譚倫榮 王 輝

(淮南師范學(xué)院 計(jì)算機(jī)學(xué)院， 安徽 淮南 232001)

0 前 言

隨著信息化進(jìn)程的深入和通信技術(shù)的快速發(fā)展，無線通信網(wǎng)絡(luò)為人們的日常生活和工作提供了便利[1-3]，但資源共享的同時(shí)也會(huì)給黑客可乘之機(jī)[4-5]。如果不能很好地解決這個(gè)問題，不僅會(huì)阻礙整體化進(jìn)程，而且會(huì)給人們的生活帶來困擾[6]。

國內(nèi)外學(xué)者們針對(duì)網(wǎng)絡(luò)異常攻擊檢測的問題展開了大量研究，并取得了一些有價(jià)值的成果。陳旖等人提出了一維卷積神經(jīng)網(wǎng)絡(luò)模型，利用提取的一維序列片段進(jìn)行模型訓(xùn)練，學(xué)習(xí)攻擊樣本的局部模式，以實(shí)現(xiàn)網(wǎng)絡(luò)異常攻擊檢測[7]。柴曉東利用遺傳算法檢測云計(jì)算環(huán)境的網(wǎng)絡(luò)防御能力，并在云計(jì)算系統(tǒng)中融入入侵檢測系統(tǒng)，可對(duì)網(wǎng)絡(luò)異常攻擊行為進(jìn)行警報(bào)[8]。上述方法雖然對(duì)網(wǎng)絡(luò)異常攻擊檢測起到了一定作用，但在初始數(shù)據(jù)采集及特征提取等方面不夠細(xì)致、準(zhǔn)確，導(dǎo)致網(wǎng)絡(luò)異常攻擊檢測的準(zhǔn)確率和查全率降低。

深度卷積神經(jīng)網(wǎng)絡(luò)可以詳細(xì)記錄、統(tǒng)計(jì)無線通信網(wǎng)絡(luò)日志中的相關(guān)信息，進(jìn)行圖像預(yù)處理和特征提取，并將其作為深度卷積神經(jīng)網(wǎng)絡(luò)模型的輸入部分，使分類結(jié)果更精準(zhǔn)。因此，本次研究提出一種基于深度卷積神經(jīng)網(wǎng)絡(luò)的無線通信網(wǎng)絡(luò)異常攻擊檢測方法，對(duì)輸入信息和網(wǎng)絡(luò)模型進(jìn)行雙重優(yōu)化。

1 無線通信網(wǎng)絡(luò)異常攻擊檢測

1.1 卷積神經(jīng)網(wǎng)絡(luò)

卷積神經(jīng)網(wǎng)絡(luò)(convolutional neural networks，CNN)是前饋型網(wǎng)絡(luò)，它的人工神經(jīng)元可以響應(yīng)覆蓋區(qū)域內(nèi)的其余神經(jīng)元，擅長大型圖像處理[9-10]。深度CNN由輸入層、卷積層、池化層、全連接層、分類層和輸出層組成[11]。

輸入層將預(yù)處理后的數(shù)據(jù)傳送到卷積層。卷積層利用卷積核對(duì)接收到的數(shù)據(jù)進(jìn)行計(jì)算，并輸出對(duì)應(yīng)特征圖。池化層的作用是輸出深層特征圖，常用的池化方式是隨機(jī)池化、均值池化和最大池化。全連接層起到“分類器”的作用，可以使高維特征的泛化能力增強(qiáng)。分類層將特征輸送至分類器進(jìn)行分類。另外，在CNN中使用非線性激活函數(shù)，可以保證檢測結(jié)果的準(zhǔn)確性[12]。

1.2 網(wǎng)絡(luò)日志特征提取

判斷無線通信網(wǎng)絡(luò)是否受到異常攻擊，首先要從了解網(wǎng)絡(luò)日志入手，記錄統(tǒng)計(jì)所有頁面的入/出度、瀏覽量、訪問IP信息、申請(qǐng)?zhí)卣?、get參變量特征等。然后，對(duì)已獲取的信息進(jìn)行預(yù)處理，無論網(wǎng)絡(luò)日志是什么類型，都要對(duì)其進(jìn)行格式化操作，將申請(qǐng)方式、path、申請(qǐng)參變量從request字段中分離出來，將host、path等從http_referer 字段中分離出來。最后，對(duì)預(yù)處理后的數(shù)據(jù)進(jìn)行計(jì)算，得到網(wǎng)絡(luò)日志特征。

(1) 入度:refer被算作其他字段朝向當(dāng)前頁面的次數(shù)。(2) 出度：當(dāng)前頁面被算作refer朝向其他頁面的次數(shù)。(3) 頁面get申請(qǐng)次數(shù)：以get形式發(fā)出的頁面申請(qǐng)次數(shù)。(4) 頁面post申請(qǐng)次數(shù)：以 post形式發(fā)出的頁面申請(qǐng)次數(shù)。(5) 響應(yīng)復(fù)返均值：頁面反應(yīng)折回均值。(6) 瀏覽IP次數(shù)(去重)：IP被訪問次數(shù)。(7) 瀏覽UA次數(shù)(去重)：UA被訪問次數(shù)。(8) 有參變量的URI來訪次數(shù)：含有參變量的URI被訪問次數(shù)。(9) refer等于path數(shù)量：refer等于URI的path數(shù)量。(10) 對(duì)應(yīng)的sessionid數(shù)量：頁面對(duì)應(yīng)的session數(shù)量。(11) 頁面訪問量：頁面瀏覽量。(12) post 請(qǐng)求占比：以post形式向頁面發(fā)出申請(qǐng)的次數(shù)與總來訪次數(shù)的比率。(13) UA異常數(shù)：UA的異常特征數(shù)量。(14) sessionid異常數(shù)：session非正常數(shù)量。(15) sessionid異常占比：session非正常數(shù)量與頁面訪問總量的比值。

對(duì)無線通信網(wǎng)絡(luò)日志特征進(jìn)行二值化處理，得到(0，1)特征值，并將其作為深度CNN輸入層的輸入數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)學(xué)習(xí)。

1.3 深度CNN檢測方法

1.3.1 深度CNN結(jié)構(gòu)

深度CNN具有多個(gè)層級(jí)，且每個(gè)層級(jí)都不是單個(gè)二維平面，而是多個(gè)二維平面，所有神經(jīng)元都能加權(quán)其覆蓋區(qū)域內(nèi)的元素，運(yùn)用激活函數(shù)得出相應(yīng)的輸出數(shù)據(jù)[13]。深度CNN結(jié)構(gòu)如圖1所示，用于無線通信網(wǎng)絡(luò)異常攻擊檢測。深度CNN共有8層，其中輸入層、輸出層、全連接層和分類層各為1層，而卷積層和池化層均為2層。

圖1 深度CNN結(jié)構(gòu)

1.3.2 深度CNN學(xué)習(xí)過程

首先，訓(xùn)練信息從輸入層導(dǎo)入，通過其他各層的相關(guān)運(yùn)算獲取預(yù)判結(jié)果；然后，利用誤差函數(shù)計(jì)算預(yù)判結(jié)果與實(shí)際結(jié)果的差異；最后，將差異反向傳輸?shù)捷斎雽?，并在傳回過程中對(duì)各層權(quán)值和閾值進(jìn)行優(yōu)化[14]。

(1) 卷積層。卷積層既可以增強(qiáng)初始信息特征，又可以降低噪聲。深度CNN中，卷積層可以起到突出主要特征、淡化次要特征的作用，進(jìn)而使特征圖主次分明。卷積層對(duì)上一層輸送的結(jié)果進(jìn)行卷積運(yùn)算，得出目前層級(jí)的特征圖，過程描述如式(1)所示：

(1)

式中：Gi,l—— 第l層第i個(gè)神經(jīng)元的輸入；

Dij ,l-1—— 第l層第i個(gè)神經(jīng)元與第l-1層第j個(gè)神經(jīng)元連接的卷積核；

bj,l—— 第l層第j個(gè)神經(jīng)元的偏置。

使用非線性激活函數(shù)既可以剔除冗余信息，又可以保存初始信息特征的映射信息，還能增強(qiáng)深度CNN的表達(dá)能力和非線性擬合能力[15]。ReLU激活函數(shù)的收斂速度快，被廣泛應(yīng)用于深度網(wǎng)絡(luò)結(jié)構(gòu)中，如式(2)所示：

f(x)=max(0,x)

(2)

(2) 池化層。m個(gè)濾波器在卷積后生成m個(gè)特征圖。池化層對(duì)特征圖進(jìn)行壓縮，一方面使特征圖維度變小，簡化網(wǎng)絡(luò)計(jì)算復(fù)雜度；另一方面進(jìn)行特征壓縮，提取主要特征。

常見的池化操作主要有平均池化和最大池化等2種方式。平均池化選取窗口內(nèi)的均值作為輸出，最大池化選取窗口內(nèi)的最大值作為輸出。為了達(dá)到較好的降維效果，令滑動(dòng)步長 ≥ 2。

(3) 全連接層。全連接層中的每個(gè)神經(jīng)元與被池化后的所有神經(jīng)元相互關(guān)聯(lián)，如式(2)所示：

(3)

式中：sj,l—— 第l層第j個(gè)神經(jīng)元的輸入；

ωij,l—— 從第l-1層第i個(gè)神經(jīng)元連接到第l層第j個(gè)神經(jīng)元的權(quán)重；

xi,l-1—— 第l-1層第i個(gè)神經(jīng)元的特征值。

為了防止過擬合現(xiàn)象，引入Dropout方法。

(4) 分類層。分類層的作用是對(duì)輸出的預(yù)測結(jié)果進(jìn)行分類。Softmax是一種多分類模型，使用Softmax將x分為類別j的概率，如式(4)所示：

(4)

式中：h(sj,l;θ) —— 分類概率；

θ—— 模型的參變量；

k—— 總層數(shù)；

T—— 迭代次數(shù)。

1.3.3 基于深度CNN的無線通信網(wǎng)絡(luò)異常攻擊檢測

基于深度CNN的無線通信網(wǎng)絡(luò)異常攻擊檢測框架如圖2所示。

圖2 基于深度CNN的無線通信網(wǎng)絡(luò)異常攻擊檢測框架

無線通信網(wǎng)絡(luò)異常攻擊檢測過程如下：

(1) 從無線通信網(wǎng)絡(luò)中獲取初始網(wǎng)絡(luò)日志信息。

(2) 對(duì)初始網(wǎng)絡(luò)日志信息進(jìn)行預(yù)處理。首先，使用特征提取器對(duì)采集到的初始信息進(jìn)行特征提取，包括頁面狀態(tài)請(qǐng)求碼、統(tǒng)一資源標(biāo)識(shí)符(URI)、參數(shù)、HTTP 請(qǐng)求方式等；然后，將特征歸一化為[0,1]。

(3) 圖像化處理。將特征映射為二值化灰度圖，并作為深度CNN輸入層的輸入值。

(4) 數(shù)據(jù)劃分。將圖像數(shù)據(jù)集劃分為訓(xùn)練集、驗(yàn)證集和測試集。

(5) 模型學(xué)習(xí)與優(yōu)化。在深度CNN學(xué)習(xí)過程中對(duì)參變量進(jìn)行調(diào)整優(yōu)化。首先，對(duì)參變量進(jìn)行初始化；然后，訓(xùn)練深度CNN模型，驗(yàn)證數(shù)據(jù)集檢測模型，依據(jù)驗(yàn)證結(jié)果調(diào)整參變量，直到模型達(dá)到最優(yōu)；最后，獲取已完成學(xué)習(xí)的最佳深度CNN模型。

(6) 獲取分類預(yù)測結(jié)果。將測試數(shù)據(jù)集輸入到最佳深度CNN網(wǎng)絡(luò)模型中進(jìn)行分類預(yù)測，得到結(jié)果。

2 實(shí)驗(yàn)分析

以某物流園區(qū)的無線通信網(wǎng)絡(luò)為實(shí)驗(yàn)對(duì)象，該園區(qū)占地2.2 km2，分為東、西、南、北4個(gè)區(qū)域，實(shí)現(xiàn)了無線通信網(wǎng)絡(luò)全覆蓋，主要負(fù)責(zé)國際集裝箱中轉(zhuǎn)、倉儲(chǔ)、拆拼、加工及其他相關(guān)的貨運(yùn)貿(mào)易、管理等信息的無線傳輸。

為了驗(yàn)證深度CNN模型的合理性，對(duì)其分類精度和訓(xùn)練損失進(jìn)行檢測。設(shè)輸入長度為150、特征維數(shù)為3 600，檢測結(jié)果如圖3、圖4所示。

圖3 分類精度檢測結(jié)果

圖4 訓(xùn)練損失檢測結(jié)果

由圖3可知，當(dāng)訓(xùn)練次數(shù)小于100次時(shí)，模型分類精度為80%～90%，但提升速度較快；當(dāng)訓(xùn)練次數(shù)為[100，300]時(shí)，模型分類精度達(dá)到95%以上，且波動(dòng)較?。划?dāng)訓(xùn)練次數(shù)大于300次時(shí)，模型分類精度接近于100%，且較為穩(wěn)定。由圖4可知，當(dāng)訓(xùn)練次數(shù)小于100次時(shí)，訓(xùn)練損失隨著訓(xùn)練次數(shù)的增加而大幅度減少；當(dāng)訓(xùn)練次數(shù)為[100，200]時(shí)，訓(xùn)練損失的減少幅度有所降低，但仍存在較大波動(dòng)；當(dāng)訓(xùn)練次數(shù)為(200，400]時(shí)，訓(xùn)練損失的減少趨勢(shì)變緩，但波動(dòng)較大；當(dāng)訓(xùn)練次數(shù)大于400次時(shí)，訓(xùn)練損失接近于0，且呈收斂態(tài)勢(shì)。由此可知，深度CNN模型具有分類精度高、網(wǎng)絡(luò)損失小、收斂速度快等特點(diǎn)。

從入侵檢測數(shù)據(jù)集ADFA-LD中選取Adduser、Hydra_SSH、Meterpreter和Webshell等4類數(shù)據(jù)作為攻擊數(shù)據(jù)，對(duì)深度CNN模型的準(zhǔn)確率、查全率、誤報(bào)率等進(jìn)行檢測，結(jié)果如表1所示。

表1 深度CNN模型的檢測結(jié)果

深度CNN模型的平均準(zhǔn)確率和平均查全率均達(dá)到99.90%以上，平均誤報(bào)率僅為0.01%，說明本方法對(duì)無線通信網(wǎng)絡(luò)遭受異常攻擊的檢測有效且精準(zhǔn)。

為了進(jìn)一步驗(yàn)證本方法的有效性，對(duì)物流園區(qū)西區(qū)無線通信網(wǎng)絡(luò)2021年11月25日的異常情況進(jìn)行檢測。首先，對(duì)西區(qū)無線通信網(wǎng)絡(luò)日志進(jìn)行信息采集和預(yù)處理，提取頁面狀態(tài)請(qǐng)求碼、URI、參數(shù)、HTTP 請(qǐng)求方式等主要特征；然后，對(duì)相關(guān)特征進(jìn)行歸一化處理，并將其映射成二值化灰度圖；最后，采用深度CNN模型對(duì)西區(qū)無線通信網(wǎng)絡(luò)異常攻擊進(jìn)行檢測，檢測結(jié)果界面如圖5所示。

圖5 西區(qū)無線通信網(wǎng)絡(luò)異常攻擊檢測結(jié)果界面

由圖5可知，2021年11月25日西區(qū)無線通信網(wǎng)絡(luò)遭受異常攻擊共計(jì)39次，其中告警級(jí)別為1級(jí)的攻擊34次，告警級(jí)別為2級(jí)的攻擊5次，同時(shí)獲取到了受異常攻擊的IP地址及相關(guān)告警信息，且攻擊時(shí)間主要集中在07:00 — 17:00。由此可見，本方法具有應(yīng)用價(jià)值。

3 結(jié) 語

隨著科技的發(fā)展，無線通信網(wǎng)絡(luò)遭受異常攻擊已成為常態(tài)化。為此，本次研究提出一種基于深度CNN的無線通信網(wǎng)絡(luò)異常攻擊檢測方法，將提取到的網(wǎng)絡(luò)日志相關(guān)特征進(jìn)行預(yù)處理后，輸入到深度CNN進(jìn)行網(wǎng)絡(luò)學(xué)習(xí)，得到最優(yōu)檢測模型。通過實(shí)驗(yàn)結(jié)果可知，本方法在各項(xiàng)評(píng)價(jià)指標(biāo)方面都有較好的表現(xiàn)，適用于復(fù)雜網(wǎng)絡(luò)異常攻擊檢測。