基于多項(xiàng)式前向神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全檢測(cè)機(jī)制

任曉磊

(山西工程科技職業(yè)大學(xué),山西 晉中 030619)

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展,校園網(wǎng)絡(luò)已經(jīng)成為學(xué)生學(xué)習(xí)、教師工作、學(xué)校管理的重要基礎(chǔ)設(shè)施。但同時(shí),網(wǎng)絡(luò)攻擊也不斷增加,給校園網(wǎng)絡(luò)安全帶來(lái)了巨大的挑戰(zhàn)。為了保護(hù)校園網(wǎng)絡(luò)的安全,各種安全檢測(cè)機(jī)制被廣泛使用。然而,傳統(tǒng)的安全檢測(cè)方法往往需要人工進(jìn)行監(jiān)測(cè)和管理,效率低下且容易出錯(cuò)[1]。因此,研究一種高效、準(zhǔn)確的校園網(wǎng)絡(luò)安全檢測(cè)機(jī)制變得尤為重要。本文提出了一種基于多項(xiàng)式前向神經(jīng)網(wǎng)絡(luò)的校園網(wǎng)絡(luò)安全檢測(cè)機(jī)制。該機(jī)制使用前向神經(jīng)網(wǎng)絡(luò)對(duì)校園網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行監(jiān)測(cè),并通過(guò)多項(xiàng)式函數(shù)對(duì)數(shù)據(jù)流進(jìn)行建模和分類(lèi)。實(shí)驗(yàn)證明,該機(jī)制能夠有效地檢測(cè)和防范校園網(wǎng)絡(luò)中的各種攻擊行為,具有很高的實(shí)用性和可靠性。

1 相關(guān)工作

校園網(wǎng)絡(luò)安全檢測(cè)領(lǐng)域的研究工作主要集中在以下幾個(gè)方面:

1) 基于機(jī)器學(xué)習(xí)的安全檢測(cè)方法。這種方法通過(guò)訓(xùn)練機(jī)器學(xué)習(xí)模型來(lái)識(shí)別網(wǎng)絡(luò)中的異常流量和攻擊行為。常用的機(jī)器學(xué)習(xí)算法包括支持向量機(jī)、隨機(jī)森林、神經(jīng)網(wǎng)絡(luò)等[2]。

2) 基于流量特征的安全檢測(cè)方法。這種方法通過(guò)對(duì)網(wǎng)絡(luò)流量的特征進(jìn)行分析來(lái)檢測(cè)異常流量和攻擊行為。常用的特征包括數(shù)據(jù)包大小、數(shù)據(jù)包個(gè)數(shù)、數(shù)據(jù)包到達(dá)時(shí)間間隔等[3]。

3) 基于深度學(xué)習(xí)的安全檢測(cè)方法。這種方法通過(guò)深度神經(jīng)網(wǎng)絡(luò)來(lái)識(shí)別網(wǎng)絡(luò)中的異常流量和攻擊行為。常用的深度學(xué)習(xí)算法包括卷積神經(jīng)網(wǎng)絡(luò)、遞歸神經(jīng)網(wǎng)絡(luò)、長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)等[4]。

這些方法在校園網(wǎng)絡(luò)安全檢測(cè)中都取得了一定的成果。然而,這些方法也存在一些問(wèn)題。例如,機(jī)器學(xué)習(xí)方法需要大量的訓(xùn)練數(shù)據(jù),且對(duì)于新的攻擊形式需要重新訓(xùn)練模型;基于流量特征的方法容易受到攻擊者的欺騙;深度學(xué)習(xí)方法需要大量的計(jì)算資源和時(shí)間。

2 多項(xiàng)式前向神經(jīng)網(wǎng)絡(luò)

本文中使用的多項(xiàng)式前向神經(jīng)網(wǎng)絡(luò)(Polynomial Feedforword Artificial Neural Network,PFANN)是一種三層結(jié)構(gòu)的前向神經(jīng)網(wǎng)絡(luò),使用fhide(x)=(x+θ)P,其中θ為學(xué)習(xí)率,作為隱含層的激活函數(shù),輸出層采用線(xiàn)性函數(shù),其優(yōu)點(diǎn)是能收斂到全局最小,從而克服PNN算法易陷入局部極小的不足;誤差函數(shù)是單調(diào)遞減的,能夠克服PNN算法出現(xiàn)震蕩的情況。根據(jù)前向神經(jīng)網(wǎng)絡(luò)的輸出結(jié)果,使用多項(xiàng)式函數(shù)對(duì)數(shù)據(jù)流進(jìn)行建模,因?yàn)槎囗?xiàng)式函數(shù)是一種常用的數(shù)學(xué)模型,可以較準(zhǔn)確地描述數(shù)據(jù)流的行為特征。

3 多項(xiàng)式前向神經(jīng)網(wǎng)絡(luò)安全檢測(cè)機(jī)制

本文提出了一種基于多項(xiàng)式前向神經(jīng)網(wǎng)絡(luò)的校園網(wǎng)絡(luò)安全檢測(cè)機(jī)制。該機(jī)制的主要思想是使用前向神經(jīng)網(wǎng)絡(luò)對(duì)校園網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行監(jiān)測(cè),并通過(guò)多項(xiàng)式函數(shù)對(duì)數(shù)據(jù)流進(jìn)行建模和分類(lèi)。具體來(lái)說(shuō),該機(jī)制包括以下步驟:

3.1 數(shù)據(jù)收集和數(shù)據(jù)預(yù)處理

本文主要對(duì)校園網(wǎng)邊界防火墻與對(duì)接運(yùn)營(yíng)商網(wǎng)絡(luò)路由器接口處的報(bào)文數(shù)據(jù)進(jìn)行采集,并將數(shù)據(jù)流進(jìn)行預(yù)處理。從原始數(shù)據(jù)中選擇最具代表性的特征,以減少模型的復(fù)雜度和計(jì)算量。在校園網(wǎng)絡(luò)安全檢測(cè)中,特征選擇的目的是找到最能反映網(wǎng)絡(luò)攻擊和異常的特征,然后對(duì)收集到的數(shù)據(jù)進(jìn)行歸一化[5],具體如下:

(1)

3.2 多項(xiàng)式函數(shù)建模

fin(x)=x.

(2)

fhide(x)=(x+θ)p.

(3)

fout(x)=x.

(4)

(5)

(6)

(7)

上式中輸入層、隱含層和輸出層節(jié)點(diǎn)之間的連接權(quán)值為vki和wjk,初始權(quán)值在[-1,1]之間隨機(jī)選取,l表示隱含層的節(jié)點(diǎn)數(shù)量,還需滿(mǎn)足如下條件:

(8)

對(duì)于wjk的更新方法可以使用最速下降法,設(shè)β為學(xué)習(xí)率:

(9)

求vki的問(wèn)題可以用如下算法進(jìn)行更新:

(10)

3.3 對(duì)非法數(shù)據(jù)的檢測(cè)識(shí)別方法

1) 使用信息通信技術(shù)對(duì)校園網(wǎng)絡(luò)防火墻出口通信數(shù)據(jù)進(jìn)行實(shí)時(shí)采集,組成訓(xùn)練數(shù)據(jù)集。

2) 對(duì)采集數(shù)據(jù)進(jìn)行比例劃分,形成訓(xùn)練樣本和驗(yàn)證樣本數(shù)據(jù)集。

3) 設(shè)置多項(xiàng)式前向神經(jīng)網(wǎng)絡(luò)的初始權(quán)值vki、wjk,以及識(shí)別非法數(shù)據(jù)檢測(cè)的閾值。

4) 在多項(xiàng)式前向神經(jīng)網(wǎng)絡(luò)中導(dǎo)入非法數(shù)據(jù)與訓(xùn)練數(shù)據(jù)的集合樣本進(jìn)行訓(xùn)練,并更新vki和wjk的值。

5) 將非法數(shù)據(jù)的檢測(cè)結(jié)果與設(shè)置好的閾值進(jìn)行比對(duì),如果大于閾值,多項(xiàng)式前向神經(jīng)網(wǎng)絡(luò)對(duì)vki和wjk的值進(jìn)行反向更新,否則停止訓(xùn)練。

6) 在訓(xùn)練完成的多項(xiàng)式前向神經(jīng)網(wǎng)絡(luò)中引入收集到的校園網(wǎng)絡(luò)非法數(shù)據(jù)與用于驗(yàn)證的樣本集合進(jìn)行識(shí)別,并輸入檢測(cè)與識(shí)別結(jié)果。

7) 根據(jù)多項(xiàng)式函數(shù)的系數(shù)和閾值,對(duì)數(shù)據(jù)流進(jìn)行分類(lèi),判斷其是否為正常流量或攻擊行為。如果數(shù)據(jù)流被判定為攻擊行為,則采取相應(yīng)的防御措施,例如啟動(dòng)校園網(wǎng)信息安全預(yù)警,調(diào)用IPS等網(wǎng)絡(luò)安全設(shè)備攔截非法攻擊數(shù)據(jù)。

4 實(shí)驗(yàn)結(jié)果實(shí)例驗(yàn)證

4.1 檢測(cè)數(shù)據(jù)

使用MATLAB對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行仿真測(cè)試,為了評(píng)估本文提出的校園網(wǎng)絡(luò)安全檢測(cè)機(jī)制的效果,在一個(gè)真實(shí)的校園網(wǎng)絡(luò)環(huán)境下進(jìn)行了實(shí)驗(yàn),同時(shí)與單一的硬件技術(shù)、軟件技術(shù)、以及其他檢測(cè)技術(shù)[1]進(jìn)行對(duì)比測(cè)試。

4.2 測(cè)試結(jié)果分析

通過(guò)收集五個(gè)不同時(shí)段的校園網(wǎng)路由器接口的通信數(shù)據(jù)進(jìn)行檢測(cè)識(shí)別,在圖1中可以體現(xiàn)出本文檢測(cè)機(jī)制對(duì)比其他檢測(cè)方法對(duì)非法數(shù)據(jù)識(shí)別的正確率,分別對(duì)比單一的硬件技術(shù)識(shí)別正確率為86.86%,軟件技術(shù)識(shí)別正確率為87.27%,其他檢測(cè)技術(shù)[1]識(shí)別的正確率91.71%,本文的檢測(cè)機(jī)制的識(shí)別正確率為93.35%。

圖1 多項(xiàng)式前向神經(jīng)網(wǎng)絡(luò)對(duì)非法數(shù)據(jù)識(shí)別的正確率

表1 5個(gè)不同時(shí)段的校園網(wǎng)非法數(shù)據(jù)數(shù)量

圖2為對(duì)五個(gè)不同時(shí)段的校園網(wǎng)非法數(shù)據(jù)識(shí)別時(shí)間,如圖2所示單一的硬件技術(shù)的識(shí)別時(shí)間為6.03 ms,單一軟件技術(shù)識(shí)別時(shí)間為5.51 ms,其他檢測(cè)技術(shù)中的識(shí)別時(shí)間為3.81 ms。本文檢測(cè)機(jī)制[1]的識(shí)別時(shí)間為3.33 ms,對(duì)比以上三種檢測(cè)技術(shù)本文的檢測(cè)機(jī)制分別減少了2.7 ms,2.18 ms和0.48 ms。

圖2 多項(xiàng)式前向神經(jīng)網(wǎng)絡(luò)對(duì)非法數(shù)據(jù)識(shí)別的時(shí)間

5 結(jié)論

本文提出了一種基于多項(xiàng)式前向神經(jīng)網(wǎng)絡(luò)的校園網(wǎng)絡(luò)安全檢測(cè)機(jī)制。該機(jī)制使用前向神經(jīng)網(wǎng)絡(luò)對(duì)校園網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行監(jiān)測(cè),并通過(guò)多項(xiàng)式函數(shù)對(duì)數(shù)據(jù)流進(jìn)行建模和分類(lèi)。實(shí)驗(yàn)證明,該機(jī)制能夠有效地檢測(cè)和防范校園網(wǎng)絡(luò)中的各種攻擊行為,對(duì)非法數(shù)據(jù)檢測(cè)的成功率超過(guò)93%,并實(shí)現(xiàn)了在線(xiàn)預(yù)警和實(shí)時(shí)攔截功能,在大幅降低網(wǎng)絡(luò)安全硬件設(shè)備資金投入的同時(shí),還具有很高的實(shí)用性和可靠性。未來(lái),我們將進(jìn)一步完善該機(jī)制的實(shí)現(xiàn)方法和算法,以更好地保障校園網(wǎng)絡(luò)的安全。