通信網(wǎng)絡流量分段隱蔽威脅深度包檢測方法

摘 "要： 深度威脅攻擊涉及多個網(wǎng)絡層次，攻擊者可能會在不同層次之間進行轉(zhuǎn)換和偽裝，同時還會在不同網(wǎng)絡層次中進行橫向擴散，增加了威脅檢測的難度。為保證通信網(wǎng)絡安全、提高網(wǎng)絡安全防御能力，需可靠實現(xiàn)流量分段隱蔽威脅深度檢測，因此，文中提出基于深度圖卷積神經(jīng)網(wǎng)絡的隱蔽威脅檢測模型。采用Net?Flow技術(shù)捕獲通信網(wǎng)絡流量數(shù)據(jù)包；將捕獲結(jié)果作為深度圖卷積神經(jīng)網(wǎng)絡的隱蔽威脅檢測模型的輸入數(shù)據(jù)，依據(jù)該數(shù)據(jù)完成圖生成，利用多層圖卷積層提取深度層次的圖節(jié)點特征；依據(jù)特征結(jié)果實現(xiàn)網(wǎng)絡模型的離線訓練；通過訓練完成后的檢測模型，在線深度檢測網(wǎng)絡流量分段隱蔽威脅，輸出檢測結(jié)果。測試結(jié)果顯示，該方法可精準確定流量中的隱蔽威脅，隱蔽威脅檢測的精準率均在0.956以上，檢測質(zhì)量指數(shù)結(jié)果均在0.95以上。

關鍵詞： 通信網(wǎng)絡； 流量分段； 隱蔽威脅檢測； 流量包； 深度神經(jīng)網(wǎng)絡； 圖卷積； 圖節(jié)點特征； 圖生成

中圖分類號： TN711?34； TP393 " " " " " " " " " 文獻標識碼： A " " " " " " " " " " "文章編號： 1004?373X（2024）21?0101?05

Deep packet detection method for segmented hidden threats

in communication network traffic

FANG Yuxiao， HE Keren

（Office of IT Services and Big Data， Changzhou University， Changzhou 213164， China）

Abstract： Deep threat attacks involve multiple network layers， and attackers may switch and disguise among different layers. Meanwhile， the attackers spread across different network layers horizontally， which increases the difficulty of threat detection. In view of this， it is necessary to achieve deep detection of hidden threats in traffic segmentation reliably to ensure communication network security and improve the defense capabilities of network security. Therefore， a hidden threat detection model based on deep graph convolutional neural network is proposed. The Net?Flow technology is adopted to capture the communication network traffic data package. The captured results are taken as the input data for the hidden threat detection model based on the depth graph convolutional neural network. The graph generation is completed based on this data. The multi?layer graph convolutional layers are used to extract the graph node features at deep layers. The offline training of network model is implemented based on the results of the features. By training the completed detection model， online deep detection of segmented hidden threats in network traffic is carried out， and the detection results are output. The test results show that the proposed method can identify hidden threats in traffic accurately， and the accuracy rate of hidden threat detection is above 0.956. The results of the detection quality indexes are all above 0.95.

Keywords： communication network; traffic segmentation; hidden threat detection; traffic package; deep neural network; graph convolution; graph node feature; graph generation

0 "引 "言

由于通信網(wǎng)絡是由多個孤立的設備連接組成的一種網(wǎng)絡，該連接是通過物理鏈路完成，使物理設備和主機連接，從而進行信息以及各類資源的共享和通信[1]。該類網(wǎng)絡在通信過程中會存在一定程度的網(wǎng)絡流量分段隱蔽威脅，該類威脅指的是攻擊者通過隱蔽隧道技術(shù)將惡意流量偽裝成正常的通信流量，并通過分段傳輸?shù)姆绞嚼@過安全設備和監(jiān)管，實現(xiàn)網(wǎng)絡穿透、惡意攻擊或數(shù)據(jù)竊取等[2]，對于通信網(wǎng)絡的傳輸安全造成較大風險和隱患。因此，需要加強對隱蔽隧道技術(shù)和分段傳輸手段的研究和防范。

文獻[3]以隱蔽信道為研究核心，結(jié)合攻擊戰(zhàn)術(shù)、技術(shù)和相關程序設計攻擊流量自生成的檢測方法，對網(wǎng)絡中高持續(xù)性威脅進行檢測，但是該方法在應用過程中對于低非持續(xù)性威脅的檢測效果不理想。文獻[4]采用歸一化的方式進行傳送報文的處理，并將其轉(zhuǎn)換成像素值后，再通過二維分類方法進行威脅檢測，但是該方法在應用過程中如果威脅的隱蔽深度以及通信流量較大時會存在漏檢現(xiàn)象。文獻[5]通過采用輕量級消息認證碼、基于Merkle樹的安全哈希算法以及代理導航算法等技術(shù)，實現(xiàn)了多通道攻擊檢測，但該方法存在信息泄露或攻擊的風險。文獻[6]結(jié)合動態(tài)混沌交叉優(yōu)化雙向殘差門控循環(huán)單元進行特征提取和自適應Wasserstein生成對抗網(wǎng)絡進行攻擊流量檢測，該方法無法有效處理某些特定類型的不平衡攻擊流量，導致檢測結(jié)果不準確。

為實現(xiàn)通信網(wǎng)絡流量分段隱蔽威脅深度檢測，本文研究基于深度圖卷積神經(jīng)網(wǎng)絡的通信網(wǎng)絡流量分段隱蔽威脅深度包檢測方法。

1 "通信網(wǎng)絡流量分段隱蔽威脅檢測

1.1 "隱蔽威脅深度包檢測方法框架

為實現(xiàn)通信網(wǎng)絡流量分段隱蔽威脅深度檢測，本文結(jié)合通信流量數(shù)據(jù)包捕獲技術(shù)以及深度圖卷積神經(jīng)網(wǎng)絡，構(gòu)建隱蔽威脅深度包檢測方法框架。整個框架包含兩個部分：一是通信流量數(shù)據(jù)包捕獲；二是隱蔽威脅深度檢測。隱蔽威脅深度包檢測方法框架結(jié)構(gòu)如圖1所示。

通過捕獲技術(shù)獲取通信網(wǎng)絡的流量鏈路層、網(wǎng)絡層以及應用層的整體流量數(shù)據(jù)包，保證網(wǎng)絡中通信流量數(shù)據(jù)包的全面性[7]。由于深度威脅攻擊涉及在多個網(wǎng)絡層次之間進行轉(zhuǎn)換和偽裝，使其更難以被檢測和防御。而深度圖卷積神經(jīng)網(wǎng)絡能夠在不同層次上提取復雜的數(shù)據(jù)特征并學習網(wǎng)絡關系，因此具備解決深度威脅攻擊的優(yōu)勢，能夠更全面、深入地分析網(wǎng)絡流量數(shù)據(jù)，更精準地實現(xiàn)通信網(wǎng)絡中的各種分段隱蔽威脅以及深度網(wǎng)絡攻擊。

該方法在應用過程中，能夠?qū)崿F(xiàn)多種類別通信流量的分段隱蔽威脅深度檢測，例如視頻流量、數(shù)據(jù)流量以及圖片流量等，可對IP端口威脅、協(xié)議威脅、數(shù)據(jù)流量威脅等實現(xiàn)深度檢測，精準、全面發(fā)現(xiàn)隱蔽在網(wǎng)絡流量中的威脅和攻擊[8]。

1.2 "通信流量數(shù)據(jù)包捕獲

通信網(wǎng)絡流量隱蔽威脅深度檢測時，需獲取通信流量數(shù)據(jù)包，以此確定流量中存在的隱蔽威脅或者攻擊行為，為網(wǎng)絡運維安全管理對于威脅源頭的追蹤和定位提供依據(jù)，因此，在隱蔽威脅深度前，流量數(shù)據(jù)包捕獲尤為重要。為保證通信網(wǎng)絡流量數(shù)據(jù)包的捕獲效果，采用Net?Flow技術(shù)完成，該技術(shù)可實現(xiàn)網(wǎng)絡設備中的數(shù)據(jù)加速交換，同時實現(xiàn)高速傳輸中的數(shù)據(jù)流測量以及捕獲，能夠完成網(wǎng)絡流量所有數(shù)據(jù)包的記錄，并將其發(fā)送至集中式服務器上。通信流量數(shù)據(jù)包捕獲流程圖如圖2所示。

通信網(wǎng)絡在使用過程中，用戶進入網(wǎng)絡后，所有的操作均會形成網(wǎng)絡數(shù)據(jù)流量，該流量會隨著操作行為的變化呈現(xiàn)差異性，因此，精準掌握該差異性即可實現(xiàn)用戶行為的反向分析和判斷[9]。因此，依據(jù)捕獲的網(wǎng)絡流量數(shù)據(jù)包可實現(xiàn)網(wǎng)絡分段隱蔽威脅深度檢測。

1.3 "基于深度圖卷積神經(jīng)網(wǎng)絡的隱蔽威脅檢測模型

在完成通信網(wǎng)絡流量數(shù)據(jù)包捕獲后，進行通信流量隱蔽威脅檢測，為保證檢測的可靠性以及全面性，構(gòu)建深度圖卷積神經(jīng)網(wǎng)絡檢測模型，模型的整體結(jié)構(gòu)如圖3所示。

該模型采用分層提取特征的方法，以應對深度威脅攻擊涉及多個網(wǎng)絡層次的問題。整個模型分為離線訓練和在線檢測兩個部分。將捕獲的通信網(wǎng)絡流量數(shù)據(jù)包作為該模型的輸入數(shù)據(jù)，依據(jù)該數(shù)據(jù)實現(xiàn)圖生成，并且利用多層卷積層提取深度層次的圖節(jié)點特征[10]，提取的特征包含源IP、目的IP、節(jié)點入度和出度、節(jié)點介數(shù)中心性、包級特征以及流級特征等。離線訓練通過進行特征選擇后，實現(xiàn)網(wǎng)絡模型的離線訓練，以檢測誤差作為訓練指標，當訓練結(jié)果滿足誤差指標后完成訓練。這種分層提取特征的方法有助于解決深度威脅攻擊在不同網(wǎng)絡層次之間進行轉(zhuǎn)換和偽裝的問題。通過在不同層次上提取特征，能夠更全面地捕捉到攻擊者的行為模式，從而更準確地識別出隱蔽威脅。

在該部分中，依據(jù)提取的圖節(jié)點結(jié)構(gòu)特征向量完成節(jié)點排序，并將排序后的特征向量進行連接，呈現(xiàn)圖結(jié)果展示。模型中的圖卷積層對生成的圖結(jié)果進行圖卷積處理[11]，并管理全連接層和分類器完成圖分類處理，最終輸出圖分類結(jié)果，即獲取隱蔽威脅檢測結(jié)果。詳細檢測過程如下所述。

1.3.1 "圖生成

為保證網(wǎng)絡流量分段隱蔽威脅的深度檢測效果，僅選擇通信網(wǎng)絡中節(jié)點的源IP、目的IP、節(jié)點入度和出度、節(jié)點介數(shù)中心性幾個特征構(gòu)建對應的拓撲圖。

圖生成過程中，依據(jù)不同的特征完成，圖節(jié)點以及圖的邊分別采用進行通信的主機以及主機之間的連接關系表示，構(gòu)建拓撲圖[Ge=V，E]，節(jié)點集合用[V=v1，v2，…，vn]表示，相鄰節(jié)點矩陣用[E]表示，該矩陣元素用[eij]表示，其為兩個節(jié)點[vi]和[vj]之間發(fā)生的直接通信。

以節(jié)點的入度和出度兩種屬性為基礎，將入度作為拓撲圖中各個節(jié)點之間的權(quán)重，構(gòu)建入度圖[Gd=V，D]，其中，[D=diagd1，d2，…，dn]表示相應節(jié)點的度。

介數(shù)中心性主要用于描述非相鄰兩個節(jié)點之間的依賴性，依據(jù)節(jié)點介數(shù)中心性屬性，將其作為拓撲圖中各個節(jié)點之間的權(quán)重，以此構(gòu)建介數(shù)中心性圖[Gb=V，B]，如果節(jié)點[v]的中心性系數(shù)用[Bv]表示，其計算公式為：

[Bv=i≠j≠v?Vηijvηij] （1）

式中：[ηijv]表示流經(jīng)節(jié)點[v]的最短路徑數(shù)量；[ηij]表示節(jié)點[vi]到節(jié)點[vj]之間最短路徑數(shù)量。

依據(jù)上述內(nèi)容完成[Ge=V，E]、[Gd=V，D]、[Gb=V，B]構(gòu)建，依據(jù)構(gòu)建的3個圖進行圖融合，在該過程中，[A]表示3個圖的鄰接矩陣；采用標準化的方式對[A]進行處理，對處理后的結(jié)果進行加權(quán)求和，最終完成不同圖的生成。在融合過程中，為保證圖的融合效果，在加權(quán)矩陣中引入Softmax運算，提升圖的融合效果。圖融合的計算公式為：

[G=Bvi=13wi?Ai] （2）

式中：[wi]表示圖中位于任意邊上的第[i]個權(quán)重，且[wi=Softmaxwi]；“[?]”表示卷積運算；[Ai]表示標準化處理后的鄰接矩陣；[G]表示融合后獲取的最終圖結(jié)果。

1.3.2 "圖卷積

完成圖生成后，進行圖節(jié)點結(jié)構(gòu)特征向量提取，提取完成后將特征矩陣和節(jié)點編碼矩陣進行拼接處理，生成節(jié)點信息矩陣[X]，通過圖卷積對其進行處理[12]，則圖卷積層的輸出結(jié)果計算公式為：

[Z=fGD-1AXW] （3）

式中：[Z]表示輸出的激活矩陣；[f?]表示非線性激活函數(shù)；[W]表示可調(diào)節(jié)的參數(shù)矩陣；[D-1]表示度矩陣。[D-1]的計算公式為：

[D-1=jAij] （4）

依據(jù)式（4），圖卷積分為如下四步：第一步是對[X]應用線性特征變換處理，將其特征向量映射至下一層中，實現(xiàn)[W]在所有節(jié)點之間的共享；第二步是向相鄰節(jié)點和節(jié)點自身中傳播節(jié)點信息[Y]；第三步是將[D-1]和[AY]相乘，實現(xiàn)結(jié)果矩陣的歸一化處理，以此在圖卷積處理后，保證固定的特征尺度；第四步利用[f?]進行非線性轉(zhuǎn)換。

為實現(xiàn)圖節(jié)點結(jié)構(gòu)特征的深度提取，將多個圖卷積層進行堆疊，以此獲取深層次的結(jié)構(gòu)特征[13]，其計算公式為：

[St+1=ZfD-1AStWt] （5）

式中：[St]和[Wt]分別表示第[t]個圖卷積層的輸出和參數(shù)矩陣。

將[St]結(jié)果進行水平連接，以此得出總特征結(jié)果[S1：t=S1，S2，…，St]，[S1：t]的任意一個節(jié)點的特征向量均包含圖節(jié)點的深層次結(jié)構(gòu)信息。

1.3.3 "檢測輸出

將獲取的[S1：t]結(jié)果輸入至全連接層中，該層中的排序池對其進行處理后，輸出一個存在[k]行的向量矩陣。通過該層進行池化后，可實現(xiàn)原有節(jié)點數(shù)量的轉(zhuǎn)換，將[n]個節(jié)點轉(zhuǎn)換成[k]個節(jié)點，對轉(zhuǎn)換后的節(jié)點進行排序，按照排列順序?qū)⑵湔归_，形成圖表示結(jié)果。最后通過分類器輸出通信網(wǎng)絡流量分段隱蔽威脅檢測結(jié)果。

2 "測試分析

為驗證本文檢測方法的應用效果，以某政務部門內(nèi)部的通信網(wǎng)絡作為測試對象，該網(wǎng)絡共包含10臺主機、2個路由、1臺客戶端主機、4臺入侵主機以及3臺Web服務器。其中，入侵主機組成風險域。搭建本文提出的深度圖卷積神經(jīng)網(wǎng)絡模型，該模型搭建時使用的編程語言為Python，選擇的機器學習庫為Keras 2.2.4，該網(wǎng)絡的結(jié)構(gòu)如圖4所示。

深度圖卷積神經(jīng)網(wǎng)絡的參數(shù)設置如下：在圖卷積層中，輸出特征向量維度為32，卷積核數(shù)量為16，移動步長為128，卷積核尺寸為128；在池化層中，尺寸為2；在隱含層中，神經(jīng)元數(shù)量為128；在全連接層中，神經(jīng)元數(shù)量為1。這些參數(shù)設定旨在實現(xiàn)對輸入數(shù)據(jù)的有效特征提取和網(wǎng)絡學習，以達到檢測深度威脅攻擊的目的。

采用本文方法捕獲該通信網(wǎng)絡通信流量數(shù)據(jù)包，捕獲的流量數(shù)據(jù)包詳情如表1所示。

將捕獲的網(wǎng)絡流量數(shù)據(jù)包劃分為訓練集和測試集，訓練集中的樣本數(shù)量為30 000個，其中包含25 000個隱蔽威脅樣本；測試集樣本數(shù)量為15 000個，其中包含隱蔽威脅樣本數(shù)量10 000個，將上述流量包數(shù)據(jù)作為本文方法的測試數(shù)據(jù)。

為驗證本文方法對于通信網(wǎng)絡流量中分段式隱蔽威脅的檢測效果，隨意選擇一段捕獲的數(shù)據(jù)包，通過本文方法對其進行深度檢測，獲取隱蔽威脅的檢測結(jié)果如圖5所示。

分析圖5測試結(jié)果得出：通信網(wǎng)絡在通信過程中，采用本文方法對通信流量中分段隱蔽威脅進行檢測，可精準確定流量中的隱蔽威脅，檢測效果良好。

為進一步驗證本文方法對通信流量中分段隱蔽威脅的檢測效果，在不同的流量分段長度下，本文方法對3種類別數(shù)據(jù)包的精準率檢測結(jié)果如表2所示。

分析表2測試結(jié)果得出：在不同的流量分段長度下，采用本文方法對高速流量、慢速流量以及正常流量的數(shù)據(jù)包進行隱蔽威脅檢測，隱蔽威脅檢測的精準率均在0.956以上，應用效果良好。

為深入驗證本文方法的應用性，選擇檢測質(zhì)量指數(shù)[ψ]作為評價指標，該指標能夠判斷本文方法對于分段隱蔽式威脅檢測的可靠性，該指標的計算公式為：

[ψ=XZ×YUXZ-XZ×YU+YU] （6）

式中：[X]、[Z]表示隱蔽威脅的檢測結(jié)果和實際結(jié)果；[Y]、[U]表示檢測的分段數(shù)量和流量傳輸用戶數(shù)量。

依據(jù)式（6），計算本文方法在不同的用戶數(shù)量下隨著數(shù)據(jù)包數(shù)量的逐漸增加，檢測質(zhì)量指數(shù)[ψ]的測試結(jié)果，該值在0～1之間，其值越大，表示檢測質(zhì)量越佳，測試結(jié)果如圖6所示。

分析圖6測試結(jié)果得出：在不同的用戶數(shù)量下，隨著數(shù)據(jù)包數(shù)量的逐漸增加，采用本文方法進行通信流量中分段隱蔽威脅檢測，檢測質(zhì)量指數(shù)[ψ]結(jié)果均在0.95以上，其中最大值接近0.995。因此，本文方法具備較好的通信流量分段隱蔽威脅深度檢測效果，滿足網(wǎng)絡安全應用需求。

3 "結(jié) "語

為保證通信網(wǎng)絡安全，加強對隱蔽隧道技術(shù)和分段傳輸手段的研究和防范，提高網(wǎng)絡安全防御能力，本文研究通信網(wǎng)絡流量分段隱蔽威脅深度包檢測方法，對該方法的應用效果展開相關測試后得出，其具備較好的應用效果，可精準確定通信流量中的分段式隱蔽威脅，為網(wǎng)絡安全防御提供了可靠依據(jù)。

參考文獻

[1] 鐘妮，王劍.基于FRFT的網(wǎng)絡流量異常數(shù)據(jù)快速捕獲方法[J].計算機仿真，2023，40（4）：413?416.

[2] 尹梓諾，馬海龍，胡濤.基于聯(lián)合注意力機制和一維卷積神經(jīng)網(wǎng)絡?雙向長短期記憶網(wǎng)絡模型的流量異常檢測方法[J].電子與信息學報，2023，45（10）：3719?3728.

[3] 刁嘉文，方濱興，田志宏，等.基于攻擊流量自生成的DNS隱蔽信道檢測方法[J].計算機學報，2022，45（10）：2190?2206.

[4] 陳虹呂，王詩蕊，李峰，等.基于灰度圖像轉(zhuǎn)化的時間型隱蔽信道檢測方法[J].四川大學學報（自然科學版），2023，60（3）：93?102.

[5] KUMAR R A， VINUTHNA K. Multi?channel attack detection based on lightweight message authentication code access control using Internet of Things design [J]. Transactions on emerging telecommunications technologies， 2022， 33（7）： e4498.

[6] LI K H， MA W G， DUAN H W， et al. Unbalanced network attack traffic detection based on feature extraction and GFDA?WGAN [J]. Computer networks， 2022， 216： 109283.

[7] 吳戀，趙晨潔，韋萍萍，等.基于輕量級深度網(wǎng)絡的計算機病毒檢測方法[J].計算機工程與設計，2022，43（3）：632?638.

[8] 李海濤，王瑞敏，董衛(wèi)宇，等.一種基于GRU的半監(jiān)督網(wǎng)絡流量異常檢測方法[J].計算機科學，2023，50（3）：380?390.

[9] 劉小洋，劉加苗，劉超，等.融合字符級滑動窗口和深度殘差網(wǎng)絡的僵尸網(wǎng)絡DGA域名檢測方法[J].電子學報，2022，50（1）：250?256.

[10] 谷勇浩，黃博琪，王繼剛，等.基于半監(jiān)督深度學習的木馬流量檢測方法[J].計算機研究與發(fā)展，2022，59（6）：1329?1342.

[11] 胡向東，張婷.基于時空融合深度學習的工業(yè)互聯(lián)網(wǎng)異常流量檢測方法[J].重慶郵電大學學報（自然科學版），2022，34（6）：1056?1064.

[12] 應捷，徐文成，楊海馬，等.融合自適應圖卷積與Transformer序列模型的中文手語翻譯方法[J].計算機應用研究，2023，40（5）：1589?1594.

[13] 朱金俠，孟祥福，邢長征，等.融合圖卷積注意力機制的協(xié)同過濾推薦方法[J].智能系統(tǒng)學報，2023，18（6）：1295?1304.

作者簡介：方欲曉（1985—），男，安徽安慶人，碩士研究生，實驗師，研究方向為信創(chuàng)機房建設與管理、計算機實驗室管理與維護。

何可人（1979—），男，江蘇常州人，碩士研究生，副教授，研究方向為網(wǎng)絡通信技術(shù)、嵌入式系統(tǒng)軟硬件開發(fā)。