基于神经网络的入侵监测原理及其在档案传输协定中的应用.docVIP

基于神经网络的入侵监测原理及其在档案传输协定中的应用 　　摘 要 随着网络技术的发展，各种网络攻击行为也越来越多，使得入侵监测系统的重要性大幅提高。本文针对档案传输协定服务，通过神经网络建立异常监测的入侵监测系统，用于评估根据资料监测方式建立的入侵监测系统的可行性，并根据此方式监测未知的入侵行为。 　　关键词 入侵监测系统；异常监测；神经网络；资料监测；人工异常 　　中图分类号 TP3 文献标识码 A 文章编号 1674-6708（2016）172-0076-02 　　随着互联网系统的发展，使得系统随时可能受到来自网络的入侵，因此，如何保护系统与资料安全一直是一个重要的研究课题。近年来，由于资料监测技术的发展，将该技术应用于入侵监测领域，利用事先收集到的资料训练出一个较为一般化的模型，再以该模型针对即时资料进行是否入侵的判断。用来改变现行入侵监测系统使用有限的监测规则来判断入侵迹象，而无法监测未出现过入侵现行的缺点[1，2]。 　　本文针对档案传输协定（File Transfer Protocol；FTP）服务，利用神经网络建立异常监测的入侵监测系统，其目的在于利用评估资料监测的方式建立入侵监测系统，实现未知入侵行为的监测，解决目前入侵监测研究领域所遇到的问题[3]。 　　1 入侵监测系统 　　1.1 入侵监测系统简介 　　针对入侵监测系统的研究始于1980年，Jim将入侵定义为未经授权而存取、操作、修改或破坏资料，或使电脑系统不稳定，甚至无法使用的行为。而入侵监测系统的目的是监测上面提到的各种行为。大部分的入侵监测系统是根据入侵特征建立的监测规则专家系统，对已知的攻击辨识能力较佳。由于这类入侵监测系统所建立的特征不具一般化，因此很难分辨新的入侵行为。 　　1.2 入侵监测系统分类 　　近年来提出了许多不同的监测模式系统，用以应对不同的系统行为，大致可分为模拟正常行为与异常行为两种。入侵监测技术分为滥用监测：使用已知入侵攻击模式判断入侵行为；异常监测：将建立的正常使用模式变异到一定程度时视为不正常的存取行为（甚至是入侵）。 　　对于滥用监测系统。将具有入侵特征的动作加以编码，然后与收集的检查资料进行比对，以此方式发现入侵。其缺点是入侵特征均需编码后进入系统，面对未知的入侵攻击时，无法监测出来，这样的系统称为滥用监测系统。 　　入侵监测系统由早期的专家根据入侵特征建立系统监测规则，逐渐发展成以统计方式建立模型，监测使用行为与统计样式差别过大的，即可判断入侵方式。随后进入以资料监测方式为主流的监测系统，以提高检测率及降低误报率的目标。 　　1.3 入侵监测系统结构 　　目前的入侵监测系统实际上以资料和数据为主，对该系统整体结构进行以下说明： 　　1）受监测系统/感测器：入侵监测系统的资料来源，也就是受到监测的电脑主机。 　　2）审查资料收集：通过感测器收集审查资料。网络封包表头资料、网络封包流量统计、使用者键入命令，使用者登录资料等等，均为审查资料范围。 　　3）监测处理：通过各种算法，监测收集所得到的资料，找到疑似入侵的行为，由上述观点，监测处理是系统最核心的部分，监测入侵的准确与否，取决于此，处理的方式则有异常与滥用两种。 　　4）处理中资料：入侵监测系统处理中的资料，如欲比对入侵模型，比对中的审查资料等。 　　1.4 档案传输协定 　　本系统运行时，目的是为了对网络入侵的监测，欲监测的入侵以FTP服务为主。选定FTP服务的原因，在于封包资料的可获得性高、FTP命令可供判断入侵行为、且其入侵形态多、容易看出监测效果。 　　FTP是档案传输协定的缩写，在网络环境下传输档案，亦可将档案通过网络从某系统传输至另一系统。使用此项服务需设定登入服务的账户。这个档案传输协定支持不同操作系统、不同档案结构主机，以ASCII编码传送或接收。FTP使用控制连线和资料连线两个TCP连线来传输文档。除了FTP命令外，该服务的网络封包表头亦为资料来源，这些资料经整理处理后，用以建立入侵监测模型。 　　1.5 神经网络 　　神经网络的目标是以计算系统模拟最简单的生物神经网络结构。整个计算系统由多个高度连接的处理单元构成，以此连接网络间的训练学习，并处理外部输入数据。如果将神经网络视为黑盒子，则此盒子由多个节点连接而成，一般可分为3层：输入层、隐藏层及输出层。 　　训练过程中输入训练参数集，然后根据不同算法调整权重及偏权值，最后让神经网络可以映射输入与输出间的关系模式；模拟过程以测试数据集输入并进行训练后所得的神经网络值为准。 　　2 系统结构原理 　　在整个系统主要由以下几个部分组成，包括人工异常资料产生器，特征选取器，模型训练器及模型评估器。人工异常资料产生器主要功能为产生与输入资料不同的输