摘要：傳統(tǒng)的入侵檢測方法多基于規(guī)則匹配或統(tǒng)計分析，能夠識別已知的攻擊模式，但對于未知的新型攻擊或變種攻擊時，檢測效果不佳，因此，文章提出基于卷積神經(jīng)網(wǎng)絡的移動通信網(wǎng)絡入侵檢測方法研究。實驗結果表明，該設計方法在移動通信網(wǎng)絡入侵檢測中取得了顯著成效，誤報率僅為0.87%，漏報率僅為1.36%，證明卷積神經(jīng)網(wǎng)絡在移動通信網(wǎng)絡入侵檢測領域具有較高的準確性和穩(wěn)定性。

關鍵詞：卷積神經(jīng)網(wǎng)絡；移動通信；網(wǎng)絡入侵；入侵檢測

中圖分類號：TP301 文獻標志碼：A

0 引言

隨著信息技術的飛速發(fā)展，移動通信網(wǎng)絡已經(jīng)成為我國現(xiàn)代社會不可或缺的基礎設施，承載著海量的數(shù)據(jù)傳輸和通信需求。然而，隨著網(wǎng)絡規(guī)模的持續(xù)擴大，網(wǎng)絡安全問題日益凸顯。入侵檢測作為網(wǎng)絡安全防護的核心措施，對于及時發(fā)現(xiàn)并應對惡意攻擊、確保移動通信網(wǎng)絡的穩(wěn)定運行至關重要。蘇新等［1］基于異常行為設計一種入侵檢測方法，可顯著提高不平衡數(shù)據(jù)集中異常數(shù)據(jù)的檢測精度；景雯等［2］在區(qū)塊鏈技術的基礎上構建一個信任模型，進行無線傳感網(wǎng)絡的入侵檢測，可解決因異常節(jié)點特征維度較高導致入侵檢測準確率較差的問題；肖衡等［3］以機器學習為基礎，構建無線傳感網(wǎng)絡通信異常入侵檢測模型，具有優(yōu)秀的異常入侵檢測精度和效率。然而，在面對移動通信網(wǎng)絡中復雜、高維的網(wǎng)絡流量數(shù)據(jù)時，這些傳統(tǒng)方法在某些特定場景下難以實現(xiàn)準確識別。因此，文章將深度學習技術應用于移動通信網(wǎng)絡的入侵檢測領域，旨在提高檢測的準確性和實時性，為移動通信網(wǎng)絡的安全防護提供新的有效手段。

1 預處理移動通信網(wǎng)絡流量數(shù)據(jù)

為提升入侵檢測系統(tǒng)的效果，對原始移動通信網(wǎng)絡流量數(shù)據(jù)進行預處理，這些預處理步驟包括符號數(shù)據(jù)轉換和數(shù)據(jù)歸一化等操作［4］。移動通信網(wǎng)絡流量數(shù)據(jù)中包含了大量符號型數(shù)據(jù)，如IP地址、協(xié)議類型等。這些符號型數(shù)據(jù)不能直接用于數(shù)值計算或機器學習模型的訓練，需要進行適當?shù)霓D換。對于IP地址這類具有層次結構的符號型數(shù)據(jù)，采用四分割的方法進行轉換。具體地，將IP地址分為4個部分，每個部分都是一個獨立的數(shù)值。這種方法能夠保留IP地址的原始結構和信息，同時將其轉換為適合數(shù)值計算的形式。

對于協(xié)議類型等沒有層次結構的符號數(shù)據(jù)，采用one-hot編碼技術將其轉換為二進制向量。one-hot編碼為每個符號型數(shù)據(jù)創(chuàng)建一個唯一的二進制向量，其中，只有一個元素為1，其余元素為0。這種方法能夠將符號型數(shù)據(jù)轉換為數(shù)值型數(shù)據(jù)，便于后續(xù)的處理和分析。完成符號轉換后，進行數(shù)據(jù)歸一化［5］。數(shù)據(jù)歸一化是一種將數(shù)據(jù)調(diào)整到同一尺度或范圍的過程，以便進行后續(xù)的分析或建模。在移動通信網(wǎng)絡流量數(shù)據(jù)中，不同特征的量綱和取值范圍可能差異很大，直接使用原始數(shù)據(jù)進行模型訓練可能會導致模型對某些特征的敏感度過高或過低，從而影響整體的檢測性能［6］。因此，采用最大最小歸一化方法進行數(shù)據(jù)預處理。最大最小歸一化通過將每個特征的值縮放到一個指定的范圍（通常是0到1之間）來消除量綱的影響。具體地，對于每個特征，找到其最大值和最小值，然后將每個值減去最小值并除以最大值與最小值的差，從而得到歸一化后的值。這種方法能夠確保所有特征都在同一尺度上，提高模型的訓練效果和檢測性能。

2 獲取網(wǎng)絡流量數(shù)據(jù)特征基準圖譜

采用SWCC權重矩陣算法，該算法基于聚類選擇流量數(shù)據(jù)特征，形成特征權重矩陣，以此反映不同特征對檢測的貢獻程度。對于不同類型的入侵異常流量數(shù)據(jù)，可根據(jù)分類樣本的權值獲取基準特征圖譜［7］。利用SWCC權重矩陣算法獲取特征圖譜的流程如下：首先，從預處理的移動通信網(wǎng)絡流量數(shù)據(jù)中提取顯著影響網(wǎng)絡入侵異常流量數(shù)據(jù)檢測的特征，這些特征包括數(shù)據(jù)包大小、協(xié)議類型、流量模式、IP地址等。然后，將這些特征轉換為向量形式，形成一個移動通信網(wǎng)絡流量數(shù)據(jù)特征集合x=（x1，x2，…，xn），根據(jù)下式所示余弦相似度計算出各特征之間的相似性：

式中，D（xi，xj）表示移動通信網(wǎng)絡流量數(shù)據(jù)特征向量xi和xj之間的相似性；|xi|、|xj|表示特征向量模長。與此同時，還需根據(jù)移動通信網(wǎng)絡入侵檢測的實際情況，對各個特征進行賦權，此時根據(jù)各特征權值和式（1）所示的相似性即可計算出各個移動通信網(wǎng)絡流量數(shù)據(jù)特征的SWCC值，計算公式如下：

式中，S（xi）表示移動通信網(wǎng)絡流量數(shù)據(jù)特征向量xi的SWCC值；ωij表示特征向量xi和xj之間的權重值。根據(jù)式（2）計算得到的SWCC值對特征進行排序，并選擇SWCC值較高的特征作為基準特征，以選定的基準特征為節(jié)點，根據(jù)節(jié)點之間的相似性（或權重）繪制邊，從而構建一個特征基準圖譜［8］。

3 構建卷積神經(jīng)網(wǎng)絡模型檢測異常流量數(shù)據(jù)

卷積神經(jīng)網(wǎng)絡（Convolutional Neural Networks，CNN）作為一種前饋型神經(jīng)網(wǎng)絡，在處理二維數(shù)據(jù)分類問題中具有顯著優(yōu)勢，為實現(xiàn)移動通信網(wǎng)絡入侵檢測，引入CNN構建入侵檢測模型［9］。首先，明確CNN入侵檢測模型的網(wǎng)絡結構。一個典型的CNN模型通常由輸入層、卷積層、池化層、全連接層和輸出層組成。在輸入層，首先將移動通信網(wǎng)絡流量數(shù)據(jù)轉換為二維矩陣的形式，以便CNN模型進行處理。這一步可能涉及數(shù)據(jù)的預處理，如數(shù)據(jù)清洗、特征提取和編碼等。當樣本數(shù)據(jù)從輸入層進入CNN模型后，它們會被傳輸至卷積層。卷積層是CNN模型的核心部分，它通過卷積核對輸入數(shù)據(jù)進行局部特征提取。在入侵檢測任務中，卷積層的目標是從流量數(shù)據(jù)中提取出能夠區(qū)分正常流量和異常流量的關鍵特征。這些特征可能包括IP地址、端口號、數(shù)據(jù)包大小、傳輸時間等。卷積層內(nèi)部的卷積核會在輸入數(shù)據(jù)上進行滑動，與輸入數(shù)據(jù)的局部區(qū)域進行點積運算，從而生成特征圖。每個卷積核都會生成一個不同的特征圖，這些特征圖共同構成了卷積層的輸出。經(jīng)過卷積層后，提取到的特征圖會被傳輸至池化層。池化層的主要作用是降低數(shù)據(jù)的空間維度，從而減少模型的計算量和參數(shù)數(shù)量。在池化操作完成后，CNN模型的全連接層會將池化層輸出展平，并通過激活函數(shù)（此處采用sigmoid激活函數(shù)）將特征映射到移動網(wǎng)絡正常和異常流量數(shù)據(jù)的輸出類別上。

4 仿真實驗

4.1 實驗準備

為驗證基于CNN的移動通信網(wǎng)絡入侵檢測方法的有效性，文章通過仿真實驗將其與傳統(tǒng)方法（RNN、BP神經(jīng)網(wǎng)絡）進行比較。實驗環(huán)境設置在高性能計算機上，采用Python和TensorFlow框架來構建和訓練模型。實驗數(shù)據(jù)來源于某省2024年1月的移動通信網(wǎng)絡流量異常數(shù)據(jù)，涵蓋6種典型的入侵類型。

4.2 結果分析

在該次仿真對比實驗中，為評估各入侵檢測模型的性能，將入侵檢測結果的漏報率和誤報率作為模型判別指標，計算公式如下：

式中，μ1、μ2分別表示移動通信網(wǎng)絡入侵檢測結果的誤報率和漏報率；Np、NN分別表示錯誤檢測的移動通信網(wǎng)絡正常流量數(shù)據(jù)和異常流量數(shù)據(jù)；Mp、MN分別表示正確檢測的移動通信網(wǎng)絡正常流量數(shù)據(jù)和異常流量數(shù)據(jù)。在實驗中，使用訓練好的CNN、RNN和BP神經(jīng)網(wǎng)絡模型對測試集進行移動通信網(wǎng)絡入侵檢測，并計算各模型的檢測結果。移動通信網(wǎng)絡入侵檢測結果誤報率對比如圖1所示，移動通信網(wǎng)絡入侵檢測結果報率對比如圖2所示。

從上圖可見，文章設計的CNN模型在6種移動通信網(wǎng)絡入侵檢測中，漏報率和誤報率均較低。隨著異常流量樣本增加，RNN和BP神經(jīng)網(wǎng)絡模型性能下降，而CNN模型保持穩(wěn)定。文章CNN模型平均誤報率為0.87%，平均漏報率為1.36%，較對照組均顯著降低。這表明文章設計的基于CNN的移動通信網(wǎng)絡入侵檢測方法具有高檢測精度。

5 結語

該研究基于卷積神經(jīng)網(wǎng)絡，深入探討移動通信網(wǎng)絡入侵檢測方法。通過預處理和特征提取，獲取了網(wǎng)絡流量數(shù)據(jù)的特征圖譜，構建卷積神經(jīng)網(wǎng)絡模型，并利用這些特征圖譜實現(xiàn)了對異常流量的有效檢測。未來，將優(yōu)化模型結構，關注新型攻擊手段，不斷完善模型，確保移動通信網(wǎng)絡的安全穩(wěn)定運行。

參考文獻

［1］蘇新，田天，GONG Z Y等.基于異常行為的海洋氣象傳感網(wǎng)的入侵檢測方法研究［J］.通信學報，2023（7）：86-99.

［2］景雯，張杰.基于區(qū)塊鏈技術的無線傳感網(wǎng)絡入侵檢測算法［J］.傳感技術學報，2023（6）：978-983.

［3］肖HNjxqRzmzuZEPDuk1YbKZji60Jbx02JbGOU1TUJACzA=衡，龍草芳.基于機器學習的無線傳感網(wǎng)絡通信異常入侵檢測技術［J］.傳感技術學報，2022（5）：692-697.

［4］程定國，曾浩洋.無線通信網(wǎng)絡中流量分析技術綜述［J］.電訊技術，2023（3）：441-447.

［5］崔英祥，張幽彤，魏洪乾.基于樣本熵的車載CAN網(wǎng)絡入侵檢測［J］.汽車工程，2023（7）：1184-1191.

［6］李群，王超，任天宇.基于滲透測試的多層次網(wǎng)絡安全入侵檢測方法［J］.沈陽工業(yè)大學學報，2022（4）：372-377.

［7］白文榮，馬琳娟，鞏政.基于菌群優(yōu)化深度學習的網(wǎng)絡入侵檢測模型［J］.南京理工大學學報，2023（5）：636-642.

［8］李珊珊，李兆玉，賴雪梅，等.基于概率神經(jīng)網(wǎng)絡的增量式入侵檢測方法［J］.計算機仿真，2022（9）：476-482.

［9］劉金碩，詹岱依，鄧娟，等.基于深度神經(jīng)網(wǎng)絡和聯(lián)邦學習的網(wǎng)絡入侵檢測［J］.計算機工程，2023（1）：15-21，30.

Study on the intrusion detection method of mobile communication network based on convolutional neural network

Abstract： Traditional intrusion detection methods are mostly based on rule matching or statistical analysis， which can identify known attack patterns. However， the detection effect is not good for unknown new or variant attacks. Therefore， a mobile communication network intrusion detection method based on convolutional neural networks is proposed for research. The experimental results show that the design method has achieved significant results in mobile communication network intrusion detection， with a false alarm rate of only 0.87% and a false alarm rate of only 1.36%， proving that convolutional neural networks have high accuracy and stability in the field of mobile communication network intrusion detection.

Key words： convolutional neural network; mobile communication; network intrusion; intrusion detection