（无线电物理专业论文）基于陷阱和神经网络的ip回溯.pdf

：纠、j 大学研究生学位沦文 基于陷阱和神经网络的i p 回溯 论文摘要( 中文) 随着i n t e m e t 的广泛应用，网络入侵和攻击增长很快，计算机网络安全 问题越来越严重。攻击者利用i p 协议设计上的缺陷，通常采用伪造的i p 源地址，这就使得追踪i p 源十分困难。计算机通信网络的安全防护体系是 一个动态的、基于时问变化的概念，入侵检测是识别网络攻击的主要手段， 现有的入侵检测系统可以检测到大多数的攻击，但不能实现对真实攻击源 的有效追踪，而无法追踪到攻击者将造成防范上的被动，也无法打击攻击 者。 在伪造及攻击手段层出不穷的情况下，为取得最新攻击技术的资料， 得到入侵者攻击系统的证据，追查攻击的真正来源，本文首次将神经网络 与陷阱技术相结合，提出了一种新的基于神经网络的主动i p 源回溯方案， 阐述了该系统的体系结构，并分析了这一方案的实现流程及算法。与现有 回溯技术比较，该方法具有很低的网络和路由开销、较低的路由错选和漏 报率，可以和现有的防火墙、入侵检测系统产生互动，互为补充，并在网 络防火墙、入侵检测系统等其他安全措施的配合下，弥补原有网络安全防 御系统的不足，提高网络安全性能。 关键词：i p 回溯网络安全陷阱网络神经网络 兰州大学研究乍学位论文 a h o n e y n e t a n dn e u r a ln e t w o r kb a s e di pt r a c e b a e k 论文摘要( 英文) a b s t r a c t w i t ht h ea b r o a da p p l i c a t i o n so fi n t e m e t ，n e t w o r ki n t r u s i o na n da t t a c k s i n c r e a s er a p i d l y t h ei s s u eo fc o m p u t e rn e t w o r ks e c u r i t yb e c o m e sm o r ea n d m o r es e v e r e u s i n gt h el i m i t a t i o n so ft h ed e s i g nf o ri n t e m e t p r o t o c o l ，t h ea t t a c k s u s u a l l ya d o p ts p u r i o u si pa d d r e s s t h u sm a k et r a c k sf o rt h et r u ei pa d d r e s si s v e r yd i f f i c u l t t h es e c u r i t ys y s t e mo fc o m p u t e rc o m m u n i c a t i o nn e t w o r ks h o u l d b ed y n a m i ca n dd i f f e r e n ta c c o r d i n gt ot h et i m e s i n t r u s i o nd e t e c t i o ns y s t e mi s t h em a i nm e t h o dt oi d e n t i f yn e t w o r ka t t a c k s t on o w ，i tc o u l di d e n t i f ym o s t a t t a c k s ，b u t i tc o u l dn o tp r o v i d ee f f e c t i v et r a c eb a c ko ft h et r u ea t t a c k si p a d d r e s s t h u sm a k e st h ep a s s i v e n e s so fd e f e n s ea n dc o u l dn o tp r o s e c u t et h e a t t a c k s w h i l et h ef o r g e r ya n da t t a c kt e c h n i q u ee m e r g ee n d l e s s l y ，i no r d e rt og a i n t h ee v i d e n c ea n dt h eg e n u i n ei pa d d r e s so ft h ea t t a c k s ，ah o n e y n e tw i t hn n t b a s e di pi n i t i a t i v et r a c eb a c kt e c h n i q u ei s f i r s t l yp r e s e n t e di nt h i sp a p e r t h e s y s t e ms t r u c t u r e ，t h ei m p l e m e n t f l o wa n da r i t h m e t i cs i m u l a t i o n p r o g r a m a r ea l s o g i v e n c o m p a r i n gw i t ht h eo t h e ri pt r a c eb a c ks o l u t i o n s ，t h er a t eo f f a i lr e p o r t ， t h ew r o n gr o u t e rs e l e c t i o n ，t h ec o s t so ft h er o u t e ra n dn e t w o r ko ft h i st e c h n i q u e a r e l o w e r c o o p e r a t ew i t hf i r e w a l l ，i n t r u s i o nd e t e c t i o ns y s t e ma n dt h eo t h e r s e c u r i t ym e t h o d s ，t h i sh o n e y n e t w i t hn n tb a s e di pt r a c e b a c km e t h o dc a no f f s e t n e t w o r k s y s t e m s i n h e r e n t s h o r t a g e a n de n h a n c et h e s e c u r i t yc a p a b i l i t y o f c o m p u t e r n e t w o r k k e y w o r d s ：i p t r a c e b a c k ；h o n e y n e t ；n e t w o r ks e c u r i t y ；n n t i i 原创性声明 鼍7 3 2 - 0 5 0 本人郑重声明：本人所呈交的学位论文，是在导师的指导下独立进行 研究所取得的成果。学位论文中凡引用他人已经发表或未发表的成果、数据、观点 等，均已明确注明出处。除文中已经注明引用的内容外，不包含任何其他个人 或集体已经发表或撰写过的科研成果。对本文的研究成果做出重要贡献的 个人和集体，均已在文中以明确方式标明。 本声明的法律责任由本人承担。 论文作者签名：! 耋! 弛 日期：翌竺：! ! 亟 关于学位论文使用授权的声明 本人在导师指导下所完成的论文及相关的职务作品，知识产权归属兰州 大学。本人完全了解兰州大学有关保存、使用学位论文的规定，同意学校 保存或向国家有关部门或机构送交论文的纸质版和电子版，允许论文被查 阅和借阅；本人授权兰州大学可以将本学位论文的全部或部分内容编入有 关数据库进行检索，可以采用任何复制手段保存和汇编本学位论文。本人 离校后发表、使用学位论文或与该论文直接相关的学术论文或成果时，第 一署名单位仍然为兰州大学。 保密论文在解密后应遵守此规定。 论文作者签名：趣导师签名：堂揸垄日 期：础￥，陪 兰州i 火学研究生学位论文 引言 i n t e r n e t 的信息传递给人们的生活带来了极大的方便。以i n t e r n e t 为代表的全球 性信息化浪潮日益深刻，计算机网络的应用向深度和广度不断发展，信息网络技术的应 用正日益普及和广泛，伴随着网络的普及，整个社会对网络的依赖程度越来越大，越来 越多的重要和机密信息通过计算机网络来传输。而此时，针对i n t e r n e t 的攻击也层出 不穷，使得i n t e r n e t 面临巨大的安全威胁。因此，计算机网络的安全，已经成为社会 乃至人民的安全所在。如何安全有效的通过计算机网络传送信息，已成为研究的一个重 要课题。而i n t e r n e t 所具有的开放性( 网络的技术是开放的，因而网络所面临的破坏和 攻击可能是多方面的) 、国际性( 国际性的网络意味着攻击不仅仅来自本网络的用户，还 可来自i n t e r n e t 上的任何一个用户，网络安全面临的是一个国际化的挑战) 和自由性( 自 由性意味着网络最初对用户的使用并没有提供任何技术约束，用户可以自由地访问网 络，自由地使用和发布各种类型的信息) 在增加应用自由度的同时，对安全提出了更高 的要求，也带来了一些不容忽视的问题，网络安全曰益成为影响网络效能的重要问题“ “。网络信息在传递的过裎中经常受到各种各样的攻击，使得网络传递信息的安全性得 不到保证。随着攻击技术的不断发展，现有防护技术往往不能识别，处于被动地位。虽 然目前已有一些较为成熟的技术可用于阻止部分网络攻击，比如入侵检测系统可以检测 网络攻击，防火墙可以阻挡部分攻击，但他们都无法标识出攻击源。因此它们对某些攻 击的防范效果并不理想。由于i p 协议允许匿名访问，网络管理又处于无政府状态，在 i p 网络上没有一个实体能够对i p 源地址是否正确负责，攻击者正是利用i p 协议设计上 的这一缺陷，通常采用伪造的i p 源地址，这就使得确定i p 源十分困难，目前还没有较 好的办法追查攻击的真正来源，所以有必要研究t p 包的回溯技术。 为了取得最新的攻击技术的资料，得到入侵者攻击系统的证据，了解系统被攻击的 潜在可能性，本文分析了一个基于陷阱和神经网络的i p 源回溯方案，以主动防御为目 的，针对d a g 回溯问题建立神经网络模型，对特定路由器进行编码，实现了回溯的动 态性，在本质上缩小了攻击源的范围，减小了数据的存储空间。它适用于各种类型的局 域网，可以和现有的防火墙、入侵检测系统产生甄动，互为补充，并在网络防火墙、入 侵检测系统等其他安全措施的配合下，弥补原有网络安全防御系统的不足，提高网络安 全性能，用于打击计算机犯罪，实现网络安全性能的最大化。 兰州大学研究生学位论文 ii p 回溯研究现状 j p 回溯”1 ”问题就是找到攻击事件发生的“源”，就是当攻击正在进行时或者攻 击已经结束后，根据现有的或者已经获彳导的信息来确定攻击者的位置。攻击源定位问题 在网络主动防御中占有重要的角色，是入侵反击的前提，也为事后法律的制裁提供重要 的证据。它有两个方面的意义：一是指发现i p 地址、m a c 地址或是认证的主机名；二是 指确定攻击者的身份。在回溯网络攻击中，另一个需要重点考虑的问题是，i p 地址是一 个虚拟地址而不是一个物理地址，i p 地址很容易被伪造。大部分网络攻击者采用i p 地 址欺骗技术，这样回溯到的攻击源将是不正确的，使得以i p 地址为基础去发现攻击者 变得更加困难。目前研究i p 回溯的方法主要有以下技术： ( 1 ) 入口过滤 当前主流的路由器都具有查找符合某种模式报文的输入接口的功能，因此可以利用 这一特性进行攻击源的定位。入侵检测系统首先检测到攻击开始，并可以快速确定上游 路由器来源，再将攻击报文的特征提取后，构造相应的路由器过滤器。入口过滤方法通 过配置边界路由器，使具有非法源地址的数据包不能通过。这种方法特别适用于客户网 络和t s p ( i n t e r n e ts e r v i c ep r o v i d e r ) 的边界，他们的i p 地址相对固定且通信流量较 低。 通过配置路由器拒绝非法i p 地址的数据包，该方法需要每个路由器具有足够的能 力鉴别每个数据包的源地址的合法性。由于网络中不是每一个路由器都存在过滤功能， 而且过滤需要耗费网络资源，这就造成了很大的网络负担：另外，虽然攻击者只能使用 在i s p 多个下行网络范围内的合法源地址，这个源地址可能也有成百上千个；攻击者还 可以通过伪造i p 甜觚) 使自己的地址貌似合法。因此，入口过滤不能在非常广泛的范鼠 内应用，特别是在高速网络和移动i p 中。 ( 2 ) 包记录技术 包记录技术即i p 包在网络上传输时，每个关键的路由器要对所转发的数据包进行 复制、计算并存储每个包的摘要，由回溯系统根据每个转发路由器的包摘要信息回溯i p 包的完整传输路径。从最靠近目标主机的路由器开始，沿着攻击包一直追踪到源。受害 者首先提取攻击特征，然后登陆到最靠近的路由器，确定该攻击包是从路由器的哪一个 端口流入，从而找到上行的路由器，重复上一个路由器的工作直到找到攻击的源地址。 按照目前的链路速率，在很短的时间内，记录的包数据就会急速增长，以致达到难 兰州大学研究，杠学位沦文 以处理的程度。而现今的路由器资源还无法提供非常大的存储空间。采用包记录技术进 行i p 包回溯要求在i p 传输路径上的每个路由器都进行包摘要计算，需要修改路由器的 设置，使其在转发报文时能记录路径信息，并将包信息存储在路由器中，需要占用路由 器大量的内存资源，因而必然会对路由器的转发性能产生影响，进而严重影响网络的性 能。 ( 3 ) 受控淹没 受控淹没是一种基于链路测试的方法。其基本思想是通过猝发的大量报文去淹没与 其直接相连的链路。借以观察对攻击者的影响来定位攻击源。入侵检测系统检测到攻击 时，启用入侵响应系统对除与被攻击者相连的链路外的每一条链路，按照一定次序分别 用猝发的大量报文进行淹没，从而造成拥塞而引起丢包。通过观察每次淹没过程对收到 的攻击报文的影响，从而确定最可能的攻击链路。重复上述过程，便可定位。 由于整个回溯工作必须在攻击过程中完成，因此如果攻击间断进行，或者攻击者随 着反向跟踪策略调整攻击行为，可能追踪尚未完成而攻击已经结束。 ( 4 ) i c m p 回溯技术 i c m p 回溯是一种预设回溯，每个路由器以小概率采样所转发的包，生成一个特殊的 i c m p 回溯消息，包括转发包的部分内容、转发包的路径上的邻按路由器的信息等，将其 发往包的目的地址。每个路由器发送i c m p 回溯消息的概率与该路由器与受害主机之间 的距离有关，如果攻击者发送了大量的数据包，受害主机就可以重构报文转发路径，并 回溯到攻击主机。 i c m p 回溯技术要求每个路由器都能产生i c m p 回溯消息，从而实现基于概率的目的 主机的正确路径重构，因此必然要增加网络流量。 ( 5 ) 包标记 包标记也是一种预设回溯。该方法在传输的数据包中附加上经过的路由器的信息。 在目的地址重构路径信息。它不增加网络流量。支持事后处理，管理负担、路由负担都 较小。 如果在包中保留所有路径上的信息，目的主机要处理大量的包含路径信息的数据包 才能回溯到攻击的源地址，并需要记录大量信息才能支持事后回溯，从而加重了目的主 机的处理负担和资源消耗。 兰州大学研究生学位论文 i i陷阱网络体系结构 陷阱网络1 2 0 吨4 1 的构造思想是基于网络的开放性，只要一个系统在网络上，且当前 状态是正常的，那么它都有可能被探测和攻击。因此，网络上的每台主机都存在被攻击 的可能性，而且越是带有某种特定资源的系统就越容易遭到攻击。对系统或网络进行一 定的布置，就有可能将入侵者成功地引入受控环境中，降低正常系统被攻击的危险。从 技术实现的角度，陷阱可分为系统级陷阱和应用级陷阱两种陷阱各有侧重点。 系统级陷阱与系统的关系较紧密，由应用程序构建而成，采用真实的网络和主机环 境，运行真实的系统，主要实现系统级的监控。对于不同的系统类型，具体实现也不相 同。系统级陷阱监控的主要内容包括：用户行为跟踪识别；进程监控：网络连接监控； 是否被安装了木马程序、嗅探器；是否被利用作为攻击跳板等。系统级陷阱的应用范围 较广，具有通用性，主要是用来捕获未知攻击及对系统的攻击行为。 应用级陷阱针对具体网络环境和应用服务，采用模拟或仿真的环境构建而成。应用 级的攻击行为一般由对网络中各主机系统的角色和作用有一定了解的人发起，这些人包 括内部员工、熟悉内部系统运作的外部人员和竞争对手派出的黑客等。他们的e l 标集中 于存放关键数据和资料的系统，以获取或破坏数据为目的，攻击系统上关于维护和管理 的资料和数据。应用级陷阱主要针对系统提供的应用级程序或服务来构造陷阱机制，以 过期或假数据来迷惑攻击者，并记录保留攻击的过程和结果。 传统意义上的信息安全技术如防火墙、入侵检测、加密技术等，都是防御性的。这 些技术先分析系统可能出现的问题，然后针对具体问题进行解决。而陷阱是以主动防御 为目的，陷阱系统可引诱黑客到一个设计好的环境中，记录他的所有动作，研究其行为， 并提醒下一个攻击目标做出防范。 当前常见的陷阱网络系统主要有以下两种： ( 1 ) h o n e y p o t ，又称蜜罐系统，模拟某些常见的漏洞，模拟其它操作系统或者在某 个系统上做一些设置使其成为一台“牢笼”主机，用来诱骗入侵者，增加黑客攻击系统 的开销，使攻击者无功而返，从而降低黑客攻击系统的兴趣，并减少被保护系统被攻陷 的危险。蜜罐是一种资源，它是用来被攻击直至被攻陷的，它的价值就是被攻击或被攻 陷，这就为安全防范提供了额外的、有价值的信息。 ( 2 ) h o n e y n e t ，即陷阱网络，它建立的是一个真实的网络和主机环境，可使用各种 兰州大学研究生学位沦文 不同的操作系统及设各。所有系统都是标准的机器，在这些系统上运行的都是真实完整 的操作系统及应用程序，且不同的系统平台上运行着不同的服务，h o n e y n e t 是个网络 系统，而并非某台单一主机，这个网络系统隐藏在防火墙后面，所有进出的数据都受到 关注、捕获及控制。这些被捕获的数据被用于研究和分析入侵者使用的工具、方法及动 机。 陷阱网络作为网络安全的一种主动防御手段，由放置在网络中的多个陷阱机和一个 远程管理控制台组成( 图1 ) 。其中，陷阱机是一个能够完成牵制和控制网络攻击的子系 统。一旦被入侵者攻破，陷阱机将对入侵过程进行记录和监视，自动记录入侵者的行为 和使用的工具等信息。这些信息将被用于分析学习，并有可能作为证据来起诉入侵者。 陷阱系统可以引诱黑客到一个设计的环境中，记录其所有动作，研究其行为。 图1 陷阱网络示意图 h o n e y n e t 的主要功能 ( 1 ) 用来学习了解攻击者的思路、工具、目的； ( 2 ) 为特定组织提供关予网络安全风险和脆弱性的经验； ( 3 ) 帮助一个组织发展事件响应能力。 传统意义上的信息安全技术如防火墙、入侵检测、加密技术等，都是防御性的。 这些技术先分析系统可能出现的问题，然后针对具体问题进行解决。而陷阱是以二e 动防 御为目的，每个陷阱机就是一台欺骗主机，是一种专门设计来让人“攻陷”的网络或主 兰州大学研究生学位论文 机。陷阱网络是主动防御型网络安全工具，它适用于各种类型的局域网，石j + 以和现有的 防火墙、入侵检测系统产生互动，互为补充，并在网络防火墙、入侵检测系统等其他安 全措施的配合下，弥补原有网络安全防御系统的不足，提高网络安全性能，用于打击计 算机犯罪，实现网络安全性能的最大化。 实现陷阱网络的关键技术和难点： ( 1 ) 仿真技术。正常服务器中发现攻击后，如何将整个环境在陷阱中进行重建，而 不会产生失真和大的时间延迟。 ( 2 ) 陷阱系统的监控能力。系统必须支持实时监控和反应能力。 ( 3 ) 自有日志的可靠性。由于事件日志能作为证据，因此保证事件的完接性、保密 性、真实性以及可靠性特别重要。 ( 4 ) 信息捕获手段的研究和更新。入侵者不断开发出各种工具来对抗现有的检测技 术，所以必须对其保持持续的关注。 ( 5 ) 与防火墙、i d s 间的互动功能的实现。陷阱技术唯有和防火墙、i d s 有机的结 合为一个整体，才能更有效的发挥其防护功能。 ( 6 ) 自身安全风险的解决。风险是永存的，因此必须经常检查陷阱网络的环境，确 保其有效性。 i i i 神经网络 3 1 神经元及其特性 人工神经网络是在对人脑组织结构和运行机制认识理解的基础上，模拟其结构和智 能行为的一种工程系统。早在本世纪4 0 年代初期，心理学家、数学家们就提出了人工 神经网络的第一个数学模型，从此开创了神经科学理论的研究时代。此后又先后提出了 感知模型，使得人工神经网络技术得以蓬勃发展。 神经系统的基本构造是神经元( 神经细胞) ，它是处理人体内各部分之间相互信息传 递的基本单元。每个神经元都由一个细胞体、一个连接其他神经元的轴突和一些向外伸 出的树突组成。轴突的功能是将本神经元的输出信号( 兴奋) 传递给其他的神经元。其末 端的许多神经末梢使得兴奋可以同时传送给多个神经元。树突的功能是接收来自其它神 经元的兴奋。神经元细胞体将接收到的所有信号进行简单地处理后由轴突输出。神经元 的树突与另外的神经元的神经末梢相连的部分称为突触。 兰州大学研究生学位论文 由于人工神经网络的结构特点和其信息存储的分布式特点，生物神经网络不会因为 个别神经元的损失而失去对原有内容的记忆，整个网络仍然能继续工作。 连接基本处理单元的结构与神经生理学类比称为神经元。每个构造起神经网络的神 经元模型模拟一个生物神经元。该神经单元由多个输入和一个输出组成。中间状态由输 入信号的权和表示。图2 表示神经元基本单元模型。8 1 ，它有三个基本要素。 输 入 信 号 惩接收心德 图2 神经元模型 ( 1 ) 一组连接( 对应于生物神经元的突触) ，连接强度由各连接上的权值表示，权值 为正表示激活，为负表示抑制； ( 2 ) 一个求和单元，用于求取各输入信号的加权和( 线性组合) ； ( 3 ) 一个非线性激活函数，起非线性映射作用并将神经元输出幅度限制在一定范围 内，此外还有一个阈值吼。 以上作用可分别用数学表达式表示为 = w 目工 ( 1 ) v t = b t 女一吼 y k = 伊( k ) ( 2 ) ( 3 ) 其中：一，x ：，以，为输入信号，w k lw 。为神经元女的权值，“。为线性组合结果。 o k 为阈值，妒为激活函数，y 。为神经元的输出。 兰州大学研究生学位沦文 妒( v ) = v 0 v 0 v 1 一i v 1 v 一l ( 3 ) s i g m o i d 函数 最常用的函数形式为 妒( ”) = 1 + e x 二p 一( - c r v ) 其中参数口可控制起斜率。 另一种常用的双曲正切函数为 删= 鼬 = 丽1 - e x p ( - v ) 这类函数具有平滑和渐进性，并保持单调性。 3 2 神经网络基本结构 神经网络模型是由大量神经元构成的网络。其中的一个神经元可以接受多个输入信 号，按照一定的规则转换为输出信号。把神经元之间相互作用的关系进行数学模型化就 可以得到神经网络模型。除单元特性外，网络的拓扑结构也是神经网络的一个重要特性。 从连接方式上看，神经网络主要有两种。 ( 1 ) 前馈型网络 各神经元接收前一层的输入，并输出给下一层，没有反馈。节点分为两类，即输入 单元和计算单元，每一个计算单元可有任意个输入，但只有一个输出( 它可以耦台到任 意多个其他节点作为其输入) 。通常前馈型网络可分为不同的层，第z 层的输入只与第 。k u ，。，、i = d 式 中 形科几f以有 数 以 函 可 数 性 伊 函 线 数 值 段 函 闽 分 涯 ， ， 激 n )p+q b 2 仉 兰州大学研究生学位沦文 f l 层输出相连，输入和输出节点与外界相连，而其它中间层则称为隐层。 前馈型神经网络模型是信息单项流动的神经网络模型，含有m 个神经元，h 个输入 端的单层神经网络模型的结构如图3 所示。 0 l 0 2 图3 单层前馈神经网络 输入向量x = 0 ，x ：矗) 7 输出向量。= 0 。0 2 o m 厂 w 。表示为第j 个神经元与第f 个输入之间的连接权。 第个神经元的输入值n e t ，= 峋x 。 ( 2 ) 反馈型网络 将图3 的前馈型神经网络模型的输出与输入相连接就可以得到反馈型神经网络模 型。所有节点都是计算单元，同时接收输入，并向外界输出，其中每个连接都是双向的。 神经网络的工作过程主要分为两个阶段： 第一个阶段是学习期。此时各计算单元状态不变，向神经网络提供一系列输入、输 出数据组。通过数值计算方法和参数优化设计，使节点连接的权重因子不断调整，直到 从给定的输入能产生所期望的输出。 各个连接线上的权值可通过学习来修正。 第二个阶段是工作期。此时各个连接权固定，计算单元状态变化，以训练好的网络 对未知的样本进行预测。 典型的多层感知网络是三层前馈网络，即：输入层、隐层( 也称中间层) 、输出层。 兰州大学研究生学位论文 相邻层之间的各神经元实现全连接，即下一层的每一个神经元与上一层的每个神经元都 实现今连接，而且每层各神经元之划无连接。竞争型神经网络对于某一个输入模式，通 过竞争在输出层中只激活相应的输出神经元。竞争型神经网络是一种以无教师方式进行 网络训练的网络，它通过自身训i 练，自动对输入模式进行分类。 3 3 人工神经网络特性 神经网络具有学习和适应、自组织、函数逼近和大规模并行处理等能力，并具有以 下特性： ( 1 ) 并行分布处理 神经网络具有高度的并行结构和并行实现能力，因而能够有较好的耐故障能力和较 快的总体处理能力，特别适合于实时控制和动态控制。 ( 2 ) 非线性映射 神经网络具有固有的非线性特性，源于其近似任意非线性映射( 变换) 能力。 ( 3 ) 适应与集成 神经网络能够适应在线运算，并能同时进行定量和定性操作。神经网络的强适应和 信息融合能力使得网络过程可以同时输入大量不同的控制信号，系统能适应外界的变化 保持良好的性能，因而具有快速和大规模处理能力。 ( 4 ) 非局域性 人工神经网络系统是以人工神经元之间的相互作用表现信息的处理和存储。系统的 整体行为不仅取决于单个神经元的状态，而且取决于它们之间的相互作用。 ( 5 ) 硬件实现 神经网络不仅能够通过软件实现，而且可借助硬件实现并行处理。 3 4 学习算法 神经网络主要有两种学习算法进行训练，即指导式( 有师) 学习算法和非指导式( 无 师) 学习算法。此外，还存在第三种学习算法，即强化学习算法，可以把它看成有师学 习的一种特例。 ( 1 ) 有师学习 0 兰州人学研究生学位论文 有师学习算法能够根据期望的和实际的网络输出( 对应于给定输入) 之间的差米调 整神经冗问连接的强度或权。因此，有师学习需要导师来提供期望或目标输 _ h 信号。 ( 2 ) 无师学习 无师学习算法不需要知道期望输出。在训练过程中，只要向神经网络提供输入模式， 神经网络就能够自动地适应连接权，以便按相似特征把输入模式分组聚集。 ( 3 ) 强化学习 强化学习算法是有师学习算法的特例，它不需要给出目标输出。强化学习算法采用 一个“评论员”来评价与给定输入相对应的神经网络输出的优度( 质量因数) 。 设在第n 次迭代中输出端的第，个单元的输出为y j ( n ) ，d j ( n ) 表示实际的应有输 出，则误差信号为 e j ( ) = d j ( ”) 一y j ( n ) ( 4 ) 定义单元j 的平方误差为 占( n ) ：妻e 如) ( 5 ) j e c 其中c 包括所有输出单元。 设训练集中样本总数为，则平方误差的均值为 ，：e ( 昙e ；) ( 6 ) 。女 定义 p o ( ”) = ( 仃) h ( ”) ( 7 ) i = 0 式中：p 为加到单元，前输入的个数，则 y ，( n ) = 妒( v ( 胛) ) 求e ( n ) 对w 。的梯度 由于 盟：里盟兰盟皇型型 o w j , ( n ) 托，( n ) 句，( ，z ) 加( ”) 翻j i ( n ) ( 8 ) ( 9 ) 兰州1 大学研究生学位论文 器叫如) 一3 e j ( n ) 一l 缈，( ，2 ) 端如小) ) 筹加) 得 丽o e ( n ) 一删驴j ( v 删y 删 舢? j ( ，? i 。 权值 i f ，的修正量为 蛳“加1 器 ) 神经网络可以处理信息和产生特定的电特性，这些电特性取决于神经网络中每个神 经元的内部生理机制，以及网络之间各神经元的相互连接方式。神经元生理结构般由 阱下曼个主要部分组成，即树突，细胞体，轴突。其中树突主要功能是从其它神经元接 收电信号：细胞体主要功能是积累来自许多树突的电位；轴突的主要功能是传导电信号 并传递电信号至其它神经元。沿着轴突膜分布的膜电位是描述神经元信息传递的重要物 理量。神经元通过突触相互作用而缀成复杂但功能强大的神经网络，突触主要分为电突 触和化学突触。电突触是通过神经元之间导电媒体直接进行传递动作电位；化学突触是 通过神经元化学介质来影响离子导电性从而调节神经元之间的导电性。根据神经元的生 化结构以及神经网络的动力学，可以建立相应的等效电路。该电路主要描述神经元的膜 电位与膜电流之间的关系。其中神经膜具有电容特性和电导特性，分别以膜电容近似和 以非线性电压依赖性膜电导近似。神经膜电流主要由三种电流组成，由神经元内各种离 子渗透运动而产生的n 个离子电流，分别对应于各自的电压依赖性电导；由电突触与神 经网络中其它神经元相互作用而出现的n 个电流，分别对应于各自的电导。 ” 动 ” ( ( ( (l 兰州大学研究生学位论文 i v 基于陷阱网络的i p 回溯方案 4 1 回溯方案的前提条件 定义一个树形有向无环图( d a g ) 的回溯模 型，如图4 所示。考虑网络资源和可能潜在的网 络攻击( 攻击者可以单独攻击或者联合攻击) ，做 以下基本假设： ( 1 ) 数据包的起源是可以回溯的网络入口 点； ( 2 ) 数据包的起源是一个真正的主机或者网 络： ( 3 ) 攻击者可以产生任何包； ( 4 ) 多个攻击者可以进行联合攻击； ( 5 ) 攻击者可以发送大量的攻击包； a l j r l r 4 r s 丫 v 图4 树型有向无环图 ( 6 ) 攻击者意识到他们有可能被迫踪； ( 7 ) 攻击包有可能丢失； ( 8 ) 攻击者和受害者之间的路由器相对固定。 图4 中树根v 表示从a i 、a 2 和a 3 发起网络攻击的受害者，它可以是受到攻击的 单台主机、服务器、网络边界设备，如防火墙或入侵检测系统等。叶子节点a 。表示潜 在的攻击源。数据包的起源是真正的主机( a ) 或者网络，它是可以回溯的网络入口点( r j 的任一入口) ：考虑网络中可能潜在的攻击特性，a i 可能产生任何攻击包，多个a 。也可 能联合攻击。假设( 5 ) 基于攻击者的特性( 攻击者熟悉网络特性和可能的回溯方法) 。内 部节点r j 表示受害者的上游路由器节点，箭头表示攻击包所经过的路径。如从a 2 发出 的攻击包经过的路径是( r 2 ，r 5 ，凡) 。把某一节点a i 的直接上游节点定义为子节点， 如飚的予节点有r 5 、r 4 两个。由于网络中路由器的拓扑结构一般可以通过基于路由探 测的工具软件( 如t r a c e r o u t e 等) 获得。因此假设受害者v 已经知道上游路由器的拓扑结 构。虽然网络拓扑是经常变化的，但是在本文所论述的回溯方法中，短时间内可以认为 网络拓扑是稳定的即假设( 8 ) ，在重构攻击路径时只需把符合条件的路由器节点选中即 司。 j。 ，心 兰州大学研究生学位沦文 4 2 基于陷阱网络的i p 回溯体系结构 广_ 厂： ；嘲帆“ 焰阱机21 i l 一一j 三= ；3 一，7 、r 厶 厂 觥抓2 h ! 竺竺! ! ! ! h e r h 竺竺! 竺卜_ | 竺! i ：二：、一7 广一 ljl i 陷阱机l3 r1 陷阱机23 i 【，一j 【，一j 图5 基于陷阱网络的i p 回溯体系结构 基于陷阱网络的i p 回溯体系结构如图5 所示。由放置在网络中的多个陷阱机( 1 【、 1 2 、1 3 、2 1 、2 2 、2 3 ) 和远程管理控制台( 陷阱网络控制中心1 、2 ) 组成。其中，陷 阱机是一个能够完成牵制和控制网络攻击的子系统。每个陷阱机就是一台欺骗主机，是 一种专门设计来让人“攻陷”的网络或主机， 记录入侵者的行为和使用的工具，获取i p 地址或者攻击者的信息等。 对应图3 的回溯问题，陷阱机记录和监 视a i 、a 2 、a 3 的行为，计算网络通信中数 据包的摘要，构造查询报文。陷阱网络控制 中心1 用于控制陷阱机1 1 、1 2 、1 3 。陷 阱网络控制中心2 用于控制陷阱机2 i 、2 2 、 2 3 。陷阱网络控制中心l 、2 通过i n t e r n e t 连接。 4 3 追踪查询过程 图6 为回溯过程流程图，其查询过程为 ( 1 ) 识别攻击包，然后发送请求给本网 络的陷阱网络控制中心； ( 2 ) 计算该包的摘要，构造查询报文， 报文以三元组( 攻击包的摘要，该网关的出 陷阱机对入侵过程进行记录和监视，自动 图6 回溯过程流程图 兰州大学研究生学位论文 f 地址，受攻击的时间) 的形式提供； ( 3 ) 陷阱网络控制中心接到一个回溯请求后，首先验证请求者的身份，然后根据请 求者的安全等级决定是否接受查询请求； ( 4 ) 陷阱网络控制中心接收到查询请求后，立即要求该域内所有陷阱网络控制中心 务询各自的摘要数据库，并报告查询结果： ( 5 ) 构造攻击路径并将该路径发送给网关； ( 6 ) 如果该域内没有查询到该包的摘要信息，则向另外的自治系统发送查询请求； ( 7 ) 本地陷阱网络控制中心收到所有其他陷阱网络控制中心的攻击路径之后，构造 出完整的攻击路径，并将该路径发送给提出查询请求的网关，网关将结果报告给受攻击 者。 4 4 系统设计的关键技术 4 4 1 数据包的记录 为了达到较低的路由器错选( 路由器错选是指在构造的攻击路径上出现节点r ，但 在实际的攻击路径上无此节点) 、较低的漏报率( 路由器漏报是指攻击路径上有节点r ， 但构造出的攻击路径中无此节点) 和较高的鲁棒性( 追踪的鲁棒性是指回溯算法具有非 常低的错选率和漏报率) ，考虑数据包各字段的内容、网络资源和存储空间的有限性， 定义以下包前缀内容取舍的基本原则： ( 1 ) 不能记录所有数据包的内容； ( 2 ) 具有相同攻击源地址的数据包只记录一个； ( 3 ) 记录的数据包要尽 可能的小： ( 4 ) 记录的数据包必须 反映攻击者的全部信息。 图7 为i p 包前4 0 个字 节的内容。数据包各字段的 内容为：版本( v e r ) 4 比特。 首部长度( i t l e n ) 4 比特。服 务类型8 比特，该字段定义 4 位版4 位i p 头8 位服务 1 6 位总长度 本号长度墨副 1 6 位标识 3 位标志1 3 位偏穆 t t l 协议i p 头校验和 3 2 位源i p 地址 3 2 位目的i p i f l t t l ： 1 6 0 位数据 图7 ”包前4 0 个字节的内容 兰州大学研究生学位论文 了路由器应如何处理此数据报，这个字段分为两个子字段，优先( 3 比特) 和服务类型( 4 比特) ，第8 比特末用。总长度，这个1 6 位字段定义一个以字节记的数据包的总长度( 首 部加上数据) ，因为这个字段是1 6 位长，因此i p 数据报的长度限制是6 5 5 3 5 字节。标 识，用于分片中。标志，用于分片中。片偏移，用于分片中。生存时间，这个字段基本 上是用来控制。个数据报所通过的路由器的最大跳数。协议，这个8 比特字段定义使用 此i p 层服务的高层协议。有许多高层协议( 诸如t c p 、u d p 、i c m p 和i g m p 等) 的数据 能够封装到i p 数据报中。这个字段指明数据包必须交付到的最终目的协议。源地址， 这个3 2 比特字段定义源站的i p 地址。在i p 数据报从源主机发送到目的主机的时间内， 这个字段必须保持不变。目的地址，这个3 2 比特字段定义目的站点的i p 地址。在i p 数据包从源主机发送到目的主机的时间内，这个字段必须保持不变。 研究表明，除去服务类型、生存时间校验和的i p 包前2 8 个字节可以区别几乎所有 的数据包，其数据包的重复率在l a n 中只有0 0 0 9 2 ，而在w a n 中为0 1 3 9 。，可以认 为i p 包的前2 8 个字节可以唯一的标识一个数据包。 4 4 2 算法的实现与路径的构造 】p 地址回溯的目的是找到攻击者的真实源地址。对应树形有向无环图4 的搜索问 题，定义下列状态量 问题状态空间集合弘 r 1 ，r 2 ，r 3 ，r 4 ，r 5 ，k ，a l ，a s ，a 3 ，v ) 初始元素矿 日标元素集合卜 a l ，a 2 ，a 3 ) c x 可能单点攻击路径 岛2 ( a 3 ，r 3 ，r 5 ，飚，v p 3 = a 2 ，r 2 ，r 5 ，v p 4 2 a 1 ，r l ，凡，v 可能联合攻击路径 p 5 = p 6 = p 7 = p 8 = a 2 ，r 2 ，r 5 ，r 6 ，v ) & a 3 ，r 3 ，r 5 ，r 6 ，v a l ，r i ，r 4 ，r 6 ，v ) & a 3 ，r 3 ，r 5 ，r 6 ，v a 】，r l ，r 4 ，r 6 ，v & l a 2 ，r 2 ，r 5 ，r 6 ，v ) a l ，r 1 ，r 4 ，r 6 ，v a 2 ，r 2 ，r 5 ，r 6 ，v ) & a 3 ， 1 6 r 3 ，r 5 ，r 6 ，v 兰州大学研究生学位论文 输入，) = p lp 2p 3 p 4p 5p 6p ，p 8 】 =。0。10 010 。10 11 1 1010 0i10 11 = il ii 输出r = 【f jf 2 ，3 ，4f 5t 6 ，7f 8 】 = o o 10 20 30 6o 7 o 8 i 其中，恐= 到表示潜在的攻击者是a 。，通过节点r 3 、如、，期望的神经网络输出结 果，= 。- ；鼻= 钼表示a 和a ，对v 的联合攻击，期望的神经网络输出r = 。7 。 一层神经元个数为3 个，激活函数为妒l 、第二层神经元个数为1 个，激活函数为伊：) 、单 3 输入权向量m ( 1 ，1 ) 层权向量l w ( 1 ，1 闽值6 1 ) 、b 2 ) 激活函数吼、妒： 3 图8 神经网络模型 兰，r l 大学研究生学位论文 设在第n 次迭代后输出端的第j 个单元的输出为y j ( h ) ，d j ( h ) 表示实际的应有输 叶 ，则误差信号为式( 4 ) 定义单元，的平方误差为e ( ，? ) = 妻p ( ”) ，其中c 包括所有输出单元。 - e o 乃( ”) = ( p ，( ) ( 】6 ) 式中：驴为激活函数。 求e ( 托) 对w ，。的梯度，即 c 3 e ( n ) a e ( n ) & ( 竹) 砂( h ) 挑( n ) 一一 却( ) ( n ) 缈，( n ) 却，( h ) a ( n ) ( 17 ) 由于器1 ，端叫，篙砘n ，硒o v j ( n ) 砒，得 而o e ( n ) 叫肋) ( p 一( n ) w n ) ( 】8 ) 网络学习结构如图9 所示。 v 模拟及数值结果 5 1 数值结果及训练曲 线 选择不同的激活函数p 、1 及 妒：，设置目标误差为0 ，最大运 行次数为1 0 0 ( 超过1 0 0 次认为 不可达) ，其中随机初始化如下。 输入权向量为 图9 网络学习结构 号 层权向量上w ( 1 ，1 ) = i - 1 2 9 0 3 8 6 1 3 0 3 8 3 2 7 】 阈值6 ( 1 ) = 输入范围 误差函数 激活函数 3 0 1 4 2 3 4 9 5 5 7 2 6 0 1 ；0 m s e 妒i 、妒2 ，6 ( 2 ) = 1 0 】 5 1 1 激活函数为p u l i n e 、p u l i n e 数值结果及训练曲线 激活函数妒t 为p u l i n e 、伊2 为p u l i n e 时，训练曲线如图l o 。 训练后输入权向量为 r 1 3 0 3 9 4 i 一3 ，1 7 1 1 l 一2 7 5 2 6 0 7 7 1 4 7 0 8 1 2 4 7 2 8 5 8 3 3 7 1 3l 一2 2 9 7 ll 0 4 3 1 6 1i 训练后层权向量为 形( 1 ，1 ) = - o 0 7 5 4 8 8 0 0 3 9 5 2 2 0 1 6 2 8 2 】 r 一1 2 5 1 8 1 训练后阙值6 ( 1 ) = l 2 3 6 3 8 l 1 0 5 3 2 2 1l e p o c h s 图1 0p u l i n e 和p u r e l i n 仿真结果 训练后闽值6 ( 2 ) = - o 0 1 4 4 2 3 】 n n t o u t p u t s = - o 1 o 1 7 50 2 7 50 3 7 5 0 5 5 0 6