基于深度卷積神經網絡的無線通信網絡異常攻擊檢測

譚倫榮 王 輝

(淮南師范學院 計算機學院， 安徽 淮南 232001)

0 前 言

隨著信息化進程的深入和通信技術的快速發展，無線通信網絡為人們的日常生活和工作提供了便利[1-3]，但資源共享的同時也會給黑客可乘之機[4-5]。如果不能很好地解決這個問題，不僅會阻礙整體化進程，而且會給人們的生活帶來困擾[6]。

國內外學者們針對網絡異常攻擊檢測的問題展開了大量研究，并取得了一些有價值的成果。陳旖等人提出了一維卷積神經網絡模型，利用提取的一維序列片段進行模型訓練，學習攻擊樣本的局部模式，以實現網絡異常攻擊檢測[7]。柴曉東利用遺傳算法檢測云計算環境的網絡防御能力，并在云計算系統中融入入侵檢測系統，可對網絡異常攻擊行為進行警報[8]。上述方法雖然對網絡異常攻擊檢測起到了一定作用，但在初始數據采集及特征提取等方面不夠細致、準確，導致網絡異常攻擊檢測的準確率和查全率降低。

深度卷積神經網絡可以詳細記錄、統計無線通信網絡日志中的相關信息，進行圖像預處理和特征提取，并將其作為深度卷積神經網絡模型的輸入部分，使分類結果更精準。因此，本次研究提出一種基于深度卷積神經網絡的無線通信網絡異常攻擊檢測方法，對輸入信息和網絡模型進行雙重優化。

1 無線通信網絡異常攻擊檢測

1.1 卷積神經網絡

卷積神經網絡(convolutional neural networks，CNN)是前饋型網絡，它的人工神經元可以響應覆蓋區域內的其余神經元，擅長大型圖像處理[9-10]。深度CNN由輸入層、卷積層、池化層、全連接層、分類層和輸出層組成[11]。

輸入層將預處理后的數據傳送到卷積層。卷積層利用卷積核對接收到的數據進行計算，并輸出對應特征圖。池化層的作用是輸出深層特征圖，常用的池化方式是隨機池化、均值池化和最大池化。全連接層起到“分類器”的作用，可以使高維特征的泛化能力增強。分類層將特征輸送至分類器進行分類。另外，在CNN中使用非線性激活函數，可以保證檢測結果的準確性[12]。

1.2 網絡日志特征提取

判斷無線通信網絡是否受到異常攻擊，首先要從了解網絡日志入手，記錄統計所有頁面的入/出度、瀏覽量、訪問IP信息、申請特征、get參變量特征等。然后，對已獲取的信息進行預處理，無論網絡日志是什么類型，都要對其進行格式化操作，將申請方式、path、申請參變量從request字段中分離出來，將host、path等從http_referer 字段中分離出來。最后，對預處理后的數據進行計算，得到網絡日志特征。

(1) 入度:refer被算作其他字段朝向當前頁面的次數。(2) 出度：當前頁面被算作refer朝向其他頁面的次數。(3) 頁面get申請次數：以get形式發出的頁面申請次數。(4) 頁面post申請次數：以 post形式發出的頁面申請次數。(5) 響應復返均值：頁面反應折回均值。(6) 瀏覽IP次數(去重)：IP被訪問次數。(7) 瀏覽UA次數(去重)：UA被訪問次數。(8) 有參變量的URI來訪次數：含有參變量的URI被訪問次數。(9) refer等于path數量：refer等于URI的path數量。(10) 對應的sessionid數量：頁面對應的session數量。(11) 頁面訪問量：頁面瀏覽量。(12) post 請求占比：以post形式向頁面發出申請的次數與總來訪次數的比率。(13) UA異常數：UA的異常特征數量。(14) sessionid異常數：session非正常數量。(15) sessionid異常占比：session非正常數量與頁面訪問總量的比值。

對無線通信網絡日志特征進行二值化處理，得到(0，1)特征值，并將其作為深度CNN輸入層的輸入數據進行網絡學習。

1.3 深度CNN檢測方法

1.3.1 深度CNN結構

深度CNN具有多個層級，且每個層級都不是單個二維平面，而是多個二維平面，所有神經元都能加權其覆蓋區域內的元素，運用激活函數得出相應的輸出數據[13]。深度CNN結構如圖1所示，用于無線通信網絡異常攻擊檢測。深度CNN共有8層，其中輸入層、輸出層、全連接層和分類層各為1層，而卷積層和池化層均為2層。

圖1 深度CNN結構

1.3.2 深度CNN學習過程

首先，訓練信息從輸入層導入，通過其他各層的相關運算獲取預判結果；然后，利用誤差函數計算預判結果與實際結果的差異；最后，將差異反向傳輸到輸入層，并在傳回過程中對各層權值和閾值進行優化[14]。

(1) 卷積層。卷積層既可以增強初始信息特征，又可以降低噪聲。深度CNN中，卷積層可以起到突出主要特征、淡化次要特征的作用，進而使特征圖主次分明。卷積層對上一層輸送的結果進行卷積運算，得出目前層級的特征圖，過程描述如式(1)所示：

(1)

式中：Gi,l—— 第l層第i個神經元的輸入；

Dij ,l-1—— 第l層第i個神經元與第l-1層第j個神經元連接的卷積核；

bj,l—— 第l層第j個神經元的偏置。

使用非線性激活函數既可以剔除冗余信息，又可以保存初始信息特征的映射信息，還能增強深度CNN的表達能力和非線性擬合能力[15]。ReLU激活函數的收斂速度快，被廣泛應用于深度網絡結構中，如式(2)所示：

f(x)=max(0,x)

(2)

(2) 池化層。m個濾波器在卷積后生成m個特征圖。池化層對特征圖進行壓縮，一方面使特征圖維度變小，簡化網絡計算復雜度；另一方面進行特征壓縮，提取主要特征。

常見的池化操作主要有平均池化和最大池化等2種方式。平均池化選取窗口內的均值作為輸出，最大池化選取窗口內的最大值作為輸出。為了達到較好的降維效果，令滑動步長 ≥ 2。

(3) 全連接層。全連接層中的每個神經元與被池化后的所有神經元相互關聯，如式(2)所示：

(3)

式中：sj,l—— 第l層第j個神經元的輸入；

ωij,l—— 從第l-1層第i個神經元連接到第l層第j個神經元的權重；

xi,l-1—— 第l-1層第i個神經元的特征值。

為了防止過擬合現象，引入Dropout方法。

(4) 分類層。分類層的作用是對輸出的預測結果進行分類。Softmax是一種多分類模型，使用Softmax將x分為類別j的概率，如式(4)所示：

(4)

式中：h(sj,l;θ) —— 分類概率；

θ—— 模型的參變量；

k—— 總層數；

T—— 迭代次數。

1.3.3 基于深度CNN的無線通信網絡異常攻擊檢測

基于深度CNN的無線通信網絡異常攻擊檢測框架如圖2所示。

圖2 基于深度CNN的無線通信網絡異常攻擊檢測框架

無線通信網絡異常攻擊檢測過程如下：

(1) 從無線通信網絡中獲取初始網絡日志信息。

(2) 對初始網絡日志信息進行預處理。首先，使用特征提取器對采集到的初始信息進行特征提取，包括頁面狀態請求碼、統一資源標識符(URI)、參數、HTTP 請求方式等；然后，將特征歸一化為[0,1]。

(3) 圖像化處理。將特征映射為二值化灰度圖，并作為深度CNN輸入層的輸入值。

(4) 數據劃分。將圖像數據集劃分為訓練集、驗證集和測試集。

(5) 模型學習與優化。在深度CNN學習過程中對參變量進行調整優化。首先，對參變量進行初始化；然后，訓練深度CNN模型，驗證數據集檢測模型，依據驗證結果調整參變量，直到模型達到最優；最后，獲取已完成學習的最佳深度CNN模型。

(6) 獲取分類預測結果。將測試數據集輸入到最佳深度CNN網絡模型中進行分類預測，得到結果。

2 實驗分析

以某物流園區的無線通信網絡為實驗對象，該園區占地2.2 km2，分為東、西、南、北4個區域，實現了無線通信網絡全覆蓋，主要負責國際集裝箱中轉、倉儲、拆拼、加工及其他相關的貨運貿易、管理等信息的無線傳輸。

為了驗證深度CNN模型的合理性，對其分類精度和訓練損失進行檢測。設輸入長度為150、特征維數為3 600，檢測結果如圖3、圖4所示。

圖3 分類精度檢測結果

圖4 訓練損失檢測結果

由圖3可知，當訓練次數小于100次時，模型分類精度為80%～90%，但提升速度較快；當訓練次數為[100，300]時，模型分類精度達到95%以上，且波動較??；當訓練次數大于300次時，模型分類精度接近于100%，且較為穩定。由圖4可知，當訓練次數小于100次時，訓練損失隨著訓練次數的增加而大幅度減少；當訓練次數為[100，200]時，訓練損失的減少幅度有所降低，但仍存在較大波動；當訓練次數為(200，400]時，訓練損失的減少趨勢變緩，但波動較大；當訓練次數大于400次時，訓練損失接近于0，且呈收斂態勢。由此可知，深度CNN模型具有分類精度高、網絡損失小、收斂速度快等特點。

從入侵檢測數據集ADFA-LD中選取Adduser、Hydra_SSH、Meterpreter和Webshell等4類數據作為攻擊數據，對深度CNN模型的準確率、查全率、誤報率等進行檢測，結果如表1所示。

表1 深度CNN模型的檢測結果

深度CNN模型的平均準確率和平均查全率均達到99.90%以上，平均誤報率僅為0.01%，說明本方法對無線通信網絡遭受異常攻擊的檢測有效且精準。

為了進一步驗證本方法的有效性，對物流園區西區無線通信網絡2021年11月25日的異常情況進行檢測。首先，對西區無線通信網絡日志進行信息采集和預處理，提取頁面狀態請求碼、URI、參數、HTTP 請求方式等主要特征；然后，對相關特征進行歸一化處理，并將其映射成二值化灰度圖；最后，采用深度CNN模型對西區無線通信網絡異常攻擊進行檢測，檢測結果界面如圖5所示。

圖5 西區無線通信網絡異常攻擊檢測結果界面

由圖5可知，2021年11月25日西區無線通信網絡遭受異常攻擊共計39次，其中告警級別為1級的攻擊34次，告警級別為2級的攻擊5次，同時獲取到了受異常攻擊的IP地址及相關告警信息，且攻擊時間主要集中在07:00 — 17:00。由此可見，本方法具有應用價值。

3 結 語

隨著科技的發展，無線通信網絡遭受異常攻擊已成為常態化。為此，本次研究提出一種基于深度CNN的無線通信網絡異常攻擊檢測方法，將提取到的網絡日志相關特征進行預處理后，輸入到深度CNN進行網絡學習，得到最優檢測模型。通過實驗結果可知，本方法在各項評價指標方面都有較好的表現，適用于復雜網絡異常攻擊檢測。