呂航

（長春汽車工業(yè)高等專科學(xué)校，吉林 長春 130000）

1 引言

加強對網(wǎng)絡(luò)計算機系統(tǒng)的安全維護工作，是信息化建設(shè)的重要工作環(huán)節(jié)[1]。目前存在著多種方法能夠區(qū)分復(fù)雜網(wǎng)絡(luò)中節(jié)點的重要性，而且這些方法已經(jīng)取得相應(yīng)的成果。然而大數(shù)據(jù)時代具有網(wǎng)絡(luò)結(jié)構(gòu)多樣、節(jié)點數(shù)目繁多的特點，很多方法存在著一定的缺陷。例如部分方法計算復(fù)雜度較高，不適用于節(jié)點數(shù)和邊數(shù)眾多的大型網(wǎng)絡(luò)，而一些計算簡單的方法僅包含很少的信息[2]，評價節(jié)點重要性的準確度不高，無法滿足實際的應(yīng)用需求。因此，如何平衡方法準確性和計算復(fù)雜度之間的關(guān)系，設(shè)計快速高效的關(guān)鍵節(jié)點識別方法是復(fù)雜網(wǎng)絡(luò)以及網(wǎng)絡(luò)安全領(lǐng)域的研究熱點。本文基于CNN-LSTM（卷積神經(jīng)網(wǎng)絡(luò)）網(wǎng)絡(luò)的計算機網(wǎng)絡(luò)內(nèi)部丟包節(jié)點識別技術(shù)進行實驗研究，建立網(wǎng)絡(luò)信道模型提高交互成功的概率。

2 計算機網(wǎng)絡(luò)內(nèi)部攻擊模型分析

在對計算機網(wǎng)絡(luò)內(nèi)部丟包節(jié)點進行識別時，首先需要確定計算機網(wǎng)絡(luò)內(nèi)部攻擊情況，內(nèi)部攻擊不同導(dǎo)致的計算機網(wǎng)絡(luò)內(nèi)部丟包節(jié)點量不同[3]。計算機網(wǎng)絡(luò)內(nèi)部攻擊模型主要分為4個部分：

2.1 虛假路由信息攻擊

虛假路由信息攻擊，是惡意節(jié)點通過直接篡改或者重放數(shù)據(jù)包使得傳感器網(wǎng)絡(luò)中形成一個路由環(huán)，數(shù)據(jù)包會沿著路由環(huán)傳輸，永遠到達不了真實的目的節(jié)點。

2.2 女巫攻擊

女巫攻擊(SybilAttack)是惡意節(jié)點，經(jīng)過偽造或者盜用合法節(jié)點讓其他節(jié)點誤認為周圍存在多個節(jié)點[4]，但事實上那些節(jié)點是不存在的，所以轉(zhuǎn)發(fā)給那些節(jié)點的數(shù)據(jù)都將被惡意節(jié)點獲得，這會危害網(wǎng)絡(luò)的正常工作。女巫攻擊會對基于位置的路由協(xié)議構(gòu)成很大的威脅。

2.3 蟲洞攻擊

蟲洞攻擊(Wormholes Attack)是由兩個地理位置距離較遠的惡意節(jié)點，經(jīng)過謀劃建立一條聲稱特性為低延遲、高效率的通道，以此引誘周圍節(jié)點的數(shù)據(jù)包，惡意節(jié)點收到數(shù)據(jù)包后會直接丟棄數(shù)據(jù)包或者在網(wǎng)絡(luò)的不同區(qū)域內(nèi)重放收到的數(shù)據(jù)包，使得數(shù)據(jù)包不會到達真實的目的節(jié)點。

2.4 黑洞攻擊

黑洞攻擊(Blackhole Attack)是吸引周圍的節(jié)點將數(shù)據(jù)包傳輸?shù)皆搻阂夤?jié)點，惡意節(jié)點會直接丟棄收到的數(shù)據(jù)包，使得數(shù)據(jù)包不能順利抵達基站，讓傳感器在網(wǎng)絡(luò)中形成路由黑洞。

3 網(wǎng)絡(luò)節(jié)點識別方法

本文通過建立網(wǎng)絡(luò)信道模型從而反映網(wǎng)絡(luò)信道的路徑損耗、多徑效應(yīng)和環(huán)境干擾等信道特性，采用高斯統(tǒng)計建模節(jié)點，構(gòu)建節(jié)點交互成功的概率模型，提高交互成功的概率。采用假設(shè)檢驗的異常節(jié)點識別，判定節(jié)點為惡意丟包節(jié)點或非惡意丟包節(jié)點，最終實現(xiàn)計算機網(wǎng)絡(luò)內(nèi)部丟包節(jié)點識別。

3.1 節(jié)點交互成功的概率模型

采用二進制相移鍵控(BPSK)調(diào)制。標(biāo)準（BPSK）誤碼概率Pb等于Q(V,Y)，其中，Q(·)是Q函數(shù)。γ是信干噪比(SINR)，表示如下：

其中：H(f)是信道的頻率響應(yīng)函數(shù)，Ptx是傳感器節(jié)點的發(fā)射功率，I是干擾，可以忽略不計，N(f)是在頻率f上的噪聲功率譜密度函數(shù)。因此，包錯誤概率Pe可以表示為：

其中，LP為數(shù)據(jù)包的長度(以bit為單位)。

然后，根據(jù)節(jié)點n-1發(fā)送的數(shù)據(jù)包，在其節(jié)點n中被順利接收的概率，可以通過式3計算得出：

其中：Pc是數(shù)據(jù)包在節(jié)點n 處發(fā)生碰撞，導(dǎo)致接收失敗的概率。

傳感器節(jié)點在發(fā)送數(shù)據(jù)包后，在給定的最大等待時間內(nèi)收到一個來自其下一跳節(jié)點的ACK 包，這表明數(shù)據(jù)包被下一跳成功接收，那么這就被看作是一次成功的交互。當(dāng)傳感器節(jié)點向下一跳發(fā)送一個數(shù)據(jù)包后，等待一個ACK 包來判斷數(shù)據(jù)包是否接收成功。假設(shè)最長等待時間為MAC 協(xié)議的N個時隙。假設(shè)其下一跳回復(fù)ACK包服從幾何分布，那么發(fā)送節(jié)點成功接收到ACK包的概率可表示為：

3.2 采用假設(shè)檢驗的異常節(jié)點判別

對于節(jié)點行為特征序列的統(tǒng)計模型(Ωr1Ar1pr)，節(jié)點行為特征序列的概率分布族pr的非空子集稱為假設(shè)(Hypothesis)。在參數(shù)分布族中，此假設(shè)等價于模型的參數(shù)空間Θ 的非空子集。

在已知檢測對象的數(shù)據(jù)包操作行為特征序列觀測值為x(T)的先決條件下，檢驗觀測值與給定的假設(shè)是否存在矛盾的問題稱為統(tǒng)計假設(shè)檢驗問題(StatisticalHypothesis Testing)[5]。

在一個假設(shè)檢驗問題中，所要檢驗的假設(shè)稱為原假設(shè)(Hull Hypothesis)，記為H0。與H0不相容的假設(shè)稱為備擇假設(shè)(AltenativeHypothesis)，記為H1。關(guān)于節(jié)點行為特征序列的統(tǒng)計模型(Ωr1Ar1pr)的原假設(shè)和備擇假設(shè)分別記為：

對于參數(shù)統(tǒng)計模型的構(gòu)建可分別作為原假設(shè)和備擇假設(shè)：

給定H0和H1即給定了關(guān)于節(jié)點行為特征序列的檢驗問題，記為檢驗問題(H0，H1)。特別地，(Θ0，Θ1)稱為參數(shù)假設(shè)檢驗(Parametric Hypothesis Test,PHT)，其他稱為非參數(shù)檢驗(Non-parametric Hypothesis Test,NHT)。

假設(shè)檢驗問題的基本思想是把節(jié)點行為特征序列的事件空間Ωr劃分為兩個互不相交的可測集，即

在異常節(jié)點檢測問題下，H0通常設(shè)置為正常節(jié)點的x(T)的相關(guān)行為，而H1通常設(shè)置為異常節(jié)點的x(T)的相關(guān)行為。關(guān)于節(jié)點行為特征序列假設(shè)檢驗問題(H0，H1)下，若檢驗結(jié)果接受H0，則判定節(jié)點為不惡意丟包的正常節(jié)點；若拒絕H0，則判定節(jié)點為異常丟包節(jié)點[6]。

3.3 網(wǎng)絡(luò)內(nèi)部丟包節(jié)點的識別方法

CNN-LSTM 網(wǎng)絡(luò)模型主要由兩部分組成，分別為語譜圖+CNN-LSTM 和LLDs+DNN?？紤]到單獨語譜圖特征分類能力的不足，在網(wǎng)絡(luò)中融合了LLDs 特征以彌補通信網(wǎng)絡(luò)信息表示，從而提高分類性能。

圖1 基于CNN-LSTM的計算機網(wǎng)絡(luò)內(nèi)部丟包節(jié)點識別

（1）輸入層

模型輸入為網(wǎng)絡(luò)特征數(shù)據(jù)，將原始網(wǎng)絡(luò)文件進行預(yù)處理并分別提取所提到的語譜圖特征與LLDs特征。每幀語譜圖特征大小歸一為256×256×3，其中256 為圖像的寬高，3 代表彩色語譜圖的通道數(shù)(RGB)，將數(shù)據(jù)集樣本提取到的所有幀的語譜圖進行時序組合，然后輸入到CNN 層中進行下一步操作[7-8]。

（2）CNN層

為了處理頻譜特征數(shù)據(jù)，在CNN 層使用多尺度卷積核對輸入數(shù)據(jù)進行卷積操作，接著采取池化操作進一步特征提取，最后將網(wǎng)絡(luò)輸出結(jié)果合并為序列化的表示。

（3）LSTM層

LSTM網(wǎng)絡(luò)可以有效地捕獲輸入序列的上下文信息，解決了序列化信息保存?zhèn)鬟f的問題，有助于分類模型獲得更好的準確性。

（4）注意力機制層

注意力機制的靈感來源于人類的視覺特性，我們的視覺系統(tǒng)在觀看特定場景時只會關(guān)注想看的部分[9]，從而忽略掉無關(guān)的冗余信息。

（5）DNN層

DNN(深度神經(jīng)網(wǎng)絡(luò))的神經(jīng)網(wǎng)絡(luò)具有多層隱含層。模型中3 個FC 的節(jié)點數(shù)分別為256，128，64。輸入的HSFs 特征在經(jīng)過DNN層后維度被進一步壓縮。

（6）輸出層

輸出層由FC和Softmax組成。首先將語譜圖特征經(jīng)過CNN 層，LSTM 層和注意力機制層的輸出與HSFs 特征在經(jīng)過DNN 層輸出進行向量拼接，作為最后的分類特征向量表示。經(jīng)過FC 與Softmax 層輸出[10]。Softmax 層為損失函數(shù)，用于將輸出映射到概率區(qū)間得到分類概率分布，從而輸出識別結(jié)果。

4 實驗結(jié)果分析

4.1 參數(shù)設(shè)置

實驗從惡意路徑檢測概率、惡意節(jié)點定位概率和能量消耗等方面對LSFAD 方案的性能進行仿真評估。所采用的實驗數(shù)據(jù)集為CIC-IDS2017數(shù)據(jù)集，該數(shù)據(jù)集是一個綜合性的網(wǎng)絡(luò)入侵檢測數(shù)據(jù)集，由加拿大大學(xué)研究網(wǎng)絡(luò)安全的Canadian Institute for Cybersecurity（CIC）實驗室開發(fā)和發(fā)布。該數(shù)據(jù)集是基于真實網(wǎng)絡(luò)通信數(shù)據(jù)產(chǎn)生的，用于評估入侵檢測系統(tǒng)的準確性和可靠性。該數(shù)據(jù)集包含超過2000萬個網(wǎng)絡(luò)流量樣本，在本次實驗中，從中隨機抽取5000個樣本數(shù)據(jù)，將其中的3000 個樣本用于數(shù)據(jù)訓(xùn)練，將另外2000 個樣本用于實驗仿真。對實驗仿真的參數(shù)設(shè)置詳細如表1所示。

表1 實驗仿真參數(shù)表

4.2 實驗結(jié)果分析

圖2 描述了在不同鏈路正常丟包率的情況下，路徑中有多個惡意節(jié)點的路徑正常丟包率和路徑平均丟包率的情況[11]。

圖2 路徑中有多個惡意節(jié)點的路徑正常丟包率和路徑平均丟包率

從圖2 可得出，隨著路徑中的惡意節(jié)點個數(shù)m 增加，以及惡意節(jié)點丟包率q的增加，使選擇性轉(zhuǎn)發(fā)攻擊路徑檢測成功的概率隨之增加。以上實驗結(jié)果表明，選擇性轉(zhuǎn)發(fā)攻擊路徑的檢測成功概率與惡意節(jié)點個數(shù)和丟包率之間存在著正相關(guān)關(guān)系，較多的惡意節(jié)點以及較高的惡意節(jié)點丟包率說明，應(yīng)用本文識別技術(shù)具有較高的丟包節(jié)點檢測成功性。

5 結(jié)語

為了提高網(wǎng)絡(luò)內(nèi)部丟包節(jié)點識別技術(shù)準確度，平衡方法準確性和計算復(fù)雜度之間的關(guān)系，本研究提出了一種基于CNN-LSTM網(wǎng)絡(luò)的計算機網(wǎng)絡(luò)內(nèi)部丟包節(jié)點識別技術(shù)。相較于傳統(tǒng)的機器學(xué)習(xí)方法，深度學(xué)習(xí)具有自動提取特征的能力，能夠從大規(guī)模數(shù)據(jù)中挖掘出隱藏的模式和規(guī)律。CNNLSTM 結(jié)合了卷積神經(jīng)網(wǎng)絡(luò)（CNN）和長短期記憶網(wǎng)絡(luò)（LSTM）的優(yōu)勢，能夠有效地處理序列數(shù)據(jù)并保留時序信息，提高了模型的表達能力和預(yù)測能力。實驗結(jié)果表明，隨著惡意節(jié)點丟包率的增加，導(dǎo)致選擇性轉(zhuǎn)發(fā)攻擊路徑的檢測成功概率相應(yīng)增加，證明了本文識別技術(shù)的檢測功能具有實用性。本文研究成果將為網(wǎng)絡(luò)管理和優(yōu)化領(lǐng)域的相關(guān)研究提供參考和啟示，并在實際應(yīng)用中產(chǎn)生積極的影響。