黃璇麗 李成明 姜青山

1(中國(guó)科學(xué)院深圳先進(jìn)技術(shù)研究院 深圳 518055)

2(中國(guó)科學(xué)院大學(xué)深圳先進(jìn)技術(shù)學(xué)院 深圳 518055)

1 引 言

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(Network-based Intrusion Detection System，NIDS)相關(guān)技術(shù)在萬(wàn)物互聯(lián)的時(shí)代是不可或缺的，也是網(wǎng)絡(luò)信息安全中一個(gè)重要的研究領(lǐng)域。入侵檢測(cè)系統(tǒng)包括主機(jī)入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。其中，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通過(guò)對(duì)網(wǎng)絡(luò)上的流量進(jìn)行監(jiān)控，并實(shí)時(shí)對(duì)異常流量發(fā)出預(yù)警，從而提高網(wǎng)絡(luò)的安全性[1]。

網(wǎng)絡(luò)流量分析是網(wǎng)絡(luò)異常檢測(cè)的重要方法，傳統(tǒng)的檢測(cè)方法包含基于規(guī)則和基于特征工程的方法[2]。其中，基于規(guī)則的檢測(cè)方法需要網(wǎng)絡(luò)安全專家針對(duì)已有入侵行為，生成對(duì)應(yīng)的規(guī)則進(jìn)行匹配檢測(cè)，不具備檢測(cè)新的入侵行為的能力?；趥鹘y(tǒng)機(jī)器學(xué)習(xí)的方法需要特征工程等人為地構(gòu)造特征，然后訓(xùn)練機(jī)器學(xué)習(xí)模型，模型的效果很大程度上取決于特征工程的質(zhì)量[3]。目前，深度學(xué)習(xí)已在計(jì)算機(jī)視覺(jué)、自然語(yǔ)言處理、推薦系統(tǒng)、網(wǎng)絡(luò)流量異常檢測(cè)等領(lǐng)域廣泛應(yīng)用[4-5]。然而，已有的基于深度學(xué)習(xí)網(wǎng)絡(luò)流量異常檢測(cè)方法，只是針對(duì)網(wǎng)絡(luò)流單一的時(shí)序特征或空間特征進(jìn)行了提取，缺少對(duì)網(wǎng)絡(luò)流量時(shí)空特征的綜合表示。

原始的網(wǎng)絡(luò)流量是由按照網(wǎng)絡(luò)協(xié)議規(guī)定格式的一串字節(jié)組成的。多個(gè)流量字節(jié)組合成一個(gè)數(shù)據(jù)包，通信雙方的多個(gè)數(shù)據(jù)包則組成一個(gè)網(wǎng)絡(luò)流[1]。其中，數(shù)據(jù)包以一個(gè)整體同時(shí)在網(wǎng)絡(luò)上傳輸，故其內(nèi)部的流量字節(jié)沒(méi)有太多的時(shí)序關(guān)系，但字節(jié)間被認(rèn)為存在著空間關(guān)系，可提取其相應(yīng)的空間特征。而網(wǎng)絡(luò)流中的每個(gè)數(shù)據(jù)包有不同的發(fā)送時(shí)間，被認(rèn)為存在時(shí)序關(guān)系，可提取其相應(yīng)的時(shí)序特征。因此，空間特征和時(shí)序特征是網(wǎng)絡(luò)流量監(jiān)測(cè)領(lǐng)域常用的兩類流量特征[1-2]。

針對(duì)網(wǎng)絡(luò)流所具有的時(shí)空特征，本文提出一種基于深度學(xué)習(xí)的網(wǎng)絡(luò)字節(jié)流數(shù)據(jù)時(shí)空特征提取方法。其中，采用卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)提取網(wǎng)絡(luò)流量的空間特征，采用循環(huán)神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)提取網(wǎng)絡(luò)流量的時(shí)序特征。本文研究的基本單元是網(wǎng)絡(luò)流，對(duì)于原始網(wǎng)絡(luò)軌跡流量，需將其切分為以網(wǎng)絡(luò)流為單位的數(shù)據(jù)集。其中，每一條網(wǎng)絡(luò)流包含一組雙方通信的數(shù)據(jù)包，每個(gè)數(shù)據(jù)包包含一組字節(jié)(大小為 0～255)。實(shí)驗(yàn)使用的數(shù)據(jù)集是 MAWILab 網(wǎng)絡(luò)軌跡數(shù)據(jù)集，并將原始的網(wǎng)絡(luò)軌跡流量切分為以網(wǎng)絡(luò)流為單位的數(shù)據(jù)集合，結(jié)合日志文件生成帶標(biāo)簽的網(wǎng)絡(luò)字節(jié)流數(shù)據(jù)。實(shí)驗(yàn)結(jié)果表明，本文所提出的網(wǎng)絡(luò)流時(shí)空特征提取方法優(yōu)于已有的深度表示學(xué)習(xí)方法。

2 網(wǎng)絡(luò)流量檢測(cè)方法研究現(xiàn)狀

國(guó)內(nèi)外研究學(xué)者對(duì)網(wǎng)絡(luò)流量分析的問(wèn)題研究了近二十年，已有許多網(wǎng)絡(luò)入侵檢測(cè)相關(guān)的研究工作[2]。入侵檢測(cè)系統(tǒng)應(yīng)用廣泛，常應(yīng)用于工業(yè)系統(tǒng)、運(yùn)輸系統(tǒng)、醫(yī)療系統(tǒng)和建筑系統(tǒng)[4-5]。根據(jù) Ahmed 等[6]的研究成果，網(wǎng)絡(luò)流量異常檢測(cè)方法可以分為四種:基于分類、基于統(tǒng)計(jì)、基于聚類和基于信息論。Chalapathy 等[5]研究重點(diǎn)為如何使用深度學(xué)習(xí)技術(shù)進(jìn)行異常檢測(cè)，其中包括將深度學(xué)習(xí)技術(shù)應(yīng)用到主機(jī)入侵檢測(cè)和網(wǎng)絡(luò)入侵檢測(cè)中。針對(duì)現(xiàn)有檢測(cè)方法嚴(yán)重依賴人工制定規(guī)則、人工收集標(biāo)簽的問(wèn)題，Nisioti 等[7]對(duì)無(wú)監(jiān)督的網(wǎng)絡(luò)流量異常檢測(cè)進(jìn)行了研究。此外，由于對(duì)抗機(jī)器學(xué)習(xí)的興起，也有一些學(xué)者將其應(yīng)用到入侵檢測(cè)系統(tǒng)攻擊相關(guān)的研究工作[8-9]。網(wǎng)絡(luò)流量檢測(cè)通常劃分為基于規(guī)則、基于特征工程和基于特征學(xué)習(xí) 3 種方法，如圖 1 所示。

圖 1 網(wǎng)絡(luò)流量檢測(cè)方法分類Fig. 1 Categories of network traffic detection techniques

基于規(guī)則的網(wǎng)絡(luò)流量檢測(cè)方法主要包括:基于 DPI(Deep Packet Inspection)和基于端口[10]。對(duì)先前的網(wǎng)絡(luò)流量人工制定規(guī)則，通過(guò)匹配規(guī)則來(lái)檢測(cè)已出現(xiàn)的異常。該方法只能檢測(cè)已出現(xiàn)過(guò)的網(wǎng)絡(luò)異常，對(duì)沒(méi)有出現(xiàn)過(guò)的異常難以檢測(cè)；同時(shí)制定規(guī)則需要很多的人力資源，人力成本極高，無(wú)法適用于當(dāng)前網(wǎng)絡(luò)的急速發(fā)展。

基于特征工程的網(wǎng)絡(luò)流量檢測(cè)方法分兩步:(1)使用特征工程進(jìn)行特征組合、特征選擇等構(gòu)造特征集；(2)基于特征集使用傳統(tǒng)機(jī)器學(xué)習(xí)和深度學(xué)習(xí)模型進(jìn)行檢測(cè)。其中，常用的網(wǎng)絡(luò)流量特征有數(shù)據(jù)包個(gè)數(shù)、網(wǎng)絡(luò)應(yīng)用層協(xié)議和網(wǎng)絡(luò)流量長(zhǎng)度等統(tǒng)計(jì)特征和類別；常用的機(jī)器學(xué)習(xí)方法有線性回歸、邏輯回歸、決策樹(shù)、隨機(jī)森林、支持向量機(jī)和多層感知機(jī)等[11]。Aygun 和 Yavuz[12]使用自動(dòng)編解碼器進(jìn)行流量檢測(cè)?；诋惓z測(cè)進(jìn)行入侵檢測(cè)的工作也有不少，如 An 和 Cho[13]使用變分自動(dòng)編碼器進(jìn)行異常檢測(cè)；Intrator 等[14]使用多個(gè)判別器的對(duì)抗生成網(wǎng)絡(luò)(GAN)進(jìn)行異常檢測(cè)；Zhou 和 Paffenroth[15]使用魯棒深度自動(dòng)編碼器去噪，再進(jìn)行異常檢測(cè)；Zhao 等[16]和 Lin 等[17]分別采用降維和聚類等無(wú)監(jiān)督方法進(jìn)行入侵檢測(cè)?；谔卣鞴こ痰姆椒ǔＳ玫幕鶞?zhǔn)數(shù)據(jù)集有 KDD99 和 NSL-KDD 等，這類方法的檢測(cè)效果依賴特征工程的質(zhì)量，需要人工經(jīng)驗(yàn)和特征工程技巧，在網(wǎng)絡(luò)互聯(lián)和大數(shù)據(jù)時(shí)代無(wú)法適用。

基于深度特征學(xué)習(xí)的網(wǎng)絡(luò)流量檢測(cè)方法，需要使用深度特征學(xué)習(xí)模型進(jìn)行自動(dòng)地提取特征。網(wǎng)絡(luò)檢測(cè)的基本單元是網(wǎng)絡(luò)流，而網(wǎng)絡(luò)流量底層歸根到底是一串字節(jié)。依照網(wǎng)絡(luò)協(xié)議規(guī)定，將流量字節(jié)組合成數(shù)據(jù)包，數(shù)據(jù)包再組成網(wǎng)絡(luò)流，其中，數(shù)據(jù)包里的字節(jié)間存在著空間關(guān)系，而網(wǎng)絡(luò)流中的每個(gè)數(shù)據(jù)包間又存在時(shí)序關(guān)系。針對(duì)原始的網(wǎng)絡(luò)流量，構(gòu)建合適的深度特征學(xué)習(xí)模型，即可學(xué)習(xí)網(wǎng)絡(luò)流量的時(shí)間特征和空間特征。Wang 等[18-19]使用卷積神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)空間特征分別進(jìn)行加密流量分類和惡意流量分類相關(guān)的流量檢測(cè)研究；Mirza 等[20]和 Shiravi 等[21]對(duì)原始流量數(shù)據(jù) ISCX IDS 2012，建立循環(huán)神經(jīng)網(wǎng)絡(luò)進(jìn)行特征學(xué)習(xí)以提高檢測(cè)性能。

3 基于深度學(xué)習(xí)的網(wǎng)絡(luò)字節(jié)流時(shí)空特征提取方法

基于深度特征學(xué)習(xí)的網(wǎng)絡(luò)流量檢測(cè)方法通過(guò)深度特征學(xué)習(xí)模型進(jìn)行自動(dòng)地提取特征，再使用提取的特征進(jìn)行檢測(cè)?；谏疃葘W(xué)習(xí)的特征提取方法主要包括卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)和循環(huán)神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，可有效提取網(wǎng)絡(luò)流量時(shí)空特征。

3.1 網(wǎng)絡(luò)流

按照網(wǎng)絡(luò)協(xié)議的規(guī)定，多個(gè)字節(jié)組成數(shù)據(jù)包，通信雙方的數(shù)據(jù)包組成網(wǎng)絡(luò)流，網(wǎng)絡(luò)流攜帶著數(shù)據(jù)在不同的計(jì)算機(jī)之間傳輸，字節(jié)就是網(wǎng)絡(luò)流量的原始形態(tài)。網(wǎng)絡(luò)流(flow)、數(shù)據(jù)包(packet)和字節(jié)(byte)數(shù)據(jù)的層次關(guān)系如圖 2 所示。

圖 2 網(wǎng)絡(luò)流的層次關(guān)系圖Fig. 2 The hierarchy of network traffic flow

原始的網(wǎng)絡(luò)軌跡是由一串字節(jié)組成的，網(wǎng)絡(luò)流是網(wǎng)絡(luò)流量檢測(cè)的基本單位。圖 3 所示為某個(gè)網(wǎng)絡(luò)流樣例:該條網(wǎng)絡(luò)流由 30 個(gè)數(shù)據(jù)包組成，一個(gè)數(shù)據(jù)包由多個(gè)字節(jié)組成。

一個(gè)網(wǎng)絡(luò)流樣本由網(wǎng)絡(luò)流的字節(jié)向量和標(biāo)簽組成，其樣本集合 D 的表達(dá)如公式(1)所示。

3.2 網(wǎng)絡(luò)流時(shí)空特征提取方法

從網(wǎng)絡(luò)流的層次結(jié)構(gòu)可知，數(shù)據(jù)包之間存在著顯著的時(shí)序特征，數(shù)據(jù)包內(nèi)的字節(jié)被認(rèn)為存在著空間特征。因此，本文設(shè)計(jì)了如圖 4 所示的特征提取方法，其中輸入為網(wǎng)絡(luò)流字節(jié)向量(flow bytes vector)，包含卷積層(conv1 和 conv2)、最大池化層(maxpool1 和 maxpool2)、全連接層(Full Connection，F(xiàn)C)、長(zhǎng)短期記憶(Long-Short Term Memory，LSTM)和 softmax 層，其主要的流程分為以下 3 步。

(1)網(wǎng)絡(luò)流量空間特征學(xué)習(xí)過(guò)程:由于卷積神經(jīng)網(wǎng)絡(luò)可以學(xué)習(xí)每個(gè)數(shù)據(jù)包內(nèi)的空間特征，故本文采用卷積神經(jīng)網(wǎng)絡(luò)來(lái)學(xué)習(xí)原始流量的空間特征。該網(wǎng)絡(luò)結(jié)構(gòu)使用兩層卷積層和兩層最大池化層，可學(xué)習(xí)到網(wǎng)絡(luò)流量數(shù)據(jù)的局部特征，輸出為空間特征表示 h1，之后將其應(yīng)用于網(wǎng)絡(luò)的深層結(jié)構(gòu)以學(xué)習(xí)更多的全局特征。

(2)網(wǎng)絡(luò)流量時(shí)序特征學(xué)習(xí)過(guò)程:對(duì)于步驟(1)中得到的空間特征表示 h1，由網(wǎng)絡(luò)流量的內(nèi)部層次結(jié)構(gòu)可知存在著時(shí)序特征。本文采用一個(gè) LSTM 網(wǎng)絡(luò)來(lái)進(jìn)一步學(xué)習(xí)原始流量的時(shí)序特征，該網(wǎng)絡(luò)結(jié)構(gòu)使用兩層隱藏層，輸出為時(shí)空特征表示 h2。

圖 3 網(wǎng)絡(luò)流樣例圖Fig. 3 Network traffic flow sample

(3)網(wǎng)絡(luò)流量檢測(cè)過(guò)程:對(duì)于經(jīng)過(guò)步驟(1)和(2)得到的網(wǎng)絡(luò)流時(shí)空特征表示 h2，設(shè)計(jì)一個(gè)全連接層和輸出層，使用 softmax 分類器進(jìn)行分類檢測(cè)，輸出網(wǎng)絡(luò)流所屬類別的預(yù)測(cè)概率。

網(wǎng)絡(luò)流量的內(nèi)部結(jié)構(gòu)揭示其存在著的時(shí)序特征和空間特征。本文中，需先將原始網(wǎng)絡(luò)流量的字節(jié)流向量變形成大小為 n×n×channels 的張量，再作為時(shí)空特征提取網(wǎng)絡(luò)的輸入。其中，channels 取 1。圖 4 所示為本文方法的詳細(xì)框架圖。

3.2.1 空間特征提取網(wǎng)絡(luò)結(jié)構(gòu)

由于卷積神經(jīng)網(wǎng)絡(luò)具有空間特征學(xué)習(xí)的能力，常應(yīng)用于計(jì)算機(jī)視覺(jué)等相關(guān)領(lǐng)域?，F(xiàn)有的卷積神經(jīng)網(wǎng)絡(luò)通常包括輸入層、卷積層、池化層、全連接層和輸出層，其稀疏連接和參數(shù)共享的獨(dú)特訓(xùn)練方式是該網(wǎng)絡(luò)的最大優(yōu)勢(shì)[22-23]。其中，卷積層和池化層的設(shè)計(jì)極為關(guān)鍵，通常底層結(jié)構(gòu)學(xué)習(xí)數(shù)據(jù)的局部特征，而網(wǎng)絡(luò)的深層結(jié)構(gòu)則能得學(xué)到全局特征。

本文中采用卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)來(lái)提取網(wǎng)絡(luò)流量的局部空間特征。該網(wǎng)絡(luò)結(jié)構(gòu)含有兩層卷積層，第一層卷積層使用 32 個(gè)卷積濾波器(大小為 5×5、步長(zhǎng)為 1)作用于局部區(qū)域，學(xué)習(xí)局部特征。給定一個(gè)大小為 d×d×channels 的張量作為輸入，得到的輸出張量大小為(d－4)×(d－4)×(channels×32)。第二層卷積層使用 64 個(gè)卷積濾波器，大小為 3×3，步長(zhǎng)為 1。給定一個(gè)大小為 d×d×channels 的張量作為輸入，得到的輸出張量大小為(d－2)×(d－2)×(channels×64)。

假設(shè)輸入層是大小為 d×d×channels 的張量，其卷積操作如公式(2)所示。

圖 4 網(wǎng)絡(luò)字節(jié)流數(shù)據(jù)時(shí)空特征提取方法Fig.4 Spatio-temporal features extraction method for network traffic flow

3.2.2 時(shí)序特征提取網(wǎng)絡(luò)結(jié)構(gòu)

循環(huán)神經(jīng)網(wǎng)絡(luò)常用于時(shí)間序列相關(guān)的任務(wù)中，常用的變種有 LSTM 和 GRU(門(mén)控循環(huán)單元)。傳統(tǒng)的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)是前饋的，即每一層節(jié)點(diǎn)之間沒(méi)有聯(lián)系，而循環(huán)神經(jīng)網(wǎng)絡(luò)每一層的參數(shù)是共享的，即當(dāng)前層的輸出不僅要考慮上一層的輸出，而且還要考慮上一時(shí)刻隱藏層的輸出[19,24]。因此，隱藏層更新公式如下所示:

其中，W 為 t－1 時(shí)刻到 t 時(shí)刻的參數(shù)矩陣；U 為輸入層到當(dāng)前層的參數(shù)矩陣，是共享的；f 為激活函數(shù)。但這種簡(jiǎn)單的循環(huán)神經(jīng)網(wǎng)絡(luò)存在梯度消失、梯度爆炸和難以訓(xùn)練的問(wèn)題[20]。LSTM 是循環(huán)神經(jīng)網(wǎng)絡(luò)中成功的擴(kuò)展之一，能有效解決以上的問(wèn)題，其引入了輸入門(mén)、遺忘門(mén)和輸出門(mén)，還有記憶單元。LSTM 隱藏層更新公式如下所示:

4 結(jié)果分析與評(píng)估

4.1 數(shù)據(jù)集與評(píng)價(jià)指標(biāo)

實(shí)驗(yàn)驗(yàn)證采用的數(shù)據(jù)集來(lái)源于 MAWILab 開(kāi)放數(shù)據(jù)[25]。MAWILab 數(shù)據(jù)集每天收集日本和美國(guó)兩個(gè)服務(wù)商節(jié)點(diǎn)之間在 14∶00—14∶15 期間 15 min 的網(wǎng)絡(luò)流量，并提供日志文件。流量的標(biāo)簽有 anomalous、suspicious、notice 和 benign 四種，分別代表異常流量、可疑流量、通知過(guò)的流量和正常流量。

有許多研究者使用 MAWILab 進(jìn)行網(wǎng)絡(luò)流量檢測(cè)研究，如 Kwon 等[26]通過(guò)提取 MAWILab 中網(wǎng)絡(luò)協(xié)議等相關(guān)字段，人工構(gòu)造特征后使用卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行檢測(cè)；Siffer 等[27]使用極值理論進(jìn)行檢測(cè)異常流量。本文提出的是網(wǎng)絡(luò)字節(jié)流數(shù)據(jù)時(shí)空特征提取方法，對(duì) MAWILab 原始網(wǎng)絡(luò)流量數(shù)據(jù)處理的流程如圖 5 所示。

圖 5 關(guān)于 MAWILab 網(wǎng)絡(luò)軌跡數(shù)據(jù)的原始流量處理流程圖Fig. 5 Data processing of MAWILab network traces

本文選取了 2019 年 6 月 15 天的網(wǎng)絡(luò)流量，每天采樣約 1 萬(wàn)條網(wǎng)絡(luò)流，其中各類別的網(wǎng)絡(luò)流數(shù)量如表 1 所示。對(duì)于每一天的網(wǎng)絡(luò)流量，MAWILab 提供了 .pcap 軌跡文件、_notice.csv 和 _anomalous_suspicious.csv 日志文件[24]。由于網(wǎng)絡(luò)檢測(cè)的基本單位是網(wǎng)絡(luò)流，需先將 .pcap 文件中的原始網(wǎng)絡(luò)軌跡切為網(wǎng)絡(luò)流，其中每個(gè)網(wǎng)絡(luò)流對(duì)應(yīng)一個(gè) .pcap 文件；然后，根據(jù)源 IP、端 IP、源端口、端端口四元組(srcIP, dstIP, srcPort, dstPort)，在日志文件中檢索對(duì)應(yīng)的標(biāo)簽。

表 1 MAWILab 數(shù)據(jù)集(2019 年 6 月)網(wǎng)絡(luò)流數(shù)據(jù)描述Table 1 Description of MAWILab network traffic flows (June, 2019)

4.2 實(shí)驗(yàn)結(jié)果

本文使用表 1 的數(shù)據(jù)進(jìn)行檢測(cè)分析，實(shí)驗(yàn)數(shù)據(jù)的網(wǎng)絡(luò)流長(zhǎng)度(即特征維度)有 2 種:784 維和 1 600 維。評(píng)價(jià)指標(biāo)為準(zhǔn)確率、帶權(quán)重的 F1 值、帶權(quán)重的召回率和帶權(quán)重的精準(zhǔn)率。訓(xùn)練網(wǎng)絡(luò)字節(jié)流時(shí)空特征提取方法時(shí)，將數(shù)據(jù)集以 8∶2 的比例劃分訓(xùn)練集和測(cè)試集，實(shí)驗(yàn)展示的結(jié)果為測(cè)試集上的檢測(cè)結(jié)果。

圖 6 和圖 7 分別是訓(xùn)練 10 次的損失圖和效果圖。從圖 6 可以看出，模型是在收斂的，且在1 600 維數(shù)據(jù)上的收斂效果更好。從圖 7 可以看出，隨著迭代次數(shù)的增加，檢測(cè)效果變好，且模型在 1 600 維數(shù)據(jù)上的表現(xiàn)更好，這應(yīng)該是得益于 1 600 維保留的字節(jié)數(shù)比 784 維的多。

對(duì)比實(shí)驗(yàn)選擇單一網(wǎng)絡(luò)結(jié)構(gòu)的特征提取方法，包括兩層全連接的全連接網(wǎng)絡(luò)(MLP)、卷積神經(jīng)網(wǎng)絡(luò)(CNN)和 LSTM，采用 softmax 層對(duì)得到的特征進(jìn)行分類，分類結(jié)果如表 2 所示。

特征提取工作的質(zhì)量無(wú)法直接進(jìn)行衡量，需將提取到的特征用于相應(yīng)的任務(wù)，通過(guò)任務(wù)的質(zhì)量間接體現(xiàn)特征提取的質(zhì)量。表 2 將不同特征提取的結(jié)果使用 softmax 分類器進(jìn)行分類，以觀察所提出方法在 784 維和 1 600 維數(shù)據(jù)上的準(zhǔn)確率、帶權(quán)重的 F1 值、帶權(quán)重的召回率、帶權(quán)重的精準(zhǔn)率。可以看出，不管是在 784 維的數(shù)據(jù)上還是 1 600 維的數(shù)據(jù)上，提取網(wǎng)絡(luò)流量空間特征的卷積網(wǎng)絡(luò)(CNN)方法的分類結(jié)果較差，提取網(wǎng)絡(luò)流量時(shí)間特征的 LSTM 方法的分類結(jié)果有所提升，本文方法(CNN-LSTM)的分類結(jié)果最好。該實(shí)驗(yàn)結(jié)果表明不同特征對(duì)網(wǎng)絡(luò)流量檢測(cè)影響不同，其中時(shí)空特征比較好，時(shí)間特征次之，空間特征比較差。

圖 6 網(wǎng)絡(luò)流檢測(cè)實(shí)驗(yàn)損失圖(10 次訓(xùn)練)Fig. 6 Loss graph of network detection experiments (10 trainings)

圖 7 網(wǎng)絡(luò)流檢測(cè)實(shí)驗(yàn)效果圖(10 次訓(xùn)練)Fig. 7 Performance of network detection experiments (10 trainings)

表 2 對(duì)比實(shí)驗(yàn)結(jié)果Table 2 Experimental results

4.3 討論與分析

網(wǎng)絡(luò)流量檢測(cè)方法可劃分為基于規(guī)則、基于特征工程和基于特征學(xué)習(xí)三種。常見(jiàn)的網(wǎng)絡(luò)流量檢測(cè)研究先是人工提取相關(guān)的特征，再進(jìn)行模型訓(xùn)練，因此檢測(cè)效果依賴特征工程等技術(shù)的特征提取質(zhì)量。Kwon 等[26]提取了 MAWILab 數(shù)據(jù)集中的 29 個(gè)特征，使用深度卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行檢測(cè)，準(zhǔn)確率能達(dá) 67.86%；Siffer 等[27]使用極值理論進(jìn)行異常檢測(cè)，對(duì) MAWILab 數(shù)據(jù)集進(jìn)行流量的異常檢測(cè)時(shí)，取得了 86% 的真陽(yáng)率和低于 4% 的假陽(yáng)率。網(wǎng)絡(luò)流量的內(nèi)部結(jié)構(gòu)揭示了其具有時(shí)間和空間的特性，這兩類特征也常用于網(wǎng)絡(luò)流量檢測(cè)。針對(duì)特征依賴和人工經(jīng)驗(yàn)依賴的問(wèn)題，本文提出一種基于深度學(xué)習(xí)的網(wǎng)絡(luò)字節(jié)流時(shí)空特征提取方法。與前面方法相比，本文方法節(jié)省了人為構(gòu)造和提取特征的成本，其中在 1 600 維的數(shù)據(jù)上進(jìn)行實(shí)驗(yàn)時(shí)， 準(zhǔn)確率達(dá)到 89.85%，比 Kwon 等[26]方法的準(zhǔn)確率有很大的提升。

5 結(jié) 論

針對(duì)網(wǎng)絡(luò)流量特征的自動(dòng)提取需求，現(xiàn)有的基于規(guī)則和特征工程的方法均需人工經(jīng)驗(yàn)和特征工程技巧，比較繁雜且人工成本高。因此，本文提出一種更自動(dòng)化的特征提取方法，通過(guò)使用深度學(xué)習(xí)提取網(wǎng)絡(luò)字節(jié)流時(shí)空特征，及在網(wǎng)絡(luò)原始流量數(shù)據(jù)集上進(jìn)行特征提取，分類實(shí)驗(yàn)結(jié)果顯示檢測(cè)結(jié)果有較大的提升。這表明本文方法能有效地緩解網(wǎng)絡(luò)流量檢測(cè)任務(wù)中對(duì)人工提取特征的依賴并提高檢測(cè)準(zhǔn)確率。此外，在 MAWILab 數(shù)據(jù)集上進(jìn)行的對(duì)比實(shí)驗(yàn)分類結(jié)果表明，本文所提出方法優(yōu)于其他基于深度學(xué)習(xí)的網(wǎng)絡(luò)流量檢測(cè)方法(如全連接網(wǎng)絡(luò)、卷積神經(jīng)網(wǎng)絡(luò)和長(zhǎng)短記憶網(wǎng)絡(luò))，本文方法在 784 維和 1 600 維的數(shù)據(jù)上的準(zhǔn)確率分別為 86.18% 和 89.85%。神經(jīng)網(wǎng)絡(luò)仍存在可解釋性差的問(wèn)題，未來(lái)工作可以提高神經(jīng)網(wǎng)絡(luò)在特征提取工作中的可解釋性，挖掘更多有助于提高網(wǎng)絡(luò)流量檢測(cè)的特征類型。