吕航

（长春汽车工业高等专科学校，吉林 长春 130000）

1 引言

加强对网络计算机系统的安全维护工作，是信息化建设的重要工作环节[1]。目前存在着多种方法能够区分复杂网络中节点的重要性，而且这些方法已经取得相应的成果。然而大数据时代具有网络结构多样、节点数目繁多的特点，很多方法存在着一定的缺陷。例如部分方法计算复杂度较高，不适用于节点数和边数众多的大型网络，而一些计算简单的方法仅包含很少的信息[2]，评价节点重要性的准确度不高，无法满足实际的应用需求。因此，如何平衡方法准确性和计算复杂度之间的关系，设计快速高效的关键节点识别方法是复杂网络以及网络安全领域的研究热点。本文基于CNN-LSTM（卷积神经网络）网络的计算机网络内部丢包节点识别技术进行实验研究，建立网络信道模型提高交互成功的概率。

2 计算机网络内部攻击模型分析

在对计算机网络内部丢包节点进行识别时，首先需要确定计算机网络内部攻击情况，内部攻击不同导致的计算机网络内部丢包节点量不同[3]。计算机网络内部攻击模型主要分为4个部分：

2.1 虚假路由信息攻击

虚假路由信息攻击，是恶意节点通过直接篡改或者重放数据包使得传感器网络中形成一个路由环，数据包会沿着路由环传输，永远到达不了真实的目的节点。

2.2 女巫攻击

女巫攻击(SybilAttack)是恶意节点，经过伪造或者盗用合法节点让其他节点误认为周围存在多个节点[4]，但事实上那些节点是不存在的，所以转发给那些节点的数据都将被恶意节点获得，这会危害网络的正常工作。女巫攻击会对基于位置的路由协议构成很大的威胁。

2.3 虫洞攻击

虫洞攻击(Wormholes Attack)是由两个地理位置距离较远的恶意节点，经过谋划建立一条声称特性为低延迟、高效率的通道，以此引诱周围节点的数据包，恶意节点收到数据包后会直接丢弃数据包或者在网络的不同区域内重放收到的数据包，使得数据包不会到达真实的目的节点。

2.4 黑洞攻击

黑洞攻击(Blackhole Attack)是吸引周围的节点将数据包传输到该恶意节点，恶意节点会直接丢弃收到的数据包，使得数据包不能顺利抵达基站，让传感器在网络中形成路由黑洞。

3 网络节点识别方法

本文通过建立网络信道模型从而反映网络信道的路径损耗、多径效应和环境干扰等信道特性，采用高斯统计建模节点，构建节点交互成功的概率模型，提高交互成功的概率。采用假设检验的异常节点识别，判定节点为恶意丢包节点或非恶意丢包节点，最终实现计算机网络内部丢包节点识别。

3.1 节点交互成功的概率模型

采用二进制相移键控(BPSK)调制。标准（BPSK）误码概率Pb等于Q(V,Y)，其中，Q(·)是Q函数。γ是信干噪比(SINR)，表示如下：

其中：H(f)是信道的频率响应函数，Ptx是传感器节点的发射功率，I是干扰，可以忽略不计，N(f)是在频率f上的噪声功率谱密度函数。因此，包错误概率Pe可以表示为：

其中，LP为数据包的长度(以bit为单位)。

然后，根据节点n-1发送的数据包，在其节点n中被顺利接收的概率，可以通过式3计算得出：

其中：Pc是数据包在节点n 处发生碰撞，导致接收失败的概率。

传感器节点在发送数据包后，在给定的最大等待时间内收到一个来自其下一跳节点的ACK 包，这表明数据包被下一跳成功接收，那么这就被看作是一次成功的交互。当传感器节点向下一跳发送一个数据包后，等待一个ACK 包来判断数据包是否接收成功。假设最长等待时间为MAC 协议的N个时隙。假设其下一跳回复ACK包服从几何分布，那么发送节点成功接收到ACK包的概率可表示为：

3.2 采用假设检验的异常节点判别

对于节点行为特征序列的统计模型(Ωr1Ar1pr)，节点行为特征序列的概率分布族pr的非空子集称为假设(Hypothesis)。在参数分布族中，此假设等价于模型的参数空间Θ 的非空子集。

在已知检测对象的数据包操作行为特征序列观测值为x(T)的先决条件下，检验观测值与给定的假设是否存在矛盾的问题称为统计假设检验问题(StatisticalHypothesis Testing)[5]。

在一个假设检验问题中，所要检验的假设称为原假设(Hull Hypothesis)，记为H0。与H0不相容的假设称为备择假设(AltenativeHypothesis)，记为H1。关于节点行为特征序列的统计模型(Ωr1Ar1pr)的原假设和备择假设分别记为：

对于参数统计模型的构建可分别作为原假设和备择假设：

给定H0和H1即给定了关于节点行为特征序列的检验问题，记为检验问题(H0，H1)。特别地，(Θ0，Θ1)称为参数假设检验(Parametric Hypothesis Test,PHT)，其他称为非参数检验(Non-parametric Hypothesis Test,NHT)。

假设检验问题的基本思想是把节点行为特征序列的事件空间Ωr划分为两个互不相交的可测集，即

在异常节点检测问题下，H0通常设置为正常节点的x(T)的相关行为，而H1通常设置为异常节点的x(T)的相关行为。关于节点行为特征序列假设检验问题(H0，H1)下，若检验结果接受H0，则判定节点为不恶意丢包的正常节点；若拒绝H0，则判定节点为异常丢包节点[6]。

3.3 网络内部丢包节点的识别方法

CNN-LSTM 网络模型主要由两部分组成，分别为语谱图+CNN-LSTM 和LLDs+DNN。考虑到单独语谱图特征分类能力的不足，在网络中融合了LLDs 特征以弥补通信网络信息表示，从而提高分类性能。

图1 基于CNN-LSTM的计算机网络内部丢包节点识别

（1）输入层

模型输入为网络特征数据，将原始网络文件进行预处理并分别提取所提到的语谱图特征与LLDs特征。每帧语谱图特征大小归一为256×256×3，其中256 为图像的宽高，3 代表彩色语谱图的通道数(RGB)，将数据集样本提取到的所有帧的语谱图进行时序组合，然后输入到CNN 层中进行下一步操作[7-8]。

（2）CNN层

为了处理频谱特征数据，在CNN 层使用多尺度卷积核对输入数据进行卷积操作，接着采取池化操作进一步特征提取，最后将网络输出结果合并为序列化的表示。

（3）LSTM层

LSTM网络可以有效地捕获输入序列的上下文信息，解决了序列化信息保存传递的问题，有助于分类模型获得更好的准确性。

（4）注意力机制层

注意力机制的灵感来源于人类的视觉特性，我们的视觉系统在观看特定场景时只会关注想看的部分[9]，从而忽略掉无关的冗余信息。

（5）DNN层

DNN(深度神经网络)的神经网络具有多层隐含层。模型中3 个FC 的节点数分别为256，128，64。输入的HSFs 特征在经过DNN层后维度被进一步压缩。

（6）输出层

输出层由FC和Softmax组成。首先将语谱图特征经过CNN 层，LSTM 层和注意力机制层的输出与HSFs 特征在经过DNN 层输出进行向量拼接，作为最后的分类特征向量表示。经过FC 与Softmax 层输出[10]。Softmax 层为损失函数，用于将输出映射到概率区间得到分类概率分布，从而输出识别结果。

4 实验结果分析

4.1 参数设置

实验从恶意路径检测概率、恶意节点定位概率和能量消耗等方面对LSFAD 方案的性能进行仿真评估。所采用的实验数据集为CIC-IDS2017数据集，该数据集是一个综合性的网络入侵检测数据集，由加拿大大学研究网络安全的Canadian Institute for Cybersecurity（CIC）实验室开发和发布。该数据集是基于真实网络通信数据产生的，用于评估入侵检测系统的准确性和可靠性。该数据集包含超过2000万个网络流量样本，在本次实验中，从中随机抽取5000个样本数据，将其中的3000 个样本用于数据训练，将另外2000 个样本用于实验仿真。对实验仿真的参数设置详细如表1所示。

表1 实验仿真参数表

4.2 实验结果分析

图2 描述了在不同链路正常丢包率的情况下，路径中有多个恶意节点的路径正常丢包率和路径平均丢包率的情况[11]。

图2 路径中有多个恶意节点的路径正常丢包率和路径平均丢包率

从图2 可得出，随着路径中的恶意节点个数m 增加，以及恶意节点丢包率q的增加，使选择性转发攻击路径检测成功的概率随之增加。以上实验结果表明，选择性转发攻击路径的检测成功概率与恶意节点个数和丢包率之间存在着正相关关系，较多的恶意节点以及较高的恶意节点丢包率说明，应用本文识别技术具有较高的丢包节点检测成功性。

5 结语

为了提高网络内部丢包节点识别技术准确度，平衡方法准确性和计算复杂度之间的关系，本研究提出了一种基于CNN-LSTM网络的计算机网络内部丢包节点识别技术。相较于传统的机器学习方法，深度学习具有自动提取特征的能力，能够从大规模数据中挖掘出隐藏的模式和规律。CNNLSTM 结合了卷积神经网络（CNN）和长短期记忆网络（LSTM）的优势，能够有效地处理序列数据并保留时序信息，提高了模型的表达能力和预测能力。实验结果表明，随着恶意节点丢包率的增加，导致选择性转发攻击路径的检测成功概率相应增加，证明了本文识别技术的检测功能具有实用性。本文研究成果将为网络管理和优化领域的相关研究提供参考和启示，并在实际应用中产生积极的影响。