CN114553475A - 一种基于网络流量属性有向拓扑的网络攻击检测方法 - Google Patents
一种基于网络流量属性有向拓扑的网络攻击检测方法 Download PDFInfo
- Publication number
- CN114553475A CN114553475A CN202210020428.7A CN202210020428A CN114553475A CN 114553475 A CN114553475 A CN 114553475A CN 202210020428 A CN202210020428 A CN 202210020428A CN 114553475 A CN114553475 A CN 114553475A
- Authority
- CN
- China
- Prior art keywords
- network
- offline
- node
- attack detection
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 88
- 239000013598 vector Substances 0.000 claims abstract description 45
- 238000007781 pre-processing Methods 0.000 claims abstract description 21
- 238000012549 training Methods 0.000 claims abstract description 18
- 230000007246 mechanism Effects 0.000 claims abstract description 14
- 238000004458 analytical method Methods 0.000 claims abstract description 11
- 239000011159 matrix material Substances 0.000 claims description 37
- 238000000034 method Methods 0.000 claims description 23
- 238000013528 artificial neural network Methods 0.000 claims description 17
- 238000012545 processing Methods 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 claims description 4
- 238000010606 normalization Methods 0.000 claims description 4
- 230000004913 activation Effects 0.000 claims description 3
- 239000006185 dispersion Substances 0.000 claims description 3
- 238000011156 evaluation Methods 0.000 claims description 3
- 238000012216 screening Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 description 15
- 230000008569 process Effects 0.000 description 9
- 238000010801 machine learning Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 238000012512 characterization method Methods 0.000 description 3
- 238000013135 deep learning Methods 0.000 description 3
- 238000011897 real-time detection Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 2
- ORILYTVJVMAKLC-UHFFFAOYSA-N Adamantane Natural products C1C(C2)CC3CC1CC2C3 ORILYTVJVMAKLC-UHFFFAOYSA-N 0.000 description 1
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007477 logistic regression Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Biomedical Technology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种基于网络流量属性有向拓扑的网络攻击检测方法,包括:采集离线网络信息和在线网络信息,分别对离线网络信息和在线网络信息进行数据预处理;根据数据预处理后的离线网络信息,构建离线网络有向拓扑图和离线流量属性特征向量;构建基于图注意力机制的网络攻击检测模型,将离线网络有向拓扑图和离线流量属性特征向量输入网络攻击检测模型中进行训练;根据数据预处理后的在线网络信息,构建在线网络有向拓扑图和在线流量属性特征向量并输入训练好的网络攻击检测模型,对网络攻击情况进行实时检测。本发明提高了网络攻击行为识别率,实现网络流量信息的全面分析,进而及时掌握网络攻击情况。
Description
技术领域
本发明属于网络安全检测领域,尤其涉及一种基于网络流量属性有向拓扑的网络攻击检测方法。
背景技术
现阶段能源互联网条件下智能电网的形态更为复杂,具有智能化、网络化、互动化特点的电网智能终端多部署于开放、非受控的网络环境,且存在自身保护薄弱和攻击监测手段不足等问题,给网络安全防护带来了新的挑战,来自电网末梢的网络安全风险大幅增加。网络流量是主要的网络状态之一,当网络攻击行为发生时,多会出现网络流量攻击现象,故通过网络流量有效识别网络攻击行为是保障电网智能终端安全防护的前提。
机器学习是当下网络流量攻击检测的主流方法。现阶段电网智能终端主要基于传统机器学习实现网络攻击检测,但通常存在以下问题:基于传统机器学习的网络攻击检测方法网络流量表征能力较弱,准确率及命中率低;基于深度学习的网络攻击检测方法对于网络流量的分析较为孤立,在大规模能源互联网业务场景下缺乏可靠性。
发明内容
为了解决现有技术中存在的缺点和不足,本发明提出了一种基于网络流量属性有向拓扑的网络攻击检测方法,包括:
采集离线网络信息和在线网络信息,分别对离线网络信息和在线网络信息进行数据预处理;
根据数据预处理后的离线网络信息,构建离线网络有向拓扑图和离线流量属性特征向量;
构建基于图注意力机制的网络攻击检测模型,将离线网络有向拓扑图和离线流量属性特征向量输入网络攻击检测模型中进行训练;
根据数据预处理后的在线网络信息,构建在线网络有向拓扑图和在线流量属性特征向量并输入训练好的网络攻击检测模型,对网络攻击情况进行实时检测。
可选的,所述分别对离线网络信息和在线网络信息进行数据预处理,包括:
筛选出离线网络信息和在线网络信息中的非数值型信息,通过独热编码转化为二进制的数值型数据;
基于离差标准化法,对所有数值型数据进行归一化处理。
可选的,所述根据数据预处理后的离线网络信息,构建离线网络有向拓扑图和离线流量属性特征向量,包括:
根据离线网络信息中的网络拓扑信息获取各个节点的源IP地址和目标IP地址,将源IP地址和目标IP地址作为节点,在源IP地址和目标IP地址对应的节点之间生成边,以此构建各节点的离线网络有向拓扑图G={V,E},其中,V表示离线网络有向拓扑图的节点集合,E表示离线网络有向拓扑图的边集合;
根据离线网络信息中的网络流量特征,为离线网络有向拓扑图G={V,E}中的各个节点生成离线流量属性特征向量。
可选的,所述网络流量特征包括基本连接特征和时间统计特征;
所述基本连接特征包括协议类型、网络服务类型、连接状态以及数据字节数;
所述时间统计特征包括连接时间、每个时间单元与当前连接具有相同目标主机的连接数、每个时间单元与当前连接具有相同服务的连接数。
可选的,所述构建基于图注意力机制的网络攻击检测模型,包括:
构建神经网络作为网络攻击检测模型,获取邻接矩阵A={Aij|i,j∈{1,2,...,n}},所述邻接矩阵A根据输入网络攻击检测模型的网络有向拓扑图生成,Aij表示邻接矩阵A中的元素,当节点vi和节点vj之间存在边时Aij=1,当节点vi和节点vj之间不存在边时Aij=0;
将邻接矩阵A和流量属性特征向量H作为网络攻击检测模型的输入;
其中Ni表示节点vi的所有相邻节点的集合,W为预先定义的权重矩阵;
可选的,所述基于图注意力机制计算与节点vi相邻的节点vj对节点vi的影响权重αij,包括:
利用softmax函数对注意力互相关系数eij l进行处理,得到影响权重αij为:
网络攻击检测模型根据邻接矩阵A调整影响权重αij的正负情况,得到节点vj对节点vi的影响权重。
可选的,所述网络攻击检测模型根据邻接矩阵A调整影响权重αij的正负情况,包括:
当邻接矩阵A中Aij=0时,则设置影响权重αij l+1=0;
当邻接矩阵A中Aij=1时,若流量信息由节点vi发送至节点vj,则设置影响权重αij l+1>0,若流量信息由节点vj发送至节点vi,则设置影响权重αij l+1<0。
可选的,所述将离线网络有向拓扑图和离线流量属性特征向量输入网络攻击检测模型中进行训练,包括:
根据采集离线网络信息时的网络状态,为对应的离线网络有向拓扑图预先设置标签;
将离线网络有向拓扑图和流量属性特征向量作为样本输入网络攻击检测模型,得到输出的标签结果Ydc;
采用交叉熵损失函数评估对检测结果进行评估,所述交叉熵损失函数定义为:
若L小于预设阈值,则结束训练,否则对网络攻击检测模型中的参数进行调整。
本发明提供的技术方案带来的有益效果是:
本发明旨在针对基于传统机器学习的网络攻击检测方法表征能力弱、准确率及命中率低的问题,提出一种基于图注意力机制(Graph Attention Network,GAT)的网络攻击检测方法,实现网络流量深度表征,提高网络攻击行为识别率;针对基于深度学习的网络攻击检测方法对于流量分析较为孤立的问题,构建网络有向时序流属性拓扑图,基于GAT聚合自身节点及相邻节点的属性特征,实现网络流量信息的全面分析,进而及时掌握网络攻击情况。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提出的一种基于网络流量属性有向拓扑的网络攻击检测方法的流程示意图;
图2为网络攻击检测模型的训练流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
应当理解,在本发明的各种实施例中,各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
应当理解,在本发明中,“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本发明中,“多个”是指两个或两个以上。“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“包含A、B和C”、“包含A、B、C”是指A、B、C三者都包含,“包含A、B或C”是指包含A、B、C三者之一,“包含A、B和/或C”是指包含A、B、C三者中任1个或任2个或3个。
应当理解,在本发明中,“与A对应的B”、“与A相对应的B”、“A与B相对应”或者“B与A相对应”,表示B与A相关联,根据A可以确定B。根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其他信息确定B。A与B的匹配,是A与B的相似度大于或等于预设的阈值。
取决于语境,如在此所使用的“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。
下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
实施例一
如图1所示,本实施例提出了一种基于网络流量属性有向拓扑的网络攻击检测方法,包括:
S1:采集离线网络信息和在线网络信息,分别对离线网络信息和在线网络信息进行数据预处理;
S2:根据数据预处理后的离线网络信息,构建离线网络有向拓扑图和离线流量属性特征向量;
S3:构建基于图注意力机制的网络攻击检测模型,将离线网络有向拓扑图和离线流量属性特征向量输入网络攻击检测模型中进行训练;
S4:根据数据预处理后的在线网络信息,构建在线网络有向拓扑图和在线流量属性特征向量并输入训练好的网络攻击检测模型,对网络攻击情况进行实时检测。
图注意力机制(Graph Attention Network,GAT)是指在图神经网络(GNN)的基础上引入了注意力机制。在GAT网络中,其节点的特征表示和普通的图神经网络中的节点的特征表示是类似的,其初始输入为各个节点的特征向量,GNN内部的运算结合自注意力机制,GNN对于下一层输出仍然是一系列的特征向量。
本实施例将图注意力机制用于网络攻击检测的应用场景下,将网络流量的属性转化为网络有向拓扑图的形式,从而利用GAT网络建立并训练网络攻击检测模型,进而实现网络攻击在线检测。
本实施例包括对网络攻击检测模型的训练阶段和实时检测阶段。如图2所示,实线的流程箭头表示训练阶段,虚线的流程箭头表示实时检测阶段。首先进行网络信息采集,包括采集离线网络信息和在线网络信息,随后生成网络有向拓扑图和流量属性特征向量,经过数值化处理和归一化处理后,利用离线网络信息对网络攻击检测模型进行图注意力网络训练,后续利用在线网络信息运用网络攻击检测模型进行实时检测,得到网络处于正常或攻击状态的检测概率。
在本实施例中,所述离线网络信息和所述在线网络信息均包括网络流量特征以及网络有向拓扑信息,其中所述网络流量特征包括基本连接特征和时间统计特征。所述基本连接特征包括协议类型、网络服务类型、连接状态以及数据字节数。所述时间统计特征包括连接时间、每个时间单元与当前连接具有相同目标主机的连接数、每个时间单元与当前连接具有相同服务的连接数,本实施例中所述时间单元是预设的若干个相同时长的时间段。
为了方便后续处理,在构建网络攻击检测模型之前,需要对离线网络信息进行数据预处理,在运用训练好的网络攻击检测模型之前,需要对在线网络信息进行数据预处理,所述数据预处理具体包括:
筛选出离线网络信息和在线网络信息中的非数值型信息,通过独热编码转化为二进制的数值型数据。本实施例中,所述非数值型信息包括协议类型和网络服务类型。
基于离差标准化法,对所有数值型数据进行归一化处理。
为了构建并训练网络攻击检测模型,本实施例利用预处理后的离线网络信息构建离线网络有向拓扑图和离线流量属性特征向量,具体包括:
根据离线网络信息中的网络拓扑信息获取各个节点的源IP地址和目标IP地址,将源IP地址和目标IP地址作为节点,在源IP地址和目标IP地址对应的节点之间生成边,以此构建各节点的离线网络有向拓扑图G={V,E},其中,V表示离线网络有向拓扑图的节点集合,E表示离线网络有向拓扑图的边集合。电网工控网络架构呈星型或双星型分布,且上下级分层,各自治域划分明显。因此,在本实施例中,各自治域独立构建离线网络有向拓扑图。
根据离线网络信息中的网络流量特征,为离线网络有向拓扑图G={V,E}中的各个节点生成离线流量属性特征向量。所述离线流量属性特征向量表示为其中,表示节点vi的网络流量特征,n等于节点集合中的节点总数量,f表示的向量维度,所述向量维度与网络流量特征的种类数量相等。
通过上述过程,实现将网络流量属性转换为网络有向拓扑与流量属性特征向量的形式,从而能够利用结合图注意力机制的图神经网络进行分析。
在本实施例中,所述构建基于图注意力机制的网络攻击检测模型,包括:
构建神经网络作为网络攻击检测模型,获取邻接矩阵A={Aij|i,j∈{1,2,...,n}},所述邻接矩阵A根据输入网络攻击检测模型的网络有向拓扑图生成,Aij表示邻接矩阵A中的元素,当节点vi和节点vj之间存在边时Aij=1,当节点vi和节点vj之间不存在边时Aij=0;
将邻接矩阵A和流量属性特征向量H作为网络攻击检测模型的输入。
在本实施例中,为了避免传统检测方法对于网络各个节点的流量分析较为孤立的弊端,引入了图注意机制来表征相邻节点的影响效果。在本实施例中,网络攻击检测模型由多层神经网络构成,将初始的邻接矩阵A和流量属性特征向量H输入第一层神经网络,经每一层神经网络得到处理后的流量属性特征向量H,后面的每一层神经网络的输出作为下一层神经网络的输入,以下以第l层神经网络为例,具体描述网络攻击检测模型的具体构建过程。
首先,基于图注意力机制分析每个节点vi的相邻节点vj对节点vi的影响程度,具体量化为预先定义的权重矩阵W和经过计算得到的影响权重αij,具体包括:
基于图注意力机制计算与节点vi相邻的节点vj对节点vi的影响权重αij,具体包括:
利用softmax函数对注意力互相关系数eij l进行处理,得到影响权重αij为:
网络攻击检测模型根据邻接矩阵A调整影响权重αij的正负情况,得到节点vj对节点vi的影响权重,具体包括:当邻接矩阵A中Aij=0时,则设置影响权重αij l+1=0;当邻接矩阵A中Aij=1时,若流量信息由节点vi发送至节点vj,则设置影响权重αij l+1>0,若流量信息由节点vj发送至节点vi,则设置影响权重αij l+1<0。调整后的影响权重即作为最终节点vj对节点vi的影响权重。
再采用softmax函数设置分类器作为网络攻击检测模型的输出层,将作为分类器的输入,分类器通过分析输出网络攻击的标签结果。softmax函数是一种逻辑回归函数,能够将线性模型输出的实数域映射到[0,1],以此表示概率分布的有效实数空间。由此可知,通过softmax函数设置的分类器,根据神经网络的输出分析得到输入网络正常或攻击的概率,即所述标签结果。
由此可见,本实施例针对基于传统机器学习的网络攻击检测方法表征能力弱、准确率及命中率低的问题,能够实现网络流量特征的深度表征,提高网络攻击行为的识别率,同时针对基于深度学习的网络攻击检测方法对于流量分析较为孤立的问题,构建网络有向时序流属性拓扑图,利用拓扑关系聚合相邻节点之间的属性特征,实现网络流量信息的全面分析。
随后,将离线网络有向拓扑图和离线流量属性特征向量输入网络攻击检测模型中进行训练,包括:
根据采集离线网络信息时的网络状态,为对应的离线网络有向拓扑图预先设置标签;
将离线网络有向拓扑图和流量属性特征向量作为样本输入网络攻击检测模型,得到输出的标签结果Ydc;
采用交叉熵损失函数评估对检测结果进行评估,所述交叉熵损失函数定义为:
其中,YD表示标签结果的结合,Ydc表示第d个样本检测为第c类标签的概率,表示预先设置的标签,C为标签的类别总量,在本实施例中,因为设置的标签为正常和攻击两种,因此此处C=2。若L小于预设阈值,则结束训练,否则对网络攻击检测模型中的参数进行调整。
最后,利用训练好的网络攻击检测模型进行在线网络攻击检测,在线网络信息与离线网络信息的采集与处理方式一致,同样根据数据预处理后的在线网络信息,构建在线网络有向拓扑图和在线流量属性特征向量并输入训练好的网络攻击检测模型,从而在线实时得到网络处于正常或攻击状态的概率检测结果。
在本实施例中,上述过程的代码实现形式如下:
输入:离线网络信息集Xtrain,在线网络信息集Xtest,标签集YD,其中,网络信息集由网络有向拓扑图集及网络流量属性特征集组成;
步骤1:数据预处理
对离线网络信息集Xtrain及在线网络信息集Xtest进行数值化处理,获得X_train_num及X_test_num;
对离线网络信息集X_train_num及在线网络信息集X_test_num进行无量纲化处理,获得X_train及X_test;
步骤2:构建模型
添加GAT层;
采用softmax函数作为分类器;
步骤3:训练模型
{while未达到预设训练轮数do;
{while未达到迭代次数do;
设置单次训练样本数batch_size,以小批次数据集batch作为模型输入;
使用Adam优化器更新模型参数;
end while;}
end while;}
步骤4:保存模型
保存参数微调后的模型
步骤5:测试模型
载入已保存模型,对在线网络信息进行分类;
return在线网络信息攻击检测结果。
上述实施例中的各个序号仅仅为了描述,不代表各部件的组装或使用过程中的先后顺序。
以上所述仅为本发明的实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种基于网络流量属性有向拓扑的网络攻击检测方法,其特征在于,所述网络攻击检测方法包括:
采集离线网络信息和在线网络信息,分别对离线网络信息和在线网络信息进行数据预处理;
根据数据预处理后的离线网络信息,构建离线网络有向拓扑图和离线流量属性特征向量;
构建基于图注意力机制的网络攻击检测模型,将离线网络有向拓扑图和离线流量属性特征向量输入网络攻击检测模型中进行训练;
根据数据预处理后的在线网络信息,构建在线网络有向拓扑图和在线流量属性特征向量并输入训练好的网络攻击检测模型,对网络攻击情况进行实时检测。
2.根据权利要求1所述的一种基于网络流量属性有向拓扑的网络攻击检测方法,其特征在于,所述分别对离线网络信息和在线网络信息进行数据预处理,包括:
筛选出离线网络信息和在线网络信息中的非数值型信息,通过独热编码转化为二进制的数值型数据;
基于离差标准化法,对所有数值型数据进行归一化处理。
3.根据权利要求1所述的一种基于网络流量属性有向拓扑的网络攻击检测方法,其特征在于,所述根据数据预处理后的离线网络信息,构建离线网络有向拓扑图和离线流量属性特征向量,包括:
根据离线网络信息中的网络拓扑信息获取各个节点的源IP地址和目标IP地址,将源IP地址和目标IP地址作为节点,在源IP地址和目标IP地址对应的节点之间生成边,以此构建各节点的离线网络有向拓扑图G={V,E},其中,V表示离线网络有向拓扑图的节点集合,E表示离线网络有向拓扑图的边集合;
根据离线网络信息中的网络流量特征,为离线网络有向拓扑图G={V,E}中的各个节点生成离线流量属性特征向量。
4.根据权利要求3所述的一种基于网络流量属性有向拓扑的网络攻击检测方法,其特征在于,所述网络流量特征包括基本连接特征和时间统计特征;
所述基本连接特征包括协议类型、网络服务类型、连接状态以及数据字节数;
所述时间统计特征包括连接时间、每个时间单元与当前连接具有相同目标主机的连接数、每个时间单元与当前连接具有相同服务的连接数。
5.根据权利要求1所述的一种基于网络流量属性有向拓扑的网络攻击检测方法,其特征在于,所述构建基于图注意力机制的网络攻击检测模型,包括:
构建神经网络作为网络攻击检测模型,获取邻接矩阵A=[Aij|i,j∈{1,2,...,n}},所述邻接矩阵A根据输入网络攻击检测模型的网络有向拓扑图生成,Aij表示邻接矩阵A中的元素,当节点vi和节点vj之间存在边时Aij=1,当节点vi和节点vj之间不存在边时Aij=0;
将邻接矩阵A和流量属性特征向量H作为网络攻击检测模型的输入;
其中Ni表示节点vi的所有相邻节点的集合,W为预先定义的权重矩阵;
6.根据权利要求5所述的一种基于网络流量属性有向拓扑的网络攻击检测方法,其特征在于,所述基于图注意力机制计算与节点vi相邻的节点vj对节点vi的影响权重αij,包括:
利用softmax函数对注意力互相关系数eij l进行处理,得到影响权重αij为:
网络攻击检测模型根据邻接矩阵A调整影响权重αij的正负情况,得到节点vj对节点vi的影响权重。
7.根据权利要求6所述的一种基于网络流量属性有向拓扑的网络攻击检测方法,其特征在于,所述网络攻击检测模型根据邻接矩阵A调整影响权重αij的正负情况,包括:
当邻接矩阵A中Aij=0时,则设置影响权重αij l+1=0;
当邻接矩阵A中Aij=1时,若流量信息由节点vi发送至节点vj,则设置影响权重αij l+1>0,若流量信息由节点vj发送至节点vi,则设置影响权重αij l+1<0。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210020428.7A CN114553475A (zh) | 2022-01-10 | 2022-01-10 | 一种基于网络流量属性有向拓扑的网络攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210020428.7A CN114553475A (zh) | 2022-01-10 | 2022-01-10 | 一种基于网络流量属性有向拓扑的网络攻击检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114553475A true CN114553475A (zh) | 2022-05-27 |
Family
ID=81669041
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210020428.7A Pending CN114553475A (zh) | 2022-01-10 | 2022-01-10 | 一种基于网络流量属性有向拓扑的网络攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114553475A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114841296A (zh) * | 2022-07-04 | 2022-08-02 | 北京六方云信息技术有限公司 | 设备聚类方法、终端设备以及存储介质 |
CN115277102A (zh) * | 2022-06-29 | 2022-11-01 | 北京天融信网络安全技术有限公司 | 网络攻击检测方法、装置、电子设备及存储介质 |
CN115277258A (zh) * | 2022-09-27 | 2022-11-01 | 广东财经大学 | 一种基于时空特征融合的网络攻击检测方法和系统 |
US20220407879A1 (en) * | 2020-10-16 | 2022-12-22 | Visa International Service Association | System, method, and computer program product for user network activity anomaly detection |
CN116232774A (zh) * | 2023-05-09 | 2023-06-06 | 天津丈八网络安全科技有限公司 | 用于网络安全异常检测的网络路径分析系统及方法 |
CN116707894A (zh) * | 2023-06-05 | 2023-09-05 | 国网冀北电力有限公司信息通信分公司 | 一种电网智能终端的网络攻击检测方法及装置 |
CN117294486A (zh) * | 2023-09-18 | 2023-12-26 | 广州大学 | 一种基于图嵌入的恶意流量检测方法及系统 |
CN117857201A (zh) * | 2024-01-19 | 2024-04-09 | 中国科学院信息工程研究所 | 基于流量指纹蒸馏的设备入网行为检测方法和系统 |
CN118470930A (zh) * | 2024-07-11 | 2024-08-09 | 江苏濠汉信息技术有限公司 | 一种危险源报警智能去重方法及系统 |
CN118470930B (zh) * | 2024-07-11 | 2024-09-27 | 江苏濠汉信息技术有限公司 | 一种危险源报警智能去重方法及系统 |
-
2022
- 2022-01-10 CN CN202210020428.7A patent/CN114553475A/zh active Pending
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11711391B2 (en) * | 2020-10-16 | 2023-07-25 | Visa International Service Association | System, method, and computer program product for user network activity anomaly detection |
US20220407879A1 (en) * | 2020-10-16 | 2022-12-22 | Visa International Service Association | System, method, and computer program product for user network activity anomaly detection |
US12074893B2 (en) | 2020-10-16 | 2024-08-27 | Visa International Service Association | System, method, and computer program product for user network activity anomaly detection |
CN115277102A (zh) * | 2022-06-29 | 2022-11-01 | 北京天融信网络安全技术有限公司 | 网络攻击检测方法、装置、电子设备及存储介质 |
CN114841296A (zh) * | 2022-07-04 | 2022-08-02 | 北京六方云信息技术有限公司 | 设备聚类方法、终端设备以及存储介质 |
CN115277258A (zh) * | 2022-09-27 | 2022-11-01 | 广东财经大学 | 一种基于时空特征融合的网络攻击检测方法和系统 |
CN116232774A (zh) * | 2023-05-09 | 2023-06-06 | 天津丈八网络安全科技有限公司 | 用于网络安全异常检测的网络路径分析系统及方法 |
CN116232774B (zh) * | 2023-05-09 | 2023-07-07 | 天津丈八网络安全科技有限公司 | 用于网络安全异常检测的网络路径分析系统及方法 |
CN116707894A (zh) * | 2023-06-05 | 2023-09-05 | 国网冀北电力有限公司信息通信分公司 | 一种电网智能终端的网络攻击检测方法及装置 |
CN117294486A (zh) * | 2023-09-18 | 2023-12-26 | 广州大学 | 一种基于图嵌入的恶意流量检测方法及系统 |
CN117857201A (zh) * | 2024-01-19 | 2024-04-09 | 中国科学院信息工程研究所 | 基于流量指纹蒸馏的设备入网行为检测方法和系统 |
CN118470930A (zh) * | 2024-07-11 | 2024-08-09 | 江苏濠汉信息技术有限公司 | 一种危险源报警智能去重方法及系统 |
CN118470930B (zh) * | 2024-07-11 | 2024-09-27 | 江苏濠汉信息技术有限公司 | 一种危险源报警智能去重方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114553475A (zh) | 一种基于网络流量属性有向拓扑的网络攻击检测方法 | |
CN107944874B (zh) | 基于迁移学习的风控方法、装置及系统 | |
CN108629413B (zh) | 神经网络模型训练、交易行为风险识别方法及装置 | |
CN109299741B (zh) | 一种基于多层检测的网络攻击类型识别方法 | |
CN111832647A (zh) | 异常流量检测系统及方法 | |
CN114615093B (zh) | 基于流量重构与继承学习的匿名网络流量识别方法及装置 | |
CN109218223B (zh) | 一种基于主动学习的鲁棒性网络流量分类方法及系统 | |
CN110335168B (zh) | 基于gru优化用电信息采集终端故障预测模型的方法及系统 | |
CN107465664B (zh) | 基于并行多人工蜂群算法和支持向量机的入侵检测方法 | |
CN109446985B (zh) | 基于矢量神经网络的多角度植物识别方法 | |
CN108540338B (zh) | 基于深度循环神经网络的应用层通信协议识别的方法 | |
CN113378899B (zh) | 非正常账号识别方法、装置、设备和存储介质 | |
CN111970400B (zh) | 骚扰电话识别方法及装置 | |
CN111126820A (zh) | 反窃电方法及系统 | |
CN109813542A (zh) | 基于生成式对抗网络的空气处理机组的故障诊断方法 | |
CN113343587A (zh) | 用于电力工控网络的流量异常检测方法 | |
CN113037783B (zh) | 一种异常行为检测方法及系统 | |
CN115277888B (zh) | 一种移动应用加密协议报文类型解析方法及系统 | |
CN110909224A (zh) | 一种基于人工智能的敏感数据自动分类识别方法及系统 | |
CN111641598A (zh) | 一种基于宽度学习的入侵检测方法 | |
CN115130102B (zh) | 一种基于增量学习的在线自适应入侵检测方法 | |
CN109583519A (zh) | 一种基于p-Laplacian图卷积神经网络的半监督分类方法 | |
CN117236699A (zh) | 一种基于大数据分析的网络风险识别方法及系统 | |
CN112532652A (zh) | 一种基于多源数据的攻击行为画像装置及方法 | |
CN114897085A (zh) | 一种基于封闭子图链路预测的聚类方法及计算机设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |