一種面向軍事物聯網的網絡流量異常檢測模型*

康瀠允，孟凡宇，馮永新

（沈陽理工大學信息科學與工程學院，沈陽 110159）

0 引言

物聯網［1］（IOT）是一個大型的異構網絡，被定義為采用多種信息傳感設備，在規定的通信協議下將互聯網與物理設備相連接以實現信息的交互，進而實現智能化監控和管理的網絡系統。

物聯網關鍵技術起源于軍事需求，發展于經濟建設，伴隨著社會進步和科技發展，其應用也逐漸得到擴展。軍事物聯網［2］是一個以現有軍事網絡為基礎，將其末端延伸到具體武器裝備，通過射頻識別（RFID）、紅外感應器、傳感器、定位系統等信息傳感設備，按約定的協議把任何物品與軍隊內部專用網絡連接起來，實現軍事活動中人、物、環境之間的聯接、信息交互和通信，并對人員、武器、裝備智能識別、定位、跟蹤、監控和管理，從而實現戰場環境感知及實時后勤保障的一種智能化網絡。考慮到軍事應用中戰場環境復雜、作戰單元眾多，以及持續有效的供給等實際需求，軍事物聯網已被許多軍事專家稱為“一個未探明儲量的金礦”，并正在孕育著軍事變革深入發展的新契機。

針對軍事物聯網中網絡流量數據日趨復雜，以及數據特征維度高，非線性特性強等特點，傳統機器學習易出現“維度爆炸”等問題，本文圍繞基于深度學習的軍事物聯網網絡流量分析展開討論，提出一種基于無池化層改進型卷積神經網絡的軍事物聯網網絡流量異常檢測模型——NPCNN，并構造合理數據集進行性能評估，通過仿真實驗對軍事物聯網網絡流量異常檢測模型進行了驗證。實驗研究表明，NPCNN 相比傳統的卷積神經網絡，在軍事物聯網網絡流量異常檢測方面具有更高的準確性。

1 軍事物聯網安全相關研究

軍事物聯網的技術架構如圖1 所示，通常由感知層、網絡層和應用層構成。從技術角度而言，軍事物聯網的安全目標包括機密性、完整性、可用性、可靠性、不可抵賴性、隱私性和可信性，由于軍事物聯網的構成及面臨的環境復雜，網絡各層都面臨一些安全問題。

圖1 軍事物聯網的技術架構

其中，軍事物聯網的網絡層主要是對傳感器采集的信息進行分析處理，并將結果安全無誤地提供給應用層。它是在現有通信網和互聯網的基礎上建立起來的，因而，互聯網中的安全威脅在軍事物聯網中同樣存在，比如：竊聽、篡改、中斷、偽造、拒絕服務攻擊、重發攻擊、路由攻擊、假冒身份等，這些攻擊方式同樣會發生在軍事物聯網的基礎通信網絡中。而網絡流量的分析是軍事物聯網網絡行為分析的一個重要方面，網絡流量作為信息的重要載體，其內容刻畫和記錄了通信雙方具體的相關活動，在網絡上進行的通信行為，網絡流量均能夠在一定程度上體現出來，通過分析網絡流量，可以很直觀地了解網絡中進行的各種行為。

入侵檢測系統［3］（IDS）是常用的網絡流量分析技術，其目的是要識別隱藏在正常流量中的惡意流量。文獻［4-7］可以彌補傳統入侵檢測技術的不足，但在算法的可擴展性方面存在局限性。近年來互聯網、云計算等技術的發展迅猛，軍事物聯網面臨的網絡環境更加復雜，傳統的入侵檢測在復雜環境下性能將會大大降低，同時，數據的爆炸性増長也成為軍事物聯網安全維護必須要面對的嚴峻挑戰。傳統機器學習方法很難滿足入侵檢測實時性的要求［8］，不能很好地適應物聯網環境的需求。因此，發展面向軍事物聯網的新型網絡流量分析技術十分必要。深度學習算法［9］在多媒體處理方面帶來突破性的成果，網絡空間安全領域的研究者也在嘗試將深度學習算法應用于惡意軟件檢測和入侵檢測等領域。本文不同于上述已有工作，結合深度學習算法，構建出一種基于無池化層改進型卷積神經網絡（NPCNN，No Pooling CNN）的網絡流量異常檢測模型。

2 模型設計

2.1 模型概述

面向軍事物聯網的NPCNN 網絡流量異常檢測模型，采用深度學習技術自動化學習網絡流量的特征，將特征提取與模型訓練過程結合起來，從全局的角度對網絡流量進行分析。該檢測模型不依賴于任何有關協議和拓撲的先驗知識，也不需要人工選擇特征。面向軍事物聯網的NPCNN 網絡流量異常檢測模型的整體框架如下頁圖2 所示。

2.2 NPCNN 的數據預處理方法

在原始的網絡流量數據中，存在數據類型不統一（包含離散型的數據和連續型的數據），數據特征類型不統一（包含數值型和字符型的特征），屬性值范圍差異大，且標簽也過于繁瑣的問題，為了能夠方便地使用算法對網絡流量進行分類，需要對數據進行預處理［10］。

圖2 面向軍事物聯網的NPCNN 網絡流量異常檢測模型整體框架

首先進行數據標準化，可采用數值映射或編碼映射的方式，將字符型特征轉換為離散化的數值型。經數據標準化后，每一條數據選擇的各個屬性都變為數值型數據，但用此時的數據進行處理，就會出現“大數吃小數的現象”，即計算的結果被某個樣本的特征屬性完全掩蓋，無法看出不同樣本的屬性特點。因此，需對標準化后的數據進行歸一化處理，將數據映射到［0，1］上。

經過標準化和歸一化后的數據data 為包含i 個特征的i×j 維數組，求出每列屬性的最大值；將每個數據和該數據所在列的最大值的比值，作為該數據的歸一化數值，將整個data 數組進行歸一化；利用getdim 函數，將數據data 的維度取根號，向上取整為N，將N 作為輸出數組的維度；將data 數據采用全“0”填充的方式，映射成N×N 維的數組numpy。數據預處理的偽代碼如下：

2.3 NPCNN 的網絡結構

傳統卷積神經網絡［11］模型結構如圖3 所示，卷積神經網絡每個網絡有多個神經元，每個神經元只接收前一層的輸出，經過該層的計算后，將結果輸出給下一層，同一層的神經元互不連接。該算法可以將輸入數據經過訓練的多層網絡得到輸出。卷積神經網絡包括輸入層、卷積層、池化層、輸出層等［12］。

圖3 傳統卷積神經網絡模型結構

卷積神經網絡中的池化層，能夠縮小參數矩陣方法：數據預處理的尺寸，從而減少最后全連接層中參數的數量。而面向軍事物聯網的NPCNN 網絡流量異常檢測模型處理的是網絡流量，與卷積神經網絡常用來處理的圖像有所不同。數據集中的數據點對最終的分類結果都有貢獻，且相鄰數據點之間的關聯度不大，如采用池化對數據矩陣進行壓縮，會有數據的損失，進而會導致準確率降低以及計算速度的減慢，在NPCNN 中，不采用池化層，直接將卷積后的數據輸入到全連接網絡中進行計算。因此，NPCNN 的網絡結構無池化層，只包括輸入層、卷積層、全連接層、輸出層。NPCNN 的網絡結構如圖4 所示。

圖4 NPCNN 的網絡結構

經過預處理的數據，可以輸入NPCNN 的網絡中進行訓練，NPCNN 的網絡對數據的處理過程如下：首先將數據預處理后生成的N×N 維的數組陣輸入到輸入層中，卷積層采用M（M 是大于等于3的整數）個N×N 的卷積核，卷積步長為1，其輸出結果是N×N×M 的矩陣，進而將數據映射成一列N×N×M 的數據，輸入到隱藏層為K 個節點的全連接網絡中，輸出為P（P 為數據中的數據類別數目）維向量。

NPCNN 網絡結構中的卷積層和全連接層的激活函數，均采用Relu 函數，該函數是非線性函數，能夠增加卷積神經網絡的非線性性。

同時為了提高檢測模型的泛化能力，并能夠更準確地評估模型的分類性能，NPCNN 的網絡對數據流采用k-折交叉驗證（k-fold cross validation）方法構造訓練集。k-折交叉驗證指將樣本數據集隨機劃分為k 個相同大小的子集，在每次模型訓練迭代過程中，按順序選取其中的一個子集作為測試集，剩下的k-1 個子集作為訓練集。本文取k=3，即將數據集分為3 份，每次取其中2 份進行訓練，1 份進行測試。

2.4 NPCNN 的分類學習方法

2.4.1 分類器選擇

NPCNN 采用Softmax 分類器來判斷輸入的數據流為正常流量還是惡意網絡流量，它將多個神經元的輸出，映射到（0，1）區間內，從而來進行分類，本文將Softmax 作為二分類器，輸出結果為2 類。

2.4.2 損失函數

模型訓練時，在分類器后需要根據損失函數計算損失，用來評估預測值與實際值的差距，進一步進行反向傳播來進行參數調整。NPCNN 采用categorical_crossentropy（交叉熵損失函數）作為損失函數，交叉熵是用來評估當前訓練得到的概率分布與真實分布的差異情況。它刻畫的是實際輸出（概率）與期望輸出（概率）的距離，也就是交叉熵的值越小，兩個概率分布就越接近。

2.4.3 優化算法

Adam（Adaptive Moment Estimation）算法即自適應時刻估計方法，能計算每個參數的自適應學習率。與其他自適應學習率算法相比，Adam 收斂速度更快，學習效果更為有效，而且可以糾正其他優化技術中存在的問題，如學習率消失、收斂過慢或是高方差的參數更新導致損失函數波動較大等。

3 實驗驗證與結果分析

3.1 實驗數據集和仿真環境

面向軍事物聯網的NPCNN 網絡流量異常檢測模型采用python 語言實現，其框架為Keras，實驗硬件環境為Intel（R）Core（TM）i9-9900 K 3.6 GHz 的CPU 以及NVIDIA RTX2080Ti 的GPU，軟件環境為ubuntu16.0.4，CUDA9.2，Tensorflow1.3 版本。為了測試模型的效果，本文采用了含有90 K 數據樣本的Modbus 網絡流量數據集、含有120 K 數據樣本NSL-KDD 數據集、以及含有311K 數據樣本的KDDCup99 數據集行驗證，并將NPCNN 網絡結構同CNN 對比。CNN 和NPCNN 相比，在卷積層和全連接層之間，多了一個2×2 的池化層。將總體準確率即正確分類的樣本數占總樣本數的比例和運行時間，作為衡量模型性能的標準。

3.2 模型訓練過程

圖5 Modbus 數據集的NPCNN 網絡結構

Modbus 數據集輸入的NPCNN 網絡結構如圖5所示。首先，將25 維的Modbus 數據集中的符號性特征屬性數值化和歸一化處理，獲得標準數據集，將25 維的數組轉成5×5 的矩陣。其次，卷積層采用5 個3×3 的卷積核，卷積步長為1，其輸出結果是5×5×5 的矩陣。再次，將數據映射成5×5×5的數據，輸入到隱藏層為256 個節點的全連接網絡中，本文中訓練集的訓練輪數為10 次，當訓練集訓練結束后，使用測試數據集進行測試，采用Softmax分類器對數據中的4 種數據類別進行識別，輸出分類結果。

圖6 NSL-KDD 數據集的NPCNN 網絡結構

NSL-KDD 數據集輸入的NPCNN 網絡結構如圖6 所示。首先，將41 維的NSL-KDD 數據集中的符號性特征屬性數值化和歸一化處理，獲得標準數據集，將41 維的數組采用全“0”填充，映射成49 維數組，從而使之能夠轉成7×7 的矩陣。其次，卷積層采用5 個3×3 的卷積核，卷積步長為1，其輸出結果是7×7×5 的矩陣。再次，將數據映射成一列7×7×5 的數據，輸入到隱藏層為256 個節點的全連接網絡中，本文中訓練集的訓練輪數為10 次，當訓練集訓練結束后，使用測試數據集進行測試，采用Softmax 分類器對NSL-KDD 數據集中的DoS、Probe、R2L、U2R 和Normal 5 種數據類別進行識別，輸出分類結果。

KDDCup99 數據集的模型訓練過程及NPCNN網絡結構，同NSL-KDD 數據集。

3.3 實驗結果及分析

采用Modbus 數據集對CNN 和面向軍事物聯網的NPCNN 網絡流量異常檢測模型進行10 輪訓練，每一輪的總體準確率結果如表1 所示，結果對比如圖7 所示。

圖7 CNN 和NPCNN 在Modbus 數據集上運行的準確率對比圖

表1 CNN 和NPCNN 在Modbus 數據集上運行的準確率

采用NSL-KDD 數據集對CNN 和面向軍事物聯網的NPCNN 網絡流量異常檢測模型進行10 輪訓練，每一輪的總體準確率結果如表2 所示，結果對比如圖8 所示。

表2 CNN 和NPCNN 在NSL-KDD 數據集上運行的準確率

圖8 CNN 和NPCNN 在NSL-KDD 數據集上運行的準確率對比圖

從表1、表2、圖7 和圖8 可以看出，在10 輪訓練過程中，NPCNN 每次訓練都會相對穩定地比上一次訓練得到更優的總體準確率，且NPCNN 對軍事物聯網網絡流量檢測的總體準確率，能夠更快地趨近于最優，說明將NPCNN 用于軍事物聯網網絡流量異常檢測，可以得到不錯的效果。

同時，本文對面向軍事物聯網的NPCNN 網絡流量異常檢測模型，在不同數據量的流量樣本上進行了測試，從上文中使用到的包含有120 K 樣本的NSL-KDD 數據集中，隨機抽取25 K、50 K、75 K 和100 K 數據樣本，從包含9 K 樣本的Modbus 數據集中，隨機抽取2 K、4 K、6 K 和8 K 數據樣本。采用不同數據量的NSL-KDD 數據集和Modbus 數據集對CNN 和面向軍事物聯網的NPCNN 網絡流量異常檢測模型訓練，總體準確率的結果如圖9 和圖10 所示。

圖9 不同數據量NSL-KDD 的總體準確率

圖10 不同數據量Modbus 的總體準確率

從圖中可以看出，NPCNN 對不同數據量大小的樣本都有很好的分類準確率。同時隨著數據樣本數量的增加，同CNN 相比，NPCNN 在網絡流量分析上的優勢更加顯著。

進一步，本文采用KDDCup99 數據集對CNN和面向軍事物聯網的NPCNN 網絡流量異常檢測模型進行10 輪訓練，每一輪的總體準確率結果如表3所示，結果對比如圖11 所示。

從表3 和圖11 中可以看出，在10 輪訓練過程中，NPCNN 對CNN 和軍事物聯網網絡流量檢測的總體準確率，能夠更快地趨近于最優，面向軍事物聯網的NPCNN 網絡流量異常檢測模型，能夠對不同數據量大小的網絡流量樣本進行分析，在大樣本條件具有很好的可擴展性。

采用Modbus 數據集、NSL-KDD 數據集以及KDDCup99 數據集，對面向軍事物聯網的NPCNN網絡流量異常檢測模型進行實驗的總體準確率和運行時間結果，如表4 所示。

從表4 中可以看出，由于NPCNN 網絡結構沒有池化層，沒有減少最后全連層中的參數數量，因此，從算法的運行時間上看，CNN 略優于本文提出的NPCNN 算法。但從算法的準確率上看，NPCNN優于CNN，在處理NSL-KDD 數據集時，總體正確率可達到99.55 %，當處理Modbus 數據集時，總體正確率可達到99.97%，當處理KDDCup99 數據集時，總體正確率可達到94.18%。NPCNN 以犧牲極小的運算時間換取了較高的運算準確率，同時在大樣本條件下算法也具有很高的運行效率。從而證明本文提出的一種面向軍事物聯網的NPCNN 網絡流量異常檢測模型，在軍事物聯網網絡流量分析中具有很好的適用性。

表3 CNN 和NPCNN 在KDDCup99 數據集上運行的準確率

圖11 CNN 和NPCNN 在KDDCup99數據集上運行的準確率對比圖

表4 總體實驗結果

4 結論

傳統機器學習易出現“維度爆炸”等問題，本文將卷積神經網絡算法應用到軍事物聯網網絡流量分析領域，NPCNN 進一步優化了神經網絡結構，通過實驗，驗證了本文提出的網絡流量異常檢測模型，對軍事物聯網網絡流量進行異常檢測的可行性，以及對不同數據量的網絡流量樣本分析的可擴展性。