馮仁君　吳吉　王震宇　景棟盛

摘 ?要：近年來，網(wǎng)絡(luò)安全檢測已經(jīng)取得了很大的進(jìn)步。然而，網(wǎng)絡(luò)迅速的發(fā)展、流量分布的變化和數(shù)據(jù)樣本中的噪聲等問題都對(duì)現(xiàn)有方法提出了很大的挑戰(zhàn)。針對(duì)此，提出了基于非對(duì)稱分解卷積的網(wǎng)絡(luò)安全檢測（Network Security Detection Based on Asymmetric Decomposed Convolution，ADC-NSD）方法。ADC-NSD方法根據(jù)對(duì)網(wǎng)絡(luò)連接數(shù)據(jù)的訓(xùn)練與學(xué)習(xí)，生成區(qū)別常態(tài)與危險(xiǎn)狀態(tài)的安全檢測模型，通過對(duì)卷積神經(jīng)網(wǎng)絡(luò)中的卷積核進(jìn)行分解，完成對(duì)數(shù)據(jù)進(jìn)行解析和檢測。最后，以KDDCUP99為測試數(shù)據(jù)集，將ADC-NSD方法與其他機(jī)器學(xué)習(xí)方法進(jìn)行比較。實(shí)驗(yàn)結(jié)果表明，ADC-NSD方法能有效地解決網(wǎng)絡(luò)安全檢測問題，總體精確率為98.72%，準(zhǔn)確率為99.92%，召回率為94.61%，F(xiàn)1值為97.19%。

關(guān)鍵詞：網(wǎng)絡(luò)安全;安全檢測;卷積神經(jīng)網(wǎng)絡(luò);非對(duì)稱分解卷積

中圖分類號(hào)：TP18 ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

Network Security Detection based on Asymmetric Decomposed Convolution

FENG Renjun， WU Ji， WANG Zhenyu， JING Dongsheng

（Suzhou Power Supply Branch， State Grid Jiangsu Electric Power Limited Company， Suzhou 215004， China）

frj1989@126.com; 13862159678@163.com; gcxy6@hotmail.com; jds19810119@163.com

Abstract： In recent years， network security detection has made great progress. However， the rapid development of communication networks， changes of the traffic distribution and the noise in data samples all pose great challenges to the existing network security detection methods. To solve this problem， an approach referred as Network Security Detection based on Asymmetric Decomposition Convolution （ADC-NSD） is proposed. ADC-NSD generates a security detection model to distinguish normal state and dangerous state according to the training and learning of network connection data， and then analyzes and checks the data through decomposing the convolution kernel of the convolution neural network （CNN）. Finally， using KDDCUP99 （KDD： Knowledge Discovery and Data Mining） dataset as testing dataset， ADC-NSD is measured against other machine learning algorithms. The results show that ADC-NSD could be well applied to network security detection. The overall accuracy rating is 98.72%， precision rate being 99.92%， recall rate being 94.61% and F1 score being 97.19%.

Keywords： network security; security detection; convolution neural network; asymmetric decomposed convolution

1 ? 引言（Introduction）

網(wǎng)絡(luò)技術(shù)的發(fā)展為人們的生產(chǎn)與生活提供了很多的便捷，但也始終伴隨著網(wǎng)絡(luò)安全問題。這一問題得到了人們的廣泛關(guān)注，成為一個(gè)研究熱點(diǎn)。

雖然目前針對(duì)網(wǎng)絡(luò)安全檢測的研究工作已經(jīng)取得了很大的進(jìn)步，但也存在大量問題，如需要人工標(biāo)注數(shù)據(jù)集、學(xué)習(xí)效率差、方法實(shí)用性弱等。深度學(xué)習(xí)通過構(gòu)建多層的神經(jīng)網(wǎng)絡(luò)對(duì)大量原始數(shù)據(jù)進(jìn)行表征學(xué)習(xí)，具備較強(qiáng)的構(gòu)建模型及推理能力，廣泛應(yīng)用于醫(yī)學(xué)研究[1]、機(jī)器人控制[2]、圖像識(shí)別[3]和自然語言處理[4]等領(lǐng)域。

因此，如何充分發(fā)揮深度學(xué)習(xí)的優(yōu)勢以提高安全檢測模型的分析和預(yù)測能力，顯得尤為有意義。針對(duì)此，本文將非對(duì)稱分解卷積應(yīng)用到網(wǎng)絡(luò)安全檢測模型的構(gòu)建與提取特征之中。首先，通過預(yù)處理模塊生成滿足需求的數(shù)據(jù)用于訓(xùn)練;然后將傳統(tǒng)的卷積神經(jīng)網(wǎng)絡(luò)中的卷積核進(jìn)行非對(duì)稱分解;最后，將改進(jìn)的模型應(yīng)用于安全檢測。本文在KDDCUP99數(shù)據(jù)集[5]上進(jìn)行了測試。結(jié)果表明，本文方法在網(wǎng)絡(luò)安全檢測過程中表現(xiàn)出了高效性和可靠性。

2 ? 相關(guān)研究（Related work）

2.1 ? 深度學(xué)習(xí)

深度學(xué)習(xí)通過構(gòu)建多層的神經(jīng)網(wǎng)絡(luò)對(duì)原始的大量的數(shù)據(jù)進(jìn)行表征學(xué)習(xí)，從而提取出原始數(shù)據(jù)中的抽象原始特征。深度學(xué)習(xí)擁有較強(qiáng)的構(gòu)建模型能力及推理能力，可以通過一系列的函數(shù)計(jì)算模擬計(jì)算機(jī)在神經(jīng)元里的激活活動(dòng)，從而學(xué)習(xí)數(shù)據(jù)特征。其中，卷積神經(jīng)網(wǎng)絡(luò)（Convolutional Neural Network，CNN）是監(jiān)督學(xué)習(xí)網(wǎng)絡(luò)的代表。深度神經(jīng)網(wǎng)絡(luò)通過訓(xùn)練大量帶標(biāo)簽數(shù)據(jù)，利用反向傳播算法從而能夠提取數(shù)據(jù)特征。

與此同時(shí)，深度學(xué)習(xí)也應(yīng)用到了大量無監(jiān)督學(xué)習(xí)算法、半監(jiān)督學(xué)習(xí)算法及強(qiáng)化學(xué)習(xí)算法，如生成對(duì)抗網(wǎng)絡(luò)（Generative Adverse Network，GAN）[6]，深度強(qiáng)化學(xué)習(xí)（Deep Reinforcement Learning， DRL）[7]和深度置信網(wǎng)絡(luò)（Deep Belief Network，DBN）[8]等。這些深度學(xué)習(xí)算法通過對(duì)輸入數(shù)據(jù)的處理和分析，不需要數(shù)據(jù)標(biāo)簽即可學(xué)習(xí)特征。

深度學(xué)習(xí)強(qiáng)大的特征提取能力使得其在圖像處理、文本識(shí)別、人臉檢測、自動(dòng)駕駛等多個(gè)領(lǐng)域取得了重大的突破。

2.2 ? 網(wǎng)絡(luò)安全檢測

網(wǎng)絡(luò)安全檢測是一種主動(dòng)的網(wǎng)絡(luò)安全實(shí)時(shí)保護(hù)。它通過檢測網(wǎng)絡(luò)過程中的內(nèi)部和外部攻擊及失誤操作，能夠有效地彌補(bǔ)網(wǎng)絡(luò)防火墻的缺陷，對(duì)防火墻進(jìn)行高效地補(bǔ)充和提高。網(wǎng)絡(luò)安全檢測一般有異常檢測和誤用檢測兩種。異常檢測的檢測率偏低，但是不需要檢測的先驗(yàn)知識(shí)，因此能夠檢測到突變的，以及未曾有過的入侵行為，是目前的主流研究方向;誤用檢測利用已有的入侵檢測行為，無法對(duì)突變的或者全新的攻擊行為進(jìn)行識(shí)別。

網(wǎng)絡(luò)入侵檢測是一種常見的網(wǎng)絡(luò)安全檢測方法。網(wǎng)絡(luò)入侵檢測的目的在于能夠主動(dòng)防御從內(nèi)部或者網(wǎng)絡(luò)來的攻擊，通過相應(yīng)的手段來及時(shí)準(zhǔn)確的預(yù)測出會(huì)產(chǎn)生的入侵行為，并做出相應(yīng)的防御措施，從而減少安全工作人員的維護(hù)壓力并提高系統(tǒng)的安全防護(hù)能力。近年來，很多研究人員對(duì)網(wǎng)絡(luò)安全檢測方法進(jìn)行了深入的學(xué)習(xí)和探索。Shone等人[9]利用非對(duì)稱深度自動(dòng)編碼器對(duì)入侵檢測進(jìn)行建立深度學(xué)習(xí)分類模型;錢亞冠等人[10]利用毒性攻擊，改變支持向量機(jī)（Support Vector Machine， SVM）機(jī)器學(xué)習(xí)過程，降低了對(duì)攻擊流量的識(shí)別率;潘建國等人[11]用支持向量機(jī)進(jìn)行預(yù)訓(xùn)練獲取入侵檢測判定規(guī)則并應(yīng)用于物聯(lián)網(wǎng)中每個(gè)節(jié)點(diǎn);石樂義等人[12]根據(jù)相關(guān)信息熵的算法進(jìn)行特征選擇，再利用深度學(xué)習(xí)方法學(xué)習(xí)數(shù)據(jù)特征;吳亞麗等人[13]利用稀疏降噪自編碼網(wǎng)絡(luò)自動(dòng)提取入侵?jǐn)?shù)據(jù)的最優(yōu)特征，提高了模型的魯棒性。

3 ? 方法設(shè)計(jì)（Method design）

本文提出一種非對(duì)稱分解卷積的網(wǎng)絡(luò)安全檢測方法。在最近的入侵檢測領(lǐng)域中，傳統(tǒng)統(tǒng)計(jì)學(xué)習(xí)方法與機(jī)器學(xué)習(xí)方法相輔相成，包括馬爾科夫鏈、決策樹、決策森林、貝葉斯分類及隱馬爾可夫等。但總體而言，需要計(jì)算的數(shù)據(jù)量龐大、實(shí)時(shí)性低，因此難以滿足網(wǎng)絡(luò)安全檢測的要求。本文提出的基于非對(duì)稱分解卷積的網(wǎng)絡(luò)安全檢測方法，將不同形式的對(duì)稱卷積因式分解為非對(duì)稱結(jié)構(gòu)并應(yīng)用于網(wǎng)絡(luò)安全檢測。

3.1 ? KDDCUP99數(shù)據(jù)集

本文使用KDDCUP99數(shù)據(jù)集[5]作為訓(xùn)練和測試數(shù)據(jù)集。該數(shù)據(jù)集由大量的異常連接數(shù)據(jù)與正常連接數(shù)據(jù)構(gòu)成，是用于評(píng)估網(wǎng)絡(luò)安全檢測模型的一套標(biāo)準(zhǔn)數(shù)據(jù)集。很多入侵檢測的研究工作在此數(shù)據(jù)集進(jìn)行測試。

KDDCUP99的訓(xùn)練集由不同的攻擊類型與正常類型構(gòu)成，測試集中包含17中未知攻擊。樣本共分為五大類，分別為：探測攻擊、拒絕服務(wù)攻擊、遠(yuǎn)程對(duì)本地攻擊、用戶對(duì)管理員攻擊和正常。KDDCUP99的每個(gè)樣本包括了41個(gè)固定特征屬性與一個(gè)類標(biāo)識(shí)符。這些固定特征屬性里，32個(gè)特征屬性為連續(xù)的，9個(gè)特征屬性為離散類型。例如其中的一條連接記錄如下：

0， udp， http， sf， 289， 2478， 0， 0， 0， 0， 0， 1， 0， 0， 0， 0， 0， 0， 0， 0， 0， 0， 6， 6， 0， 0， 0， 0， 1， 0， 0， 29， 255， 1， 0， 0.02， 0.03， 0， 0， 0， 0， normal

該記錄加上最后的標(biāo)簽，共有42個(gè)特征屬性。其中第1—10位為基本特征，第11—22位為內(nèi)容特征，第23—41位為流量統(tǒng)計(jì)特征。

3.2 ? 數(shù)據(jù)預(yù)處理

原始的KDDCUP99數(shù)據(jù)集為異構(gòu)數(shù)據(jù)集，因而需要對(duì)數(shù)據(jù)進(jìn)行預(yù)處理，以便于對(duì)攻擊類型分類。其中，對(duì)離散型和連續(xù)性數(shù)據(jù)進(jìn)行不同的處理方法與歸一化。離散的特征變量采用獨(dú)熱編碼（one-hot）處理，而英文單詞（如數(shù)據(jù)集的協(xié)議與服務(wù)類型）的編碼則使用數(shù)值代替。協(xié)議類型和編碼如表1所示。

經(jīng)過處理后的數(shù)據(jù)集雖然已經(jīng)可以進(jìn)行訓(xùn)練，但為了加快模型的收斂速度與學(xué)習(xí)能力，需要減少樣本的數(shù)值之差。將樣本數(shù)據(jù)進(jìn)行歸一化，使樣本數(shù)據(jù)全部在[0，1]區(qū)間范圍內(nèi)。

首先將特征數(shù)值進(jìn)行標(biāo)準(zhǔn)化。標(biāo)準(zhǔn)化公式為：

（1）

其中，n為原始特征值，n'為標(biāo)準(zhǔn)化后的特征值，AVG為特征值的平均值，STAD為平均絕對(duì)誤差。

然后，對(duì)標(biāo)準(zhǔn)化后的數(shù)進(jìn)行歸一化處理，采用公式如下：

（2）

（3）

（4）

其中，n'為標(biāo)準(zhǔn)化之后的特征值。

3.3 ? 模型結(jié)構(gòu)與分析

基于非對(duì)稱分解卷積的網(wǎng)絡(luò)安全檢測采用了非對(duì)稱卷積模型架構(gòu)。本文將較大的對(duì)稱卷積分解為多個(gè)小的非對(duì)稱卷積，以提高訓(xùn)練精度與速度。使用非對(duì)稱分解卷積的網(wǎng)絡(luò)安全檢測有三個(gè)優(yōu)點(diǎn)：（1）通過非對(duì)稱卷積，增加了網(wǎng)絡(luò)的非線性;（2）由于卷積被分解，由此可以降低過擬合的概率;（3）加速網(wǎng)絡(luò)計(jì)算。

基于非對(duì)稱分解卷積的網(wǎng)絡(luò)安全檢測方法如算法1所示。

算法1基于非對(duì)稱分解卷積的網(wǎng)絡(luò)安全檢測 （Network Security Detection Based on Asymmetric Decomposed Convolution，ADC-NSD）

輸入：KDDCUP99網(wǎng)絡(luò)連接數(shù)據(jù)D

輸出：訓(xùn)練完成的網(wǎng)絡(luò)參數(shù)θ'

1. 初始化：神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)參數(shù)θ初始化為隨機(jī)較小數(shù)值

2. 初始化：抽樣的樣本數(shù)量minibatch為32

3. Repeat（對(duì)每次神經(jīng)網(wǎng)絡(luò)值傳遞）

4. 對(duì)非字符值數(shù)據(jù)進(jìn)行獨(dú)熱操作

5. 將數(shù)據(jù)標(biāo)準(zhǔn)化

6. 將數(shù)據(jù)進(jìn)行min-max歸一化

7. 在數(shù)據(jù)集中抽取minibatch樣本數(shù)據(jù)S

8. S輸入全對(duì)稱卷積層并激活輸出S'

9. S'輸入非對(duì)稱分解卷積層并激活池化輸出S''

10. S''輸入全連接層并輸出結(jié)果

11. 以Adam梯度更新反向傳播

12. 更新θ

13. Until到達(dá)預(yù)期訓(xùn)練次數(shù)

14. 返回訓(xùn)練完成后的網(wǎng)絡(luò)參數(shù)θ'

卷積神經(jīng)網(wǎng)絡(luò)模型是由卷積、激活和池化等一系列的線性，以及非線性的變化模塊所構(gòu)成。數(shù)據(jù)集經(jīng)過數(shù)次的變換可以得到更為抽象的特征，從而提高泛化能力。從某些方面來說，模型深度越深，層次越多，特征的可辨別能力也隨之提高，從而性能也相應(yīng)變好。然而，一般比較大的空間濾波器的卷積在計(jì)算方面需要的成本極其昂貴，因此本文將全對(duì)稱卷積進(jìn)行因式分解，將原本對(duì)稱高維卷積分解為非對(duì)稱低維度卷積，以節(jié)省內(nèi)存和計(jì)算量，從而快速提高網(wǎng)絡(luò)性能。本文3×3的卷積分解示意圖如圖1所示。

通過將對(duì)稱卷積進(jìn)行結(jié)構(gòu)拆分為非對(duì)稱卷積，一方面可以節(jié)約大量參數(shù)，另一方面也加快了運(yùn)算速度，從而能夠分析更多樣的空間特征并提高特征的多元化。具體的卷積神經(jīng)網(wǎng)絡(luò)示意圖如圖2所示。

在圖2中，第一層卷積層為全對(duì)稱卷積層，采用5×5的卷積核，步長為2;第二層與第三層為分解卷積層，分別為1×3的卷積核與3×1的卷積核，最后全連接層輸出數(shù)據(jù)。該神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)節(jié)約了訓(xùn)練成本，由于激活層的輸出是高度相關(guān)的，通過分解使其在聚合前能夠有效降維，從而加快了訓(xùn)練速度，提升了性能。

4 ? 實(shí)驗(yàn)結(jié)果和分析（Experimental results and analysis）

實(shí)驗(yàn)?zāi)Ｐ瓦x取0.0005為學(xué)習(xí)率，優(yōu)化算法為Adam。本文選取了傳統(tǒng)的統(tǒng)計(jì)學(xué)習(xí)方法與機(jī)器學(xué)習(xí)方法與本文模型（ADC-NSD）進(jìn)行對(duì)比，其中包括支持向量機(jī)（SVM）、決策樹（Decision Tree， DT）、K近鄰算法（K-Nearest Neighbor， KNN）、卷積神經(jīng)網(wǎng)絡(luò)（CNN）。分別測試了不同方法的精確率、準(zhǔn)確率、召回率與F1值，如表2所示。

從表2可以看得到不同的機(jī)器學(xué)習(xí)方法與本文的模型對(duì)于KDDCUP99數(shù)據(jù)集的訓(xùn)練效果。傳統(tǒng)的統(tǒng)計(jì)學(xué)習(xí)方法比如支持向量機(jī)、決策樹和K近鄰算法模型的測試數(shù)據(jù)比較低，然而神經(jīng)網(wǎng)絡(luò)算法能獲得比較好的效果。通過對(duì)比傳統(tǒng)深度卷積網(wǎng)絡(luò)和非對(duì)稱分解卷積，可以看出非對(duì)稱分解卷積可以取得比較好的實(shí)驗(yàn)效果。本文的非對(duì)稱分解卷積在所有模型里表現(xiàn)最好，展現(xiàn)了本模型的可靠性和高效性。

5 ? 結(jié)論（Conclusion）

相比傳統(tǒng)的統(tǒng)計(jì)學(xué)習(xí)方法，深度卷積模型在處理網(wǎng)絡(luò)安全檢測過程中具有更獨(dú)特的優(yōu)勢。對(duì)于大規(guī)模數(shù)據(jù)，深度卷積網(wǎng)絡(luò)能夠更精細(xì)地提取到數(shù)據(jù)特征。

本文在深度卷積網(wǎng)絡(luò)的基礎(chǔ)上提出了非對(duì)稱分解卷積，通過對(duì)完全對(duì)稱卷積進(jìn)行分解為非對(duì)稱卷積，快速地提高了網(wǎng)絡(luò)性能，對(duì)于空間特征處理的更加細(xì)膩，從而對(duì)大規(guī)模的網(wǎng)絡(luò)安全檢測數(shù)據(jù)的特征提取更加智能。最后，本文以KDDCUP99數(shù)據(jù)集為測試數(shù)據(jù)，比較了多種機(jī)器學(xué)習(xí)方法。實(shí)驗(yàn)結(jié)果表明，本文提出的非對(duì)稱分解卷積具有較好的安全檢測效果。

參考文獻(xiàn)（References）

[1] Ravi D， Wong C， Deligianni F， et al. Deep Learning for Health Informatics[J]. IEEE Journal of Biomedical and Health Informatics， 2017， 21（1）：4-21.

[2] Shvets A， Rakhlin A， Kalinin A， et al. Automatic Instrument Segmentation in Robot-Assisted Surgery using Deep Learning[C]. International Conference on Machine Learning and Applications， 2018： 624-628.

[3] 圣文順，孫艷文.卷積神經(jīng)網(wǎng)絡(luò)在圖像識(shí)別中的應(yīng)用[J].軟件工程，2019，22（2）：13-16.

[4] Klein G， Kim Y， Deng Y， et al. OpenNMT： Open-Source Toolkit for Neural Machine Translation[C]. Meeting of the Association for Computational Linguistics， 2017： 67-72.

[5] 郭成華.基于KDDCUP99數(shù)據(jù)集的入侵檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（12）：60-63.

[6] Karras T， Laine S， Aila T， et al. A Style-based Generator Architecture for Generative Adversarial Networks[C]. Computer Vision and Pattern Recognition， 2019： 4401-4410.

[7] 李廣創(chuàng)，程良倫.基于深度強(qiáng)化學(xué)習(xí)的機(jī)械臂避障路徑規(guī)劃研究[J].軟件工程，2019，22（3）：12-15.

[8] 滿忠昂，劉紀(jì)敏，孫宗錕.基于局部二值模式與深度置信網(wǎng)絡(luò)的人臉識(shí)別[J].軟件工程，2020，23（5）：13-16.

[9] Tang A， Mhamdi L， Mclernon D， et al. Deep learning approach for Network Intrusion Detection in Software Defined Networking[C]. International Conference on Wireless Networks， 2016： 258-263.

[10] 錢亞冠，盧紅波，紀(jì)守領(lǐng)，等.一種針對(duì)基于SVM入侵檢測系統(tǒng)的毒性攻擊方法[J].電子學(xué)報(bào)，2019，47（1）：59-65.

[11] 潘建國，李豪.基于實(shí)用拜占庭容錯(cuò)的物聯(lián)網(wǎng)入侵檢測方法[J].計(jì)算機(jī)應(yīng)用，2019，39（6）：1742-1746.

[12] 石樂義，朱紅強(qiáng)，劉祎豪，等.基于相關(guān)信息熵和CNN-BiLSTM的工業(yè)控制系統(tǒng)入侵檢測[J].計(jì)算機(jī)研究與發(fā)展，2019，56（11）：2330-2338.

[13] 吳亞麗，李國婷，付玉龍，等.基于自適應(yīng)魯棒性的入侵檢測模型[J].控制與決策，2019（11）：2330-2336.

作者簡介：

馮仁君（1989-），男，碩士，工程師.研究領(lǐng)域：軟件智能化，軟件項(xiàng)目管理，信息安全.

吳 ?吉（1981-），女，學(xué)士，工程師.研究領(lǐng)域：信息安全，計(jì)算機(jī)應(yīng)用.

王震宇（1981-），男，碩士，工程師.研究領(lǐng)域：信息安全，計(jì)算機(jī)應(yīng)用.

景棟盛（1981-），男，碩士，高級(jí)工程師.研究領(lǐng)域：信息安全，軟件智能化.