網(wǎng)絡(luò)異常檢測的關(guān)鍵技術(shù)應(yīng)用

張波 王斌 呂齊

（國網(wǎng)金華供電公司 浙江省金華市 321000）

在互聯(lián)網(wǎng)時代的發(fā)展下，網(wǎng)絡(luò)對人們的生活產(chǎn)生了深刻影響，網(wǎng)民數(shù)量不斷攀升，在互聯(lián)網(wǎng)規(guī)模的擴(kuò)大下，與之相關(guān)的設(shè)備、應(yīng)用數(shù)量也越來越多，對于網(wǎng)絡(luò)運(yùn)行安全的要求也不斷提升，網(wǎng)絡(luò)信息安全是當(dāng)前需要關(guān)注的重點問題。隨著互聯(lián)網(wǎng)與生活的結(jié)合，在線教育、智慧醫(yī)療、網(wǎng)絡(luò)金融中產(chǎn)生了多元化的網(wǎng)絡(luò)交互信息，網(wǎng)絡(luò)安全的重要性不斷凸顯，各類網(wǎng)絡(luò)攻擊對網(wǎng)絡(luò)安全造成了不同程度的影響。

近些年來，機(jī)器學(xué)習(xí)與網(wǎng)絡(luò)安全領(lǐng)域?qū)崿F(xiàn)了深度結(jié)合，利用機(jī)器學(xué)習(xí)的數(shù)據(jù)學(xué)習(xí)能力，根據(jù)部署好的模型，能夠幫助監(jiān)管人員分析網(wǎng)絡(luò)狀態(tài)是否存在異常，根據(jù)網(wǎng)絡(luò)入侵類型來采用相應(yīng)的規(guī)范措施。深度學(xué)習(xí)有著良好的自動提取特征能力，可形成模型函數(shù)擬合，能夠區(qū)分出各類正常狀態(tài)數(shù)據(jù)與異常狀態(tài)數(shù)據(jù)，更好的抵御攻擊。

1 入侵檢測系統(tǒng)分析

在互聯(lián)網(wǎng)+時代，網(wǎng)絡(luò)信息安全任務(wù)變得更加繁重，入侵檢測屬于積極性的安全防護(hù)技術(shù)，能夠?qū)W(wǎng)絡(luò)環(huán)節(jié)進(jìn)行實時偵測，若存在異常網(wǎng)絡(luò)狀態(tài)，可發(fā)出預(yù)警與顯示。在目前的現(xiàn)代化網(wǎng)絡(luò)安全體系中，入侵檢測技術(shù)的作用越來越重要，能夠為計算機(jī)系統(tǒng)、網(wǎng)絡(luò)提供實時防護(hù)。在通用化的入侵檢測系統(tǒng)框架中，包括事務(wù)生成器、事務(wù)數(shù)據(jù)庫、事務(wù)分析器以及響應(yīng)模塊組成。其中，事務(wù)生成器能夠從系統(tǒng)中收集行為信息，將信息傳遞至其他部分；事務(wù)數(shù)據(jù)庫是入侵檢測系統(tǒng)的核心，能夠?qū)ι善髦械男袨樾畔⑦M(jìn)行統(tǒng)計、分析，生成分析報告；事務(wù)數(shù)據(jù)庫負(fù)責(zé)信息的存儲，進(jìn)一步提升了事務(wù)分析器的判別能力；響應(yīng)模塊是響應(yīng)和處理環(huán)節(jié)，能夠明確不同入侵行為模式的特點，根據(jù)安全條例來采用相應(yīng)的處理方式。

入侵檢測系統(tǒng)的工作步驟包括：

（1）數(shù)據(jù)的采集：在網(wǎng)絡(luò)、計算機(jī)中，設(shè)置多個偵測節(jié)點，包括軟件實時運(yùn)行狀態(tài)、計算機(jī)內(nèi)部系統(tǒng)日志、網(wǎng)絡(luò)日志、防火墻日志、各類物理入侵行為信息組成。采集到的數(shù)據(jù)類型越豐富，整個系統(tǒng)的運(yùn)行性能越高。

（2）數(shù)據(jù)的處理：在原始數(shù)據(jù)信息中，有大量的干擾信息，這類信息數(shù)據(jù)量大、維度高，如果直接分析，難度較高，對此，需要提前對數(shù)據(jù)內(nèi)容進(jìn)行數(shù)值轉(zhuǎn)化和預(yù)處理。

（3）數(shù)據(jù)的分析：數(shù)據(jù)分析是其中的核心環(huán)節(jié)，關(guān)乎檢測效果，因此，需要根據(jù)運(yùn)行要求來不斷優(yōu)化數(shù)據(jù)分析方案，近年來，各類數(shù)據(jù)挖掘算法、機(jī)器學(xué)習(xí)算法得到了大規(guī)模應(yīng)用，顯著提升了入侵檢測的效果。

（4）響應(yīng)處理：根據(jù)分析結(jié)果，應(yīng)用相應(yīng)措施來處理網(wǎng)絡(luò)異常，包括主動響應(yīng)、被動響應(yīng)兩種方式，被動響應(yīng)的時效性、積極性較弱，常見的響應(yīng)方式有日志記錄、系統(tǒng)警告等，主動響應(yīng)可通過多種層面積極介入來阻斷網(wǎng)絡(luò)入侵問題。

2 深度學(xué)習(xí)下的網(wǎng)絡(luò)異常檢測關(guān)鍵技術(shù)分析

2.1 常見深度學(xué)習(xí)模型的應(yīng)用

傳統(tǒng)的神經(jīng)網(wǎng)絡(luò)在算法設(shè)計上主要是采用了反向傳播的算法，但是由于其效率低下和容易陷入局部極小狀態(tài)的缺點，導(dǎo)致在遇到復(fù)雜數(shù)據(jù)時的運(yùn)算結(jié)果難以達(dá)到人們的預(yù)期，至此，深度學(xué)習(xí)算法應(yīng)運(yùn)而生，常見的深度學(xué)習(xí)模型，包括如下幾種類型：

2.1.1 全連接神經(jīng)網(wǎng)絡(luò)

全連接神經(jīng)網(wǎng)絡(luò)屬于基本神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，包括輸入層、隱藏層以及輸出層組成（全連接神經(jīng)網(wǎng)絡(luò)如圖1 所示），輸入層負(fù)責(zé)數(shù)據(jù)的收集，隱藏層可以設(shè)置為一層，也可設(shè)置為多層，各層之間利用權(quán)值連接，應(yīng)用了非線性激活函數(shù)，為網(wǎng)絡(luò)賦予了學(xué)習(xí)任意非線性函數(shù)的能力。應(yīng)用了全連接神經(jīng)網(wǎng)絡(luò)后，可以顯著提升檢測的準(zhǔn)確率，相較于以往的機(jī)器學(xué)習(xí)算法，有效優(yōu)化了檢測性能。同時，全連接神經(jīng)網(wǎng)絡(luò)增加了各層結(jié)點個數(shù)，但是，如果節(jié)點數(shù)和層數(shù)太多，會出現(xiàn)擬合問題，影響泛化能力，容易出現(xiàn)梯度爆炸的問題，因此，在實際操作中，很少使用純?nèi)B接神經(jīng)網(wǎng)絡(luò)。

2.1.2 卷積神經(jīng)網(wǎng)絡(luò)

卷積神經(jīng)網(wǎng)絡(luò)是基于全連接神經(jīng)網(wǎng)絡(luò)基礎(chǔ)上誕生，具有權(quán)值共享、稀疏連接、瀉化功能，空間特征學(xué)習(xí)能力更強(qiáng)，應(yīng)用卷積神經(jīng)網(wǎng)絡(luò)，可以有效的提取出網(wǎng)絡(luò)流量的解空間特征。通過該種方式，做到了端對端加密流量異常檢測，有效減少參數(shù)量，但是，在具體的應(yīng)用過程中，也存在梯度消失、梯度爆炸問題，為了解決上述問題，可應(yīng)用殘差網(wǎng)絡(luò)來提升網(wǎng)絡(luò)深度和圖片識別質(zhì)量。

2.1.3 循環(huán)神經(jīng)網(wǎng)絡(luò)

循環(huán)神經(jīng)網(wǎng)絡(luò)能夠利用隱藏狀態(tài)單元，將各類信息傳遞至當(dāng)前時刻，提取到流量的時序特征， 但是普通循環(huán)神經(jīng)網(wǎng)絡(luò)無法滿足長時記憶要求，這就需要應(yīng)用長短實記憶網(wǎng)絡(luò)。在實際的操作中，可以將數(shù)據(jù)包作為“詞匯”與“句子”，應(yīng)用長短時記憶循環(huán)神經(jīng)網(wǎng)絡(luò)來分析網(wǎng)絡(luò)時序行為。

2.1.4 生成式對抗網(wǎng)絡(luò)

生成式對抗網(wǎng)絡(luò)是非常具有發(fā)展?jié)摿Φ纳墒侥Ｐ停ㄅ袆e器、生成器組成，是生成器負(fù)責(zé)偽造樣本的生成，判別器負(fù)責(zé)訓(xùn)練環(huán)節(jié)，通過對模型的對抗、優(yōu)化，達(dá)到納什均衡目的。生成對抗網(wǎng)絡(luò)有著良好的學(xué)習(xí)能力，在異常檢測領(lǐng)域中，也具有良好的應(yīng)用前景。目前，無監(jiān)督學(xué)習(xí)得到了廣泛使用。

2.1.5 多層感知器

多層感知器十分常見，也被稱為人工神經(jīng)網(wǎng)絡(luò)、深度前饋網(wǎng)絡(luò)，是頗具代表性的深度網(wǎng)絡(luò)模型，在多層感知器的隱藏層中，可根據(jù)具體需求來設(shè)置。

2.2 深度學(xué)習(xí)下的網(wǎng)絡(luò)異常檢測關(guān)鍵技術(shù)

2.2.1 訓(xùn)練過程

深度學(xué)習(xí)下的網(wǎng)絡(luò)異常檢測關(guān)鍵技術(shù)應(yīng)用的是自動學(xué)習(xí)，有效減少了對人力、時間造成的損耗，考慮到深度神經(jīng)網(wǎng)絡(luò)網(wǎng)絡(luò)層數(shù)較多，會導(dǎo)致時間復(fù)雜性太高，出現(xiàn)嚴(yán)重化的欠擬合問題，影響最終效果。對此，可以應(yīng)用自下而下非監(jiān)督訓(xùn)練、自上而下監(jiān)督訓(xùn)練相結(jié)合的處理方式。

首先，在深度網(wǎng)絡(luò)系統(tǒng)中，輸入沒有標(biāo)記的數(shù)據(jù)，在參數(shù)訓(xùn)練完成后，將相關(guān)數(shù)據(jù)輸入到下一層，在每一層中，執(zhí)行相同的學(xué)習(xí)過程，在最后一層的參數(shù)訓(xùn)練完畢后，結(jié)束深度神經(jīng)網(wǎng)絡(luò)訓(xùn)練。在該種非監(jiān)督訓(xùn)練體系中，可將中間層權(quán)重調(diào)整成雙向傳遞方式，調(diào)整向下傳遞權(quán)重，這有效解決了傳統(tǒng)神經(jīng)網(wǎng)絡(luò)的擬合問題。

2.2.2 CNN 網(wǎng)絡(luò)異常特征學(xué)習(xí)模型

在云計算、大數(shù)據(jù)的迅速發(fā)展下，深度神經(jīng)網(wǎng)絡(luò)成為了發(fā)展熱門，并在多個領(lǐng)域的研究中取得了豐碩成績，在這一方面，需要應(yīng)用到卷積神經(jīng)網(wǎng)絡(luò)。在卷積神經(jīng)網(wǎng)絡(luò)中，原本每層神經(jīng)元連接方式發(fā)生了變化，為少數(shù)部分樣本賦予了訓(xùn)練集本質(zhì)特征，不需要提前明確輸入和輸出的關(guān)系，就能夠得到完整的映射關(guān)系，其算法的核心階段包括正向傳播、逆向傳播兩個階段。在正向傳播環(huán)節(jié)中，首先選擇一個測試數(shù)據(jù)，通過第二層計算后，再將結(jié)果輸入到第三層，利用層層運(yùn)算得到輸出值，隨后即可進(jìn)入逆向傳播。

2.2.3 LeNet-5 網(wǎng)絡(luò)異常檢測模型

LeNet-5 網(wǎng)絡(luò)異常檢測模型是在CNN 網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)上誕生，包括三層組成，即卷積層、采樣層、全連接層，每一層，都有與之相對應(yīng)的訓(xùn)練參數(shù)。

2.2.4 SVM 網(wǎng)絡(luò)異常檢測分類模型

在訓(xùn)練學(xué)習(xí)完畢后，需要對數(shù)據(jù)進(jìn)行分類，網(wǎng)絡(luò)異常行為數(shù)據(jù)集與傳統(tǒng)的圖像數(shù)據(jù)集不同，其類型只有正常、異常兩類。在實際應(yīng)用中，可應(yīng)用SVM 分類器對特征數(shù)據(jù)進(jìn)行輸入訓(xùn)練，其中的重點在于最優(yōu)超平面的確定。為了發(fā)揮出SVM 分類器的作用，需要科學(xué)設(shè)置參數(shù)，主要參數(shù)包括懲罰系數(shù)、核函數(shù)兩類，懲罰系數(shù)就是將損耗的設(shè)置在目標(biāo)函數(shù)中，在松弛變量一定的情況下，懲罰系數(shù)越小，對目標(biāo)的把控越是寬松，懲罰系數(shù)越大，要求就越是嚴(yán)格。在參數(shù)的調(diào)整上，可采用及基于粒子群算法，通過對群體、個體的合作與數(shù)據(jù)共享，得到最優(yōu)解。

3 結(jié)語

在互聯(lián)網(wǎng)時代下，云計算、大數(shù)據(jù)得到了迅速發(fā)展，給人們的生活和生產(chǎn)帶來了更多的便利，也更易受到網(wǎng)絡(luò)攻擊影響，當(dāng)前，網(wǎng)絡(luò)攻擊變得更加靈活、復(fù)雜，破壞程度也更大，這讓網(wǎng)絡(luò)安全的重要性越來越凸顯，網(wǎng)絡(luò)異常行為的檢測也成為當(dāng)前網(wǎng)絡(luò)安全的重點防御手段，受到了高度重視。在實際的應(yīng)用過程中，需要根據(jù)網(wǎng)絡(luò)異常檢測要求來合理優(yōu)化技術(shù)手段的使用，以此來確保網(wǎng)絡(luò)的運(yùn)行安全性。