智能化網絡入侵行為檢測模型的設計和實現

孫小丹

（福州職業技術學院 福建 福州 350108）

0 引言

計算機網絡安全漏洞是指存在于計算機網絡系統中的未修復或未被發現的安全弱點，將導致網絡存在非法訪問入侵、數據泄露、服務中斷、惡意軟件感染等安全問題。將人工智能技術應用于網絡安全領域，能有效解決安全漏洞問題［1－2］。 目前，該技術在網絡安全中的應用主要體現在：①網絡威脅的檢測與預測。 利用機器學習和深度學習技術，構建威脅檢測模型，對網絡流量、日志數據等進行實時監測和分析，以便及時發現異?；顒雍蜐撛诘耐{。 同時，預測模型還能通過歷史數據和行為模式來預測未來可能出現的安全威脅。 ②網絡異常和入侵行為的檢測。 利用訓練過的機器學習模型，識別并攔截異常的網絡行為，以減少其入侵所帶來風險。 ③安全補丁的自動化管理。利用自然語言處理算法和機器學習技術，分析安全漏洞報告，對網絡系統及其應用軟件的安全補丁需求進行評估，讓安全補丁的管理工作具有針對性。 ④病毒程序的識別。使用機器學習模型，對病毒程序樣本進行分析，構建病毒程序的識別模型。 利用該模型自動識別網絡病毒程序，阻止其在網絡上傳播，確保網絡的安全。 ⑤用戶身份認證和訪問控制。 基于人工智能技術，可實現智能化的用戶身份認證和訪問控制。 例如，采用人臉識別、聲紋識別等生物特征識別技術，突破傳統的用戶名和密碼認證技術的局限，提高用戶身份驗證的安全性和準確性，從而阻止非法用戶的訪問。 ⑥防止釣魚軟件的攻擊。 利用自然語言處理和文本分析技術，自動地識別并攔截釣魚軟件的攻擊，以降低用戶遭受網絡詐騙的風險。

在上述的應用方向中，結合人工智能技術，構建一個智能化網絡入侵行為檢測模型，是解決網絡安全漏洞問題的一個有效舉措，也是當前網絡安全領域的研究熱點之一［3－4］。 智能化的網絡入侵行為檢測模型能快速地、智能地識別出流量異常、網絡病毒、木馬和黑客程序等各種入侵行為，及時地向防火墻發出預警信號，使其能自動攔截潛在的安全威脅。 本文圍繞著這一研究熱點，結合PyTorch 技術，對如何設計并實現一個智能化的網絡入侵行為檢測模型做進一步探討。

1 PyTorch 技術及其優越性

1.1 PyTorch 技術

PyTorch 是一個由Facebook 開發并維護的開源機器學習框架。 它是構建深度學習模型的強大工具，能實現神經網絡的設計、訓練和評估，其核心技術主要包括動態圖計算、自動求導、張量操作、模型容器、優化器、分布式訓練與加速等。 由于PyTorch 技術的靈活性和易用性，現已被廣泛應用于以下幾個領域的研究和實踐。

（1）計算機視覺領域。 PyTorch 提供了一系列用于圖像處理、目標檢測、圖像分類、圖像生成等任務的工具和庫，可輕松構建許多網絡模型， 如卷積神經網絡（convolutional neural network， CNN）、 生成對抗網絡（generative adversarial network，GAN）等。

（2）自然語言處理領域。 PyTorch 提供了豐富的工具和庫，用于文本分類、機器翻譯、情感分析、問答系統等任務。 由于PyTorch 具備動態圖計算和自動求導功能，這降低了一些復雜操作的難度，如：處理長度可變的序列數據、構建循環神經網絡（recurrent neural network，RNN） 模型等。

（3）語音識別領域。 PyTorch 提供的聲學模型和語言模型可用于語音合成和語音識別系統的開發。 如：TorchAudio 可用于處理音頻數據和構建聲學模型。

（4）PyTorch 在強化學習中也有廣泛應用。 強化學習是一種通過智能體與環境的交互，學習最優策略來解決問題的方法。 PyTorch 提供了用于構建強化學習模型的庫和工具，如OpenAI Gym 和Stable Baselines3 等。

（5）神經網絡研究領域。 PyTorch 作為一個靈活且易于擴展的深度學習框架，被廣泛應用于神經網絡研究。 研究人員可使用PyTorch 快速定義新的網絡模型及其損失函數、優化器等，并實現模型參數的分析和優化。

除了上述的這些領域，PyTorch 也常用于信號處理、醫學影像分析、金融數據分析預測等領域。

1.2 PyTorch 技術的優越性

PyTorch 技術的優越性［5］主要體現在：

（1）實現了動態圖計算。 在程序運行時，PyTorch 可動態地構建、修改和調試計算圖。 相比于靜態圖計算框架（如TensorFlow），動態圖的計算框架更加靈活、直觀，這讓模型的設計和調試變得更加便捷。

（2）具備強大的圖形處理器（graphics processing unit，GPU）加速功能。 PyTorch 通過集成計算機統一設備架構（compute unified device architecture，CUDA）技術，充分利用GPU 的并行計算能力來加速模型的訓練和推斷。 因此，PyTorch 能快速地完成大規模數據的分析任務、復雜模型的計算任務。

（3）實現自動求導。 PyTorch 內置的自動求導功能使得計算梯度變得非常簡單。 通過跟蹤模型的前向傳播過程，PyTorch 可自動計算梯度，并在反向傳播中應用這些梯度更新模型參數，這項功能對深度學習模型的訓練至關重要。

（4）提供大量預訓練模型。 PyTorch 提供了圖像分類、目標檢測、語義分割等任務的預訓練深度學習模型。根據分析任務需要，借助這些模型，可在自定義的任務上實現遷移學習，從而加快模型的訓練過程。

（5）具有豐富的工具和擴展庫。 PyTorch 提供了許多工具和擴展庫，以方便模型的開發、拓展和部署。 例如：TorchVision 用于處理計算機視覺任務，TorchText 用于自然語言處理任務，TorchServe 用于模型的服務化部署等。

綜上，PyTorch 技術提供了豐富且功能強大的工具和庫，使得深度學習模型的構建、訓練和評估過程變得更加便捷，這為構建智能化的網絡入侵行為檢測模型提供了有力的技術支持。

2 網絡入侵行為及危害

2.1 網絡入侵行為

網絡入侵行為即指未經授權的個人或組織通過互聯網或其他網絡渠道侵入他人的計算機系統、網絡設備或數據庫，以獲取非法訪問、竊取敏感信息、破壞系統或進行其他惡意活動的行為。 常見的網絡入侵行為有：

（1）破解密碼，即指黑客使用各種技術手段，如暴力破解、字典攻擊等來獲取系統或賬戶密碼，以獲取訪問權限。

（2） 拒絕服務攻擊（distributed denial of service，DDoS）， 即指黑客通過向目標服務器發送大量的請求流量，使其資源耗盡，導致系統無法正常運行，從而使正常用戶無法訪問該服務。

（3）零日漏洞利用，即指黑客發現并利用尚未被公開和修復的軟件漏洞，通過這些漏洞在目標系統中執行惡意代碼。

（4）物理入侵，即指黑客通過實際進入目標設施來獲取物理接觸并入侵系統，例如，插入惡意硬件設備或直接訪問受保護的服務器。

（5）木馬程序，即指黑客通過在目標系統上植入木馬程序，遠程控制或監視受感染的設備，竊取敏感信息或執行其他惡意活動。

（6）蠕蟲病毒攻擊，即指黑客通過向網絡中的其他系統發送自身拷貝，從而快速傳播并感染更多的設備，導致網絡堵塞或服務中斷。

（7）社交工程，即指黑客利用心理欺騙手段和社交技巧，通過偽裝成合法用戶或通過引誘受害者來獲取敏感信息、密碼或其他訪問權限，達到網絡欺詐的目的。

（8）無線網絡入侵，即指黑客通過滲透目標的無線網絡，竊取通信數據或獲得對目標設備的訪問。

2.2 網絡入侵行為的危害

網絡入侵行為將給個人、企事業單位帶來諸多的危害，主要體現在以下三個方面：

（1）信息泄露。 網絡入侵者可通過入侵行為，竊取他人身份信息、金融數據、商業機密等敏感信息，這將導致隱私泄露、聲譽受損、商業泄密等嚴重后果。

（2）系統癱瘓。 黑客通過入侵網絡系統，破壞或禁用關鍵的服務，導致系統崩潰、停機或無法正常運行，使得執行中的業務被強制中斷，造成客戶流失、企業聲譽受損等后果。

（3）資金盜竊。 入侵者可能利用網絡漏洞和弱點，盜取個人或企／事業單位的銀行賬戶、支付信息或數字貨幣等財務信息，組織系列金融詐騙活動，導致個人或企／事業單位的財產損失。

為了防止網絡入侵行為，個人或企／事業單位需采取一系列的安全措施，如使用強密碼、定期更新軟件補丁、部署防火墻和入侵檢測系統、網絡社交安全意識培訓等。 其中，由于防火墻和入侵檢測系統能自動識別并攔截網絡入侵行為，因此該系統在網絡安全防護中起著至關重要的作用。

3 智能化網絡入侵行為檢測模型的設計和實現

在防火墻和入侵檢測系統中，網絡入侵行為檢測技術為系統的核心技術［6］。 該技術主要通過入侵行為檢測模型，篩查出網絡中違反安全策略或攻擊網站的入侵程序，為防火墻及時攔截這些程序做好準備。 入侵行為檢測模型的定義決定了入侵檢測工作的質量。 常用的入侵行為模型可分為：誤用入侵行為檢測模型和異常入侵行為檢測模型［7］。 其中，誤用入侵行為檢測模型雖然操作簡單、檢測速度快且準確度高，但其對未知網絡入侵行為的檢測能力較低。 異常入侵行為檢測模型不僅能檢測出已知的網絡入侵行為，還能檢測出未知的網絡入侵行為。 相比誤用入侵行為檢測模型，該模型的定義更加合理，但模型運行的穩定性不高，且檢測速率偏低，因此需要對其做進一步改進。

3.1 模型的代碼實現

針對異常入侵行為檢測模型存在的弊端，本文聯合PyTorch 技術［8］構建一個智能化的網絡入侵行為檢測模型。 新模型不僅具備學習能力，同時運行的穩定性和速度均有較大程度的提高，其關鍵代碼如下所示。

上述代碼定義了一個名為IntrusionDetectionCNN 的網絡入侵行為檢測模型。 該模型采用卷積神經網絡算法，根據訓練集、測試集中各種網絡行為特征數據，通過全連接層將集合里包含的網絡行為分為入侵型和非入侵型等。

3.2 性能評價指標

由于網絡入侵行為檢測模型的性能好壞將直接影響模型攔截網絡入侵行為的效果，因此需對模型的運行性能進行定量評價。 基于此，本文提出幾個指標，用于模型運行性能的定量評價，具體如下所述。

（1）訓練損失值（training loss，TL）

TL 即模型在訓練過程中，通過損失函數計算的數值，該值體現了模型在訓練集上的擬合情況，理想的狀態是TL 值隨著模型訓練次數的增加而穩步下降。

（2）驗證損失值（validation loss，VL）

VL 即模型在驗證集上計算獲得的損失值，該指標可用于評估模型的泛化能力，即模型對未知入侵行為的預判能力，若VL 值低，則說明模型具有較好的泛化性能。

（3）訓練準確率（training accuracy，TRA）

TRA 為模型在訓練集上分類的準確率，即被模型正確分類的樣本占比。 理想狀態下，隨著訓練的進行，TRA值應逐漸提高。

（4）驗證準確率（validation accuracy，VA）

VA 為模型在驗證集上的分類準確率，該指標與驗證損失值類似，VA 值的大小代表了模型泛化能力的高低。

（5）測試準確率（test accuracy，TEA）

TEA 表示模型在獨立的測試集上的分類準確率。 該指標用于評估模型在實際應用中的效果，對于網絡入侵行為檢測模型來說，代表了模型對未知網絡入侵行為的分類能力。

除了以上五個指標，還可以根據具體的任務需求和數據集特點，采集其他自定義的指標和執行結果數據。 例如，可以統計不同類別的精確度、召回率等指標，或者記錄模型訓練過程中的學習率變化情況等。 在模型訓練和調優的過程中，可以監督上述評價指標的數值大小和變化趨勢，對模型的訓練進展和性能進行評價。 根據評價數據，實時地對模型結構和參數做調整和優化，確保其運行的可靠性和準確性。

3.3 網絡入侵行為檢測流程

采用本文所提的模型，對網絡入侵行為進行檢測，具體流程為：（1）檢測前，先依據訓練集的行為數據，對模型做迭代訓練，直到訓練結果收斂至預先給定的閾值。（2）利用訓練好的模型，對測試集中的網絡行為進行分類，基于分類結果，采用性能評價指標，對模型的運行性能做定量評價。 根據評價數據，對模型的結構和參數進行調整和優化，直到模型性能的評價數據達到預期值。 （3）將模型用于網絡入侵行為檢測。

模型的訓練和調優是執行檢測流程的關鍵環節，其結果將直接影響網絡入侵行為檢測工作的質量和效率，具體過程包含以下三個關鍵步驟。

步驟一：前向傳播，計算模型輸出和損失。

步驟二：利用損失函數和優化器進行反向傳播和優化。

步驟三：模型調優。 采用性能評價指標，評估模型每個階段的訓練情況，根據評估數據，對模型的結構和參數進行調優，例如，增加或減少卷積層、全連接層的數量和大小，以適應不同的入侵行為檢測任務。 在實際操作過程中，還需將新的網絡行為數據添加到訓練集中，確保模型具備對抗不斷進化的網絡入侵行為的能力。

4 結語

為了解決網絡入侵行為帶來的危害，本文順應網絡入侵行為檢測技術的發展趨勢，結合PyTorch 技術，提出一個智能化網絡入侵行為檢測模型，并對模型的代碼實現、性能評價指標和執行流程進行了闡述。 新模型能檢測出已知／未知的網絡入侵行為，且具有較高的準確性和可靠性。 目前，模型還存在著一些不足，如模型分析能力有待提升、模型對訓練集的依賴等，對模型的改進是后續研究工作的重點。