基于长短时记忆网络的计算机网络数据传输节点入侵行为辨识方法

摘要：入侵行为正呈现出多样化和隐蔽化的特点，在这种复杂环境下，对于新型或未知的入侵行为，辨识灵敏度较低。为此，提出了一种基于长短时记忆网络的计算机网络数据传输节点入侵行为辨识方法。该方法深入分析网络入侵节点的聚集度，揭示入侵节点在网络中的分布规律。随后，针对入侵行为的特性，提取入侵行为特征，为后续的入侵检测提供关键依据。接着，利用长短时记忆网络模型，结合节点的历史行为数据和实时状态信息，实现对节点入侵行为的精准检测。最后，在检测到可疑行为后，通过设定合理的阈值和判定标准，对入侵行为进行准确辨识。实验结果表明：对于异常数据，基于长短时记忆网络的计算机网络数据传输节点入侵行为辨识方法表现出平稳且中等偏上的灵敏度增长趋势，明显优于基于统计分析和模式识别的入侵行为辨识方法，具有更高的应用价值。

关键词：长短时记忆网络；网络数据传输；节点入侵行为；入侵行为辨识

中图分类号：TP311 文献标识码：A

文章编号：1009-3044（2024）27-0076-03

0 引言

节点作为网络数据的交汇点，其安全性直接关系到整个网络的安全稳定。随着攻击手段的不断演进和复杂化，现有的检测方法逐渐暴露出其局限性。基于统计分析的入侵行为辨识方法简单易行，通过对网络流量的实时统计和分析，能够及时发现异常行为，但该方法依赖于预设的阈值，而阈值的设定可能受到多种因素的影响，导致误报或漏报。基于模式识别的入侵行为辨识方法通过构建入侵行为的模式库，能够较为准确地识别已知类型的入侵行为，但构建和维护模式库需要大量的计算资源，可能增加系统的负担[1]。因此，探索新的、更为智能的入侵行为辨识方法成为网络安全领域的研究热点。长短时记忆网络（LSTM） 具有处理序列数据的能力，能够挖掘出数据之间的相关性。综上所述，本文将对基于长短时记忆网络的计算机网络数据传输节点入侵行为辨识方法进行深入研究，探讨其实现过程及其在实际应用中的效果。

1 分析网络入侵节点聚集度

分析网络入侵节点的聚集度是网络安全领域的重要研究内容，有助于深入理解网络攻击行为的特点和规律，从而更有效地预防和应对网络入侵。网络入侵节点的聚集度指的是在网络中，被入侵节点在空间或时间上的聚集程度。这种聚集现象可能由多种因素引起，例如攻击者的策略、网络拓扑结构以及网络流量的分布等。当入侵节点在空间上呈现聚集时，可能表明攻击者对特定区域或子网进行了集中攻击；而时间上的聚集则可能揭示出攻击者的活动周期或攻击波次。在对其进行聚类分析之前，必须先明确网络中各节点之间的信号传递过程，可用如下公式表示传递过程：

式中，m 是在计算机网络数据传输节点中通道的超参数值；n 是计算机网络数据传输节点的偏倚因子；s（t）是一个完整的释放条件的网络数据传输节点入侵信息的概率；Γ （t） 是节点中需检测信号的损失函数。通过调整计算机网络数据传输节点中的超参数值和偏倚因子，形成入侵信号模型[2]。在此基础上，提出了一种基于入侵信号传播模型的节点聚集度计算方法。将原始网络节点中的数据样本看作一组，用F 表示，抽样中的数据最大值用G 来表达，用D 来表达网络中的中心节点[3]。根据以上的设置，计算任意节点与中心节点之间的相似性，并设置以下判定条件，以避免通信网络中的结点信息受损：

式中，｜｜ jp ｜｜是网络频宽被节点入侵信号所占用的部分；ρj 是线性修正密度；t 是节点开启时间；E （x） 是传递入侵信号的方式。入侵节点的聚集程度如公式（3） 所示：

式中，χ ti 是t 时刻的第i 个入侵节点；pb （t） 是对应入侵节点的权值。

节点的空间聚集度h 是一个至关重要的指标，它直接反映了入侵节点在网络中的分布情况。当h 值较大时，意味着入侵节点在网络中的分布相对较为分散，此时攻击者可能采用了分散式攻击策略，以避免被集中防御系统发现。而当h 值较小时，则表示入侵节点更加集中，此时攻击者可能针对某个关键节点或子网发动集中攻击，试图通过破坏这些关键节点来实现其攻击目的[4]。为了深入探索入侵信号在通信网络中的传播机制，本文建立了一种新的入侵信号传播模型。通过对该模型的研究，可以更好地理解网络入侵行为的本质和规律，从而为网络安全防御提供更为有效的支持。

2 提取节点入侵行为特征

在网络数据中，节点类型丰富多样，包括正常节点、非正常节点以及恶意节点等不同类型。这些节点在数据传输和处理中各自扮演着不同的角色。正常节点在网络中承担着稳定传输的角色，能够确保数据的正常流通，不会出现丢包等异常情况。非正常节点中的非恶意节点则可能由于网络故障等原因，导致数据无法正常传输，从而对网络的稳定性和可靠性造成一定影响。相比之下，恶意节点则更加危险，其存在不仅会影响网络的正常运行，还可能泄露敏感信息，对网络安全构成严重威胁。因此，本文重点研究网络中的恶意攻击行为特征。

在图1中，A、B、C 表示已经被入侵的节点；a、b、c 是无异常的节点数据。恶意节点通过监听外界的恶意数据，获取网络的敏感信息，并对其进行防护和加密，以达到对 网络进行攻击与破坏的目的[5]。

在图2中，z、x、v、m 表示没有被侵入的节点。对于内部的恶意节点，其行为特性主要是利用网络内的环境，在被捕获的节点中植入相应的网络编码[6]。这些恶意节点通过篡改数据、窃取信息等手段，对网络的正常运行造成破坏。

将每个属性下的数据划分为独立的区段，并将其记录在档案中。提出了一种基于局部最小二乘支持向量的自适应遗传算法，该方法采用了一种能够无限微分的启发式函数，从而有效避免了模型中各个参数的调整；然后，通过对两组参数的随机选择，使两组参数在训练过程中保持一致，并采用最小继承法获取提取结果，该过程可用公式（4） 表示。

βm = ｜｜ h - HT ｜｜ （4）

式中，βm 是最小二乘解；h 表示入侵节点聚集度；H 表示在隐含层当中输入的矩阵；T 表示常数项。将这种方法应用于网络环境中，对数据进行计算和分析，提取攻击行为的特征。这些特征包括攻击类型、攻击强度、攻击频率等关键信息，为深入理解恶意攻击提供了重要线索。

综上所述，提取节点入侵行为特征是一项至关重要的任务。通过深入研究和分析恶意节点的攻击行为特征，可以制定更有效的防御策略，确保网络的正常运行和数据的安全传输。

3 利用长短时记忆网络模型检测节点异常行为

对已有损伤的无线通信网络中的节点特征进行转换，并对其进行规范化处理，以消除特征在尺度上的差异。

依据LSTM单元结构，构建了基于全局池化层的短期记忆模型，并利用LSTM对时序数据进行学习，对提取出的特征进行筛选和训练。在此基础上，使用Sigmoid 激活函数对训练结果进行了两种类型的预测。在进行全局池化时，如公式（5） 所示。

y = max [ xij ] （5）

式中，y 是全局最大池化特性的输出结果；xij 是一个特征集的第i 行第j 个栏位的特征量。因此全局平均池化值如公式（6） 所示。

式中，yl 是池的整体平均特性值；a、b 均是特性图表的大小。采用LSTM实现对输入门、输出门和输出门的有效存储。

在模型训练过程中，本文使用Sigmoid激活函数对训练结果进行二分类预测。Sigmoid函数能够将任意实数映射到0到1之间的概率值，特别适合处理二分类问题。通过调整模型的参数和结构，不断优化模型的分类性能，使其能够准确区分正常节点与异常节点。

最终，本文利用训练好的LSTM模型对计算机网络数据传输节点进行攻击异常检测。该模型能够根据节点的特征和行为模式，自动识别出潜在的异常行为，并提供相应的预警或报警信息。这对于及时发现和应对网络攻击、保障网络安全具有重要的实践意义。

4 判定入侵行为

被检测节点一旦发现网络异常情况，会立即将相关异常信息发送至基站。基站作为整个网络的中枢，具备强大的能源供应和计算能力，因此承担着对异常信息进行深入识别的重要任务。识别的目的是准确判定是否存在网络入侵行为，并据此迅速隔离恶意节点，以保障网络的正常运作和数据的安全传输。

本文通过计算异常行为对网络带来的潜在损失值L来判定该异常行为是否应被归类为入侵行为。当L值超过预设的阈值时，即可判定该异常行为为入侵行为，并立即采取措施隔离恶意节点，以保障网络的稳定运行。相关公式如（7） 所示。

其中，ai 是受到异常行为影响的节点i 所受到的威胁指标；ws 是监控节点s 将入侵行动报告给基站的次数；τk 是入侵行为k 的权重，表示其危害程度；Mi 是一组监控集合，用于节点i。

由此可以得到节点 i 的潜在损耗L 如公式（8） 所示。

L = ai∗ci （8）

式中，ci 是节点i 的重要性，根据单位时间内异常行为的次数、受异常行为影响的节点的重要性以及异常行为的危害性，计算出每个节点的潜在损失值L。当这个值超过指定阈值时，基站会判定该节点为恶意节点，存在入侵行为，并立即启动隔离程序，将其从网络中移除，以防止其继续对网络造成损害。

通过这种方式，有效检测和应对网络入侵行为，保障网络的正常运行和数据的安全传输。同时，这也提醒我们，网络安全防护需要持续不断地进行，以应对日益复杂和多样化的网络威胁。

5 实验

5.1 实验准备

选取了一个包含200多个通信网络的数据集作为研究对象。该数据集包括正常状态以及不同类型的入侵行为，如拒绝服务攻击（DoS） 、远程到本地攻击（R2L） 、端口扫描或监视（Probe） ，以及未经授权访问本地超级用户权限（U2R） ，如表1所示：

每一个节点的各项配置都是一样的，在同一网络中，最大工作带宽是300M，节点编码采用稀疏编码，以Pycharm作为平台，以Kcars作为学习库。

5.2 实验结果与分析

利用基于统计分析的入侵行为辨识和基于模式识别的入侵行为辨识方法以及本文方法对各个终端进行入侵行为辨识，以辨识灵敏度为评估指标。

对比分析显示，所提方法与另外两种方法在辨识灵敏度上存在显著差异。具体而言，对于异常数据，基于长短时记忆网络的计算机网络数据传输节点入侵行为辨识方法表现出平稳且中等偏上的灵敏度增长，明显优于其他方法。

6 结束语

基于长短时记忆网络的计算机网络数据传输节点入侵行为识别方法能够准确识别网络数据传输节点中的异常行为，有效提升了网络安全防护的精准度和效率。尽管该方法在大多数情况下能够准确识别入侵行为，但在某些特殊场景下，可能仍存在误报或漏报的情况。此外，该方法还需要不断适应新型网络攻击手段的变化，以保持其识别能力的先进性。

参考文献：

[1] 顾正祥.基于Agent人工智能的异构网络多重覆盖节点入侵检测系统设计[J].计算机测量与控制，2024，32（5）：17-23，30.

[2] 覃仲宇.基于改进LSTM的无线通信网络节点入侵预警方法[J].信息与电脑（理论版），2023，35（22）：190-192.

[3] 杨煊.基于改进BP神经网络的无线网络恶意入侵检测方法[J].电子元器件与信息技术，2023，7（11）：75-78，82.

[4] 章学渊.ZigBee无线通信网络入侵探测节点倒追定位方法[J].辽东学院学报（自然科学版），2023，30（3）：206-212.

[5] 周永吉，李阳，黄博.基于深度长短记忆网络的网络数据流异常检测研究[J].自动化技术与应用，2023，42（8）：82-87.

[6] 莫丽娟.基于深度学习的无线传感网络入侵检测方法[J].长江信息通信，2023，36（7）：118-120.

【通联编辑：张薇】