0 引　言

随着舰船通信网络的快速发展和广泛应用，舰船通信网络流量异常检测成为一个重要的问题。舰船通信网络是舰船运行的重要组成部分，其流量异常通常与各种安全问题相关联^[1-2]。麻文刚等^[3]利用LSTM与改进残差网络优化方法，该方法能够更准确地检测出异常流量。但此方法训练需要大量的计算资源，计算复杂度较高，对于大规模的网络流量数据可能需要进行较长时间的计算。董书琴等^[4]使用堆叠降噪自编码器，检测不平衡数据的异常网络流量，但该方法中很多技术需要合适的参数才能有效运行，如采样比例、欠采样阈值等。这些参数的调整可能会很复杂，需要大量的实验和经验。机器学习技术能够自动学习和自适应，根据数据的变化进行模型调整，从而更好地适应新型的网络攻击和异常行为^[5]。为此提出了基于机器学习的舰船通信网络流量异常检测方法，为舰船通信网络安全提供有效的技术支持。

1 舰船通信网络流量异常检测方法 1.1 基于小波变换的网络流量预处理方法

舰船通信网络中可能存在各种安全威胁，例如网络攻击、病毒传播等。这些威胁可能利用噪声数据掩盖其恶意行为，因此对流量进行去噪处理，可以帮助识别异常流量。小波变换是当下数据处理常用技术之一，能够细化舰船通信网络原始流量数据，再由小波阈值将细化后流量数据进行去噪处理，优化原始流量数据质量，降低噪声对流量异常检测结果的负面影响。详细步骤如下：

1）设置小波变换分解尺度。分解尺度对舰船通信网络原始流量数据细化水平存在直接影响，若分解尺度不足，流量数据便不能全面细化；若分解尺度太大，通信网络流量数据便细化过度。假如小波变换的分解层数为 $ V $ ，舰船通信网络原始流量数据为 $ g $ ，则

$ V = \sum\limits_m {Bg\left( {h - 2r} \right)}。$

(1)

式中： $ B $ 为通信网络流量数据分解所用小波系数； $ m $ 、 $ h $ 分别为随机数与原始网络流量数据； $ r $ 为干净的流量数据小波系数。

2）小波变换多尺度分解 $ h $ 时，利用小波阈值处理小波系数，小于阈值的小波系数设成0，便可抵御噪声干扰。大于小波阈值的小波系数无需变动，阈值为：

$ \alpha = \sqrt {2\lg \left( V \right)} /\ln \left( {h + r - 1} \right) 。$

(2)

3）把不等于0的小波系数，采用小波逆变换的方式，获取干净的原始网络流量数据 $ r $ 。

1.2 基于机器学习的流量异常检测模型

卷积循环神经网络（Convolutional Recurrent Neural Network，CRNN）是一种在机器学习中应用广泛的深度学习模型。它结合了卷积神经网络（Convolutional Neural Network，CNN）和循环神经网络（Recurrent Neural Network，RNN）的特性，可以处理具有序列结构的数据。卷积循环神经网络结构主要分为输入层、卷积层、池化层、循环层、全连接层、输出层。设置预处理完毕的 $ K $ 组存在同一五元组的流量数据包为 $ {r_1},{r_2},\cdots,{r_K} $ ，卷积循环神经网络的输入是大小为 $ N $ 、数量为 $ M $ 的舰船通信网络流量样本数据包，则基于机器学习的流量异常检测模型的操作步骤如下：

1）划分 $ {r_1},{r_2},\cdots,{r_K} $ 。针对 $ {r_1},{r_2},\cdots,{r_K} $ 中各组舰船通信网络流量数据r_j而言，各 $ M $ 个数据包看作一个样本，获取 $ {r_j} = \left| M \right|\parallel {r_j} $ 个样本, $ \parallel $ 代表整除后向下取整。在r_j中提取各个舰船通信网络流量样本，运算总字节数目N₀。如果N₀大于 $ N $ ，把样本截断为 $ N $ 字节。反之在样本末尾补充16位进制数，将其补充为 $ N $ 字节。此环节可得到各组去噪后流量数据r_j的字节样本Y_ij， $ i $ 、 $ j $ 分别代表分组编码、样本编码。

2）把步骤1中获取的各个舰船通信网络流量字节样本数据Y_ij，输入卷积循环神经网络。设置 $ {Y_{ij}} = y_1^{}{y_2} \cdots {y_b} \cdots {y_N} $ ， $ {y_a}\left( {a \in N} \right) $ 代表通信网络流量每个字节Y_ij的十进制值，字节索引为 $ a $ 。输入首层卷积神经网络获取的舰船通信网络流量特征值为：

$ x_{az}^1 = \varepsilon \left( {\sum\limits_{r = 1}^R {\varpi _{R,z}^0y_{a + R - 1,z}^0 + A_z^0} } \right) 。$

(3)

式中： $ \varepsilon $ 、 $ z $ 分别为ReLU函数、卷积特征图索引； $ R $ ， $ \varpi $ 分别为过滤器大小，卷积核权值； $ A_z^0 $ 为舰船通信网络流量第 $ z $ 个特征图偏置。第 $ \theta $ 层卷积层输出的是舰船通信网络流量特征提取结果为：

$ x_{az}^\theta = \varepsilon \left( {\sum\limits_{r = 1}^R {\varpi _{R,z}^{\theta - 1}y_{a + R - 1,z}^{\theta - 1} + A_z^{\theta - 1}} } \right)，$

(4)

各层卷积完毕，设计最大池化层，可降低卷积循环神经网络参数计算难度，提高运算效率，且能够避免出现拟合过度问题。最大池化方法为：

$ D_{az}^\theta = \max x_{az}^{\theta - 1} ，$

(5)

经池化处理后，设定双向LSTM为循环神经网络层。双向LSTM层从正反2个方向处理输入样本后，将处理结果整合，深度捕捉流量数据内在特征。各个LSTM层都具备控制数据流动的门控模块，在获取第 $ \theta $ 层输出 $ D_{az}^\theta $ 后，将 $ D_{az}^\theta $ 输入LSTM层。如果LSTM层的流量数据内在特征输出向量为p^t，则

$ {p^t} = \varepsilon \left( {{u^t}} \right) \times {\eta ^t}D_{az}^\theta 。$

(6)

式中： $ {\eta ^t} $ 、 $ {u^t} $ 分别为此层时间步 $ t $ 的更新结果、流量数据内在特征信息状态更新结果。

双向LSTM层的输出提取完毕，输入全连接层，使用Sigmoid函数分类器分类。Sigmoid函数分类器对流量异常检测结果为：

$ S\left( {{p^t}} \right){\text{ = }}\frac{1}{{1{\text{ + }}{e^{ - {p^t}}}}} ，$

(7)

式中， $ e $ 为误差指数。

$ {O_p} = - \frac{1}{K}\sum\limits_{j = 1}^K {S\left( {{p^t}} \right)\log \left( {S\left( {{p^t}} \right) + \left( {1 - S\left( {{p^t}} \right)} \right)\log \left( {1 - S\left( {{p^t}} \right)} \right)} \right)} 。$

(8)

式中：如果S(p^t)数值为0，则通信网络流量样本是正常流量；如果通信网络流量样本是异常流量，则其数值为1。

4）将通信网络流量样本的测试集合输入网络模型，获取通信网络流量样本异常检测结果。训练时使用前向训练、反向训练方法。

前向传播训练：在通信网络流量训练样本集合中提取一个样本，把其输入卷积循环神经网络，此网络中上层输出为下层输入，以此类推传递，最终获取Sigmoid函数分类器的分类结果为S(p^t)。S(p^t)为三维向量，表示p^t被检测为异常流量的概率。

后向传播训练：计算S(p^t)和验证样本集的流量类型的二分类交叉熵损失函数，调节权重，剩下层误差需要在输出层方向逐层计算。

利用前向训练、反向训练方法，能够获取此网络全部层的权重参数，构建性能最优的卷积神经网络模型后，使用式（3）~式（7）检测舰船通信网络流量是否异常。

2 结果与分析

为测试本文方法的使用效果，构建如图1所示的卷积循环神经网络。为避免出现过拟合问题，卷积循环神经卷积层使用Sigmoid函数分类器，将舰船通信网络流量进行异常检测。

2.1 舰船通信网络流量去噪效果测试

以图2所示舰船通信网络流量样本为例，此流量样本存在噪声成分，导致干净的流量数据受到影响，出现流量数据失真问题。为此，使用本文基于小波变换的网络流量预处理方法，对此样本进行去噪，处理后效果如图3所示。从图3可知，本文方法使用基于小波变换的网络流量预处理方法，对此样本进行去噪后，流量数据中噪声成分被有效滤除，预处理后的流量数据与实际有效成分相符。

2.2 舰船通信网络流量异常检测效果测试

证明本文方法具备舰船通信网络流量去噪效果后，以图4所示舰船通信网络结构为例，测试本文方法的异常检测效果。

舰船通信网络中节点1、节点4、节点8、节点14的流量数据的划分情况如表1所示。

本文方法对舰船通信网络流量的检测效果如表2所示。从表2可知，本文方法利用前向训练、反向训练方法，能够获取此网络全部层的权重参数，构建性能最优的卷积神经网络模型，正常、异常网络流量的检测结果准确，错检的样本数量为0，验证了本文方法在网络流量异常检测中的准确性。

舰船通信网络流量异常检测过程中，使用本文方法前后，异常流量样本的检测范围如图5和图6所示。对比图5和图6可知，使用本文方法前后，异常流量样本的检测范围存在差异，本文方法的检测范围更全面，漏检率也随之更小。

3 结　语

舰船通信网络流量异常可能导致网络拥塞、丢包、延迟等问题，严重时甚至可能引发通信中断、指挥失效等后果。此外，流量异常还可能隐藏着网络攻击、病毒传播等安全风险。针对此问题，本文提出基于机器学习的舰船通信网络流量异常检测方法，本文方法在舰船通信网络流量异常检测中，对于保障舰船通信网络安全、维护网络正常运行具有重要意义。