張波 王斌 呂齊

（國網(wǎng)金華供電公司 浙江省金華市 321000）

在互聯(lián)網(wǎng)時代的發(fā)展下，網(wǎng)絡對人們的生活產(chǎn)生了深刻影響，網(wǎng)民數(shù)量不斷攀升，在互聯(lián)網(wǎng)規(guī)模的擴大下，與之相關的設備、應用數(shù)量也越來越多，對于網(wǎng)絡運行安全的要求也不斷提升，網(wǎng)絡信息安全是當前需要關注的重點問題。隨著互聯(lián)網(wǎng)與生活的結合，在線教育、智慧醫(yī)療、網(wǎng)絡金融中產(chǎn)生了多元化的網(wǎng)絡交互信息，網(wǎng)絡安全的重要性不斷凸顯，各類網(wǎng)絡攻擊對網(wǎng)絡安全造成了不同程度的影響。

近些年來，機器學習與網(wǎng)絡安全領域實現(xiàn)了深度結合，利用機器學習的數(shù)據(jù)學習能力，根據(jù)部署好的模型，能夠幫助監(jiān)管人員分析網(wǎng)絡狀態(tài)是否存在異常，根據(jù)網(wǎng)絡入侵類型來采用相應的規(guī)范措施。深度學習有著良好的自動提取特征能力，可形成模型函數(shù)擬合，能夠區(qū)分出各類正常狀態(tài)數(shù)據(jù)與異常狀態(tài)數(shù)據(jù)，更好的抵御攻擊。

1 入侵檢測系統(tǒng)分析

在互聯(lián)網(wǎng)+時代，網(wǎng)絡信息安全任務變得更加繁重，入侵檢測屬于積極性的安全防護技術，能夠對網(wǎng)絡環(huán)節(jié)進行實時偵測，若存在異常網(wǎng)絡狀態(tài)，可發(fā)出預警與顯示。在目前的現(xiàn)代化網(wǎng)絡安全體系中，入侵檢測技術的作用越來越重要，能夠為計算機系統(tǒng)、網(wǎng)絡提供實時防護。在通用化的入侵檢測系統(tǒng)框架中，包括事務生成器、事務數(shù)據(jù)庫、事務分析器以及響應模塊組成。其中，事務生成器能夠從系統(tǒng)中收集行為信息，將信息傳遞至其他部分；事務數(shù)據(jù)庫是入侵檢測系統(tǒng)的核心，能夠對生成器中的行為信息進行統(tǒng)計、分析，生成分析報告；事務數(shù)據(jù)庫負責信息的存儲，進一步提升了事務分析器的判別能力；響應模塊是響應和處理環(huán)節(jié)，能夠明確不同入侵行為模式的特點，根據(jù)安全條例來采用相應的處理方式。

入侵檢測系統(tǒng)的工作步驟包括：

（1）數(shù)據(jù)的采集：在網(wǎng)絡、計算機中，設置多個偵測節(jié)點，包括軟件實時運行狀態(tài)、計算機內部系統(tǒng)日志、網(wǎng)絡日志、防火墻日志、各類物理入侵行為信息組成。采集到的數(shù)據(jù)類型越豐富，整個系統(tǒng)的運行性能越高。

（2）數(shù)據(jù)的處理：在原始數(shù)據(jù)信息中，有大量的干擾信息，這類信息數(shù)據(jù)量大、維度高，如果直接分析，難度較高，對此，需要提前對數(shù)據(jù)內容進行數(shù)值轉化和預處理。

（3）數(shù)據(jù)的分析：數(shù)據(jù)分析是其中的核心環(huán)節(jié)，關乎檢測效果，因此，需要根據(jù)運行要求來不斷優(yōu)化數(shù)據(jù)分析方案，近年來，各類數(shù)據(jù)挖掘算法、機器學習算法得到了大規(guī)模應用，顯著提升了入侵檢測的效果。

（4）響應處理：根據(jù)分析結果，應用相應措施來處理網(wǎng)絡異常，包括主動響應、被動響應兩種方式，被動響應的時效性、積極性較弱，常見的響應方式有日志記錄、系統(tǒng)警告等，主動響應可通過多種層面積極介入來阻斷網(wǎng)絡入侵問題。

2 深度學習下的網(wǎng)絡異常檢測關鍵技術分析

2.1 常見深度學習模型的應用

傳統(tǒng)的神經(jīng)網(wǎng)絡在算法設計上主要是采用了反向傳播的算法，但是由于其效率低下和容易陷入局部極小狀態(tài)的缺點，導致在遇到復雜數(shù)據(jù)時的運算結果難以達到人們的預期，至此，深度學習算法應運而生，常見的深度學習模型，包括如下幾種類型：

2.1.1 全連接神經(jīng)網(wǎng)絡

全連接神經(jīng)網(wǎng)絡屬于基本神經(jīng)網(wǎng)絡結構，包括輸入層、隱藏層以及輸出層組成（全連接神經(jīng)網(wǎng)絡如圖1 所示），輸入層負責數(shù)據(jù)的收集，隱藏層可以設置為一層，也可設置為多層，各層之間利用權值連接，應用了非線性激活函數(shù)，為網(wǎng)絡賦予了學習任意非線性函數(shù)的能力。應用了全連接神經(jīng)網(wǎng)絡后，可以顯著提升檢測的準確率，相較于以往的機器學習算法，有效優(yōu)化了檢測性能。同時，全連接神經(jīng)網(wǎng)絡增加了各層結點個數(shù)，但是，如果節(jié)點數(shù)和層數(shù)太多，會出現(xiàn)擬合問題，影響泛化能力，容易出現(xiàn)梯度爆炸的問題，因此，在實際操作中，很少使用純全連接神經(jīng)網(wǎng)絡。

2.1.2 卷積神經(jīng)網(wǎng)絡

卷積神經(jīng)網(wǎng)絡是基于全連接神經(jīng)網(wǎng)絡基礎上誕生，具有權值共享、稀疏連接、瀉化功能，空間特征學習能力更強，應用卷積神經(jīng)網(wǎng)絡，可以有效的提取出網(wǎng)絡流量的解空間特征。通過該種方式，做到了端對端加密流量異常檢測，有效減少參數(shù)量，但是，在具體的應用過程中，也存在梯度消失、梯度爆炸問題，為了解決上述問題，可應用殘差網(wǎng)絡來提升網(wǎng)絡深度和圖片識別質量。

2.1.3 循環(huán)神經(jīng)網(wǎng)絡

循環(huán)神經(jīng)網(wǎng)絡能夠利用隱藏狀態(tài)單元，將各類信息傳遞至當前時刻，提取到流量的時序特征， 但是普通循環(huán)神經(jīng)網(wǎng)絡無法滿足長時記憶要求，這就需要應用長短實記憶網(wǎng)絡。在實際的操作中，可以將數(shù)據(jù)包作為“詞匯”與“句子”，應用長短時記憶循環(huán)神經(jīng)網(wǎng)絡來分析網(wǎng)絡時序行為。

2.1.4 生成式對抗網(wǎng)絡

生成式對抗網(wǎng)絡是非常具有發(fā)展?jié)摿Φ纳墒侥Ｐ停ㄅ袆e器、生成器組成，是生成器負責偽造樣本的生成，判別器負責訓練環(huán)節(jié)，通過對模型的對抗、優(yōu)化，達到納什均衡目的。生成對抗網(wǎng)絡有著良好的學習能力，在異常檢測領域中，也具有良好的應用前景。目前，無監(jiān)督學習得到了廣泛使用。

2.1.5 多層感知器

多層感知器十分常見，也被稱為人工神經(jīng)網(wǎng)絡、深度前饋網(wǎng)絡，是頗具代表性的深度網(wǎng)絡模型，在多層感知器的隱藏層中，可根據(jù)具體需求來設置。

2.2 深度學習下的網(wǎng)絡異常檢測關鍵技術

2.2.1 訓練過程

深度學習下的網(wǎng)絡異常檢測關鍵技術應用的是自動學習，有效減少了對人力、時間造成的損耗，考慮到深度神經(jīng)網(wǎng)絡網(wǎng)絡層數(shù)較多，會導致時間復雜性太高，出現(xiàn)嚴重化的欠擬合問題，影響最終效果。對此，可以應用自下而下非監(jiān)督訓練、自上而下監(jiān)督訓練相結合的處理方式。

首先，在深度網(wǎng)絡系統(tǒng)中，輸入沒有標記的數(shù)據(jù)，在參數(shù)訓練完成后，將相關數(shù)據(jù)輸入到下一層，在每一層中，執(zhí)行相同的學習過程，在最后一層的參數(shù)訓練完畢后，結束深度神經(jīng)網(wǎng)絡訓練。在該種非監(jiān)督訓練體系中，可將中間層權重調整成雙向傳遞方式，調整向下傳遞權重，這有效解決了傳統(tǒng)神經(jīng)網(wǎng)絡的擬合問題。

2.2.2 CNN 網(wǎng)絡異常特征學習模型

在云計算、大數(shù)據(jù)的迅速發(fā)展下，深度神經(jīng)網(wǎng)絡成為了發(fā)展熱門，并在多個領域的研究中取得了豐碩成績，在這一方面，需要應用到卷積神經(jīng)網(wǎng)絡。在卷積神經(jīng)網(wǎng)絡中，原本每層神經(jīng)元連接方式發(fā)生了變化，為少數(shù)部分樣本賦予了訓練集本質特征，不需要提前明確輸入和輸出的關系，就能夠得到完整的映射關系，其算法的核心階段包括正向傳播、逆向傳播兩個階段。在正向傳播環(huán)節(jié)中，首先選擇一個測試數(shù)據(jù)，通過第二層計算后，再將結果輸入到第三層，利用層層運算得到輸出值，隨后即可進入逆向傳播。

2.2.3 LeNet-5 網(wǎng)絡異常檢測模型

LeNet-5 網(wǎng)絡異常檢測模型是在CNN 網(wǎng)絡結構基礎上誕生，包括三層組成，即卷積層、采樣層、全連接層，每一層，都有與之相對應的訓練參數(shù)。

2.2.4 SVM 網(wǎng)絡異常檢測分類模型

在訓練學習完畢后，需要對數(shù)據(jù)進行分類，網(wǎng)絡異常行為數(shù)據(jù)集與傳統(tǒng)的圖像數(shù)據(jù)集不同，其類型只有正常、異常兩類。在實際應用中，可應用SVM 分類器對特征數(shù)據(jù)進行輸入訓練，其中的重點在于最優(yōu)超平面的確定。為了發(fā)揮出SVM 分類器的作用，需要科學設置參數(shù)，主要參數(shù)包括懲罰系數(shù)、核函數(shù)兩類，懲罰系數(shù)就是將損耗的設置在目標函數(shù)中，在松弛變量一定的情況下，懲罰系數(shù)越小，對目標的把控越是寬松，懲罰系數(shù)越大，要求就越是嚴格。在參數(shù)的調整上，可采用及基于粒子群算法，通過對群體、個體的合作與數(shù)據(jù)共享，得到最優(yōu)解。

3 結語

在互聯(lián)網(wǎng)時代下，云計算、大數(shù)據(jù)得到了迅速發(fā)展，給人們的生活和生產(chǎn)帶來了更多的便利，也更易受到網(wǎng)絡攻擊影響，當前，網(wǎng)絡攻擊變得更加靈活、復雜，破壞程度也更大，這讓網(wǎng)絡安全的重要性越來越凸顯，網(wǎng)絡異常行為的檢測也成為當前網(wǎng)絡安全的重點防御手段，受到了高度重視。在實際的應用過程中，需要根據(jù)網(wǎng)絡異常檢測要求來合理優(yōu)化技術手段的使用，以此來確保網(wǎng)絡的運行安全性。