基于非對稱分解卷積的網絡安全檢測

馮仁君　吳吉　王震宇　景棟盛

摘 ?要：近年來，網絡安全檢測已經取得了很大的進步。然而，網絡迅速的發展、流量分布的變化和數據樣本中的噪聲等問題都對現有方法提出了很大的挑戰。針對此，提出了基于非對稱分解卷積的網絡安全檢測（Network Security Detection Based on Asymmetric Decomposed Convolution，ADC-NSD）方法。ADC-NSD方法根據對網絡連接數據的訓練與學習，生成區別常態與危險狀態的安全檢測模型，通過對卷積神經網絡中的卷積核進行分解，完成對數據進行解析和檢測。最后，以KDDCUP99為測試數據集，將ADC-NSD方法與其他機器學習方法進行比較。實驗結果表明，ADC-NSD方法能有效地解決網絡安全檢測問題，總體精確率為98.72%，準確率為99.92%，召回率為94.61%，F1值為97.19%。

關鍵詞：網絡安全;安全檢測;卷積神經網絡;非對稱分解卷積

中圖分類號：TP18 ? ? 文獻標識碼：A

Network Security Detection based on Asymmetric Decomposed Convolution

FENG Renjun， WU Ji， WANG Zhenyu， JING Dongsheng

（Suzhou Power Supply Branch， State Grid Jiangsu Electric Power Limited Company， Suzhou 215004， China）

frj1989@126.com; 13862159678@163.com; gcxy6@hotmail.com; jds19810119@163.com

Abstract： In recent years， network security detection has made great progress. However， the rapid development of communication networks， changes of the traffic distribution and the noise in data samples all pose great challenges to the existing network security detection methods. To solve this problem， an approach referred as Network Security Detection based on Asymmetric Decomposition Convolution （ADC-NSD） is proposed. ADC-NSD generates a security detection model to distinguish normal state and dangerous state according to the training and learning of network connection data， and then analyzes and checks the data through decomposing the convolution kernel of the convolution neural network （CNN）. Finally， using KDDCUP99 （KDD： Knowledge Discovery and Data Mining） dataset as testing dataset， ADC-NSD is measured against other machine learning algorithms. The results show that ADC-NSD could be well applied to network security detection. The overall accuracy rating is 98.72%， precision rate being 99.92%， recall rate being 94.61% and F1 score being 97.19%.

Keywords： network security; security detection; convolution neural network; asymmetric decomposed convolution

1 ? 引言（Introduction）

網絡技術的發展為人們的生產與生活提供了很多的便捷，但也始終伴隨著網絡安全問題。這一問題得到了人們的廣泛關注，成為一個研究熱點。

雖然目前針對網絡安全檢測的研究工作已經取得了很大的進步，但也存在大量問題，如需要人工標注數據集、學習效率差、方法實用性弱等。深度學習通過構建多層的神經網絡對大量原始數據進行表征學習，具備較強的構建模型及推理能力，廣泛應用于醫學研究[1]、機器人控制[2]、圖像識別[3]和自然語言處理[4]等領域。

因此，如何充分發揮深度學習的優勢以提高安全檢測模型的分析和預測能力，顯得尤為有意義。針對此，本文將非對稱分解卷積應用到網絡安全檢測模型的構建與提取特征之中。首先，通過預處理模塊生成滿足需求的數據用于訓練;然后將傳統的卷積神經網絡中的卷積核進行非對稱分解;最后，將改進的模型應用于安全檢測。本文在KDDCUP99數據集[5]上進行了測試。結果表明，本文方法在網絡安全檢測過程中表現出了高效性和可靠性。

2 ? 相關研究（Related work）

2.1 ? 深度學習

深度學習通過構建多層的神經網絡對原始的大量的數據進行表征學習，從而提取出原始數據中的抽象原始特征。深度學習擁有較強的構建模型能力及推理能力，可以通過一系列的函數計算模擬計算機在神經元里的激活活動，從而學習數據特征。其中，卷積神經網絡（Convolutional Neural Network，CNN）是監督學習網絡的代表。深度神經網絡通過訓練大量帶標簽數據，利用反向傳播算法從而能夠提取數據特征。

與此同時，深度學習也應用到了大量無監督學習算法、半監督學習算法及強化學習算法，如生成對抗網絡（Generative Adverse Network，GAN）[6]，深度強化學習（Deep Reinforcement Learning， DRL）[7]和深度置信網絡（Deep Belief Network，DBN）[8]等。這些深度學習算法通過對輸入數據的處理和分析，不需要數據標簽即可學習特征。

深度學習強大的特征提取能力使得其在圖像處理、文本識別、人臉檢測、自動駕駛等多個領域取得了重大的突破。

2.2 ? 網絡安全檢測

網絡安全檢測是一種主動的網絡安全實時保護。它通過檢測網絡過程中的內部和外部攻擊及失誤操作，能夠有效地彌補網絡防火墻的缺陷，對防火墻進行高效地補充和提高。網絡安全檢測一般有異常檢測和誤用檢測兩種。異常檢測的檢測率偏低，但是不需要檢測的先驗知識，因此能夠檢測到突變的，以及未曾有過的入侵行為，是目前的主流研究方向;誤用檢測利用已有的入侵檢測行為，無法對突變的或者全新的攻擊行為進行識別。

網絡入侵檢測是一種常見的網絡安全檢測方法。網絡入侵檢測的目的在于能夠主動防御從內部或者網絡來的攻擊，通過相應的手段來及時準確的預測出會產生的入侵行為，并做出相應的防御措施，從而減少安全工作人員的維護壓力并提高系統的安全防護能力。近年來，很多研究人員對網絡安全檢測方法進行了深入的學習和探索。Shone等人[9]利用非對稱深度自動編碼器對入侵檢測進行建立深度學習分類模型;錢亞冠等人[10]利用毒性攻擊，改變支持向量機（Support Vector Machine， SVM）機器學習過程，降低了對攻擊流量的識別率;潘建國等人[11]用支持向量機進行預訓練獲取入侵檢測判定規則并應用于物聯網中每個節點;石樂義等人[12]根據相關信息熵的算法進行特征選擇，再利用深度學習方法學習數據特征;吳亞麗等人[13]利用稀疏降噪自編碼網絡自動提取入侵數據的最優特征，提高了模型的魯棒性。

3 ? 方法設計（Method design）

本文提出一種非對稱分解卷積的網絡安全檢測方法。在最近的入侵檢測領域中，傳統統計學習方法與機器學習方法相輔相成，包括馬爾科夫鏈、決策樹、決策森林、貝葉斯分類及隱馬爾可夫等。但總體而言，需要計算的數據量龐大、實時性低，因此難以滿足網絡安全檢測的要求。本文提出的基于非對稱分解卷積的網絡安全檢測方法，將不同形式的對稱卷積因式分解為非對稱結構并應用于網絡安全檢測。

3.1 ? KDDCUP99數據集

本文使用KDDCUP99數據集[5]作為訓練和測試數據集。該數據集由大量的異常連接數據與正常連接數據構成，是用于評估網絡安全檢測模型的一套標準數據集。很多入侵檢測的研究工作在此數據集進行測試。

KDDCUP99的訓練集由不同的攻擊類型與正常類型構成，測試集中包含17中未知攻擊。樣本共分為五大類，分別為：探測攻擊、拒絕服務攻擊、遠程對本地攻擊、用戶對管理員攻擊和正常。KDDCUP99的每個樣本包括了41個固定特征屬性與一個類標識符。這些固定特征屬性里，32個特征屬性為連續的，9個特征屬性為離散類型。例如其中的一條連接記錄如下：

0， udp， http， sf， 289， 2478， 0， 0， 0， 0， 0， 1， 0， 0， 0， 0， 0， 0， 0， 0， 0， 0， 6， 6， 0， 0， 0， 0， 1， 0， 0， 29， 255， 1， 0， 0.02， 0.03， 0， 0， 0， 0， normal

該記錄加上最后的標簽，共有42個特征屬性。其中第1—10位為基本特征，第11—22位為內容特征，第23—41位為流量統計特征。

3.2 ? 數據預處理

原始的KDDCUP99數據集為異構數據集，因而需要對數據進行預處理，以便于對攻擊類型分類。其中，對離散型和連續性數據進行不同的處理方法與歸一化。離散的特征變量采用獨熱編碼（one-hot）處理，而英文單詞（如數據集的協議與服務類型）的編碼則使用數值代替。協議類型和編碼如表1所示。

經過處理后的數據集雖然已經可以進行訓練，但為了加快模型的收斂速度與學習能力，需要減少樣本的數值之差。將樣本數據進行歸一化，使樣本數據全部在[0，1]區間范圍內。

首先將特征數值進行標準化。標準化公式為：

（1）

其中，n為原始特征值，n'為標準化后的特征值，AVG為特征值的平均值，STAD為平均絕對誤差。

然后，對標準化后的數進行歸一化處理，采用公式如下：

（2）

（3）

（4）

其中，n'為標準化之后的特征值。

3.3 ? 模型結構與分析

基于非對稱分解卷積的網絡安全檢測采用了非對稱卷積模型架構。本文將較大的對稱卷積分解為多個小的非對稱卷積，以提高訓練精度與速度。使用非對稱分解卷積的網絡安全檢測有三個優點：（1）通過非對稱卷積，增加了網絡的非線性;（2）由于卷積被分解，由此可以降低過擬合的概率;（3）加速網絡計算。

基于非對稱分解卷積的網絡安全檢測方法如算法1所示。

算法1基于非對稱分解卷積的網絡安全檢測 （Network Security Detection Based on Asymmetric Decomposed Convolution，ADC-NSD）

輸入：KDDCUP99網絡連接數據D

輸出：訓練完成的網絡參數θ'

1. 初始化：神經網絡結構參數θ初始化為隨機較小數值

2. 初始化：抽樣的樣本數量minibatch為32

3. Repeat（對每次神經網絡值傳遞）

4. 對非字符值數據進行獨熱操作

5. 將數據標準化

6. 將數據進行min-max歸一化

7. 在數據集中抽取minibatch樣本數據S

8. S輸入全對稱卷積層并激活輸出S'

9. S'輸入非對稱分解卷積層并激活池化輸出S''

10. S''輸入全連接層并輸出結果

11. 以Adam梯度更新反向傳播

12. 更新θ

13. Until到達預期訓練次數

14. 返回訓練完成后的網絡參數θ'

卷積神經網絡模型是由卷積、激活和池化等一系列的線性，以及非線性的變化模塊所構成。數據集經過數次的變換可以得到更為抽象的特征，從而提高泛化能力。從某些方面來說，模型深度越深，層次越多，特征的可辨別能力也隨之提高，從而性能也相應變好。然而，一般比較大的空間濾波器的卷積在計算方面需要的成本極其昂貴，因此本文將全對稱卷積進行因式分解，將原本對稱高維卷積分解為非對稱低維度卷積，以節省內存和計算量，從而快速提高網絡性能。本文3×3的卷積分解示意圖如圖1所示。

通過將對稱卷積進行結構拆分為非對稱卷積，一方面可以節約大量參數，另一方面也加快了運算速度，從而能夠分析更多樣的空間特征并提高特征的多元化。具體的卷積神經網絡示意圖如圖2所示。

在圖2中，第一層卷積層為全對稱卷積層，采用5×5的卷積核，步長為2;第二層與第三層為分解卷積層，分別為1×3的卷積核與3×1的卷積核，最后全連接層輸出數據。該神經網絡結構節約了訓練成本，由于激活層的輸出是高度相關的，通過分解使其在聚合前能夠有效降維，從而加快了訓練速度，提升了性能。

4 ? 實驗結果和分析（Experimental results and analysis）

實驗模型選取0.0005為學習率，優化算法為Adam。本文選取了傳統的統計學習方法與機器學習方法與本文模型（ADC-NSD）進行對比，其中包括支持向量機（SVM）、決策樹（Decision Tree， DT）、K近鄰算法（K-Nearest Neighbor， KNN）、卷積神經網絡（CNN）。分別測試了不同方法的精確率、準確率、召回率與F1值，如表2所示。

從表2可以看得到不同的機器學習方法與本文的模型對于KDDCUP99數據集的訓練效果。傳統的統計學習方法比如支持向量機、決策樹和K近鄰算法模型的測試數據比較低，然而神經網絡算法能獲得比較好的效果。通過對比傳統深度卷積網絡和非對稱分解卷積，可以看出非對稱分解卷積可以取得比較好的實驗效果。本文的非對稱分解卷積在所有模型里表現最好，展現了本模型的可靠性和高效性。

5 ? 結論（Conclusion）

相比傳統的統計學習方法，深度卷積模型在處理網絡安全檢測過程中具有更獨特的優勢。對于大規模數據，深度卷積網絡能夠更精細地提取到數據特征。

本文在深度卷積網絡的基礎上提出了非對稱分解卷積，通過對完全對稱卷積進行分解為非對稱卷積，快速地提高了網絡性能，對于空間特征處理的更加細膩，從而對大規模的網絡安全檢測數據的特征提取更加智能。最后，本文以KDDCUP99數據集為測試數據，比較了多種機器學習方法。實驗結果表明，本文提出的非對稱分解卷積具有較好的安全檢測效果。

參考文獻（References）

[1] Ravi D， Wong C， Deligianni F， et al. Deep Learning for Health Informatics[J]. IEEE Journal of Biomedical and Health Informatics， 2017， 21（1）：4-21.

[2] Shvets A， Rakhlin A， Kalinin A， et al. Automatic Instrument Segmentation in Robot-Assisted Surgery using Deep Learning[C]. International Conference on Machine Learning and Applications， 2018： 624-628.

[3] 圣文順，孫艷文.卷積神經網絡在圖像識別中的應用[J].軟件工程，2019，22（2）：13-16.

[4] Klein G， Kim Y， Deng Y， et al. OpenNMT： Open-Source Toolkit for Neural Machine Translation[C]. Meeting of the Association for Computational Linguistics， 2017： 67-72.

[5] 郭成華.基于KDDCUP99數據集的入侵檢測系統的設計與實現[J].網絡安全技術與應用，2017（12）：60-63.

[6] Karras T， Laine S， Aila T， et al. A Style-based Generator Architecture for Generative Adversarial Networks[C]. Computer Vision and Pattern Recognition， 2019： 4401-4410.

[7] 李廣創，程良倫.基于深度強化學習的機械臂避障路徑規劃研究[J].軟件工程，2019，22（3）：12-15.

[8] 滿忠昂，劉紀敏，孫宗錕.基于局部二值模式與深度置信網絡的人臉識別[J].軟件工程，2020，23（5）：13-16.

[9] Tang A， Mhamdi L， Mclernon D， et al. Deep learning approach for Network Intrusion Detection in Software Defined Networking[C]. International Conference on Wireless Networks， 2016： 258-263.

[10] 錢亞冠，盧紅波，紀守領，等.一種針對基于SVM入侵檢測系統的毒性攻擊方法[J].電子學報，2019，47（1）：59-65.

[11] 潘建國，李豪.基于實用拜占庭容錯的物聯網入侵檢測方法[J].計算機應用，2019，39（6）：1742-1746.

[12] 石樂義，朱紅強，劉祎豪，等.基于相關信息熵和CNN-BiLSTM的工業控制系統入侵檢測[J].計算機研究與發展，2019，56（11）：2330-2338.

[13] 吳亞麗，李國婷，付玉龍，等.基于自適應魯棒性的入侵檢測模型[J].控制與決策，2019（11）：2330-2336.

作者簡介：

馮仁君（1989-），男，碩士，工程師.研究領域：軟件智能化，軟件項目管理，信息安全.

吳 ?吉（1981-），女，學士，工程師.研究領域：信息安全，計算機應用.

王震宇（1981-），男，碩士，工程師.研究領域：信息安全，計算機應用.

景棟盛（1981-），男，碩士，高級工程師.研究領域：信息安全，軟件智能化.