基于深度卷积神经网络的无线通信网络异常攻击检测

谭伦荣 王 辉

(淮南师范学院 计算机学院， 安徽 淮南 232001)

0 前 言

随着信息化进程的深入和通信技术的快速发展，无线通信网络为人们的日常生活和工作提供了便利[1-3]，但资源共享的同时也会给黑客可乘之机[4-5]。如果不能很好地解决这个问题，不仅会阻碍整体化进程，而且会给人们的生活带来困扰[6]。

国内外学者们针对网络异常攻击检测的问题展开了大量研究，并取得了一些有价值的成果。陈旖等人提出了一维卷积神经网络模型，利用提取的一维序列片段进行模型训练，学习攻击样本的局部模式，以实现网络异常攻击检测[7]。柴晓东利用遗传算法检测云计算环境的网络防御能力，并在云计算系统中融入入侵检测系统，可对网络异常攻击行为进行警报[8]。上述方法虽然对网络异常攻击检测起到了一定作用，但在初始数据采集及特征提取等方面不够细致、准确，导致网络异常攻击检测的准确率和查全率降低。

深度卷积神经网络可以详细记录、统计无线通信网络日志中的相关信息，进行图像预处理和特征提取，并将其作为深度卷积神经网络模型的输入部分，使分类结果更精准。因此，本次研究提出一种基于深度卷积神经网络的无线通信网络异常攻击检测方法，对输入信息和网络模型进行双重优化。

1 无线通信网络异常攻击检测

1.1 卷积神经网络

卷积神经网络(convolutional neural networks，CNN)是前馈型网络，它的人工神经元可以响应覆盖区域内的其余神经元，擅长大型图像处理[9-10]。深度CNN由输入层、卷积层、池化层、全连接层、分类层和输出层组成[11]。

输入层将预处理后的数据传送到卷积层。卷积层利用卷积核对接收到的数据进行计算，并输出对应特征图。池化层的作用是输出深层特征图，常用的池化方式是随机池化、均值池化和最大池化。全连接层起到“分类器”的作用，可以使高维特征的泛化能力增强。分类层将特征输送至分类器进行分类。另外，在CNN中使用非线性激活函数，可以保证检测结果的准确性[12]。

1.2 网络日志特征提取

判断无线通信网络是否受到异常攻击，首先要从了解网络日志入手，记录统计所有页面的入/出度、浏览量、访问IP信息、申请特征、get参变量特征等。然后，对已获取的信息进行预处理，无论网络日志是什么类型，都要对其进行格式化操作，将申请方式、path、申请参变量从request字段中分离出来，将host、path等从http_referer 字段中分离出来。最后，对预处理后的数据进行计算，得到网络日志特征。

(1) 入度:refer被算作其他字段朝向当前页面的次数。(2) 出度：当前页面被算作refer朝向其他页面的次数。(3) 页面get申请次数：以get形式发出的页面申请次数。(4) 页面post申请次数：以 post形式发出的页面申请次数。(5) 响应复返均值：页面反应折回均值。(6) 浏览IP次数(去重)：IP被访问次数。(7) 浏览UA次数(去重)：UA被访问次数。(8) 有参变量的URI来访次数：含有参变量的URI被访问次数。(9) refer等于path数量：refer等于URI的path数量。(10) 对应的sessionid数量：页面对应的session数量。(11) 页面访问量：页面浏览量。(12) post 请求占比：以post形式向页面发出申请的次数与总来访次数的比率。(13) UA异常数：UA的异常特征数量。(14) sessionid异常数：session非正常数量。(15) sessionid异常占比：session非正常数量与页面访问总量的比值。

对无线通信网络日志特征进行二值化处理，得到(0，1)特征值，并将其作为深度CNN输入层的输入数据进行网络学习。

1.3 深度CNN检测方法

1.3.1 深度CNN结构

深度CNN具有多个层级，且每个层级都不是单个二维平面，而是多个二维平面，所有神经元都能加权其覆盖区域内的元素，运用激活函数得出相应的输出数据[13]。深度CNN结构如图1所示，用于无线通信网络异常攻击检测。深度CNN共有8层，其中输入层、输出层、全连接层和分类层各为1层，而卷积层和池化层均为2层。

图1 深度CNN结构

1.3.2 深度CNN学习过程

首先，训练信息从输入层导入，通过其他各层的相关运算获取预判结果；然后，利用误差函数计算预判结果与实际结果的差异；最后，将差异反向传输到输入层，并在传回过程中对各层权值和阈值进行优化[14]。

(1) 卷积层。卷积层既可以增强初始信息特征，又可以降低噪声。深度CNN中，卷积层可以起到突出主要特征、淡化次要特征的作用，进而使特征图主次分明。卷积层对上一层输送的结果进行卷积运算，得出目前层级的特征图，过程描述如式(1)所示：

(1)

式中：Gi,l—— 第l层第i个神经元的输入；

Dij ,l-1—— 第l层第i个神经元与第l-1层第j个神经元连接的卷积核；

bj,l—— 第l层第j个神经元的偏置。

使用非线性激活函数既可以剔除冗余信息，又可以保存初始信息特征的映射信息，还能增强深度CNN的表达能力和非线性拟合能力[15]。ReLU激活函数的收敛速度快，被广泛应用于深度网络结构中，如式(2)所示：

f(x)=max(0,x)

(2)

(2) 池化层。m个滤波器在卷积后生成m个特征图。池化层对特征图进行压缩，一方面使特征图维度变小，简化网络计算复杂度；另一方面进行特征压缩，提取主要特征。

常见的池化操作主要有平均池化和最大池化等2种方式。平均池化选取窗口内的均值作为输出，最大池化选取窗口内的最大值作为输出。为了达到较好的降维效果，令滑动步长 ≥ 2。

(3) 全连接层。全连接层中的每个神经元与被池化后的所有神经元相互关联，如式(2)所示：

(3)

式中：sj,l—— 第l层第j个神经元的输入；

ωij,l—— 从第l-1层第i个神经元连接到第l层第j个神经元的权重；

xi,l-1—— 第l-1层第i个神经元的特征值。

为了防止过拟合现象，引入Dropout方法。

(4) 分类层。分类层的作用是对输出的预测结果进行分类。Softmax是一种多分类模型，使用Softmax将x分为类别j的概率，如式(4)所示：

(4)

式中：h(sj,l;θ) —— 分类概率；

θ—— 模型的参变量；

k—— 总层数；

T—— 迭代次数。

1.3.3 基于深度CNN的无线通信网络异常攻击检测

基于深度CNN的无线通信网络异常攻击检测框架如图2所示。

图2 基于深度CNN的无线通信网络异常攻击检测框架

无线通信网络异常攻击检测过程如下：

(1) 从无线通信网络中获取初始网络日志信息。

(2) 对初始网络日志信息进行预处理。首先，使用特征提取器对采集到的初始信息进行特征提取，包括页面状态请求码、统一资源标识符(URI)、参数、HTTP 请求方式等；然后，将特征归一化为[0,1]。

(3) 图像化处理。将特征映射为二值化灰度图，并作为深度CNN输入层的输入值。

(4) 数据划分。将图像数据集划分为训练集、验证集和测试集。

(5) 模型学习与优化。在深度CNN学习过程中对参变量进行调整优化。首先，对参变量进行初始化；然后，训练深度CNN模型，验证数据集检测模型，依据验证结果调整参变量，直到模型达到最优；最后，获取已完成学习的最佳深度CNN模型。

(6) 获取分类预测结果。将测试数据集输入到最佳深度CNN网络模型中进行分类预测，得到结果。

2 实验分析

以某物流园区的无线通信网络为实验对象，该园区占地2.2 km2，分为东、西、南、北4个区域，实现了无线通信网络全覆盖，主要负责国际集装箱中转、仓储、拆拼、加工及其他相关的货运贸易、管理等信息的无线传输。

为了验证深度CNN模型的合理性，对其分类精度和训练损失进行检测。设输入长度为150、特征维数为3 600，检测结果如图3、图4所示。

图3 分类精度检测结果

图4 训练损失检测结果

由图3可知，当训练次数小于100次时，模型分类精度为80%～90%，但提升速度较快；当训练次数为[100，300]时，模型分类精度达到95%以上，且波动较小；当训练次数大于300次时，模型分类精度接近于100%，且较为稳定。由图4可知，当训练次数小于100次时，训练损失随着训练次数的增加而大幅度减少；当训练次数为[100，200]时，训练损失的减少幅度有所降低，但仍存在较大波动；当训练次数为(200，400]时，训练损失的减少趋势变缓，但波动较大；当训练次数大于400次时，训练损失接近于0，且呈收敛态势。由此可知，深度CNN模型具有分类精度高、网络损失小、收敛速度快等特点。

从入侵检测数据集ADFA-LD中选取Adduser、Hydra_SSH、Meterpreter和Webshell等4类数据作为攻击数据，对深度CNN模型的准确率、查全率、误报率等进行检测，结果如表1所示。

表1 深度CNN模型的检测结果

深度CNN模型的平均准确率和平均查全率均达到99.90%以上，平均误报率仅为0.01%，说明本方法对无线通信网络遭受异常攻击的检测有效且精准。

为了进一步验证本方法的有效性，对物流园区西区无线通信网络2021年11月25日的异常情况进行检测。首先，对西区无线通信网络日志进行信息采集和预处理，提取页面状态请求码、URI、参数、HTTP 请求方式等主要特征；然后，对相关特征进行归一化处理，并将其映射成二值化灰度图；最后，采用深度CNN模型对西区无线通信网络异常攻击进行检测，检测结果界面如图5所示。

图5 西区无线通信网络异常攻击检测结果界面

由图5可知，2021年11月25日西区无线通信网络遭受异常攻击共计39次，其中告警级别为1级的攻击34次，告警级别为2级的攻击5次，同时获取到了受异常攻击的IP地址及相关告警信息，且攻击时间主要集中在07:00 — 17:00。由此可见，本方法具有应用价值。

3 结 语

随着科技的发展，无线通信网络遭受异常攻击已成为常态化。为此，本次研究提出一种基于深度CNN的无线通信网络异常攻击检测方法，将提取到的网络日志相关特征进行预处理后，输入到深度CNN进行网络学习，得到最优检测模型。通过实验结果可知，本方法在各项评价指标方面都有较好的表现，适用于复杂网络异常攻击检测。