网络异常检测的关键技术应用

张波 王斌 吕齐

（国网金华供电公司 浙江省金华市 321000）

在互联网时代的发展下，网络对人们的生活产生了深刻影响，网民数量不断攀升，在互联网规模的扩大下，与之相关的设备、应用数量也越来越多，对于网络运行安全的要求也不断提升，网络信息安全是当前需要关注的重点问题。随着互联网与生活的结合，在线教育、智慧医疗、网络金融中产生了多元化的网络交互信息，网络安全的重要性不断凸显，各类网络攻击对网络安全造成了不同程度的影响。

近些年来，机器学习与网络安全领域实现了深度结合，利用机器学习的数据学习能力，根据部署好的模型，能够帮助监管人员分析网络状态是否存在异常，根据网络入侵类型来采用相应的规范措施。深度学习有着良好的自动提取特征能力，可形成模型函数拟合，能够区分出各类正常状态数据与异常状态数据，更好的抵御攻击。

1 入侵检测系统分析

在互联网+时代，网络信息安全任务变得更加繁重，入侵检测属于积极性的安全防护技术，能够对网络环节进行实时侦测，若存在异常网络状态，可发出预警与显示。在目前的现代化网络安全体系中，入侵检测技术的作用越来越重要，能够为计算机系统、网络提供实时防护。在通用化的入侵检测系统框架中，包括事务生成器、事务数据库、事务分析器以及响应模块组成。其中，事务生成器能够从系统中收集行为信息，将信息传递至其他部分；事务数据库是入侵检测系统的核心，能够对生成器中的行为信息进行统计、分析，生成分析报告；事务数据库负责信息的存储，进一步提升了事务分析器的判别能力；响应模块是响应和处理环节，能够明确不同入侵行为模式的特点，根据安全条例来采用相应的处理方式。

入侵检测系统的工作步骤包括：

（1）数据的采集：在网络、计算机中，设置多个侦测节点，包括软件实时运行状态、计算机内部系统日志、网络日志、防火墙日志、各类物理入侵行为信息组成。采集到的数据类型越丰富，整个系统的运行性能越高。

（2）数据的处理：在原始数据信息中，有大量的干扰信息，这类信息数据量大、维度高，如果直接分析，难度较高，对此，需要提前对数据内容进行数值转化和预处理。

（3）数据的分析：数据分析是其中的核心环节，关乎检测效果，因此，需要根据运行要求来不断优化数据分析方案，近年来，各类数据挖掘算法、机器学习算法得到了大规模应用，显著提升了入侵检测的效果。

（4）响应处理：根据分析结果，应用相应措施来处理网络异常，包括主动响应、被动响应两种方式，被动响应的时效性、积极性较弱，常见的响应方式有日志记录、系统警告等，主动响应可通过多种层面积极介入来阻断网络入侵问题。

2 深度学习下的网络异常检测关键技术分析

2.1 常见深度学习模型的应用

传统的神经网络在算法设计上主要是采用了反向传播的算法，但是由于其效率低下和容易陷入局部极小状态的缺点，导致在遇到复杂数据时的运算结果难以达到人们的预期，至此，深度学习算法应运而生，常见的深度学习模型，包括如下几种类型：

2.1.1 全连接神经网络

全连接神经网络属于基本神经网络结构，包括输入层、隐藏层以及输出层组成（全连接神经网络如图1 所示），输入层负责数据的收集，隐藏层可以设置为一层，也可设置为多层，各层之间利用权值连接，应用了非线性激活函数，为网络赋予了学习任意非线性函数的能力。应用了全连接神经网络后，可以显著提升检测的准确率，相较于以往的机器学习算法，有效优化了检测性能。同时，全连接神经网络增加了各层结点个数，但是，如果节点数和层数太多，会出现拟合问题，影响泛化能力，容易出现梯度爆炸的问题，因此，在实际操作中，很少使用纯全连接神经网络。

2.1.2 卷积神经网络

卷积神经网络是基于全连接神经网络基础上诞生，具有权值共享、稀疏连接、泻化功能，空间特征学习能力更强，应用卷积神经网络，可以有效的提取出网络流量的解空间特征。通过该种方式，做到了端对端加密流量异常检测，有效减少参数量，但是，在具体的应用过程中，也存在梯度消失、梯度爆炸问题，为了解决上述问题，可应用残差网络来提升网络深度和图片识别质量。

2.1.3 循环神经网络

循环神经网络能够利用隐藏状态单元，将各类信息传递至当前时刻，提取到流量的时序特征， 但是普通循环神经网络无法满足长时记忆要求，这就需要应用长短实记忆网络。在实际的操作中，可以将数据包作为“词汇”与“句子”，应用长短时记忆循环神经网络来分析网络时序行为。

2.1.4 生成式对抗网络

生成式对抗网络是非常具有发展潜力的生成式模型，包括判别器、生成器组成，是生成器负责伪造样本的生成，判别器负责训练环节，通过对模型的对抗、优化，达到纳什均衡目的。生成对抗网络有着良好的学习能力，在异常检测领域中，也具有良好的应用前景。目前，无监督学习得到了广泛使用。

2.1.5 多层感知器

多层感知器十分常见，也被称为人工神经网络、深度前馈网络，是颇具代表性的深度网络模型，在多层感知器的隐藏层中，可根据具体需求来设置。

2.2 深度学习下的网络异常检测关键技术

2.2.1 训练过程

深度学习下的网络异常检测关键技术应用的是自动学习，有效减少了对人力、时间造成的损耗，考虑到深度神经网络网络层数较多，会导致时间复杂性太高，出现严重化的欠拟合问题，影响最终效果。对此，可以应用自下而下非监督训练、自上而下监督训练相结合的处理方式。

首先，在深度网络系统中，输入没有标记的数据，在参数训练完成后，将相关数据输入到下一层，在每一层中，执行相同的学习过程，在最后一层的参数训练完毕后，结束深度神经网络训练。在该种非监督训练体系中，可将中间层权重调整成双向传递方式，调整向下传递权重，这有效解决了传统神经网络的拟合问题。

2.2.2 CNN 网络异常特征学习模型

在云计算、大数据的迅速发展下，深度神经网络成为了发展热门，并在多个领域的研究中取得了丰硕成绩，在这一方面，需要应用到卷积神经网络。在卷积神经网络中，原本每层神经元连接方式发生了变化，为少数部分样本赋予了训练集本质特征，不需要提前明确输入和输出的关系，就能够得到完整的映射关系，其算法的核心阶段包括正向传播、逆向传播两个阶段。在正向传播环节中，首先选择一个测试数据，通过第二层计算后，再将结果输入到第三层，利用层层运算得到输出值，随后即可进入逆向传播。

2.2.3 LeNet-5 网络异常检测模型

LeNet-5 网络异常检测模型是在CNN 网络结构基础上诞生，包括三层组成，即卷积层、采样层、全连接层，每一层，都有与之相对应的训练参数。

2.2.4 SVM 网络异常检测分类模型

在训练学习完毕后，需要对数据进行分类，网络异常行为数据集与传统的图像数据集不同，其类型只有正常、异常两类。在实际应用中，可应用SVM 分类器对特征数据进行输入训练，其中的重点在于最优超平面的确定。为了发挥出SVM 分类器的作用，需要科学设置参数，主要参数包括惩罚系数、核函数两类，惩罚系数就是将损耗的设置在目标函数中，在松弛变量一定的情况下，惩罚系数越小，对目标的把控越是宽松，惩罚系数越大，要求就越是严格。在参数的调整上，可采用及基于粒子群算法，通过对群体、个体的合作与数据共享，得到最优解。

3 结语

在互联网时代下，云计算、大数据得到了迅速发展，给人们的生活和生产带来了更多的便利，也更易受到网络攻击影响，当前，网络攻击变得更加灵活、复杂，破坏程度也更大，这让网络安全的重要性越来越凸显，网络异常行为的检测也成为当前网络安全的重点防御手段，受到了高度重视。在实际的应用过程中，需要根据网络异常检测要求来合理优化技术手段的使用，以此来确保网络的运行安全性。