基于卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)異常檢測方法研究

摘 ?要：隨著高校信息化建設(shè)從數(shù)字校園到智慧校園的過渡，高校逐步實現(xiàn)數(shù)據(jù)服務和應用的全覆蓋，同時網(wǎng)絡(luò)安全問題日漸突出。文章分析了校園網(wǎng)普遍存在的安全威脅，根據(jù)網(wǎng)絡(luò)威脅在網(wǎng)絡(luò)流量中的異常表現(xiàn)，對卷積神經(jīng)網(wǎng)絡(luò)架構(gòu)、訓練過程進行了研究，建立了基于卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量異常檢測模型，并對模型建立后的數(shù)據(jù)準備、分類識別方法進行了探討，實現(xiàn)了網(wǎng)絡(luò)流量的分類。

關(guān)鍵詞：卷積神經(jīng)網(wǎng)絡(luò);網(wǎng)絡(luò)流量;異常檢測

中圖分類號：TP309.2 ?文獻標識碼：A ? ?文章編號：2096-4706（2021）12-0094-04

Abstract： With the transition of informatization construction from digital campus to wisdom campus， colleges gradually realize the full coverage of data services and applications. At the same time， the problem of network security is becoming more and more prominent. This paper analyzes the common security threats in campus network， studies the architecture and training process of convolutional neural network according to the abnormal performance of network threats in network traffic， establishes the network traffic anomaly detection model based on convolutional neural network， discusses the data preparation， classification identification methods after the model is established， and realizes the classification of network traffic.

Keywords： convolutional neural network; network traffic; anomaly detection

0 ?引 ?言

“十四五”時期，高等院校信息化建設(shè)逐漸從數(shù)字化時代向智慧校園時代過渡，數(shù)據(jù)服務和數(shù)據(jù)應用范圍擴展到學校工作的各個方面，深入師生的工作、生活。校園網(wǎng)對人們的工作生活影響越深，網(wǎng)絡(luò)安全的重要性就越突出。

2021年4月1日至4月30日30天周期內(nèi)學校網(wǎng)絡(luò)中心共報告網(wǎng)絡(luò)威脅事件2 935件，其中高危事件513件，約占所有威脅的四分之一。網(wǎng)絡(luò)威脅頻繁出現(xiàn)給網(wǎng)絡(luò)安全帶來嚴重影響，存在信息泄漏、丟失的危險，降低用戶體驗。無論正常網(wǎng)絡(luò)行為還是網(wǎng)絡(luò)威脅行為都要在網(wǎng)絡(luò)中產(chǎn)生流量，如果流量使用的是被允許使用的端口并且不具備已知威脅相應特征，網(wǎng)絡(luò)就認為該流量沒有對網(wǎng)絡(luò)產(chǎn)生威脅。惡意程序就是利用這個特點在網(wǎng)絡(luò)中進行非法信息的傳播。我們對網(wǎng)絡(luò)中存在的所有流量不再認為都是合法的，而是進行分析、查明，證明是合法還是非法。

流量分類技術(shù)可以在復雜的網(wǎng)絡(luò)環(huán)境中對采集到的網(wǎng)絡(luò)流量進行處理、分類識別，對惡意流量進行攔截，幫助用戶提高網(wǎng)絡(luò)應用質(zhì)量，保障網(wǎng)絡(luò)安全。

目前常見流量分類方法有很多，不同分類方法有各自的優(yōu)點和缺點。基于端口號的分類方法識別是最容易實現(xiàn)的方法，但識別準確率較低、范圍有限。準確率高的是特征字段分析，但其對加密流量的識別則無能為力，且計算復雜，容易侵犯隱私。基于傳輸層行為的分類方法可以應用于速度較高的網(wǎng)絡(luò)環(huán)境，但數(shù)據(jù)包加密和NAT等技術(shù)影響其分類性能[1]。因此利用機器學習的方法對網(wǎng)絡(luò)流量進行異常檢測的應用日漸廣泛，但是機器學習方法對網(wǎng)絡(luò)環(huán)境的適應性較差[2]。

深度學習在語音圖像識別領(lǐng)域中表現(xiàn)出優(yōu)秀的技能，利用深度學習技術(shù)，可以解決機器學習中特征數(shù)據(jù)提取的難點，在學習過程中特征數(shù)據(jù)由模型自動生成。

1 ?卷積神經(jīng)網(wǎng)絡(luò)

1.1 ?卷積神經(jīng)網(wǎng)絡(luò)架構(gòu)

卷積神經(jīng)網(wǎng)絡(luò)（CNN），是深度學習最重要、最有代表性的一種訓練算法，比較適合應用在圖像語音識別領(lǐng)域，GoogleNet、AlphaGo、ResNet等代表性的應用突破都采用這種學習模型。卷積神經(jīng)網(wǎng)絡(luò)連接圖如圖1所示。

分析圖1，輸入層的寬度和輸入圖像的寬度相對應，即每一行像素點個數(shù);而高度則應于圖像的高度，即每一列的像素點個數(shù);深度為表示圖像的通道數(shù)，彩色圖為3，灰度圖為1。卷積層1包含3套參數(shù)，即有3個過濾器。每個過濾器對輸入圖像進行卷積運算得到一個特征圖，3個過濾器就可以得到3個特征圖，這樣卷積層1對圖像從左上角開始進行卷積運算，提取3組不同特征，得到3個特征圖。每個卷積層含有的過濾器的個數(shù)是一個超參數(shù)，由用戶根據(jù)需要自由設(shè)定。

繼續(xù)分析圖1，池化層1對卷積層的輸出進行采樣，輸出3個特征圖，這3個特征圖比卷積層的輸出更小。同卷積層1的卷積運算類似，卷積層2通過提取5組不同特征，得到5個特征圖。池化層2按池化層1的方法繼續(xù)采樣，輸出5個特征圖[3]，這5個特征圖比前面輸出進一步縮小。

池化層2后面是兩個全連接層，因為通過兩次卷積和池化，特征圖同輸入圖像相比已經(jīng)非常小，可以采用全連接。全連接層1的每個神經(jīng)元同池化層2輸出特征每個神經(jīng)元相連，輸出層即全連接層2的每個神經(jīng)元則與全連接層1的每個神經(jīng)元相連后得到輸出。

1.2 ?卷積神經(jīng)網(wǎng)絡(luò)訓練過程

卷積神經(jīng)網(wǎng)絡(luò)模型建立后分兩個步驟進行模型訓練。第一步稱為前向傳播，輸入數(shù)據(jù)從網(wǎng)絡(luò)低層向高層傳播。某層節(jié)點的輸出是通過與前層連接權(quán)重加權(quán)計算后，同偏置值進行運算，最后通過激活函數(shù)運算得到，每一層重復此運算。如果第一步結(jié)果不符合模型預算結(jié)果，則進行第二步反向傳播，將上述過程反向進行，從高層向低層進行訓練，消除誤差。

訓練過程為：

（1）網(wǎng)絡(luò)進行權(quán)值初始化。

（2）輸入數(shù)據(jù)從低層向高層進行前向傳播得到結(jié)果。

（3）將運算結(jié)果與預期結(jié)果進行比較計算誤差。

（4）如果運算結(jié)果與預期結(jié)果相差超出模型允許范圍時，再把誤差向上一層傳遞，按順序求得全連接層、下采樣層、卷積層的誤差。當運算結(jié)果與預期結(jié)果相差在模型允許范圍時，結(jié)束訓練。

（5）根據(jù)求得誤差進行權(quán)值更新。然后再進入到第二步。

2 ?模型設(shè)計

2.1 ?人類視覺原理的啟示

通過對人類的視覺原理研究，得知：人類對光的感知過程首先從視網(wǎng)膜感知亮度、顏色開始，視網(wǎng)膜感知結(jié)果傳遞到大腦皮層，大腦皮層對感知結(jié)果進行簡單處理發(fā)現(xiàn)物體的邊緣和位置，抽象出物體的形狀，判斷該物體具體是什么物體。

人類視覺也是通過這樣逐層分級、逐步抽象，分辨出人臉、汽車、動物、家具的不同。各種圖形的底層特征基本相同，通過依次向上層層抽象，逐漸提取出不同物體的不同特征，人類根據(jù)不同的特征組合可以精確地分辨出不同的物體。

2.2 ?異常檢測模型的建立

受人類視覺原理的啟發(fā)，我們可以通過構(gòu)造多層的神經(jīng)網(wǎng)絡(luò)，模仿人類視覺實現(xiàn)原理，實現(xiàn)圖像的分類識別。神經(jīng)網(wǎng)絡(luò)的低層對圖像初級特征進行識別，多個低層識別的底層特征組成下一層特征，這樣層層抽象、層層組合，最后實現(xiàn)分類[4]。

根據(jù)人類視覺原理，采用經(jīng)典LeNet-5結(jié)構(gòu)，采取多層組合構(gòu)造CNN學習模型，模型架構(gòu)示意圖如圖2所示。

該模型構(gòu)造一個分辨率為28×28×1的單通道圖像，截取載荷的前784個字節(jié)，不足784的補0。卷積核大小核寬×核高×通道數(shù)，卷積層1的卷積核為5×5×1，每次卷積完后卷積核移動一位。

圖像輸入到計算機中時，首先進行歸化處理，將像素灰度值轉(zhuǎn)換為0或者1。計算機會將圖像看作一個數(shù)組，每個圖像都有三個參數(shù)：列像素點個數(shù)、行像素點個數(shù)、圖像通道數(shù)。卷積核從輸入圖像的左上角開始遍歷做卷積運算，每做一次運算，都可以在原圖像上找到一個與卷積核同樣大小的區(qū)域。運算時，原圖像與卷積核相應位置進行乘法運算，將這些結(jié)果相加，得到新圖形上對應位置的數(shù)值，然后卷積核右移一位，繼續(xù)對應位置相乘，最后的輸出結(jié)果。輸入一個28×28×1的圖像，使用5×5過濾器進行卷積，最后生成的特征圖為28×28，因為有32個通道，所以最后得到32個同分辨率的特征圖。

為降低訓練參數(shù)的個數(shù)，在后面的卷積層之間循環(huán)引進池化層。一方面，池化縮小圖像空間。每個縱深維度的池化是獨自完成的，圖像縱深不變，使特征圖變小，簡化網(wǎng)絡(luò)計算復雜度;另一方面，池化層進行特征壓縮，提取主要特征。池化雖然能降低運算量，但是由于壓縮特征，有可能會影響到網(wǎng)絡(luò)的準確度，所以要設(shè)置合適的池化層。最常見形式是最大池化，最常見的池化大小是2×2（步長2），保留其中的最大值，將其余三個數(shù)據(jù)去除。經(jīng)過第一個池化生成32個特征圖，分辨率為14×14。

第二個卷積層和第一個類似，因為有64個通道，所以得到的特征圖是64個14×14，經(jīng)過第二次池化64個7×7特征圖。通過全連接層數(shù)據(jù)變成1 024和10。

3 ?數(shù)據(jù)準備

3.1 ?數(shù)據(jù)流量與圖像

網(wǎng)絡(luò)物理層中數(shù)據(jù)傳都是二進制流的串行傳輸，二進制流以字節(jié)為單位，每個字節(jié)8位，所以每個字節(jié)的取值有256種可能。灰度圖像的像素范圍也有256種可能，所以CNN模型的輸入數(shù)據(jù)是將采集提到的流量數(shù)據(jù)轉(zhuǎn)換成灰度圖像，流量分類就變成了灰度圖像識別[5]。

3.2 ?數(shù)據(jù)準備過程

數(shù)據(jù)準備的過程一般分以下幾個階段：采用流量抓取工具如sniffer、MRTG、PRTG、Etheral、NetDector等抓取原始流量[6]，用pcap格式保存在計算機中。然后對原始文件進行切分、清理，形成圖像文件，最后轉(zhuǎn)換成IDX格式，作為CNN的標準輸入，具體過程如圖3所示。

原始流量在一個采集周期內(nèi)形成一個原始文件，為了進行下一步的處理，需要將原始流量進行分割。粒度是流量分割的最小單位[7]。分割的依據(jù)不同，分割得到的數(shù)據(jù)集形式也不相同，研究人員根據(jù)自己實際情況選擇分割方法。該模型是按流量對文件進行切割，獲得獨立的五元組信息、建立時間、負荷、所用協(xié)議，最后形成數(shù)據(jù)集。

數(shù)據(jù)傳輸需要依靠MAC來識別對方地址。發(fā)送數(shù)據(jù)的時候，數(shù)據(jù)發(fā)送端計算機首先拿接收端的計算機IP與自己主機子網(wǎng)掩碼相匹配，匹配后，發(fā)現(xiàn)跟自己是同一網(wǎng)段的，則使用MAC地址去尋找對方，如果不是同一網(wǎng)段的，則封裝上對方的IP地址為目標地址，發(fā)現(xiàn)網(wǎng)關(guān)，由網(wǎng)關(guān)發(fā)現(xiàn)其他網(wǎng)絡(luò)。這兩個信息會對分類特征提取產(chǎn)生不利因素，為消除影響需要進行流量清理。

圖3中步驟3的作用是對是前面文件清理結(jié)果長度進行統(tǒng)一，大于規(guī)定長度的進行截取，小于規(guī)定長度的進行補0。為方便用戶查看文件，也可以將文件變成對應的灰度圖像，當然也可以跳過這個步驟，直接執(zhí)行步驟4。

4 ?分類識別

4.1 ?分類識別過程

進行分類識別時，首先采用流量抓取工具抓取pcap格式化的流量數(shù)據(jù)，之后使用選用的分割方法對格式化文件切割，清理掉IP和MAC地址，統(tǒng)一長度轉(zhuǎn)換成圖像數(shù)據(jù)，作為卷積神經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)源，通過多次卷積、池化處理，學習的特征作為Softmax分類器的輸入，按照流類別劃分應用類別。分類識別過程如圖4所示。

4.2 ?模型驗證

模型驗證采用深度學習框架TensorFlow，數(shù)據(jù)集采用KDD Cup 99數(shù)據(jù)集。TensorFlow最初用于機器學習和深度神經(jīng)網(wǎng)絡(luò)的研究，在數(shù)值計算領(lǐng)域也被普通使用，TensorFlow是一個開源軟件，因此使用TensorFlow?編程對研究結(jié)果進行驗證。KDD Cup 99數(shù)據(jù)集包含訓練數(shù)據(jù)、驗證數(shù)據(jù)和測試數(shù)據(jù)，是入侵檢測常用數(shù)據(jù)集，所有數(shù)據(jù)來自虛擬的美國空軍網(wǎng)絡(luò)，增加了眾多的模擬攻擊數(shù)據(jù)。

卷積層1的權(quán)重初始值和偏置量分別設(shè)置為0.1和32，卷積層2的權(quán)重初始值和偏置量分別設(shè)置為0.1和64，全連接層初始設(shè)有1 024個神經(jīng)元，該層的神經(jīng)元數(shù)需要根據(jù)經(jīng)驗和實驗結(jié)果進行反復調(diào)參確定。在運行過程中通過對參數(shù)進行調(diào)整得到了不同的準確率，如圖5所示。

4.3 ?結(jié)果分析

經(jīng)過多次參數(shù)調(diào)整，準確率均未超過0.7，低于相關(guān)研究的準確率。經(jīng)過分析，對模型架構(gòu)進行調(diào)整，在全連接層1前再增加一個卷積層和展平層，可以改變訓練數(shù)據(jù)的不平衡問題，提高訓練的準確率。

5 ?結(jié) ?論

綜上所述，神經(jīng)網(wǎng)絡(luò)是人工智能非常重要且比較成熟的領(lǐng)域，在網(wǎng)絡(luò)威脅事件頻發(fā)的情況下，提出基于卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量分類模型，根據(jù)網(wǎng)絡(luò)流量分類原理實現(xiàn)網(wǎng)絡(luò)流量的分類，經(jīng)模擬數(shù)據(jù)集驗證可以實現(xiàn)預設(shè)功能，對模型需要進一步改進以提高檢測效率和準確率。

參考文獻：

[1] 楊丹丹.基于深度學習的網(wǎng)絡(luò)流量分類研究 [D].杭州：浙江工商大學，2018：10-14.

[2] 趙英，刁鑫穎，陳駿君.基于網(wǎng)絡(luò)流量分類模型的集成策略研究 [C]//中國計算機用戶協(xié)會網(wǎng)絡(luò)應用分會2018年第二十二屆網(wǎng)絡(luò)新技術(shù)與應用年會.中國計算機用戶協(xié)會網(wǎng)絡(luò)應用分會2018年第二十二屆網(wǎng)絡(luò)新技術(shù)與應用年會論文集.蘇州，2018：269-272.

[3] 張閃青.基于卷積神經(jīng)網(wǎng)絡(luò)的圖像分類算法簡 [J].計算機產(chǎn)品與流通，2019（6）：112.

[4] 陳章斌.基于深度學習人臉識別技術(shù)在高校課堂點名中的設(shè)計及實現(xiàn) [J].蘭州文理學院學報（自然科學版），2018，32（6）：68-71+77.

[5] 劉金來.深度學習模型在網(wǎng)絡(luò)流量分類中的應用研究 [D].哈爾濱：哈爾濱理工大學，2018：17-22.

[6] 李振國，鄭惠中.網(wǎng)絡(luò)流量采集方法研究綜述 [J].吉林大學學報（信息科學版），2014，32（1）：70-75.

[7] 王鵬，蘭巨龍，陳庶樵.粒度自適應的多徑流量分割算法 [J].通信學報，2015，36（1）：215-221.

作者簡介：英鋒（1970—），男，漢族，江蘇連云港人，教授，本科，研究方向：計算機技術(shù)應用。