王 婷 王 娜 崔運鵬 李 歡

1(中國農(nóng)業(yè)科學(xué)院農(nóng)業(yè)信息研究所 北京 100081) 2(農(nóng)業(yè)農(nóng)村部農(nóng)業(yè)大數(shù)據(jù)重點實驗室(中國農(nóng)業(yè)科學(xué)院農(nóng)業(yè)信息研究所) 北京 100081) 3(96962部隊 北京 102206)

無線局域網(wǎng)技術(shù)和移動通信設(shè)備的迅猛發(fā)展使得WiFi網(wǎng)絡(luò)環(huán)境逐漸普及并融入人們的生活，這同時也使得WiFi成為網(wǎng)絡(luò)攻擊的目標(biāo). “蹭網(wǎng)”、“無線釣魚”等無線網(wǎng)絡(luò)犯罪事件時有發(fā)生，引發(fā)了個人數(shù)據(jù)被泄露、篡改等信息安全隱患，甚至導(dǎo)致巨大的經(jīng)濟損失.騰訊手機管家發(fā)布的《2018年手機安全報告》中顯示，2018年中國公共WiFi的數(shù)量近7.37億，而風(fēng)險WiFi高達(dá)46.08%.網(wǎng)絡(luò)攻擊行為的不斷演化和升級使得WiFi環(huán)境下的網(wǎng)絡(luò)安全問題愈發(fā)嚴(yán)峻，成為信息安全的全新困局.

網(wǎng)絡(luò)入侵檢測是目前應(yīng)用最廣泛也最有效的以數(shù)據(jù)驅(qū)動的網(wǎng)絡(luò)安全主動防御方法，基于實時網(wǎng)絡(luò)流量數(shù)據(jù)建立相應(yīng)的攻擊評測機制，從而實現(xiàn)對攻擊行為的檢測和預(yù)防.傳統(tǒng)的入侵檢測方法通常是通過對比已構(gòu)建的網(wǎng)絡(luò)行為模式或規(guī)則來檢測當(dāng)前網(wǎng)絡(luò)連接屬于正常狀態(tài)還是攻擊風(fēng)險狀態(tài).隨著互聯(lián)網(wǎng)環(huán)境的更新?lián)Q代，網(wǎng)絡(luò)流量數(shù)據(jù)呈現(xiàn)出海量、高維、復(fù)雜的特點，直接用來進(jìn)行攻擊行為模式發(fā)現(xiàn)十分困難.傳統(tǒng)的網(wǎng)絡(luò)入侵檢測方法出現(xiàn)檢測效率低下、準(zhǔn)確率較低、誤報率和漏報率較高的問題，已不能滿足網(wǎng)絡(luò)信息安全的需求.

機器學(xué)習(xí)算法的優(yōu)化和高性能計算能力的發(fā)展給網(wǎng)絡(luò)攻擊行為檢測帶來了新的思路和方法.深度學(xué)習(xí)作為近幾年發(fā)展最快也最熱門的機器學(xué)習(xí)方法，能夠有效學(xué)習(xí)網(wǎng)絡(luò)流量數(shù)據(jù)中隱藏的數(shù)據(jù)特征，從而使得進(jìn)一步提高網(wǎng)絡(luò)攻擊行為檢測性能成為可能[1].一個有效的網(wǎng)絡(luò)攻擊行為檢測方法不僅需要能夠準(zhǔn)確識別已知網(wǎng)絡(luò)攻擊類型，還需要對未知攻擊類型或新攻擊類型(統(tǒng)稱為未知攻擊類型)有足夠的檢測能力.在學(xué)術(shù)界和工業(yè)界，已出現(xiàn)一些基于深度學(xué)習(xí)的網(wǎng)絡(luò)攻擊檢測方法，雖然在提高檢測效率和準(zhǔn)確率方面取得一定進(jìn)展，但是由于這些方法的實現(xiàn)都是通過已標(biāo)注攻擊類型的訓(xùn)練數(shù)據(jù)集訓(xùn)練完成，無法有效檢測訓(xùn)練數(shù)據(jù)集中不包含的攻擊類型，從而無法應(yīng)對當(dāng)前網(wǎng)絡(luò)攻擊行為千變?nèi)f化和急劇增長的嚴(yán)峻形式[2].同時，由于網(wǎng)絡(luò)攻擊數(shù)據(jù)獲取的限制，大部分研究工作都是基于已有公開數(shù)據(jù)集KDD’99或其改進(jìn)版本NSL_KDD數(shù)據(jù)集[3]等面向有線通信網(wǎng)絡(luò)的攻擊行為檢測進(jìn)行的，針對無線局域網(wǎng)環(huán)境下的攻擊檢測研究還比較有限.

根據(jù)分析和已有問題，本文利用公開無線網(wǎng)絡(luò)攻擊行為數(shù)據(jù)集AWID，通過深度學(xué)習(xí)方法中無監(jiān)督學(xué)習(xí)模型——棧式稀疏自編碼器(stacked sparse auto-encoder, SSAE)構(gòu)建2種網(wǎng)絡(luò)流量數(shù)據(jù)特征表示向量，并在此基礎(chǔ)上結(jié)合深度學(xué)習(xí)方法中監(jiān)督學(xué)習(xí)模型DNN和非監(jiān)督學(xué)習(xí)聚類方法Bi-kmeans，提出一種基于半監(jiān)督學(xué)習(xí)的無線網(wǎng)絡(luò)攻擊行為檢測優(yōu)化方法(WiFi network attacks detection optimi-zation method, WiFi-ADOM).主要貢獻(xiàn)有2方面：

1) 基于稀疏自編碼器模型提出2種網(wǎng)絡(luò)流量數(shù)據(jù)特征表示向量：新特征值向量和原始特征權(quán)重值向量.新特征值向量作為網(wǎng)絡(luò)流量數(shù)據(jù)的新特征表達(dá)方式，具有更強的學(xué)習(xí)能力；原始特征權(quán)重值向量表示網(wǎng)絡(luò)流量數(shù)據(jù)不同特征屬性在表現(xiàn)原數(shù)據(jù)特征方面的重要性.

2) 在對已有攻擊行為具有優(yōu)異檢測性能的DNN模型的基礎(chǔ)上，創(chuàng)新性地通過聚類方法Bi-kmeans引入未知攻擊類型判別糾正項，解決了DNN模型不能有效檢測未知網(wǎng)絡(luò)攻擊類型的問題，優(yōu)化了WiFi-ADOM方法對攻擊類型的最終判定.其中，原始特征權(quán)重值向量用來初始化DNN模型，對網(wǎng)絡(luò)攻擊類型預(yù)判過程起到優(yōu)化作用.新特征值向量作為聚類方法Bi-kmeans的輸入，解決了Bi-kmeans方法不能很好應(yīng)對高維復(fù)雜數(shù)據(jù)的問題.

實驗結(jié)果表明：WiFi-ADOM方法在保證精確率、誤判率等檢測性能的同時能夠有效檢測未知攻擊類型，從而實現(xiàn)了無線網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)攻擊行為檢測的優(yōu)化.

1 相關(guān)工作

1.1 網(wǎng)絡(luò)入侵檢測

入侵檢測的概念是1980年Anderson首次提出的[4]，之后Heberlein等人[5]提出基于網(wǎng)絡(luò)流量數(shù)據(jù)檢測可疑網(wǎng)絡(luò)行為的網(wǎng)絡(luò)入侵檢測方法.根據(jù)挖掘分析的數(shù)據(jù)源，網(wǎng)絡(luò)入侵檢測可以劃分為基于主機、基于網(wǎng)絡(luò)和混合型的檢測方法.基于主機的方法監(jiān)測客戶端級別的攻擊行為，基于網(wǎng)絡(luò)的方法監(jiān)測整個網(wǎng)絡(luò)的攻擊風(fēng)險，混合型的則可以同時監(jiān)控整個網(wǎng)絡(luò)和特定用戶的網(wǎng)絡(luò)安全情況.根據(jù)檢測方法，網(wǎng)絡(luò)入侵檢測可以劃分為3種方法：1)基于規(guī)則的檢測方法.首先人為構(gòu)建攻擊行為特征規(guī)則庫，與之匹配便判定為攻擊行為[6].2)基于誤用的檢測方法.挖掘分析不同攻擊類型的固有模式，網(wǎng)絡(luò)行為數(shù)據(jù)符合其中一種模式時便被判定為攻擊行為[7].3)基于異常的檢測方法.通過和正常行為對比，偏離太多則判定為攻擊行為[8].前2種方法通常具有較高的檢測準(zhǔn)確率，但是卻無法有效檢測未知攻擊類型.而基于異常的方法雖然誤判率較高，卻可以有效檢測未知攻擊類型.

1.2 基于機器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測

基于機器學(xué)習(xí)的方法是目前常用的網(wǎng)絡(luò)入侵檢測方法，既可以作為基于誤用的檢測方法，又可以通過分析網(wǎng)絡(luò)流量數(shù)據(jù)中不同特征屬性的特點，進(jìn)一步優(yōu)化基于規(guī)則和異常的檢測方法.尤其是作為目前機器學(xué)習(xí)領(lǐng)域熱門的深度學(xué)習(xí)方法，在人工神經(jīng)網(wǎng)絡(luò)的基礎(chǔ)上發(fā)展起來，通過構(gòu)建多層次神經(jīng)網(wǎng)絡(luò)對輸入數(shù)據(jù)進(jìn)行深層次表達(dá)，具有強大的特征自學(xué)習(xí)能力，無需領(lǐng)域?qū)＜逸o助就能夠?qū)崿F(xiàn)特征的有效提取和選擇，非常適用于高維網(wǎng)絡(luò)流量數(shù)據(jù)的挖掘分析[9].

已有的基于機器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測相關(guān)研究工作對網(wǎng)絡(luò)流量數(shù)據(jù)的處理和分析過程主要可以劃分為2種類型：

1) 首先基于原始特征數(shù)據(jù)集重新構(gòu)建具有更好學(xué)習(xí)能力的新特征數(shù)據(jù)集，即特征提取，然后進(jìn)行網(wǎng)絡(luò)攻擊行為分類.深度學(xué)習(xí)模型——棧式自編碼器(stacked auto-encoder, SAE)是常用的特征提取方法之一.Shone等人[10]提出的網(wǎng)絡(luò)入侵檢測模型通過構(gòu)建深度非對稱自編碼網(wǎng)絡(luò)提取到比傳統(tǒng)對稱自編碼網(wǎng)絡(luò)更具有學(xué)習(xí)能力的網(wǎng)絡(luò)流量數(shù)據(jù)特征屬性，然后采用支持向量機(support vector machine, SVM)方法對網(wǎng)絡(luò)攻擊行為進(jìn)行分類.Thing[11]結(jié)合SAE模型和softmax分類器實現(xiàn)對網(wǎng)絡(luò)攻擊行為的分類檢測，并通過對比不同激勵函數(shù)對分類效果的影響得出激活函數(shù)Prelu效果最優(yōu)的結(jié)論.Aminanto等人[12]采用SAE模型提取網(wǎng)絡(luò)流量數(shù)據(jù)原始特征的新特征表達(dá)，并通過對所有的原始特征和新特征進(jìn)行重要級排序篩選出和網(wǎng)絡(luò)入侵檢測最相關(guān)的重要特征，然后使用SVM方法對網(wǎng)絡(luò)攻擊行為進(jìn)行識別與分類.文獻(xiàn)[13-16]則分別采用深度學(xué)習(xí)中其他模型，如RNN模型、DBN模型、CNN模型、神經(jīng)元映射卷積神經(jīng)網(wǎng)絡(luò)模型等進(jìn)行特征提取，然后在此基礎(chǔ)上進(jìn)一步實現(xiàn)網(wǎng)絡(luò)攻擊行為的分類.

2) 首先從原始特征集中篩選出與網(wǎng)絡(luò)攻擊行為檢測相關(guān)的重要原始特征，即特征選擇，然后進(jìn)行網(wǎng)絡(luò)攻擊行為分類.Akashdeep等人[17]同時以信息熵和相關(guān)性為度量，選擇信息熵大以及相關(guān)性小的特征代替網(wǎng)絡(luò)流量數(shù)據(jù)的所有特征，減少了冗余特征對網(wǎng)絡(luò)入侵檢測模型性能的影響，然后在新的特征數(shù)據(jù)集中使用人工神經(jīng)網(wǎng)絡(luò)(artificial neural network, ANN)進(jìn)行攻擊行為分類.Wang等人[18]通過ANN模型構(gòu)建的權(quán)重矩陣對初始網(wǎng)絡(luò)流量特征進(jìn)行重要性排序，然后以前K個原始特征屬性值數(shù)據(jù)作為輸入，利用softmax實現(xiàn)網(wǎng)絡(luò)攻擊行為的分類.Louvieris等人[19]在利用kmeans聚類算法和樸素貝葉斯算法對網(wǎng)絡(luò)攻擊行為進(jìn)行分類的基礎(chǔ)上通過Kruskal-Wallis檢驗篩選和特定攻擊類型相關(guān)的重要原始特征，并在篩選后的數(shù)據(jù)集上采用C4.5決策樹進(jìn)行分類.Zhu等人[20]利用多目標(biāo)選擇算法分別從多個特征篩選度量出發(fā)形成特征的重要級排序，然后結(jié)合所有排序結(jié)果構(gòu)建一個降維后的原始特征數(shù)據(jù)集.Usha等人[21]首先通過粒子群算法優(yōu)化的傳統(tǒng)聚類方法進(jìn)行特征選擇，然后利用SVM方法實現(xiàn)網(wǎng)絡(luò)攻擊行為的分類檢測.Kolias等人[22]探究了網(wǎng)絡(luò)流量數(shù)據(jù)特征是否完備對網(wǎng)絡(luò)攻擊行為分類檢測的影響，以人工選擇的20個原始特征構(gòu)建精簡數(shù)據(jù)集，然后同時使用完整和精簡2種數(shù)據(jù)集作為實驗數(shù)據(jù)，并分別采用隨機森林、樸素貝葉斯、AdaBoost等分類方法對比分類效果，結(jié)果表明原始特征中存在冗余，直接影響分類性能.Zhao等人[23]通過基于特征的遷移學(xué)習(xí)方法獲取到源場景和目的場景2種不同網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)流量數(shù)據(jù)的特征，并在此基礎(chǔ)上利用決策樹、SVM方法或最近鄰算法對新場景下的網(wǎng)絡(luò)攻擊進(jìn)行分類.

2 網(wǎng)絡(luò)流量數(shù)據(jù)特征表示模型

本文采用深度學(xué)習(xí)方法中監(jiān)督學(xué)習(xí)模型棧式稀疏自編碼器(SSAE)進(jìn)行網(wǎng)絡(luò)流量數(shù)據(jù)的特征學(xué)習(xí)，并基于學(xué)習(xí)過程提出2種不同的網(wǎng)絡(luò)流量數(shù)據(jù)特征表示向量：新特征值向量(feature value vector,FV)和原始特征權(quán)重值向量(feature weight value vector,WV).SSAE模型的結(jié)構(gòu)如圖1所示，由3個稀疏自編碼器(auto-encoder, AE)組成，通過對每一個稀疏AE的單獨訓(xùn)練逐層提取數(shù)據(jù)的高階特征.

Fig. 1 Framework of network flow feature extraction model圖1 網(wǎng)絡(luò)流量特征表示模型結(jié)構(gòu)圖

2.1 SSAE模型

AE是一種無監(jiān)督學(xué)習(xí)模型，包含輸入層、隱藏層和輸出層，結(jié)構(gòu)分別如AE-1，AE-2，AE-3所示.輸入層和隱藏層構(gòu)成編碼器，把x映射到y(tǒng)：

y=ge(We·x+be).

(1)

隱藏層和輸出層構(gòu)成解碼器，與編碼器是對稱的過程，把y映射到z以實現(xiàn)對x的重建：

z=gd(Wd·y+bd)，

(2)

(3)

其中,We,Wd，be,bd,ge,gd分別表示輸入數(shù)據(jù)的權(quán)重矩陣、偏置向量和激活函數(shù);We,Wd，be,bd的初始化采用Glorot提出的Xavier方法[24];xt表示tanh函數(shù)的輸入數(shù)據(jù).

AE以最小化代價函數(shù)為優(yōu)化目標(biāo)，基于反向傳播法則不斷調(diào)整模型參數(shù)的取值以獲取最優(yōu)值，訓(xùn)練完成時隱藏層的輸出y即作為x的新特征表達(dá).每一個AE隱藏層的輸出y都作為下一層AE的輸入，最后一個AE隱藏層的輸出作為網(wǎng)絡(luò)流量數(shù)據(jù)的最終特征表達(dá).由于隱藏層中神經(jīng)單元的數(shù)量小于輸入層，所以對高維復(fù)雜的網(wǎng)絡(luò)流量數(shù)據(jù)起到了降維的作用.SAE[25-27]則是在AE訓(xùn)練過程中加入一個稀疏正則化項Jsparsity來約束隱藏層的神經(jīng)單元數(shù)量，能夠減少模型參數(shù)以降低訓(xùn)練難度，同時能夠有效解決訓(xùn)練結(jié)果局部最小化和過擬合的問題.為了更好地防止模型過擬合的問題，本文同時增加了L2正則化項Jweights.SSAE的代價函數(shù)為

ES=JS+λ×Jweights+β×Jsparsity，

(4)

(5)

(6)

(7)

(8)

2.2 網(wǎng)絡(luò)流量數(shù)據(jù)特征表示向量

本文基于深度學(xué)習(xí)模型對網(wǎng)絡(luò)流量數(shù)據(jù)的2種處理過程，提出2種網(wǎng)絡(luò)流量數(shù)據(jù)特征表示向量：新特征值向量和原始特征權(quán)重值向量.其中，前者形成的是新的特征表達(dá)方式，屬于特征提??；后者表示的是原始特征屬性在表現(xiàn)原數(shù)據(jù)特征方面的重要性，屬于特征選擇，具體為：

1) 網(wǎng)絡(luò)流量數(shù)據(jù)特征表示向量1——新特征值向量FV.由SSAE模型最后一層隱藏層中所有神經(jīng)單元構(gòu)建的新特征值組成，F(xiàn)V=(f1,f2,…,fn)，n表示神經(jīng)單元的數(shù)量.

2) 網(wǎng)絡(luò)流量數(shù)據(jù)特征表示向量2——原始特征權(quán)重值向量WV.由SSAE模型中所有神經(jīng)單元表示的流量數(shù)據(jù)原始特征權(quán)重值累計組成，WV=(w1,w2,…,wi,…,wm)，m表示原始特征值的數(shù)量，wi表示原始特征對應(yīng)的最終權(quán)重值.所有權(quán)重值形成一個權(quán)重網(wǎng)絡(luò)，每個節(jié)點所表示的權(quán)重值由上層每個節(jié)點權(quán)重值和邊權(quán)重值的乘積求和構(gòu)成.以原始特征i為例，構(gòu)建其權(quán)重網(wǎng)絡(luò)，其結(jié)構(gòu)如圖2所示:

Fig. 2 Framework of original weigh network圖2 原始特征權(quán)重值網(wǎng)絡(luò)結(jié)構(gòu)圖

3 無線網(wǎng)絡(luò)攻擊行為檢測優(yōu)化方法

本文在2.2節(jié)所構(gòu)建的2種網(wǎng)絡(luò)流量數(shù)據(jù)特征表示向量的基礎(chǔ)上，結(jié)合深度學(xué)習(xí)方法中監(jiān)督學(xué)習(xí)模型DNN和非監(jiān)督學(xué)習(xí)聚類方法Bi-kmeans提出一種基于半監(jiān)督學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測方法WiFi-ADOM.WiFi-ADOM方法的總框架如圖3所示，主要包括5個部分：數(shù)據(jù)預(yù)處理、數(shù)據(jù)特征表示(SSAE模型)、攻擊類型初步判別(DNN模型)、未知攻擊類型判別糾正項生成(Bi-kmeans聚類方法)和攻擊類型最終判別.

Fig. 3 Architecture of proposed method of WiFi-ADOM圖3 基于半監(jiān)督學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測方法結(jié)構(gòu)圖

3.1 WiFi-ADOM方法

1) 攻擊類型初步判別

攻擊類型初步判別采用深度學(xué)習(xí)模型DNN，最后一層隱藏層的激活函數(shù)使用softmax，將上一層的輸入向量映射到另一個同維度向量，新向量元素的取值范圍為[0,1]，且所有元素的和為1，如式(9)所示.模型的優(yōu)化函數(shù)中增加了L2正則項[28-29]，如式(10)所示：

(9)

ED=JD+Jweights，

(10)

(11)

① 使用SSAE生成的WV向量初始化DNN模型的權(quán)重矩陣，以避免權(quán)重參數(shù)失效問題.w的初始化直接影響整個模型的訓(xùn)練效果和速度.如果初始值過小則輸入的特征信息會在隱藏層之間前向傳遞時逐漸衰減而導(dǎo)致丟失.如果初始值過大則會嚴(yán)重影響模型訓(xùn)練過程中的梯度下降速度和學(xué)習(xí)速度，甚至導(dǎo)致結(jié)果無法收斂.另外，如果初始值設(shè)定為0，則會導(dǎo)致所有神經(jīng)單元的作用相同從而失去訓(xùn)練的意義.

② 采用Adam動量更新優(yōu)化方法來調(diào)整模型基本參數(shù)：

(12)

(13)

其中，w和b分別表示權(quán)重值和偏置值；β1和β2分別表示第1個動量參數(shù)和第2個動量參數(shù)，本文中取值為0.9和0.999；設(shè)置非零項ε以防止分母為零，本文取值為10-8.

③ 采用自適應(yīng)學(xué)習(xí)步長來調(diào)整學(xué)習(xí)率α，在訓(xùn)練迭代前期學(xué)習(xí)率較大，隨著模型參數(shù)趨于穩(wěn)定，學(xué)習(xí)率逐漸降低，α可計算為

(14)

其中，αmax和αmin分別表示學(xué)習(xí)率的最大值和最小值;λ為學(xué)習(xí)率調(diào)節(jié)參數(shù)，本文取值為40;n為當(dāng)前迭代次數(shù)，N為總迭代次數(shù).

2) 未知攻擊類型判別糾正項

本文以SSAE模型生成的FV向量數(shù)據(jù)集作為輸入數(shù)據(jù)，采取能夠克服kmeans聚類存在的局部收斂問題的變種方法Bi-kmeans的聚類結(jié)果來生成未知攻擊類型判別項.未知攻擊行為判定糾正項為

Pu=ACCkmeans×Pkmeans，

(15)

其中，ACCkmeans表示在WiFi-ADOM方法訓(xùn)練階段Bi-kmeans方法對訓(xùn)練集分類所得到的準(zhǔn)確率；Pkmeans表示在方法有效性驗證階段Bi-kmeans方法對測試集中攻擊行為的判別結(jié)果，判定為未知攻擊類型時值為1，否則為0.

未知攻擊行為判別項的生成過程包括2個部分：以訓(xùn)練集數(shù)據(jù)作為輸入進(jìn)行Bi-kmeans聚類以獲取ACCkmeans和判定過程需要用到的簇中心點信息；測試集數(shù)據(jù)中樣本作為輸入對攻擊行為進(jìn)行判別，即獲取Pkmeans.其中，Bi-kmeans聚類的具體過程為：

① 將訓(xùn)練集中所有數(shù)據(jù)構(gòu)建的所有點作為一個簇分成2部分；

② 選擇其中一個可以最大強度降低誤差平方和殘差平方和的簇，使其繼續(xù)劃分為2部分；

③ 重復(fù)步驟②直至滿足設(shè)定簇數(shù)k，其中k值的選擇采取斯坦福大學(xué)Robert教授提出的Gap Statistic方法，Wk跌落最快的點便是最佳k值；

④ 記錄各個簇中心點并計算準(zhǔn)確率ACCkmeans.

攻擊行為判定過程為：

① 本文采用歐氏距離作為聚類過程中的距離度量.計算測試集中樣本數(shù)據(jù)所構(gòu)建的點到每個已有簇內(nèi)中心點及其鄰近點的距離，取平均值作為測試樣本點的簇距離.如果最小簇距離大于所對應(yīng)簇內(nèi)2點之間最大距離，且存在一定數(shù)量的類似節(jié)點，則判定為未知攻擊類型，基于這些節(jié)點構(gòu)建新簇.

② 如果未存在新簇，則重復(fù)步驟①.如果存在新簇，則計算測試樣本點到每個已有簇內(nèi)中心點及其鄰近點的距離，取平均值作為測試樣本點的簇距離.當(dāng)測試樣本點的最小距離簇為新簇時，判定為未知攻擊類型，否則為已知攻擊類型.

3.2 網(wǎng)絡(luò)攻擊行為檢測流程

本文以網(wǎng)絡(luò)流量數(shù)據(jù)作為輸入，通過WiFi-ADOM方法實現(xiàn)對網(wǎng)絡(luò)攻擊行為的類型判別，具體實現(xiàn)過程為：

1) 對網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行預(yù)處理，包括有效化、均衡化、數(shù)字化和歸一化，獲得的數(shù)據(jù)作為SSAE模型的輸入，分別構(gòu)建訓(xùn)練數(shù)據(jù)集和測試數(shù)據(jù)集；

2) 通過訓(xùn)練SSAE模型獲取網(wǎng)絡(luò)流量數(shù)據(jù)新特征值向量FV和原始特征權(quán)重值向量WV；

3) 通過所有特征的WV向量構(gòu)建權(quán)重矩陣，基于此初始化DNN模型的權(quán)重值，訓(xùn)練模型得到網(wǎng)絡(luò)攻擊行為的初始判別概率向量PDNN=(Pn,Pim,Pf,Pin)和模型準(zhǔn)確率ACCDNN.其中Pn，Pim，Pf，Pin分別代表正常(normal)行為、偽裝(impersonation)攻擊行為、洪泛(flooding)攻擊行為和注入(injection)攻擊行為發(fā)生的概率；

4)FV向量作為Bi-kmeans聚類方法的輸入，得到未知攻擊類型判別糾正項；

5) 基于初始判別概率添加未知攻擊類型判別糾正項，得到網(wǎng)絡(luò)行為的最終判別概率向量

所有元素的和為1，值最大的元素所對應(yīng)的攻擊行為類別即為最終判別結(jié)果.當(dāng)Bi-kmeans方法對測試樣本的判別結(jié)果為未知攻擊類型時，未知攻擊類型判別糾正項為1，Bi-kmeans方法的判別結(jié)果和DNN模型的判別結(jié)果同時決定測試樣本的攻擊類型，ACCkmeans越大則未知攻擊類型的可能性越大；反之，未知攻擊類型判別糾正項為0，DNN模型對測試樣本攻擊類型的判別起主導(dǎo)作用，ACCkmeans取值的大小不影響判別結(jié)果.

4 實驗與結(jié)果

本節(jié)在無線網(wǎng)絡(luò)攻擊數(shù)據(jù)集AWID上分別測試了WiFi-ADOM方法對已知攻擊類型和未知攻擊類型的檢測性能.本文的實驗環(huán)境為Windows Server 2010操作系統(tǒng)、Intel Xeon 2.0 GHz CPU、512 GB內(nèi)存，WiFi-ADOM方法和對比方法基于python3.6和TensorFlow1.3實現(xiàn).

4.1 數(shù)據(jù)集

AWID數(shù)據(jù)集來源于Kolias，是數(shù)量最大也是最全面的真實WiFi網(wǎng)絡(luò)環(huán)境下采集的網(wǎng)絡(luò)攻擊數(shù)據(jù)集[22].按照攻擊類型級別，數(shù)據(jù)集被劃分為2種數(shù)據(jù)子集：4種大攻擊類型的CLS數(shù)據(jù)集和16種子攻擊類型的ATK數(shù)據(jù)集.后者的16種子攻擊類型包含在前者的4種大攻擊類型中，比如：ATK數(shù)據(jù)集中的Caffe-Latte，Hirte，Honeypot和EvilTwin攻擊類型屬于CLS數(shù)據(jù)集中的偽裝攻擊類型.同時AWID數(shù)據(jù)集包含完整數(shù)據(jù)集和精簡數(shù)據(jù)集2個版本.本文使用精簡版本的CLS數(shù)據(jù)集，其分布情況如表1所示：

Table 1 The Distribution of AWID

數(shù)據(jù)集的預(yù)處理過程包括數(shù)據(jù)有效化、均衡化、數(shù)值化和歸一化4個部分.

1) 數(shù)據(jù)有效化

網(wǎng)絡(luò)流量數(shù)據(jù)中有些特征值屬于缺失狀態(tài)，為了保證輸入數(shù)據(jù)的有效性，刪除屬性值中只有20%屬于正常狀態(tài)的特征和所有值都相同的特征，其余所有缺失值都用0來填充.最后154維特征減少為95維.

2) 數(shù)據(jù)均衡化

數(shù)據(jù)集中正常行為記錄和攻擊行為記錄的比例高達(dá)10∶1，這種數(shù)據(jù)不平衡問題將會嚴(yán)重影響模型的效果，所以本文對數(shù)據(jù)進(jìn)行了均衡化.本文從原始數(shù)據(jù)集中隨機抽取10%的正常行為記錄與原有的攻擊行為記錄組成新的數(shù)據(jù)集.

3) 數(shù)據(jù)數(shù)值化

把數(shù)據(jù)集中十六進(jìn)制表示的特征值統(tǒng)一轉(zhuǎn)化為十進(jìn)制，由于mac地址既非數(shù)值其總量也非常龐大，所以本文把屬性值轉(zhuǎn)換為mac地址在整個數(shù)據(jù)集中出現(xiàn)的次數(shù).標(biāo)簽列即攻擊行為類型列有4種屬性值，分別映射為one-hot形式的四維向量，比如：對于泛洪攻擊行為映射為0001.

4) 數(shù)據(jù)歸一化

數(shù)據(jù)集中不同特征的值域大不相同，為了消除這種差別給模型帶來的影響，對數(shù)值型數(shù)據(jù)進(jìn)行歸一化.本文采用最值歸一化法把屬性值映射到區(qū)間[0,1]之間：

(16)

其中,yi表示第i個特征值歸一化之后的值，xi表示第i個特征值，min(x)和max(x)分別代表特征屬性值取值范圍內(nèi)的最小值和最大值.

4.2 聚類性能度量標(biāo)準(zhǔn)

本文采用準(zhǔn)確率(accuracy,ACC)、召回率(Recall)、誤判率(false alarm rate,FAR)、F1作為網(wǎng)絡(luò)攻擊行為檢測方法的性能評價指標(biāo).

1) 準(zhǔn)確率(ACC)，是衡量檢測方法的整體有效性，可計算為

(17)

2) 誤判率(FAR)表示被錯誤判定為攻擊行為的數(shù)量和正常行為總量的比值，可計算為

(18)

3) 召回率(Recall)表示準(zhǔn)確判定為攻擊行為的數(shù)量占攻擊行為總量的比值，可計算為

(19)

4)F1指數(shù)綜合考量了準(zhǔn)確率和召回率的評估內(nèi)容，其中準(zhǔn)確率表示準(zhǔn)確檢測到的攻擊行為占檢測到的攻擊行為總量的比例，可計算為

(20)

其中，TN(true negative)表示把正常行為正確判別為正常行為的數(shù)量，TP(true positive)表示把攻擊行為正確判別為攻擊行為的數(shù)量，F(xiàn)N(false negative)表示把攻擊行為錯誤判別為正常行為的數(shù)量，F(xiàn)P(false postive)表示把正常行為錯誤判別為攻擊行為的數(shù)量.

4.3 實驗和結(jié)果

本文分別從已知攻擊類型檢測和未知攻擊類型檢測2個方面來評估WiFi-ADOM方法的檢測性能.在未知攻擊行為檢測中，通過在原始數(shù)據(jù)集中刪除特定類別的攻擊類型，構(gòu)建包含未知攻擊類型的數(shù)據(jù)集.為了保證檢測性能評估的全面性，除了正常行為類型外，其他3種大攻擊類型：泛洪攻擊、偽裝攻擊、注入攻擊都分別設(shè)定為未知攻擊類型，且每次實驗都重復(fù)10次，取其平均值作為最后的結(jié)果.通過對比不同網(wǎng)絡(luò)層數(shù)和神經(jīng)單元數(shù)量設(shè)定下模型的重構(gòu)誤差和性能指標(biāo)表現(xiàn)，SSAE模型的網(wǎng)絡(luò)結(jié)構(gòu)為95∶70∶50∶30，DNN模型的網(wǎng)絡(luò)結(jié)構(gòu)為95∶30∶60∶40∶20∶4.

1) 面向攻擊行為檢測的特征重要性分析

根據(jù)2.2節(jié)中原始特征權(quán)重網(wǎng)絡(luò)的構(gòu)建方法，構(gòu)建WiFi-ADOM方法DNN模型中原始特征的權(quán)重網(wǎng)絡(luò)，把獲取到的每一個原始特征的最終權(quán)重值作為特征重要性度量，值越大表示對攻擊檢測的作用越大，值越小則表示作用越小.根據(jù)最終權(quán)重值，選擇前15個特征屬性作為與攻擊檢測相關(guān)的重要特征.本文分別從2個方面分析了攻擊行為檢測中特征屬性的重要性：DNN模型不同隱藏層對特征屬性重要性的影響；通過對比WiFi-ADOM和C4.5，D-FES-SVM[12]，DNN，SVM不同方法的重要特征選擇結(jié)果探究網(wǎng)絡(luò)攻擊檢測中特征屬性的重要性.

結(jié)果如圖4所示，行表示不同檢測方法，列表示不同特征，淺紅色為底色，深紅色區(qū)域表示列所對應(yīng)的特征是行所對應(yīng)檢測方法的重要特征屬性.由圖4可以看出，重要性熱度最高的是特征82，107，154，作為重要特征的比例是5/5；其次是特征38，71，108，122，作為重要特征的比例是4/5.由于DNN模型中第4層隱藏層的選擇結(jié)果即最終選擇，所以用WiFi-ADOM標(biāo)識，不同隱藏層選擇的相同重要特征有10個，其余5個各有不同；相對于第2層隱藏層，第3層隱藏層和最終選擇結(jié)果相似度更高.

Fig. 4 The importance heat map of characteristic in attracts detection圖4 面向攻擊檢測的原始特征重要性熱點圖

Fig. 5 Important order of original features detection圖5 面向攻擊檢測的原始特征重要性排序

圖5分析了WiFi-ADOM方法中DNN模型不同隱藏層Top20原始特征屬性的權(quán)重值排序的變化情況.其中，點代表不同特征的權(quán)重值排序，淺藍(lán)色和藍(lán)色的點分別表示第2層和第3層隱藏層選擇的特征屬性；深藍(lán)色的點表示第4層隱藏層的選擇結(jié)果即最終選擇，用WiFi-ADOM標(biāo)識；紅色常量線表示排序為5，紅線以上的設(shè)定為重要特征.由圖5可得，不同隱藏層選擇的重要特征的重要程度并不是一致的，有的逐漸上升，如特征142；有的逐漸下降，如特征82；有的則差別比較大，如特征112.從整體來看，相比第2層，第3層隱藏層的選擇結(jié)果和第4層的更相近.結(jié)合圖4中第3層比第2層更接近最終結(jié)果的分析，可知深度學(xué)習(xí)模型DNN的隱藏層數(shù)對網(wǎng)絡(luò)流量特征屬性重要性的分析結(jié)果有直接影響，在模型已完成調(diào)優(yōu)的特定層數(shù)范圍內(nèi)，隱藏層越深其分析結(jié)果越準(zhǔn)確.

2) 已知攻擊類型檢測性能分析

表2分析了SSAE模型中不同AE隱藏層對WiFi-ADOM方法性能的影響.AE-1，AE-2，AE-3中隱藏層形成的新特征值作為Bi-kmeans聚類方法的輸入數(shù)據(jù)，根據(jù)檢測情況分別計算不同性能指標(biāo).表2中，性能指標(biāo)列表現(xiàn)最優(yōu)的結(jié)果用粗體格式加以標(biāo)識.由表2可得，ACC和F1均隨著隱藏層的增加而不斷增大；FAR的值依次降低；Recall的值則先稍稍降低后又增加.棧式稀疏自編碼器模型基于特征提取對網(wǎng)絡(luò)流量特征的整體學(xué)習(xí)能力優(yōu)于單個稀疏自編碼器模型.

Table 2 Impacts of Different AEs for SSAE Model表2 SSAE模型中不同AE隱藏層對檢測性能的影響 %

Note: The best values are in bold.

表3對比了不同AE隱藏層對不同攻擊類型檢測準(zhǔn)確率的影響.其中，F(xiàn)表示泛洪攻擊，In表示注入攻擊，Im表示偽裝攻擊.從表3可以看出，對正常行為檢測的準(zhǔn)確率幾乎沒有改變，都高于99.80%；對偽裝攻擊和注入攻擊檢測的ACC都是逐漸增加，且都維持在較高的水平.對泛洪攻擊檢測的ACC增加最多，但是ACC值卻低于80%，有待進(jìn)一步改進(jìn).在對不同網(wǎng)絡(luò)攻擊類型的檢測中，棧式稀疏自編碼器模型基于特征提取對網(wǎng)絡(luò)流量特征的學(xué)習(xí)能力優(yōu)于單個稀疏自編碼器模型，但是在數(shù)據(jù)不充分的攻擊類型檢測中具有局限性.

Table 3 Impacts of Hidden Layer in Different AEs onACCfor SSAE Model

表3 SSAE模型中不同AE隱藏層對檢測準(zhǔn)確率的影響 %

Note: The best values are in bold.

表4對比了WiFi-ADOM方法和SAE+DNN,DNN,SVM方法在不同檢測性能指標(biāo)上的表現(xiàn).由表4可知：WiFi-ADOM在ACC,Recall和F1分別取值最高,即98.56%,97.21%,97.99%，在FAR取值最小，即0.05%，總體性能最優(yōu)；然后依次是SAE+DNN和DNN，最后是SVM.DNN和SAE模型結(jié)合的檢測性能優(yōu)于DNN模型.本文根據(jù)SSAE模型生成的原始特征權(quán)重向量初始化DNN，在DNN進(jìn)行特征選擇和分類的基礎(chǔ)上，不僅接收了SSAE能夠提取特征的能力，也保留了完整的原始特征信息，所以進(jìn)一步優(yōu)化了SAE+DNN方法的檢測性能.

Table 4 Performance Comparation of Different Methods

Note: The best values are in bold.

表5對比了WiFi-ADOM方法和SAE+DNN,DNN,SVM方法對不同攻擊類型檢測的性能指標(biāo)ACC.從表5可以看出，WiFi-ADOM方法對4種攻擊類型檢測的ACC均取得最高值，在準(zhǔn)確率上表現(xiàn)性能最優(yōu).4種方法對正常行為類型和注入攻擊類型的檢測指標(biāo)ACC均大于95%，處于較優(yōu)性能，但是對泛洪攻擊的檢測準(zhǔn)確率均小于80%.對于偽裝攻擊的檢測準(zhǔn)確率，SVM方法的ACC只有15.5%；其他3種方法的ACC都高于95%，處于較優(yōu)性能.由于篇幅有限，本文只展示了不同方法在檢測準(zhǔn)確率指標(biāo)上的性能表現(xiàn)，其他性能指標(biāo)對比結(jié)果類似，WiFi-ADOM方法的檢測性能優(yōu)于其他方法.

Table 5 Performance Comparison of Different Methods onACC

表5 不同檢測方法對不同攻擊類型的檢測準(zhǔn)確率對比 %

Note: The best values are in bold.

3) 未知攻擊類型檢測性能分析

表6對比了3種攻擊類型：洪泛攻擊F、入侵攻擊In、偽裝攻擊Im分別作為未知攻擊類型的情況下，WiFi-ADOM方法在性能指標(biāo)ACC上的表現(xiàn).由表6可知，3種情況下對正常行為的檢測準(zhǔn)確率幾乎沒有變化，均處于較優(yōu)性能；因為在檢測過程中未知攻擊行為形成新簇需要一定時間，在此期間并不能有效檢測到未知攻擊行為，對整體準(zhǔn)確率有所影響，所以未知攻擊行為的ACC均比其他已知攻擊行為的ACC下降得要稍微多一些，但是在可接受的范圍內(nèi)；在泛洪攻擊為未知攻擊行為的情況下，泛洪攻擊檢測ACC下降得最多.綜上所述，WiFi-ADOM方法在保證檢測性能的同時可以有效檢測未知攻擊行為，實現(xiàn)了對網(wǎng)絡(luò)攻擊行為檢測的優(yōu)化.

Table 6 Performance of WiFi-ADOM on Unknown Attacks

5 總 結(jié)

在無線網(wǎng)絡(luò)攻擊行為日漸猖狂的當(dāng)下，有效的網(wǎng)絡(luò)攻擊行為檢測成為當(dāng)務(wù)之急，既要保證對已知攻擊類型的檢測性能：高準(zhǔn)確率、低誤判率、低漏判率等，又要具備檢測未知攻擊類型的能力.雖然相對于傳統(tǒng)檢測方法，目前利用機器學(xué)習(xí)方法進(jìn)行的相關(guān)研究在提高準(zhǔn)確率、降低誤報率方面已取得一定的進(jìn)展，但是由于網(wǎng)絡(luò)流量數(shù)據(jù)不斷指數(shù)級增長和無線網(wǎng)絡(luò)攻擊行為持續(xù)演化升級，依然存在無法有效檢測未知攻擊類型等多種問題.因此，本文結(jié)合屬于非監(jiān)督學(xué)習(xí)的SSED模型、Bi-kmeans聚類方法和屬于監(jiān)督學(xué)習(xí)的DNN模型，提出一種基于半監(jiān)督學(xué)習(xí)的網(wǎng)絡(luò)攻擊行為檢測優(yōu)化方法WiFi-ADOM，并探究了在不同攻擊類型檢測中特征屬性的重要性.實驗結(jié)果表明，本文提出的WiFi-ADOM方法在攻擊檢測性能方面達(dá)到了很好的優(yōu)化效果，尤其是對未知攻擊類型的檢測，但是對于泛洪攻擊作為未知攻擊類型的情況，WiFi-ADOM方法的優(yōu)化效果還比較有限.未來的研究會從2個方面展開：1)探究網(wǎng)絡(luò)流量數(shù)據(jù)中特征屬性的具體特性及其在網(wǎng)絡(luò)攻擊行為檢測中的作用，并在WiFi-ADOM方法的基礎(chǔ)上針對泛洪攻擊作為未知攻擊類型的情況進(jìn)一步優(yōu)化；2)評估子攻擊類型(比如Caffe-Latte攻擊)作為未知攻擊類型的情況下WiFi-ADOM方法的檢測效果.