鄭永奇

（鄭州澍青醫(yī)學(xué)高等專(zhuān)科學(xué)校 河南 鄭州 450000）

0 引言

近些年來(lái)，以網(wǎng)絡(luò)異常流量監(jiān)測(cè)為核心的研究受到了越來(lái)越多的關(guān)注[1-3]。其中李杰等[4]將Socket 融入到網(wǎng)絡(luò)通信流量異常的監(jiān)測(cè)方法研究之中，在一定程度上提高了監(jiān)測(cè)結(jié)果的可靠性，但是由于其需要進(jìn)行的計(jì)算較多，因此對(duì)于異常流量的監(jiān)測(cè)存在一定的滯后性，導(dǎo)致對(duì)于異常流量規(guī)模的監(jiān)測(cè)結(jié)果存在一定誤差，且在非穩(wěn)態(tài)的模式下，擾動(dòng)因子也會(huì)對(duì)其監(jiān)測(cè)穩(wěn)定性造成影響。胡津銘等[5]以移動(dòng)警務(wù)終端為研究對(duì)象，在對(duì)SOM 神經(jīng)網(wǎng)絡(luò)進(jìn)行改進(jìn)后，將其應(yīng)用到流量監(jiān)測(cè)中，提高了對(duì)于流量數(shù)據(jù)信息的響應(yīng)效率，對(duì)應(yīng)的流量規(guī)模監(jiān)測(cè)結(jié)果也更加準(zhǔn)確，但是其對(duì)于異常流量的判斷存在一定的提升空間，部分正常流量誤識(shí)別為異常流量的情況時(shí)有發(fā)生。

結(jié)合卷積神經(jīng)網(wǎng)絡(luò)在數(shù)據(jù)分析方面的優(yōu)勢(shì)，本文提出一種基于雙向循環(huán)卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)異常流量監(jiān)測(cè)方法，并通過(guò)對(duì)比測(cè)試的方式分析驗(yàn)證了設(shè)計(jì)方法對(duì)于異常流量的監(jiān)測(cè)效果。

1 網(wǎng)絡(luò)異常流量監(jiān)測(cè)方法設(shè)計(jì)

1.1 構(gòu)建雙向循環(huán)卷積神經(jīng)網(wǎng)絡(luò)

為了確保本文循環(huán)卷積神經(jīng)網(wǎng)絡(luò)能夠根據(jù)輸入的網(wǎng)絡(luò)流量數(shù)據(jù)及時(shí)作出運(yùn)行反饋，本文為循環(huán)卷積神經(jīng)網(wǎng)絡(luò)設(shè)置了感知器單元，利用其獲取網(wǎng)絡(luò)流量信號(hào)，在對(duì)其進(jìn)行加權(quán)求和處理的基礎(chǔ)上[6]，借助非線性激活函數(shù)將其輸入到神經(jīng)網(wǎng)絡(luò)中。感知器單元對(duì)數(shù)據(jù)的處理方式可以表示為：

其中，y表示感知器單元輸出的網(wǎng)絡(luò)流量數(shù)據(jù)，sigmoid表示非線性激活函數(shù)，wi表示網(wǎng)絡(luò)流量數(shù)據(jù)xi 的權(quán)重系數(shù)。通過(guò)這樣的方式，實(shí)現(xiàn)對(duì)循環(huán)卷積神經(jīng)網(wǎng)絡(luò)感知器單元的構(gòu)建。

其次，考慮到神經(jīng)網(wǎng)絡(luò)中包含大量神經(jīng)元，在對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)信息進(jìn)行識(shí)別分類(lèi)的過(guò)程中，本文為了最大限度避免由于神經(jīng)元飽和和學(xué)習(xí)速率緩慢導(dǎo)致的監(jiān)測(cè)結(jié)果異常問(wèn)題[7]，利用交叉熵代價(jià)函數(shù)對(duì)流量數(shù)據(jù)在神經(jīng)網(wǎng)絡(luò)各神經(jīng)元之間的傳遞進(jìn)行約束，具體計(jì)算方式可以表示為：

其中，c表示交叉熵代價(jià)函數(shù)的計(jì)算結(jié)果，a表示交叉熵，根據(jù)式（2）所示的方式，在卷積神經(jīng)網(wǎng)絡(luò)運(yùn)行的過(guò)程中，為了最大化各神經(jīng)元輸出值與期望目標(biāo)值之間的擬合度，需要最小化a，并使其無(wú)限趨近于0。

最后就是對(duì)雙向循環(huán)卷積神經(jīng)網(wǎng)絡(luò)整體結(jié)構(gòu)的設(shè)置，圖1為本文構(gòu)建的循環(huán)卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)示意圖。

圖1 雙向循環(huán)卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)示意圖

從圖1中可以看出，本文設(shè)計(jì)卷積層提取輸入層網(wǎng)絡(luò)流量的特征信息，為了確保異常流量識(shí)別結(jié)果的可靠性，本文將傳統(tǒng)卷積神經(jīng)網(wǎng)絡(luò)中的卷積層替換為循環(huán)卷積層，對(duì)于提取到的特征參量，在特征層數(shù)據(jù)中添加空數(shù)據(jù)后，對(duì)其進(jìn)行二次抽象提取，并按照這樣的方式循環(huán)至特征層抽取的特征數(shù)據(jù)結(jié)果與上一次一致。將對(duì)應(yīng)的結(jié)果輸入到池化層，將其作為異常流量判斷的基準(zhǔn)。

1.2 網(wǎng)絡(luò)異常流量監(jiān)測(cè)

在上述基礎(chǔ)上，本文對(duì)于網(wǎng)絡(luò)異常流量監(jiān)測(cè)是實(shí)際的網(wǎng)絡(luò)流量數(shù)據(jù)與循環(huán)卷積層輸出特征參量之間的關(guān)系實(shí)現(xiàn)的，考慮到對(duì)于異常流量的監(jiān)測(cè)需要[8-9]，本文在計(jì)算過(guò)程中引入了時(shí)間參量。具體的監(jiān)測(cè)流程分為以下幾個(gè)步驟：

步驟1：將網(wǎng)絡(luò)流量數(shù)據(jù)信息輸入到循環(huán)卷積神經(jīng)網(wǎng)絡(luò)中，經(jīng)過(guò)式（1）所示的感知器單元對(duì)其進(jìn)行激活處理，并輸入到循環(huán)卷積層；

步驟2：在循環(huán)卷積層提取數(shù)據(jù)的特征參量，其計(jì)算方式可以表示為：

其中，y1(m，n)表示提取到的網(wǎng)絡(luò)流量數(shù)據(jù)特征參量，b表示偏置系數(shù)，wm和wn分別表示m和n循環(huán)卷積層神經(jīng)元的輸出結(jié)果的權(quán)重系數(shù)，k表示卷積層的邊長(zhǎng)，*表示卷積運(yùn)算，d表示卷積的步長(zhǎng)。通過(guò)這樣的方式計(jì)算得到初代特征參量。

步驟3：采用隨機(jī)的方式在提取到的特征結(jié)果中添加空數(shù)據(jù)，二次計(jì)算特征參量，其計(jì)算方式可以表示為：

其中，y2(m，n)表示第一次循環(huán)計(jì)算得到的二次特征參量，d+l 表示第一次循環(huán)卷積的步長(zhǎng)，l 表示空數(shù)據(jù)的添加規(guī)模。

步驟4：按照上述的方式循環(huán)直至得到的特征參量不再隨著循環(huán)次數(shù)的增加發(fā)生變化，將其輸入到池化層，與樣本數(shù)據(jù)提取到的特征值進(jìn)行比較，當(dāng)二者存在差異時(shí)，則表明此時(shí)的網(wǎng)絡(luò)流量為異常狀態(tài)，以記錄當(dāng)前數(shù)據(jù)的時(shí)間標(biāo)簽，以循環(huán)神經(jīng)網(wǎng)絡(luò)數(shù)輸出特征與池化層一致時(shí)為終止，得到對(duì)應(yīng)的時(shí)間信息，結(jié)合異常流量的具體參數(shù)，計(jì)算出異常的規(guī)模。

通過(guò)這樣的方式，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常流量的準(zhǔn)確監(jiān)測(cè)。

2 分析測(cè)試

2.1 測(cè)試環(huán)境及數(shù)據(jù)準(zhǔn)備

本文以Linux2020 操作系統(tǒng)作為測(cè)試環(huán)境，對(duì)于測(cè)試數(shù)據(jù)的準(zhǔn)備，本文選取了CIC-IDS2017 的原始網(wǎng)絡(luò)流量數(shù)據(jù)，通過(guò)這樣的方式確保監(jiān)測(cè)方法能夠在實(shí)際的應(yīng)用階段表現(xiàn)出更高的通用性，對(duì)應(yīng)的數(shù)據(jù)的網(wǎng)絡(luò)協(xié)議中HTTP、HTTPS、FTP 和SSH。其次就是對(duì)異常流量數(shù)據(jù)的設(shè)置，考慮到一般情況下網(wǎng)絡(luò)流量出現(xiàn)異常的原因多為外部攻擊，為此，本文設(shè)置了9 種較為常見(jiàn)的攻擊流量，其具體的類(lèi)型和規(guī)模如表1所示。

表1 攻擊流量設(shè)置

按照表1所示的設(shè)置結(jié)果，分別采用李杰等[4]、胡津銘等[5]以及本文的方法進(jìn)行監(jiān)測(cè)測(cè)試，并對(duì)比對(duì)應(yīng)的測(cè)試結(jié)果。

2.2 測(cè)試結(jié)果與分析

對(duì)三種方法的監(jiān)測(cè)結(jié)果進(jìn)行分析，得到的結(jié)果如圖2所示。

圖2 不同方法監(jiān)測(cè)結(jié)果

從圖2中可以看出，正常狀態(tài)下的流量為2.0×103～4.0×103bit，各個(gè)監(jiān)測(cè)結(jié)果中對(duì)應(yīng)的網(wǎng)絡(luò)流量峰值即為異常流量，峰值對(duì)應(yīng)的時(shí)間跨度不同，意味著流量相應(yīng)的規(guī)模也不同，通過(guò)對(duì)圖2中不同方法的測(cè)試結(jié)果進(jìn)行分析可以看出，在李杰等[4]方法對(duì)應(yīng)的2（a）監(jiān)測(cè)結(jié)果中，監(jiān)測(cè)到的異常流量值為10 個(gè)，在胡津銘等[5]方法對(duì)應(yīng)的2（b）監(jiān)測(cè)結(jié)果中，監(jiān)測(cè)到的異常流量值為12 個(gè)，在本文設(shè)計(jì)方法對(duì)應(yīng)的2（a）監(jiān)測(cè)結(jié)果中，監(jiān)測(cè)到的異常流量值為9 個(gè)，根據(jù)上述結(jié)果初步分析，本文設(shè)計(jì)方法的監(jiān)測(cè)結(jié)果與測(cè)試設(shè)置階段布置的9 個(gè)攻擊流量數(shù)量上具有一致性。

在上述基礎(chǔ)上，統(tǒng)計(jì)了三種方法對(duì)各攻擊流量規(guī)模的監(jiān)測(cè)結(jié)果，得到的數(shù)據(jù)信息如表2所示。

表2 不同方法網(wǎng)絡(luò)流量規(guī)模監(jiān)測(cè)結(jié)果統(tǒng)計(jì)表

對(duì)表2中的數(shù)據(jù)信息進(jìn)行對(duì)比可以看出，李杰等[4]方法對(duì)于網(wǎng)絡(luò)流量規(guī)模的監(jiān)測(cè)結(jié)果與實(shí)際值之間的差異存在較大的波動(dòng)性，其中，最大差值為對(duì)Normal Activity 的監(jiān)測(cè)結(jié)果，達(dá)到了8.9 GB，這是因?yàn)槠鋵?duì)異常流量的監(jiān)測(cè)結(jié)果中存在將正常流量誤識(shí)別為異常流量的情況。除此之外，對(duì)于DoS、Force 和Botnet 異常攻擊流量規(guī)模的監(jiān)測(cè)結(jié)果誤差也達(dá)到了1.0 GB 以上，表明該監(jiān)測(cè)方法的可靠性仍存在進(jìn)一步提升的空間。胡津銘等[5]方法對(duì)于網(wǎng)絡(luò)流量規(guī)模的監(jiān)測(cè)結(jié)果整體誤差相對(duì)較低，對(duì)于設(shè)置的9 種異常攻擊流量規(guī)模，監(jiān)測(cè)誤差均在1.0 GB以?xún)?nèi)，最大值僅為0.9 GB，但是在圖2所示的監(jiān)測(cè)結(jié)果中已經(jīng)表現(xiàn)出了對(duì)異常流量的判斷存在一定的不足，由于Normal Activity 識(shí)別為異常流量，因此對(duì)該部分流量的監(jiān)測(cè)誤差較大，達(dá)到了15.4 GB。相比之下，本文設(shè)計(jì)方法對(duì)于異常流量規(guī)模的監(jiān)測(cè)結(jié)果與設(shè)置值之間的差值始終穩(wěn)定在0.3 GB 以?xún)?nèi)，在不同異常流量規(guī)模監(jiān)測(cè)誤差的累積作用下，對(duì)于Normal Activity 規(guī)模的監(jiān)測(cè)誤差也僅為0.6 GB。這是因?yàn)楸疚脑O(shè)計(jì)的監(jiān)測(cè)方法利用雙向循環(huán)卷積神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)了對(duì)異常值的計(jì)算和校驗(yàn)，提高了監(jiān)測(cè)結(jié)果的可靠性。測(cè)試結(jié)果表明，本文設(shè)計(jì)的基于雙向循環(huán)卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)異常流量監(jiān)測(cè)方法具有良好的實(shí)際應(yīng)用效果。

3 結(jié)語(yǔ)

為了保障網(wǎng)絡(luò)的安全性和穩(wěn)定性，針對(duì)異常流量情況實(shí)施有效的管理和防御措施是十分必要的，這就意味著網(wǎng)絡(luò)異常流量監(jiān)測(cè)結(jié)果要具有更高的可靠性，能夠?yàn)楹罄m(xù)的網(wǎng)絡(luò)管理工作提供準(zhǔn)確的數(shù)據(jù)信息。針對(duì)該問(wèn)題，本文提出一種基于雙向循環(huán)卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)異常流量監(jiān)測(cè)方法，在一定程度上提高了對(duì)異常流量的檢測(cè)精度。