黃昱鴻

（福建龍溪軸承集團(tuán)股份有限公司 福建省漳州市 363000）

1 引言

隨著互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)用戶數(shù)量不斷增加，網(wǎng)絡(luò)數(shù)據(jù)量也在急劇增加，這些都對(duì)網(wǎng)絡(luò)安全研究提出了重大挑戰(zhàn)，各種網(wǎng)絡(luò)安全威脅日益明顯。在計(jì)算機(jī)網(wǎng)絡(luò)中，各種攻擊、故障等安全問(wèn)題往往會(huì)導(dǎo)致網(wǎng)絡(luò)流量的變化，由此，對(duì)異常網(wǎng)絡(luò)流量實(shí)施檢測(cè)對(duì)于確保網(wǎng)絡(luò)安全有著十分重要的意義。筆者所從事工作即為計(jì)算機(jī)管理與網(wǎng)絡(luò)維護(hù)，由此，提出了一種有效的網(wǎng)絡(luò)流量異常檢測(cè)技術(shù)，旨在為相關(guān)工作人員提供一定的借鑒與參考。

2 計(jì)算機(jī)網(wǎng)絡(luò)流量異常檢測(cè)算法設(shè)計(jì)

本文針對(duì)以往計(jì)算機(jī)網(wǎng)絡(luò)流量異常檢測(cè)應(yīng)用神經(jīng)網(wǎng)絡(luò)時(shí)存在的問(wèn)題，構(gòu)建了一種基于動(dòng)態(tài)自適應(yīng)池化的卷積神經(jīng)網(wǎng)絡(luò)流量異常檢測(cè)模型，通過(guò)進(jìn)行池化層的分析與調(diào)整，根據(jù)各種函數(shù)映射動(dòng)態(tài)調(diào)整池化過(guò)程，提高模型的通用性。

圖1：卷積神經(jīng)網(wǎng)絡(luò)特點(diǎn)

2.1 卷積神經(jīng)網(wǎng)絡(luò)原理

傳統(tǒng)的感知神經(jīng)網(wǎng)絡(luò)通常采用全連接結(jié)構(gòu)，也就是說(shuō)，每個(gè)神經(jīng)元與前后相鄰層中的每個(gè)神經(jīng)元相互連接。這種全連接結(jié)構(gòu)訓(xùn)練網(wǎng)絡(luò)上的權(quán)值和偏差等參數(shù)的數(shù)量隨著網(wǎng)絡(luò)層數(shù)的增加而迅速增加，使其容易出現(xiàn)局部?jī)?yōu)化和梯度衰落等問(wèn)題。卷積神經(jīng)網(wǎng)絡(luò)是一種典型的深度學(xué)習(xí)方法，它具有特殊的網(wǎng)絡(luò)結(jié)構(gòu)，包括局部連接、權(quán)值分布、向下采樣等結(jié)構(gòu)設(shè)計(jì)思想，能直接從數(shù)據(jù)中學(xué)習(xí)更高效的函數(shù)，如圖1。從隱寫(xiě)的角度來(lái)看，卷積神經(jīng)網(wǎng)絡(luò)的卷積結(jié)構(gòu)有助于捕獲相鄰像素之間的相關(guān)性，提高特征提取的效果。與此同時(shí)，權(quán)值分布、池化等結(jié)構(gòu)也顯著減少了訓(xùn)練參數(shù)，使網(wǎng)絡(luò)模型能夠處理更大尺寸和容量的采樣數(shù)據(jù)[1]。

2.2 網(wǎng)絡(luò)流量異常檢測(cè)模型

2.2.1 網(wǎng)絡(luò)流量異常檢測(cè)結(jié)構(gòu)

本文構(gòu)建的網(wǎng)絡(luò)流量異常檢測(cè)模型主要涉及到兩個(gè)方面，分別為數(shù)據(jù)處理和流量數(shù)據(jù)檢測(cè)，如圖2。

第一階段：數(shù)據(jù)預(yù)處理，獲取流量和所需的數(shù)據(jù)集。使用時(shí)間序列函數(shù)方法處理數(shù)據(jù)，擬合、對(duì)齊、縮放數(shù)據(jù)集中的每個(gè)流量請(qǐng)求，生成50*150 的矩陣數(shù)據(jù)，并使用矩陣數(shù)據(jù)作為輸入。

第二階段：構(gòu)建模型，進(jìn)行池化層和Dropout 層的設(shè)計(jì)?；趧?dòng)態(tài)自適應(yīng)池化進(jìn)行卷積神經(jīng)模型的構(gòu)建，以此實(shí)現(xiàn)網(wǎng)絡(luò)流量異常的檢測(cè)。對(duì)于檢測(cè)得到的結(jié)果，將其劃分為兩類：正常和異常[2]。

2.2.2 動(dòng)態(tài)自適應(yīng)池化卷積神經(jīng)網(wǎng)絡(luò)模型

動(dòng)態(tài)自適應(yīng)池化卷積神經(jīng)網(wǎng)絡(luò)模型如圖3。當(dāng)檢測(cè)到網(wǎng)絡(luò)流量異常時(shí)，對(duì)流量數(shù)據(jù)進(jìn)行轉(zhuǎn)換，使之轉(zhuǎn)變?yōu)榫仃嚁?shù)據(jù)，并設(shè)置為輸入。池化屬于流量特征的第二次提取，在此過(guò)程中，需要計(jì)算池化域的流量特征，并在全連接層后進(jìn)行Dropout 層的添加。

為避免異常流量特征提取過(guò)程出現(xiàn)模型過(guò)擬合現(xiàn)象，在模型上增加了一個(gè)Dropout 層來(lái)解決過(guò)擬合問(wèn)題。在此之后，訓(xùn)練集的錯(cuò)誤率非常低，而測(cè)試集的錯(cuò)誤率卻增加了很多。在訓(xùn)練過(guò)程中，神經(jīng)網(wǎng)絡(luò)的各個(gè)模塊處于相互連接的狀態(tài)。在每個(gè)神經(jīng)元記錄流量特征的過(guò)程中，特征信息被覆蓋，所以訓(xùn)練集僅僅具備單一的一些特點(diǎn)，使得問(wèn)題隨之出現(xiàn)。而有效應(yīng)用Dropout 則可以避免以上情況的發(fā)生，通常情況下，Dropout 層只會(huì)讓其中一層神經(jīng)元給出反應(yīng)，通過(guò)此神經(jīng)元來(lái)進(jìn)行權(quán)重的更新。這使得神經(jīng)元之間處于相互獨(dú)立的狀態(tài)，不會(huì)相互影響，避免固定功能發(fā)生變化[3]。

在模型訓(xùn)練中，將全連接層中的神經(jīng)元?jiǎng)討B(tài)設(shè)置為0，概率為40%。設(shè)置為0 的神經(jīng)元可以認(rèn)為不參與權(quán)值的更新，每次不固定的將神經(jīng)元設(shè)置為0。每個(gè)訓(xùn)練集隨機(jī)選取神經(jīng)元，測(cè)試數(shù)據(jù)集也按照40%的比例選取。

2.3 網(wǎng)絡(luò)流量異常檢測(cè)算法

池化通常包含有平均值池化模型和最大池化模型這兩種方法。本文以最大二均值池化來(lái)實(shí)施計(jì)算，見(jiàn)式（1）：

該公式在最大池化的基礎(chǔ)上進(jìn)行了改進(jìn)，將兩個(gè)最大的項(xiàng)相加，通過(guò)得到的值來(lái)計(jì)算平均值，以此得到子樣本的特征值。在最大二均值池化的基礎(chǔ)上對(duì)動(dòng)態(tài)自適應(yīng)池化模型進(jìn)行了改進(jìn)和優(yōu)化。對(duì)于流量特征圖的二次提取，這兩種模型得到的結(jié)果都不理想[4]。為此，本文結(jié)合以上兩種模型存在的缺陷給出動(dòng)態(tài)自適應(yīng)池化算法，算法的計(jì)算公式見(jiàn)式（2）：

圖2：網(wǎng)絡(luò)流量異常檢測(cè)框架

圖3：動(dòng)態(tài)自適應(yīng)池化卷積神經(jīng)網(wǎng)絡(luò)模型

圖4：矩陣數(shù)據(jù)格式

其中公式（2）中的u 為池化因子，如公式（3）所示：

池化的過(guò)程和卷積差不多，因此，本文基于卷積來(lái)進(jìn)行池化。針對(duì)這兩種類型的池化，在最大雙均值的基礎(chǔ)上對(duì)動(dòng)態(tài)自適應(yīng)池化進(jìn)行了改進(jìn)和優(yōu)化。在不同的迭代時(shí)間處理池化的不同區(qū)域時(shí)，模型提取性能更準(zhǔn)確[5]。

3 計(jì)算機(jī)網(wǎng)絡(luò)流量異常檢測(cè)實(shí)驗(yàn)分析

3.1 實(shí)驗(yàn)數(shù)據(jù)集

實(shí)驗(yàn)數(shù)據(jù)采用的是HTTP CSIC 2020 數(shù)據(jù)集。其涉及到36000個(gè)常規(guī)請(qǐng)求以及25000 個(gè)非常規(guī)請(qǐng)求。為便于后文分析，本文將數(shù)據(jù)集分別設(shè)置為Normal（training）、Normal（test）以及Anomalous（test）三種類別，并將其拆分為單獨(dú)的數(shù)據(jù)查詢文件。

表1：實(shí)驗(yàn)結(jié)果

圖5：神經(jīng)元占比實(shí)驗(yàn)圖

圖6：實(shí)驗(yàn)精確度和損失值

該數(shù)據(jù)集涉及到GET、POST 以及PUT 這三種類型的數(shù)據(jù)。Web 請(qǐng)求記錄至少包含上述一種數(shù)據(jù)類型，數(shù)據(jù)集根據(jù)請(qǐng)求頭進(jìn)行分段，分段基于為每個(gè)流量接收的HTTP 請(qǐng)求消息的格式。進(jìn)行數(shù)據(jù)的處理之后，針對(duì)各流量請(qǐng)求實(shí)施切割、對(duì)齊以及填充，得到50×150A 的矩陣數(shù)據(jù)。圖4 為矩陣數(shù)據(jù)格式。相比之下，矩陣數(shù)據(jù)流可以將數(shù)據(jù)流的原始詞序完好的保存下來(lái)，同時(shí)可以展現(xiàn)出結(jié)構(gòu)化數(shù)據(jù)格式，數(shù)據(jù)流的采集更為精準(zhǔn)。

3.2 實(shí)驗(yàn)結(jié)果分析

實(shí)驗(yàn)環(huán)境設(shè)置為windows 10 操作系統(tǒng)，以Python3.7.3 作為分析語(yǔ)言，矩陣數(shù)據(jù)采用的數(shù)據(jù)大概包含有61000 個(gè)，訓(xùn)練集與測(cè)試集比選擇的是9：1。利用估計(jì)值的精度和損失值來(lái)評(píng)價(jià)模型檢測(cè)的結(jié)果，精度按式（4）計(jì)算。精度越高，檢測(cè)效果越好。

在進(jìn)行實(shí)驗(yàn)分析的過(guò)程中，以交叉熵代表?yè)p失函數(shù)，此處表達(dá)的意思為兩個(gè)概率之間的距離。公式與（5）一致，在此之中，q表示的是預(yù)測(cè)的概率分布，p 表示的是正確的概率分布。

本實(shí)驗(yàn)主要將本文提出的基于DAPA 的卷積神經(jīng)網(wǎng)絡(luò)方法與規(guī)則匹配方法、傳統(tǒng)的最大二均值池化算法（MTPA）進(jìn)行對(duì)比，結(jié)果見(jiàn)表1?？梢钥闯?，本文提出的方法是精準(zhǔn)率最高的，損耗值最低。

圖5 表示的是對(duì)Dropout 技術(shù)進(jìn)行添加后，以不同的參數(shù)進(jìn)行實(shí)驗(yàn)，對(duì)添加前后的效果進(jìn)行比較，之所以加入Dropout 技術(shù)主要是對(duì)模型的過(guò)擬合問(wèn)題進(jìn)行優(yōu)化。

基于圖5 能夠得知，在沒(méi)有Dropout 技術(shù)的情況下，損失最大。當(dāng)訓(xùn)練一個(gè)模型時(shí)，模型對(duì)訓(xùn)練數(shù)據(jù)集進(jìn)行過(guò)訓(xùn)練以減少損失值，導(dǎo)致過(guò)擬合。對(duì)Dropout 技術(shù)進(jìn)行添加之后，神經(jīng)元比例設(shè)置成40%的情況下，損失值實(shí)現(xiàn)了4.2%的降低，準(zhǔn)確率則實(shí)現(xiàn)了6%的提升。所以，為了提高模型的適用性，本文將該參數(shù)設(shè)為0.4。

本文對(duì)不同迭代次數(shù)的實(shí)驗(yàn)進(jìn)行了對(duì)比，實(shí)驗(yàn)結(jié)果如圖6。

基于圖6 能夠得知，模型針對(duì)各個(gè)算法都進(jìn)行了迭代訓(xùn)練。每進(jìn)行一次訓(xùn)練，神經(jīng)元的組合都會(huì)發(fā)生變化。這可以讓神經(jīng)元的組合一直保持更新，不會(huì)處于固定的狀態(tài)下，從而確保參數(shù)的分布是均勻的。

4 結(jié)論

通過(guò)詳細(xì)研究計(jì)算機(jī)網(wǎng)絡(luò)流量的異常檢測(cè)，引入卷積神經(jīng)網(wǎng)絡(luò)，構(gòu)建了基于動(dòng)態(tài)自適應(yīng)池化的卷積神經(jīng)網(wǎng)絡(luò)異常流量檢測(cè)模型，通過(guò)進(jìn)行池化層的改進(jìn)，基于數(shù)據(jù)集HTTPCSIC2020 進(jìn)行實(shí)驗(yàn)，得知提出的基于DAPA 的卷積神經(jīng)網(wǎng)絡(luò)算法是三種網(wǎng)絡(luò)流量異常檢測(cè)算法中精確度最高，損失值最低的，驗(yàn)證了提出方法的可行性。