27、利用Kohonen映射改进安全测试

利用Kohonen映射改进安全测试

1. Nmap TCP/IP指纹转换问题与解决

在处理Nmap TCP/IP指纹时，会遇到一些问题。比如，有的段可能只填充了2个选项字段，在其他实验中，两台机器可能会以不同顺序响应相同的4个选项。为了解决这个问题，我们在输入向量中预留一个范围，用于存储给定属性的所有可能排列、值、序列和出现次数。

另外，Nmap TCP/IP指纹有时会有空白字段。这通常是因为被测设备（DUT）没有响应Nmap探测，或者没有实现某个TCP/IP特性。在这种情况下，输入向量中对应的条目或范围需要填充一些信息。由于向量字段的值在0到1之间，我们假设这个特定字段处于任意值的中间状态。实际实验表明，这个值可以生成令人满意的上下文映射，但对于空白字段的理想值仍在研究中，以便未来进行改进。

可以使用替代方法将Nmap的TCP/IP指纹格式转换为神经网络所需的向量表示。但我们必须注意用于执行这种转换的函数，同时要考虑到Nmap测试结果的不同输入可能会为输入向量生成不同的值，并且这些值必须正确反映它们想要实现的映射。如果所选函数满足这些要求，可能会生成不同的上下文映射，但它们会以与本文类似的方式对系统进行分组。

2. 自组织映射生成上下文映射

自组织映射是由Kohonen提出的一类特殊神经网络，基于竞争学习。该神经网络由神经元组成，这些神经元根据呈现给它们的输入空间样本相互竞争。虽然简单，但这个工具非常强大，文献报道它能够解决从模式识别到过程控制等多个领域的问题。

在这种神经网络中，神经元通过晶格结构相互连接，每个神经元可能与一个或多个邻居相连。例如，一个4×4神经元的神经网络晶格，使用规则网格，每个神经元由一个与输