基于改進RNN的網(wǎng)絡(luò)異常流量檢測研究

何欣峰 邢偉

摘 要：隨著計算機和網(wǎng)絡(luò)的發(fā)展，人們的生活已經(jīng)逐漸離不開網(wǎng)絡(luò)了，網(wǎng)絡(luò)的出現(xiàn)為人們的生活、工作和出行帶來了極大的便利。在這種情況下，檢測網(wǎng)絡(luò)流量，實時偵探出網(wǎng)絡(luò)流量異常變得十分重要。文章針對傳統(tǒng)網(wǎng)絡(luò)異常流量檢測方法的缺陷即無法自動提取特征和無法體現(xiàn)時序性的問題，設(shè)計了一個基于改進RNN的網(wǎng)絡(luò)異常流量檢測模型。該模型可以較好地預(yù)測網(wǎng)絡(luò)流量并通過與真實流量做對比進行網(wǎng)絡(luò)流量預(yù)警。與歷史傳統(tǒng)方法相比，該模型減輕了人工量并且較少了網(wǎng)絡(luò)參數(shù)，減少了訓練時間。

關(guān)鍵詞：RNN；異常流量；檢測

1 常見的網(wǎng)絡(luò)異常檢測方法

隨著計算機和網(wǎng)絡(luò)的發(fā)展，人們的生活已經(jīng)逐漸離不開網(wǎng)絡(luò)了，網(wǎng)絡(luò)的出現(xiàn)為人們的生活，工作和出行帶來了極大的便利[1-2]。據(jù)統(tǒng)計，截至2020年4月，中國網(wǎng)民使用網(wǎng)絡(luò)人數(shù)已經(jīng)達9.04億，互聯(lián)網(wǎng)普及率已經(jīng)達64.5%[3]。在這種情況下，檢測網(wǎng)絡(luò)流量，實時偵探出網(wǎng)絡(luò)流量異常變得十分重要。網(wǎng)絡(luò)異常分為網(wǎng)絡(luò)延遲、網(wǎng)絡(luò)掉包、網(wǎng)絡(luò)重發(fā)、數(shù)據(jù)篡改和網(wǎng)絡(luò)癱瘓等。據(jù)統(tǒng)計，2019年，網(wǎng)宿云安全平臺一共檢測并攔截了近12 178億次攻擊，其中，惡意爬蟲占據(jù)主要攻擊，超過三成來自于海外攻擊；分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊事件呈現(xiàn)了大流量、精準化趨勢；Web應(yīng)用攻擊手段更加趨于自動化和智能化[4-5]。所謂網(wǎng)絡(luò)異常檢測就是通過對網(wǎng)絡(luò)流量數(shù)據(jù)進行分析和預(yù)測對比，檢測出網(wǎng)絡(luò)中是否存在攻擊。

常用的網(wǎng)絡(luò)異常檢測方法主要分為4類：（1）基于數(shù)值計算的網(wǎng)絡(luò)異常檢測方法，主要是基于閾值的異常檢測，簡單來說，就是對挑選出來的參數(shù)給定一個閾值，當值不在該閾值內(nèi)時，系統(tǒng)就會報警，如恒定閾值檢測方法和自適應(yīng)的閾值檢測方法等。該方法雖然易于實現(xiàn)，但是由于閾值的難確定性以及失去了時序性的考慮，所以報警準確率較低。（2）基于動態(tài)檢測的網(wǎng)絡(luò)異常檢測方法，主要是指觀察相鄰流量值之間的變化，當變化相差較大異常時判定為異常，系統(tǒng)會報警，如Amy方法等。該方法對理論要求嚴格較難且也沒有考慮時序性。（3）基于傳統(tǒng)機器學習的網(wǎng)絡(luò)異常檢測方法是指通過機器學習的方法對網(wǎng)絡(luò)流量數(shù)據(jù)進行研究分析然后進行異常預(yù)警服務(wù)，如最小二乘支持向量機、K-均值（K-means）算法等[6]。該方法對特征的依賴性極大，選取不同的特征對檢測的準確度影響很大。（4）基于深度學習的網(wǎng)絡(luò)異常檢測方法，是指通過深度學習的方法對網(wǎng)絡(luò)流量數(shù)據(jù)進行研究分析然后進行異常預(yù)警服務(wù)，如lstm等。該方法解決了傳統(tǒng)機器學習中對特征性依賴性過大的問題[7]。

本文將深度學習模型CNN，RNN與網(wǎng)絡(luò)異常流量檢測相結(jié)合，設(shè)計了一個基于改進RNN的網(wǎng)絡(luò)異常流量檢測模型。該模型可以較好地對網(wǎng)絡(luò)流量進行檢測與預(yù)警。

2 相關(guān)工作

2.1 網(wǎng)絡(luò)異常流量檢測

網(wǎng)絡(luò)異常流量檢測作為一種強有力的防護手段，能夠及時的發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，對網(wǎng)絡(luò)提供重要的技術(shù)支持，近幾年來變得越來越重要。引起網(wǎng)絡(luò)流量異常的原因通常分為兩種[8]：（1）物理問題，特指網(wǎng)絡(luò)結(jié)構(gòu)中出現(xiàn)的物理設(shè)備故障或者物理網(wǎng)絡(luò)設(shè)計不合理產(chǎn)生的網(wǎng)絡(luò)堵塞。物理問題造成的網(wǎng)絡(luò)流量異常是難以發(fā)現(xiàn)的，且解決必須人工。（2）安全問題，特指由于網(wǎng)絡(luò)攻擊行為產(chǎn)生的網(wǎng)絡(luò)流量異常，如蠕蟲病毒、DDoS攻擊等。安全問題造成的網(wǎng)絡(luò)流量異常是比較常見的。

常用的網(wǎng)絡(luò)異常檢測主要分為4類：基于數(shù)值計算的網(wǎng)絡(luò)異常檢測方法、基于動態(tài)檢測的網(wǎng)絡(luò)異常檢測方法、基于傳統(tǒng)機器學習的網(wǎng)絡(luò)異常檢測方法和基于深度學習的網(wǎng)絡(luò)異常檢測方法。這些方法的差異性如圖1所示。對于基于數(shù)值計算、基于動態(tài)檢測的網(wǎng)絡(luò)異常檢測方法都是人工設(shè)計的，不具備自主學習能力，而基于傳統(tǒng)機器學習和基于深度學習的網(wǎng)絡(luò)異常檢測方法在匹配特征上可以機器自動學習。對于基于數(shù)值計算、基于動態(tài)檢測和基于傳統(tǒng)機器學習的網(wǎng)絡(luò)異常檢測方法都使用了手工設(shè)計的程序具有主觀性，特征設(shè)計較困難，而深度學習方法卻可以較好的解決該問題。近幾年的實驗結(jié)果證明借助深度學習的獨特能力，可以克服以往方法的缺陷，進一步提高網(wǎng)絡(luò)異常流量檢測的能力[9-11]。

本文將深度學習算法與網(wǎng)絡(luò)異常流量檢測相結(jié)合，設(shè)計了一個基于改進RNN的網(wǎng)絡(luò)異常流量檢測方法。

2.2 時間序列模型

網(wǎng)絡(luò)流量是體現(xiàn)網(wǎng)絡(luò)運行狀態(tài)和性能狀態(tài)的關(guān)鍵指標，是隨時間變化的[12]。因此，可以將它砍成一個時間序列，用時間序列的分析方法去解決該問題[13]。時間序列是指按照時間順序排列、隨時間變化的且相互之間有關(guān)系的序列，而時間序列模型就是專門針對時間序列而設(shè)計的模型。針對預(yù)測變量的區(qū)別，可以分為單變量時間序列模型和多變量時間序列模型。

常用的時間序列模型包括：（1）自回歸模型（Autoregressive Model，AR），是假設(shè)數(shù)據(jù)是符合線性關(guān)系的，用回歸分析中的線性回歸方法來分析模擬。該方法需要的數(shù)據(jù)不多，利用自身的數(shù)據(jù)數(shù)列就可以進行預(yù)測，較方便，但必須預(yù)測與前期相關(guān)的序列。（2）移動平均模型（Moving Average Model，MA），其假設(shè)是指當前時刻的值是過去q階白噪聲的線性組合。該方法需要的數(shù)據(jù)不多，但是其當前時刻的數(shù)據(jù)也與歷史數(shù)據(jù)關(guān)聯(lián)性較大。（3）自回歸移動平均模型（Autoregressive Moving Average Model，ARMA），AR與MA混合而成的模型，可以解決很大一部分的實際問題。但是其當前時刻的數(shù)據(jù)也得與歷史數(shù)據(jù)有較大關(guān)聯(lián)性。

2.3 RNN

循環(huán)神經(jīng)網(wǎng)絡(luò)（Recurrent Neural Network，RNN）的結(jié)果如圖2所示。該網(wǎng)絡(luò)中有一個特殊的單元即記憶單元，記憶單元是RNN的關(guān)鍵所在。RNN的記憶單元會保存隱藏層的狀態(tài)，即保存上一個時刻的狀態(tài)。然后在第t+1時刻的真實輸入是記憶單元中的內(nèi)容和t+1時刻的輸入。RNN每個時刻隱藏層的輸出都會傳遞給下一時刻，因此每個時刻的網(wǎng)絡(luò)都會保留一定的來自之前時刻的歷史信息，并結(jié)合當前時刻的網(wǎng)絡(luò)狀態(tài)一并再傳給下一時刻。

RNN在理論上可以很好地解決序列數(shù)據(jù)模擬和預(yù)測問題。但是他存在梯度消失的問題，尤其是序列越長時梯度越容易消失[14-15]。

3 基于RNN的網(wǎng)絡(luò)異常流量檢測

3.1 總模型

本文的數(shù)據(jù)集是流量特征向量，每個特征之間不具備相關(guān)性。本文總模型結(jié)構(gòu)如圖3所示，主要包含5個步驟。

步驟1：數(shù)據(jù)預(yù)處理。主要作用是將不同尺度的數(shù)據(jù)標準化映射到[0，1]。若不經(jīng)過該步驟的話，不同尺度的數(shù)據(jù)對模型就會因為單位評價標準不同產(chǎn)生較大的影響。本文所采用的數(shù)據(jù)預(yù)處理算法如下：

步驟2：構(gòu)建RNN模型。本文構(gòu)造的RNN模型主要分為兩塊：CNN特征提取塊，RNN時序預(yù)測塊。

模塊1：CNN特征提取塊。本文構(gòu)建CNN特征提取塊的目的是從原始特征向量中提取出與最終流量關(guān)聯(lián)性最大的特征。該模塊減少了算法復(fù)雜度和參數(shù)量。該塊的結(jié)構(gòu)如圖4所示，即由卷積層、池化層和全連接層串聯(lián)而成。

模塊2：RNN時序預(yù)測塊。本文構(gòu)建的RNN時序預(yù)測塊其核心如圖5所示，即當前時刻的輸出值取決于上一個時刻的狀態(tài)與當前時刻的值。第t個時刻的輸出為：

步驟3：訓練。根據(jù)最后預(yù)測到的結(jié)果與真實結(jié)果相比較計算其損失，通過反向傳播傳遞到前進行不斷的迭代訓練更新模型參數(shù)直到模型最終收斂。

步驟4：測試。當在訓練集合上模型訓練好了后，就將測試集的數(shù)據(jù)放入訓練好的模型進行預(yù)測。根據(jù)預(yù)測出來的預(yù)測值與真實值進行比較計算誤差，判斷該模型的性能。若效果好則停止整個過程，若效果不好，則將重新訓練。

步驟5：真實實時數(shù)據(jù)預(yù)警。當模型已經(jīng)訓練好了之后，當真實實時數(shù)據(jù)進來時，將其輸入訓練好的模型預(yù)測下一個時刻的流量值，當下一個時刻的真實值進來時，比較其與預(yù)測值的大小，若相差較大，即預(yù)警；否則不做操作。

3.2 模型的有效性與優(yōu)勢

本文使用的方法可以有效的體現(xiàn)網(wǎng)絡(luò)流量的時間序列性能。與此同時，該方法可以減少人工挑選特征的困難性，將原始的流量特征輸入模型，讓模型自主去選擇和學習各特征與流量值之間的關(guān)聯(lián)性。

4 結(jié)語

本文分析了網(wǎng)絡(luò)異常流量產(chǎn)生的原因與弊端，將深度學習模型能從原始數(shù)據(jù)中自動提取高層特征和RNN時序網(wǎng)絡(luò)相結(jié)合提出了一種基于改進RNN的網(wǎng)絡(luò)異常流量檢測模型。該模型可以較好的預(yù)測網(wǎng)絡(luò)流量當真實的網(wǎng)絡(luò)流量與預(yù)測值相差較大時，可直接判斷為異常流量進行預(yù)警。本文根據(jù)歷史模型無法體現(xiàn)流量時序性以及無法自動提取流量特征的問題，提出了一種較合理的網(wǎng)絡(luò)異常流量判斷模型。

[參考文獻]

[1]丁美美.基于主成分分析的網(wǎng)絡(luò)流量異常檢測研究[D].北京：北京交通大學，2017.

[2]張紅福.基于流量的網(wǎng)絡(luò)異常檢測方法研究[D].桂林：桂林電子科技大學，2018.

[3]中國互聯(lián)網(wǎng)研究中心.第45次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》[EB/OL].（2018-08-20）[2021-11-23].http：//www.cac.gov.cn/2020-04/27/c_1589535470378587.htm.

[4]杭夢鑫，陳偉，張仁杰.基于改進的一維卷積神經(jīng)網(wǎng)絡(luò)的異常流量檢測[J].計算機應(yīng)用，2021（2）：433-440.

[5]孫友添.2019年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告出爐[J].計算機與網(wǎng)絡(luò)，2020（20）：16-19.

[6]張艷升，李喜旺，李丹，等.基于卷積神經(jīng)網(wǎng)絡(luò)的工控網(wǎng)絡(luò)異常流量檢測[J].計算機應(yīng)用，2019（5）：1512-1517.

[7]蘇孟輝.基于時間序列的網(wǎng)絡(luò)流量檢測系統(tǒng)的設(shè)計與實現(xiàn)[D].廣州：華南理工大學，2015.

[8]PRESS C. Network anomaly detection：a machine learning perspective[J].Endocrinology，2013（45）：455-463.

[9]陳冠衡，蘇金樹.基于深度神經(jīng)網(wǎng)絡(luò)的異常流量檢測算法[J].信息網(wǎng)絡(luò)安全，2019（6）：68-75.

[10]王軍峰.基于深度學習的網(wǎng)絡(luò)流量分類及異常檢測方法研究[J].締客世界，2019（1）：1.

[11]黎佳玥，趙波，李想，等.基于深度學習的網(wǎng)絡(luò)流量異常預(yù)測方法[J].計算機工程與應(yīng)用，2020（6）：39-50.

[12]榮利.網(wǎng)絡(luò)流量的監(jiān)測與控制方法的設(shè)計與實現(xiàn)[D].北京：北京郵電大學，2012.

[13]姜明，吳春明，張旻，等.網(wǎng)絡(luò)流量預(yù)測中的時間序列模型比較研究[J].電子學報，2009（11）：2353-2358.

[14]蘇蘭瑩，劉桂霞，楊雅輝，等.采用結(jié)構(gòu)與參數(shù)訓練相結(jié)合的RNN模型構(gòu)建基因調(diào)控網(wǎng)絡(luò)[J].吉林大學學報（理學版），2010（2）：134-140.

[15]潘麗敏，閆晗，羅森林，等.RNN模型的逐點損失估計優(yōu)化方法：109961143A[P].2019.

（編輯 傅金睿）

Research on network abnormal traffic detection based on improved RNN

He Xinfeng， Xing Wei

（Jiangsu Golden Shield Detection Technology Co.， Ltd.， Nanjing 210042， China）

Abstract：With the development of computer and network， people’s life has been gradually inseparable from the network. The emergence of the network has brought great convenience to people’s life， work and travel. In this case， it is very important to detect network traffic and detect network traffic anomalies in real time. In this paper， aiming at the defects of traditional network abnormal traffic detection methods， that is， unable to extract features automatically and can not reflect the timing， a network abnormal traffic detection model based on improved RNN is designed. This model can better predict the network traffic and carry on the network traffic early warning by comparing with the real traffic. Compared with the traditional historical methods， this model reduces the amount of labor and network parameters， and reduces the training time.

Key words：RNN；abnormal flow；detection