CN113810385B - 一种自适应干扰的网络恶意流量检测防御方法 - Google Patents

Abstract

本发明公开了一种自适应干扰的网络恶意流量检测防御方法，初始化软件定义网络，通过图神经网络GNN和循环神经网络RNN提取流量特征，选取干扰噪声向量，利用生成器将干扰噪声向量转化生成特定噪声，得到扰动的流量特征，判断两者特征相似性，扰动的流量特征F_p上传至全局控制器，更新节点的路由策略，调整流量分布。本发明可以避免中间操作过程中网络恶意流量的检测泄露，保证了原始流量的隐蔽性，通过添加扰动噪声进行流量数据脱敏，利用自适应干扰技术保证网络路由动态更新。

Description

一种自适应干扰的网络恶意流量检测防御方法

技术领域

本发明涉及网络安全技术、数据隐私保护领域，具体涉及一种自适应干扰的网络恶意流量检测防御方法。

背景技术

现如今，随着网络技术的不断发展，软件定义网络作为一种能够适宜网络规模不断增长趋势的新计算机网络架构，得到广泛部署和应用。相较于传统网络，软件定义网络使用基于流的概念来识别网络流量，通过转发控制分离。提高了网络管理灵活性。然而，软件定义网络同样面对恶意流量的威胁，例如网络渗透、网络流量欺诈、网络入侵等，这些恶意流量行为通常以未经许可的方式入侵、干扰或抓取未经许可的业务数据或信息。总而言之，在网络空间安全领域中，恶意流量检测一直是一个热点问题。

目前，为了解决软件定义网络恶意流量检测问题，有很多现有的技术被提出用以解决恶意流量检测问题。这些技术主要分为两大类，基于密码学的流量检测保护以及基于机器学习方法的流量检测保护。基于密码学的流量检测保护主要有密文检索技术和深度报文检测技术，这种方法通常由理论保障，然而，不同的加密方式会产生不同的特征，当前尚无通用方法能够应用于所有类型的加密流量。基于机器学习方法的流量检测保护如恶意特征识别，通常识别效果严重依赖于样本数量和质量，并且存在无法有效应对混淆和整形后的流量的问题。

同样的，入侵者往往会根据恶意流量检测结果来调整其网络攻击以逃避现有的检测方案，以最大化效益，流量异常的性质也会随着时间的推移而不断变化。

发明内容

针对现有技术准确度较低、计算复杂度较高、数据依赖性较强等问题，本发明提出了一种自适应干扰的网络恶意流量检测防御方法。通过为软件定义网络图各节点控制器上传决策数据给全局控制器之前对原始流量信息进行重构，可以有效保证子节点流量预测准确性的前提下，自适应更新网络路由规则，动态调整链路节点流量分布，从而起到防御恶意流量检测的作用。

为实现上述发明目的，本发明提供的技术方案为：一种自适应干扰的网络恶意流量检测防御方法，包括以下步骤：

(1)初始化软件定义网络中节点控制器上的循环神经网络RNN和图神经网络GNN模型，并初始化原始流量矩阵，各个节点控制器i加载原始流量矩阵X_c至本地基础设备，利用本地预路由网络配置交换设备下转发规则；

(2)通过图神经网络GNN和循环神经网络RNN提取流量特征；

(3)选取干扰噪声向量，训练生成对抗网络GANs中的生成器G(ω)，利用生成器将干扰噪声向量转化生成特定噪声P_c；所述输出的特定噪声P_c和原始流量矩阵X_c具有相同的维度大小；通过图神经网络GNN和循环神经网络RNN提取扰动的流量特征F_p；

(4)将步骤(2)输出的流量特征和步骤(3)输出的扰动的流量特征F_p输入鉴别器D(ψ)，训练鉴别器并判断两者特征相似性：

同时将扰动流量消息特征向量与原始流量消息特征向量输入鉴别器D(ψ)，将扰动的流量特征F_p对应的标签设为0，步骤(2)输出的流量特征对应的标签设为1；鉴别器D(ψ)训练模型实现二分类任务；

所述鉴别器损失函数loss为：

其中，M(·)为客户端子模型，D(·)为鉴别器模型，m表示样本数量。

重复前述步骤(3)～(4)，直至鉴别器D(ψ)和生成器G(ω)都收敛，即步骤(2)输出的流量特征和步骤(3)输出的扰动的流量特征F_p不相似。

(5)将步骤(3)输出的扰动的流量特征F_p上传至全局控制器，全局控制器更新转发规则，各节点控制器接收更新的转发规则，更新节点的路由策略，调整流量分布。

进一步地，所述软件定义网络包括应用层、控制层、基础设备层；所述控制层包括i个节点控制器和全局控制器网络；所述应用层为软件定义网络的数据中心，协同控制i个节点控制器，并监控全局控制器网络；所述基础设备层为节点控制器下的若干联网设备，包括基础设备和路由器。

进一步地，所述路由网络由一组链接表示：N＝{l_i},i∈(0,1,..,n_l)；所述路由网络中的路由器配置方案由一组路径表示：R＝{p_k},k∈(0,1,..,np)，每条路径都被定义为一系列链接的结合，即

其中k(i)是路径k中第i个链接的索引。

进一步地，所述步骤(2)具体包括以下子步骤：

(2.1)利用图神经网络GNN提取图网络结构流量特征：将原始流量矩阵X_c、链接特征

和路径特征

输入图神经网络GNN，训练该图神经网络GNN，将图神经网络GNN作为路径状态和链路状态对应的目标函数的逼近器，得到路由网络链路中的原始流量消息特征向量F_c，所述原始流量消息特征向量F_c即链接状态

路径状态

所述路径状态

取决于路径中所有的链路状态

数学表达式如下：

所述链路状态

取决于包含该链路在内的所有路径状态

数学表达式如下：

其中，

和

为路径状态

和链路状态

对应的目标函数。

(2.2)利用循环神经网络RNN对链路流量消息进行聚合预测：

利用循环神经网络RNN对路由网络中的链路流量消息进行聚合，捕捉该链路流量消息的依赖关系，收集在每个节点控制器中接受的任意数量的流量消息。并将这些流量消息压缩成固定维度的数组，即隐藏状态；所述隐藏状态中都代表一个包含链接状态

和路径状态

信息的流量变化特征，并与步骤(2.1)得到的原始流量消息特征向量F_c结合共同得到流量特征。

进一步地，所述步骤(3)具体包括以下子步骤：

(3.1)从先验分布P_prior(x)中挑选干扰噪声{z¹,z²,…,z^m}作为生成器输入噪声向量；从先验分布P_prior(x)中挑选干扰噪声{z¹,z²,…,z^m}，并初始化该干扰噪声。所述初始化干扰噪声具体为节点控制器首先计算本地节点的路由网络的流量平均方差，然后依据该流量平均方差设定方差范围。

(3.2)利用生成器G(ω)生成特定噪声：将步骤(3.1)初始化后的噪声输入生成器G(ω)前向传播获得输出特定噪声并进行降维操作。所述输出的特定噪声P_c和原始流量矩阵X_c具有相同的维度大小。所述输出的特定噪声的分布规律主要有均匀分布和正态分布。

(3.3)特定噪声P_c和原始流量矩阵X_c进行流量叠加求和获得扰动流量矩阵X_p，数学表达式如下：

X_p＝P_c+X_c

将扰动流量矩阵X_p、链接特征

和路径特征

输入图神经网络GNN和循环神经网络RNN，得到扰动的流量特征F_p。

进一步地，所述步骤(5)具体包括以下子步骤：

(5.1)全局控制器聚合扰动的流量特征F_p得到决策流量数据；

(5.2)将图卷积神经网络GCN作为路由决策模型，将步骤(5.2)聚合完成的决策流量数据F_p作为路由决策模型的输入数据，利用全局控制器训练路由决策模型在路由决策模型进行前向传播，后续通过计算损失函数反向传播更新路由决策模型的参数以及各节点控制器的转发规则参数；所述各节点控制器接收更新的转发规则，更新节点的路由策略，调整流量分布。

本发明的有益成果主要体现在：

(1)本发明中的各个节点控制器所有扰动加密操作均在节点控制器本地完成，因此整个扰动加密操作具有隐私性，避免中间操作过程中网络恶意流量的检测泄露。

(2)本发明利用自适应干扰方法来实现对恶意流量测绘的防御目标主要分为两个方面，一个方面是原始流量矩阵上所叠加的扰动噪声，使扰动流量矩阵在流量数量级上很难和原始流量矩阵进行区分；另一方面扰动干扰下的扰动流量矩阵在预测模型的流量特征输出中，本发明节点控制器通过添加扰动噪声生成的扰动流量矩阵，相较于原始流量特征差异分布，在流量特征分布上具有不相似性，即使存在恶意攻击者窃取利用网络流量数据，也无法获取未扰动流量特征信息，因此保证了原始流量的隐蔽性。

(3)本发明中的扰动流量矩阵和原始流量矩阵在预测模型输出的隐藏状态差异大，全局控制器可以反向传播更新网络路由规则，因此保证全局控制器可以自适应更新网络路由规则，链路可以自适应地动态调节流量分布方式，避免恶意攻击持续有效作用。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动前提下，还可以根据这些附图获得其他附图。

图1是本发明实施例提供的自适应干扰的网络恶意流量检测防御方法的示意图

图2是本发明实施例提供的自适应干扰的网络恶意流量检测防御方法中的生成扰动流量的流程图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例对本发明进行进一步的详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不限定本发明的保护范围。

鉴于现有技术中存在的问题和不足，本发明提供了一种自适应干扰的网络恶意流量检测防御方法。具体技术构思为：本发明提供的自适应干扰的网络恶意流量检测防御方法，通过对原始流量矩阵添加扰动噪声进行流量数据脱敏，利用自适应干扰技术保证网络路由动态更新。

图1为本发明实施例提供的自适应干扰的网络恶意流量检测防御方法的示意图，具体包括以下步骤：

(1)初始化软件定义网络，所述软件定义网络包括应用层、控制层、基础设备层；所述控制层包括i个节点控制器和全局控制器网络；所述应用层为软件定义网络的数据中心，协同控制i个节点控制器，并监控全局控制器网络；所述基础设备层为节点控制器下的若干联网设备，包括基础设备和路由器。具体包括以下子步骤：

(1.1)初始化节点控制器上的网络模型：初始化节点控制器的循环神经网络RNN和图神经网络GNN的训练轮数R，全局控制器网络及其初始化参数，所述全局控制器网络的初始化参数包括节点控制器上传的嵌入流量向量维度N，和模型学习率r，并初始化当前训练轮次t＝0。

(1.2)初始化原始流量矩阵：各个节点控制器i加载原始流量矩阵X_c(TM至本地基础设备，利用本地预路由网络配置交换设备下转发规则。

所述路由网络可以由一组链接表示：N＝{l_i},i∈(0,1,..,n_l)，所述路由网络中的路由器配置方案由一组路径表示：R＝{p_k},k∈(0,1,..,np)，每条路径都被定义为一系列链接的结合，即

其中k(i)是路径k中第i个链接的索引；所述链接和路径的属性(特征)由

和

表示。

(2)通过图神经网络GNN和循环神经网络RNN提取流量特征，具体包括以下子步骤：

(2.1)利用图神经网络GNN提取图网络结构流量特征：

将原始流量矩阵X_c、链接特征

和路径特征

输入图神经网络GNN，训练该图神经网络GNN，将图神经网络GNN作为路径状态和链路状态对应的目标函数的逼近器，在节点控制器上，通过消息传递的图神经网络GNN架构M(θ)，将路由网络的拓扑结构表示为图，对链接状态进行编码向量，端到端路径集直接映射到路由网络中链接和路径实体之间的消息传递操作，得到网络链路中的原始流量消息特征向量F_c，所述原始流量消息特征向量F_c即链接状态

路径状态

所述链接状态

包含有关链路延时、丢包率、链路利用率等信息，所述路径状态

包含有关端到端度量的延时、总丢失等信息。

所述路径状态

取决于路径中所有的链路状态

数学表达式如下：

所述链路状态

取决于包含该链路在内的所有路径状态

数学表达式如下：

其中，

和

为路径状态

和链路状态

对应的目标函数。

(2.2)利用循环神经网络RNN对链路流量消息进行聚合预测：

利用循环神经网络RNN对路由网络中的链路流量消息进行聚合，在可变大小序列中捕捉该链路流量消息的依赖关系，收集在每个节点实体控制器中接受的任意数量的流量消息。并将这些流量消息压缩成固定维度的数组，即隐藏状态。

对于输入序列i₁,i₂…i_n，初始状态s₀，循环神经网络RNN的输出(固定维度的数组，即隐藏状态)定义为：

(o_t,s_t)＝RNN(s_t-1,i_t)

其中，o_t为输出层，s_t为隐含层。

所述隐藏状态中都代表一个包含链接状态

和路径状态

信息的流量变化特征，并与步骤(2.1)得到的原始流量消息特征向量F_c结合共同得到流量特征，实现流量预测。

(3)如图2所示，选取干扰噪声向量，训练生成对抗网络(GANs)中的生成器G(ω)模型，利用生成器将干扰噪声向量转化生成特定噪声，具体包括以下子步骤：

(3.1)从先验分布P_prior(x)中挑选干扰噪声{z¹,z²,…,z^m}作为生成器输入噪声向量；

从先验分布P_prior(x)中挑选干扰噪声{z¹,z²,…,z^m}，初始化干扰噪声作为生成器G(ω)输入噪声向量。节点控制器首先量化节点的路由网络的流量的复杂程度，具体为计算本地节点的路由网络的流量平均方差。然后依据该流量平均方差设定方差范围。

(3.2)利用生成器G(ω)生成特定噪声：将步骤(3.1)初始化后的噪声输入生成器G(ω)前向传播获得输出特定噪声并进行降维操作。所述输出的特定噪声P_c和原始流量矩阵X_c具有相同的维度大小。所述输出的特定噪声的分布规律主要有均匀分布和正态分布。

(3.3)特定噪声p_c和原始流量矩阵X_c进行流量叠加求和获得扰动流量矩阵X_p，数学表达式如下：

X_p＝P_c+X_c

将扰动流量矩阵X_p、链接特征

和路径特征

输入图神经网络GNN和循环神经网络RNN，得到扰动的流量特征F_p。

(4)将步骤(2)输出的流量特征和步骤(3)输出的扰动的流量特征F_p输入鉴别器D(ψ)，训练鉴别器并判断两者特征相似性：

同时将扰动流量消息特征向量与原始流量消息特征向量输入鉴别器D(ψ)，将扰动的流量特征F_p对应的标签设为0，步骤(2)输出的流量特征对应的标签设为1。鉴别器D(ψ)训练模型实现二分类任务。

鉴别器损失函数loss为：

其中，M(·)为客户端子模型，D(·)为鉴别器模型，m表示样本数量。

重复前述步骤(3)～(4)，直至鉴别器D(ψ)和生成器G(ω)都收敛，即步骤(2)输出的流量特征和步骤(3)输出的扰动的流量特征F_p不相似。

(5)将步骤(3)输出的扰动的流量特征F_p上传至全局控制器

(5.1)全局控制器聚合扰动的流量特征F_p：所述全局控制器利用拼接或者平均的方法来聚合各个节点控制器上传的扰动的流量特征F_p得到决策流量数据。

(5.2)将图卷积神经网络GCN作为路由决策模型，利用全局控制器训练路由决策模型：

将步骤(5.2)聚合完成的决策流量数据F_p作为路由决策模型的输入数据，在路由决策模型进行前向传播，后续通过计算损失函数反向传播更新路由决策模型的参数以及各节点控制器的转发规则参数。各节点控制器接收更新的转发规则，更新节点的路由策略，调整流量分布。

实施例中，在训练节点控制器模型和全局控制器模型过程中，使得部分神经元失活，即将神经元失活参数dropout设置为0.5，减少隐层节点间的相互作用，进一步避免模型过拟合现象的发生。

综上，本发明中的各个节点控制器所有扰动加密操作均在节点控制器本地完成，因此能够保证整个扰动加密操作具有隐私性，避免中间操作过程中网络恶意流量的检测泄露。本发明利用自适应干扰方法来实现对恶意流量测绘的防御目标主要分为两个方面，一个方面是原始流量矩阵上所叠加的扰动噪声，使扰动流量矩阵在流量数量级上很难和原始流量矩阵进行区分；另一方面扰动干扰下的扰动流量矩阵在预测模型的流量特征输出中，本发明节点控制器通过添加扰动噪声生成的扰动流量矩阵，相较于原始流量特征差异分布，在流量特征分布上具有不相似性，即使存在恶意攻击者窃取利用网络流量数据，也无法获取未扰动流量特征信息，保证了原始流量的隐蔽性。本发明中的扰动流量矩阵和原始流量矩阵在预测模型输出的隐藏状态差异大，全局控制器可以反向传播更新网络路由规则，因此保证全局控制器可以自适应更新网络路由规则，链路可以自适应地动态调节流量分布方式，避免恶意攻击持续有效作用。

以上所述的具体实施方式对本发明的技术方案和有益效果进行了详细说明，应理解的是以上所述仅为本发明的最优选实施例，并不用于限制本发明，凡在本发明的原则范围内所做的任何修改、补充和等同替换等，均应包含在本发明的保护范围之内。

Claims (6)

1.一种自适应干扰的网络恶意流量检测防御方法，其特征在于，包括以下步骤：

(1)初始化软件定义网络中节点控制器上的循环神经网络RNN和图神经网络GNN模型，并初始化原始流量矩阵，各个节点控制器i加载原始流量矩阵X_c至本地基础设备，利用本地预路由网络配置交换设备下转发规则；

(2)通过图神经网络GNN和循环神经网络RNN提取流量特征；

(3)选取干扰噪声向量，训练生成对抗网络GANs中的生成器G(ω)，利用生成器将干扰噪声向量转化生成特定噪声P_c；所述输出的特定噪声P_c和原始流量矩阵X_c具有相同的维度大小；通过图神经网络GNN和循环神经网络RNN提取扰动的流量特征F_p；

(4)将步骤(2)输出的流量特征和步骤(3)输出的扰动的流量特征F_p输入鉴别器D(ψ)，训练鉴别器并判断两者特征相似性：

同时将扰动流量消息特征向量与原始流量消息特征向量输入鉴别器D(ψ)，将扰动的流量特征F_p对应的标签设为0，步骤(2)输出的流量特征对应的标签设为1；鉴别器D(ψ)训练模型实现二分类任务；

所述鉴别器损失函数loss为：

其中，M(·)为客户端子模型，D(·)为鉴别器模型，m表示样本数量。

重复前述步骤(3)～(4)，直至鉴别器D(ψ)和生成器G(ω)都收敛，即步骤(2)输出的流量特征和步骤(3)输出的扰动的流量特征F_p不相似。

(5)将步骤(3)输出的扰动的流量特征F_p上传至全局控制器，全局控制器更新转发规则，各节点控制器接收更新的转发规则，更新节点的路由策略，调整流量分布。

2.根据权利要求1所述的自适应干扰的网络恶意流量检测防御方法，其特征在于，所述软件定义网络包括应用层、控制层、基础设备层；所述控制层包括i个节点控制器和全局控制器网络；所述应用层为软件定义网络的数据中心，协同控制i个节点控制器，并监控全局控制器网络；所述基础设备层为节点控制器下的若干联网设备，包括基础设备和路由器。

3.根据权利要求1所述的自适应干扰的网络恶意流量检测防御方法，其特征在于，所述路由网络由一组链接表示：N＝{l_i},i∈(0,1,..,n_l)；所述路由网络中的路由器配置方案由一组路径表示：R＝{p_k},k∈(0,1,..,np)，每条路径都被定义为一系列链接的结合，即

其中k(i)是路径k中第i个链接的索引。

4.根据权利要求1所述的自适应干扰的网络恶意流量检测防御方法，其特征在于，所述步骤(2)具体包括以下子步骤：

(2.1)利用图神经网络GNN提取图网络结构流量特征：将原始流量矩阵X_c、链接特征

和路径特征

输入图神经网络GNN，训练该图神经网络GNN，将图神经网络GNN作为路径状态和链路状态对应的目标函数的逼近器，得到路由网络链路中的原始流量消息特征向量F_c，所述原始流量消息特征向量F_c即链接状态

路径状态

所述路径状态

取决于路径中所有的链路状态

数学表达式如下：

所述链路状态

取决于包含该链路在内的所有路径状态

数学表达式如下：

其中，

和

为路径状态

和链路状态

对应的目标函数。

(2.2)利用循环神经网络RNN对链路流量消息进行聚合预测：

利用循环神经网络RNN对路由网络中的链路流量消息进行聚合，捕捉该链路流量消息的依赖关系，收集在每个节点控制器中接受的任意数量的流量消息。并将这些流量消息压缩成固定维度的数组，即隐藏状态；所述隐藏状态中都代表一个包含链接状态

和路径状态

信息的流量变化特征，并与步骤(2.1)得到的原始流量消息特征向量F_c结合共同得到流量特征。

5.根据权利要求1所述的自适应干扰的网络恶意流量检测防御方法，其特征在于，所述步骤(3)具体包括以下子步骤：

(3.1)从先验分布P_prior(x)中挑选干扰噪声{z¹,z²,…,z^m}作为生成器输入噪声向量；从先验分布P_prior(x)中挑选干扰噪声{z¹,z²,…,z^m}，并初始化该干扰噪声。所述初始化干扰噪声具体为节点控制器首先计算本地节点的路由网络的流量平均方差，然后依据该流量平均方差设定方差范围。

(3.2)利用生成器G(ω)生成特定噪声：将步骤(3.1)初始化后的噪声输入生成器G(ω)前向传播获得输出特定噪声并进行降维操作。所述输出的特定噪声P_c和原始流量矩阵X_c具有相同的维度大小。所述输出的特定噪声的分布规律主要有均匀分布和正态分布。

(3.3)特定噪声P_c和原始流量矩阵X_c进行流量叠加求和获得扰动流量矩阵X_p，数学表达式如下：

X_p＝P_c+X_c

将扰动流量矩阵X_p、链接特征

和路径特征

输入图神经网络GNN和循环神经网络RNN，得到扰动的流量特征F_p。

6.根据权利要求1所述的自适应干扰的网络恶意流量检测防御方法，其特征在于，所述步骤(5)具体包括以下子步骤：

(5.1)全局控制器聚合扰动的流量特征F_p得到决策流量数据；

(5.2)将图卷积神经网络GCN作为路由决策模型，将步骤(5.2)聚合完成的决策流量数据F_p作为路由决策模型的输入数据，利用全局控制器训练路由决策模型在路由决策模型进行前向传播，后续通过计算损失函数反向传播更新路由决策模型的参数以及各节点控制器的转发规则参数；所述各节点控制器接收更新的转发规则，更新节点的路由策略，调整流量分布。

Images