基于時域卷積神經網絡的網絡異常檢測*

譚 天，葉 倩，孫艷杰

(杭州迪普信息技術有限公司,浙江 杭州 310051)

0 引言

網絡異常檢測是網絡安全領域一個非常重要的研究方向，它是網絡入侵檢測系統的一個重要組成部分。不同于基于特征碼的檢測，異常檢測能夠有效檢測出未知的攻擊（0-day 攻擊）活動。

有關網絡異常檢測的研究已經具有很長的歷史，方法也是多種多樣，研究者最常用的方法包括：聚類、分類、統計、信息論、數字信號處理等。Gaddam[1]等人使用K-Means 聚類算法結合ID3算法來進行異常檢測，取得了較高的準確率。使用聚類方法最重要的就是要定義一個合適的相似度度量方法。Yan[2]使用許多標注了正常或異常的數據來訓練一個SVM 分類器，然后將訓練好的分類器應用到網絡異常流量檢測中。但分類的方法需要線下使用標注過的數據集來訓練一個分類器，由于不同網絡環境的流量和線下訓練時所用的數據集差別可能非常大，這就限制了其應用范圍。還有許多研究人員采用基于統計的方法來實現異常檢測。統計方法是異常檢測領域最早使用的方法，具有簡單、快速、可解釋性強等特點，但是往往需要假設數據滿足某種約束條件，很多時候這些約束條件在復雜多變的網絡環境中是無法滿足的。Zempoaltecatl Piedras[3]等人提出一種熵空間的方法來進行異常檢測，在實際的環境中也取得了不錯的表現。但是這種方法對于具有周期特性，并且周期內數據存在較大波動的場景并不適用。信號處理的技術可以用于網絡異常檢測，Hamdi 和 Boudriga[4]利用小波理論將觀測到的一維信號進行分解，分析其特殊的頻率及時間局部性，從而識別攻擊相關的網絡異常。

本文提出一種基于時域卷積神經網絡的網絡異常檢測方案，該方案通過對網絡中的歷史數據進行在線學習來預測未來的數據，然后通過將預測的數據和未來的真實數據進行比較來判斷是否出現異常。使用在線學習的方法可以針對不同的網絡環境學習出不同的預測判別模型，能夠自動適應不同的網絡環境。另外，本文中采用多個指標從不同角度對網絡進行度量，這些度量指標之間是有一定的影響和聯系的，不能單獨對待。在本文的方案中，這些不同指標的數據在通過時域卷積神經網絡時經過卷積運算彼此之間是會相互影響的，并且在進行判別時也會通過一個多元高斯分布來建立這些指標之間的聯系，從而能夠更好地學習到數據變化的規律，更準確地檢測出網絡的異常。

1 時域卷積神經網絡

時域卷積神經網絡（Temporal Convolutional Network，TCN）[5]是一種能夠用來對時間序列進行建模的深度神經網絡，它結合了RNN 和CNN 的優點。研究人員也已經通過實驗證實了TCN 在多個任務上具有比標準LSTM 和GRU 更好的效果。除此之外，TCN 具有更低的內存、更穩定的梯度和更靈活的感受野，并且可以做到并行處理。

TCN 處理的數據是時間序列數據，這些數據是具有嚴格的時間序的，在進行卷積的時候不能發生信息的“泄露”，即在對某個時間點的數據進行建模時是不能使用到它后面時間點的數據的。為了達到這一點就需要使用因果卷積。因為簡單的因果卷積所能覆蓋的歷史數據和卷積網絡的層數呈線性關系，在處理長周期數據時會導致網絡比較深，從而讓訓練一個網絡變得很有挑戰性。基于此，TCN 一般采用膨脹卷積，可以指數級減少網絡的層深。下面就從因果卷積和膨脹卷積這兩個方面來介紹TCN。

1.1 因果卷積

因果卷積即某一神經元的輸出只能用與其有因果關系的數據通過卷積運算得到，只有有了前面的因，才會有后面的果。具體到時間序列數據上來說就是某一時刻t對應神經元的輸出只能用時刻t及其之前的數據通過卷積運算得到。這是一種具有嚴格時間約束的模型。一個卷積核大小為2 的因果卷積如圖1 所示。

圖1 因果卷積示意圖

在圖1 中，每一層的一個神經元都對應一個時刻，每個神經元的感受野對應其當前時刻及之前的一些時刻。

1.2 膨脹卷積

單純的因果卷積需要線性地堆疊很多層來捕獲長時依賴，這會導致模型難以訓練，膨脹卷積則可以很好地解決這個問題。以一維卷積為例，傳統卷積會用卷積核和與卷積核大小相同數量的連續神經元進行卷積運算，而膨脹卷積則可以用和卷積核大小相同但不連續的神經元來進行卷積運算。膨脹卷積中有一個膨脹系數d用來控制參與卷積運算的神經元的不連續程度。d=k表示在連續k個神經元中取一個神經元參與卷積運算。

圖2 膨脹卷積示意

在圖2 中，卷積核固定為2，第一個卷積層的膨脹系數為1，第二個卷積層的膨脹系數為2，第三個卷積層的膨脹系數為4。一般來說，膨脹系數是隨著卷積層的增加而呈指數增長，越高的層級使用的膨脹系數越大，卷積層深h和膨脹系數的關系如式（1）所示：

式中，b是膨脹系數的基。為了避免出現空洞，一般b要小于等于卷積核的大小。從圖2 可以看到，膨脹卷積使得神經元的感受野隨著層數呈現指數級增長，可以用較少的層數捕獲長時依賴。

1.3 模型總結

TCN 的輸入序列長度和輸出序列長度相等，每個隱藏層的寬度都和輸入層的寬度是一樣的，卷積層采用因果卷積和膨脹卷積。一個輸入序列長度為l，卷積核大小為k，膨脹系數的基為b的模型至少需要n層才能完整覆蓋輸入序列，n可以通過式（2）求得：

對于一個訓練好的TCN 模型，輸入一個時間序列就可以預測這個時間序列后面的一個時刻的數據（TCN 可以預測一個時間序列數據，但這里我們只需預測接下來一個時刻的數據即可）。

為了訓練TCN 模型，就需要有輸入序列和目標序列。輸入序列顧名思義就是要輸入模型中的序列。目標序列和輸入序列是成對出現的，并且和輸入序列具有相同的長度，它是模型由輸入序列得到的輸出序列的一個期望值，主要用來定義模型的損失函數并據此優化模型。目標序列是在輸入序列的基礎上向前移動output_length個時刻的序列，如圖3 所示。

圖3 輸入序列和目標序列

在圖3 中，output_length是向前預測的數據的個數。以一定的步長在時間序列上滑動輸入序列和目標序列，用得到的輸入序列和目標序列對來訓練TCN。

2 網絡異常檢測

網絡異常檢測的一般思路就是對正常情況下的網絡狀況進行建模，之后根據網絡狀況偏離模型的程度來判斷網絡是否出現異常。由于網絡狀態的復雜多變，并且在很多環境中還呈現出一定的周期性，有的還會呈現出多種不同的周期性的疊加。因此對網絡狀況進行建模就變得十分棘手。本文從多個維度定義了網絡的度量指標，并利用TCN 強大的學習能力對歷史數據進行建模，然后來預測未來數據的變化情況，可以有效提高網絡異常檢測的準確率。本文方案的結構如圖4 所示。

2.1 特征提取模塊

特征提取模塊用來從網絡數據流中提取數據用來進行學習、預測及判別。網絡狀況是隨時間變化的，可以用一個時間序列來描述這種隨時間變化的數據，這里稱這種序列為NTS 序列，全稱為Network Time Series。NTS 中每個元素都對應于某一個時間窗口內的網絡狀況的描述。時間窗口的定義需要根據具體的網絡環境和需求來設置，例如，在一個辦公網絡中可以將時間窗口設置為1 h，那么一天就是一個長度為24 的NTS。

NTS 中的一個元素是對一個時間窗口內的網絡狀況的描述。對網絡狀況進行描述最簡單也是最常用的一個指標就是網絡流量大小但是僅僅使用這個指標不能很準確地反映網絡狀況的變化。本方案選擇從多個不同的角度定義網絡狀況的度量指標，能夠更加精確地反映網絡的變化情況。這些度量指標詳見表1。

圖4 方案結構圖

表1 網絡狀況度量指標

用上述指標組成一個10 維的特征向量，用來對網絡狀況進行度量。在時刻t的特征向量為：

從時刻0 到時刻t的NTS 可以表示為：

2.2 在線學習模塊

在線學習模塊會從歷史數據中學習出數據的變化規律，然后用來預測未來的數據。之所以選擇在線學習是因為不同網絡環境的差別是非常大的，用某個網絡環境中的流量數據進行訓練得到的模型是無法應用于其他網絡環境中的，所以需要在部署的網絡環境中自動利用其歷史數據進行學習，然后加以應用。

TCN 雖然理論上是個有監督的機器學習算法，但是從上面關于TCN 模型的描述可知，用來訓練TCN 的輸入序列和目標序列是來自同一個時間序列的，所以可以像無監督機器學習那樣進行在線訓練。

鑒于不同維度的指標的量綱是不一樣的，因此，需要對各個維度做一個歸一化，歸一化是針對所有輸入模型的輸入序列和目標序列的。求出用來進行訓練的序列中各個維度上的均值μi和方差δi，然后用如下公式對時刻t的第i維數據進行歸一化：

定義模型的輸入長度為k，該輸入長度最好大于一個數據周期的長度，從而更好地捕獲周期信息。一個以時刻i為結尾的輸入序列為：

因為這里只需預測出下一時刻的數據，所以其對應的目標序列為：

將輸入序列中的10 個度量指標看做TCN 輸入層的10 個通道，然后采用一維的因果卷積、膨脹卷積進行卷積運算。在卷積層進行卷積運算時會將這10 個通道的數據進行融合，這樣就可以學習到這些度量指標之間的內在聯系。

TCN 的輸出層的神經元個數與輸入序列的長度是一樣的，即具有k個神經元，如果輸入序列為ISi，則這k個神經元分別對應于i-k+2,i-k+3,…,i+1時刻的預測數據，可用式（8）表示為：

模型的損失函數定義為模型的預測序列和目標序列之間的均方誤差：

利用隨機梯度下降法訓練模型，直到loss降低到一個指定的閾值或者loss收斂為止。

訓練好的模型需要不斷地更新才能保證其良好的擬合能力。但是模型訓練是相對比較消耗資源的，所以這里采用一個長短周期交替更新策略來對模型進行更新。定義長周期的長度為LP，短周期的長度為SP。自模型上次長周期更新之后，若經過了LP個時間窗口就使用這LP個時間窗口的序列數據對模型進行訓練，完成一次長周期更新。自模型上次更新之后，若經過了SP個時間窗口就使用這SP個時間窗口的序列數據訓練模型，完成一個短周期更新。當長周期更新和短周期更新發生碰撞的時候選擇長周期更新。

2.3 預測模塊

預測模塊會利用當前最新的模型及歷史數據來預測下一時刻的數據及預測誤差。設當前時刻為t，預測模塊將從時刻t-k+1 到時刻t的歷史序列數據經過歸一化之后輸入預測模型，可以得到一個輸出序列，用式（10）表示如下：

因為模型輸出的序列數據是在歸一化的基礎上得到的，所以需要將模型輸出序列中的數值做歸一化的逆變換方可得到真正的預測序列。具體變換過程為：

式（11）中的δi和μi分別為第i維數據在在線學習階段進行歸一化時使用的標準差和均值，式（11）和式（12）中的j取值范圍為2 ≤j≤k+1。

由于在時刻t、時刻t-k+2～t的數據是已知的，因此由這些已知數據及預測數據可以得到一個誤差矩陣：

2.4 判別模塊

判別模塊根據預測模塊預測的t+1 時刻的數據和對應的誤差矩陣來判斷t+1 時刻獲取到的數據是否是異常的。根據式（13）的誤差矩陣可以計算出一個協方差矩陣：

將時刻t+1 的數據看作一個10 元隨機變量X，則可以認為X滿足如下的多元高斯分布：

在獲取到t+1 時刻的特征向量之后，其概率密度估計P(Ft+1)為：

P(Ft+1)越大說明數據越正常。設定一個閾值ε，當P(Ft+1)＜ε時則說明t+1 時刻的數據是異常的。閾值ε越小則誤報（將正常數據判斷為異常）的概率越小，同時漏報（將異常數據判斷為正常）的概率也越大。ε可以由用戶設置，也可以在學習階段根據訓練數據自行設定。

3 結語

通常的網絡異常檢測使用多個度量指標的時候都是將其作為多個獨立的變量進行分析，但是這些度量指標其實內在是有一定的聯系的，獨立進行分析就忽略掉了這些度量指標之間的內在聯系，從而影響檢測準確率。本方案采用TCN 模型和多元高斯分布能夠發掘這些度量指標之間的相互聯系，從而可以提高檢測的準確率。另外，本方案可以自動地在線完成學習、檢測的過程，能夠適應各種不同的網絡環境。