基于卷積神經網絡的網絡異常檢測方法研究

摘 ?要：隨著高校信息化建設從數字校園到智慧校園的過渡，高校逐步實現數據服務和應用的全覆蓋，同時網絡安全問題日漸突出。文章分析了校園網普遍存在的安全威脅，根據網絡威脅在網絡流量中的異常表現，對卷積神經網絡架構、訓練過程進行了研究，建立了基于卷積神經網絡的網絡流量異常檢測模型，并對模型建立后的數據準備、分類識別方法進行了探討，實現了網絡流量的分類。

關鍵詞：卷積神經網絡;網絡流量;異常檢測

中圖分類號：TP309.2 ?文獻標識碼：A ? ?文章編號：2096-4706（2021）12-0094-04

Abstract： With the transition of informatization construction from digital campus to wisdom campus， colleges gradually realize the full coverage of data services and applications. At the same time， the problem of network security is becoming more and more prominent. This paper analyzes the common security threats in campus network， studies the architecture and training process of convolutional neural network according to the abnormal performance of network threats in network traffic， establishes the network traffic anomaly detection model based on convolutional neural network， discusses the data preparation， classification identification methods after the model is established， and realizes the classification of network traffic.

Keywords： convolutional neural network; network traffic; anomaly detection

0 ?引 ?言

“十四五”時期，高等院校信息化建設逐漸從數字化時代向智慧校園時代過渡，數據服務和數據應用范圍擴展到學校工作的各個方面，深入師生的工作、生活。校園網對人們的工作生活影響越深，網絡安全的重要性就越突出。

2021年4月1日至4月30日30天周期內學校網絡中心共報告網絡威脅事件2 935件，其中高危事件513件，約占所有威脅的四分之一。網絡威脅頻繁出現給網絡安全帶來嚴重影響，存在信息泄漏、丟失的危險，降低用戶體驗。無論正常網絡行為還是網絡威脅行為都要在網絡中產生流量，如果流量使用的是被允許使用的端口并且不具備已知威脅相應特征，網絡就認為該流量沒有對網絡產生威脅。惡意程序就是利用這個特點在網絡中進行非法信息的傳播。我們對網絡中存在的所有流量不再認為都是合法的，而是進行分析、查明，證明是合法還是非法。

流量分類技術可以在復雜的網絡環境中對采集到的網絡流量進行處理、分類識別，對惡意流量進行攔截，幫助用戶提高網絡應用質量，保障網絡安全。

目前常見流量分類方法有很多，不同分類方法有各自的優點和缺點。基于端口號的分類方法識別是最容易實現的方法，但識別準確率較低、范圍有限。準確率高的是特征字段分析，但其對加密流量的識別則無能為力，且計算復雜，容易侵犯隱私。基于傳輸層行為的分類方法可以應用于速度較高的網絡環境，但數據包加密和NAT等技術影響其分類性能[1]。因此利用機器學習的方法對網絡流量進行異常檢測的應用日漸廣泛，但是機器學習方法對網絡環境的適應性較差[2]。

深度學習在語音圖像識別領域中表現出優秀的技能，利用深度學習技術，可以解決機器學習中特征數據提取的難點，在學習過程中特征數據由模型自動生成。

1 ?卷積神經網絡

1.1 ?卷積神經網絡架構

卷積神經網絡（CNN），是深度學習最重要、最有代表性的一種訓練算法，比較適合應用在圖像語音識別領域，GoogleNet、AlphaGo、ResNet等代表性的應用突破都采用這種學習模型。卷積神經網絡連接圖如圖1所示。

分析圖1，輸入層的寬度和輸入圖像的寬度相對應，即每一行像素點個數;而高度則應于圖像的高度，即每一列的像素點個數;深度為表示圖像的通道數，彩色圖為3，灰度圖為1。卷積層1包含3套參數，即有3個過濾器。每個過濾器對輸入圖像進行卷積運算得到一個特征圖，3個過濾器就可以得到3個特征圖，這樣卷積層1對圖像從左上角開始進行卷積運算，提取3組不同特征，得到3個特征圖。每個卷積層含有的過濾器的個數是一個超參數，由用戶根據需要自由設定。

繼續分析圖1，池化層1對卷積層的輸出進行采樣，輸出3個特征圖，這3個特征圖比卷積層的輸出更小。同卷積層1的卷積運算類似，卷積層2通過提取5組不同特征，得到5個特征圖。池化層2按池化層1的方法繼續采樣，輸出5個特征圖[3]，這5個特征圖比前面輸出進一步縮小。

池化層2后面是兩個全連接層，因為通過兩次卷積和池化，特征圖同輸入圖像相比已經非常小，可以采用全連接。全連接層1的每個神經元同池化層2輸出特征每個神經元相連，輸出層即全連接層2的每個神經元則與全連接層1的每個神經元相連后得到輸出。

1.2 ?卷積神經網絡訓練過程

卷積神經網絡模型建立后分兩個步驟進行模型訓練。第一步稱為前向傳播，輸入數據從網絡低層向高層傳播。某層節點的輸出是通過與前層連接權重加權計算后，同偏置值進行運算，最后通過激活函數運算得到，每一層重復此運算。如果第一步結果不符合模型預算結果，則進行第二步反向傳播，將上述過程反向進行，從高層向低層進行訓練，消除誤差。

訓練過程為：

（1）網絡進行權值初始化。

（2）輸入數據從低層向高層進行前向傳播得到結果。

（3）將運算結果與預期結果進行比較計算誤差。

（4）如果運算結果與預期結果相差超出模型允許范圍時，再把誤差向上一層傳遞，按順序求得全連接層、下采樣層、卷積層的誤差。當運算結果與預期結果相差在模型允許范圍時，結束訓練。

（5）根據求得誤差進行權值更新。然后再進入到第二步。

2 ?模型設計

2.1 ?人類視覺原理的啟示

通過對人類的視覺原理研究，得知：人類對光的感知過程首先從視網膜感知亮度、顏色開始，視網膜感知結果傳遞到大腦皮層，大腦皮層對感知結果進行簡單處理發現物體的邊緣和位置，抽象出物體的形狀，判斷該物體具體是什么物體。

人類視覺也是通過這樣逐層分級、逐步抽象，分辨出人臉、汽車、動物、家具的不同。各種圖形的底層特征基本相同，通過依次向上層層抽象，逐漸提取出不同物體的不同特征，人類根據不同的特征組合可以精確地分辨出不同的物體。

2.2 ?異常檢測模型的建立

受人類視覺原理的啟發，我們可以通過構造多層的神經網絡，模仿人類視覺實現原理，實現圖像的分類識別。神經網絡的低層對圖像初級特征進行識別，多個低層識別的底層特征組成下一層特征，這樣層層抽象、層層組合，最后實現分類[4]。

根據人類視覺原理，采用經典LeNet-5結構，采取多層組合構造CNN學習模型，模型架構示意圖如圖2所示。

該模型構造一個分辨率為28×28×1的單通道圖像，截取載荷的前784個字節，不足784的補0。卷積核大小核寬×核高×通道數，卷積層1的卷積核為5×5×1，每次卷積完后卷積核移動一位。

圖像輸入到計算機中時，首先進行歸化處理，將像素灰度值轉換為0或者1。計算機會將圖像看作一個數組，每個圖像都有三個參數：列像素點個數、行像素點個數、圖像通道數。卷積核從輸入圖像的左上角開始遍歷做卷積運算，每做一次運算，都可以在原圖像上找到一個與卷積核同樣大小的區域。運算時，原圖像與卷積核相應位置進行乘法運算，將這些結果相加，得到新圖形上對應位置的數值，然后卷積核右移一位，繼續對應位置相乘，最后的輸出結果。輸入一個28×28×1的圖像，使用5×5過濾器進行卷積，最后生成的特征圖為28×28，因為有32個通道，所以最后得到32個同分辨率的特征圖。

為降低訓練參數的個數，在后面的卷積層之間循環引進池化層。一方面，池化縮小圖像空間。每個縱深維度的池化是獨自完成的，圖像縱深不變，使特征圖變小，簡化網絡計算復雜度;另一方面，池化層進行特征壓縮，提取主要特征。池化雖然能降低運算量，但是由于壓縮特征，有可能會影響到網絡的準確度，所以要設置合適的池化層。最常見形式是最大池化，最常見的池化大小是2×2（步長2），保留其中的最大值，將其余三個數據去除。經過第一個池化生成32個特征圖，分辨率為14×14。

第二個卷積層和第一個類似，因為有64個通道，所以得到的特征圖是64個14×14，經過第二次池化64個7×7特征圖。通過全連接層數據變成1 024和10。

3 ?數據準備

3.1 ?數據流量與圖像

網絡物理層中數據傳都是二進制流的串行傳輸，二進制流以字節為單位，每個字節8位，所以每個字節的取值有256種可能。灰度圖像的像素范圍也有256種可能，所以CNN模型的輸入數據是將采集提到的流量數據轉換成灰度圖像，流量分類就變成了灰度圖像識別[5]。

3.2 ?數據準備過程

數據準備的過程一般分以下幾個階段：采用流量抓取工具如sniffer、MRTG、PRTG、Etheral、NetDector等抓取原始流量[6]，用pcap格式保存在計算機中。然后對原始文件進行切分、清理，形成圖像文件，最后轉換成IDX格式，作為CNN的標準輸入，具體過程如圖3所示。

原始流量在一個采集周期內形成一個原始文件，為了進行下一步的處理，需要將原始流量進行分割。粒度是流量分割的最小單位[7]。分割的依據不同，分割得到的數據集形式也不相同，研究人員根據自己實際情況選擇分割方法。該模型是按流量對文件進行切割，獲得獨立的五元組信息、建立時間、負荷、所用協議，最后形成數據集。

數據傳輸需要依靠MAC來識別對方地址。發送數據的時候，數據發送端計算機首先拿接收端的計算機IP與自己主機子網掩碼相匹配，匹配后，發現跟自己是同一網段的，則使用MAC地址去尋找對方，如果不是同一網段的，則封裝上對方的IP地址為目標地址，發現網關，由網關發現其他網絡。這兩個信息會對分類特征提取產生不利因素，為消除影響需要進行流量清理。

圖3中步驟3的作用是對是前面文件清理結果長度進行統一，大于規定長度的進行截取，小于規定長度的進行補0。為方便用戶查看文件，也可以將文件變成對應的灰度圖像，當然也可以跳過這個步驟，直接執行步驟4。

4 ?分類識別

4.1 ?分類識別過程

進行分類識別時，首先采用流量抓取工具抓取pcap格式化的流量數據，之后使用選用的分割方法對格式化文件切割，清理掉IP和MAC地址，統一長度轉換成圖像數據，作為卷積神經網絡的數據源，通過多次卷積、池化處理，學習的特征作為Softmax分類器的輸入，按照流類別劃分應用類別。分類識別過程如圖4所示。

4.2 ?模型驗證

模型驗證采用深度學習框架TensorFlow，數據集采用KDD Cup 99數據集。TensorFlow最初用于機器學習和深度神經網絡的研究，在數值計算領域也被普通使用，TensorFlow是一個開源軟件，因此使用TensorFlow?編程對研究結果進行驗證。KDD Cup 99數據集包含訓練數據、驗證數據和測試數據，是入侵檢測常用數據集，所有數據來自虛擬的美國空軍網絡，增加了眾多的模擬攻擊數據。

卷積層1的權重初始值和偏置量分別設置為0.1和32，卷積層2的權重初始值和偏置量分別設置為0.1和64，全連接層初始設有1 024個神經元，該層的神經元數需要根據經驗和實驗結果進行反復調參確定。在運行過程中通過對參數進行調整得到了不同的準確率，如圖5所示。

4.3 ?結果分析

經過多次參數調整，準確率均未超過0.7，低于相關研究的準確率。經過分析，對模型架構進行調整，在全連接層1前再增加一個卷積層和展平層，可以改變訓練數據的不平衡問題，提高訓練的準確率。

5 ?結 ?論

綜上所述，神經網絡是人工智能非常重要且比較成熟的領域，在網絡威脅事件頻發的情況下，提出基于卷積神經網絡的網絡流量分類模型，根據網絡流量分類原理實現網絡流量的分類，經模擬數據集驗證可以實現預設功能，對模型需要進一步改進以提高檢測效率和準確率。

參考文獻：

[1] 楊丹丹.基于深度學習的網絡流量分類研究 [D].杭州：浙江工商大學，2018：10-14.

[2] 趙英，刁鑫穎，陳駿君.基于網絡流量分類模型的集成策略研究 [C]//中國計算機用戶協會網絡應用分會2018年第二十二屆網絡新技術與應用年會.中國計算機用戶協會網絡應用分會2018年第二十二屆網絡新技術與應用年會論文集.蘇州，2018：269-272.

[3] 張閃青.基于卷積神經網絡的圖像分類算法簡 [J].計算機產品與流通，2019（6）：112.

[4] 陳章斌.基于深度學習人臉識別技術在高校課堂點名中的設計及實現 [J].蘭州文理學院學報（自然科學版），2018，32（6）：68-71+77.

[5] 劉金來.深度學習模型在網絡流量分類中的應用研究 [D].哈爾濱：哈爾濱理工大學，2018：17-22.

[6] 李振國，鄭惠中.網絡流量采集方法研究綜述 [J].吉林大學學報（信息科學版），2014，32（1）：70-75.

[7] 王鵬，蘭巨龍，陳庶樵.粒度自適應的多徑流量分割算法 [J].通信學報，2015，36（1）：215-221.

作者簡介：英鋒（1970—），男，漢族，江蘇連云港人，教授，本科，研究方向：計算機技術應用。