通信网络流量分段隐蔽威胁深度包检测方法

摘 "要： 深度威胁攻击涉及多个网络层次，攻击者可能会在不同层次之间进行转换和伪装，同时还会在不同网络层次中进行横向扩散，增加了威胁检测的难度。为保证通信网络安全、提高网络安全防御能力，需可靠实现流量分段隐蔽威胁深度检测，因此，文中提出基于深度图卷积神经网络的隐蔽威胁检测模型。采用Net⁃Flow技术捕获通信网络流量数据包；将捕获结果作为深度图卷积神经网络的隐蔽威胁检测模型的输入数据，依据该数据完成图生成，利用多层图卷积层提取深度层次的图节点特征；依据特征结果实现网络模型的离线训练；通过训练完成后的检测模型，在线深度检测网络流量分段隐蔽威胁，输出检测结果。测试结果显示，该方法可精准确定流量中的隐蔽威胁，隐蔽威胁检测的精准率均在0.956以上，检测质量指数结果均在0.95以上。

关键词： 通信网络； 流量分段； 隐蔽威胁检测； 流量包； 深度神经网络； 图卷积； 图节点特征； 图生成

中图分类号： TN711⁃34； TP393 " " " " " " " " " 文献标识码： A " " " " " " " " " " "文章编号： 1004⁃373X（2024）21⁃0101⁃05

Deep packet detection method for segmented hidden threats

in communication network traffic

FANG Yuxiao， HE Keren

（Office of IT Services and Big Data， Changzhou University， Changzhou 213164， China）

Abstract： Deep threat attacks involve multiple network layers， and attackers may switch and disguise among different layers. Meanwhile， the attackers spread across different network layers horizontally， which increases the difficulty of threat detection. In view of this， it is necessary to achieve deep detection of hidden threats in traffic segmentation reliably to ensure communication network security and improve the defense capabilities of network security. Therefore， a hidden threat detection model based on deep graph convolutional neural network is proposed. The Net⁃Flow technology is adopted to capture the communication network traffic data package. The captured results are taken as the input data for the hidden threat detection model based on the depth graph convolutional neural network. The graph generation is completed based on this data. The multi⁃layer graph convolutional layers are used to extract the graph node features at deep layers. The offline training of network model is implemented based on the results of the features. By training the completed detection model， online deep detection of segmented hidden threats in network traffic is carried out， and the detection results are output. The test results show that the proposed method can identify hidden threats in traffic accurately， and the accuracy rate of hidden threat detection is above 0.956. The results of the detection quality indexes are all above 0.95.

Keywords： communication network; traffic segmentation; hidden threat detection; traffic package; deep neural network; graph convolution; graph node feature; graph generation

0 "引 "言

由于通信网络是由多个孤立的设备连接组成的一种网络，该连接是通过物理链路完成，使物理设备和主机连接，从而进行信息以及各类资源的共享和通信[1]。该类网络在通信过程中会存在一定程度的网络流量分段隐蔽威胁，该类威胁指的是攻击者通过隐蔽隧道技术将恶意流量伪装成正常的通信流量，并通过分段传输的方式绕过安全设备和监管，实现网络穿透、恶意攻击或数据窃取等[2]，对于通信网络的传输安全造成较大风险和隐患。因此，需要加强对隐蔽隧道技术和分段传输手段的研究和防范。

文献[3]以隐蔽信道为研究核心，结合攻击战术、技术和相关程序设计攻击流量自生成的检测方法，对网络中高持续性威胁进行检测，但是该方法在应用过程中对于低非持续性威胁的检测效果不理想。文献[4]采用归一化的方式进行传送报文的处理，并将其转换成像素值后，再通过二维分类方法进行威胁检测，但是该方法在应用过程中如果威胁的隐蔽深度以及通信流量较大时会存在漏检现象。文献[5]通过采用轻量级消息认证码、基于Merkle树的安全哈希算法以及代理导航算法等技术，实现了多通道攻击检测，但该方法存在信息泄露或攻击的风险。文献[6]结合动态混沌交叉优化双向残差门控循环单元进行特征提取和自适应Wasserstein生成对抗网络进行攻击流量检测，该方法无法有效处理某些特定类型的不平衡攻击流量，导致检测结果不准确。

为实现通信网络流量分段隐蔽威胁深度检测，本文研究基于深度图卷积神经网络的通信网络流量分段隐蔽威胁深度包检测方法。

1 "通信网络流量分段隐蔽威胁检测

1.1 "隐蔽威胁深度包检测方法框架

为实现通信网络流量分段隐蔽威胁深度检测，本文结合通信流量数据包捕获技术以及深度图卷积神经网络，构建隐蔽威胁深度包检测方法框架。整个框架包含两个部分：一是通信流量数据包捕获；二是隐蔽威胁深度检测。隐蔽威胁深度包检测方法框架结构如图1所示。

通过捕获技术获取通信网络的流量链路层、网络层以及应用层的整体流量数据包，保证网络中通信流量数据包的全面性[7]。由于深度威胁攻击涉及在多个网络层次之间进行转换和伪装，使其更难以被检测和防御。而深度图卷积神经网络能够在不同层次上提取复杂的数据特征并学习网络关系，因此具备解决深度威胁攻击的优势，能够更全面、深入地分析网络流量数据，更精准地实现通信网络中的各种分段隐蔽威胁以及深度网络攻击。

该方法在应用过程中，能够实现多种类别通信流量的分段隐蔽威胁深度检测，例如视频流量、数据流量以及图片流量等，可对IP端口威胁、协议威胁、数据流量威胁等实现深度检测，精准、全面发现隐蔽在网络流量中的威胁和攻击[8]。

1.2 "通信流量数据包捕获

通信网络流量隐蔽威胁深度检测时，需获取通信流量数据包，以此确定流量中存在的隐蔽威胁或者攻击行为，为网络运维安全管理对于威胁源头的追踪和定位提供依据，因此，在隐蔽威胁深度前，流量数据包捕获尤为重要。为保证通信网络流量数据包的捕获效果，采用Net⁃Flow技术完成，该技术可实现网络设备中的数据加速交换，同时实现高速传输中的数据流测量以及捕获，能够完成网络流量所有数据包的记录，并将其发送至集中式服务器上。通信流量数据包捕获流程图如图2所示。

通信网络在使用过程中，用户进入网络后，所有的操作均会形成网络数据流量，该流量会随着操作行为的变化呈现差异性，因此，精准掌握该差异性即可实现用户行为的反向分析和判断[9]。因此，依据捕获的网络流量数据包可实现网络分段隐蔽威胁深度检测。

1.3 "基于深度图卷积神经网络的隐蔽威胁检测模型

在完成通信网络流量数据包捕获后，进行通信流量隐蔽威胁检测，为保证检测的可靠性以及全面性，构建深度图卷积神经网络检测模型，模型的整体结构如图3所示。

该模型采用分层提取特征的方法，以应对深度威胁攻击涉及多个网络层次的问题。整个模型分为离线训练和在线检测两个部分。将捕获的通信网络流量数据包作为该模型的输入数据，依据该数据实现图生成，并且利用多层卷积层提取深度层次的图节点特征[10]，提取的特征包含源IP、目的IP、节点入度和出度、节点介数中心性、包级特征以及流级特征等。离线训练通过进行特征选择后，实现网络模型的离线训练，以检测误差作为训练指标，当训练结果满足误差指标后完成训练。这种分层提取特征的方法有助于解决深度威胁攻击在不同网络层次之间进行转换和伪装的问题。通过在不同层次上提取特征，能够更全面地捕捉到攻击者的行为模式，从而更准确地识别出隐蔽威胁。

在该部分中，依据提取的图节点结构特征向量完成节点排序，并将排序后的特征向量进行连接，呈现图结果展示。模型中的图卷积层对生成的图结果进行图卷积处理[11]，并管理全连接层和分类器完成图分类处理，最终输出图分类结果，即获取隐蔽威胁检测结果。详细检测过程如下所述。

1.3.1 "图生成

为保证网络流量分段隐蔽威胁的深度检测效果，仅选择通信网络中节点的源IP、目的IP、节点入度和出度、节点介数中心性几个特征构建对应的拓扑图。

图生成过程中，依据不同的特征完成，图节点以及图的边分别采用进行通信的主机以及主机之间的连接关系表示，构建拓扑图[Ge=V，E]，节点集合用[V=v1，v2，…，vn]表示，相邻节点矩阵用[E]表示，该矩阵元素用[eij]表示，其为两个节点[vi]和[vj]之间发生的直接通信。

以节点的入度和出度两种属性为基础，将入度作为拓扑图中各个节点之间的权重，构建入度图[Gd=V，D]，其中，[D=diagd1，d2，…，dn]表示相应节点的度。

介数中心性主要用于描述非相邻两个节点之间的依赖性，依据节点介数中心性属性，将其作为拓扑图中各个节点之间的权重，以此构建介数中心性图[Gb=V，B]，如果节点[v]的中心性系数用[Bv]表示，其计算公式为：

[Bv=i≠j≠v∉Vηijvηij] （1）

式中：[ηijv]表示流经节点[v]的最短路径数量；[ηij]表示节点[vi]到节点[vj]之间最短路径数量。

依据上述内容完成[Ge=V，E]、[Gd=V，D]、[Gb=V，B]构建，依据构建的3个图进行图融合，在该过程中，[A]表示3个图的邻接矩阵；采用标准化的方式对[A]进行处理，对处理后的结果进行加权求和，最终完成不同图的生成。在融合过程中，为保证图的融合效果，在加权矩阵中引入Softmax运算，提升图的融合效果。图融合的计算公式为：

[G=Bvi=13wi∗Ai] （2）

式中：[wi]表示图中位于任意边上的第[i]个权重，且[wi=Softmaxwi]；“[∗]”表示卷积运算；[Ai]表示标准化处理后的邻接矩阵；[G]表示融合后获取的最终图结果。

1.3.2 "图卷积

完成图生成后，进行图节点结构特征向量提取，提取完成后将特征矩阵和节点编码矩阵进行拼接处理，生成节点信息矩阵[X]，通过图卷积对其进行处理[12]，则图卷积层的输出结果计算公式为：

[Z=fGD-1AXW] （3）

式中：[Z]表示输出的激活矩阵；[f⋅]表示非线性激活函数；[W]表示可调节的参数矩阵；[D-1]表示度矩阵。[D-1]的计算公式为：

[D-1=jAij] （4）

依据式（4），图卷积分为如下四步：第一步是对[X]应用线性特征变换处理，将其特征向量映射至下一层中，实现[W]在所有节点之间的共享；第二步是向相邻节点和节点自身中传播节点信息[Y]；第三步是将[D-1]和[AY]相乘，实现结果矩阵的归一化处理，以此在图卷积处理后，保证固定的特征尺度；第四步利用[f⋅]进行非线性转换。

为实现图节点结构特征的深度提取，将多个图卷积层进行堆叠，以此获取深层次的结构特征[13]，其计算公式为：

[St+1=ZfD-1AStWt] （5）

式中：[St]和[Wt]分别表示第[t]个图卷积层的输出和参数矩阵。

将[St]结果进行水平连接，以此得出总特征结果[S1：t=S1，S2，…，St]，[S1：t]的任意一个节点的特征向量均包含图节点的深层次结构信息。

1.3.3 "检测输出

将获取的[S1：t]结果输入至全连接层中，该层中的排序池对其进行处理后，输出一个存在[k]行的向量矩阵。通过该层进行池化后，可实现原有节点数量的转换，将[n]个节点转换成[k]个节点，对转换后的节点进行排序，按照排列顺序将其展开，形成图表示结果。最后通过分类器输出通信网络流量分段隐蔽威胁检测结果。

2 "测试分析

为验证本文检测方法的应用效果，以某政务部门内部的通信网络作为测试对象，该网络共包含10台主机、2个路由、1台客户端主机、4台入侵主机以及3台Web服务器。其中，入侵主机组成风险域。搭建本文提出的深度图卷积神经网络模型，该模型搭建时使用的编程语言为Python，选择的机器学习库为Keras 2.2.4，该网络的结构如图4所示。

深度图卷积神经网络的参数设置如下：在图卷积层中，输出特征向量维度为32，卷积核数量为16，移动步长为128，卷积核尺寸为128；在池化层中，尺寸为2；在隐含层中，神经元数量为128；在全连接层中，神经元数量为1。这些参数设定旨在实现对输入数据的有效特征提取和网络学习，以达到检测深度威胁攻击的目的。

采用本文方法捕获该通信网络通信流量数据包，捕获的流量数据包详情如表1所示。

将捕获的网络流量数据包划分为训练集和测试集，训练集中的样本数量为30 000个，其中包含25 000个隐蔽威胁样本；测试集样本数量为15 000个，其中包含隐蔽威胁样本数量10 000个，将上述流量包数据作为本文方法的测试数据。

为验证本文方法对于通信网络流量中分段式隐蔽威胁的检测效果，随意选择一段捕获的数据包，通过本文方法对其进行深度检测，获取隐蔽威胁的检测结果如图5所示。

分析图5测试结果得出：通信网络在通信过程中，采用本文方法对通信流量中分段隐蔽威胁进行检测，可精准确定流量中的隐蔽威胁，检测效果良好。

为进一步验证本文方法对通信流量中分段隐蔽威胁的检测效果，在不同的流量分段长度下，本文方法对3种类别数据包的精准率检测结果如表2所示。

分析表2测试结果得出：在不同的流量分段长度下，采用本文方法对高速流量、慢速流量以及正常流量的数据包进行隐蔽威胁检测，隐蔽威胁检测的精准率均在0.956以上，应用效果良好。

为深入验证本文方法的应用性，选择检测质量指数[ψ]作为评价指标，该指标能够判断本文方法对于分段隐蔽式威胁检测的可靠性，该指标的计算公式为：

[ψ=XZ×YUXZ-XZ×YU+YU] （6）

式中：[X]、[Z]表示隐蔽威胁的检测结果和实际结果；[Y]、[U]表示检测的分段数量和流量传输用户数量。

依据式（6），计算本文方法在不同的用户数量下随着数据包数量的逐渐增加，检测质量指数[ψ]的测试结果，该值在0～1之间，其值越大，表示检测质量越佳，测试结果如图6所示。

分析图6测试结果得出：在不同的用户数量下，随着数据包数量的逐渐增加，采用本文方法进行通信流量中分段隐蔽威胁检测，检测质量指数[ψ]结果均在0.95以上，其中最大值接近0.995。因此，本文方法具备较好的通信流量分段隐蔽威胁深度检测效果，满足网络安全应用需求。

3 "结 "语

为保证通信网络安全，加强对隐蔽隧道技术和分段传输手段的研究和防范，提高网络安全防御能力，本文研究通信网络流量分段隐蔽威胁深度包检测方法，对该方法的应用效果展开相关测试后得出，其具备较好的应用效果，可精准确定通信流量中的分段式隐蔽威胁，为网络安全防御提供了可靠依据。

参考文献

[1] 钟妮，王剑.基于FRFT的网络流量异常数据快速捕获方法[J].计算机仿真，2023，40（4）：413⁃416.

[2] 尹梓诺，马海龙，胡涛.基于联合注意力机制和一维卷积神经网络⁃双向长短期记忆网络模型的流量异常检测方法[J].电子与信息学报，2023，45（10）：3719⁃3728.

[3] 刁嘉文，方滨兴，田志宏，等.基于攻击流量自生成的DNS隐蔽信道检测方法[J].计算机学报，2022，45（10）：2190⁃2206.

[4] 陈虹吕，王诗蕊，李峰，等.基于灰度图像转化的时间型隐蔽信道检测方法[J].四川大学学报（自然科学版），2023，60（3）：93⁃102.

[5] KUMAR R A， VINUTHNA K. Multi⁃channel attack detection based on lightweight message authentication code access control using Internet of Things design [J]. Transactions on emerging telecommunications technologies， 2022， 33（7）： e4498.

[6] LI K H， MA W G， DUAN H W， et al. Unbalanced network attack traffic detection based on feature extraction and GFDA⁃WGAN [J]. Computer networks， 2022， 216： 109283.

[7] 吴恋，赵晨洁，韦萍萍，等.基于轻量级深度网络的计算机病毒检测方法[J].计算机工程与设计，2022，43（3）：632⁃638.

[8] 李海涛，王瑞敏，董卫宇，等.一种基于GRU的半监督网络流量异常检测方法[J].计算机科学，2023，50（3）：380⁃390.

[9] 刘小洋，刘加苗，刘超，等.融合字符级滑动窗口和深度残差网络的僵尸网络DGA域名检测方法[J].电子学报，2022，50（1）：250⁃256.

[10] 谷勇浩，黄博琪，王继刚，等.基于半监督深度学习的木马流量检测方法[J].计算机研究与发展，2022，59（6）：1329⁃1342.

[11] 胡向东，张婷.基于时空融合深度学习的工业互联网异常流量检测方法[J].重庆邮电大学学报（自然科学版），2022，34（6）：1056⁃1064.

[12] 应捷，徐文成，杨海马，等.融合自适应图卷积与Transformer序列模型的中文手语翻译方法[J].计算机应用研究，2023，40（5）：1589⁃1594.

[13] 朱金侠，孟祥福，邢长征，等.融合图卷积注意力机制的协同过滤推荐方法[J].智能系统学报，2023，18（6）：1295⁃1304.

作者简介：方欲晓（1985—），男，安徽安庆人，硕士研究生，实验师，研究方向为信创机房建设与管理、计算机实验室管理与维护。

何可人（1979—），男，江苏常州人，硕士研究生，副教授，研究方向为网络通信技术、嵌入式系统软硬件开发。