基于改進(jìn)RNN的網(wǎng)絡(luò)異常流量檢測(cè)研究

何欣峰 邢偉

摘 要：隨著計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展，人們的生活已經(jīng)逐漸離不開(kāi)網(wǎng)絡(luò)了，網(wǎng)絡(luò)的出現(xiàn)為人們的生活、工作和出行帶來(lái)了極大的便利。在這種情況下，檢測(cè)網(wǎng)絡(luò)流量，實(shí)時(shí)偵探出網(wǎng)絡(luò)流量異常變得十分重要。文章針對(duì)傳統(tǒng)網(wǎng)絡(luò)異常流量檢測(cè)方法的缺陷即無(wú)法自動(dòng)提取特征和無(wú)法體現(xiàn)時(shí)序性的問(wèn)題，設(shè)計(jì)了一個(gè)基于改進(jìn)RNN的網(wǎng)絡(luò)異常流量檢測(cè)模型。該模型可以較好地預(yù)測(cè)網(wǎng)絡(luò)流量并通過(guò)與真實(shí)流量做對(duì)比進(jìn)行網(wǎng)絡(luò)流量預(yù)警。與歷史傳統(tǒng)方法相比，該模型減輕了人工量并且較少了網(wǎng)絡(luò)參數(shù)，減少了訓(xùn)練時(shí)間。

關(guān)鍵詞：RNN；異常流量；檢測(cè)

1 常見(jiàn)的網(wǎng)絡(luò)異常檢測(cè)方法

隨著計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展，人們的生活已經(jīng)逐漸離不開(kāi)網(wǎng)絡(luò)了，網(wǎng)絡(luò)的出現(xiàn)為人們的生活，工作和出行帶來(lái)了極大的便利[1-2]。據(jù)統(tǒng)計(jì)，截至2020年4月，中國(guó)網(wǎng)民使用網(wǎng)絡(luò)人數(shù)已經(jīng)達(dá)9.04億，互聯(lián)網(wǎng)普及率已經(jīng)達(dá)64.5%[3]。在這種情況下，檢測(cè)網(wǎng)絡(luò)流量，實(shí)時(shí)偵探出網(wǎng)絡(luò)流量異常變得十分重要。網(wǎng)絡(luò)異常分為網(wǎng)絡(luò)延遲、網(wǎng)絡(luò)掉包、網(wǎng)絡(luò)重發(fā)、數(shù)據(jù)篡改和網(wǎng)絡(luò)癱瘓等。據(jù)統(tǒng)計(jì)，2019年，網(wǎng)宿云安全平臺(tái)一共檢測(cè)并攔截了近12 178億次攻擊，其中，惡意爬蟲(chóng)占據(jù)主要攻擊，超過(guò)三成來(lái)自于海外攻擊；分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊事件呈現(xiàn)了大流量、精準(zhǔn)化趨勢(shì)；Web應(yīng)用攻擊手段更加趨于自動(dòng)化和智能化[4-5]。所謂網(wǎng)絡(luò)異常檢測(cè)就是通過(guò)對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行分析和預(yù)測(cè)對(duì)比，檢測(cè)出網(wǎng)絡(luò)中是否存在攻擊。

常用的網(wǎng)絡(luò)異常檢測(cè)方法主要分為4類：（1）基于數(shù)值計(jì)算的網(wǎng)絡(luò)異常檢測(cè)方法，主要是基于閾值的異常檢測(cè)，簡(jiǎn)單來(lái)說(shuō)，就是對(duì)挑選出來(lái)的參數(shù)給定一個(gè)閾值，當(dāng)值不在該閾值內(nèi)時(shí)，系統(tǒng)就會(huì)報(bào)警，如恒定閾值檢測(cè)方法和自適應(yīng)的閾值檢測(cè)方法等。該方法雖然易于實(shí)現(xiàn)，但是由于閾值的難確定性以及失去了時(shí)序性的考慮，所以報(bào)警準(zhǔn)確率較低。（2）基于動(dòng)態(tài)檢測(cè)的網(wǎng)絡(luò)異常檢測(cè)方法，主要是指觀察相鄰流量值之間的變化，當(dāng)變化相差較大異常時(shí)判定為異常，系統(tǒng)會(huì)報(bào)警，如Amy方法等。該方法對(duì)理論要求嚴(yán)格較難且也沒(méi)有考慮時(shí)序性。（3）基于傳統(tǒng)機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)異常檢測(cè)方法是指通過(guò)機(jī)器學(xué)習(xí)的方法對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行研究分析然后進(jìn)行異常預(yù)警服務(wù)，如最小二乘支持向量機(jī)、K-均值（K-means）算法等[6]。該方法對(duì)特征的依賴性極大，選取不同的特征對(duì)檢測(cè)的準(zhǔn)確度影響很大。（4）基于深度學(xué)習(xí)的網(wǎng)絡(luò)異常檢測(cè)方法，是指通過(guò)深度學(xué)習(xí)的方法對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行研究分析然后進(jìn)行異常預(yù)警服務(wù)，如lstm等。該方法解決了傳統(tǒng)機(jī)器學(xué)習(xí)中對(duì)特征性依賴性過(guò)大的問(wèn)題[7]。

本文將深度學(xué)習(xí)模型CNN，RNN與網(wǎng)絡(luò)異常流量檢測(cè)相結(jié)合，設(shè)計(jì)了一個(gè)基于改進(jìn)RNN的網(wǎng)絡(luò)異常流量檢測(cè)模型。該模型可以較好地對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè)與預(yù)警。

2 相關(guān)工作

2.1 網(wǎng)絡(luò)異常流量檢測(cè)

網(wǎng)絡(luò)異常流量檢測(cè)作為一種強(qiáng)有力的防護(hù)手段，能夠及時(shí)的發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，對(duì)網(wǎng)絡(luò)提供重要的技術(shù)支持，近幾年來(lái)變得越來(lái)越重要。引起網(wǎng)絡(luò)流量異常的原因通常分為兩種[8]：（1）物理問(wèn)題，特指網(wǎng)絡(luò)結(jié)構(gòu)中出現(xiàn)的物理設(shè)備故障或者物理網(wǎng)絡(luò)設(shè)計(jì)不合理產(chǎn)生的網(wǎng)絡(luò)堵塞。物理問(wèn)題造成的網(wǎng)絡(luò)流量異常是難以發(fā)現(xiàn)的，且解決必須人工。（2）安全問(wèn)題，特指由于網(wǎng)絡(luò)攻擊行為產(chǎn)生的網(wǎng)絡(luò)流量異常，如蠕蟲(chóng)病毒、DDoS攻擊等。安全問(wèn)題造成的網(wǎng)絡(luò)流量異常是比較常見(jiàn)的。

常用的網(wǎng)絡(luò)異常檢測(cè)主要分為4類：基于數(shù)值計(jì)算的網(wǎng)絡(luò)異常檢測(cè)方法、基于動(dòng)態(tài)檢測(cè)的網(wǎng)絡(luò)異常檢測(cè)方法、基于傳統(tǒng)機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)異常檢測(cè)方法和基于深度學(xué)習(xí)的網(wǎng)絡(luò)異常檢測(cè)方法。這些方法的差異性如圖1所示。對(duì)于基于數(shù)值計(jì)算、基于動(dòng)態(tài)檢測(cè)的網(wǎng)絡(luò)異常檢測(cè)方法都是人工設(shè)計(jì)的，不具備自主學(xué)習(xí)能力，而基于傳統(tǒng)機(jī)器學(xué)習(xí)和基于深度學(xué)習(xí)的網(wǎng)絡(luò)異常檢測(cè)方法在匹配特征上可以機(jī)器自動(dòng)學(xué)習(xí)。對(duì)于基于數(shù)值計(jì)算、基于動(dòng)態(tài)檢測(cè)和基于傳統(tǒng)機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)異常檢測(cè)方法都使用了手工設(shè)計(jì)的程序具有主觀性，特征設(shè)計(jì)較困難，而深度學(xué)習(xí)方法卻可以較好的解決該問(wèn)題。近幾年的實(shí)驗(yàn)結(jié)果證明借助深度學(xué)習(xí)的獨(dú)特能力，可以克服以往方法的缺陷，進(jìn)一步提高網(wǎng)絡(luò)異常流量檢測(cè)的能力[9-11]。

本文將深度學(xué)習(xí)算法與網(wǎng)絡(luò)異常流量檢測(cè)相結(jié)合，設(shè)計(jì)了一個(gè)基于改進(jìn)RNN的網(wǎng)絡(luò)異常流量檢測(cè)方法。

2.2 時(shí)間序列模型

網(wǎng)絡(luò)流量是體現(xiàn)網(wǎng)絡(luò)運(yùn)行狀態(tài)和性能狀態(tài)的關(guān)鍵指標(biāo)，是隨時(shí)間變化的[12]。因此，可以將它砍成一個(gè)時(shí)間序列，用時(shí)間序列的分析方法去解決該問(wèn)題[13]。時(shí)間序列是指按照時(shí)間順序排列、隨時(shí)間變化的且相互之間有關(guān)系的序列，而時(shí)間序列模型就是專門(mén)針對(duì)時(shí)間序列而設(shè)計(jì)的模型。針對(duì)預(yù)測(cè)變量的區(qū)別，可以分為單變量時(shí)間序列模型和多變量時(shí)間序列模型。

常用的時(shí)間序列模型包括：（1）自回歸模型（Autoregressive Model，AR），是假設(shè)數(shù)據(jù)是符合線性關(guān)系的，用回歸分析中的線性回歸方法來(lái)分析模擬。該方法需要的數(shù)據(jù)不多，利用自身的數(shù)據(jù)數(shù)列就可以進(jìn)行預(yù)測(cè)，較方便，但必須預(yù)測(cè)與前期相關(guān)的序列。（2）移動(dòng)平均模型（Moving Average Model，MA），其假設(shè)是指當(dāng)前時(shí)刻的值是過(guò)去q階白噪聲的線性組合。該方法需要的數(shù)據(jù)不多，但是其當(dāng)前時(shí)刻的數(shù)據(jù)也與歷史數(shù)據(jù)關(guān)聯(lián)性較大。（3）自回歸移動(dòng)平均模型（Autoregressive Moving Average Model，ARMA），AR與MA混合而成的模型，可以解決很大一部分的實(shí)際問(wèn)題。但是其當(dāng)前時(shí)刻的數(shù)據(jù)也得與歷史數(shù)據(jù)有較大關(guān)聯(lián)性。

2.3 RNN

循環(huán)神經(jīng)網(wǎng)絡(luò)（Recurrent Neural Network，RNN）的結(jié)果如圖2所示。該網(wǎng)絡(luò)中有一個(gè)特殊的單元即記憶單元，記憶單元是RNN的關(guān)鍵所在。RNN的記憶單元會(huì)保存隱藏層的狀態(tài)，即保存上一個(gè)時(shí)刻的狀態(tài)。然后在第t+1時(shí)刻的真實(shí)輸入是記憶單元中的內(nèi)容和t+1時(shí)刻的輸入。RNN每個(gè)時(shí)刻隱藏層的輸出都會(huì)傳遞給下一時(shí)刻，因此每個(gè)時(shí)刻的網(wǎng)絡(luò)都會(huì)保留一定的來(lái)自之前時(shí)刻的歷史信息，并結(jié)合當(dāng)前時(shí)刻的網(wǎng)絡(luò)狀態(tài)一并再傳給下一時(shí)刻。

RNN在理論上可以很好地解決序列數(shù)據(jù)模擬和預(yù)測(cè)問(wèn)題。但是他存在梯度消失的問(wèn)題，尤其是序列越長(zhǎng)時(shí)梯度越容易消失[14-15]。

3 基于RNN的網(wǎng)絡(luò)異常流量檢測(cè)

3.1 總模型

本文的數(shù)據(jù)集是流量特征向量，每個(gè)特征之間不具備相關(guān)性。本文總模型結(jié)構(gòu)如圖3所示，主要包含5個(gè)步驟。

步驟1：數(shù)據(jù)預(yù)處理。主要作用是將不同尺度的數(shù)據(jù)標(biāo)準(zhǔn)化映射到[0，1]。若不經(jīng)過(guò)該步驟的話，不同尺度的數(shù)據(jù)對(duì)模型就會(huì)因?yàn)閱挝辉u(píng)價(jià)標(biāo)準(zhǔn)不同產(chǎn)生較大的影響。本文所采用的數(shù)據(jù)預(yù)處理算法如下：

步驟2：構(gòu)建RNN模型。本文構(gòu)造的RNN模型主要分為兩塊：CNN特征提取塊，RNN時(shí)序預(yù)測(cè)塊。

模塊1：CNN特征提取塊。本文構(gòu)建CNN特征提取塊的目的是從原始特征向量中提取出與最終流量關(guān)聯(lián)性最大的特征。該模塊減少了算法復(fù)雜度和參數(shù)量。該塊的結(jié)構(gòu)如圖4所示，即由卷積層、池化層和全連接層串聯(lián)而成。

模塊2：RNN時(shí)序預(yù)測(cè)塊。本文構(gòu)建的RNN時(shí)序預(yù)測(cè)塊其核心如圖5所示，即當(dāng)前時(shí)刻的輸出值取決于上一個(gè)時(shí)刻的狀態(tài)與當(dāng)前時(shí)刻的值。第t個(gè)時(shí)刻的輸出為：

步驟3：訓(xùn)練。根據(jù)最后預(yù)測(cè)到的結(jié)果與真實(shí)結(jié)果相比較計(jì)算其損失，通過(guò)反向傳播傳遞到前進(jìn)行不斷的迭代訓(xùn)練更新模型參數(shù)直到模型最終收斂。

步驟4：測(cè)試。當(dāng)在訓(xùn)練集合上模型訓(xùn)練好了后，就將測(cè)試集的數(shù)據(jù)放入訓(xùn)練好的模型進(jìn)行預(yù)測(cè)。根據(jù)預(yù)測(cè)出來(lái)的預(yù)測(cè)值與真實(shí)值進(jìn)行比較計(jì)算誤差，判斷該模型的性能。若效果好則停止整個(gè)過(guò)程，若效果不好，則將重新訓(xùn)練。

步驟5：真實(shí)實(shí)時(shí)數(shù)據(jù)預(yù)警。當(dāng)模型已經(jīng)訓(xùn)練好了之后，當(dāng)真實(shí)實(shí)時(shí)數(shù)據(jù)進(jìn)來(lái)時(shí)，將其輸入訓(xùn)練好的模型預(yù)測(cè)下一個(gè)時(shí)刻的流量值，當(dāng)下一個(gè)時(shí)刻的真實(shí)值進(jìn)來(lái)時(shí)，比較其與預(yù)測(cè)值的大小，若相差較大，即預(yù)警；否則不做操作。

3.2 模型的有效性與優(yōu)勢(shì)

本文使用的方法可以有效的體現(xiàn)網(wǎng)絡(luò)流量的時(shí)間序列性能。與此同時(shí)，該方法可以減少人工挑選特征的困難性，將原始的流量特征輸入模型，讓模型自主去選擇和學(xué)習(xí)各特征與流量值之間的關(guān)聯(lián)性。

4 結(jié)語(yǔ)

本文分析了網(wǎng)絡(luò)異常流量產(chǎn)生的原因與弊端，將深度學(xué)習(xí)模型能從原始數(shù)據(jù)中自動(dòng)提取高層特征和RNN時(shí)序網(wǎng)絡(luò)相結(jié)合提出了一種基于改進(jìn)RNN的網(wǎng)絡(luò)異常流量檢測(cè)模型。該模型可以較好的預(yù)測(cè)網(wǎng)絡(luò)流量當(dāng)真實(shí)的網(wǎng)絡(luò)流量與預(yù)測(cè)值相差較大時(shí)，可直接判斷為異常流量進(jìn)行預(yù)警。本文根據(jù)歷史模型無(wú)法體現(xiàn)流量時(shí)序性以及無(wú)法自動(dòng)提取流量特征的問(wèn)題，提出了一種較合理的網(wǎng)絡(luò)異常流量判斷模型。

[參考文獻(xiàn)]

[1]丁美美.基于主成分分析的網(wǎng)絡(luò)流量異常檢測(cè)研究[D].北京：北京交通大學(xué)，2017.

[2]張紅福.基于流量的網(wǎng)絡(luò)異常檢測(cè)方法研究[D].桂林：桂林電子科技大學(xué)，2018.

[3]中國(guó)互聯(lián)網(wǎng)研究中心.第45次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》[EB/OL].（2018-08-20）[2021-11-23].http：//www.cac.gov.cn/2020-04/27/c_1589535470378587.htm.

[4]杭?jí)赧危悅ィ瑥埲式?基于改進(jìn)的一維卷積神經(jīng)網(wǎng)絡(luò)的異常流量檢測(cè)[J].計(jì)算機(jī)應(yīng)用，2021（2）：433-440.

[5]孫友添.2019年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告出爐[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2020（20）：16-19.

[6]張艷升，李喜旺，李丹，等.基于卷積神經(jīng)網(wǎng)絡(luò)的工控網(wǎng)絡(luò)異常流量檢測(cè)[J].計(jì)算機(jī)應(yīng)用，2019（5）：1512-1517.

[7]蘇孟輝.基于時(shí)間序列的網(wǎng)絡(luò)流量檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].廣州：華南理工大學(xué)，2015.

[8]PRESS C. Network anomaly detection：a machine learning perspective[J].Endocrinology，2013（45）：455-463.

[9]陳冠衡，蘇金樹(shù).基于深度神經(jīng)網(wǎng)絡(luò)的異常流量檢測(cè)算法[J].信息網(wǎng)絡(luò)安全，2019（6）：68-75.

[10]王軍峰.基于深度學(xué)習(xí)的網(wǎng)絡(luò)流量分類及異常檢測(cè)方法研究[J].締客世界，2019（1）：1.

[11]黎佳玥，趙波，李想，等.基于深度學(xué)習(xí)的網(wǎng)絡(luò)流量異常預(yù)測(cè)方法[J].計(jì)算機(jī)工程與應(yīng)用，2020（6）：39-50.

[12]榮利.網(wǎng)絡(luò)流量的監(jiān)測(cè)與控制方法的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2012.

[13]姜明，吳春明，張旻，等.網(wǎng)絡(luò)流量預(yù)測(cè)中的時(shí)間序列模型比較研究[J].電子學(xué)報(bào)，2009（11）：2353-2358.

[14]蘇蘭瑩，劉桂霞，楊雅輝，等.采用結(jié)構(gòu)與參數(shù)訓(xùn)練相結(jié)合的RNN模型構(gòu)建基因調(diào)控網(wǎng)絡(luò)[J].吉林大學(xué)學(xué)報(bào)（理學(xué)版），2010（2）：134-140.

[15]潘麗敏，閆晗，羅森林，等.RNN模型的逐點(diǎn)損失估計(jì)優(yōu)化方法：109961143A[P].2019.

（編輯 傅金睿）

Research on network abnormal traffic detection based on improved RNN

He Xinfeng， Xing Wei

（Jiangsu Golden Shield Detection Technology Co.， Ltd.， Nanjing 210042， China）

Abstract：With the development of computer and network， people’s life has been gradually inseparable from the network. The emergence of the network has brought great convenience to people’s life， work and travel. In this case， it is very important to detect network traffic and detect network traffic anomalies in real time. In this paper， aiming at the defects of traditional network abnormal traffic detection methods， that is， unable to extract features automatically and can not reflect the timing， a network abnormal traffic detection model based on improved RNN is designed. This model can better predict the network traffic and carry on the network traffic early warning by comparing with the real traffic. Compared with the traditional historical methods， this model reduces the amount of labor and network parameters， and reduces the training time.

Key words：RNN；abnormal flow；detection