0 引　言

信息技术与物联网技术的成熟与应用，使船舶智能化、网络化与自动化管理成为可能^[1]。船舶物联网可为船舶航行环境监测、船舶设备远程控制提供可靠保障。非法入侵行为将会给船舶物联网安全带来极大威胁，甚至产生难以磨灭的损失^[2-3]。采取有效措施对船舶物联网非法入侵行为进行检测显得极其重要。

数据规模的不断扩大以及非法入侵方式的复杂化，为船舶物联网非法入侵行为检测带来极大挑战。周飞菲^[4]针对入侵行为检测效果差的问题，提出在对规则、攻击以及边界信息进行精准划定的基础上，利用支持向量机对非法入侵行为进行分类的方法。由于该方法获得非法入侵行为特征不够全面，且存在梯度消失等问题，以致非法入侵行为检测效果并不理想。金诗博等^[5]根据虚假注入攻击下的物联网参数的变化，实现指标特征数据的获取后，利用贝叶斯分类器完成虚假数据类型的识别。单一模型获得的非法入侵数据特征具有片面性与不完整性，通过多组合模型实现非法入侵行为特征的多尺度获取，是提高非法入侵行为检测效果的关键^[6]。因此，本文研究多模型组合的船舶物联网非法入侵行为检测方法，以改善非法入侵行为检测效果，确保船舶物联网的安全、平稳运行。

1 船舶物联网非法入侵行为检测 1.1 密集连接卷积神经网络

传统深层卷积神经网络梯度爆炸或过拟合缺陷，密集连接卷积神经网络的提出，使得这一问题得以解决，该网络的随机2层之间都具有关联，即其前向各层输出结果构成了当前层的输入，该层处理后的特征图也将被其后各层所利用，以维持网络各层的密集连接状态。该网络通过较少数量卷积核即可实现输入样本特征的学习，在有效降低了网络参数量的同时，能够实现底层特征的高效利用。DCCNet网络基本结构如图1所示。

该网络中含有3个密集连接块，过渡层位于2个密集连接块之间，起到连接作用。每个密集连接块都具有5层结构，利用非线性变换函数 $ {H_l} $ （composite function）可实现数据在网络上、下层之间的传递，它由BN（Batch-Normalization）、激活函数以及卷积3个处理阶段构成。密集连接块第 $ L $ 层的输出结果描述为：

$ {X_l} = {H_l}\left[ {{x_o},{x_1}, \cdots ,{x_{l - 1}}} \right]。$

(1)

式中：x_-1表示密集连接块中各层连接特征。通过H_l对密集连接块的各层进行处理，可获得特征图数量表示为 $ k\left( {l - 1} \right) + {k_0} $ ，则其首层输入特征数量表示为 $ k\left( {l - 1} \right) + {k_0} $ ，增长率表示为 $ k $ ，其作用是调节DCCNet网络宽度，输入层通道总量表示为k₀。

各密集连接块获得的样本数据特征图存在尺寸差异，为使其输出特征维度具有一致性，在其后接入过渡层，依次完成密集连接块输出特征的归一化、激活函数、卷积与池化操作。

1.2 门控循环单元

门控循环单元（GRU）是对循环神经网络（RNN）的改进与延伸，在时间序列数据处理上与长短时记忆网络（LSTM）性能差异不大，但因其缺失一个控制门，网络参数使用数量更低，网络收敛效率更高。GRU的基本结构如图2所示。

图2中， $ t $ 时刻的输入表示为x_t，通过前一个节点获得的隐状态表示为h_t-1，前向节点信息均隐含在其中。利用x_t、h_t-1可确定 $ t $ 时刻隐含节点的输出结果与后一节点的隐状态输入，分别表示为y_t、h_t。GRU的工作原理如图3所示。

在GRU中，根据 $ {x_t} $ 、 $ {h_{t - 1}} $ 可对 $ t $ 时间点下的重置门 $ r $ 、更新门 $ z $ 的状态进行确定，公式描述为：

$ {r_t} = \sigma \left( {{{\boldsymbol{W}}_r}{x_t} + {{\boldsymbol{U}}_r}{h_{t - 1}}} \right) ，$

(2)

$ {z_t} = \sigma \left( {{{\boldsymbol{W}}_z}{x_t} + {{\boldsymbol{U}}_z}{h_{t - 1}}} \right) 。$

(3)

式中： $ {{\boldsymbol{W}}_r} $ 、 $ {{\boldsymbol{W}}_z} $ 分别为输入层与重置门 $ r $ 、更新门 $ z $ 的权重矩阵； $ {{\boldsymbol{U}}_r} $ 、 $ {{\boldsymbol{U}}_z} $ 分别为隐含层与重置门 $ r $ 、更新门 $ z $ 的权值矩阵。

通过重置门 $ r $ 对h_t-1所含信息作更新处理，计算公式为：

$ {h'_{t - 1}} = {h_{t - 1}} \cdot {r_t} 。$

(4)

将 $ {h'_{t - 1}} $ 与 $ {x_t} $ 作拼接，并利用 $ \tanh $ 函数将拼接后数据向[−1,1]区间进行投影，可完成 $ {h'_t} $ 的确定，计算公式为：

$ {h'_t} = \tanh \left( {W{x_t} + {r_t} \cdot U{h_{t - 1}}} \right) 。$

(5)

通过更新门确定后一节点的隐状态输入h_t，计算公式为：

$ {h_t} = {z_t} \cdot {h_{t - 1}} + \left( {1 - {z_t}} \right) \cdot {h'_t}。$

(6)

更新门的取值区间为[0,1]，门控信号无限接近1，说明可获得更多的“记忆”数据；反之，当其无限趋近于0，则表明更多的数据被“遗忘”。

1.3 船舶物联网非法入侵行为检测组合模型

船舶物联网流量数据为典型的一维数据，一维卷积层可有效增强非法入侵行为检测组合模型对时间序列数据的学习性能，因此对DCCNet网络作改进处理，通过一维卷积对原有二维卷积进行替换，采用小卷积核完成船舶物联网流量数据核心特征的提取。将1通道且卷积核大小为3的一维卷积部署于首个密集连接块前端，以获取改进DCCNet网络首层特征，通过批归一化处理提高网络训练效率，利用最大池化层加大网络感受野，避免网络出现过拟合缺陷。通过一维卷积提取输入样本数据特征后，将其输入到密集连接块中，通过其内的BN1D+ReLU+Conv1D（1×1）+BN1D+ReLU+Conv1D（3×3）的 $ {H_l} $ 对其进行处理，以获得多通道融合特征，完成船舶物联网流量数据特征的提取。过渡层采用1×1卷积，以达到密集连接块产生通道个数降低的目的。设定 $ c $ 为前层网络产生的特征图通道数，压缩系数 $ k $ 在[0,1]内取值，则 $ c \cdot k $ 为过渡层输出的特征图数量，将其作为后一个密集连接块的输入，可确保船舶物联网流量样本数据的核心信息得以完整保留。改进后的DCCNet网络不仅具有较少参数，而且可提高输入样本特征表达能力。

船舶物联网流量样本数据经过一维DCCNet网络处理后，可实现其空间特征的完整提取，将其作为GRU的输入，以获得其时间维度特征，从而实现其时空特征的全面学习。采用基于改进DCCNet-GRU的船舶物联网非法入侵检测组合模型对船舶物联网流量样本数据进行处理，可得：

$ \left\{ \begin{gathered} {f_1} = DCCNet1D\left( f \right)，\\ {f_2} = Batchnorm1D\left( {{f_1}} \right) ，\\ {f_3} = GRU\left( {{f_2}} \right) ，\\ {f_4} = Avgpool1D\left( {{f_3}} \right) 。\\ \end{gathered} \right. $

(7)

式中：f₁为船舶物联网流量样本数据的初始特征张量；f₂为Batch-Normalization层获得的特征张量；f₃为GRU提取的特征张量；f₄为船舶物联网非法入侵检测组合模型输出的流量数据特征，利用全连接层对其进行处理，即可完成船舶物联网非法入侵行为检测，确定非法入侵行为类型。

2 实验结果与分析

以船舶物联网为研究对象，将不同非法入侵行为攻击类型数据注入到船舶物联网中，构建样本数据集，数据总量为10000条，以4∶1比例划分训练样本、测试样本，在PyTorch1.2深度学习框架下开展船舶物联网非法入侵行为检测实验，设定批量处理规模为128，学习率初值为10⁻³，最大训练次数为500，利用Adam优化器对组合模型参数进行寻优。非法入侵行为攻击数据类型如表1所示，采用本文方法对船舶物联网非法入侵行为进行检测，分析其检测性能。

选取精确率（P）、召回率（R）以及F₁分数作为船舶物联网非法入侵行为检测的评价指标，将训练样本作为非法入侵行为检测组合模型的输入对其进行训练，通过对各非法入侵行为的P、R、F₁指标值差异，分析本文方法的非法入侵行为检测性能，实验结果如表2所示。实验结果表明，本文方法可实现船舶物联网非法入侵行为检测，检测效果较好。

损失函数对非法入侵行为检测组合模型至关重要，本文选取交叉熵损失函数与Focal损失函数进行实验，通过对比不同损失函数下各非法入侵行为的R指标值的变化曲线，研究损失函数选择对非法入侵行为检测组合模型性能的影响，实验结果如图4所示。分析可知，当以Focal为非法入侵行为检测组合模型的损失函数时，模型对不同非法入侵行为的检测R指标均较高，达到90%以上；当模型采用交叉熵损失函数时，各非法入侵行为检测R指标值均较低，最大值仅为88%左右，因此，本文采用Focal损失函数。

增长率 $ k $ 与模型深度同样会对非法入侵行为检测组合模型性能造成影响，设定 $ k\left( {l - 1} \right) + {k_0} $ 为20、30，模型深度在[20,110]区间取值，对不同 $ k\left( {l - 1} \right) + {k_0} $ 下的非法入侵行为检测准确度指标分析结果如图5所示。分析可知，随着网络层数的不断增长，非法入侵行为检测准确度呈先增后减趋势变化，当网络层数为95时，非法入侵行为检测准确度最高，可达到95.67%左右；在相同网络深度条件下， $ k{\text{ = }}30 $ 时的非法入侵行为检测效果高于 $ k{\text{ = }}20 $ 。实验结果表明，当 $ k\left( {l - 1} \right) + {k_0} $ 为30、网络层数为95时，非法入侵行为检测效果最优。

采用本文方法对测试样本中的非法入侵行为进行检测，通过对检测结果进行分析，验证本文方法的检测效果，实验结果如表3所示。分析可知，应用本文方法对船舶物联网非法入侵行为进行检测，可实现各种非法入侵行为类型的识别，其中在Shellcode、Exploits非法入侵行为上存在一个误检测样本。实验结果表明，本文非法具有非法入侵行为检测能力，并可取得良好的检测效果。

3 结　语

构建基于DCCNet-GRU的船舶物联网非法入侵检测组合模型，在包含不同非法入侵行为样本数据集上进行非法入侵行为检测效果分析。实验结果表明，本文方法可实现船舶物联网非法入侵行为检测，采用Focal损失函数， $ k\left( {l - 1} \right) + {k_0} $ 为30、网络层数为95时，其非法入侵行为检测效果最优。