CN114221790A - 一种基于图注意力网络的bgp异常检测方法及系统 - Google Patents

Abstract

一种基于图注意力网络的BGP异常检测方法，包括以下步骤：S1：获取、解析、整理，得到异常事件数据集；S2：提取45个特征；S4：将数据集及其特征输入到模型中，得到预训练模型；S5：将模型用于对未知事件的异常检测。本发明还包括一种基于图注意力网络的BGP异常检测的系统，包括依次连接的数据获取模块，特征提取模块，模型训练模块和模型预测模块。本发明构建了五个网络异常事件数据集，通过STL关注数据的趋势性和季节性，并首次应用GAT模型关注特征关系和时间依赖，大幅提升性能，更好的实现对异常情况的捕获和在未知事件中的实用性和高效性。

Description

一种基于图注意力网络的BGP异常检测方法及系统

技术领域

本发明涉及数据挖掘与计算机技术领域，特别涉及一种基于图注意力网络的BGP异常检测方法及系统。

背景技术

互联网的发展在促进经济、文化和生活快速发展的同时，也伴随着众多影响网络安全稳定的问题的出现。边界网关协议(Border Gateway Protocol，BGP)是一种域间路由通信协议，负责管理自治系统之间的网络可达信息(Network Reachable Information，NRI)，保证信息的全局可达性。BGP功能的重要性也使其容易受到劫持、错误配置、DDoS攻击和自然灾害等的影响。最近的统计数据显示，大约20％的劫持和错误配置持续时间不到10分钟，但却能够在不到2分钟内影响90％的互联网。例如，2008年2月24日，巴基斯坦电信(AS17557)发布了一个未经授权的添加前缀208.65.153.0/24的公告。巴基斯坦电信的上游供应商之一，电讯盈科全球公司(AS3491)将这一声明转发到互联网的其它地方，导致全球范围内的YouTube流量被劫持。这样的网络安全事故还有很多很多。因此，设计BGP异常检测方法，发现BGP流量中的异常信息或行为，并提出警示或采取相应应对措施，具有重要意义。

在本文中，我们重点关注互联网安全中的BGP异常检测问题。CN201811331848.7基于改进的高斯核函数以及基于网格搜索与交叉验证进行参数寻优，以提高模型分类准确率，基于最优特征子集来评价模型综合性能；CN202010093180.8公开了一种用于实现BGP异常检测的方法、设备及系统，涉及通信技术领域，能够提高BGP异常检测的时效性和准确度，主要实现为训练设备根据第一BGP update消息，以及历史BGP update消息的属性信息，获取训练样本数据，然后基于训练样本数据进行模型训练，获取BGP异常检测模型；CN202011588909.5通过BGP更新报文获取目标自治域的目标特征，然后将其输入至已训练的异常检测模型中，获取所述异常检测模型输出的所述目标自治域在所述预设时间段内的异常种类。可以看出，目前大多数的在BGP异常检测方面的专利公开文献都是通过获取BGP更新信息经过处理作为实验数据集，然后训练支持向量机或长短期记忆网络这些经典机器学习模型，最终在训练集中实现高精度，值得肯定的是，关注BGP更新数据能很好的发现异常事件，但真正具有意义的模型，应当是在已知异常事件作为训练数据集训练好模型后，面对未知数据集也能精准检测出异常情况，这仅凭借传统的方法是不够，所以也就需要提出更能发掘出异常样本特性的BGP异常检测方法及模型，能实现其对未知异常事件的精准检测，对网络安全，从实用性和精准性方面都具有重要意义。

发明内容

本发明为了克服传统BGP异常检测系统将异常样本当作独立样本，用传统机器学习方法通过众多特征进行分类实现异常检测，却忽略了异常事件作为时序数据在时间维度上的重要特性这一缺陷，解决这一将特征维度和时间维度同时考虑而提升BGP异常检测性能问题，本发明中基于不同时间、不同区域、不同类型提取了五个互联网异常事件数据，开发了一个新的基于图注意力网络(GAT)的BGP异常检测方法和系统。

本发明在对事件数据集进行滑动窗口和STL分解的基础上，分别通过基于特征的图注意力网络和基于时序的图注意力网络，实现对特征关系和时间依赖的捕捉，最后通过基础的LSTM模型即可实现从已知事件训练到对未知事件的准确预测，很大程度上提升了对异常情况的捕获以及在未知事件中的实用性和高效性。

本发明实现上述发明目的所采用的技术方案如下：

一种基于图注意力网络的BGP异常检测方法，包括以下步骤：

S1：数据获取：从公开互联网项目平台获取指定区域、指定时间段、指定自治系统的边界网关协议(Border Gateway Protocol，BGP)更新数据包，解析为可读格式并进行整理，得到多种异常事件数据集；

S2：特征提取：解析后的BGP更新数据包报文头中不同字段包含该数据包对应的不同信息和特征，对特征的选择和提取主要分为自治系统路径特征和数量特征两大类，总计45个特征，根据时间戳将BGP更新包数据以特征序列的形式进行持久化存储，并根据异常事件发生的时间段自动添加异常标签，构建实验数据集；

S3：模型训练：将上述处理好的实验数据集输入到BGP异常检测模型，经过时间序列的STL(Seasonal and Trend decomposition using Loess)分解和滑动窗口的数据增强处理，突出数据的趋势和季节性，基于特征和基于时序的图注意力网络(GraphAttentionNetworks，GAT)从特征关系和时间依赖的新颖角度提取数据特征，凭借长短期记忆网络(Long-Short Term Memory，LSTM)分类器自主学习训练后得到预训练模型；

S4：模型预测：将新的异常事件处理为输入数据的格式，输入到预训练模型，实现对未知事件的预测以及不同的评估指标。

优选的，所述步骤S1中：

S1.1：获取异常互联网事件时间范围及区域表，为了最小化存储和计算需求，短时间异常事件周期为五天：事件发生前两天和事件发生后两天以及异常事件持续时间内的当天；

S1.2：利用自动获取数据程序从Route Views和RIPE NCC这两个组织按时间顺序区域范围收集和存储BGP更新报文数据；

S1.3：在本方法中，主要涉及类型为蠕虫攻击的Code Red I(2001.07.19-2001.07.20)事件、Nimda(2001.09.15-2001.09.23)事件、Slammer(2003.01.23-2003.01.27)事件，类型为设备故障的Moscow Blackout(2005.05.23-2005.05.27)事件，类型为错误配置的Malaysian Telecom(2015.06.10-2015.06.14)事件，该五个异常事件数据集分别从RIPE NCC平台的rrc04、rrc05收集者处获取，这两个收集者分别位于日内瓦、维也纳；

S1.4：收集到的BGP更新数据包以多线程路由工具包(Multi-threaded RoutingToolkit，MRT)的二进制格式存储，解析工具将MRT文件转换为ASCII格式，将转化后的文件按原有顺序进行持久化存储。

优选的，所述步骤S2中：

S2.1：解析后的BGP更新数据包报文头中不同字段包含该数据包对应的不同信息和特征；

S2.2：从上述五个异常事件中以1分钟为间隔收集收集数据中提取的各种信息，可从中提取和总结出45个相关特征，这些特征主要分为自治系统路径特征和数量特征两类；

S2.3：将45个特征值按时间戳的顺序进行存储，每个时间戳下的数据被当作是一个样本，并根据异常事件发生的时间段，对每个样本添加标签，正常样本的标签为0，异常样本的标签为1，最后，将不同的互联网异常事件转化为多变量时序数据集。

优选的，所述步骤S3中：

S3.1：BGP异常检测即多变量时间序列异常检测，其输入可表示为

其中n代表时间戳的最大长度，也代表样本的数量，k代表每个样本的输入特征数，也可以用序列

表示，然后

代表所有n个输入样本的输出向量，y_i∈{0,1}代表第i个时间戳的样本是正常样本还是异常样本；

S3.2：滑动窗口是一种从原始时间序列中按顺序提取固定窗口大小的子样本方法，该方法常用于数据流挖掘，从历史流量中获取信息，从模型的角度来看，利用滑动窗口在原始时间序列数据集上扩展了特征维数更多的强相关数据集，并通过增强数据来提高模型训练的分类器的分类性能；滑动窗口的大小为可调参数m，该窗口每次以1的步幅从头到尾遍历整个初始时间序列，形成一系列新的多样本时间序列，单个窗口的构成形如

其中

对应的是第(i-1)个时间戳的样本数据，新序列数据集对应的标签等于每个序列中所有时间样本频率最高的标签，至此，构成了经过滑动窗口增强后的新序列数据集

S3.3：STL分解法是以鲁棒局部加权回归作为平滑方法的时间序列分解方法，将上一部分的新序列数据

经过STL分解法分解后，得到5个不同角度的同样维度的新数据集，进行拼接来扩展数据集的特征维度，再一次实现数据的增强，得到新的序列数据集

其中，n代表初始总样本数，m代表滑动窗口大小，5k代表每一个新的样本的特征数量从最初的k个变为5k个；

S3.4：GAT层能够对任意图中的节点之间的关系进行建模，一般来说，给定一个有n个节点的图，即v₁，v₂，…，v_n，其中v_i为第i个节点的特征向量，GAT层计算每个节点的输出表示形式如试下：

式中h_i为节点i的输出表示形式，与输入v_i具有相同的形状，σ(·)为激活函数，α_ij为注意力分数，衡量节点j对节点i的贡献，其中j是节点i的一个相邻节点，L为节点i的相邻节点总数；式(1)中注意力分数α_ij可以由下列公式计算：

其中

表示两个节点的级联，

为参数可学习的列向量，其中m为每个节点特征向量的维数，LeakyReLU(·)为非线性激活函数；

S3.5：新的多变量时间序列异常数据集输入GAT层即为将每一个窗口内的样本分别经过面向特征的图注意力层和面向时间的图注意力层，面向特征即为每一个特征代表一个节点进行构建网络，求解节点之间的权重而更新窗口中的所有样本数据，面向时间即为每一个样本代表一个节点进行构建网络，求解节点之间的权重而更新窗口中的所有样本数据，每个窗口构成的数据样本经过两类图注意力层后的输出形状都为n×5k，再拼接上不经过图注意力层的初始输入，得到最终的输出形状为n×15k；

S3.6：LSTM因其特殊的结构设计使其能够避免长期依赖问题，LSTM的关键是细胞状态，表示为C_t，LSTM特别设计了多个“门”来引入或删除细胞状态C_t中的信息，保留当前LSTM的状态信息并传递给下一时刻的LSTM；LSTM主要由遗忘门、记忆门和输出门三种不同的门结构组成，分别用于控制LSTM的信息保留和传输，最终反映到细胞状态和输出信号中，遗忘门，是用来“忘记”一些不必要的信息，记忆门的作用与遗忘门相反，用来决定新输入的信息x_t和h_t-1将被保留的部分，输出门将经过了遗忘门和记忆门选择的细胞状态C_t-1，与t-1时刻的输出信号h_t-1和t时刻的输入信号x_t的集合作为当前时刻的输出信号，这三个过程可以通过以下公式4-9实现：

f_t＝σ(W_f·[h_t-1,x_t]+b_f) (4)

i_t＝σ(W_i·[h_t-1,x_t]+b_i) (5)

o_t＝σ(W_o·[h_t-1，x_t]+b_o) (8)

h_t＝o_t*tanh(C_t) (9)

其中，W_α，b_α，α∈{f，i,c，o}为可训练权重矩阵和偏差向量，σ(·)和tanh(·)分别为Sigmoid函数和tanh函数，最终，得到对应的输出；

S3.7：图注意力层后拼接的形状为n×15k的数据作为LSTM的输入，将会得到相应的输出h_t，最后，通过激活函数Softmax，可以得到数据样本的分类预测结果向量y_pred，通过使用交叉熵损失函数实现预测结果与真实标签的差异值来优化模型和确定每层的参数，损失函数具体为：

其中，y是真实标签，w是损失函数矩阵；

S3.8：完成训练，保存最优训练模型。

优选的，所述步骤S4中：

S4.1：将提出的系统分别对五个异常事件数据集进行五次实验，每一次将一个不同的数据集作为测试集，其他四个数据集作为验证集，进行最优参数下的模型训练及验证；

S4.2：通过训练已知事件的数据，实现对未知事件的异常检测；

S4.3：将预测结果同真实标签进行比较，计算精准率、精确率、召回率，评估方法。

实现本发明的一种基于图注意力网络的BGP异常检测方法的系统，包括：数据获取模块，特征提取模块，模型训练模块和模型预测模块；

所述数据获取模块，根据特定时间段和特定范围从公开互联网项目平台获取BGP更新数据包后，进行解析和存储；

所述特征提取模块，根据一定的提取频率将BGP更新数据转化为不同时间点的类型分别为自治系统路径特征和数量特征的总共45个特征，对每个数据样本生成对应标签后，即实现互联网异常事件到多变量时间序列数据集的过程；

所述模型训练模块将数据集经过滑动窗口，时间序列的STL分解的增强后，使用基于特征的GAT和基于时序的GAT发掘特征关系和时间依赖，最后将LSTM得到的输出通过Softmax层转化为概率分布，通过交叉熵损失函数，以减小预测结果同实际结果的误差值为目的对模型进行训练，多次迭代后直到模型训练达到稳定，保存模型；

所述模型预测模块，将已知事件数据集作为模型的训练样本，将未训练数据集作为测试样本，评估模型对未知异常事件的异常情况的检测性能，该模块也可直接用于实际应用。

本发明构建了五个网络异常事件数据集，通过STL关注数据的趋势性和季节性，并首次应用GAT模型关注特征关系和时间依赖，大幅提升性能，更好的实现对异常情况的捕获和在未知事件中的实用性和高效性。

本发明的有益效果为：

(1)本发明首次提出了一种多变量时间序列BGP异常检测模型，在每个滑动窗口中，我们既关注样本数据的局部信息，也关注基于特征和基于时间序列的样本之间的交互信息，最后，通过简单的分类器，可以获得稳定而优良的分类结果；

(2)本发明在值钱发明研究的少量数据集的基础上，我们将BGP异常事件扩展到5个包含多种类型的数据集，通过与许多先进的方法的比较，我们的系统在大多数均衡的样本数据集上表现出了良好和稳定的性能，F1的得分普遍在90％以上，在更接近真实情况的不均衡样本上，我们的模型同样能够在异常样本的检测上获得较高的F1分数；

(3)本发明通过一系列消融实验，证明了数据增强方法(滑动窗口和时间序列的STL分解)和多维视角(基于特征的GAT和基于时间的GAT)对提高异常检测性能有显著的效果。

(4)最后，我们还针对BGP异常事件进行了预测任务评估，并将其扩展到未知事件的异常识别，以突出我们模型在真实应用场景的稳定性能。

附图说明

图1是本发明的结构流程图。

图2是本发明的系统模块连接图。

图3是模型的所构成的网络整体结构。

具体实施方式

本发明为了考虑传统BGP异常检测系统将异常样本当作独立样本，用传统机器学习方法通过众多特征进行分类实现异常检测，却忽略了异常事件作为时序数据在时间维度上的重要特性这一重要问题，解决这一将特征维度和时间维度同时考虑而提升BGP异常检测性能问题，本发明中基于不同时间、不同区域、不同类型提取了五个互联网异常事件数据，开发了一个新的基于图注意力网络(GAT)的BGP异常检测系统。该系统在对事件数据集进行滑动窗口和STL分解的基础上，分别通过基于特征的图注意力网络和基于时序的图注意力网络，实现对特征关系和时间依赖的捕捉，最后通过基础的LSTM模型即可实现从已知事件训练到对未知事件的准确预测，很大程度上提升了对异常情况的捕获以及在未知事件中的实用性和高效性。

本发明实现上述发明目的所采用的技术方案如下：

一种基于图注意力网络的BGP异常检测方法，包括以下步骤：

S1：数据获取：从公开互联网项目平台获取指定区域、指定时间段、指定自治系统的边界网关协议(Border Gateway Protocol，BGP)更新数据包，解析为可读格式并进行整理，得到多种异常事件数据集；

S2：特征提取：解析后的BGP更新数据包报文头中不同字段包含该数据包对应的不同信息和特征，对特征的选择和提取主要分为自治系统路径特征和数量特征两大类，总计45个特征，根据时间戳将BGP更新包数据以特征序列的形式进行持久化存储，并根据异常事件发生的时间段自动添加异常标签，构建实验数据集；

S3：模型训练：将上述处理好的实验数据集输入到BGP异常检测模型，经过时间序列的STL(Seasonal and Trend decomposition using Loess)分解和滑动窗口的数据增强处理，突出数据的趋势和季节性，基于特征和基于时序的图注意力网络(GraphAttentionNetworks，GAT)从特征关系和时间依赖的新颖角度提取数据特征，凭借长短期记忆网络(Long-Short Term Memory，LSTM)分类器自主学习训练后得到预训练模型；

S4：模型预测：将新的异常事件处理为输入数据的格式，输入到预训练模型，实现对未知事件的预测以及不同的评估指标。

所述步骤S1中：

S1.1：获取异常互联网事件时间范围及区域表，为了最小化存储和计算需求，短时间异常事件周期为五天：事件发生前两天和事件发生后两天以及异常事件持续时间内的当天；

S1.2：利用自动获取数据程序从Route Views和RIPE NCC这两个组织按时间顺序区域范围收集和存储BGP更新报文数据；

S1.3：在本方法中，主要涉及类型为蠕虫攻击的Code Red I(2001.07.19-2001.07.20)事件、Nimda(2001.09.15-2001.09.23)事件、Slammer(2003.01.23-2003.01.27)事件，类型为设备故障的Moscow Blackout(2005.05.23-2005.05.27)事件，类型为错误配置的Malaysian Telecom(2015.06.10-2015.06.14)事件，该五个异常事件数据集分别从RIPE NCC平台的rrc04、rrc05收集者处获取，这两个收集者分别位于日内瓦、维也纳；

S1.4：收集到的BGP更新数据包以多线程路由工具包(Multi-threaded RoutingToolkit，MRT)的二进制格式存储，解析工具将MRT文件转换为ASCII格式，将转化后的文件按原有顺序进行持久化存储。

所述步骤S2中：

S2.1：解析后的BGP更新数据包报文头中不同字段包含该数据包对应的不同信息和特征，具体信息如表1所示；

表1 BGP更新数据包信息

S2.2：从上述五个异常事件中以1分钟为间隔收集收集数据中提取的各种信息，可从中提取和总结出45个相关特征，这些特征主要分为自治系统路径特征和数量特征两类，所有的特征如表2所示；

表2 BGP异常检测特征表

S2.3：将45个特征值按时间戳的顺序进行存储，每个时间戳下的数据被当作是一个样本，并根据异常事件发生的时间段，对每个样本添加标签，正常样本的标签为0，异常样本的标签为1，最后，将不同的互联网异常事件转化为多变量时序数据集。

所述步骤S3中：

S3.1：BGP异常检测即多变量时间序列异常检测，其输入可表示为

其中n代表时间戳的最大长度，也代表样本的数量，k代表每个样本的输入特征数，也可以用序列

表示，然后

代表所有n个输入样本的输出向量，y_i∈{0,1}代表第i个时间戳的样本是正常样本还是异常样本；

S3.2：滑动窗口是一种从原始时间序列中按顺序提取固定窗口大小的子样本方法，该方法常用于数据流挖掘，从历史流量中获取信息，从模型的角度来看，利用滑动窗口在原始时间序列数据集上扩展了特征维数更多的强相关数据集，并通过增强数据来提高模型训练的分类器的分类性能；滑动窗口的大小为可调参数m，该窗口每次以1的步幅从头到尾遍历整个初始时间序列，形成一系列新的多样本时间序列，单个窗口的构成形如

其中

对应的是第(i-1)个时间戳的样本数据，新序列数据集对应的标签等于每个序列中所有时间样本频率最高的标签，至此，构成了经过滑动窗口增强后的新序列数据集

S3.3：STL分解法是以鲁棒局部加权回归作为平滑方法的时间序列分解方法，将上一部分的新序列数据

经过STL分解法分解后，得到5个不同角度的同样维度的新数据集，进行拼接来扩展数据集的特征维度，再一次实现数据的增强，得到新的序列数据集

其中，n代表初始总样本数，m代表滑动窗口大小，5k代表每一个新的样本的特征数量从最初的k个变为5k个；

S3.4：GAT层能够对任意图中的节点之间的关系进行建模，一般来说，给定一个有n个节点的图，即v₁,v₂,…,v_n，其中v_i为第i个节点的特征向量，GAT层计算每个节点的输出表示形式如试下：

式中h_i为节点i的输出表示形式，与输入v_i具有相同的形状，σ(·)为激活函数，α_ij为注意力分数，衡量节点j对节点i的贡献，其中j是节点i的一个相邻节点，L为节点i的相邻节点总数；式(1)中注意力分数α_ij可以由下列公式计算：

其中

表示两个节点的级联，

为参数可学习的列向量，其中m为每个节点特征向量的维数，LeakyReLU(·)为非线性激活函数；

S3.5：新的多变量时间序列异常数据集输入GAT层即为将每一个窗口内的样本分别经过面向特征的图注意力层和面向时间的图注意力层，面向特征即为每一个特征代表一个节点进行构建网络，求解节点之间的权重而更新窗口中的所有样本数据，面向时间即为每一个样本代表一个节点进行构建网络，求解节点之间的权重而更新窗口中的所有样本数据，每个窗口构成的数据样本经过两类图注意力层后的输出形状都为n×5k，再拼接上不经过图注意力层的初始输入，得到最终的输出形状为n×15k；

S3.6：LSTM因其特殊的结构设计使其能够避免长期依赖问题，LSTM的关键是细胞状态，表示为C_t，LSTM特别设计了多个“门”来引入或删除细胞状态C_t中的信息，保留当前LSTM的状态信息并传递给下一时刻的LSTM；LSTM主要由遗忘门、记忆门和输出门三种不同的门结构组成，分别用于控制LSTM的信息保留和传输，最终反映到细胞状态和输出信号中，遗忘门，是用来“忘记”一些不必要的信息，记忆门的作用与遗忘门相反，用来决定新输入的信息x_t和h_t-1将被保留的部分，输出门将经过了遗忘门和记忆门选择的细胞状态C_t-1，与t-1时刻的输出信号h_t-1和t时刻的输入信号x_t的集合作为当前时刻的输出信号，这三个过程可以通过以下公式4-9实现：

f_t＝σ(W_f·[h_t-1,x_t]+b_f) (4)

i_t＝σ(W_i·[h_t-1,x_t]+b_i) (5)

o_t＝σ(W_o·[h_t-1,x_t]+b_o) (8)

h_t＝o_t*tanh(C_t) (9)

其中，W_α,b_α,α∈{f,i,c,o}为可训练权重矩阵和偏差向量，σ(·)和tanh(·)分别为Sigmoid函数和tanh函数，最终，得到对应的输出；

S3.7：图注意力层后拼接的形状为n×15k的数据作为LSTM的输入，将会得到相应的输出h_t，最后，通过激活函数Softmax，可以得到数据样本的分类预测结果向量y_pred，通过使用交叉熵损失函数实现预测结果与真实标签的差异值来优化模型和确定每层的参数，损失函数具体为：

其中，y是真实标签，w是损失函数矩阵；

S3.8：完成训练，保存最优训练模型。

所述步骤S4中：

S4.1：将提出的系统分别对五个异常事件数据集进行五次实验，每一次将一个不同的数据集作为测试集，其他四个数据集作为验证集，进行最优参数下的模型训练及验证；

S4.2：通过训练已知事件的数据，实现对未知事件的异常检测；

S4.3：将预测结果同真实标签进行比较，计算精准率、精确率、召回率，评估方法。

实现本发明的一种基于图注意力网络的BGP异常检测方法的系统，包括：数据获取模块，特征提取模块，模型训练模块和模型预测模块；

所述数据获取模块，根据特定时间段和特定范围从公开互联网项目平台获取BGP更新数据包后，进行解析和存储，具体包括：

S1.1：获取异常互联网事件时间范围及区域表，为了最小化存储和计算需求，短时间异常事件周期为五天：事件发生前两天和事件发生后两天以及异常事件持续时间内的当天；

S1.2：利用自动获取数据程序从Route Views和RIPE NCC这两个组织按时间顺序区域范围收集和存储BGP更新报文数据；

S1.3：在本方法中，主要涉及类型为蠕虫攻击的Code Red I(2001.07.19-2001.07.20)事件、Nimda(2001.09.15-2001.09.23)事件、Slammer(2003.01.23-2003.01.27)事件，类型为设备故障的Moscow Blackout(2005.05.23-2005.05.27)事件，类型为错误配置的Malaysian Telecom(2015.06.10-2015.06.14)事件，该五个异常事件数据集分别从RIPE NCC平台的rrc04、rrc05收集者处获取，这两个收集者分别位于日内瓦、维也纳；

S1.4：收集到的BGP更新数据包以多线程路由工具包(Multi-threaded RoutingToolkit，MRT)的二进制格式存储，解析工具将MRT文件转换为ASCII格式，将转化后的文件按原有顺序进行持久化存储。

所述特征提取模块，根据一定的提取频率将BGP更新数据转化为不同时间点的类型分别为自治系统路径特征和数量特征的总共45个特征，对每个数据样本生成对应标签后，即实现互联网异常事件到多变量时间序列数据集的过程，具体包括：

S2.1：解析后的BGP更新数据包报文头中不同字段包含该数据包对应的不同信息和特征，具体信息如表1所示；

S2.2：从上述五个异常事件中以1分钟为间隔收集收集数据中提取的各种信息，可从中提取和总结出45个相关特征，这些特征主要分为自治系统路径特征和数量特征两类，所有的特征如表2所示；

S2.3：将45个特征值按时间戳的顺序进行存储，每个时间戳下的数据被当作是一个样本，并根据异常事件发生的时间段，对每个样本添加标签，正常样本的标签为0，异常样本的标签为1，最后，将不同的互联网异常事件转化为多变量时序数据集。

所述模型训练模块将数据集经过滑动窗口，时间序列的STL分解的增强后，使用基于特征的GAT和基于时序的GAT发掘特征关系和时间依赖，最后将LSTM得到的输出通过Softmax层转化为概率分布，通过交叉熵损失函数，以减小预测结果同实际结果的误差值为目的对模型进行训练，多次迭代后直到模型训练达到稳定，保存模型，具体包括：

S3.1：BGP异常检测即多变量时间序列异常检测，其输入可表示为

其中n代表时间戳的最大长度，也代表样本的数量，k代表每个样本的输入特征数，也可以用序列

表示，然后

代表所有n个输入样本的输出向量，y_i∈{0,1}代表第i个时间戳的样本是正常样本还是异常样本；

S3.2：滑动窗口是一种从原始时间序列中按顺序提取固定窗口大小的子样本方法，该方法常用于数据流挖掘，从历史流量中获取信息，从模型的角度来看，利用滑动窗口在原始时间序列数据集上扩展了特征维数更多的强相关数据集，并通过增强数据来提高模型训练的分类器的分类性能；滑动窗口的大小为可调参数m，该窗口每次以1的步幅从头到尾遍历整个初始时间序列，形成一系列新的多样本时间序列，单个窗口的构成形如

其中

对应的是第(i-1)个时间戳的样本数据，新序列数据集对应的标签等于每个序列中所有时间样本频率最高的标签，至此，构成了经过滑动窗口增强后的新序列数据集

S3.3：STL分解法是以鲁棒局部加权回归作为平滑方法的时间序列分解方法，将上一部分的新序列数据

经过STL分解法分解后，得到5个不同角度的同样维度的新数据集，进行拼接来扩展数据集的特征维度，再一次实现数据的增强，得到新的序列数据集

其中，n代表初始总样本数，m代表滑动窗口大小，5k代表每一个新的样本的特征数量从最初的k个变为5k个；

S3.4：GAT层能够对任意图中的节点之间的关系进行建模，一般来说，给定一个有n个节点的图，即v₁,v₂,…,v_n，其中v_i为第i个节点的特征向量，GAT层计算每个节点的输出表示形式如试下：

式中h_i为节点i的输出表示形式，与输入v_i具有相同的形状，σ(·)为激活函数，α_ij为注意力分数，衡量节点j对节点i的贡献，其中j是节点i的一个相邻节点，L为节点i的相邻节点总数；式(1)中注意力分数α_ij可以由下列公式计算：

其中

表示两个节点的级联，

为参数可学习的列向量，其中m为每个节点特征向量的维数，LeakyReLU(·)为非线性激活函数；

S3.5：新的多变量时间序列异常数据集输入GAT层即为将每一个窗口内的样本分别经过面向特征的图注意力层和面向时间的图注意力层，面向特征即为每一个特征代表一个节点进行构建网络，求解节点之间的权重而更新窗口中的所有样本数据，面向时间即为每一个样本代表一个节点进行构建网络，求解节点之间的权重而更新窗口中的所有样本数据，每个窗口构成的数据样本经过两类图注意力层后的输出形状都为n×5k，再拼接上不经过图注意力层的初始输入，得到最终的输出形状为n×15k；

S3.6：LSTM因其特殊的结构设计使其能够避免长期依赖问题，LSTM的关键是细胞状态，表示为C_t，LSTM特别设计了多个“门”来引入或删除细胞状态C_t中的信息，保留当前LSTM的状态信息并传递给下一时刻的LSTM；LSTM主要由遗忘门、记忆门和输出门三种不同的门结构组成，分别用于控制LSTM的信息保留和传输，最终反映到细胞状态和输出信号中，遗忘门，是用来“忘记”一些不必要的信息，记忆门的作用与遗忘门相反，用来决定新输入的信息x_t和h_t-1将被保留的部分，输出门将经过了遗忘门和记忆门选择的细胞状态C_t-1，与t-1时刻的输出信号h_t-1和t时刻的输入信号x_t的集合作为当前时刻的输出信号，这三个过程可以通过以下公式4-9实现：

f_t＝σ(W_f·[h_t-1,x_t]+b_f) (4)

i_t＝σ(W_i·[h_t-1,x_t]+b_i) (5)

o_t＝σ(W_o·[h_t-1,x_t]+b_o) (8)

h_t＝o_t*tanh(C_t) (9)

其中，W_α,b_α,α∈{f,i,c,o}为可训练权重矩阵和偏差向量，σ(·)和tanh(·)分别为Sigmoid函数和tanh函数，最终，得到对应的输出；

S3.7：图注意力层后拼接的形状为n×15k的数据作为LSTM的输入，将会得到相应的输出h_t，最后，通过激活函数Softmax，可以得到数据样本的分类预测结果向量y_pred，通过使用交叉熵损失函数实现预测结果与真实标签的差异值来优化模型和确定每层的参数，损失函数具体为：

其中，y是真实标签，w是损失函数矩阵；

S3.8：完成训练，保存最优训练模型。

所述模型预测模块，将已知事件数据集作为模型的训练样本，将未训练数据集作为测试样本，评估模型对未知异常事件的异常情况的检测性能，该模块也可直接用于实际应用，具体包括：

S4.1：将提出的系统分别对五个异常事件数据集进行五次实验，每一次将一个不同的数据集作为测试集，其他四个数据集作为验证集，进行最优参数下的模型训练及验证；

S4.2：通过训练已知事件的数据，实现对未知事件的异常检测；

S4.3：将预测结果同真实标签进行比较，计算精准率、精确率、召回率，评估方法。

所述的数据获取模块，特征提取模块，模型训练模块和模型预测模块按先后顺序依次连接。

如上所述为本发明以互联网异常事件作为数据集，此数据集来自于互联网通信所必须的边界网关协议(BGP)下产生的BGP更新数据包，可用于构建指定时间段和地理区域内的多变量时间序列数据并再应用于互联网安全。因此在对数据获取和解析后，构建包含蠕虫攻击、设备故障、错误配置这三种类型的五个实验数据集，然后生成对应特征，将将数据向量输入到本系统之中，进行迭代训练，得到对实验集、验证集和测试集在精准率、精确率、召回率等指标上都优异的模型。如表3所示：

表3不同模型BGP异常检测结果表

在将我们的系统同其它几个模型的实验性能比较后，可以看出本发明的方法，在单个数据集内部表现出来的性能上面几乎全部是最好的，然后该系统也对未知数据集进行了异常检测实验，引入两个新数据，其实验结果如表4所示：

表4未知异常事件预测结果表

从表2中可以很明显看出，我们的发明在对未知事件的异常检测上，检测出异常的准确率都在90％以上，再一次从实际应用的角度上，证明了我们的发明的优越性能及其实用性。

本说明书实施例所述的内容仅仅是对发明构思的实现形式的列举，本发明的保护范围不应当被视为仅限于实施例所陈述的具体形式，本发明的保护范围也及于本领域技术人员根据本发明构思所能够想到的等同技术手段。

Claims (6)

1.一种基于图注意力网络的BGP异常检测方法，其特征在于，包括以下步骤：

S1：数据获取：从公开互联网项目平台获取指定区域、指定时间段、指定自治系统的边界网关协议(Border Gateway Protocol，BGP)更新数据包，解析为可读格式并进行整理，得到多种异常事件数据集；

S2：特征提取：解析后的BGP更新数据包报文头中不同字段包含该数据包对应的不同信息和特征，对特征的选择和提取主要分为自治系统路径特征和数量特征两大类，总计45个特征，根据时间戳将BGP更新包数据以特征序列的形式进行持久化存储，并根据异常事件发生的时间段自动添加异常标签，构建实验数据集；

S3：模型训练：将上述处理好的实验数据集输入到BGP异常检测模型，经过时间序列的STL(Seasonal and Trend decomposition using Loess)分解和滑动窗口的数据增强处理，突出数据的趋势和季节性，基于特征和基于时序的图注意力网络(Graph AttentionNetworks，GAT)从特征关系和时间依赖的新颖角度提取数据特征，凭借长短期记忆网络(Long-Short Term Memory，LSTM)分类器自主学习训练后得到预训练模型；

S4：模型预测：将新的异常事件处理为输入数据的格式，输入到预训练模型，实现对未知事件的预测以及不同的评估指标。

2.如权利要求1所述的一种基于图注意力网络的BGP异常检测方法，其特征在于：所述步骤S1具体包括：

S1.1：获取异常互联网事件时间范围及区域表，为了最小化存储和计算需求，短时间异常事件周期为五天：事件发生前两天和事件发生后两天以及异常事件持续时间内的当天；

S1.2：利用自动获取数据程序从Route Views和RIPE NCC这两个组织按时间顺序区域范围收集和存储BGP更新报文数据；

S1.3：在本方法中，主要涉及类型为蠕虫攻击的Code Red I(2001.07.19-2001.07.20)事件、Nimda(2001.09.15-2001.09.23)事件、Slammer(2003.01.23-2003.01.27)事件，类型为设备故障的Moscow Blackout(2005.05.23-2005.05.27)事件，类型为错误配置的Malaysian Telecom(2015.06.10-2015.06.14)事件，该五个异常事件数据集分别从RIPENCC平台的rrc04、rrc05收集者处获取，这两个收集者分别位于日内瓦、维也纳；

S1.4：收集到的BGP更新数据包以多线程路由工具包(Multi-threaded RoutingToolkit，MRT)的二进制格式存储，解析工具将MRT文件转换为ASCII格式，将转化后的文件按原有顺序进行持久化存储。

3.如权利要求1所述的一种基于图注意力网络的BGP异常检测方法，其特征在于：所述步骤S2具体包括：

S2.1：解析后的BGP更新数据包报文头中不同字段包含该数据包对应的不同信息和特征；

S2.2：从上述五个异常事件中以1分钟为间隔收集收集数据中提取的各种信息，可从中提取和总结出45个相关特征，这些特征主要分为自治系统路径特征和数量特征两类；

S2.3：将45个特征值按时间戳的顺序进行存储，每个时间戳下的数据被当作是一个样本，并根据异常事件发生的时间段，对每个样本添加标签，正常样本的标签为0，异常样本的标签为1，最后，将不同的互联网异常事件转化为多变量时序数据集。

4.如权利要求1所述的一种基于图注意力网络的BGP异常检测方法，其特征在于：所述步骤S3具体包括：

S3.1：BGP异常检测即多变量时间序列异常检测，其输入可表示为

其中n代表时间戳的最大长度，也代表样本的数量，k代表每个样本的输入特征数，也可以用序列

表示，然后

代表所有n个输入样本的输出向量，y_i∈{0，1}代表第i个时间戳的样本是正常样本还是异常样本；

S3.2：滑动窗口是一种从原始时间序列中按顺序提取固定窗口大小的子样本方法，该方法常用于数据流挖掘，从历史流量中获取信息，从模型的角度来看，利用滑动窗口在原始时间序列数据集上扩展了特征维数更多的强相关数据集，并通过增强数据来提高模型训练的分类器的分类性能；滑动窗口的大小为可调参数m，该窗口每次以1的步幅从头到尾遍历整个初始时间序列，形成一系列新的多样本时间序列，单个窗口的构成形如

其中

对应的是第(i-1)个时间戳的样本数据，新序列数据集对应的标签等于每个序列中所有时间样本频率最高的标签，至此，构成了经过滑动窗口增强后的新序列数据集

S3.3：STL分解法是以鲁棒局部加权回归作为平滑方法的时间序列分解方法，将上一部分的新序列数据

经过STL分解法分解后，得到5个不同角度的同样维度的新数据集，进行拼接来扩展数据集的特征维度，再一次实现数据的增强，得到新的序列数据集

其中，n代表初始总样本数，m代表滑动窗口大小，5k代表每一个新的样本的特征数量从最初的k个变为5k个；

S3.4：GAT层能够对任意图中的节点之间的关系进行建模，一般来说，给定一个有n个节点的图，即v₁，v₂，...，v_n，其中v_i为第i个节点的特征向量，GAT层计算每个节点的输出表示形式如试下：

式中h_i为节点i的输出表示形式，与输入v_i具有相同的形状，σ(·)为激活函数，α_ij为注意力分数，衡量节点j对节点i的贡献，其中j是节点i的一个相邻节点，L为节点i的相邻节点总数；式(1)中注意力分数α_ij可以由下列公式计算：

其中

表示两个节点的级联，

为参数可学习的列向量，其中m为每个节点特征向量的维数，LeakyReLU(·)为非线性激活函数；

S3.5：新的多变量时间序列异常数据集输入GAT层即为将每一个窗口内的样本分别经过面向特征的图注意力层和面向时间的图注意力层，面向特征即为每一个特征代表一个节点进行构建网络，求解节点之间的权重而更新窗口中的所有样本数据，面向时间即为每一个样本代表一个节点进行构建网络，求解节点之间的权重而更新窗口中的所有样本数据，每个窗口构成的数据样本经过两类图注意力层后的输出形状都为n×5k，再拼接上不经过图注意力层的初始输入，得到最终的输出形状为n×15k；

S3.6：LSTM因其特殊的结构设计使其能够避免长期依赖问题，LSTM的关键是细胞状态，表示为C_t，LSTM特别设计了多个“门”来引入或删除细胞状态C_t中的信息，保留当前LSTM的状态信息并传递给下一时刻的LSTM；LSTM主要由遗忘门、记忆门和输出门三种不同的门结构组成，分别用于控制LSTM的信息保留和传输，最终反映到细胞状态和输出信号中，遗忘门，是用来“忘记”一些不必要的信息，记忆门的作用与遗忘门相反，用来决定新输入的信息x_t和h_t-1将被保留的部分，输出门将经过了遗忘门和记忆门选择的细胞状态C_t-1，与t-1时刻的输出信号h_t-1和t时刻的输入信号x_t的集合作为当前时刻的输出信号，这三个过程可以通过以下公式4-9实现：

f_t＝σ(W_f·[h_t-1，x_t]+b_f) (4)

i_t＝σ(W_i·[h_t-1，x_t]+b_i) (5)

0_t＝σ(W_o·[h_t-1，x_t]+b_o) (8)

h_t＝o_t*tanh(C_t) (9)

其中，W_α，b_α，α∈{f，i，c，o}为可训练权重矩阵和偏差向量，σ(·)和tanh(·)分别为Sigmoid函数和tanh函数，最终，得到对应的输出；

S3.7：图注意力层后拼接的形状为n×15k的数据作为LSTM的输入，将会得到相应的输出h_t，最后，通过激活函数Softmax，可以得到数据样本的分类预测结果向量y_pred，通过使用交叉熵损失函数实现预测结果与真实标签的差异值来优化模型和确定每层的参数，损失函数具体为：

其中，y是真实标签，w是损失函数矩阵；

S3.8：完成训练，保存最优训练模型。

5.如权利要求1所述的一种基于图注意力网络的BGP异常检测方法，其特征在于：所述步骤S4具体包括：

S4.1：用提出的方法分别对五个异常事件数据集进行五次实验，每一次将一个不同的数据集作为测试集，其他四个数据集作为验证集，进行最优参数下的模型训练及验证；

S4.2：通过训练已知事件的数据，实现对未知事件的异常检测；

S4.3：将预测结果同真实标签进行比较，计算精度，查准率，查全率，评估方法。

6.实现如权利要求1所述的一种基于图注意力网络的BGP异常检测方法的系统，其特征在于：包括按先后顺序依次连接的数据获取模块，特征提取模块，模型训练模块和模型预测模块；

所述数据获取模块，根据特定时间段和特定范围从公开互联网项目平台获取BGP更新数据包后，进行解析和存储；

所述特征提取模块，根据一定的提取频率将BGP更新数据转化为不同时间点的类型分别为自治系统路径特征和数量特征的总共45个特征，对每个数据样本生成对应标签后，即实现互联网异常事件到多变量时间序列数据集的过程；

所述模型训练模块将数据集经过滑动窗口，时间序列的STL分解的增强后，使用基于特征的GAT和基于时序的GAT发掘特征关系和时间依赖，最后将LSTM得到的输出通过Softmax层转化为概率分布，通过交叉熵损失函数，以减小预测结果同实际结果的误差值为目的对模型进行训练，多次迭代后直到模型训练达到稳定，保存模型；

所述模型预测模块，将已知事件数据集作为模型的训练样本，将未训练数据集作为测试样本，评估模型对未知异常事件的异常情况的检测性能，该模块也可直接用于实际应用。

Images