并且以入侵监测算法来监测是否入侵,达到实时处理的要求。
参考文献
[1]潘连根.数字档案馆研究[M].北京:中国档案出版社,2005.
[2]丁海斌,等.电子文件管理基础[M].北京:中国档案出版社,2007.
[3]钱毅.中国电子文件管理标准体系现状与实施战略[J].档案学通讯,2009(6):10-12.