方 圓,李 明,王 萍,江興何,張信明

(1.國(guó)家電網(wǎng) 安徽省電力有限公司信息通信分公司,合肥 230061;2.中國(guó)科學(xué)技術(shù)大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院,合肥 230027)(*通信作者電子郵箱xinming@ustc.edu.cn)

0 引言

高級(jí)持續(xù)性威脅(Advanced Persistent Threat, APT)攻擊是一種高級(jí)的網(wǎng)絡(luò)入侵技術(shù),因其極強(qiáng)的隱蔽性、針對(duì)性、持續(xù)性和不計(jì)成本的長(zhǎng)期入侵機(jī)制,使得各類核心網(wǎng)絡(luò)的安全受到極大的威脅[1]。電力信息網(wǎng)絡(luò)作為整個(gè)電力資源管理的核心,因其存儲(chǔ)著海量的高價(jià)值數(shù)據(jù),來(lái)自網(wǎng)絡(luò)的安全威脅往往更為突出。例如,2015年烏克蘭電網(wǎng)系統(tǒng)遭受了黑客入侵[2],植入的惡意軟件同時(shí)攻擊了多個(gè)電網(wǎng)公司,這是史上首次導(dǎo)致大規(guī)模停電的惡意網(wǎng)絡(luò)攻擊。因此盡早地檢測(cè)到網(wǎng)絡(luò)的入侵行為,隔離處理各種潛在的威脅,為國(guó)民生活生產(chǎn)提供可靠的保障刻不容緩。

檢測(cè)APT攻擊行為是電力信息系統(tǒng)安全防護(hù)的前提，也是整個(gè)防御階段最為核心的部分。常用的基于底層數(shù)據(jù)分析的檢測(cè)方案有惡意代碼異常檢測(cè)、社交網(wǎng)絡(luò)安全事件挖掘和網(wǎng)絡(luò)流量異常檢測(cè)[3]。惡意代碼異常檢測(cè)需要采用靜態(tài)或動(dòng)態(tài)的方式提取特征,由于APT攻擊具有很強(qiáng)的偽裝性、隱藏性和變異性,導(dǎo)致提取時(shí)難以識(shí)別變形、加密后的惡意代碼且耗時(shí)較長(zhǎng);社交網(wǎng)絡(luò)安全事件挖掘,往往需要處理海量低價(jià)值密度的數(shù)據(jù)且有隱私保護(hù)的限制,數(shù)據(jù)量過(guò)大且面臨法律糾紛的風(fēng)險(xiǎn)[3]。由于上述兩種檢測(cè)方式存在一些不足,本文采用基于網(wǎng)絡(luò)流量的異常檢測(cè)方案,分析惡意入侵的行為模式、處理特定網(wǎng)絡(luò)中的流量數(shù)據(jù),避免偽裝帶來(lái)的干擾,降低數(shù)據(jù)規(guī)模。

網(wǎng)絡(luò)流量異常檢測(cè)的方案需要先通過(guò)網(wǎng)絡(luò)嗅探工具例如:Sniffer、NetFlow和flow-tools等,周期性地采集來(lái)自網(wǎng)絡(luò)數(shù)據(jù)流各分組不同維度數(shù)據(jù)的屬性值或統(tǒng)計(jì)值作為原始的訓(xùn)練數(shù)據(jù),預(yù)處理后再通過(guò)數(shù)據(jù)挖掘、統(tǒng)計(jì)學(xué)習(xí)、深度學(xué)習(xí)等方法去探測(cè)網(wǎng)絡(luò)中存在的異常網(wǎng)絡(luò)連接、數(shù)據(jù)轉(zhuǎn)發(fā)、網(wǎng)絡(luò)分組等。按照檢測(cè)數(shù)據(jù)覆蓋的范圍可把異常檢測(cè)方案分為兩類:第一類是基于單一鏈路的入侵攻擊異常檢測(cè)；第二類是基于全網(wǎng)流量矩陣的入侵攻擊異常檢測(cè)。單一鏈路的入侵檢測(cè)往往是考慮單鏈路流量數(shù)據(jù)的時(shí)間相關(guān)性,使用機(jī)器學(xué)習(xí)如樸素貝葉斯(Naive Bayes)[4]、支持向量機(jī)(Support Vector Machine, SVM)[5]等模型進(jìn)行訓(xùn)練;全網(wǎng)流量矩陣則是利用各分組不同維度的數(shù)據(jù)屬性,分析多條鏈路網(wǎng)絡(luò)流量的空間相關(guān)性并針對(duì)全網(wǎng)流量高維度的特點(diǎn)使用主成分分析法 (Principal Component Analysis, PCA)來(lái)降低數(shù)據(jù)維度[6],提取出多個(gè)主要特征來(lái)進(jìn)行分析。

全網(wǎng)流量矩陣數(shù)據(jù)中特征維度很高,一般的機(jī)器學(xué)習(xí)方法難以發(fā)現(xiàn)高維度特征之間的相關(guān)性,不能將APT入侵時(shí)不同主機(jī)的網(wǎng)絡(luò)流量聯(lián)系起來(lái)。卷積神經(jīng)網(wǎng)絡(luò)(Convolutional Neural Network,CNN)能很好地提取二維數(shù)據(jù)中不同特征之間的聯(lián)系,通過(guò)不同的卷積核設(shè)置,CNN能提取出流量矩陣中不同位置特征之間的深層特性,挖掘數(shù)據(jù)之間未知的惡意行為特征;此外,考慮到網(wǎng)絡(luò)入侵行為往往會(huì)持續(xù)一段時(shí)間,通過(guò)分析流量矩陣在一段時(shí)間內(nèi)的變化能更好地檢測(cè)到入侵行為的發(fā)生,循環(huán)神經(jīng)網(wǎng)絡(luò)(Recurrent Neural Network,RNN)能將數(shù)據(jù)按照時(shí)間進(jìn)行處理,層層訓(xùn)練獲得流量數(shù)據(jù)在時(shí)間維度上變化的特性,找出流量數(shù)據(jù)內(nèi)在的時(shí)間依賴。因此,為了提高APT入侵檢測(cè)的效果,綜合考慮了惡意入侵所帶來(lái)網(wǎng)絡(luò)流量的時(shí)間相關(guān)性和空間相關(guān)性,本文提出了一種基于混合卷積神經(jīng)網(wǎng)絡(luò)和循環(huán)神經(jīng)網(wǎng)絡(luò)(Hybrid Convolutional and RNN, H-CRNN)的入侵檢測(cè)模型。相對(duì)于傳統(tǒng)的機(jī)器學(xué)習(xí)模型,混合型深度學(xué)習(xí)網(wǎng)絡(luò)結(jié)構(gòu)能挖掘全網(wǎng)流量矩陣更復(fù)雜的結(jié)構(gòu)特征,能對(duì)未知的惡意行為特征進(jìn)行提取和封裝。首先,通過(guò)CNN提取網(wǎng)絡(luò)流量矩陣中的不同特征空間之間的相關(guān)性,再利用RNN進(jìn)一步找出入侵流量數(shù)據(jù)在時(shí)間上依賴性,充分挖掘全網(wǎng)流量矩陣中的時(shí)空特征,提高入侵檢測(cè)模型的準(zhǔn)確性。

1 問(wèn)題描述及模型介紹

1.1 問(wèn)題描述

APT攻擊往往針對(duì)高價(jià)值的目標(biāo),使用多種先進(jìn)的入侵手段,不間斷地進(jìn)行入侵攻擊來(lái)竊取目標(biāo)網(wǎng)絡(luò)的數(shù)據(jù)或者進(jìn)行破壞。如圖1所示,網(wǎng)絡(luò)入侵攻擊大致可分為六個(gè)階段[7]。入侵在不同階段具有不同的實(shí)施步驟,檢測(cè)模型要確保在攻擊收益階段之前探測(cè)到入侵行為,及時(shí)處理惡意攻擊。電力信息網(wǎng)絡(luò)作為電力運(yùn)行控制的核心,難免會(huì)遭到各類先進(jìn)的APT攻擊,需要部署靈敏的APT檢測(cè)系統(tǒng),通過(guò)分析全網(wǎng)流量的特征及時(shí)地發(fā)現(xiàn)攻擊活動(dòng)。電力信息網(wǎng)絡(luò)中記錄了大量網(wǎng)絡(luò)流量日志信息,預(yù)處理之后使用入侵模型進(jìn)行判斷,可以實(shí)時(shí)判斷當(dāng)前網(wǎng)絡(luò)中是否存在入侵活動(dòng)。由于APT攻擊具有階段性、多目標(biāo)性等特點(diǎn),構(gòu)建網(wǎng)絡(luò)流量檢測(cè)模型時(shí)不僅要考慮到惡意行為在網(wǎng)絡(luò)流量時(shí)間上的相關(guān)性,也要將空間上的相關(guān)性融入到模型中。此外網(wǎng)絡(luò)流量中能提取的特征很多,為了避免“維度災(zāi)難”,本文參考文獻(xiàn)[5]中數(shù)據(jù)集KDD 99所包含的網(wǎng)絡(luò)流量的基本屬性,統(tǒng)計(jì)網(wǎng)絡(luò)中不同鏈路中TCP連接的基本屬性，如連接所持續(xù)的時(shí)長(zhǎng)、協(xié)議的具體類型等;TCP連接內(nèi)容屬性，如一段時(shí)間文件被操作的次數(shù)、shell被使用的次數(shù)等;基于時(shí)間流量的統(tǒng)計(jì)屬性，如一個(gè)周期內(nèi)具有相同連接目標(biāo)主機(jī)的數(shù)量等;基于主機(jī)的流量屬性，如一定連接次數(shù)下具有相同目標(biāo)或相同服務(wù)的比例等[8]。

圖1 APT攻擊的各階段Fig. 1 Stages of APT attack

1.2 卷積神經(jīng)網(wǎng)絡(luò)

卷積神經(jīng)網(wǎng)絡(luò)是由Lecun等[9]提出的一種能實(shí)現(xiàn)深度神經(jīng)網(wǎng)絡(luò)中局部感知、權(quán)值共享等功能的網(wǎng)絡(luò),其網(wǎng)絡(luò)結(jié)構(gòu)包含卷積層和池化層。卷積層作為CNN結(jié)構(gòu)的核心部分,它的設(shè)計(jì)動(dòng)機(jī)是減少參數(shù)數(shù)量、模擬生物行為、提取數(shù)據(jù)之間的深層特性等,通過(guò)局部連接降低高維度的輸入數(shù)據(jù)帶來(lái)的時(shí)間和空間代價(jià)。其中一個(gè)神經(jīng)元只需與部分神經(jīng)元連接,而沒(méi)有必要對(duì)整體進(jìn)行感知;池化層常常對(duì)應(yīng)于統(tǒng)計(jì)函數(shù)如最大值、L2范數(shù)、加權(quán)平均值等,用于降低參數(shù)規(guī)模和保持線性變換過(guò)后結(jié)果不變。卷積層提取的特征在用于分類模型的訓(xùn)練時(shí),考慮到特征在不同位置具有空間局部性,需要使用池化層對(duì)不同位置的特征進(jìn)行一定程度的聚合統(tǒng)計(jì),降低數(shù)據(jù)維度,減少過(guò)擬合的問(wèn)題。

圖2是卷積神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu),其中包含2個(gè)卷積層和2個(gè)池化層,整個(gè)卷積網(wǎng)絡(luò)的數(shù)據(jù)處理步驟如下:

(1)

在經(jīng)過(guò)卷積運(yùn)算后通常會(huì)再連接一個(gè)激活層,把非線性特征引入一個(gè)剛經(jīng)過(guò)線性卷積運(yùn)算的系統(tǒng),避免輸入層僅僅對(duì)上一層的結(jié)果作一個(gè)簡(jiǎn)單的線性變換。

圖2 卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)Fig. 2 Architecture of CNN

S2層:第一次采樣窗口大小為2×2,輸入的24×24的矩陣被池化成一個(gè)12×12大小的pool map,為了使得采樣層具有學(xué)習(xí)性,加入標(biāo)量。M個(gè)卷積核使得生成M個(gè)pool map:

(2)

(3)

S4層:第二次采樣,大小為2×2的采樣窗口將8×8的feature map池化成一個(gè)4×4的pool map,第i個(gè)采樣結(jié)果為:

(4)

(5)

(6)

其中：Nl為l層中pool map的數(shù)量。

1.3 循環(huán)神經(jīng)網(wǎng)絡(luò)

循環(huán)神經(jīng)網(wǎng)絡(luò)能對(duì)時(shí)間序列數(shù)據(jù)進(jìn)行建模,將數(shù)據(jù)流按照循環(huán)的方式來(lái)層層處理,其顯著的特點(diǎn)是具有持續(xù)性和記憶性[10]。持續(xù)性是指在時(shí)間序列的數(shù)據(jù)中,時(shí)間前后關(guān)系的數(shù)據(jù)并不是獨(dú)立的,而是具有某種內(nèi)在的依賴性,某個(gè)階段的輸入不僅僅和當(dāng)前階段的數(shù)據(jù)相關(guān)也受過(guò)去信息的影響;記憶性是指RNN在處理序列數(shù)據(jù)時(shí),具備保留過(guò)去信息的能力。入侵檢測(cè)需要挖掘數(shù)據(jù)流量中的時(shí)間相關(guān)特征,同類型的統(tǒng)計(jì)數(shù)據(jù)之間隱藏著復(fù)雜的內(nèi)在聯(lián)系,考察當(dāng)前狀態(tài)時(shí)不應(yīng)該拋棄過(guò)往的結(jié)果。在時(shí)間和空間相關(guān)的場(chǎng)景中,這些數(shù)據(jù)更是存在著不同的組合關(guān)系,數(shù)據(jù)特征的糅合多種多樣。為了挖掘深藏的依賴關(guān)系,本文使用RNN去處理CNN所提取的特征數(shù)據(jù)。

在任意的時(shí)間t,隱藏層和輸出層處理如下:

st=sigmoid(UT×xt+WT×st-1)

(7)

ot=softmax(VT×st)

(8)

基保：U是連接輸入層和隱藏層的權(quán)重矩陣；W是兩個(gè)隱藏層之間連接的權(quán)重矩陣；V是隱藏層到輸出層的權(quán)重矩陣。反向傳播時(shí),導(dǎo)入數(shù)據(jù)的損失函數(shù)可通過(guò)如式(9)得出:

(9)

使用梯度下降來(lái)對(duì)其中的參數(shù)進(jìn)行更新,將任意時(shí)間的損失C(ot,yt)對(duì)V求導(dǎo)結(jié)果如下:

(10)

其中:

(11)

m為輸入神經(jīng)元個(gè)數(shù);d為輸出神經(jīng)元個(gè)數(shù)。從結(jié)果可以看出對(duì)V求導(dǎo)并不因?yàn)闀r(shí)間流逝而導(dǎo)致梯度的消失。損失函數(shù)C(ot,yt)對(duì)W求導(dǎo)的結(jié)果如式(12)所示:

(12)

但是當(dāng)時(shí)間序列跨度過(guò)長(zhǎng)時(shí)會(huì)出現(xiàn)梯度消失的問(wèn)題,即梯度計(jì)算結(jié)果隨著一層層的傳遞而指數(shù)級(jí)的降低,此時(shí)一種基于RNN的改進(jìn)的門控遞歸單元(Gated Recurrent Unit, GRU)[11]可以處理這樣的問(wèn)題。GRU網(wǎng)絡(luò)作為處理隱藏層的方式,其原理如圖3所示。

圖3 單個(gè)GRU網(wǎng)絡(luò)節(jié)點(diǎn)結(jié)構(gòu)Fig. 3 Architecture of single GRU network node

(13)

(14)

(15)

(16)

1.4 混合CNN和RNN的網(wǎng)絡(luò)模型

如圖4所示,全網(wǎng)流量矩陣先經(jīng)過(guò)CNN處理,提取出網(wǎng)絡(luò)流量的空間特征,輸出按時(shí)間排列的分組數(shù)據(jù),再通過(guò)RNN對(duì)已經(jīng)時(shí)間序列化的數(shù)據(jù)進(jìn)行訓(xùn)練最終得到結(jié)果。為了解決傳統(tǒng)的矩形卷積核難以在二維矩陣中采集離散分布的特征的問(wèn)題，通過(guò)給訓(xùn)練的卷積窗口增加一個(gè)隨機(jī)的偏移向量的方式獲得可變的卷積核來(lái)處理CNN中的卷積和池化操作[12],其思想核心是對(duì)原有CNN中的采樣方式進(jìn)行一定的改進(jìn)。

首先給出一個(gè)與輸入矩陣窗口大小相同的偏移域(offset field),卷積窗口在偏移域中滑動(dòng)得出卷積偏移的效果,以此達(dá)到優(yōu)化采樣空間的效果。9種偏移向量如下所示:

Γ=((-1,-1),(-1,0),…,(1,1))

(17)

任意一個(gè)點(diǎn)可以向周圍八個(gè)方向偏移。原有的卷積的輸出結(jié)果經(jīng)過(guò)式(18)可得:

(18)

每個(gè)卷積窗口每個(gè)元素Pn有權(quán)重w,其中Pg則代表每個(gè)窗口輸出的任意元素。通過(guò)加上ΔPn,可以使輸入的數(shù)據(jù)矩陣x進(jìn)行偏移:

(19)

其中:ΔPn用來(lái)處理x輸入層對(duì)應(yīng)元素的采樣,對(duì)窗口元素權(quán)重w沒(méi)有約束,這里需要對(duì)w和ΔPn兩組參數(shù)進(jìn)行訓(xùn)練。對(duì)于可變形的池化區(qū)域也可以通過(guò)類似的變形步驟,將傳統(tǒng)的池化區(qū)域轉(zhuǎn)化成大小為bin的特征圖:

(20)

其中:Pg是池化區(qū)域上某個(gè)點(diǎn)；nij對(duì)應(yīng)bin大小的特征圖中元素的個(gè)數(shù)。再通過(guò)對(duì)池化區(qū)域進(jìn)行偏移變形計(jì)算得出最終的池化區(qū)域：

(21)

圖4 混合CNN和RNN模型結(jié)構(gòu)Fig. 4 Architecture of hybrid CNN and RNN model

2 模型性能評(píng)估

2.1 實(shí)驗(yàn)設(shè)置

本文實(shí)驗(yàn)是在Linux仿真平臺(tái)上基于TensorFlow[13]深度學(xué)習(xí)框架來(lái)進(jìn)行訓(xùn)練的。實(shí)驗(yàn)包含兩類數(shù)據(jù)：第一類數(shù)據(jù)來(lái)源于含有大量先進(jìn)APT攻擊技術(shù)的惡意軟件數(shù)據(jù)庫(kù)[14]；第二類數(shù)據(jù)是Predict網(wǎng)絡(luò)中“Defense Advanced Research Projects Agency (DARPA) Scalable Network Monitoring (SNM) Program Traffic”分類下的良性數(shù)據(jù)[15]。真實(shí)場(chǎng)景中的APT攻擊往往隱藏在大量的正常網(wǎng)絡(luò)數(shù)據(jù)流中,本文將這兩類數(shù)據(jù)融合在一起使得數(shù)據(jù)來(lái)源更貼近現(xiàn)實(shí)。APT攻擊常常使用多種先進(jìn)的攻擊手段而且攻擊時(shí)間往往持續(xù)幾天甚至幾個(gè)星期。本文實(shí)驗(yàn)選取40個(gè)IP地址作為監(jiān)聽(tīng)對(duì)象,記錄惡意入侵時(shí)各種網(wǎng)絡(luò)流量特征的統(tǒng)計(jì)值,收集其一個(gè)月的網(wǎng)絡(luò)流量數(shù)據(jù)。每個(gè)統(tǒng)計(jì)值數(shù)據(jù)50 ms更新一次,間隔5 s得到一份全網(wǎng)流量矩陣原始樣本。最后利用4 GB左右的DAPRA良性樣本和848 MB的APT標(biāo)記的惡意樣本來(lái)進(jìn)行模型訓(xùn)練。圖5是數(shù)據(jù)處理的大致流程。

圖5 H-CRNN模型訓(xùn)練過(guò)程Fig. 5 H-CRNN model training process

通過(guò)觀察損失值(loss)下降曲線圖和準(zhǔn)確率變化趨勢(shì),在較大學(xué)習(xí)率時(shí)確定合適的參數(shù)范圍,循環(huán)縮小超參數(shù)的搜索空間。然后降低學(xué)習(xí)率,利用網(wǎng)格搜索(grid search)的方式進(jìn)行大量訓(xùn)練找出最優(yōu)的模型參數(shù)。本文模型的CNN、全連接層(Fully Connected layer, FC)RNN各超參數(shù)如表1所示。系統(tǒng)硬件配置如下:CPU為Intel Core i7 7700K,內(nèi)存為DDR4 2 333 MHz 64 GB, 顯卡為NVIDIA GTX 1080Ti。如圖6所示,在訓(xùn)練初期模型loss震蕩下降,訓(xùn)練后期損失值不再隨著訓(xùn)練步數(shù)增加而減少。圖7中模型預(yù)測(cè)準(zhǔn)確率(accuracy)在訓(xùn)練初期隨著訓(xùn)練步數(shù)增而加快速升高,訓(xùn)練后期預(yù)測(cè)準(zhǔn)確率基本維持在95.5%左右。整個(gè)訓(xùn)練時(shí)間約4.3 h。

表1 各模塊參數(shù)設(shè)置Tab. 1 Parameters setting for each module

圖6 H-CRNN模型損失值Fig. 6 Loss of H-CRNN model

圖7 H-CRNN模型準(zhǔn)確率Fig. 7 Accuracy of H-CRNN model

2.2 實(shí)驗(yàn)結(jié)果與分析

為了驗(yàn)證本文模型的有效性，表2給了出分類問(wèn)題預(yù)測(cè)結(jié)果的交叉矩陣。測(cè)試樣本總數(shù)S=TP+FN+FP+TN,其中正確預(yù)測(cè)的樣本數(shù)為TP+TN,錯(cuò)誤預(yù)測(cè)的樣本數(shù)為FP+FN,通用的樣本分類問(wèn)題評(píng)價(jià)指標(biāo)如下。

誤報(bào)率是預(yù)測(cè)為惡意樣本中良性樣本的比值,表達(dá)式如下:

(22)

查準(zhǔn)率(Precison)是預(yù)測(cè)為良性的樣本中,真實(shí)值為良性樣本的比值,表達(dá)式如下:

(23)

查全率(Recall)是真實(shí)的良性樣本占預(yù)測(cè)為良性樣本的比值,表達(dá)式如下:

(24)

F1度量是精確度和召回率的平衡點(diǎn),可以看作是精確度和召回率的調(diào)和平均數(shù),表達(dá)式如下:

(25)

表2 分類結(jié)果的混淆矩陣Tab. 2 Confusion matrix of classification results

將本文模型H-CRNN與已有的基于單鏈路流量的Naive Bayes[4]、SVM[5]和基于全網(wǎng)流量矩陣的PCA-based[6]進(jìn)行對(duì)比。隨機(jī)截取數(shù)據(jù)集中1/4的數(shù)據(jù)作為測(cè)試集,各模型預(yù)測(cè)結(jié)果統(tǒng)計(jì)如表3所示?；旌夏Ｐ湍芫C合考慮發(fā)生APT攻擊時(shí)網(wǎng)絡(luò)流量的空間相關(guān)性和時(shí)間相關(guān)性,使得模型在查準(zhǔn)率、查全率、F1度量上都有一定程度的提升。除此以外,相對(duì)于其他模型,本文模型H-CRNN大幅降低了誤報(bào)率,減少人力排查的時(shí)間。

圖8給出四種模型的ROC曲線,其中橫坐標(biāo)假正例率定義為FP/(TN+FP),縱坐標(biāo)真正例率定義為TP/(TP+FN)。H-CRNN模型的ROC曲線一直位于上在其他模型的上方,曲線下方的面積(Area Under Curve, AUC)相對(duì)于其他模型有7.5%～14.0%的提升,表明所提模型在綜合性上能有了一定的提高。

表3 不同模型的分類結(jié)果統(tǒng)計(jì)Tab. 3 Classification results of different models

圖8 不同模型的ROC曲線Fig. 8 Different models’ ROC curves

3 結(jié)語(yǔ)

本文針對(duì)電力信息網(wǎng)絡(luò)中APT攻擊問(wèn)題設(shè)計(jì)一種高效的入侵檢測(cè)模型。這種新型的入侵檢測(cè)模型采用了混合卷積神經(jīng)網(wǎng)絡(luò)和循環(huán)神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu),能綜合分析APT攻擊時(shí)網(wǎng)絡(luò)流量的時(shí)空特性。除此以外,本文在卷積核的設(shè)計(jì)上,給卷積核添加隨機(jī)偏移量來(lái)處理更廣的空間特征,使得模型具有更高的靈敏度和更低誤報(bào)率。實(shí)驗(yàn)結(jié)果表明,該模型在各項(xiàng)通用指標(biāo)上都有一定的提升。值得注意的是,針對(duì)不斷迭代的各種網(wǎng)絡(luò)入侵攻擊,實(shí)際部署的檢測(cè)模型需要定期進(jìn)行訓(xùn)練更新。