基于Merkle哈希樹(shù)的通信網(wǎng)絡(luò)異常數(shù)據(jù)流自動(dòng)識(shí)別方法

摘要：為解決通信網(wǎng)絡(luò)在高異常數(shù)據(jù)比例下識(shí)別模型性能退化、F1值偏低的問(wèn)題，文章設(shè)計(jì)了一種基于Merkle哈希樹(shù)的通信網(wǎng)絡(luò)異常數(shù)據(jù)流自動(dòng)識(shí)別方法。對(duì)通信網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行預(yù)處理，以消除噪聲和冗余信息；通過(guò)設(shè)定合理的閾值對(duì)異常評(píng)分進(jìn)行比較，從而提取出關(guān)鍵的異常數(shù)據(jù)流特征；利用Merkle哈希樹(shù)，建立一個(gè)高效的異常數(shù)據(jù)識(shí)別模型，該模型通過(guò)哈希樹(shù)節(jié)點(diǎn)的連接機(jī)制，在層級(jí)間有效傳遞信息，實(shí)現(xiàn)對(duì)通信網(wǎng)絡(luò)中異常數(shù)據(jù)流的自動(dòng)識(shí)別。實(shí)驗(yàn)結(jié)果表明，相較于傳統(tǒng)方法，基于Merkle哈希樹(shù)的通信網(wǎng)絡(luò)異常數(shù)據(jù)流自動(dòng)識(shí)別方法在各個(gè)數(shù)據(jù)集上的表現(xiàn)更為優(yōu)越，特別是在數(shù)據(jù)集4中，取得了0.93的F1值，證明該方法識(shí)別通信網(wǎng)絡(luò)異常數(shù)據(jù)流的準(zhǔn)確性和可靠性，幾乎無(wú)遺漏。

關(guān)鍵詞：Merkle哈希樹(shù)；通信網(wǎng)絡(luò)；哈希樹(shù)節(jié)點(diǎn)；異常數(shù)據(jù)流；自動(dòng)識(shí)別

中圖分類號(hào)：TN913 "文獻(xiàn)標(biāo)志碼：A

0 引言

隨著通信網(wǎng)絡(luò)的快速發(fā)展，異常數(shù)據(jù)流的出現(xiàn)日益頻繁，給網(wǎng)絡(luò)的健康運(yùn)行帶來(lái)了巨大挑戰(zhàn)。因此，通信網(wǎng)絡(luò)異常數(shù)據(jù)流的自動(dòng)識(shí)別技術(shù)成為當(dāng)前研究的熱點(diǎn)和難點(diǎn)。在現(xiàn)有研究中，徐胤博等［1］采用聚類算法對(duì)通信網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行分類，以識(shí)別異常數(shù)據(jù)流。該方法基于數(shù)據(jù)的分布特性，將異常數(shù)據(jù)視為與正常數(shù)據(jù)分布不同的類別。通過(guò)聚類算法，該方法能夠在一定程度上實(shí)現(xiàn)對(duì)異常數(shù)據(jù)流的檢測(cè)。田銀磊等［2］利用神經(jīng)網(wǎng)絡(luò)在異常檢測(cè)領(lǐng)域的強(qiáng)大潛力，提出一種基于神經(jīng)網(wǎng)絡(luò)的異常數(shù)據(jù)識(shí)別方法。神經(jīng)網(wǎng)絡(luò)以其獨(dú)特的非線性映射能力和自學(xué)習(xí)能力，能夠自動(dòng)學(xué)習(xí)數(shù)據(jù)中的特征并識(shí)別異常。然而，面對(duì)日益復(fù)雜的網(wǎng)絡(luò)環(huán)境和不斷變化的攻擊手段，這些方法已難以滿足實(shí)際需求。面對(duì)這些挑戰(zhàn)，本文提出一種基于Merkle哈希樹(shù)的通信網(wǎng)絡(luò)異常數(shù)據(jù)流自動(dòng)識(shí)別方法。Merkle哈希樹(shù)作為一種高效的數(shù)據(jù)結(jié)構(gòu)，在數(shù)據(jù)完整性驗(yàn)證和可擴(kuò)展性方面具有顯著優(yōu)勢(shì)。將Merkle哈希樹(shù)應(yīng)用于通信網(wǎng)絡(luò)異常數(shù)據(jù)流的識(shí)別中，實(shí)現(xiàn)對(duì)數(shù)據(jù)的快速檢索和比對(duì)，從而準(zhǔn)確識(shí)別出異常數(shù)據(jù)流。預(yù)處理通信網(wǎng)絡(luò)數(shù)據(jù)流，提取關(guān)鍵異常數(shù)據(jù)流特征，利用Merkle哈希樹(shù)建立異常識(shí)別模型，通過(guò)其層級(jí)結(jié)構(gòu)和節(jié)點(diǎn)連接機(jī)制增強(qiáng)識(shí)別能力，實(shí)現(xiàn)異常數(shù)據(jù)流的自動(dòng)識(shí)別，為網(wǎng)絡(luò)管理員提供及時(shí)、準(zhǔn)確的異常信息，支持快速響應(yīng)和處理，確保在復(fù)雜網(wǎng)絡(luò)環(huán)境中保持高效檢測(cè)能力。

1 預(yù)處理通信網(wǎng)絡(luò)數(shù)據(jù)流

在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)部署監(jiān)測(cè)設(shè)備，實(shí)時(shí)捕獲流經(jīng)的通信數(shù)據(jù)包，對(duì)這些數(shù)據(jù)包進(jìn)行詳細(xì)的篩選和解析，提取出有價(jià)值的信息，如數(shù)據(jù)流量、傳輸協(xié)議、源地址和目標(biāo)地址等，這些數(shù)據(jù)流信息能夠直觀反映網(wǎng)絡(luò)的運(yùn)行狀態(tài)［3］。

由于設(shè)備性能的限制和外部環(huán)境的干擾，數(shù)據(jù)流常常摻雜著噪聲和冗余信息，這些因素會(huì)損害數(shù)據(jù)流的平穩(wěn)性和一致性，進(jìn)而對(duì)數(shù)據(jù)分析的準(zhǔn)確性和有效性構(gòu)成挑戰(zhàn)。為提升通信網(wǎng)絡(luò)數(shù)據(jù)流的質(zhì)量，預(yù)處理步驟至關(guān)重要。設(shè)定數(shù)據(jù)流為xi，其中i表示數(shù)據(jù)流的索引［4］。歸一化方法通常將數(shù)據(jù)映射到一個(gè)標(biāo)準(zhǔn)區(qū)間［-1，1］內(nèi)。歸一化表示為：

xi=xi-minxmaxx-minx×2-1

式中，minx表示數(shù)據(jù)流x中的最小值，maxx表示數(shù)據(jù)流x中的最大值。

在通信網(wǎng)絡(luò)數(shù)據(jù)流的預(yù)處理階段，為了確保與Merkle哈希樹(shù)異常識(shí)別算法的兼容性，將數(shù)據(jù)流轉(zhuǎn)化為哈希值的形式。對(duì)于給定的數(shù)據(jù)流xi，采用分段哈希的方法來(lái)進(jìn)行處理。定義一個(gè)函數(shù)HashingSegment（xi，w），其中w表示滑動(dòng)窗口的大小。該函數(shù)將xi劃分為長(zhǎng)度為w的連續(xù)片段并對(duì)每個(gè)片段執(zhí)行哈希運(yùn)算，生成相應(yīng)的哈希值序列Hi。通過(guò)這種方式，確保輸入和輸出的形式均為哈希值，從而適應(yīng)Merkle哈希樹(shù)的處理要求［5］。表示為：

Hi=［h1，h2，…，hn］=HashingSegment（xi，w）（2）

式中，hi表示第i個(gè)數(shù)據(jù)片段的哈希值，n表示數(shù)據(jù)片段的總數(shù)。

2 提取通信網(wǎng)絡(luò)異常數(shù)據(jù)流特征

在通信網(wǎng)絡(luò)異常數(shù)據(jù)流的特征提取過(guò)程中，首先定義預(yù)處理后的通信網(wǎng)絡(luò)數(shù)據(jù)流動(dòng)態(tài)特征為Dt，其中t表示時(shí)間。結(jié)合數(shù)據(jù)的局部性特征Lf和結(jié)構(gòu)化特征Sf，對(duì)Dt進(jìn)行分析，通過(guò)數(shù)學(xué)公式進(jìn)行融合：

E=f（Dt，Lf，Sf）（3）

式中，f表示一種映射函數(shù)，將數(shù)據(jù)流、局部性特征和結(jié)構(gòu)化特征映射到特征空間。利用異常數(shù)據(jù)樣本庫(kù)中的哈希值數(shù)據(jù)Hi，通過(guò)相似度計(jì)算得到一個(gè)異常評(píng)分As［6］：

As=Model（Hi，E）（4）

式中，Model表示相似度算法。

異常評(píng)分As能夠量化數(shù)據(jù)流的異常程度。設(shè)定一個(gè)合理的閾值與這個(gè)異常評(píng)分進(jìn)行比較，從而判斷數(shù)據(jù)流是否處于異常狀態(tài)?；跉v史數(shù)據(jù)的統(tǒng)計(jì)分析和專家經(jīng)驗(yàn)因素的綜合考慮。閾值為：

T=μ+0.95σ（5）

式中，μ表示異常評(píng)分均值，σ表示標(biāo)準(zhǔn)差。

當(dāng)Asgt;T時(shí)，認(rèn)為數(shù)據(jù)流中存在異常特征，此時(shí)異常數(shù)據(jù)流特征提取的過(guò)程就被視為完成。相反，如果Aslt;T，則說(shuō)明數(shù)據(jù)流在正常范圍內(nèi)，沒(méi)有出現(xiàn)明顯的異常特征。

3 利用Merkle哈希樹(shù)建立異常數(shù)據(jù)流識(shí)別模型

在建立異常數(shù)據(jù)流識(shí)別模型中，采用Merkle哈希樹(shù)算法來(lái)確保數(shù)據(jù)流的完整性和可驗(yàn)證性。在建立基于Merkle哈希樹(shù)的異常數(shù)據(jù)流識(shí)別模型中，系統(tǒng)首先會(huì)在新數(shù)據(jù)流首次出現(xiàn)時(shí)進(jìn)行初始化操作：根據(jù)數(shù)據(jù)流的特征向量計(jì)算各自的哈希值并將這些哈希值作為Merkle哈希樹(shù)的葉子節(jié)點(diǎn)。采用遞歸方法，將相鄰葉子節(jié)點(diǎn)的哈希值逐級(jí)合并，以構(gòu)建完整的Merkle哈希樹(shù)，直至計(jì)算出根哈希值［7］。對(duì)于持續(xù)監(jiān)測(cè)的數(shù)據(jù)流，當(dāng)其特征向量發(fā)生變化時(shí)，系統(tǒng)會(huì)自動(dòng)觸發(fā)更新機(jī)制，重新計(jì)算受影響的葉子節(jié)點(diǎn)及其所有上級(jí)祖先節(jié)點(diǎn)的哈希值，確保Merkle哈希樹(shù)能夠?qū)崟r(shí)準(zhǔn)確地反映數(shù)據(jù)流的最新變化狀態(tài)。哈希樹(shù)的結(jié)構(gòu)如圖1所示。

k和l分別代表樹(shù)的層級(jí)和節(jié)點(diǎn)索引。第k層的第l個(gè)節(jié)點(diǎn)標(biāo)記為M（k，l）。對(duì)于每個(gè)網(wǎng)絡(luò)數(shù)據(jù)項(xiàng)，將其標(biāo)記為Dl。Merkle哈希樹(shù)是通過(guò)遞歸地執(zhí)行哈希函數(shù)來(lái)逐步構(gòu)建成的，其中H（Dl）表示數(shù)據(jù)項(xiàng)Dl的哈希值。

在建立異常數(shù)據(jù)流識(shí)別模型的過(guò)程中，充分利用哈希函數(shù)的單向性特點(diǎn)，通過(guò)計(jì)算Merkle哈希樹(shù)各節(jié)點(diǎn)的哈希值來(lái)驗(yàn)證其子節(jié)點(diǎn)及數(shù)據(jù)項(xiàng)的完整性和一致性。為了確保整個(gè)哈希樹(shù)的可靠性，在根節(jié)點(diǎn)處嵌入一個(gè)特殊的編碼值。系統(tǒng)部署了一套高效的異常檢測(cè)體系，該體系持續(xù)監(jiān)控Merkle哈希樹(shù)的根哈希值，一旦檢測(cè)到根哈希值發(fā)生顯著變化，系統(tǒng)立即將其視為潛在的數(shù)據(jù)流異常預(yù)警并自動(dòng)觸發(fā)深入的檢測(cè)流程。同時(shí)，利用Merkle哈希樹(shù)的層次化結(jié)構(gòu)，系統(tǒng)能夠高效地進(jìn)行子樹(shù)驗(yàn)證，通過(guò)對(duì)比各子樹(shù)根哈希值的變化情況，系統(tǒng)能夠迅速鎖定可能存在問(wèn)題的數(shù)據(jù)流區(qū)域，極大地縮小了異常調(diào)查的范圍。

設(shè)R為根哈希值，當(dāng)新的數(shù)據(jù)流進(jìn)入網(wǎng)絡(luò)時(shí)，提取其特征向量并構(gòu)建Merkle哈希樹(shù)，異常數(shù)據(jù)流識(shí)別模型表示為：

G=R［H（S1）‖H（S2）…‖H（Sn）］（6）

式中，Sn表示第n個(gè)子樹(shù)的根哈希值。

利用Merkle哈希樹(shù)建立的異常數(shù)據(jù)流識(shí)別模型，在提升驗(yàn)證效率與確保數(shù)據(jù)完整性的同時(shí)，憑借其特殊結(jié)構(gòu)實(shí)現(xiàn)了對(duì)部分?jǐn)?shù)據(jù)流的快速驗(yàn)證，顯著增強(qiáng)了模型的實(shí)用性和靈活性。該模型一旦檢測(cè)到異常數(shù)據(jù)流，會(huì)立即觸發(fā)警報(bào)，通知管理員或相關(guān)系統(tǒng)采取相應(yīng)措施。系統(tǒng)詳細(xì)記錄每次異常檢測(cè)的結(jié)果與處理過(guò)程，以便后續(xù)進(jìn)行分析和優(yōu)化。同時(shí)，該系統(tǒng)具備自適應(yīng)學(xué)習(xí)能力，能通過(guò)對(duì)歷史異常數(shù)據(jù)及反饋結(jié)果的深入分析，不斷優(yōu)化特征提取算法、調(diào)整哈希函數(shù)的選擇以及設(shè)定為更精準(zhǔn)的閾值，從而提高檢測(cè)的準(zhǔn)確性和效率。

4 實(shí)現(xiàn)通信網(wǎng)絡(luò)異常數(shù)據(jù)流自動(dòng)識(shí)別

異常數(shù)據(jù)流識(shí)別模型是一個(gè)多層次結(jié)構(gòu)，旨在自動(dòng)檢測(cè)并識(shí)別通信網(wǎng)絡(luò)中的異常數(shù)據(jù)流。該模型由輸入層、模糊化層、推理層、歸一化層、反模糊化層以及輸出層組成，這些層之間通過(guò)哈希樹(shù)的節(jié)點(diǎn)連接機(jī)制實(shí)現(xiàn)了信息的高效傳遞與整合。

模型輸入層首先接收的是通信網(wǎng)絡(luò)數(shù)據(jù)的特征向量，這些特征向量是模型進(jìn)行異常識(shí)別的基礎(chǔ)。模糊化層利用隸屬度函數(shù)將輸入層傳遞的特征向量映射到模糊子空間中，形成模糊集合。這些模糊集合深刻反映了數(shù)據(jù)流在不同特征維度上的模糊狀態(tài)［8］。隸屬度函數(shù)表示為：

G=exp-gi-c2σ2（7）

式中，gi表示輸入特征，c表示模糊集合的中心。

通過(guò)調(diào)整c和σ的值，可以控制模糊集合的位置和模糊程度。歸一化層對(duì)模糊決策結(jié)果進(jìn)行歸一化處理。通過(guò)將模糊決策結(jié)果轉(zhuǎn)化為標(biāo)準(zhǔn)化的輸出，使得不同數(shù)據(jù)流之間的異常程度可以進(jìn)行比較和評(píng)估。反模糊化層將歸一化后的輸出轉(zhuǎn)換為明確的分類或數(shù)值結(jié)果，這些結(jié)果即為異常數(shù)據(jù)流的識(shí)別結(jié)果。

通過(guò)哈希樹(shù)節(jié)點(diǎn)的鏈接機(jī)制，模型實(shí)現(xiàn)了信息的層次化傳遞與處理。這種結(jié)構(gòu)使得模型能夠充分利用各層級(jí)的信息資源，提高異常識(shí)別的準(zhǔn)確性和效率。最終，模型能夠自動(dòng)識(shí)別通信網(wǎng)絡(luò)中的異常數(shù)據(jù)流，為網(wǎng)絡(luò)管理員提供有力的支持，保障通信網(wǎng)絡(luò)的安全和穩(wěn)定。

5 實(shí)驗(yàn)

5.1 實(shí)驗(yàn)準(zhǔn)備

為驗(yàn)證基于Merkle哈希樹(shù)的通信網(wǎng)絡(luò)異常數(shù)據(jù)流自動(dòng)識(shí)別方法的性能，進(jìn)行對(duì)比實(shí)驗(yàn)。實(shí)驗(yàn)由4臺(tái)高性能測(cè)試服務(wù)器組成，每臺(tái)服務(wù)器均搭載了Intel處理器、配備了1TB SSD硬盤和64 GB的RAM，運(yùn)行著穩(wěn)定的Linux操作系統(tǒng)。在實(shí)驗(yàn)開(kāi)始前，對(duì)服務(wù)器進(jìn)行了全面的性能檢測(cè)和調(diào)優(yōu)，以確保實(shí)驗(yàn)結(jié)果的準(zhǔn)確性。網(wǎng)絡(luò)配置如表1所示。

使用Merkle哈希樹(shù)作為實(shí)驗(yàn)基礎(chǔ)，根據(jù)上述網(wǎng)絡(luò)配置，設(shè)定一個(gè)1000 m×1000 m的虛擬網(wǎng)絡(luò)監(jiān)測(cè)區(qū)域并部署一定數(shù)量的網(wǎng)絡(luò)節(jié)點(diǎn)。每個(gè)節(jié)點(diǎn)都被精心配置以運(yùn)行Merkle哈希樹(shù)算法，這一設(shè)置旨在實(shí)現(xiàn)對(duì)數(shù)據(jù)流中異常模式的實(shí)時(shí)監(jiān)測(cè)與高效識(shí)別。實(shí)驗(yàn)環(huán)境如圖2所示。

依據(jù)圖2所示的實(shí)驗(yàn)環(huán)境，本文模擬了互聯(lián)網(wǎng)環(huán)境中的多個(gè)節(jié)點(diǎn)，這些節(jié)點(diǎn)被配置為發(fā)送模擬數(shù)據(jù)并隨著實(shí)驗(yàn)進(jìn)程逐漸增加數(shù)據(jù)流量。通過(guò)利用Merkle哈希樹(shù)算法，將這些數(shù)據(jù)流傳輸至測(cè)試平臺(tái)，實(shí)現(xiàn)對(duì)潛在異常數(shù)據(jù)流的自動(dòng)識(shí)別與檢測(cè)。

為了模擬真實(shí)網(wǎng)絡(luò)環(huán)境的復(fù)雜性和多樣性，本文設(shè)置多種網(wǎng)絡(luò)流量模式并引入不同的異常數(shù)據(jù)流注入場(chǎng)景。同時(shí)，為了更精確地評(píng)估方法的性能，構(gòu)建多樣化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在每種結(jié)構(gòu)下模擬不同數(shù)量和位置分布的異常數(shù)據(jù)源。實(shí)驗(yàn)過(guò)程中，共進(jìn)行2000次的迭代測(cè)試，每次迭代均詳細(xì)記錄了識(shí)別結(jié)果并進(jìn)行了深入分析。最終，基于這2000次實(shí)驗(yàn)結(jié)果的平均值，作為全面評(píng)價(jià)基于Merkle哈希樹(shù)的通信網(wǎng)絡(luò)異常數(shù)據(jù)流自動(dòng)識(shí)別方法的性能的依據(jù)。為了更全面地驗(yàn)證該方法的適用性和有效性，建立4個(gè)具備不同的維度的數(shù)據(jù)集，如表2所示。

為了驗(yàn)證本文提出的基于Merkle哈希樹(shù)的通信網(wǎng)絡(luò)異常數(shù)據(jù)流自動(dòng)識(shí)別方法的有效性和可信度，選擇徐胤博等［1］基于K-means聚類的艦船通信網(wǎng)絡(luò)異常數(shù)據(jù)檢測(cè)方法和田銀磊等［2］基于神經(jīng)網(wǎng)絡(luò)的船舶通信網(wǎng)絡(luò)異常數(shù)據(jù)識(shí)別方法進(jìn)行對(duì)比。使用這3種方法對(duì)準(zhǔn)備好的數(shù)據(jù)集樣本進(jìn)行識(shí)別。在識(shí)別過(guò)程中，記錄每種方法對(duì)每個(gè)樣本的識(shí)別結(jié)果，明確標(biāo)注出被識(shí)別為正常數(shù)據(jù)流和異常數(shù)據(jù)流的樣本。根據(jù)識(shí)別結(jié)果計(jì)算每種方法的F1值，公式為：

F1=4TP2TP+FP+FN（8）

式中，TP表示正常數(shù)據(jù)流的實(shí)例數(shù)量，F(xiàn)P表示異常數(shù)據(jù)流的實(shí)例數(shù)量，F(xiàn)N表示異常數(shù)據(jù)流的識(shí)別數(shù)量。F1值越高，說(shuō)明方法在精確率和召回率上表現(xiàn)得越好。實(shí)驗(yàn)結(jié)果如表3所示。

5.2 實(shí)驗(yàn)結(jié)果分析

根據(jù)表3的F1值實(shí)驗(yàn)結(jié)果，可以看到本文方法在各個(gè)數(shù)據(jù)集上的表現(xiàn)均優(yōu)于徐胤博等［1］方法和田銀磊等［2］方法，表明本文提出的基于Merkle哈希樹(shù)的異常數(shù)據(jù)流識(shí)別方法在實(shí)際應(yīng)用中具有顯著的有效性。進(jìn)一步分析發(fā)現(xiàn)，本文方法在精確率和召回率兩個(gè)關(guān)鍵指標(biāo)上均表現(xiàn)出色，能夠精確地區(qū)分正常數(shù)據(jù)流與異常數(shù)據(jù)流并全面覆蓋所有潛在的異常情況，從而實(shí)現(xiàn)對(duì)通信網(wǎng)絡(luò)異常數(shù)據(jù)流的準(zhǔn)確且全面的識(shí)別。特別是在數(shù)據(jù)集4中，本文方法取得了0.93的F1值，充分證明了其在高復(fù)雜度網(wǎng)絡(luò)環(huán)境中的識(shí)別能力。此外，通過(guò)詳細(xì)的數(shù)據(jù)對(duì)比和深入的分析，發(fā)現(xiàn)本文方法之所以能夠取得如此優(yōu)異的性能，主要得益于Merkle哈希樹(shù)結(jié)構(gòu)的高效驗(yàn)證機(jī)制和嚴(yán)格的數(shù)據(jù)完整性保障，具有極高的有效性和可靠性。

6 結(jié)語(yǔ)

在通信網(wǎng)絡(luò)異常數(shù)據(jù)流識(shí)別領(lǐng)域，基于Merkle哈希樹(shù)的方法以其高效、準(zhǔn)確和可擴(kuò)展的特性，為網(wǎng)絡(luò)健康運(yùn)行提供了強(qiáng)有力的保障。通過(guò)構(gòu)建Merkle哈希樹(shù)，實(shí)現(xiàn)了對(duì)通信網(wǎng)絡(luò)數(shù)據(jù)的快速檢索和比對(duì)，有效識(shí)別出異常數(shù)據(jù)流。未來(lái)，隨著技術(shù)的不斷發(fā)展，期待該方法能夠在更廣泛的場(chǎng)景中得到應(yīng)用，為網(wǎng)絡(luò)安全貢獻(xiàn)更多力量。

參考文獻(xiàn)

［1］徐胤博，于洋.基于K-means聚類的艦船通信網(wǎng)絡(luò)異常數(shù)據(jù)檢測(cè)［J］.艦船科學(xué)技術(shù)，2023（16）：169-172.

［2］田銀磊，劉書(shū)倫.基于神經(jīng)網(wǎng)絡(luò)的船舶通信網(wǎng)絡(luò)異常數(shù)據(jù)識(shí)別［J］.艦船科學(xué)技術(shù)，2022（17）：148-151.

［3］李淵文，康健，鄭偉，等.基于Merkle哈希樹(shù)的電網(wǎng)數(shù)據(jù)隱私防護(hù)建模研究［J］.電子設(shè)計(jì)工程，2024（11）：160-163，168.

［4］侯立，楊成佳.船舶通信網(wǎng)絡(luò)異常數(shù)據(jù)自動(dòng)檢測(cè)和剔除方法［J］.艦船科學(xué)技術(shù)，2023（19）：173-176.

［5］蔣誠(chéng)智，徐浩，黃傳鋒，等.基于Merkle哈希樹(shù)的異構(gòu)通信網(wǎng)絡(luò)數(shù)據(jù)異常值概率識(shí)別算法［J］.兵器裝備工程學(xué)報(bào)，2022（6）：190-195，231.

［6］程雅瓊.基于關(guān)聯(lián)規(guī)則的無(wú)線通信網(wǎng)絡(luò)異常數(shù)據(jù)檢測(cè)方法［J］.長(zhǎng)江信息通信，2022（4）：43-45.

［7］林立鑫，喻燕華，涂劍峰.基于改進(jìn)KNN算法的網(wǎng)絡(luò)數(shù)據(jù)流異常識(shí)別方法［J］.信息與電腦（理論版），2023（8）：108-110.

［8］應(yīng)依依，馮巖星，聶開(kāi)勛.基于多方云計(jì)算的網(wǎng)絡(luò)數(shù)據(jù)流異常識(shí)別方法［J］.電信快報(bào)，2023（4）：41-44.

（編輯 沈 強(qiáng)）

Automatic identification method for abnormal data flow in communication networks based on Merkle hash tree

SUN" Shuyao

（Information Center of National Radio and Television Administration， Beijing 100866，China）

Abstract： In order to solve the problem that the performance of the identification model of communication network is degraded and the F1 value is low under the high proportion of abnormal data， an automatic identification method of abnormal data flow in communication network based on Merkle hash tree is designed. The data stream of communication network is preprocessed to eliminate noise and redundant information. By setting a reasonable threshold to compare the abnormal scores， the key abnormal data flow characteristics are extracted. Using Merkle hash tree， an efficient abnormal data identification model is established. The model effectively transmits information between levels through the connection mechanism of hash tree nodes， and realizes the automatic identification of abnormal data flow in the communication network. The experimental results show that， compared with the traditional methods， the Merkle hash tree based method for automatic identification of abnormal data flow in communication network performs better on each data set， especially in data set 4， which achieves an F1 value as high as 0.93， which proves the accuracy and reliability of this method for identification of abnormal data flow in communication network， with almost no omission.

Key words： Merkle hash tree; communication network; hash tree nodes; abnormal data flow; automatic recognition