李東升，何遠(yuǎn)成，彭 翔，楊 艷，葉毓廷，王先培

(1.國(guó)網(wǎng)湖北省電力有限公司 營(yíng)銷部，湖北 武漢 430000；2.國(guó)網(wǎng)武漢供電公司 營(yíng)銷部，湖北 武漢 430000； 3.湖北華中電力科技開發(fā)有限公司 電力營(yíng)銷業(yè)務(wù)部，湖北 武漢 430077； 4.武漢大學(xué) 電子信息學(xué)院，湖北 武漢 430072)

0 引 言

隨著互聯(lián)網(wǎng)+戰(zhàn)略的提出和移動(dòng)端設(shè)備的不斷更新，各行各業(yè)都在不斷改善服務(wù)系統(tǒng)為客戶帶來(lái)更好的移動(dòng)端服務(wù)體驗(yàn)。在這種潮流下，國(guó)網(wǎng)電力營(yíng)銷公司提出了加速營(yíng)銷移動(dòng)作業(yè)末端融合的方案。目前電力營(yíng)銷移動(dòng)作業(yè)需要相關(guān)人員攜帶手持設(shè)備到達(dá)現(xiàn)場(chǎng)進(jìn)行相關(guān)業(yè)務(wù)操作，相關(guān)人員所需要的業(yè)務(wù)數(shù)據(jù)需要通過(guò)手持設(shè)備連接服務(wù)器進(jìn)行獲取。然而，目前電力營(yíng)銷各個(gè)業(yè)務(wù)之間的服務(wù)器相互獨(dú)立，作業(yè)人員在獲取數(shù)據(jù)時(shí)往往需要輸入多個(gè)用戶密碼，造成了辦事的效率低下，數(shù)據(jù)無(wú)法實(shí)現(xiàn)共享。末端融合項(xiàng)目是為了構(gòu)建統(tǒng)一的電力營(yíng)銷信息化系統(tǒng)，該系統(tǒng)體現(xiàn)為統(tǒng)一的服務(wù)器集群，向下，該集群內(nèi)數(shù)據(jù)可以共享，向上，該集群也可以連接到其它電力系統(tǒng)的服務(wù)端，便于電力企業(yè)對(duì)電力營(yíng)銷系統(tǒng)的統(tǒng)一管理[1]。基于互聯(lián)網(wǎng)的系統(tǒng)開發(fā)就一定要考慮到網(wǎng)絡(luò)開放化所引發(fā)的安全問(wèn)題：移動(dòng)作業(yè)進(jìn)行任務(wù)請(qǐng)求時(shí)，數(shù)據(jù)中心與感知系統(tǒng)之間需要建立大量的通信連接進(jìn)行繁重的通信，在通信過(guò)程中往往會(huì)與多個(gè)網(wǎng)絡(luò)攻擊混合在一起。為了解決這一問(wèn)題往往采用入侵檢測(cè)技術(shù)來(lái)提高網(wǎng)絡(luò)的安全性。

目前，機(jī)器學(xué)習(xí)在入侵檢測(cè)領(lǐng)域獲得了大量應(yīng)用，基本流程是首先人為提取網(wǎng)絡(luò)流量的特征，然后通過(guò)機(jī)器學(xué)習(xí)訓(xùn)練大量的樣本數(shù)據(jù)來(lái)建立專家系統(tǒng)，最后通過(guò)測(cè)試集獲得模型的識(shí)別性能[2]。機(jī)器學(xué)習(xí)不需要對(duì)數(shù)據(jù)流量特征進(jìn)行建模，只需要根據(jù)數(shù)據(jù)集不斷學(xué)習(xí)優(yōu)化現(xiàn)有模型的參數(shù)，就可以得到數(shù)據(jù)流量特征之間的非線性關(guān)系矩陣。因此，適合于解決網(wǎng)絡(luò)流量識(shí)別中的復(fù)雜非線性關(guān)系。大量科研人員對(duì)上述方法做了大量改進(jìn)，并且在入侵檢測(cè)預(yù)測(cè)精度上獲得了巨大的提高[3]。但是，網(wǎng)絡(luò)入侵是攻擊者和防御者的博弈過(guò)程，攻擊者會(huì)了解入侵檢測(cè)模型的訓(xùn)練集所使用的特征，同時(shí)進(jìn)行有針對(duì)性的調(diào)整。因此傳統(tǒng)的入侵檢測(cè)模型擁有一定的弊端。

本文結(jié)合集成學(xué)習(xí)的思想，對(duì)傳統(tǒng)的機(jī)器入侵檢測(cè)模型進(jìn)行改進(jìn)[4]，提出了攻防式CNN入侵檢測(cè)模型。在傳統(tǒng)的機(jī)器學(xué)習(xí)方法上，考慮到人為智力因素的影響，對(duì)攻擊者和防守者的成本和收益進(jìn)行分析，建立斯塔克爾伯格數(shù)學(xué)模型，并且通過(guò)遺傳算法尋找在模型中成本與收益的均衡點(diǎn)，對(duì)入侵檢測(cè)模型做相應(yīng)的調(diào)整，從而提高檢測(cè)精度。在實(shí)驗(yàn)部分，將本文入侵檢測(cè)算法和傳統(tǒng)入侵算法進(jìn)行比較，本文算法在識(shí)別精度上獲得了很好的效果。

1 電力營(yíng)銷系統(tǒng)的容入侵模型

在電力營(yíng)銷系統(tǒng)開放和復(fù)雜的網(wǎng)絡(luò)服務(wù)環(huán)境中，通常不能完全避免網(wǎng)絡(luò)攻擊。當(dāng)系統(tǒng)處于開放復(fù)雜的網(wǎng)絡(luò)環(huán)境時(shí)，其面對(duì)網(wǎng)絡(luò)攻擊的可能性大大提高。如何保證系統(tǒng)能夠識(shí)別網(wǎng)絡(luò)攻擊并且能夠生存下來(lái)，繼續(xù)為合法用戶提供服務(wù)就是容入侵系統(tǒng)設(shè)計(jì)的目標(biāo)。容入侵技術(shù)是針對(duì)系統(tǒng)開放式網(wǎng)絡(luò)服務(wù)而提出的一種處理入侵問(wèn)題的方法，并以入侵檢測(cè)系(IDS)作為該方法的觸發(fā)器，保證系統(tǒng)在收到外界入侵攻擊時(shí)仍能夠?yàn)橛脩籼峁┛煽堪踩木W(wǎng)絡(luò)服務(wù)[5]。如圖1所示，入侵容忍過(guò)程如下。

圖1 電力營(yíng)銷系統(tǒng)的容入侵模型

從圖1中可以看出，入侵檢測(cè)模塊能夠屏蔽掉大多數(shù)的入侵，只有少數(shù)入侵能夠進(jìn)入主控機(jī)組管理模塊。主控機(jī)組管理模塊通過(guò)入侵檢測(cè)技術(shù)和狀態(tài)轉(zhuǎn)移管理，對(duì)被發(fā)現(xiàn)有入侵的主控機(jī)進(jìn)行隔離，實(shí)現(xiàn)一次容入侵處理，只有極少數(shù)入侵能夠通過(guò)安全漏洞并產(chǎn)生非崩潰式錯(cuò)誤輸出。最后，通過(guò)表決處理模塊，實(shí)現(xiàn)對(duì)非崩潰式錯(cuò)誤輸出結(jié)果的容入侵處理，最終實(shí)現(xiàn)入侵完全被容忍。因此，良好的入侵檢測(cè)模塊可以防御住大部分來(lái)自網(wǎng)絡(luò)的入侵攻擊，大大增加系統(tǒng)的安全性。

2 卷積神經(jīng)網(wǎng)絡(luò)

目前，已有大量學(xué)者開展了基于深度學(xué)習(xí)的入侵檢測(cè)方法。Shone等使用多層非對(duì)稱深度自編碼器(SNDAE)進(jìn)行了非監(jiān)督特征學(xué)習(xí)，并結(jié)合隨機(jī)森林(RF)算法進(jìn)行入侵檢測(cè)[6]；Kim等使用深度神經(jīng)網(wǎng)絡(luò)(DNN)，來(lái)檢測(cè)高級(jí)持續(xù)性威脅(APT)，在DNN中引入RELU激活函數(shù)在保證每層網(wǎng)絡(luò)非線性關(guān)系的同時(shí)降低網(wǎng)絡(luò)的稀疏性，緩解了模型過(guò)擬合問(wèn)題；Javaid等構(gòu)建了STL入侵檢測(cè)方法，該方法在數(shù)據(jù)預(yù)處理中采用稀疏自編碼器，在識(shí)別精度上得到了不錯(cuò)的提升[7]。Dong等將基于淺層神經(jīng)網(wǎng)絡(luò)和基于深層神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)進(jìn)行了對(duì)比，發(fā)現(xiàn)基于深層的入侵檢測(cè)技術(shù)在多個(gè)識(shí)別指標(biāo)上都取得了更好的結(jié)果[8]。

本文采用計(jì)算機(jī)視覺領(lǐng)域常用的卷積神經(jīng)網(wǎng)絡(luò)(CNN)算法，卷積神經(jīng)網(wǎng)絡(luò)是近年來(lái)發(fā)展起來(lái)，它一開始是為了解決復(fù)雜的圖像識(shí)別，后來(lái)相關(guān)人員將卷積神經(jīng)網(wǎng)絡(luò)應(yīng)用在語(yǔ)言識(shí)別方面上，取得了不錯(cuò)的成果?，F(xiàn)在CNN已經(jīng)成為許多數(shù)據(jù)識(shí)別領(lǐng)域的研究熱點(diǎn)之一，為了避免傳統(tǒng)分類算法中復(fù)雜的數(shù)據(jù)前期處理和繁多的網(wǎng)絡(luò)模型權(quán)重?cái)?shù)量，CNN設(shè)計(jì)的卷積網(wǎng)絡(luò)層用于識(shí)別二維形狀，結(jié)合能夠提取出各種特征的通用卷積核，可以對(duì)二維圖像中的各種抽象特征進(jìn)行提取[9]。CNN結(jié)構(gòu)如圖2所示。

圖2 卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)

如圖2所示，卷積神經(jīng)網(wǎng)絡(luò)包括多個(gè)數(shù)據(jù)處理層，每層在識(shí)別過(guò)程中分別承擔(dān)著不同的功能。深度卷積網(wǎng)絡(luò)的卷積層、池化層和全連接層的個(gè)數(shù)一般大于1個(gè)，著名的LetNet5卷積模型共7層，其中包括了3個(gè)卷積層[10]：第1層卷積層用于提取低層次的簡(jiǎn)單特征即邊緣特征，第2層卷積層，將簡(jiǎn)單特征組合成復(fù)雜一點(diǎn)的特征，第3層，將第2層的特征組合起來(lái)得到更加準(zhǔn)確的識(shí)別效果。

3 攻防式CNN入侵檢測(cè)模型

使用機(jī)器學(xué)習(xí)算法進(jìn)行入侵檢測(cè)時(shí)通常結(jié)合集成學(xué)習(xí)方法來(lái)提高泛化性能[11]。因此本文根據(jù)這個(gè)思想提出了基分類器的概念。網(wǎng)絡(luò)中，各種實(shí)時(shí)的數(shù)據(jù)流量特征是在不斷變化的，這種變化對(duì)于僅有單分類器的入侵檢測(cè)模型而言，會(huì)對(duì)識(shí)別精度產(chǎn)生不可預(yù)測(cè)的影響。為消除這種影響，我們?yōu)槊總€(gè)網(wǎng)絡(luò)流量特征都訓(xùn)練一個(gè)基本分類器。本文定義基分類器為：將數(shù)據(jù)集的每條網(wǎng)絡(luò)流量去除一個(gè)特征，將余下的特征輸入到CNN模型中，得到的多個(gè)分類器，表示為C=(c1，c2,…,ci，…，cn)，其中ci代表將數(shù)據(jù)集中的第i個(gè)特征去除后訓(xùn)練得到的分類器。我們定義yi為基分類器ci的權(quán)重，該權(quán)重表示每個(gè)特征對(duì)入侵檢測(cè)系統(tǒng)識(shí)別精度的影響程度。最后通過(guò)權(quán)重矩陣Y=(y1，y2,…,yi，…，yn)對(duì)所有基分類器的結(jié)果做進(jìn)一步處理。具體流程如圖3所示。

圖3 攻防式CNN模型流程

攻防式CNN入侵檢測(cè)模型流程如圖3所示，其中，數(shù)據(jù)預(yù)處理模塊是對(duì)數(shù)據(jù)集進(jìn)行特征提取，特征提取完成后需要對(duì)數(shù)據(jù)進(jìn)行歸一化和標(biāo)準(zhǔn)化的處理，保證量綱不對(duì)識(shí)別精度產(chǎn)生影響。圖3中的CNN模型采用深層網(wǎng)絡(luò)檢測(cè)的數(shù)據(jù)集進(jìn)行分析，從而獲得識(shí)別率較好的基分類器。

假設(shè)機(jī)器學(xué)習(xí)使用網(wǎng)絡(luò)流量集所選取的特征數(shù)量為n，定義θ為數(shù)據(jù)流量的數(shù)據(jù)集，對(duì)于每一條流量數(shù)據(jù)S∈θ。我們把每條網(wǎng)絡(luò)流量數(shù)據(jù)寫成一維矩陣模式，形式如下：S=(x1,x2,…,xi,…,xn)，其中xi是網(wǎng)絡(luò)流量的第i個(gè)特征。

基分類器定義后，接著建立斯塔克爾伯格模型。該模型用于在入侵檢測(cè)中攻防雙方博弈中找到均衡解。模型主要依據(jù)的是，在入侵檢測(cè)的博弈的過(guò)程中，攻擊方如果想要通過(guò)檢測(cè)，會(huì)對(duì)數(shù)據(jù)流量特征做適當(dāng)?shù)母模环烙饺绻胍R(shí)別出攻擊方的更改的流量數(shù)據(jù)則需要對(duì)訓(xùn)練好的機(jī)器學(xué)習(xí)模型進(jìn)行權(quán)重調(diào)整。模型的建立分為下面3個(gè)部分。

3.1 攻擊方模型

建立攻擊方模型就是得到攻擊方的成本和收益的函數(shù)表達(dá)。攻擊者為了使自己的網(wǎng)絡(luò)流量不被分類為異常攻擊，需要對(duì)網(wǎng)絡(luò)流量的特征做出更改，網(wǎng)絡(luò)流量特征值的改變同時(shí)會(huì)影響入侵攻擊的效果。例如：KDD-99數(shù)據(jù)集中的serror_rate特征表示2 s內(nèi)，出現(xiàn)“SYN”錯(cuò)誤連接的百分比，如果減少該特征的值，攻擊者的Dos攻擊可能通過(guò)檢測(cè)但入侵效果會(huì)大大降低。因此，在此基礎(chǔ)上，我們定義攻擊方的攻擊成本costa為數(shù)據(jù)S的n個(gè)特征值變化的平均值，即

(1)

上述公式只是對(duì)于已經(jīng)歸一化處理過(guò)的數(shù)據(jù)的計(jì)算方法，但是對(duì)于很多網(wǎng)絡(luò)數(shù)據(jù)并沒有歸一化，從而對(duì)識(shí)別精度造成很大影響。因此本文選擇離差標(biāo)準(zhǔn)化法，對(duì)攻擊成本做進(jìn)一步描述：攻擊方將網(wǎng)絡(luò)流量S=(x1，x2,…,xi，…，xn)的第i個(gè)特征xi的特征值進(jìn)行改變，定義特征值的改變量為Δxi。定義

ximin

(2)

式中：ximin與ximax分別為網(wǎng)絡(luò)流量的第i個(gè)特征在樣本集合θ中的最小值和最大值。則該特征的改變量范圍為

ximin-xi<Δxi

(3)

按照離差標(biāo)準(zhǔn)化將Δxi歸一化可得

(4)

最終得到歸一化后所定義的攻擊成本為

(5)

雖然攻擊方改變網(wǎng)絡(luò)流量的特征值會(huì)削弱攻擊強(qiáng)度，但同時(shí)被檢測(cè)方檢測(cè)到的概率也降低了，即防御方將攻擊方修改后的網(wǎng)絡(luò)流量分類為正常流量的可能性增加。本文對(duì)攻擊方的收益做如下定義

profita=P(C(x+Δx,w))

(6)

式中：profita為攻擊方收益，P為防御方的基分類器識(shí)別修改后數(shù)據(jù)流量的概率，這個(gè)概率與防御方的基分類器的分類結(jié)果(0或1)有關(guān)。C(x+Δx,w)表示基分類器的結(jié)果，這個(gè)結(jié)果與訓(xùn)練樣本特征值x和分類模型得到的權(quán)重矩陣w有關(guān)。

3.2 防御方模型

在入侵檢測(cè)系統(tǒng)整個(gè)博弈過(guò)程中，防御方需要對(duì)每條數(shù)據(jù)進(jìn)行動(dòng)作，該動(dòng)作的目標(biāo)是修改不同基分類器的權(quán)重Y，使分類效果達(dá)到最佳。和攻擊方一樣，這個(gè)動(dòng)作跟兩個(gè)因素有關(guān)：防御方的成本和防御方的收益。我們分析由于修改特征權(quán)重幾乎不耗費(fèi)任何資源，所以定義防御方成本為0。即

costb(Δx)=0

(7)

防御方通常會(huì)使用某種常用的分類指標(biāo)來(lái)查看模型的分類效果，從而評(píng)判某個(gè)模型的好壞。我們定義當(dāng)樣本里的所有特征都存在所獲得的分類器為C的分類指標(biāo)為I(C(x+Δx,w))。像3.1節(jié)所論述的，樣本S具有n個(gè)特征，我們分別去除樣本的第i個(gè)特征，得到n個(gè)基分類器，此時(shí)去除第i個(gè)特征獲得的Ci基分類器的分類指標(biāo)為I(Ci(x+Δx,w))，此時(shí)可以得到第i個(gè)基分類器的分類指標(biāo)的差異ΔIi

ΔIi=I(C(x,w))-I(Ci(x,w))

(8)

式中：ΔIi的值大小與第i特征對(duì)分類效果的影響有關(guān)。因此，本文定義防御方的收益為

(9)

含義是防御方得到的權(quán)重與這組分類指標(biāo)差異的相關(guān)系數(shù)為防御方的收益。

3.3 斯塔克爾伯格博弈模型

攻防雙方都是想要以最小的成本來(lái)得到最多的收益，經(jīng)過(guò)以上對(duì)攻防雙方博弈過(guò)程的分析，我們得到了多個(gè)函數(shù)表達(dá)。因此，我們組合得到攻擊方對(duì)每個(gè)網(wǎng)絡(luò)流量的優(yōu)化目標(biāo)為

(10)

同樣，防御方對(duì)每個(gè)樣本的優(yōu)化目標(biāo)為

(11)

在網(wǎng)絡(luò)入侵的過(guò)程中，通常是攻擊者首先發(fā)送攻擊的數(shù)據(jù)流量，然后防御者調(diào)整基分類器的權(quán)重而執(zhí)行相應(yīng)的防御動(dòng)作，然后攻擊者繼續(xù)更改策略進(jìn)行攻擊，防御方繼續(xù)做出響應(yīng)動(dòng)作，這是一個(gè)相互博弈的過(guò)程。本文是攻擊方先動(dòng)，防御方隨其動(dòng)，攻擊方更改策略動(dòng)作描述為Δxi，防御方響應(yīng)動(dòng)作描述為ΔY，即攻擊方修改網(wǎng)絡(luò)流量特值，防御方修改基分類器權(quán)重。建立斯塔克爾伯格模型的數(shù)學(xué)模型如下

(12)

模型建立完成后，對(duì)于上述復(fù)雜的非線性模型，本文選擇遺傳算法尋找上述模型的最優(yōu)解Y。

4 實(shí)驗(yàn)與分析

4.1 實(shí)驗(yàn)數(shù)據(jù)集

本文選擇NSL-KDD數(shù)據(jù)集，該數(shù)據(jù)集針對(duì)KDD99數(shù)據(jù)集固有問(wèn)題做了改進(jìn)。包括：刪除了冗余記錄和重復(fù)記錄，保證分類器不會(huì)偏向于更頻繁的記錄；訓(xùn)練集和測(cè)試集中各個(gè)類型的數(shù)據(jù)數(shù)量設(shè)計(jì)更加合理，保證了不同的機(jī)器學(xué)習(xí)方法的分辨率在更寬的范圍內(nèi)變化。盡管NSL-KDD數(shù)據(jù)集還是擁有一些問(wèn)題，但它仍然是有效的基準(zhǔn)數(shù)據(jù)集，被大量研究人員使用，并取得了良好的效果。NSL-KDD數(shù)據(jù)集具體見表1。

表1 NSL-KDD數(shù)據(jù)集

NSL-KDD數(shù)據(jù)集將異常數(shù)據(jù)分為4類，可以對(duì)該數(shù)據(jù)集進(jìn)行五分類：Dos，Probe，R2L，U2R，正常。在多篇文獻(xiàn)中都對(duì)該數(shù)據(jù)集的五分類和二分類問(wèn)題做了對(duì)比，結(jié)果顯示CNN模型對(duì)于二分類問(wèn)題有更好的識(shí)別效果。本文的入侵檢測(cè)采用二分類，只將數(shù)據(jù)分為正常和異常兩種。

NSL-KDD數(shù)據(jù)集的每條流量記錄擁有41個(gè)特征，其中包含38個(gè)數(shù)字表示的特征和3個(gè)字符串表示的特征，對(duì)于這些特征需要分別進(jìn)行預(yù)處理。

(1)符號(hào)型特征數(shù)值化

采用one-hot編碼，將源文件行中3種協(xié)議類型轉(zhuǎn)換成數(shù)字1，2，3；將源文件行中70種網(wǎng)絡(luò)服務(wù)類型轉(zhuǎn)換成數(shù)字1到70；將源文件行中11種網(wǎng)絡(luò)連接狀態(tài)轉(zhuǎn)換成數(shù)字1到11；將源文件行中23種網(wǎng)絡(luò)攻擊轉(zhuǎn)換成數(shù)字1到23。

(2)數(shù)值型特征歸一化

本文歸一化的思想是計(jì)算其每個(gè)樣本的p-范數(shù)，然后對(duì)該樣本中每個(gè)特征元素除以該范數(shù)，處理數(shù)據(jù)的目的是使得每個(gè)處理后樣本的p-范數(shù)等1。

4.2 對(duì)抗式CNN模型參數(shù)選擇

本文使用的識(shí)別分類方法是基于卷積神經(jīng)網(wǎng)絡(luò)模型，因此，本文搭建的卷積神經(jīng)網(wǎng)絡(luò)模型如下：網(wǎng)絡(luò)總共有6層，包括輸入層、2個(gè)卷積層，卷積層使用的卷積核都是選擇3×3的矩陣、單個(gè)Max池化層、單個(gè)全連接層、輸出層。卷積神經(jīng)網(wǎng)絡(luò)處理數(shù)據(jù)的過(guò)程如下：輸入層輸入的數(shù)據(jù)統(tǒng)一為一個(gè)7×7的二維矩陣，分別經(jīng)過(guò)2層卷積和1層池化后，提取得到23維的抽象特征向量，最后在輸出層通過(guò)softmax分類器進(jìn)行分類。同時(shí)在模型建立過(guò)程中，添加了優(yōu)化措施：為解決過(guò)擬合問(wèn)題，并減小錯(cuò)誤率，一種有效的方式是在網(wǎng)絡(luò)的各層中加入Dropout，本文對(duì)全連接層連接一個(gè)p=0.5的Dropout層，除了輸出層之外，其余各層激活函數(shù)均為ReLU。

CNN模型建立完成后，需要對(duì)基分類器的分類指標(biāo)做一個(gè)選擇，從而確定防御方的目標(biāo)優(yōu)化函數(shù)，常用的機(jī)器學(xué)習(xí)分類指標(biāo)為

(13)

(14)

(15)

(16)

(17)

其中，TP表示預(yù)測(cè)為正常，實(shí)際為異常的數(shù)據(jù)；TN表示預(yù)測(cè)為異常，實(shí)際為異常的數(shù)據(jù)；FP表示預(yù)測(cè)為正常，實(shí)際為異常的數(shù)據(jù)；FN表示預(yù)測(cè)為異常，實(shí)際為正常的數(shù)據(jù)。

本文模型中選擇假正例率(TPR)作為基分類器的分類指標(biāo)，則防御方目標(biāo)優(yōu)化函數(shù)可以寫成

(18)

4.3 遺傳算法求解

本文采用遺傳算法來(lái)求解斯塔克爾伯格數(shù)學(xué)模型的最優(yōu)解，攻擊方目標(biāo)優(yōu)化函數(shù)為上層函數(shù)，防御方目標(biāo)優(yōu)化函數(shù)為下層函數(shù)。遺傳算法執(zhí)行步驟為首先需要得到初始化Y種群，對(duì)初始種群帶入限制條件進(jìn)行判斷，不符合時(shí)重新選擇初始種群；符合時(shí)依次將初始群中個(gè)體代入下層函數(shù)，用遺傳算法求解下層優(yōu)化[12]，找出每個(gè)種群中的最優(yōu)個(gè)體Y*，然后再用遺傳算法將Y*代回上層優(yōu)函數(shù)，求解上層優(yōu)化。遺傳算法流程如圖4所示。

圖4 遺傳算法流程

4.4 實(shí)驗(yàn)結(jié)果與對(duì)比

經(jīng)過(guò)以上分析后，我們建立了攻防式CNN模型，為驗(yàn)證所提方法的有效性，數(shù)據(jù)處理與4.1節(jié)基本一致。在數(shù)據(jù)預(yù)處理階段，先對(duì)數(shù)據(jù)集中的3個(gè)文本特征數(shù)值化(每個(gè)文本特征轉(zhuǎn)換為相應(yīng)的整數(shù)值)，然后將41個(gè)特征的數(shù)據(jù)樣本擴(kuò)展為49個(gè)，進(jìn)而轉(zhuǎn)換為7×7的二維數(shù)據(jù)。將訓(xùn)練數(shù)據(jù)中80%作為訓(xùn)練集，20%作為驗(yàn)證集。共進(jìn)行300次迭代訓(xùn)練。訓(xùn)練完成后使用測(cè)試集進(jìn)行測(cè)試。實(shí)驗(yàn)結(jié)果見表2。

表2 權(quán)重調(diào)整實(shí)驗(yàn)結(jié)果

由表2中可以看出，當(dāng)攻擊方調(diào)整網(wǎng)絡(luò)流量特征值時(shí)，防御方未調(diào)整防御策略與防御方調(diào)整策略相比，調(diào)整后的模型分類指標(biāo)有了顯著的提升，由此可以看出，對(duì)抗式斯塔克爾伯格數(shù)學(xué)模型在提高入侵檢測(cè)的檢測(cè)能力上有很好的效果。

由于文獻(xiàn)[15]中的dNN算法也是對(duì)CNN算法進(jìn)行改進(jìn)，并且在多個(gè)識(shí)別指標(biāo)上都獲得了提升，因此本文選擇dCNN算法進(jìn)行二分類問(wèn)題實(shí)驗(yàn)結(jié)果的比較。實(shí)驗(yàn)使用英特爾i7-4510U處理器，采用16 GB的內(nèi)存，加裝GEForce840M的顯卡，在Spyder的環(huán)境下運(yùn)行。我們選取多個(gè)分類指標(biāo)，分別統(tǒng)計(jì)得到的結(jié)果見表3。

表3 實(shí)驗(yàn)結(jié)果

從表3實(shí)驗(yàn)結(jié)果可以看出，與dCNN算法相比，攻防式CNN算法在多個(gè)識(shí)別指標(biāo)上都有所提高。

由于NSL-KDD的測(cè)試集中的數(shù)據(jù)流量有部分是測(cè)試集中沒有的攻擊類型。而在測(cè)試集上，攻防式CNN模型精確率能達(dá)到100%，并且其它指標(biāo)與訓(xùn)練集的差距小于dCNN模型。這表明本文方法對(duì)于攻擊方修改后攻擊類型有很好的檢測(cè)能力。

5 結(jié)束語(yǔ)

本文針對(duì)目前電力營(yíng)銷系統(tǒng)升級(jí)過(guò)程中存在的網(wǎng)絡(luò)安全問(wèn)題提出了攻防式CNN入侵檢測(cè)模型。該模型首先提出基分類器的概念，通過(guò)CNN模型建立的多個(gè)基分類器，并對(duì)入侵檢測(cè)攻防雙方成本與收益進(jìn)行分析，建立斯塔克爾伯格博弈模型，最后使用遺傳算法求解出最優(yōu)的基分類器權(quán)重Y。實(shí)驗(yàn)選定多個(gè)參數(shù)，搭建了實(shí)際的入侵檢測(cè)模型，利用NSL-KDD數(shù)據(jù)集上對(duì)本方法進(jìn)行了實(shí)驗(yàn)。從實(shí)驗(yàn)結(jié)果來(lái)看，當(dāng)實(shí)時(shí)的網(wǎng)絡(luò)流量特征值發(fā)生變化時(shí)，防御方根據(jù)遺傳算法求得的最優(yōu)權(quán)重調(diào)整防御策略后，檢測(cè)性能有了明顯的提升。其次，基于對(duì)抗式CNN的入侵檢測(cè)模型在多個(gè)指分類標(biāo)上優(yōu)于傳統(tǒng)的STL分類模型，從而驗(yàn)證了本方法的有效性。