基于半監督學習的無線網絡攻擊行為檢測優化方法

王 婷 王 娜 崔運鵬 李 歡

1(中國農業科學院農業信息研究所 北京 100081) 2(農業農村部農業大數據重點實驗室(中國農業科學院農業信息研究所) 北京 100081) 3(96962部隊 北京 102206)

無線局域網技術和移動通信設備的迅猛發展使得WiFi網絡環境逐漸普及并融入人們的生活，這同時也使得WiFi成為網絡攻擊的目標. “蹭網”、“無線釣魚”等無線網絡犯罪事件時有發生，引發了個人數據被泄露、篡改等信息安全隱患，甚至導致巨大的經濟損失.騰訊手機管家發布的《2018年手機安全報告》中顯示，2018年中國公共WiFi的數量近7.37億，而風險WiFi高達46.08%.網絡攻擊行為的不斷演化和升級使得WiFi環境下的網絡安全問題愈發嚴峻，成為信息安全的全新困局.

網絡入侵檢測是目前應用最廣泛也最有效的以數據驅動的網絡安全主動防御方法，基于實時網絡流量數據建立相應的攻擊評測機制，從而實現對攻擊行為的檢測和預防.傳統的入侵檢測方法通常是通過對比已構建的網絡行為模式或規則來檢測當前網絡連接屬于正常狀態還是攻擊風險狀態.隨著互聯網環境的更新換代，網絡流量數據呈現出海量、高維、復雜的特點，直接用來進行攻擊行為模式發現十分困難.傳統的網絡入侵檢測方法出現檢測效率低下、準確率較低、誤報率和漏報率較高的問題，已不能滿足網絡信息安全的需求.

機器學習算法的優化和高性能計算能力的發展給網絡攻擊行為檢測帶來了新的思路和方法.深度學習作為近幾年發展最快也最熱門的機器學習方法，能夠有效學習網絡流量數據中隱藏的數據特征，從而使得進一步提高網絡攻擊行為檢測性能成為可能[1].一個有效的網絡攻擊行為檢測方法不僅需要能夠準確識別已知網絡攻擊類型，還需要對未知攻擊類型或新攻擊類型(統稱為未知攻擊類型)有足夠的檢測能力.在學術界和工業界，已出現一些基于深度學習的網絡攻擊檢測方法，雖然在提高檢測效率和準確率方面取得一定進展，但是由于這些方法的實現都是通過已標注攻擊類型的訓練數據集訓練完成，無法有效檢測訓練數據集中不包含的攻擊類型，從而無法應對當前網絡攻擊行為千變萬化和急劇增長的嚴峻形式[2].同時，由于網絡攻擊數據獲取的限制，大部分研究工作都是基于已有公開數據集KDD’99或其改進版本NSL_KDD數據集[3]等面向有線通信網絡的攻擊行為檢測進行的，針對無線局域網環境下的攻擊檢測研究還比較有限.

根據分析和已有問題，本文利用公開無線網絡攻擊行為數據集AWID，通過深度學習方法中無監督學習模型——棧式稀疏自編碼器(stacked sparse auto-encoder, SSAE)構建2種網絡流量數據特征表示向量，并在此基礎上結合深度學習方法中監督學習模型DNN和非監督學習聚類方法Bi-kmeans，提出一種基于半監督學習的無線網絡攻擊行為檢測優化方法(WiFi network attacks detection optimi-zation method, WiFi-ADOM).主要貢獻有2方面：

1) 基于稀疏自編碼器模型提出2種網絡流量數據特征表示向量：新特征值向量和原始特征權重值向量.新特征值向量作為網絡流量數據的新特征表達方式，具有更強的學習能力；原始特征權重值向量表示網絡流量數據不同特征屬性在表現原數據特征方面的重要性.

2) 在對已有攻擊行為具有優異檢測性能的DNN模型的基礎上，創新性地通過聚類方法Bi-kmeans引入未知攻擊類型判別糾正項，解決了DNN模型不能有效檢測未知網絡攻擊類型的問題，優化了WiFi-ADOM方法對攻擊類型的最終判定.其中，原始特征權重值向量用來初始化DNN模型，對網絡攻擊類型預判過程起到優化作用.新特征值向量作為聚類方法Bi-kmeans的輸入，解決了Bi-kmeans方法不能很好應對高維復雜數據的問題.

實驗結果表明：WiFi-ADOM方法在保證精確率、誤判率等檢測性能的同時能夠有效檢測未知攻擊類型，從而實現了無線網絡環境下網絡攻擊行為檢測的優化.

1 相關工作

1.1 網絡入侵檢測

入侵檢測的概念是1980年Anderson首次提出的[4]，之后Heberlein等人[5]提出基于網絡流量數據檢測可疑網絡行為的網絡入侵檢測方法.根據挖掘分析的數據源，網絡入侵檢測可以劃分為基于主機、基于網絡和混合型的檢測方法.基于主機的方法監測客戶端級別的攻擊行為，基于網絡的方法監測整個網絡的攻擊風險，混合型的則可以同時監控整個網絡和特定用戶的網絡安全情況.根據檢測方法，網絡入侵檢測可以劃分為3種方法：1)基于規則的檢測方法.首先人為構建攻擊行為特征規則庫，與之匹配便判定為攻擊行為[6].2)基于誤用的檢測方法.挖掘分析不同攻擊類型的固有模式，網絡行為數據符合其中一種模式時便被判定為攻擊行為[7].3)基于異常的檢測方法.通過和正常行為對比，偏離太多則判定為攻擊行為[8].前2種方法通常具有較高的檢測準確率，但是卻無法有效檢測未知攻擊類型.而基于異常的方法雖然誤判率較高，卻可以有效檢測未知攻擊類型.

1.2 基于機器學習的網絡入侵檢測

基于機器學習的方法是目前常用的網絡入侵檢測方法，既可以作為基于誤用的檢測方法，又可以通過分析網絡流量數據中不同特征屬性的特點，進一步優化基于規則和異常的檢測方法.尤其是作為目前機器學習領域熱門的深度學習方法，在人工神經網絡的基礎上發展起來，通過構建多層次神經網絡對輸入數據進行深層次表達，具有強大的特征自學習能力，無需領域專家輔助就能夠實現特征的有效提取和選擇，非常適用于高維網絡流量數據的挖掘分析[9].

已有的基于機器學習的網絡入侵檢測相關研究工作對網絡流量數據的處理和分析過程主要可以劃分為2種類型：

1) 首先基于原始特征數據集重新構建具有更好學習能力的新特征數據集，即特征提取，然后進行網絡攻擊行為分類.深度學習模型——棧式自編碼器(stacked auto-encoder, SAE)是常用的特征提取方法之一.Shone等人[10]提出的網絡入侵檢測模型通過構建深度非對稱自編碼網絡提取到比傳統對稱自編碼網絡更具有學習能力的網絡流量數據特征屬性，然后采用支持向量機(support vector machine, SVM)方法對網絡攻擊行為進行分類.Thing[11]結合SAE模型和softmax分類器實現對網絡攻擊行為的分類檢測，并通過對比不同激勵函數對分類效果的影響得出激活函數Prelu效果最優的結論.Aminanto等人[12]采用SAE模型提取網絡流量數據原始特征的新特征表達，并通過對所有的原始特征和新特征進行重要級排序篩選出和網絡入侵檢測最相關的重要特征，然后使用SVM方法對網絡攻擊行為進行識別與分類.文獻[13-16]則分別采用深度學習中其他模型，如RNN模型、DBN模型、CNN模型、神經元映射卷積神經網絡模型等進行特征提取，然后在此基礎上進一步實現網絡攻擊行為的分類.

2) 首先從原始特征集中篩選出與網絡攻擊行為檢測相關的重要原始特征，即特征選擇，然后進行網絡攻擊行為分類.Akashdeep等人[17]同時以信息熵和相關性為度量，選擇信息熵大以及相關性小的特征代替網絡流量數據的所有特征，減少了冗余特征對網絡入侵檢測模型性能的影響，然后在新的特征數據集中使用人工神經網絡(artificial neural network, ANN)進行攻擊行為分類.Wang等人[18]通過ANN模型構建的權重矩陣對初始網絡流量特征進行重要性排序，然后以前K個原始特征屬性值數據作為輸入，利用softmax實現網絡攻擊行為的分類.Louvieris等人[19]在利用kmeans聚類算法和樸素貝葉斯算法對網絡攻擊行為進行分類的基礎上通過Kruskal-Wallis檢驗篩選和特定攻擊類型相關的重要原始特征，并在篩選后的數據集上采用C4.5決策樹進行分類.Zhu等人[20]利用多目標選擇算法分別從多個特征篩選度量出發形成特征的重要級排序，然后結合所有排序結果構建一個降維后的原始特征數據集.Usha等人[21]首先通過粒子群算法優化的傳統聚類方法進行特征選擇，然后利用SVM方法實現網絡攻擊行為的分類檢測.Kolias等人[22]探究了網絡流量數據特征是否完備對網絡攻擊行為分類檢測的影響，以人工選擇的20個原始特征構建精簡數據集，然后同時使用完整和精簡2種數據集作為實驗數據，并分別采用隨機森林、樸素貝葉斯、AdaBoost等分類方法對比分類效果，結果表明原始特征中存在冗余，直接影響分類性能.Zhao等人[23]通過基于特征的遷移學習方法獲取到源場景和目的場景2種不同網絡環境下網絡流量數據的特征，并在此基礎上利用決策樹、SVM方法或最近鄰算法對新場景下的網絡攻擊進行分類.

2 網絡流量數據特征表示模型

本文采用深度學習方法中監督學習模型棧式稀疏自編碼器(SSAE)進行網絡流量數據的特征學習，并基于學習過程提出2種不同的網絡流量數據特征表示向量：新特征值向量(feature value vector,FV)和原始特征權重值向量(feature weight value vector,WV).SSAE模型的結構如圖1所示，由3個稀疏自編碼器(auto-encoder, AE)組成，通過對每一個稀疏AE的單獨訓練逐層提取數據的高階特征.

Fig. 1 Framework of network flow feature extraction model圖1 網絡流量特征表示模型結構圖

2.1 SSAE模型

AE是一種無監督學習模型，包含輸入層、隱藏層和輸出層，結構分別如AE-1，AE-2，AE-3所示.輸入層和隱藏層構成編碼器，把x映射到y：

y=ge(We·x+be).

(1)

隱藏層和輸出層構成解碼器，與編碼器是對稱的過程，把y映射到z以實現對x的重建：

z=gd(Wd·y+bd)，

(2)

(3)

其中,We,Wd，be,bd,ge,gd分別表示輸入數據的權重矩陣、偏置向量和激活函數;We,Wd，be,bd的初始化采用Glorot提出的Xavier方法[24];xt表示tanh函數的輸入數據.

AE以最小化代價函數為優化目標，基于反向傳播法則不斷調整模型參數的取值以獲取最優值，訓練完成時隱藏層的輸出y即作為x的新特征表達.每一個AE隱藏層的輸出y都作為下一層AE的輸入，最后一個AE隱藏層的輸出作為網絡流量數據的最終特征表達.由于隱藏層中神經單元的數量小于輸入層，所以對高維復雜的網絡流量數據起到了降維的作用.SAE[25-27]則是在AE訓練過程中加入一個稀疏正則化項Jsparsity來約束隱藏層的神經單元數量，能夠減少模型參數以降低訓練難度，同時能夠有效解決訓練結果局部最小化和過擬合的問題.為了更好地防止模型過擬合的問題，本文同時增加了L2正則化項Jweights.SSAE的代價函數為

ES=JS+λ×Jweights+β×Jsparsity，

(4)

(5)

(6)

(7)

(8)

2.2 網絡流量數據特征表示向量

本文基于深度學習模型對網絡流量數據的2種處理過程，提出2種網絡流量數據特征表示向量：新特征值向量和原始特征權重值向量.其中，前者形成的是新的特征表達方式，屬于特征提取；后者表示的是原始特征屬性在表現原數據特征方面的重要性，屬于特征選擇，具體為：

1) 網絡流量數據特征表示向量1——新特征值向量FV.由SSAE模型最后一層隱藏層中所有神經單元構建的新特征值組成，FV=(f1,f2,…,fn)，n表示神經單元的數量.

2) 網絡流量數據特征表示向量2——原始特征權重值向量WV.由SSAE模型中所有神經單元表示的流量數據原始特征權重值累計組成，WV=(w1,w2,…,wi,…,wm)，m表示原始特征值的數量，wi表示原始特征對應的最終權重值.所有權重值形成一個權重網絡，每個節點所表示的權重值由上層每個節點權重值和邊權重值的乘積求和構成.以原始特征i為例，構建其權重網絡，其結構如圖2所示:

Fig. 2 Framework of original weigh network圖2 原始特征權重值網絡結構圖

3 無線網絡攻擊行為檢測優化方法

本文在2.2節所構建的2種網絡流量數據特征表示向量的基礎上，結合深度學習方法中監督學習模型DNN和非監督學習聚類方法Bi-kmeans提出一種基于半監督學習的網絡入侵檢測方法WiFi-ADOM.WiFi-ADOM方法的總框架如圖3所示，主要包括5個部分：數據預處理、數據特征表示(SSAE模型)、攻擊類型初步判別(DNN模型)、未知攻擊類型判別糾正項生成(Bi-kmeans聚類方法)和攻擊類型最終判別.

Fig. 3 Architecture of proposed method of WiFi-ADOM圖3 基于半監督學習的網絡入侵檢測方法結構圖

3.1 WiFi-ADOM方法

1) 攻擊類型初步判別

攻擊類型初步判別采用深度學習模型DNN，最后一層隱藏層的激活函數使用softmax，將上一層的輸入向量映射到另一個同維度向量，新向量元素的取值范圍為[0,1]，且所有元素的和為1，如式(9)所示.模型的優化函數中增加了L2正則項[28-29]，如式(10)所示：

(9)

ED=JD+Jweights，

(10)

(11)

① 使用SSAE生成的WV向量初始化DNN模型的權重矩陣，以避免權重參數失效問題.w的初始化直接影響整個模型的訓練效果和速度.如果初始值過小則輸入的特征信息會在隱藏層之間前向傳遞時逐漸衰減而導致丟失.如果初始值過大則會嚴重影響模型訓練過程中的梯度下降速度和學習速度，甚至導致結果無法收斂.另外，如果初始值設定為0，則會導致所有神經單元的作用相同從而失去訓練的意義.

② 采用Adam動量更新優化方法來調整模型基本參數：

(12)

(13)

其中，w和b分別表示權重值和偏置值；β1和β2分別表示第1個動量參數和第2個動量參數，本文中取值為0.9和0.999；設置非零項ε以防止分母為零，本文取值為10-8.

③ 采用自適應學習步長來調整學習率α，在訓練迭代前期學習率較大，隨著模型參數趨于穩定，學習率逐漸降低，α可計算為

(14)

其中，αmax和αmin分別表示學習率的最大值和最小值;λ為學習率調節參數，本文取值為40;n為當前迭代次數，N為總迭代次數.

2) 未知攻擊類型判別糾正項

本文以SSAE模型生成的FV向量數據集作為輸入數據，采取能夠克服kmeans聚類存在的局部收斂問題的變種方法Bi-kmeans的聚類結果來生成未知攻擊類型判別項.未知攻擊行為判定糾正項為

Pu=ACCkmeans×Pkmeans，

(15)

其中，ACCkmeans表示在WiFi-ADOM方法訓練階段Bi-kmeans方法對訓練集分類所得到的準確率；Pkmeans表示在方法有效性驗證階段Bi-kmeans方法對測試集中攻擊行為的判別結果，判定為未知攻擊類型時值為1，否則為0.

未知攻擊行為判別項的生成過程包括2個部分：以訓練集數據作為輸入進行Bi-kmeans聚類以獲取ACCkmeans和判定過程需要用到的簇中心點信息；測試集數據中樣本作為輸入對攻擊行為進行判別，即獲取Pkmeans.其中，Bi-kmeans聚類的具體過程為：

① 將訓練集中所有數據構建的所有點作為一個簇分成2部分；

② 選擇其中一個可以最大強度降低誤差平方和殘差平方和的簇，使其繼續劃分為2部分；

③ 重復步驟②直至滿足設定簇數k，其中k值的選擇采取斯坦福大學Robert教授提出的Gap Statistic方法，Wk跌落最快的點便是最佳k值；

④ 記錄各個簇中心點并計算準確率ACCkmeans.

攻擊行為判定過程為：

① 本文采用歐氏距離作為聚類過程中的距離度量.計算測試集中樣本數據所構建的點到每個已有簇內中心點及其鄰近點的距離，取平均值作為測試樣本點的簇距離.如果最小簇距離大于所對應簇內2點之間最大距離，且存在一定數量的類似節點，則判定為未知攻擊類型，基于這些節點構建新簇.

② 如果未存在新簇，則重復步驟①.如果存在新簇，則計算測試樣本點到每個已有簇內中心點及其鄰近點的距離，取平均值作為測試樣本點的簇距離.當測試樣本點的最小距離簇為新簇時，判定為未知攻擊類型，否則為已知攻擊類型.

3.2 網絡攻擊行為檢測流程

本文以網絡流量數據作為輸入，通過WiFi-ADOM方法實現對網絡攻擊行為的類型判別，具體實現過程為：

1) 對網絡流量數據進行預處理，包括有效化、均衡化、數字化和歸一化，獲得的數據作為SSAE模型的輸入，分別構建訓練數據集和測試數據集；

2) 通過訓練SSAE模型獲取網絡流量數據新特征值向量FV和原始特征權重值向量WV；

3) 通過所有特征的WV向量構建權重矩陣，基于此初始化DNN模型的權重值，訓練模型得到網絡攻擊行為的初始判別概率向量PDNN=(Pn,Pim,Pf,Pin)和模型準確率ACCDNN.其中Pn，Pim，Pf，Pin分別代表正常(normal)行為、偽裝(impersonation)攻擊行為、洪泛(flooding)攻擊行為和注入(injection)攻擊行為發生的概率；

4)FV向量作為Bi-kmeans聚類方法的輸入，得到未知攻擊類型判別糾正項；

5) 基于初始判別概率添加未知攻擊類型判別糾正項，得到網絡行為的最終判別概率向量

所有元素的和為1，值最大的元素所對應的攻擊行為類別即為最終判別結果.當Bi-kmeans方法對測試樣本的判別結果為未知攻擊類型時，未知攻擊類型判別糾正項為1，Bi-kmeans方法的判別結果和DNN模型的判別結果同時決定測試樣本的攻擊類型，ACCkmeans越大則未知攻擊類型的可能性越大；反之，未知攻擊類型判別糾正項為0，DNN模型對測試樣本攻擊類型的判別起主導作用，ACCkmeans取值的大小不影響判別結果.

4 實驗與結果

本節在無線網絡攻擊數據集AWID上分別測試了WiFi-ADOM方法對已知攻擊類型和未知攻擊類型的檢測性能.本文的實驗環境為Windows Server 2010操作系統、Intel Xeon 2.0 GHz CPU、512 GB內存，WiFi-ADOM方法和對比方法基于python3.6和TensorFlow1.3實現.

4.1 數據集

AWID數據集來源于Kolias，是數量最大也是最全面的真實WiFi網絡環境下采集的網絡攻擊數據集[22].按照攻擊類型級別，數據集被劃分為2種數據子集：4種大攻擊類型的CLS數據集和16種子攻擊類型的ATK數據集.后者的16種子攻擊類型包含在前者的4種大攻擊類型中，比如：ATK數據集中的Caffe-Latte，Hirte，Honeypot和EvilTwin攻擊類型屬于CLS數據集中的偽裝攻擊類型.同時AWID數據集包含完整數據集和精簡數據集2個版本.本文使用精簡版本的CLS數據集，其分布情況如表1所示：

Table 1 The Distribution of AWID

數據集的預處理過程包括數據有效化、均衡化、數值化和歸一化4個部分.

1) 數據有效化

網絡流量數據中有些特征值屬于缺失狀態，為了保證輸入數據的有效性，刪除屬性值中只有20%屬于正常狀態的特征和所有值都相同的特征，其余所有缺失值都用0來填充.最后154維特征減少為95維.

2) 數據均衡化

數據集中正常行為記錄和攻擊行為記錄的比例高達10∶1，這種數據不平衡問題將會嚴重影響模型的效果，所以本文對數據進行了均衡化.本文從原始數據集中隨機抽取10%的正常行為記錄與原有的攻擊行為記錄組成新的數據集.

3) 數據數值化

把數據集中十六進制表示的特征值統一轉化為十進制，由于mac地址既非數值其總量也非常龐大，所以本文把屬性值轉換為mac地址在整個數據集中出現的次數.標簽列即攻擊行為類型列有4種屬性值，分別映射為one-hot形式的四維向量，比如：對于泛洪攻擊行為映射為0001.

4) 數據歸一化

數據集中不同特征的值域大不相同，為了消除這種差別給模型帶來的影響，對數值型數據進行歸一化.本文采用最值歸一化法把屬性值映射到區間[0,1]之間：

(16)

其中,yi表示第i個特征值歸一化之后的值，xi表示第i個特征值，min(x)和max(x)分別代表特征屬性值取值范圍內的最小值和最大值.

4.2 聚類性能度量標準

本文采用準確率(accuracy,ACC)、召回率(Recall)、誤判率(false alarm rate,FAR)、F1作為網絡攻擊行為檢測方法的性能評價指標.

1) 準確率(ACC)，是衡量檢測方法的整體有效性，可計算為

(17)

2) 誤判率(FAR)表示被錯誤判定為攻擊行為的數量和正常行為總量的比值，可計算為

(18)

3) 召回率(Recall)表示準確判定為攻擊行為的數量占攻擊行為總量的比值，可計算為

(19)

4)F1指數綜合考量了準確率和召回率的評估內容，其中準確率表示準確檢測到的攻擊行為占檢測到的攻擊行為總量的比例，可計算為

(20)

其中，TN(true negative)表示把正常行為正確判別為正常行為的數量，TP(true positive)表示把攻擊行為正確判別為攻擊行為的數量，FN(false negative)表示把攻擊行為錯誤判別為正常行為的數量，FP(false postive)表示把正常行為錯誤判別為攻擊行為的數量.

4.3 實驗和結果

本文分別從已知攻擊類型檢測和未知攻擊類型檢測2個方面來評估WiFi-ADOM方法的檢測性能.在未知攻擊行為檢測中，通過在原始數據集中刪除特定類別的攻擊類型，構建包含未知攻擊類型的數據集.為了保證檢測性能評估的全面性，除了正常行為類型外，其他3種大攻擊類型：泛洪攻擊、偽裝攻擊、注入攻擊都分別設定為未知攻擊類型，且每次實驗都重復10次，取其平均值作為最后的結果.通過對比不同網絡層數和神經單元數量設定下模型的重構誤差和性能指標表現，SSAE模型的網絡結構為95∶70∶50∶30，DNN模型的網絡結構為95∶30∶60∶40∶20∶4.

1) 面向攻擊行為檢測的特征重要性分析

根據2.2節中原始特征權重網絡的構建方法，構建WiFi-ADOM方法DNN模型中原始特征的權重網絡，把獲取到的每一個原始特征的最終權重值作為特征重要性度量，值越大表示對攻擊檢測的作用越大，值越小則表示作用越小.根據最終權重值，選擇前15個特征屬性作為與攻擊檢測相關的重要特征.本文分別從2個方面分析了攻擊行為檢測中特征屬性的重要性：DNN模型不同隱藏層對特征屬性重要性的影響；通過對比WiFi-ADOM和C4.5，D-FES-SVM[12]，DNN，SVM不同方法的重要特征選擇結果探究網絡攻擊檢測中特征屬性的重要性.

結果如圖4所示，行表示不同檢測方法，列表示不同特征，淺紅色為底色，深紅色區域表示列所對應的特征是行所對應檢測方法的重要特征屬性.由圖4可以看出，重要性熱度最高的是特征82，107，154，作為重要特征的比例是5/5；其次是特征38，71，108，122，作為重要特征的比例是4/5.由于DNN模型中第4層隱藏層的選擇結果即最終選擇，所以用WiFi-ADOM標識，不同隱藏層選擇的相同重要特征有10個，其余5個各有不同；相對于第2層隱藏層，第3層隱藏層和最終選擇結果相似度更高.

Fig. 4 The importance heat map of characteristic in attracts detection圖4 面向攻擊檢測的原始特征重要性熱點圖

Fig. 5 Important order of original features detection圖5 面向攻擊檢測的原始特征重要性排序

圖5分析了WiFi-ADOM方法中DNN模型不同隱藏層Top20原始特征屬性的權重值排序的變化情況.其中，點代表不同特征的權重值排序，淺藍色和藍色的點分別表示第2層和第3層隱藏層選擇的特征屬性；深藍色的點表示第4層隱藏層的選擇結果即最終選擇，用WiFi-ADOM標識；紅色常量線表示排序為5，紅線以上的設定為重要特征.由圖5可得，不同隱藏層選擇的重要特征的重要程度并不是一致的，有的逐漸上升，如特征142；有的逐漸下降，如特征82；有的則差別比較大，如特征112.從整體來看，相比第2層，第3層隱藏層的選擇結果和第4層的更相近.結合圖4中第3層比第2層更接近最終結果的分析，可知深度學習模型DNN的隱藏層數對網絡流量特征屬性重要性的分析結果有直接影響，在模型已完成調優的特定層數范圍內，隱藏層越深其分析結果越準確.

2) 已知攻擊類型檢測性能分析

表2分析了SSAE模型中不同AE隱藏層對WiFi-ADOM方法性能的影響.AE-1，AE-2，AE-3中隱藏層形成的新特征值作為Bi-kmeans聚類方法的輸入數據，根據檢測情況分別計算不同性能指標.表2中，性能指標列表現最優的結果用粗體格式加以標識.由表2可得，ACC和F1均隨著隱藏層的增加而不斷增大；FAR的值依次降低；Recall的值則先稍稍降低后又增加.棧式稀疏自編碼器模型基于特征提取對網絡流量特征的整體學習能力優于單個稀疏自編碼器模型.

Table 2 Impacts of Different AEs for SSAE Model表2 SSAE模型中不同AE隱藏層對檢測性能的影響 %

Note: The best values are in bold.

表3對比了不同AE隱藏層對不同攻擊類型檢測準確率的影響.其中，F表示泛洪攻擊，In表示注入攻擊，Im表示偽裝攻擊.從表3可以看出，對正常行為檢測的準確率幾乎沒有改變，都高于99.80%；對偽裝攻擊和注入攻擊檢測的ACC都是逐漸增加，且都維持在較高的水平.對泛洪攻擊檢測的ACC增加最多，但是ACC值卻低于80%，有待進一步改進.在對不同網絡攻擊類型的檢測中，棧式稀疏自編碼器模型基于特征提取對網絡流量特征的學習能力優于單個稀疏自編碼器模型，但是在數據不充分的攻擊類型檢測中具有局限性.

Table 3 Impacts of Hidden Layer in Different AEs onACCfor SSAE Model

表3 SSAE模型中不同AE隱藏層對檢測準確率的影響 %

Note: The best values are in bold.

表4對比了WiFi-ADOM方法和SAE+DNN,DNN,SVM方法在不同檢測性能指標上的表現.由表4可知：WiFi-ADOM在ACC,Recall和F1分別取值最高,即98.56%,97.21%,97.99%，在FAR取值最小，即0.05%，總體性能最優；然后依次是SAE+DNN和DNN，最后是SVM.DNN和SAE模型結合的檢測性能優于DNN模型.本文根據SSAE模型生成的原始特征權重向量初始化DNN，在DNN進行特征選擇和分類的基礎上，不僅接收了SSAE能夠提取特征的能力，也保留了完整的原始特征信息，所以進一步優化了SAE+DNN方法的檢測性能.

Table 4 Performance Comparation of Different Methods

Note: The best values are in bold.

表5對比了WiFi-ADOM方法和SAE+DNN,DNN,SVM方法對不同攻擊類型檢測的性能指標ACC.從表5可以看出，WiFi-ADOM方法對4種攻擊類型檢測的ACC均取得最高值，在準確率上表現性能最優.4種方法對正常行為類型和注入攻擊類型的檢測指標ACC均大于95%，處于較優性能，但是對泛洪攻擊的檢測準確率均小于80%.對于偽裝攻擊的檢測準確率，SVM方法的ACC只有15.5%；其他3種方法的ACC都高于95%，處于較優性能.由于篇幅有限，本文只展示了不同方法在檢測準確率指標上的性能表現，其他性能指標對比結果類似，WiFi-ADOM方法的檢測性能優于其他方法.

Table 5 Performance Comparison of Different Methods onACC

表5 不同檢測方法對不同攻擊類型的檢測準確率對比 %

Note: The best values are in bold.

3) 未知攻擊類型檢測性能分析

表6對比了3種攻擊類型：洪泛攻擊F、入侵攻擊In、偽裝攻擊Im分別作為未知攻擊類型的情況下，WiFi-ADOM方法在性能指標ACC上的表現.由表6可知，3種情況下對正常行為的檢測準確率幾乎沒有變化，均處于較優性能；因為在檢測過程中未知攻擊行為形成新簇需要一定時間，在此期間并不能有效檢測到未知攻擊行為，對整體準確率有所影響，所以未知攻擊行為的ACC均比其他已知攻擊行為的ACC下降得要稍微多一些，但是在可接受的范圍內；在泛洪攻擊為未知攻擊行為的情況下，泛洪攻擊檢測ACC下降得最多.綜上所述，WiFi-ADOM方法在保證檢測性能的同時可以有效檢測未知攻擊行為，實現了對網絡攻擊行為檢測的優化.

Table 6 Performance of WiFi-ADOM on Unknown Attacks

5 總 結

在無線網絡攻擊行為日漸猖狂的當下，有效的網絡攻擊行為檢測成為當務之急，既要保證對已知攻擊類型的檢測性能：高準確率、低誤判率、低漏判率等，又要具備檢測未知攻擊類型的能力.雖然相對于傳統檢測方法，目前利用機器學習方法進行的相關研究在提高準確率、降低誤報率方面已取得一定的進展，但是由于網絡流量數據不斷指數級增長和無線網絡攻擊行為持續演化升級，依然存在無法有效檢測未知攻擊類型等多種問題.因此，本文結合屬于非監督學習的SSED模型、Bi-kmeans聚類方法和屬于監督學習的DNN模型，提出一種基于半監督學習的網絡攻擊行為檢測優化方法WiFi-ADOM，并探究了在不同攻擊類型檢測中特征屬性的重要性.實驗結果表明，本文提出的WiFi-ADOM方法在攻擊檢測性能方面達到了很好的優化效果，尤其是對未知攻擊類型的檢測，但是對于泛洪攻擊作為未知攻擊類型的情況，WiFi-ADOM方法的優化效果還比較有限.未來的研究會從2個方面展開：1)探究網絡流量數據中特征屬性的具體特性及其在網絡攻擊行為檢測中的作用，并在WiFi-ADOM方法的基礎上針對泛洪攻擊作為未知攻擊類型的情況進一步優化；2)評估子攻擊類型(比如Caffe-Latte攻擊)作為未知攻擊類型的情況下WiFi-ADOM方法的檢測效果.