基于長短時(shí)記憶網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)傳輸節(jié)點(diǎn)入侵行為辨識(shí)方法

摘要：入侵行為正呈現(xiàn)出多樣化和隱蔽化的特點(diǎn)，在這種復(fù)雜環(huán)境下，對(duì)于新型或未知的入侵行為，辨識(shí)靈敏度較低。為此，提出了一種基于長短時(shí)記憶網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)傳輸節(jié)點(diǎn)入侵行為辨識(shí)方法。該方法深入分析網(wǎng)絡(luò)入侵節(jié)點(diǎn)的聚集度，揭示入侵節(jié)點(diǎn)在網(wǎng)絡(luò)中的分布規(guī)律。隨后，針對(duì)入侵行為的特性，提取入侵行為特征，為后續(xù)的入侵檢測(cè)提供關(guān)鍵依據(jù)。接著，利用長短時(shí)記憶網(wǎng)絡(luò)模型，結(jié)合節(jié)點(diǎn)的歷史行為數(shù)據(jù)和實(shí)時(shí)狀態(tài)信息，實(shí)現(xiàn)對(duì)節(jié)點(diǎn)入侵行為的精準(zhǔn)檢測(cè)。最后，在檢測(cè)到可疑行為后，通過設(shè)定合理的閾值和判定標(biāo)準(zhǔn)，對(duì)入侵行為進(jìn)行準(zhǔn)確辨識(shí)。實(shí)驗(yàn)結(jié)果表明：對(duì)于異常數(shù)據(jù)，基于長短時(shí)記憶網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)傳輸節(jié)點(diǎn)入侵行為辨識(shí)方法表現(xiàn)出平穩(wěn)且中等偏上的靈敏度增長趨勢(shì)，明顯優(yōu)于基于統(tǒng)計(jì)分析和模式識(shí)別的入侵行為辨識(shí)方法，具有更高的應(yīng)用價(jià)值。

關(guān)鍵詞：長短時(shí)記憶網(wǎng)絡(luò)；網(wǎng)絡(luò)數(shù)據(jù)傳輸；節(jié)點(diǎn)入侵行為；入侵行為辨識(shí)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2024）27-0076-03

0 引言

節(jié)點(diǎn)作為網(wǎng)絡(luò)數(shù)據(jù)的交匯點(diǎn)，其安全性直接關(guān)系到整個(gè)網(wǎng)絡(luò)的安全穩(wěn)定。隨著攻擊手段的不斷演進(jìn)和復(fù)雜化，現(xiàn)有的檢測(cè)方法逐漸暴露出其局限性。基于統(tǒng)計(jì)分析的入侵行為辨識(shí)方法簡單易行，通過對(duì)網(wǎng)絡(luò)流量的實(shí)時(shí)統(tǒng)計(jì)和分析，能夠及時(shí)發(fā)現(xiàn)異常行為，但該方法依賴于預(yù)設(shè)的閾值，而閾值的設(shè)定可能受到多種因素的影響，導(dǎo)致誤報(bào)或漏報(bào)。基于模式識(shí)別的入侵行為辨識(shí)方法通過構(gòu)建入侵行為的模式庫，能夠較為準(zhǔn)確地識(shí)別已知類型的入侵行為，但構(gòu)建和維護(hù)模式庫需要大量的計(jì)算資源，可能增加系統(tǒng)的負(fù)擔(dān)[1]。因此，探索新的、更為智能的入侵行為辨識(shí)方法成為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。長短時(shí)記憶網(wǎng)絡(luò)（LSTM） 具有處理序列數(shù)據(jù)的能力，能夠挖掘出數(shù)據(jù)之間的相關(guān)性。綜上所述，本文將對(duì)基于長短時(shí)記憶網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)傳輸節(jié)點(diǎn)入侵行為辨識(shí)方法進(jìn)行深入研究，探討其實(shí)現(xiàn)過程及其在實(shí)際應(yīng)用中的效果。

1 分析網(wǎng)絡(luò)入侵節(jié)點(diǎn)聚集度

分析網(wǎng)絡(luò)入侵節(jié)點(diǎn)的聚集度是網(wǎng)絡(luò)安全領(lǐng)域的重要研究內(nèi)容，有助于深入理解網(wǎng)絡(luò)攻擊行為的特點(diǎn)和規(guī)律，從而更有效地預(yù)防和應(yīng)對(duì)網(wǎng)絡(luò)入侵。網(wǎng)絡(luò)入侵節(jié)點(diǎn)的聚集度指的是在網(wǎng)絡(luò)中，被入侵節(jié)點(diǎn)在空間或時(shí)間上的聚集程度。這種聚集現(xiàn)象可能由多種因素引起，例如攻擊者的策略、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及網(wǎng)絡(luò)流量的分布等。當(dāng)入侵節(jié)點(diǎn)在空間上呈現(xiàn)聚集時(shí)，可能表明攻擊者對(duì)特定區(qū)域或子網(wǎng)進(jìn)行了集中攻擊；而時(shí)間上的聚集則可能揭示出攻擊者的活動(dòng)周期或攻擊波次。在對(duì)其進(jìn)行聚類分析之前，必須先明確網(wǎng)絡(luò)中各節(jié)點(diǎn)之間的信號(hào)傳遞過程，可用如下公式表示傳遞過程：

式中，m 是在計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)傳輸節(jié)點(diǎn)中通道的超參數(shù)值；n 是計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)傳輸節(jié)點(diǎn)的偏倚因子；s（t）是一個(gè)完整的釋放條件的網(wǎng)絡(luò)數(shù)據(jù)傳輸節(jié)點(diǎn)入侵信息的概率；Γ （t） 是節(jié)點(diǎn)中需檢測(cè)信號(hào)的損失函數(shù)。通過調(diào)整計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)傳輸節(jié)點(diǎn)中的超參數(shù)值和偏倚因子，形成入侵信號(hào)模型[2]。在此基礎(chǔ)上，提出了一種基于入侵信號(hào)傳播模型的節(jié)點(diǎn)聚集度計(jì)算方法。將原始網(wǎng)絡(luò)節(jié)點(diǎn)中的數(shù)據(jù)樣本看作一組，用F 表示，抽樣中的數(shù)據(jù)最大值用G 來表達(dá)，用D 來表達(dá)網(wǎng)絡(luò)中的中心節(jié)點(diǎn)[3]。根據(jù)以上的設(shè)置，計(jì)算任意節(jié)點(diǎn)與中心節(jié)點(diǎn)之間的相似性，并設(shè)置以下判定條件，以避免通信網(wǎng)絡(luò)中的結(jié)點(diǎn)信息受損：

式中，｜｜ jp ｜｜是網(wǎng)絡(luò)頻寬被節(jié)點(diǎn)入侵信號(hào)所占用的部分；ρj 是線性修正密度；t 是節(jié)點(diǎn)開啟時(shí)間；E （x） 是傳遞入侵信號(hào)的方式。入侵節(jié)點(diǎn)的聚集程度如公式（3） 所示：

式中，χ ti 是t 時(shí)刻的第i 個(gè)入侵節(jié)點(diǎn)；pb （t） 是對(duì)應(yīng)入侵節(jié)點(diǎn)的權(quán)值。

節(jié)點(diǎn)的空間聚集度h 是一個(gè)至關(guān)重要的指標(biāo)，它直接反映了入侵節(jié)點(diǎn)在網(wǎng)絡(luò)中的分布情況。當(dāng)h 值較大時(shí)，意味著入侵節(jié)點(diǎn)在網(wǎng)絡(luò)中的分布相對(duì)較為分散，此時(shí)攻擊者可能采用了分散式攻擊策略，以避免被集中防御系統(tǒng)發(fā)現(xiàn)。而當(dāng)h 值較小時(shí)，則表示入侵節(jié)點(diǎn)更加集中，此時(shí)攻擊者可能針對(duì)某個(gè)關(guān)鍵節(jié)點(diǎn)或子網(wǎng)發(fā)動(dòng)集中攻擊，試圖通過破壞這些關(guān)鍵節(jié)點(diǎn)來實(shí)現(xiàn)其攻擊目的[4]。為了深入探索入侵信號(hào)在通信網(wǎng)絡(luò)中的傳播機(jī)制，本文建立了一種新的入侵信號(hào)傳播模型。通過對(duì)該模型的研究，可以更好地理解網(wǎng)絡(luò)入侵行為的本質(zhì)和規(guī)律，從而為網(wǎng)絡(luò)安全防御提供更為有效的支持。

2 提取節(jié)點(diǎn)入侵行為特征

在網(wǎng)絡(luò)數(shù)據(jù)中，節(jié)點(diǎn)類型豐富多樣，包括正常節(jié)點(diǎn)、非正常節(jié)點(diǎn)以及惡意節(jié)點(diǎn)等不同類型。這些節(jié)點(diǎn)在數(shù)據(jù)傳輸和處理中各自扮演著不同的角色。正常節(jié)點(diǎn)在網(wǎng)絡(luò)中承擔(dān)著穩(wěn)定傳輸?shù)慕巧軌虼_保數(shù)據(jù)的正常流通，不會(huì)出現(xiàn)丟包等異常情況。非正常節(jié)點(diǎn)中的非惡意節(jié)點(diǎn)則可能由于網(wǎng)絡(luò)故障等原因，導(dǎo)致數(shù)據(jù)無法正常傳輸，從而對(duì)網(wǎng)絡(luò)的穩(wěn)定性和可靠性造成一定影響。相比之下，惡意節(jié)點(diǎn)則更加危險(xiǎn)，其存在不僅會(huì)影響網(wǎng)絡(luò)的正常運(yùn)行，還可能泄露敏感信息，對(duì)網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重威脅。因此，本文重點(diǎn)研究網(wǎng)絡(luò)中的惡意攻擊行為特征。

在圖1中，A、B、C 表示已經(jīng)被入侵的節(jié)點(diǎn)；a、b、c 是無異常的節(jié)點(diǎn)數(shù)據(jù)。惡意節(jié)點(diǎn)通過監(jiān)聽外界的惡意數(shù)據(jù)，獲取網(wǎng)絡(luò)的敏感信息，并對(duì)其進(jìn)行防護(hù)和加密，以達(dá)到對(duì) 網(wǎng)絡(luò)進(jìn)行攻擊與破壞的目的[5]。

在圖2中，z、x、v、m 表示沒有被侵入的節(jié)點(diǎn)。對(duì)于內(nèi)部的惡意節(jié)點(diǎn)，其行為特性主要是利用網(wǎng)絡(luò)內(nèi)的環(huán)境，在被捕獲的節(jié)點(diǎn)中植入相應(yīng)的網(wǎng)絡(luò)編碼[6]。這些惡意節(jié)點(diǎn)通過篡改數(shù)據(jù)、竊取信息等手段，對(duì)網(wǎng)絡(luò)的正常運(yùn)行造成破壞。

將每個(gè)屬性下的數(shù)據(jù)劃分為獨(dú)立的區(qū)段，并將其記錄在檔案中。提出了一種基于局部最小二乘支持向量的自適應(yīng)遺傳算法，該方法采用了一種能夠無限微分的啟發(fā)式函數(shù)，從而有效避免了模型中各個(gè)參數(shù)的調(diào)整；然后，通過對(duì)兩組參數(shù)的隨機(jī)選擇，使兩組參數(shù)在訓(xùn)練過程中保持一致，并采用最小繼承法獲取提取結(jié)果，該過程可用公式（4） 表示。

βm = ｜｜ h - HT ｜｜ （4）

式中，βm 是最小二乘解；h 表示入侵節(jié)點(diǎn)聚集度；H 表示在隱含層當(dāng)中輸入的矩陣；T 表示常數(shù)項(xiàng)。將這種方法應(yīng)用于網(wǎng)絡(luò)環(huán)境中，對(duì)數(shù)據(jù)進(jìn)行計(jì)算和分析，提取攻擊行為的特征。這些特征包括攻擊類型、攻擊強(qiáng)度、攻擊頻率等關(guān)鍵信息，為深入理解惡意攻擊提供了重要線索。

綜上所述，提取節(jié)點(diǎn)入侵行為特征是一項(xiàng)至關(guān)重要的任務(wù)。通過深入研究和分析惡意節(jié)點(diǎn)的攻擊行為特征，可以制定更有效的防御策略，確保網(wǎng)絡(luò)的正常運(yùn)行和數(shù)據(jù)的安全傳輸。

3 利用長短時(shí)記憶網(wǎng)絡(luò)模型檢測(cè)節(jié)點(diǎn)異常行為

對(duì)已有損傷的無線通信網(wǎng)絡(luò)中的節(jié)點(diǎn)特征進(jìn)行轉(zhuǎn)換，并對(duì)其進(jìn)行規(guī)范化處理，以消除特征在尺度上的差異。

依據(jù)LSTM單元結(jié)構(gòu)，構(gòu)建了基于全局池化層的短期記憶模型，并利用LSTM對(duì)時(shí)序數(shù)據(jù)進(jìn)行學(xué)習(xí)，對(duì)提取出的特征進(jìn)行篩選和訓(xùn)練。在此基礎(chǔ)上，使用Sigmoid 激活函數(shù)對(duì)訓(xùn)練結(jié)果進(jìn)行了兩種類型的預(yù)測(cè)。在進(jìn)行全局池化時(shí)，如公式（5） 所示。

y = max [ xij ] （5）

式中，y 是全局最大池化特性的輸出結(jié)果；xij 是一個(gè)特征集的第i 行第j 個(gè)欄位的特征量。因此全局平均池化值如公式（6） 所示。

式中，yl 是池的整體平均特性值；a、b 均是特性圖表的大小。采用LSTM實(shí)現(xiàn)對(duì)輸入門、輸出門和輸出門的有效存儲(chǔ)。

在模型訓(xùn)練過程中，本文使用Sigmoid激活函數(shù)對(duì)訓(xùn)練結(jié)果進(jìn)行二分類預(yù)測(cè)。Sigmoid函數(shù)能夠?qū)⑷我鈱?shí)數(shù)映射到0到1之間的概率值，特別適合處理二分類問題。通過調(diào)整模型的參數(shù)和結(jié)構(gòu)，不斷優(yōu)化模型的分類性能，使其能夠準(zhǔn)確區(qū)分正常節(jié)點(diǎn)與異常節(jié)點(diǎn)。

最終，本文利用訓(xùn)練好的LSTM模型對(duì)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)傳輸節(jié)點(diǎn)進(jìn)行攻擊異常檢測(cè)。該模型能夠根據(jù)節(jié)點(diǎn)的特征和行為模式，自動(dòng)識(shí)別出潛在的異常行為，并提供相應(yīng)的預(yù)警或報(bào)警信息。這對(duì)于及時(shí)發(fā)現(xiàn)和應(yīng)對(duì)網(wǎng)絡(luò)攻擊、保障網(wǎng)絡(luò)安全具有重要的實(shí)踐意義。

4 判定入侵行為

被檢測(cè)節(jié)點(diǎn)一旦發(fā)現(xiàn)網(wǎng)絡(luò)異常情況，會(huì)立即將相關(guān)異常信息發(fā)送至基站。基站作為整個(gè)網(wǎng)絡(luò)的中樞，具備強(qiáng)大的能源供應(yīng)和計(jì)算能力，因此承擔(dān)著對(duì)異常信息進(jìn)行深入識(shí)別的重要任務(wù)。識(shí)別的目的是準(zhǔn)確判定是否存在網(wǎng)絡(luò)入侵行為，并據(jù)此迅速隔離惡意節(jié)點(diǎn)，以保障網(wǎng)絡(luò)的正常運(yùn)作和數(shù)據(jù)的安全傳輸。

本文通過計(jì)算異常行為對(duì)網(wǎng)絡(luò)帶來的潛在損失值L來判定該異常行為是否應(yīng)被歸類為入侵行為。當(dāng)L值超過預(yù)設(shè)的閾值時(shí)，即可判定該異常行為為入侵行為，并立即采取措施隔離惡意節(jié)點(diǎn)，以保障網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。相關(guān)公式如（7） 所示。

其中，ai 是受到異常行為影響的節(jié)點(diǎn)i 所受到的威脅指標(biāo)；ws 是監(jiān)控節(jié)點(diǎn)s 將入侵行動(dòng)報(bào)告給基站的次數(shù)；τk 是入侵行為k 的權(quán)重，表示其危害程度；Mi 是一組監(jiān)控集合，用于節(jié)點(diǎn)i。

由此可以得到節(jié)點(diǎn) i 的潛在損耗L 如公式（8） 所示。

L = ai?ci （8）

式中，ci 是節(jié)點(diǎn)i 的重要性，根據(jù)單位時(shí)間內(nèi)異常行為的次數(shù)、受異常行為影響的節(jié)點(diǎn)的重要性以及異常行為的危害性，計(jì)算出每個(gè)節(jié)點(diǎn)的潛在損失值L。當(dāng)這個(gè)值超過指定閾值時(shí)，基站會(huì)判定該節(jié)點(diǎn)為惡意節(jié)點(diǎn)，存在入侵行為，并立即啟動(dòng)隔離程序，將其從網(wǎng)絡(luò)中移除，以防止其繼續(xù)對(duì)網(wǎng)絡(luò)造成損害。

通過這種方式，有效檢測(cè)和應(yīng)對(duì)網(wǎng)絡(luò)入侵行為，保障網(wǎng)絡(luò)的正常運(yùn)行和數(shù)據(jù)的安全傳輸。同時(shí)，這也提醒我們，網(wǎng)絡(luò)安全防護(hù)需要持續(xù)不斷地進(jìn)行，以應(yīng)對(duì)日益復(fù)雜和多樣化的網(wǎng)絡(luò)威脅。

5 實(shí)驗(yàn)

5.1 實(shí)驗(yàn)準(zhǔn)備

選取了一個(gè)包含200多個(gè)通信網(wǎng)絡(luò)的數(shù)據(jù)集作為研究對(duì)象。該數(shù)據(jù)集包括正常狀態(tài)以及不同類型的入侵行為，如拒絕服務(wù)攻擊（DoS） 、遠(yuǎn)程到本地攻擊（R2L） 、端口掃描或監(jiān)視（Probe） ，以及未經(jīng)授權(quán)訪問本地超級(jí)用戶權(quán)限（U2R） ，如表1所示：

每一個(gè)節(jié)點(diǎn)的各項(xiàng)配置都是一樣的，在同一網(wǎng)絡(luò)中，最大工作帶寬是300M，節(jié)點(diǎn)編碼采用稀疏編碼，以Pycharm作為平臺(tái)，以Kcars作為學(xué)習(xí)庫。

5.2 實(shí)驗(yàn)結(jié)果與分析

利用基于統(tǒng)計(jì)分析的入侵行為辨識(shí)和基于模式識(shí)別的入侵行為辨識(shí)方法以及本文方法對(duì)各個(gè)終端進(jìn)行入侵行為辨識(shí)，以辨識(shí)靈敏度為評(píng)估指標(biāo)。

對(duì)比分析顯示，所提方法與另外兩種方法在辨識(shí)靈敏度上存在顯著差異。具體而言，對(duì)于異常數(shù)據(jù)，基于長短時(shí)記憶網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)傳輸節(jié)點(diǎn)入侵行為辨識(shí)方法表現(xiàn)出平穩(wěn)且中等偏上的靈敏度增長，明顯優(yōu)于其他方法。

6 結(jié)束語

基于長短時(shí)記憶網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)傳輸節(jié)點(diǎn)入侵行為識(shí)別方法能夠準(zhǔn)確識(shí)別網(wǎng)絡(luò)數(shù)據(jù)傳輸節(jié)點(diǎn)中的異常行為，有效提升了網(wǎng)絡(luò)安全防護(hù)的精準(zhǔn)度和效率。盡管該方法在大多數(shù)情況下能夠準(zhǔn)確識(shí)別入侵行為，但在某些特殊場(chǎng)景下，可能仍存在誤報(bào)或漏報(bào)的情況。此外，該方法還需要不斷適應(yīng)新型網(wǎng)絡(luò)攻擊手段的變化，以保持其識(shí)別能力的先進(jìn)性。

參考文獻(xiàn)：

[1] 顧正祥.基于Agent人工智能的異構(gòu)網(wǎng)絡(luò)多重覆蓋節(jié)點(diǎn)入侵檢測(cè)系統(tǒng)設(shè)計(jì)[J].計(jì)算機(jī)測(cè)量與控制，2024，32（5）：17-23，30.

[2] 覃仲宇.基于改進(jìn)LSTM的無線通信網(wǎng)絡(luò)節(jié)點(diǎn)入侵預(yù)警方法[J].信息與電腦（理論版），2023，35（22）：190-192.

[3] 楊煊.基于改進(jìn)BP神經(jīng)網(wǎng)絡(luò)的無線網(wǎng)絡(luò)惡意入侵檢測(cè)方法[J].電子元器件與信息技術(shù)，2023，7（11）：75-78，82.

[4] 章學(xué)淵.ZigBee無線通信網(wǎng)絡(luò)入侵探測(cè)節(jié)點(diǎn)倒追定位方法[J].遼東學(xué)院學(xué)報(bào)（自然科學(xué)版），2023，30（3）：206-212.

[5] 周永吉，李陽，黃博.基于深度長短記憶網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)流異常檢測(cè)研究[J].自動(dòng)化技術(shù)與應(yīng)用，2023，42（8）：82-87.

[6] 莫麗娟.基于深度學(xué)習(xí)的無線傳感網(wǎng)絡(luò)入侵檢測(cè)方法[J].長江信息通信，2023，36（7）：118-120.

【通聯(lián)編輯：張薇】