徐洪平，馬澤文，易 航

（北京宇航系統(tǒng)工程研究所，北京 100076）

0 引言

隨著全球新一輪信息科技革命和產(chǎn)業(yè)變革，網(wǎng)絡(luò)空間和現(xiàn)實世界越來越深地融合在一起，網(wǎng)絡(luò)空間已經(jīng)成為繼領(lǐng)土、領(lǐng)海、領(lǐng)空和太空之后的“第五疆域”，確保我國的網(wǎng)絡(luò)空間安全具有重大的戰(zhàn)略意義。近年來，中國航天取得了舉世矚目的成就，各型號運載火箭相繼實驗成功并正式投入使用。同時，我國各型號運載火箭信息化程度越來越高，指令信息發(fā)布傳遞、火箭測試發(fā)射控制等功能日趨自動化。隨著運載火箭測發(fā)網(wǎng)絡(luò)功能的拓展，其網(wǎng)絡(luò)規(guī)模越來越大、結(jié)構(gòu)越來越復(fù)雜。為了便于實驗人員操作，在測發(fā)網(wǎng)絡(luò)內(nèi)部也增加了類似于互聯(lián)網(wǎng)中服務(wù)器和客戶端間通信的應(yīng)用模式［1］，運載火箭測發(fā)網(wǎng)絡(luò)的常見網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1 所示。測發(fā)網(wǎng)絡(luò)前后端之間，以及雙端的各個分系統(tǒng)設(shè)備之間都通過核心交換機進(jìn)行數(shù)據(jù)傳遞。除了上述特點以外，遠(yuǎn)距離、長時間測試通信等眾多新功能使得運載火箭測發(fā)網(wǎng)絡(luò)可能存在的安全漏洞越來越多，所面臨的網(wǎng)絡(luò)安全威脅也越來越嚴(yán)重。

圖1 運載火箭測發(fā)網(wǎng)絡(luò)拓?fù)銯ig.1 Topological diagram of the measurement and control network for launch vehicles

反觀當(dāng)前運載火箭測發(fā)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀，主要依賴于物理隔離策略［2］和傳統(tǒng)的入侵檢測技術(shù)［3-4］。盡管目前我國各型號運載火箭測發(fā)網(wǎng)絡(luò)是與互聯(lián)網(wǎng)等外界網(wǎng)絡(luò)完全物理隔離的網(wǎng)絡(luò)，但這并不代表其處于一個完全安全的環(huán)境。完全物理隔離網(wǎng)絡(luò)仍然面臨人為病毒帶入和側(cè)信道攻擊等安全威脅，在測發(fā)網(wǎng)絡(luò)系統(tǒng)的全壽命周期內(nèi)，部分子系統(tǒng)設(shè)備的返廠檢修、非法接入等問題也會給整個網(wǎng)絡(luò)系統(tǒng)帶來巨大的安全隱患。而傳統(tǒng)入侵檢測的主要特點是通過異常特征庫匹配的方式對網(wǎng)絡(luò)中的異常流量進(jìn)行檢測，如果異常特征庫不能及時升級和更新，系統(tǒng)不能及時安裝補丁，則在面對一些異常特征庫中沒有出現(xiàn)過的新型攻擊時將嚴(yán)重缺乏有效的檢測能力。相較于互聯(lián)網(wǎng)或其他普通局域網(wǎng)，運載火箭測發(fā)網(wǎng)絡(luò)作為極其重要的國防基礎(chǔ)設(shè)施，對網(wǎng)絡(luò)安全有著極高的要求。然而其面臨的攻擊威脅很可能是針對性極強、有組織性、隱蔽性極強的未知威脅或新型攻擊，當(dāng)前的安全防護(hù)和異常檢測手段已然無法滿足應(yīng)用需求，運載火箭型號承載的重大國家戰(zhàn)略意義也決定了其不能接受安全問題發(fā)生后的“事后補救”。在這樣的現(xiàn)實背景下，針對我國的運載火箭測發(fā)網(wǎng)絡(luò)系統(tǒng)，亟須研究一種不依賴于異常特征庫匹配的網(wǎng)絡(luò)流量異常檢測方法，除了對針對服務(wù)器的拒絕服務(wù)攻擊、針對客戶端的身份驗證攻擊或針對數(shù)據(jù)庫的SQL 注入攻擊等已知的常見網(wǎng)絡(luò)攻擊進(jìn)行全面檢測外，還應(yīng)該具備一定的能夠發(fā)現(xiàn)未知網(wǎng)絡(luò)攻擊的能力，以緩解測發(fā)網(wǎng)絡(luò)系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅。

近年來，基于經(jīng)典機器學(xué)習(xí)的網(wǎng)絡(luò)流量分類方法已經(jīng)成為進(jìn)行網(wǎng)絡(luò)流量異常檢測的主流方法之一［5］。使用經(jīng)典機器學(xué)習(xí)方法解決網(wǎng)絡(luò)流量異常檢測問題，需要設(shè)計包含多種網(wǎng)絡(luò)流量統(tǒng)計特征對網(wǎng)絡(luò)流量樣本進(jìn)行描述和表示，使用統(tǒng)計特征進(jìn)行檢測能夠擺脫基于異常特征庫匹配方法進(jìn)行異常檢測的限制，并對未知攻擊有一定的檢測能力。但是這種方法的檢測效果在很大程度上取決于網(wǎng)絡(luò)流量特征集的設(shè)計，而設(shè)計合適的網(wǎng)絡(luò)流量特征集仍然是一個很難解決的問題［6-7］，特別是針對運載火箭測發(fā)網(wǎng)絡(luò)，缺乏相關(guān)網(wǎng)絡(luò)流量特征選擇方面的研究。

為了克服基于異常特征庫匹配的檢測方式的固有缺陷以及經(jīng)典機器學(xué)習(xí)方法需要設(shè)計合適的特征集的困境，首先，針對測發(fā)網(wǎng)絡(luò)的實際特點，提出一種不同顆粒度的測發(fā)網(wǎng)絡(luò)流量樣本生成方法；其次，使用深度學(xué)習(xí)中的卷積神經(jīng)網(wǎng)絡(luò)，將生成的不同顆粒度的測發(fā)網(wǎng)絡(luò)流量樣本作為輸入，依靠卷積神經(jīng)網(wǎng)絡(luò)自動提取特征對測發(fā)網(wǎng)絡(luò)流量進(jìn)行表征，進(jìn)而對正常/異常的網(wǎng)絡(luò)流量進(jìn)行分類；最后，通過搜集某型號運載火箭測發(fā)網(wǎng)絡(luò)實驗時生成的真實流量數(shù)據(jù)，設(shè)計實驗驗證該方法具有較好的檢測效果。

1 運載火箭測發(fā)網(wǎng)絡(luò)流量異常檢測

1.1 相關(guān)工作

如前文所述，使用經(jīng)典機器學(xué)習(xí)方法對網(wǎng)絡(luò)流量進(jìn)行分類從而實現(xiàn)異常檢測，已經(jīng)成為該領(lǐng)域的主流研究方向之一。迄今為止，研究者們提出了很多的流量特征。MOORE 等［8］使用樸素貝葉斯方法訓(xùn)練機器學(xué)習(xí)模型對流量進(jìn)行分類，共使用了248 種特征對流量進(jìn)行描述；經(jīng)典的KDD99 網(wǎng)絡(luò)流量數(shù)據(jù)集中含有41 種流量特征，而較新的CICIDS-2017 數(shù)據(jù)集則包含數(shù)據(jù)包大小、數(shù)據(jù)包間隔時間、標(biāo)志位是否置位等80 項流量特征［9］；而在之前針對運載火箭測發(fā)網(wǎng)絡(luò)的流量異常檢測研究中，XU 等［1］利用混合策略算法，設(shè)計20 種特征對網(wǎng)絡(luò)流量進(jìn)行描述，實現(xiàn)對網(wǎng)絡(luò)流量的異常檢測。雖然上述研究在一些特定的網(wǎng)絡(luò)流量數(shù)據(jù)集上取得了較好的檢測效果，但是一旦選出的特征對于某些異常流量的區(qū)分度不好，其檢測結(jié)果就會大打折扣，如何針對各個型號運載火箭測發(fā)網(wǎng)絡(luò)選擇最合適的特征集仍是一個很難解決的問題。

近年來，隨著深度學(xué)習(xí)中的卷積神經(jīng)網(wǎng)絡(luò)在圖像識別、圖像分類等方面取得巨大成功，研究者開始使用卷積神經(jīng)網(wǎng)絡(luò)對網(wǎng)絡(luò)流量進(jìn)行異常檢測［6，10-12］。使用深度學(xué)習(xí)中的卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行流量異常檢測可以直接從原始網(wǎng)絡(luò)流量中提取特征，從而避免了人工特征選擇困難的問題。相關(guān)的典型研究包括：WANG 等［6］構(gòu)建USTC-TFC2016 數(shù)據(jù)集，使用類似經(jīng)典LeNet-5［13］的卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，將原始網(wǎng)絡(luò)流量數(shù)據(jù)作為輸入，取得了非常高的檢測精度；為了解決深度學(xué)習(xí)容易出現(xiàn)的過擬合問題，HANG 等［11］提出了一種改進(jìn)的一維卷積神經(jīng)網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的訓(xùn)練參數(shù)，在保證檢測精度的同時，減少了訓(xùn)練時間，避免過擬合的發(fā)生；ZHANG 等［12］使用卷積神經(jīng)網(wǎng)絡(luò)對工業(yè)控制網(wǎng)絡(luò)流量進(jìn)行異常檢測，得到了97.88%的檢測精度。上述使用卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行流量異常檢測的研究有一個共同點，即均將“網(wǎng)絡(luò)流”［5］作為流量樣本劃分的標(biāo)準(zhǔn)，但是這種樣本劃分對以用戶數(shù)據(jù)報協(xié)議（User Datagram Protocol，UDP）數(shù)據(jù)為主的運載火箭測發(fā)網(wǎng)絡(luò)流量數(shù)據(jù)并不合適，會造成數(shù)據(jù)量小、檢測效果差等問題。

綜合以上分析，有理由推測在運載火箭測發(fā)網(wǎng)絡(luò)背景下，對流量數(shù)據(jù)提出合理的樣本劃分方法后，充分利用卷積神經(jīng)網(wǎng)絡(luò)的特征提取能力，可以避免人工設(shè)計特征集的問題，取得較好的檢測效果。

1.2 不同顆粒度的測發(fā)網(wǎng)絡(luò)流量樣本生成方法

基于深度學(xué)習(xí)的網(wǎng)絡(luò)流量異常檢測方法，首先需要按照一定的顆粒度將連續(xù)的網(wǎng)絡(luò)流量切分為多個離散單元，每個離散單元作為深度學(xué)習(xí)輸入的一個樣本進(jìn)行異常檢測。在以往的研究中，大部分研究均以五元組（源IP 地址、目的IP 地址、源端口、目的端口、傳輸層協(xié)議）對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行劃分，將屬于同一五元組的數(shù)據(jù)包劃為一類，之后再根據(jù)這些數(shù)據(jù)包是否屬于同一個連接進(jìn)行樣本劃分，傳輸控制協(xié)議（Transmission Control Protocol，TCP）網(wǎng)絡(luò)流生成如圖2 所示。

圖2 TCP 網(wǎng)絡(luò)流生成Fig.2 Schematic diagram of the TCP network flow generation

然而對運載火箭測發(fā)網(wǎng)絡(luò)而言，其他研究中廣泛使用的樣本劃分方法有一定缺陷。首先，測發(fā)網(wǎng)絡(luò)中絕大部分?jǐn)?shù)據(jù)包使用UDP 協(xié)議，沒有連接的概念，有大量的數(shù)據(jù)包分別屬于不同的五元組，難以進(jìn)行進(jìn)一步劃分；其次，如果僅憑五元組進(jìn)行樣本劃分，由于測發(fā)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是確定的，會導(dǎo)致產(chǎn)生的樣本數(shù)據(jù)量小，而且每個樣本數(shù)據(jù)冗長，真正的異常數(shù)據(jù)包還可以混在每個樣本中，導(dǎo)致無法實現(xiàn)有效的異常檢測。為了克服上述缺陷，提出一種針對運載火箭測發(fā)網(wǎng)絡(luò)的流量樣本生成方法，其流程如圖3所示。

圖3 樣本流量圖片生成Fig.3 Schematic diagram of the traffic sample image generation

步驟1 中，以五元組為依據(jù)將數(shù)據(jù)包分組后，每組內(nèi)依次選定固定數(shù)目N個數(shù)據(jù)包作為一個樣本；步驟2 中，由于運載火箭測發(fā)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的確定性，有大量數(shù)據(jù)包有相同的MAC 地址和IP 地址，為消除這些因素對分類可能造成的影響，需去除這部分?jǐn)?shù)據(jù)，稱為樣本的匿名化處理；步驟3 中，將匿名化后的樣本按照固定的字節(jié)長度M進(jìn)行統(tǒng)一長度處理（M的選取和N以及卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)相關(guān)）。如果N個數(shù)據(jù)包的字節(jié)個數(shù)多于M則對該樣本進(jìn)行截斷處理，如果少于M個則以0x00 進(jìn)行字節(jié)填充，最終生成適合作為深度神經(jīng)網(wǎng)絡(luò)輸入的灰度圖。

1.3 基于卷積神經(jīng)網(wǎng)絡(luò)的測發(fā)網(wǎng)絡(luò)流量異常檢測算法

近年來，卷積神經(jīng)網(wǎng)絡(luò)在圖像分類及目標(biāo)識別問題上取得了優(yōu)異的效果［14-16］。相較于一般的深層神經(jīng)網(wǎng)絡(luò)，卷積神經(jīng)網(wǎng)絡(luò)具有局部連接、權(quán)值共享以及池化操作等特點，具有很強的空間特征學(xué)習(xí)能力。對運載火箭測發(fā)網(wǎng)絡(luò)流量異常檢測問題，可以將網(wǎng)絡(luò)流量數(shù)據(jù)經(jīng)圖3 中的流程成為灰度圖，通過卷積神經(jīng)網(wǎng)絡(luò)提取空間特征并進(jìn)行分類，從而實現(xiàn)異常檢測，其算法實現(xiàn)過程如下：

輸入：T組具有相同五元組的流量數(shù)據(jù)包F1，F(xiàn)2，…，F(xiàn)T，卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)及輸入尺寸s，每個樣本中數(shù)據(jù)包數(shù)目N，學(xué)習(xí)率l，學(xué)習(xí)輪次e，學(xué)習(xí)批量b，驗證集比例p1，測試集比例p2。

輸出：訓(xùn)練集、驗證集分類準(zhǔn)確率、精度、召回率，測試集分類準(zhǔn)確率。

1）構(gòu)建卷積神經(jīng)網(wǎng)絡(luò)，計算標(biāo)準(zhǔn)輸入大小M0=s*s；

2）For 每組五元組相同的數(shù)據(jù)包FiinF1，F(xiàn)2，…，F(xiàn)Tdo；

3）每N個數(shù)據(jù)包劃分為一個樣本，得到h=|Fi|/N個樣本；

4）Forh個樣本中的每一個 do；

5）計算樣本的總字節(jié)長度M（此N個數(shù)據(jù)包的字節(jié)數(shù)）；

6）IfM＞M0將樣本截斷至M0字節(jié) else 在結(jié)尾補充0xff 至M0字節(jié)；

7）按照p1、p2劃分訓(xùn)練集、驗證集和測試集；

8）While 沒有達(dá)到訓(xùn)練輪次edo；

9）準(zhǔn)備批量b個樣本作為模型輸入；

10）二分類交叉熵?fù)p失函數(shù)Hp為

式中：yi為第i個樣本的標(biāo)簽；p(yi)為第i個樣本屬于正類的預(yù)測概率；

11）使用RMSprop 梯度下降優(yōu)化算法更新神經(jīng)網(wǎng)絡(luò)參數(shù)，學(xué)習(xí)率設(shè)置為l；

12）使用驗證集驗證模型；

13）end；

14）使用測試集數(shù)據(jù)測試得到的模型；

15）return 訓(xùn)練集、驗證集分類準(zhǔn)確率、精度、召回率，測試集分類準(zhǔn)確率。

2 實驗驗證

為驗證算法在運載火箭測發(fā)網(wǎng)絡(luò)中的實際效果，首先需要通過核心交換機網(wǎng)絡(luò)流量鏡像以及異常流量混合的方式構(gòu)建原始流量數(shù)據(jù)集。在得到原始數(shù)據(jù)集后，實驗分為兩個部分，充分驗證本文提出算法在運載火箭測發(fā)網(wǎng)絡(luò)環(huán)境中應(yīng)用的合理性和有效性。第一部分實驗對比以一定時間窗口劃分的流數(shù)據(jù)作為樣本輸入與以一定數(shù)目數(shù)據(jù)包作為樣本輸入分類效果的差異性；第二部分實驗探究樣本中數(shù)據(jù)包數(shù)目對實驗結(jié)果的影響。

2.1 實驗數(shù)據(jù)集

使用的原始數(shù)據(jù)集包括正常、異常兩部分?jǐn)?shù)據(jù)。正常部分的數(shù)據(jù)為某型號運載火箭測發(fā)網(wǎng)絡(luò)實驗過程中經(jīng)由核心交換機的關(guān)鍵正常流量數(shù)據(jù)，通過測發(fā)安全檢測設(shè)備以流量鏡像的方式進(jìn)行提取，測發(fā)網(wǎng)絡(luò)流量提取過程的簡要示意圖如圖4所示。

圖4 運載火箭測發(fā)網(wǎng)絡(luò)流量提取示意圖Fig.4 Schematic diagram of the traffic extraction from networks

通過這種方式，在運載火箭測發(fā)網(wǎng)絡(luò)實驗過程中3 h 內(nèi)共計10.2 GB 正常網(wǎng)絡(luò)流量數(shù)據(jù)。異常部分流量共11 GB，其數(shù)據(jù)來源于加拿大網(wǎng)絡(luò)安全研究所構(gòu)建的CIC-IDS-2017 數(shù)據(jù)集中的惡意攻擊部分，攻擊種類包括拒絕服務(wù)（Denial of Service，DoS）攻擊、針對客戶端身份驗證的攻擊、針對數(shù)據(jù)庫的SQL 注入攻擊等，由于實際的運載火箭測發(fā)網(wǎng)絡(luò)在每一個控制中心也分別包含服務(wù)端、客戶端、數(shù)據(jù)庫等基本網(wǎng)絡(luò)組件，CIC-IDS-2017 數(shù)據(jù)集中包含的多數(shù)攻擊在測發(fā)網(wǎng)絡(luò)中同樣可能出現(xiàn)。由于正常流量和異常流量來源于不同的網(wǎng)絡(luò)環(huán)境，為消除數(shù)據(jù)包中MAC 地址、IP 地址對異常檢測結(jié)果的影響，在繼續(xù)進(jìn)行實驗前，還需進(jìn)行數(shù)據(jù)匿名化的處理，消除上述因素帶來的影響。

在對正常和異常的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行匿名化處理后，按照提出的不同顆粒度測發(fā)網(wǎng)絡(luò)流量樣本生成方法，將網(wǎng)絡(luò)流量轉(zhuǎn)化為灰度圖，得到可視化結(jié)果，如圖5 所示。由圖5 可知，經(jīng)過流量匿名化與圖像化處理后，正常網(wǎng)絡(luò)流量與異常網(wǎng)絡(luò)流量呈現(xiàn)出了明顯不同的紋理模式，且相同類別的流量樣本圖像之間具有較高的相似性，可視化結(jié)果直觀表明了提出的樣本生成方法對與運載火箭測發(fā)網(wǎng)絡(luò)流量的異常檢測具有一定的可行性。

圖5 匿名化網(wǎng)絡(luò)流量可視化結(jié)果Fig.5 Visualization results of the anonymized network traffic

2.2 評價指標(biāo)

使用分類準(zhǔn)確率faccuracy、精度fprecision、召回率frecall作為運載火箭測發(fā)網(wǎng)絡(luò)流量異常檢測的實驗評價指標(biāo)。其計算公式如下：

式中：fTP為真正類，表示將異常網(wǎng)絡(luò)流量正確預(yù)測為異常的樣本數(shù)量；fFP為假正類，表示將正常網(wǎng)絡(luò)流量錯誤預(yù)測為異常的樣本數(shù)量；fTN為真負(fù)類，表示將正常網(wǎng)絡(luò)流量正確預(yù)測為正常的樣本數(shù)量；fFN為假負(fù)類，表示將異常網(wǎng)絡(luò)流量錯誤預(yù)測為正常的樣本數(shù)量。在異常檢測問題中，通常將異常樣本視為正類，而將正常樣本視為負(fù)類。

2.3 實驗結(jié)果

2.3.1 不同形式數(shù)據(jù)樣本劃分分類結(jié)果

本小節(jié)實驗對比傳統(tǒng)的按“網(wǎng)絡(luò)流”的網(wǎng)絡(luò)流量樣本劃分方法與提出的樣本劃分方法在運載火箭測發(fā)網(wǎng)絡(luò)流量異常檢測問題上的實驗結(jié)果。傳統(tǒng)的網(wǎng)絡(luò)流量樣本劃分方法將網(wǎng)絡(luò)數(shù)據(jù)包按照五元組（源IP 地址、目的IP 地址、源端口、目的端口、傳輸層協(xié)議）將數(shù)據(jù)分組后，將TCP 協(xié)議下的數(shù)據(jù)包按照圖2 的方法將同組數(shù)據(jù)包劃分為不同的樣本，將UDP 協(xié)議下的同組數(shù)據(jù)包按照發(fā)出時間排序后，取相同的時間窗口將同組數(shù)據(jù)包劃分為不同樣本，本小節(jié)實驗選定時間窗口為30 s，而提出的流量樣本劃分方法按照固定的數(shù)據(jù)包個數(shù)將同組數(shù)據(jù)包劃分為不同樣本。使用2 種樣本劃分方法，對相同數(shù)據(jù)集進(jìn)行操作，獲得的樣本數(shù)見表1。

表1 不同樣本劃分方法獲得的樣本數(shù)Tab.1 Sample numbers obtained by different sample division methods

在按照不同的樣本劃分方法得到2 份樣本數(shù)據(jù)集后，本小節(jié)實驗對2 份樣本數(shù)據(jù)集作相同處理，均按照7∶2∶1 的比例劃分訓(xùn)練集、驗證集、測試集，均使用卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，如圖6 所示。為了降低過擬合，在網(wǎng)絡(luò)的全連接層前使用比例為0.5 的dropout［17-18］，卷積層均使用ReLU 激活函數(shù)，最后使用sigmoid 激活函數(shù)對網(wǎng)絡(luò)流量進(jìn)行正常/異常的二分類，實驗中使用RMSprop 梯度下降優(yōu)化算法，設(shè)置學(xué)習(xí)率為10-4，N為3，數(shù)據(jù)批量為64，所有流量數(shù)據(jù)進(jìn)行歸一化處理，使其分布在0 和1 之間。

圖6 卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)Fig.6 Schematic diagram of the convolutional neural network structure

分別經(jīng)過30 輪模型訓(xùn)練，對相同數(shù)據(jù)集使用傳統(tǒng)的網(wǎng)絡(luò)流量樣本劃分方法與使用提出的按包數(shù)目樣本劃分得到的實驗結(jié)果，如圖7 所示。使用傳統(tǒng)樣本劃分方法得到的結(jié)果如圖7（a）所示，使用提出的樣本劃分方法得到的實驗結(jié)果如圖7（b）所示。詳細(xì)的實驗結(jié)果數(shù)據(jù)見表2。

表2 不同樣本劃分方法獲得的詳細(xì)實驗結(jié)果Tab.2 Detailed test results obtained by different sample division methods

圖7 不同樣本劃分方法實驗結(jié)果Fig.7 Graphical test results of different sample division methods

綜上所述，使用所提出的樣本劃分方法，可以取得更高的精度、召回率和準(zhǔn)確率，并且從第15輪左右開始收斂，花費的訓(xùn)練時間也更短?？梢宰C明針對運載火箭測發(fā)網(wǎng)絡(luò)流量異常檢測問題，使用提出的基于數(shù)據(jù)包數(shù)目的樣本劃分方法，結(jié)合卷積神經(jīng)網(wǎng)絡(luò)方法，可以取得較高的分類精度、召回率和準(zhǔn)確率，且無需進(jìn)行手工特征集設(shè)計。

2.3.2 不同數(shù)目數(shù)據(jù)包樣本劃分分類結(jié)果

為了進(jìn)一步探究N的取值對實驗結(jié)果的影響，在相同數(shù)據(jù)集上進(jìn)行實驗驗證，當(dāng)N取不同值時實驗結(jié)果見表3、圖8。需要說明的是，由于N的取值會影響所得樣本的字節(jié)數(shù)，為了充分提取每個樣本中的流量特征，根據(jù)不同的N取值調(diào)整圖片的尺寸及卷積神經(jīng)網(wǎng)絡(luò)接收輸入尺寸的大?。▓D8 中輸入尺寸），每組實驗均訓(xùn)練30 輪，神經(jīng)網(wǎng)絡(luò)結(jié)果及其他參數(shù)設(shè)置均與前述實驗相同。

表3 不同N 和輸入尺寸的實驗結(jié)果Tab.3 Test results with different N and input_size

圖8 不同N 和輸入尺寸的實驗結(jié)果Fig.8 Graphical test results of different N and input_size

由表3、圖8 可知，當(dāng)N=10，input_size=48*48時，分類取得了最高的精度、召回率和準(zhǔn)確率，并且約在訓(xùn)練的第7 輪開始收斂。由此可見，若樣本中數(shù)據(jù)包太少時，導(dǎo)致信息不足，使異常檢測變得相對困難；而樣本中數(shù)據(jù)包太多時，較簡單的卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)擬合能力不足，需要更多的數(shù)據(jù)、更復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，所需的模型訓(xùn)練時間也會相對變長。

3 結(jié)束語

針對運載火箭測發(fā)網(wǎng)絡(luò)異常檢測問題，提出了一種適應(yīng)于測發(fā)網(wǎng)絡(luò)流量特點的樣本生成方法，使用卷積神經(jīng)網(wǎng)絡(luò)自動提取網(wǎng)絡(luò)流量特征，利用真實測發(fā)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實驗，在特定條件下取得了極高的正常/異常分類精度、召回率和準(zhǔn)確率。在保證優(yōu)秀檢測結(jié)果的同時，所提方法可以避免大量專家經(jīng)驗的人工特征集的設(shè)計，很大程度上減少人工分析，理論上具備檢測出新型未知種類攻擊的能力。根據(jù)測發(fā)網(wǎng)絡(luò)流量數(shù)據(jù)的變化情況，可以進(jìn)一步不斷更新優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)與參數(shù)，逐步實現(xiàn)運載火箭測發(fā)網(wǎng)絡(luò)流量的透明化，確保其正常、穩(wěn)定運行。