深度學(xué)習(xí)賦能校園網(wǎng)絡(luò)安全防御研究

摘" 要：在數(shù)字化時(shí)代，校園網(wǎng)絡(luò)安全面臨著新型威脅和挑戰(zhàn)。深度學(xué)習(xí)技術(shù)，以其卓越的數(shù)據(jù)處理和模式識(shí)別能力，為校園網(wǎng)絡(luò)安全提供了新的防御手段。[ 2] 深度學(xué)習(xí)技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用，包括異常檢測、入侵防御系統(tǒng)和惡意軟件檢測。通過深度學(xué)習(xí)的有效運(yùn)用，可以大幅度提高校園網(wǎng)絡(luò)的安全性，確保教學(xué)、科研和日常管理的順利進(jìn)行。

關(guān)鍵詞：深度學(xué)習(xí)" 校園網(wǎng)絡(luò)安全" 異常檢測" 入侵防御系統(tǒng)" 惡意軟件檢測

中圖分類號(hào)：TP393.08

Research on Empowering Campus Network Security Defense with Deep Learning

GAO Tianyu

Nanjing Vocational School of Finance amp;and Economics， Nanjing， Jiangsu Province， 210000 China

Abstract： In the digital era， campus network security faces new types of threats and challenges. Deep learning technology， with its exceptional data processing and pattern recognition capabilities， offers new defensive measures for campus network security. The applications of deep learning technology in campus network security includesencompass anomaly detection， intrusion prevention systems， and malware detection. Through the effective application of deep learningBy effectively utilizing deep learning， the security of campus networks can be significantly enhanced， ensuring the smooth progress of teaching， research， and daily management.

Key Wwords： Deep lLearning; Campus nNetwork sSecurity; Anomaly dDetection; Intrusion dDefense sSystem; Malware dDetection

隨著信息技術(shù)的不斷進(jìn)步，校園網(wǎng)絡(luò)已成為教學(xué)、科研、行政管理等各項(xiàng)活動(dòng)的重要基礎(chǔ)設(shè)施。然而，由于其開放性和復(fù)雜性，校園網(wǎng)絡(luò)面臨著各種網(wǎng)絡(luò)安全威脅，包括DDoS攻擊、惡意軟件、數(shù)據(jù)泄露、信息竊取等。傳統(tǒng)的網(wǎng)絡(luò)安全防御手段，尤其是基于規(guī)則的入侵檢測系統(tǒng)（Intrusion Detection System[ 3] ，IDS）和防火墻，已無法有效應(yīng)對(duì)現(xiàn)代復(fù)雜和隱蔽的攻擊模式。

近年來，深度學(xué)習(xí)技術(shù)在模式識(shí)別和數(shù)據(jù)分析方面的優(yōu)越性，使其成為一種有力的網(wǎng)絡(luò)安全防御工具。深度學(xué)習(xí)不僅能夠提高入侵檢測系統(tǒng)的精度，還能夠有效識(shí)別新型攻擊和惡意軟件變種[1]。本文將結(jié)合真實(shí)校園網(wǎng)絡(luò)的案例，探討深度學(xué)習(xí)如何在異常檢測、入侵防御和惡意軟件檢測等領(lǐng)域中應(yīng)用，分析其技術(shù)細(xì)節(jié)和實(shí)施方案。

1" 深度學(xué)習(xí)技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用

1.1" 異常檢測

在校園網(wǎng)絡(luò)中，由于網(wǎng)絡(luò)的流量較為復(fù)雜，包含多個(gè)子網(wǎng)，終端設(shè)備種類繁多，如教學(xué)部門、科研部門、圖書館等，每個(gè)部門都有不同的網(wǎng)絡(luò)使用模式?；趥鹘y(tǒng)的入侵檢測系統(tǒng)（Intrusion Detection System[ 4] ，IDS）無法識(shí)別如零日攻擊等復(fù)雜攻擊，因此，可以采用基于長短時(shí)記憶網(wǎng)絡(luò)（Long Short-Term Memory，LSTM）[ 5] 的異常檢測系統(tǒng)來應(yīng)對(duì)網(wǎng)絡(luò)流量中的異常行為，對(duì)網(wǎng)絡(luò)流量的時(shí)序進(jìn)行數(shù)據(jù)分析。

LSTM是一種常用于處理時(shí)序數(shù)據(jù)的深度學(xué)習(xí)模型。其基本思想是在標(biāo)準(zhǔn)的循環(huán)神經(jīng)網(wǎng)絡(luò)（[ 6] Recurrent Neural Network，RNN）中加入門控機(jī)制，能夠捕捉長期依賴關(guān)系 [2]。如果一位學(xué)生通過非授權(quán)設(shè)備頻繁訪問考試系統(tǒng)，或者短時(shí)間內(nèi)進(jìn)行大量數(shù)據(jù)下載，系統(tǒng)會(huì)通過LSTM等深度學(xué)習(xí)算法自動(dòng)識(shí)別此類行為，并觸發(fā)報(bào)警。

1.1.1" 實(shí)現(xiàn)步驟

數(shù)據(jù)采集與處理[A7] 。從校園網(wǎng)絡(luò)中的核心交換機(jī)和路由器收集流量數(shù)據(jù)，數(shù)據(jù)包括IP地址、端口、流量大小、協(xié)議類型等信息。將這些原始數(shù)據(jù)轉(zhuǎn)化為時(shí)序數(shù)據(jù)序列，作為LSTM模型的輸入。

模型訓(xùn)練[A8] 。" "使用歷史流量數(shù)據(jù)對(duì)LSTM進(jìn)行訓(xùn)練。LSTM能夠有效捕捉流量數(shù)據(jù)中的時(shí)間依賴關(guān)系，識(shí)別流量的變化模式。在訓(xùn)練過程中，模型能夠自動(dòng)學(xué)習(xí)正常流量與異常流量的區(qū)別。

實(shí)時(shí)檢測[A9] 。" "將訓(xùn)練好的模型應(yīng)用于實(shí)時(shí)流量監(jiān)控，模型根據(jù)網(wǎng)絡(luò)流量的時(shí)序特征，實(shí)時(shí)檢測異常行為并發(fā)出預(yù)警。

1.1.2" "LSTM網(wǎng)絡(luò)的核心公式

在LSTM模型中，每個(gè)時(shí)刻的輸入包括上一時(shí)刻的輸出、當(dāng)前時(shí)刻的輸入及其記憶單元狀態(tài)。LSTM模型的關(guān)鍵在于通過以下公式計(jì)算門控機(jī)制，進(jìn)而控制信息的流動(dòng)。

（1）遺忘門： 決定前一時(shí)刻的記憶有多少要被遺忘[A10] 。

式（1）中：為遺忘門的輸出，用于調(diào)整前一時(shí)刻記憶的保留比例；為遺忘門的權(quán)重矩陣；為前一時(shí)刻的隱藏狀態(tài)；為當(dāng)前時(shí)刻的輸入特征；為偏置向量；為Sigmoid 激活函數(shù)，用于將輸出限制在 [0， 1]。

（2）輸入門：決定當(dāng)前輸入有多少要被加入到記憶單元。

式（2）中：為輸入門的輸出，用于控制新信息的引入比例；其余符號(hào)意義類似于遺忘門。

（3）候選記憶單元： 生成當(dāng)前候選記憶單元。

式（3）中：為當(dāng)前時(shí)刻的候選記憶狀態(tài)；、為對(duì)應(yīng)權(quán)重矩陣和偏置；為雙曲正切函數(shù)，范圍為 [-1， 1]。

（4）記憶單元更新：更新記憶單元狀態(tài)。

式（4）中：為當(dāng)前時(shí)刻的記憶單元狀態(tài)；為前一時(shí)刻的記憶單元狀態(tài)。

（5）輸出門：決定當(dāng)前時(shí)刻的輸出。

式（5）中：為輸出門的激活值，范圍在 [0， 1]。

（6）最終輸出：基于記憶單元和輸出門生成最終輸出。

式（6）中：為當(dāng)前時(shí)刻的最終輸出狀態(tài)。

1.2" "網(wǎng)絡(luò)入侵防御系統(tǒng)

深度學(xué)習(xí)技術(shù)在網(wǎng)絡(luò)入侵防御系統(tǒng)（Intrusion Detection System，IDS）中的應(yīng)用，能夠大幅提升系統(tǒng)對(duì)未知攻擊的識(shí)別能力。傳統(tǒng)的IDS通?；诤灻ヅ浠蛄髁糠治?，當(dāng)遇到新的攻擊方式時(shí)，防御能力顯得捉襟見肘[3]。而在校網(wǎng)絡(luò)中部署深度神經(jīng)網(wǎng)絡(luò)（Deep Neural Network[ 12] ，DNN）可以在海量的網(wǎng)絡(luò)流量數(shù)據(jù)中識(shí)別出惡意攻擊，進(jìn)而自動(dòng)調(diào)整防御策略，如阻斷流量、警告管理員或進(jìn)行流量清洗等操作。

1.2.1" 實(shí)現(xiàn)步驟

（1）數(shù)據(jù)采集與預(yù)處理[A13] 。通過校園網(wǎng)絡(luò)的核心路由器收集網(wǎng)絡(luò)流量數(shù)據(jù)，特征包括源IP、目標(biāo)IP、數(shù)據(jù)包大小、協(xié)議類型、TCP標(biāo)志等。通過特征選擇和數(shù)據(jù)清洗，形成適合DNN訓(xùn)練的數(shù)據(jù)集。

（2）模型訓(xùn)練[A14] 。使用DNN對(duì)數(shù)據(jù)進(jìn)行訓(xùn)練，模型根據(jù)流量特征自動(dòng)學(xué)習(xí)正常流量和攻擊流量的區(qū)別。

（3）實(shí)時(shí)檢測與響應(yīng)[A15] 。部署訓(xùn)練好的DNN模型，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量。模型能準(zhǔn)確識(shí)別如SQL注入、DDoS攻擊、木馬程序等攻擊，并實(shí)時(shí)響應(yīng)，如攔截惡意流量、觸發(fā)警報(bào)等。

1.2.2" DNN模型的核心公式：

在DNN[ 16] 中，輸入數(shù)據(jù)經(jīng)過若干層全連接層后，輸出預(yù)測結(jié)果。在入侵防御系統(tǒng)中，網(wǎng)絡(luò)流量的特征作為DNN的輸入，經(jīng)過多個(gè)隱藏層的處理，最終輸出分類結(jié)果。其模型的核心公式包括以下幾種。

（1）輸入層至第一隱藏層的計(jì)算：

式（7）中：是輸入特征；是第一層的權(quán)重矩陣；是偏置項(xiàng)；是激活函數(shù)。

（2）隱藏層之間的計(jì)算：

式（8）中：是上一層的輸出；是當(dāng)前層的權(quán)重；是當(dāng)前層的偏置[4]。

（3）輸出層計(jì)算：

式（9）中：是隱藏層的總數(shù)；是最終輸出；表示流量是否為惡意（1表示惡意[ 17] ，0表示正常）。

1.3" "惡意軟件檢測

惡意軟件的變種和傳播是校園網(wǎng)絡(luò)安全的重大威脅。傳統(tǒng)的惡意軟件檢測方法通常依賴于病毒特征庫，然而這種方法對(duì)于新型惡意軟件和變種的識(shí)別效果較差。而深度學(xué)習(xí)通過對(duì)程序行為、文件特征以及代碼結(jié)構(gòu)的深度分析，能夠識(shí)別出潛在的惡意軟件并進(jìn)行隔離。

深度學(xué)習(xí)在惡意軟件檢測中的優(yōu)勢體現(xiàn)在其自動(dòng)化學(xué)習(xí)能力上。校園網(wǎng)絡(luò)可以通過訓(xùn)練卷積神經(jīng)網(wǎng)絡(luò)（Convolutional Neural Networks[ 18] ，CNN）或RNN[ 19] 對(duì)文件的行為模式或代碼片段進(jìn)行惡意軟件的預(yù)判，從而在惡意軟件執(zhí)行前進(jìn)行攔截和隔離。例如：在教學(xué)平臺(tái)上，學(xué)生和教師使用的設(shè)備可能受到木馬、病毒或勒索軟件的感染。深度學(xué)習(xí)模型可以通過分析文件的行為模式或代碼結(jié)構(gòu)，快速識(shí)別出潛在的惡意軟件，并及時(shí)進(jìn)行隔離或清除，避免病毒蔓延到其他教學(xué)系統(tǒng)。

1.3.1nbsp; 實(shí)現(xiàn)步驟

（1）數(shù)據(jù)收集與預(yù)處理[A20] 。收集校園網(wǎng)絡(luò)終端設(shè)備中的可疑文件，并提取文件的特征，如字節(jié)序列、API調(diào)用、程序行為等。

（2）模型訓(xùn)練[A21] 。使用CNN對(duì)這些文件進(jìn)行訓(xùn)練，自動(dòng)識(shí)別文件的惡意行為或特征。

（3）實(shí)時(shí)檢測與隔離。[A22] 部署訓(xùn)練好的CNN模型，對(duì)終端設(shè)備上傳的文件進(jìn)行檢測，及時(shí)發(fā)現(xiàn)并隔離惡意軟件。

1.3.2 CNN模型的核心公式

CNN通過卷積層提取輸入數(shù)據(jù)中的空間特征，通常用于圖像處理，但在惡意軟件檢測中，CNN能夠從程序的字節(jié)序列或API調(diào)用等數(shù)據(jù)中提取有意義的特征[5]。其核心公式如下：

（1）卷積操作。

式（10）中：是輸入數(shù)據(jù)；是卷積核；*表示卷積操作；是偏置項(xiàng)；是卷積層的輸出。

（2）激活函數(shù)。

式（11）中：是激活函數(shù)（如ReLU）。

（3）池化操作。

式（12）中：為池化后的特征，池化操作用于減少特征圖的尺寸，保留重要特征。

（4）全連接層。

式（13）中：、為全連接層的權(quán)重和偏置，最后全連接層輸出預(yù)測結(jié)果。[ 23]

2" 挑戰(zhàn)與對(duì)策

2.1" 數(shù)據(jù)質(zhì)量和量的問題

深度學(xué)習(xí)模型的有效性依賴于大量高質(zhì)量的訓(xùn)練數(shù)據(jù)。然而，校園網(wǎng)絡(luò)中的數(shù)據(jù)往往存在不完整、標(biāo)簽缺失或數(shù)據(jù)不均衡等問題。為解決這一問題，校園網(wǎng)絡(luò)可以通過數(shù)據(jù)增強(qiáng)技術(shù)和跨域數(shù)據(jù)共享等方式，收集更為全面和準(zhǔn)確的數(shù)據(jù)，同時(shí)進(jìn)行數(shù)據(jù)標(biāo)注的標(biāo)準(zhǔn)化和優(yōu)化。

2.2 計(jì)算資源的需求

深度學(xué)習(xí)模型尤其是深度神經(jīng)網(wǎng)絡(luò)和卷積神經(jīng)網(wǎng)絡(luò)的訓(xùn)練和部署，通常需要大量的計(jì)算資源。為了應(yīng)對(duì)這一問題，可以采用分布式計(jì)算平臺(tái)、云計(jì)算等技術(shù)，利用云端計(jì)算資源進(jìn)行深度學(xué)習(xí)模型的訓(xùn)練和推理，從而降低本地計(jì)算壓力。

2.3 模型的解釋性

深度學(xué)習(xí)模型雖然在準(zhǔn)確性和效率上有顯著優(yōu)勢，但其“黑箱”特性使得模型的內(nèi)部工作機(jī)制難以解釋。為了提高深度學(xué)習(xí)模型的可解釋性，可以結(jié)合可解釋人工智能技術(shù)，開發(fā)能夠提供解釋性分析的深度學(xué)習(xí)模型，幫助安全人員理解模型的決策過程，并更好地應(yīng)對(duì)安全事件。

3" "結(jié)語

深度學(xué)習(xí)技術(shù)為校園網(wǎng)絡(luò)安全防御提供了新的視角和強(qiáng)有力的工具。通過深度學(xué)習(xí)模型的應(yīng)用，校園網(wǎng)絡(luò)能夠更加智能地識(shí)別各種網(wǎng)絡(luò)安全威脅，并提高對(duì)復(fù)雜攻擊的檢測和響應(yīng)能力。隨著深度學(xué)習(xí)技術(shù)的不斷進(jìn)步和網(wǎng)絡(luò)安全需求的日益增長，深度學(xué)習(xí)將在校園網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮越來越重要的作用，為建設(shè)更加安全的校園網(wǎng)絡(luò)環(huán)境提供有力支持。

參考文獻(xiàn)

[1]黃嶼璁，張潮，呂鑫，等.基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測研究綜述[J].信息安全研究，2022，8（12）：1163-1177.

[2]黎佳玥，趙波，李想，等.基于深度學(xué)習(xí)的網(wǎng)絡(luò)流量異常預(yù)測方法[J].計(jì)算機(jī)工程與應(yīng)用，2020，56（6）：39-50.

[3]冀甜甜，方濱興，崔翔，等.深度學(xué)習(xí)賦能的惡意代碼攻防研究進(jìn)展[J].計(jì)算機(jī)學(xué)報(bào)，2021，44（4）[ 24] ：669-695.

[4]田睿，孟海東，陳世江，等.基于深度神經(jīng)網(wǎng)絡(luò)的巖爆烈度分級(jí)預(yù)測[J].煤炭學(xué)報(bào)，2020，45（S1）：191-201.

[5]張昊，張小雨，張振友，等.基于深度學(xué)習(xí)的入侵檢測模型綜述[J].計(jì)算機(jī)工程與應(yīng)用，2022，58（6）：17-28.