徐洪平，馬澤文，易 航

（北京宇航系統(tǒng)工程研究所，北京 100076）

0 引言

隨著全球新一輪信息科技革命和產(chǎn)業(yè)變革，網(wǎng)絡(luò)空間和現(xiàn)實(shí)世界越來越深地融合在一起，網(wǎng)絡(luò)空間已經(jīng)成為繼領(lǐng)土、領(lǐng)海、領(lǐng)空和太空之后的“第五疆域”，確保我國的網(wǎng)絡(luò)空間安全具有重大的戰(zhàn)略意義。近年來，中國航天取得了舉世矚目的成就，各型號(hào)運(yùn)載火箭相繼實(shí)驗(yàn)成功并正式投入使用。同時(shí)，我國各型號(hào)運(yùn)載火箭信息化程度越來越高，指令信息發(fā)布傳遞、火箭測試發(fā)射控制等功能日趨自動(dòng)化。隨著運(yùn)載火箭測發(fā)網(wǎng)絡(luò)功能的拓展，其網(wǎng)絡(luò)規(guī)模越來越大、結(jié)構(gòu)越來越復(fù)雜。為了便于實(shí)驗(yàn)人員操作，在測發(fā)網(wǎng)絡(luò)內(nèi)部也增加了類似于互聯(lián)網(wǎng)中服務(wù)器和客戶端間通信的應(yīng)用模式［1］，運(yùn)載火箭測發(fā)網(wǎng)絡(luò)的常見網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1 所示。測發(fā)網(wǎng)絡(luò)前后端之間，以及雙端的各個(gè)分系統(tǒng)設(shè)備之間都通過核心交換機(jī)進(jìn)行數(shù)據(jù)傳遞。除了上述特點(diǎn)以外，遠(yuǎn)距離、長時(shí)間測試通信等眾多新功能使得運(yùn)載火箭測發(fā)網(wǎng)絡(luò)可能存在的安全漏洞越來越多，所面臨的網(wǎng)絡(luò)安全威脅也越來越嚴(yán)重。

圖1 運(yùn)載火箭測發(fā)網(wǎng)絡(luò)拓?fù)銯ig.1 Topological diagram of the measurement and control network for launch vehicles

反觀當(dāng)前運(yùn)載火箭測發(fā)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀，主要依賴于物理隔離策略［2］和傳統(tǒng)的入侵檢測技術(shù)［3-4］。盡管目前我國各型號(hào)運(yùn)載火箭測發(fā)網(wǎng)絡(luò)是與互聯(lián)網(wǎng)等外界網(wǎng)絡(luò)完全物理隔離的網(wǎng)絡(luò)，但這并不代表其處于一個(gè)完全安全的環(huán)境。完全物理隔離網(wǎng)絡(luò)仍然面臨人為病毒帶入和側(cè)信道攻擊等安全威脅，在測發(fā)網(wǎng)絡(luò)系統(tǒng)的全壽命周期內(nèi)，部分子系統(tǒng)設(shè)備的返廠檢修、非法接入等問題也會(huì)給整個(gè)網(wǎng)絡(luò)系統(tǒng)帶來巨大的安全隱患。而傳統(tǒng)入侵檢測的主要特點(diǎn)是通過異常特征庫匹配的方式對(duì)網(wǎng)絡(luò)中的異常流量進(jìn)行檢測，如果異常特征庫不能及時(shí)升級(jí)和更新，系統(tǒng)不能及時(shí)安裝補(bǔ)丁，則在面對(duì)一些異常特征庫中沒有出現(xiàn)過的新型攻擊時(shí)將嚴(yán)重缺乏有效的檢測能力。相較于互聯(lián)網(wǎng)或其他普通局域網(wǎng)，運(yùn)載火箭測發(fā)網(wǎng)絡(luò)作為極其重要的國防基礎(chǔ)設(shè)施，對(duì)網(wǎng)絡(luò)安全有著極高的要求。然而其面臨的攻擊威脅很可能是針對(duì)性極強(qiáng)、有組織性、隱蔽性極強(qiáng)的未知威脅或新型攻擊，當(dāng)前的安全防護(hù)和異常檢測手段已然無法滿足應(yīng)用需求，運(yùn)載火箭型號(hào)承載的重大國家戰(zhàn)略意義也決定了其不能接受安全問題發(fā)生后的“事后補(bǔ)救”。在這樣的現(xiàn)實(shí)背景下，針對(duì)我國的運(yùn)載火箭測發(fā)網(wǎng)絡(luò)系統(tǒng)，亟須研究一種不依賴于異常特征庫匹配的網(wǎng)絡(luò)流量異常檢測方法，除了對(duì)針對(duì)服務(wù)器的拒絕服務(wù)攻擊、針對(duì)客戶端的身份驗(yàn)證攻擊或針對(duì)數(shù)據(jù)庫的SQL 注入攻擊等已知的常見網(wǎng)絡(luò)攻擊進(jìn)行全面檢測外，還應(yīng)該具備一定的能夠發(fā)現(xiàn)未知網(wǎng)絡(luò)攻擊的能力，以緩解測發(fā)網(wǎng)絡(luò)系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅。

近年來，基于經(jīng)典機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)流量分類方法已經(jīng)成為進(jìn)行網(wǎng)絡(luò)流量異常檢測的主流方法之一［5］。使用經(jīng)典機(jī)器學(xué)習(xí)方法解決網(wǎng)絡(luò)流量異常檢測問題，需要設(shè)計(jì)包含多種網(wǎng)絡(luò)流量統(tǒng)計(jì)特征對(duì)網(wǎng)絡(luò)流量樣本進(jìn)行描述和表示，使用統(tǒng)計(jì)特征進(jìn)行檢測能夠擺脫基于異常特征庫匹配方法進(jìn)行異常檢測的限制，并對(duì)未知攻擊有一定的檢測能力。但是這種方法的檢測效果在很大程度上取決于網(wǎng)絡(luò)流量特征集的設(shè)計(jì)，而設(shè)計(jì)合適的網(wǎng)絡(luò)流量特征集仍然是一個(gè)很難解決的問題［6-7］，特別是針對(duì)運(yùn)載火箭測發(fā)網(wǎng)絡(luò)，缺乏相關(guān)網(wǎng)絡(luò)流量特征選擇方面的研究。

為了克服基于異常特征庫匹配的檢測方式的固有缺陷以及經(jīng)典機(jī)器學(xué)習(xí)方法需要設(shè)計(jì)合適的特征集的困境，首先，針對(duì)測發(fā)網(wǎng)絡(luò)的實(shí)際特點(diǎn)，提出一種不同顆粒度的測發(fā)網(wǎng)絡(luò)流量樣本生成方法；其次，使用深度學(xué)習(xí)中的卷積神經(jīng)網(wǎng)絡(luò)，將生成的不同顆粒度的測發(fā)網(wǎng)絡(luò)流量樣本作為輸入，依靠卷積神經(jīng)網(wǎng)絡(luò)自動(dòng)提取特征對(duì)測發(fā)網(wǎng)絡(luò)流量進(jìn)行表征，進(jìn)而對(duì)正常/異常的網(wǎng)絡(luò)流量進(jìn)行分類；最后，通過搜集某型號(hào)運(yùn)載火箭測發(fā)網(wǎng)絡(luò)實(shí)驗(yàn)時(shí)生成的真實(shí)流量數(shù)據(jù)，設(shè)計(jì)實(shí)驗(yàn)驗(yàn)證該方法具有較好的檢測效果。

1 運(yùn)載火箭測發(fā)網(wǎng)絡(luò)流量異常檢測

1.1 相關(guān)工作

如前文所述，使用經(jīng)典機(jī)器學(xué)習(xí)方法對(duì)網(wǎng)絡(luò)流量進(jìn)行分類從而實(shí)現(xiàn)異常檢測，已經(jīng)成為該領(lǐng)域的主流研究方向之一。迄今為止，研究者們提出了很多的流量特征。MOORE 等［8］使用樸素貝葉斯方法訓(xùn)練機(jī)器學(xué)習(xí)模型對(duì)流量進(jìn)行分類，共使用了248 種特征對(duì)流量進(jìn)行描述；經(jīng)典的KDD99 網(wǎng)絡(luò)流量數(shù)據(jù)集中含有41 種流量特征，而較新的CICIDS-2017 數(shù)據(jù)集則包含數(shù)據(jù)包大小、數(shù)據(jù)包間隔時(shí)間、標(biāo)志位是否置位等80 項(xiàng)流量特征［9］；而在之前針對(duì)運(yùn)載火箭測發(fā)網(wǎng)絡(luò)的流量異常檢測研究中，XU 等［1］利用混合策略算法，設(shè)計(jì)20 種特征對(duì)網(wǎng)絡(luò)流量進(jìn)行描述，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的異常檢測。雖然上述研究在一些特定的網(wǎng)絡(luò)流量數(shù)據(jù)集上取得了較好的檢測效果，但是一旦選出的特征對(duì)于某些異常流量的區(qū)分度不好，其檢測結(jié)果就會(huì)大打折扣，如何針對(duì)各個(gè)型號(hào)運(yùn)載火箭測發(fā)網(wǎng)絡(luò)選擇最合適的特征集仍是一個(gè)很難解決的問題。

近年來，隨著深度學(xué)習(xí)中的卷積神經(jīng)網(wǎng)絡(luò)在圖像識(shí)別、圖像分類等方面取得巨大成功，研究者開始使用卷積神經(jīng)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)流量進(jìn)行異常檢測［6，10-12］。使用深度學(xué)習(xí)中的卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行流量異常檢測可以直接從原始網(wǎng)絡(luò)流量中提取特征，從而避免了人工特征選擇困難的問題。相關(guān)的典型研究包括：WANG 等［6］構(gòu)建USTC-TFC2016 數(shù)據(jù)集，使用類似經(jīng)典LeNet-5［13］的卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，將原始網(wǎng)絡(luò)流量數(shù)據(jù)作為輸入，取得了非常高的檢測精度；為了解決深度學(xué)習(xí)容易出現(xiàn)的過擬合問題，HANG 等［11］提出了一種改進(jìn)的一維卷積神經(jīng)網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的訓(xùn)練參數(shù)，在保證檢測精度的同時(shí)，減少了訓(xùn)練時(shí)間，避免過擬合的發(fā)生；ZHANG 等［12］使用卷積神經(jīng)網(wǎng)絡(luò)對(duì)工業(yè)控制網(wǎng)絡(luò)流量進(jìn)行異常檢測，得到了97.88%的檢測精度。上述使用卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行流量異常檢測的研究有一個(gè)共同點(diǎn)，即均將“網(wǎng)絡(luò)流”［5］作為流量樣本劃分的標(biāo)準(zhǔn)，但是這種樣本劃分對(duì)以用戶數(shù)據(jù)報(bào)協(xié)議（User Datagram Protocol，UDP）數(shù)據(jù)為主的運(yùn)載火箭測發(fā)網(wǎng)絡(luò)流量數(shù)據(jù)并不合適，會(huì)造成數(shù)據(jù)量小、檢測效果差等問題。

綜合以上分析，有理由推測在運(yùn)載火箭測發(fā)網(wǎng)絡(luò)背景下，對(duì)流量數(shù)據(jù)提出合理的樣本劃分方法后，充分利用卷積神經(jīng)網(wǎng)絡(luò)的特征提取能力，可以避免人工設(shè)計(jì)特征集的問題，取得較好的檢測效果。

1.2 不同顆粒度的測發(fā)網(wǎng)絡(luò)流量樣本生成方法

基于深度學(xué)習(xí)的網(wǎng)絡(luò)流量異常檢測方法，首先需要按照一定的顆粒度將連續(xù)的網(wǎng)絡(luò)流量切分為多個(gè)離散單元，每個(gè)離散單元作為深度學(xué)習(xí)輸入的一個(gè)樣本進(jìn)行異常檢測。在以往的研究中，大部分研究均以五元組（源IP 地址、目的IP 地址、源端口、目的端口、傳輸層協(xié)議）對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行劃分，將屬于同一五元組的數(shù)據(jù)包劃為一類，之后再根據(jù)這些數(shù)據(jù)包是否屬于同一個(gè)連接進(jìn)行樣本劃分，傳輸控制協(xié)議（Transmission Control Protocol，TCP）網(wǎng)絡(luò)流生成如圖2 所示。

圖2 TCP 網(wǎng)絡(luò)流生成Fig.2 Schematic diagram of the TCP network flow generation

然而對(duì)運(yùn)載火箭測發(fā)網(wǎng)絡(luò)而言，其他研究中廣泛使用的樣本劃分方法有一定缺陷。首先，測發(fā)網(wǎng)絡(luò)中絕大部分?jǐn)?shù)據(jù)包使用UDP 協(xié)議，沒有連接的概念，有大量的數(shù)據(jù)包分別屬于不同的五元組，難以進(jìn)行進(jìn)一步劃分；其次，如果僅憑五元組進(jìn)行樣本劃分，由于測發(fā)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是確定的，會(huì)導(dǎo)致產(chǎn)生的樣本數(shù)據(jù)量小，而且每個(gè)樣本數(shù)據(jù)冗長，真正的異常數(shù)據(jù)包還可以混在每個(gè)樣本中，導(dǎo)致無法實(shí)現(xiàn)有效的異常檢測。為了克服上述缺陷，提出一種針對(duì)運(yùn)載火箭測發(fā)網(wǎng)絡(luò)的流量樣本生成方法，其流程如圖3所示。

圖3 樣本流量圖片生成Fig.3 Schematic diagram of the traffic sample image generation

步驟1 中，以五元組為依據(jù)將數(shù)據(jù)包分組后，每組內(nèi)依次選定固定數(shù)目N個(gè)數(shù)據(jù)包作為一個(gè)樣本；步驟2 中，由于運(yùn)載火箭測發(fā)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的確定性，有大量數(shù)據(jù)包有相同的MAC 地址和IP 地址，為消除這些因素對(duì)分類可能造成的影響，需去除這部分?jǐn)?shù)據(jù)，稱為樣本的匿名化處理；步驟3 中，將匿名化后的樣本按照固定的字節(jié)長度M進(jìn)行統(tǒng)一長度處理（M的選取和N以及卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)相關(guān)）。如果N個(gè)數(shù)據(jù)包的字節(jié)個(gè)數(shù)多于M則對(duì)該樣本進(jìn)行截?cái)嗵幚恚绻儆贛個(gè)則以0x00 進(jìn)行字節(jié)填充，最終生成適合作為深度神經(jīng)網(wǎng)絡(luò)輸入的灰度圖。

1.3 基于卷積神經(jīng)網(wǎng)絡(luò)的測發(fā)網(wǎng)絡(luò)流量異常檢測算法

近年來，卷積神經(jīng)網(wǎng)絡(luò)在圖像分類及目標(biāo)識(shí)別問題上取得了優(yōu)異的效果［14-16］。相較于一般的深層神經(jīng)網(wǎng)絡(luò)，卷積神經(jīng)網(wǎng)絡(luò)具有局部連接、權(quán)值共享以及池化操作等特點(diǎn)，具有很強(qiáng)的空間特征學(xué)習(xí)能力。對(duì)運(yùn)載火箭測發(fā)網(wǎng)絡(luò)流量異常檢測問題，可以將網(wǎng)絡(luò)流量數(shù)據(jù)經(jīng)圖3 中的流程成為灰度圖，通過卷積神經(jīng)網(wǎng)絡(luò)提取空間特征并進(jìn)行分類，從而實(shí)現(xiàn)異常檢測，其算法實(shí)現(xiàn)過程如下：

輸入：T組具有相同五元組的流量數(shù)據(jù)包F1，F(xiàn)2，…，F(xiàn)T，卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)及輸入尺寸s，每個(gè)樣本中數(shù)據(jù)包數(shù)目N，學(xué)習(xí)率l，學(xué)習(xí)輪次e，學(xué)習(xí)批量b，驗(yàn)證集比例p1，測試集比例p2。

輸出：訓(xùn)練集、驗(yàn)證集分類準(zhǔn)確率、精度、召回率，測試集分類準(zhǔn)確率。

1）構(gòu)建卷積神經(jīng)網(wǎng)絡(luò)，計(jì)算標(biāo)準(zhǔn)輸入大小M0=s*s；

2）For 每組五元組相同的數(shù)據(jù)包FiinF1，F(xiàn)2，…，F(xiàn)Tdo；

3）每N個(gè)數(shù)據(jù)包劃分為一個(gè)樣本，得到h=|Fi|/N個(gè)樣本；

4）Forh個(gè)樣本中的每一個(gè) do；

5）計(jì)算樣本的總字節(jié)長度M（此N個(gè)數(shù)據(jù)包的字節(jié)數(shù)）；

6）IfM＞M0將樣本截?cái)嘀罬0字節(jié) else 在結(jié)尾補(bǔ)充0xff 至M0字節(jié)；

7）按照p1、p2劃分訓(xùn)練集、驗(yàn)證集和測試集；

8）While 沒有達(dá)到訓(xùn)練輪次edo；

9）準(zhǔn)備批量b個(gè)樣本作為模型輸入；

10）二分類交叉熵?fù)p失函數(shù)Hp為

式中：yi為第i個(gè)樣本的標(biāo)簽；p(yi)為第i個(gè)樣本屬于正類的預(yù)測概率；

11）使用RMSprop 梯度下降優(yōu)化算法更新神經(jīng)網(wǎng)絡(luò)參數(shù)，學(xué)習(xí)率設(shè)置為l；

12）使用驗(yàn)證集驗(yàn)證模型；

13）end；

14）使用測試集數(shù)據(jù)測試得到的模型；

15）return 訓(xùn)練集、驗(yàn)證集分類準(zhǔn)確率、精度、召回率，測試集分類準(zhǔn)確率。

2 實(shí)驗(yàn)驗(yàn)證

為驗(yàn)證算法在運(yùn)載火箭測發(fā)網(wǎng)絡(luò)中的實(shí)際效果，首先需要通過核心交換機(jī)網(wǎng)絡(luò)流量鏡像以及異常流量混合的方式構(gòu)建原始流量數(shù)據(jù)集。在得到原始數(shù)據(jù)集后，實(shí)驗(yàn)分為兩個(gè)部分，充分驗(yàn)證本文提出算法在運(yùn)載火箭測發(fā)網(wǎng)絡(luò)環(huán)境中應(yīng)用的合理性和有效性。第一部分實(shí)驗(yàn)對(duì)比以一定時(shí)間窗口劃分的流數(shù)據(jù)作為樣本輸入與以一定數(shù)目數(shù)據(jù)包作為樣本輸入分類效果的差異性；第二部分實(shí)驗(yàn)探究樣本中數(shù)據(jù)包數(shù)目對(duì)實(shí)驗(yàn)結(jié)果的影響。

2.1 實(shí)驗(yàn)數(shù)據(jù)集

使用的原始數(shù)據(jù)集包括正常、異常兩部分?jǐn)?shù)據(jù)。正常部分的數(shù)據(jù)為某型號(hào)運(yùn)載火箭測發(fā)網(wǎng)絡(luò)實(shí)驗(yàn)過程中經(jīng)由核心交換機(jī)的關(guān)鍵正常流量數(shù)據(jù)，通過測發(fā)安全檢測設(shè)備以流量鏡像的方式進(jìn)行提取，測發(fā)網(wǎng)絡(luò)流量提取過程的簡要示意圖如圖4所示。

圖4 運(yùn)載火箭測發(fā)網(wǎng)絡(luò)流量提取示意圖Fig.4 Schematic diagram of the traffic extraction from networks

通過這種方式，在運(yùn)載火箭測發(fā)網(wǎng)絡(luò)實(shí)驗(yàn)過程中3 h 內(nèi)共計(jì)10.2 GB 正常網(wǎng)絡(luò)流量數(shù)據(jù)。異常部分流量共11 GB，其數(shù)據(jù)來源于加拿大網(wǎng)絡(luò)安全研究所構(gòu)建的CIC-IDS-2017 數(shù)據(jù)集中的惡意攻擊部分，攻擊種類包括拒絕服務(wù)（Denial of Service，DoS）攻擊、針對(duì)客戶端身份驗(yàn)證的攻擊、針對(duì)數(shù)據(jù)庫的SQL 注入攻擊等，由于實(shí)際的運(yùn)載火箭測發(fā)網(wǎng)絡(luò)在每一個(gè)控制中心也分別包含服務(wù)端、客戶端、數(shù)據(jù)庫等基本網(wǎng)絡(luò)組件，CIC-IDS-2017 數(shù)據(jù)集中包含的多數(shù)攻擊在測發(fā)網(wǎng)絡(luò)中同樣可能出現(xiàn)。由于正常流量和異常流量來源于不同的網(wǎng)絡(luò)環(huán)境，為消除數(shù)據(jù)包中MAC 地址、IP 地址對(duì)異常檢測結(jié)果的影響，在繼續(xù)進(jìn)行實(shí)驗(yàn)前，還需進(jìn)行數(shù)據(jù)匿名化的處理，消除上述因素帶來的影響。

在對(duì)正常和異常的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行匿名化處理后，按照提出的不同顆粒度測發(fā)網(wǎng)絡(luò)流量樣本生成方法，將網(wǎng)絡(luò)流量轉(zhuǎn)化為灰度圖，得到可視化結(jié)果，如圖5 所示。由圖5 可知，經(jīng)過流量匿名化與圖像化處理后，正常網(wǎng)絡(luò)流量與異常網(wǎng)絡(luò)流量呈現(xiàn)出了明顯不同的紋理模式，且相同類別的流量樣本圖像之間具有較高的相似性，可視化結(jié)果直觀表明了提出的樣本生成方法對(duì)與運(yùn)載火箭測發(fā)網(wǎng)絡(luò)流量的異常檢測具有一定的可行性。

圖5 匿名化網(wǎng)絡(luò)流量可視化結(jié)果Fig.5 Visualization results of the anonymized network traffic

2.2 評(píng)價(jià)指標(biāo)

使用分類準(zhǔn)確率faccuracy、精度fprecision、召回率frecall作為運(yùn)載火箭測發(fā)網(wǎng)絡(luò)流量異常檢測的實(shí)驗(yàn)評(píng)價(jià)指標(biāo)。其計(jì)算公式如下：

式中：fTP為真正類，表示將異常網(wǎng)絡(luò)流量正確預(yù)測為異常的樣本數(shù)量；fFP為假正類，表示將正常網(wǎng)絡(luò)流量錯(cuò)誤預(yù)測為異常的樣本數(shù)量；fTN為真負(fù)類，表示將正常網(wǎng)絡(luò)流量正確預(yù)測為正常的樣本數(shù)量；fFN為假負(fù)類，表示將異常網(wǎng)絡(luò)流量錯(cuò)誤預(yù)測為正常的樣本數(shù)量。在異常檢測問題中，通常將異常樣本視為正類，而將正常樣本視為負(fù)類。

2.3 實(shí)驗(yàn)結(jié)果

2.3.1 不同形式數(shù)據(jù)樣本劃分分類結(jié)果

本小節(jié)實(shí)驗(yàn)對(duì)比傳統(tǒng)的按“網(wǎng)絡(luò)流”的網(wǎng)絡(luò)流量樣本劃分方法與提出的樣本劃分方法在運(yùn)載火箭測發(fā)網(wǎng)絡(luò)流量異常檢測問題上的實(shí)驗(yàn)結(jié)果。傳統(tǒng)的網(wǎng)絡(luò)流量樣本劃分方法將網(wǎng)絡(luò)數(shù)據(jù)包按照五元組（源IP 地址、目的IP 地址、源端口、目的端口、傳輸層協(xié)議）將數(shù)據(jù)分組后，將TCP 協(xié)議下的數(shù)據(jù)包按照?qǐng)D2 的方法將同組數(shù)據(jù)包劃分為不同的樣本，將UDP 協(xié)議下的同組數(shù)據(jù)包按照發(fā)出時(shí)間排序后，取相同的時(shí)間窗口將同組數(shù)據(jù)包劃分為不同樣本，本小節(jié)實(shí)驗(yàn)選定時(shí)間窗口為30 s，而提出的流量樣本劃分方法按照固定的數(shù)據(jù)包個(gè)數(shù)將同組數(shù)據(jù)包劃分為不同樣本。使用2 種樣本劃分方法，對(duì)相同數(shù)據(jù)集進(jìn)行操作，獲得的樣本數(shù)見表1。

表1 不同樣本劃分方法獲得的樣本數(shù)Tab.1 Sample numbers obtained by different sample division methods

在按照不同的樣本劃分方法得到2 份樣本數(shù)據(jù)集后，本小節(jié)實(shí)驗(yàn)對(duì)2 份樣本數(shù)據(jù)集作相同處理，均按照7∶2∶1 的比例劃分訓(xùn)練集、驗(yàn)證集、測試集，均使用卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，如圖6 所示。為了降低過擬合，在網(wǎng)絡(luò)的全連接層前使用比例為0.5 的dropout［17-18］，卷積層均使用ReLU 激活函數(shù)，最后使用sigmoid 激活函數(shù)對(duì)網(wǎng)絡(luò)流量進(jìn)行正常/異常的二分類，實(shí)驗(yàn)中使用RMSprop 梯度下降優(yōu)化算法，設(shè)置學(xué)習(xí)率為10-4，N為3，數(shù)據(jù)批量為64，所有流量數(shù)據(jù)進(jìn)行歸一化處理，使其分布在0 和1 之間。

圖6 卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)Fig.6 Schematic diagram of the convolutional neural network structure

分別經(jīng)過30 輪模型訓(xùn)練，對(duì)相同數(shù)據(jù)集使用傳統(tǒng)的網(wǎng)絡(luò)流量樣本劃分方法與使用提出的按包數(shù)目樣本劃分得到的實(shí)驗(yàn)結(jié)果，如圖7 所示。使用傳統(tǒng)樣本劃分方法得到的結(jié)果如圖7（a）所示，使用提出的樣本劃分方法得到的實(shí)驗(yàn)結(jié)果如圖7（b）所示。詳細(xì)的實(shí)驗(yàn)結(jié)果數(shù)據(jù)見表2。

表2 不同樣本劃分方法獲得的詳細(xì)實(shí)驗(yàn)結(jié)果Tab.2 Detailed test results obtained by different sample division methods

圖7 不同樣本劃分方法實(shí)驗(yàn)結(jié)果Fig.7 Graphical test results of different sample division methods

綜上所述，使用所提出的樣本劃分方法，可以取得更高的精度、召回率和準(zhǔn)確率，并且從第15輪左右開始收斂，花費(fèi)的訓(xùn)練時(shí)間也更短?？梢宰C明針對(duì)運(yùn)載火箭測發(fā)網(wǎng)絡(luò)流量異常檢測問題，使用提出的基于數(shù)據(jù)包數(shù)目的樣本劃分方法，結(jié)合卷積神經(jīng)網(wǎng)絡(luò)方法，可以取得較高的分類精度、召回率和準(zhǔn)確率，且無需進(jìn)行手工特征集設(shè)計(jì)。

2.3.2 不同數(shù)目數(shù)據(jù)包樣本劃分分類結(jié)果

為了進(jìn)一步探究N的取值對(duì)實(shí)驗(yàn)結(jié)果的影響，在相同數(shù)據(jù)集上進(jìn)行實(shí)驗(yàn)驗(yàn)證，當(dāng)N取不同值時(shí)實(shí)驗(yàn)結(jié)果見表3、圖8。需要說明的是，由于N的取值會(huì)影響所得樣本的字節(jié)數(shù)，為了充分提取每個(gè)樣本中的流量特征，根據(jù)不同的N取值調(diào)整圖片的尺寸及卷積神經(jīng)網(wǎng)絡(luò)接收輸入尺寸的大小（圖8 中輸入尺寸），每組實(shí)驗(yàn)均訓(xùn)練30 輪，神經(jīng)網(wǎng)絡(luò)結(jié)果及其他參數(shù)設(shè)置均與前述實(shí)驗(yàn)相同。

表3 不同N 和輸入尺寸的實(shí)驗(yàn)結(jié)果Tab.3 Test results with different N and input_size

圖8 不同N 和輸入尺寸的實(shí)驗(yàn)結(jié)果Fig.8 Graphical test results of different N and input_size

由表3、圖8 可知，當(dāng)N=10，input_size=48*48時(shí)，分類取得了最高的精度、召回率和準(zhǔn)確率，并且約在訓(xùn)練的第7 輪開始收斂。由此可見，若樣本中數(shù)據(jù)包太少時(shí)，導(dǎo)致信息不足，使異常檢測變得相對(duì)困難；而樣本中數(shù)據(jù)包太多時(shí)，較簡單的卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)擬合能力不足，需要更多的數(shù)據(jù)、更復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，所需的模型訓(xùn)練時(shí)間也會(huì)相對(duì)變長。

3 結(jié)束語

針對(duì)運(yùn)載火箭測發(fā)網(wǎng)絡(luò)異常檢測問題，提出了一種適應(yīng)于測發(fā)網(wǎng)絡(luò)流量特點(diǎn)的樣本生成方法，使用卷積神經(jīng)網(wǎng)絡(luò)自動(dòng)提取網(wǎng)絡(luò)流量特征，利用真實(shí)測發(fā)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實(shí)驗(yàn)，在特定條件下取得了極高的正常/異常分類精度、召回率和準(zhǔn)確率。在保證優(yōu)秀檢測結(jié)果的同時(shí)，所提方法可以避免大量專家經(jīng)驗(yàn)的人工特征集的設(shè)計(jì)，很大程度上減少人工分析，理論上具備檢測出新型未知種類攻擊的能力。根據(jù)測發(fā)網(wǎng)絡(luò)流量數(shù)據(jù)的變化情況，可以進(jìn)一步不斷更新優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)與參數(shù)，逐步實(shí)現(xiàn)運(yùn)載火箭測發(fā)網(wǎng)絡(luò)流量的透明化，確保其正常、穩(wěn)定運(yùn)行。