CN114650171A - 一种多层融合信标检测与路径还原方法和装置 - Google Patents

一种多层融合信标检测与路径还原方法和装置 Download PDF

Info

Publication number
CN114650171A
CN114650171A CN202210174318.6A CN202210174318A CN114650171A CN 114650171 A CN114650171 A CN 114650171A CN 202210174318 A CN202210174318 A CN 202210174318A CN 114650171 A CN114650171 A CN 114650171A
Authority
CN
China
Prior art keywords
beacon
path
network
information
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210174318.6A
Other languages
English (en)
Other versions
CN114650171B (zh
Inventor
崔军
吴凤丽
任传伦
俞赛赛
刘晓影
乌吉斯古愣
孟祥頔
林志贵
王明琛
谭震
刘文瀚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianjin Polytechnic University
CETC 15 Research Institute
CETC 30 Research Institute
Original Assignee
Tianjin Polytechnic University
CETC 15 Research Institute
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tianjin Polytechnic University, CETC 15 Research Institute, CETC 30 Research Institute filed Critical Tianjin Polytechnic University
Priority to CN202210174318.6A priority Critical patent/CN114650171B/zh
Publication of CN114650171A publication Critical patent/CN114650171A/zh
Application granted granted Critical
Publication of CN114650171B publication Critical patent/CN114650171B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种多层融合信标检测与路径还原方法和装置,该方法包括:目标系统网络路由节点数据包多层融合信标植入;获取目标系统中已植入信标的路由节点网络数据包;对已植入信标的网络数据包进行网络表征学习,计算路由节点的特征;根据路由节点的特征提取信息传播的路径信息,还原攻击路径;保存所还原的路径信息。可见,本发明引入网络表征学习模型,将网络路由节点向量化,考虑不同路由节点的特征,使得到的向量形式可以在向量空间中具有表示以及推理的能力,再利用图卷积神经网络计算得到还原的攻击路径,本发明有利于提高网络的威胁感知和预测能力,提升网络的安全性。

Description

一种多层融合信标检测与路径还原方法和装置
技术领域
本发明涉及网络安全技术领域,尤其涉及一种多层融合信标检测与路径还原方法和装置。
背景技术
随着计算机技术的不断发展和互联网的不断普及,网络攻击形式层出不穷,网络安全问题日益突出。网络攻击路径描述了网络状态和攻击动作之间的依赖关系,攻击路径还原主要是对攻击源定位和攻击时序重构。
攻击路径溯源较多是利用数据包中的标记信息来确定流量数据包在网络传输过程中所经过的转发路径。在溯源技术的发展中,出现的技术可以分为四类:链路测试法、日志记录法、基于ICMP的追踪方法、数据包标记法;其中,数据包标记法是当前溯源方面的主流方法。
数据包标记技术一般分为两大部分,路由器标记部分、受害者重构攻击路径部分,其较易携带路径信息,无需占用额外资源,但是此方法存在以下缺点:
(1)路径重构过程较难进行:由于此方法是在IP域内添加标记,在进行路径还原时,需要收集一定数量的数据包进行分析溯源;
(2)攻击者若伪造或篡改网络数据标记包,受害者处则无法收集到全部被标记的数据包,则无法构建网络攻击路径或者构建出错误的网络攻击路径。
攻击路径还原技术主要是对攻击源定位和攻击时序重构。当网络路由节点受到攻击者的攻击时,此路由节点的流量信息可能来源于多条攻击路径。针对现有还原攻击路径不准确、当数据包丢失时无法还原完整攻击路径的问题,本发明引入网络表征学习算法,其本质在于将网络路由节点向量化,考虑不同路由节点的特征,使得到的向量形式可以在向量空间中具有表示以及推理的能力,继而使用图卷积神经网络算法得到还原的攻击路径。
发明内容
本发明所要解决的技术问题在于,提供一种多层融合信标检测与路径还原方法,该方法的核心在于利用网络表征学习模型构建网络拓扑结构,继而使用图卷积神经网络得到还原的攻击路径。
为了解决上述技术问题,本发明实施例第一方面公开了一种多层融合信标检测与路径还原方法,所述方法包括:
对目标网络进行多层融合的信标植入与提取,得到信标数据包信息;所述信标数据包信息包括若干个信标数据信息;利用预设的网络表征学习模型对所述信标数据包信息进行节点特征提取分类,得到节点特征向量信息;所述节点特征向量信息包括若干个节点特征向量;
利用预设的图卷积神经网络模型对所述节点特征向量信息进行路径还原处理,得到攻击路径信息;所述攻击路径信息表征攻击信息在所述目标网络中的传播路径情况。
作为一种可选的实施方式,在本发明实施例第一方面中,所述对目标网络进行多层融合的信标植入与提取,得到信标数据包信息,包括:
从系统网络的网络层、传输层及应用层进行信标植入与提取,得到信标数据包信息;
将流经当前路由节点的信标的标记信息与下一路由节点的信标的标记信息建立规则,所述规则作为路径还原的依据。
作为一种可选的实施方式,在本发明实施例第一方面中,所述利用预设的网络表征学习模型对所述信标数据包信息进行节点特征提取分类,得到节点特征向量信息,包括:
步骤1:从第一个路由节点的数据包开始,分别计算两路由节点的转移概率、搜索偏差及指向下一个路由节点的数据包的概率;
步骤2:使用超参数1控制游走的重复访问上一路由节点的概率;
步骤3:使用超参数2控制游走的方向;
对网络中的每一个路由节点都重复步骤1、步骤2和步骤3,直至访问完所有路由节点,最终得到各路由节点的表征特征向量。
作为一种可选的实施方式,在本发明实施例第一方面中,所述利用预设的图卷积神经网络模型对所述节点特征向量信息进行路径还原处理,得到攻击路径信息,包括:
将各路由节点的表征特征向量输入图卷积神经网络中,利用图卷积神经网络实现攻击路径还原。
作为一种可选的实施方式,在本发明实施例第一方面中,所述网络表征学习模型,包括:
将已植入信标的路由节点利用Node2vec算法计算两路由节点的转移概率、搜索偏差及指向下一个路由节点的数据包的概率;
所述两路由节点的转移概率、搜索偏差及指向下一个路由节点的数据包的概率构成不同的路由节点特征向量。
作为一种可选的实施方式,在本发明实施例第一方面中,所述攻击路径还原,包括:
利用图卷积神经网络中路由节点的特征组成特征矩阵;
路由节点之间的连接关系组成邻接矩阵;
所述特征矩阵和所述邻接矩阵作为图卷积神经网络的输入;
所述输入经过变换、聚合和激活运算,得到包含路由节点信息的网络图。
作为一种可选的实施方式,在本发明实施例第一方面中,所述方法还包括:
利用预设的网络表征学习模型对所述还原攻击路径进行验证;
所述对所述还原攻击路径进行验证,包括:
预先设定好攻击路径;
基于网络表征学习模型进行多层融合信标植入与检测;
利用图卷积神经网络进行攻击路径还原;
将预先设定好的攻击路径与攻击路径还原结果进行对比,完成验证。
本发明实施例第二方面公开了一种多层融合信标检测与路径还原装置,所述装置包括:
信标处理模块,用于对目标网络进行多层融合的信标植入与提取,得到信标数据包信息;
路由节点特征计算模块,利用预设的网络表征学习模型对所述信标数据包信息进行节点特征提取分类,得到节点特征向量信息;
路径还原模块,利用预设的图卷积神经网络模型对所述节点特征向量信息进行路径还原处理,得到攻击路径信息;
存储模块,用于保存所还原的路径信息。
作为一种可选的实施方式,在本发明实施例第二方面中,所述对目标网络进行多层融合的信标植入与提取,得到信标数据包信息,包括:
从系统网络的网络层、传输层及应用层进行信标植入与提取,得到信标数据包信息;
将流经当前路由节点的信标的标记信息与下一路由节点的信标的标记信息建立规则,所述规则作为路径还原的依据。
作为一种可选的实施方式,在本发明实施例第二方面中,所述利用预设的网络表征学习模型对所述信标数据包信息进行节点特征提取分类,得到节点特征向量信息,包括:
步骤1:从第一个路由节点的数据包开始,分别计算两路由节点的转移概率、搜索偏差及指向下一个路由节点的数据包的概率;
步骤2:使用超参数1控制游走的重复访问上一路由节点的概率;
步骤3:使用超参数2控制游走的方向;
对网络中的每一个路由节点都重复步骤1、步骤2和步骤3,直至访问完所有路由节点,最终得到各路由节点的表征特征向量。
作为一种可选的实施方式,在本发明实施例第二方面中,所述利用预设的图卷积神经网络模型对所述节点特征向量信息进行路径还原处理,得到攻击路径信息,包括:
将各路由节点的表征特征向量输入图卷积神经网络中,利用图卷积神经网络实现攻击路径还原。
作为一种可选的实施方式,在本发明实施例第二方面中,所述网络表征学习模型,包括:
将已植入信标的路由节点利用Node2vec算法计算两路由节点的转移概率、搜索偏差及指向下一个路由节点的数据包的概率;
所述两路由节点的转移概率、搜索偏差及指向下一个路由节点的数据包的概率构成不同的路由节点特征向量。
作为一种可选的实施方式,在本发明实施例第二方面中,所述攻击路径还原,包括:
利用图卷积神经网络中路由节点的特征组成特征矩阵;
路由节点之间的连接关系组成邻接矩阵;
所述特征矩阵和所述邻接矩阵作为图卷积神经网络的输入;
所述输入经过变换、聚合和激活运算,得到包含路由节点信息的网络图。
作为一种可选的实施方式,在本发明实施例第二方面中,所述方法还包括:
利用预设的网络表征学习模型对所述还原攻击路径进行验证;
所述对所述还原攻击路径进行验证,包括:
预先设定好攻击路径;
基于网络表征学习模型进行多层融合信标植入与检测;
利用图卷积神经网络进行攻击路径还原;
将预先设定好的攻击路径与攻击路径还原结果进行对比,完成验证。
本发明第三方面公开了另一种多层融合信标检测与路径还原装置,所述装置包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,用于执行本发明实施例第一方面公开的多层融合信标检测与路径还原方法中的部分或全部步骤。
本发明第四方面公开了一种计算机存储介质,所述计算机存储介质存储有计算机指令,所述计算机指令被调用时,用于执行本发明实施例第一方面公开的多层融合信标检测与路径还原方法中的部分或全部步骤。
与现有技术相比,本发明实施例具有以下有益效果:
(1)现有技术方案收集大量数据包进行溯源分析,在路径重构过程较为困难。本发明通过多层融合信标方式,在数据包中添加多层信标,使在分析时的数据包数量减少,再结合网络表征学习模型,得到更加明显的路由节点特征,对网络路由节点分类。
(2)现有技术方案中,若攻击者伪造网络数据包中的内容,被攻击者处无法收集到全部的被标记的数据包。本发明通过网络表征学习模型针对每个路由节点计算转移概率,可以判断该路由节点是否为攻击的路由节点的概率,再利用图卷积神经网络算法可以预测出更加完整的攻击路径。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例公开的一种基于网络表征学习的多层融合信标检测与路径还原方法的总体框图;
图2是本发明实施例公开的多层融合信标植入过程示意图;
图3是本发明实施例公开的路径还原过程路由节点顺序图;
图4是本发明实施例公开的一种基于表征学习的多层融合信标检测与路径还原装置示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
请参阅图1,图1是本发明实施例公开的一种多层融合信标检测与路径还原方法的总体框图,包括以下操作:
101、目标系统网络路由路由节点数据包信标植入;
采用多层融合的方式进行信标植入,网络数据包中的信标的标识字段在路由路由节点标记时,按照insertfieldold=insertfield+IDold规则进行植入,其中insertfield表示当前路由节点的标识字段,insertfieldold表示上一路由节点的标识字段,IDold表示上一路由节点的数据包中IP协议的ID标识。如图2所示,在应用层协议的特定位置、传输层在TCP的可选字段以及网络层的标识(ID)字段植入信标,分别从网络层、传输层及应用层提取信标。
102、获取目标系统中已植入信标的路由路由节点网络数据包;
103、对已植入信标的网络数据包进行网络表征学习,计算路由节点的特征;
采用基于随机游走的网络表征学习模型——Node2vec算法,对路由节点的特征进行计算。Node2vec算法是一种有偏的随机游走方式,在随机游走过程中引入深度优先搜索(DFS)和广度优先搜索(BFS);广度优先搜索可以更细致地对路由节点的邻居空间进行搜索,有利于挖掘路由节点的结构等价性;深度优先搜索的采样范围更广泛,可以在采样结果中保留路由节点之间的同质性。
将已植入信标的路由节点利用Node2vec算法计算两路由节点的转移概率、搜索偏差及指向下一个路由节点的数据包的概率;
两路由节点的转移概率、搜索偏差及指向下一个路由节点的数据包的概率构成不同的路由节点特征向量。
所述两路由节点的转移概率πvx,包括:
πvx=apq(t,x)·wvx
所述搜索偏差apq(t,x),包括:
Figure BDA0003519285900000071
所述指向下一个路由节点的数据包的概率p(ci=x|ci-1=v),包括:
Figure BDA0003519285900000072
其中:v为当前的路由节点,t表示v的上一步所在路由节点,x代表下一步路由节点,wvx为边的权重,dtx为下一步访问路由节点x和当前路由节点v的上一个路由节点t之间的最短路径,p、g为超参数,p控制重复访问刚经过的路由节点的概率,q控制游走的方向,ci为游走的第i个路由节点,ci-1为游走的第i-1个路由节点,z为归一化常数,E表示边的集合。
通过此算法对路由路由节点的数据包进行处理,提取包中的多层信标特征,对这些路由路由节点分类,得到不同的路由节点特征向量。
104、根据路由节点的特征提取信息传播的路径信息,还原攻击路径;
网络攻击路径的还原就是从网络的各个路由节点信息中提取信息传播的路径信息,从而找到路由节点还原的先后顺序,如图3所示为路由节点顺序图,图中实线箭头所示为信息传播方向,虚线箭头所示为还原方向。
本发明利用图卷积神经网络(Graph Convolution Network)来对网络表征学习后含有信标标签的信路由节点来进行分类还原,从而达到网络路由节点溯源的目的。图卷积神经网络路径还原如下:其中设图有N个路由节点,每个路由节点都有自己的特征;设这些路由节点的特征组成一个N×D维的矩阵X,随后网络各路由节点之间的关系也会形成一个N×N维的邻接矩阵A。矩阵X和矩阵A是模型的输入。
首先进行变换(transform):利用乘法规则(HW)对当前的路由节点特征进行变换学习,其中H为路由节点表征,W为模型权重;再进行聚合(aggregate):通过邻接矩阵聚合领域路由节点的特征,得到该路由节点的新特征,通过学习邻居路由节点对当前路由节点的重要程度的权重,加权得到路由节点的表征;最后激活(activate):采用激活函数,增加非线性。最终得到含有路由节点信息的网络图。GCN算法将输入层特征X输入到隐藏层,通过激活函数计算,其中H(l+1)为l+1层的路由节点特征,σ为非线性激活函数,A为邻接矩阵,H(l)为第l层的路由节点表征,W(l)为第l层的权重;最后得到的输出即N层的路由节点特征。
105、保存所还原的路径信息。
可见,实施本发明实施例所描述的多层融合信标检测与路径还原方法,将已植入多层融合信标的网络数据包中的流量信息进行网络表征学习,计算路由节点的特征信息图,将特征与图卷积神经网络算法结合,还原出攻击者的攻击路径,并将路径信息保存,可以实现对攻击路径的准确有效还原,提升网络的安全性。
实施例二
场景:针对某一企业在局域网内访问网络时,若存在攻击者对使用网络的用户进行攻击,网络安全管理人员通过本发明所提到的方法,对攻击者的攻击路径进行还原,可以采取措施提升自身网络的安全性。
实施例二的整体思路如下:
步骤一、选择企业中的网络流量出入的路由器,对这些路由器加入信标植入设备;选择网络边界出入关口路由器,对其加入信标检测设备。
步骤二、当企业内网受到网络攻击时,对流经路由器的数据包进行信标提取。
步骤三、从第一个路由节点的数据包开始,计算两路由节点的转移概率、搜索偏差及指向下一个路由节点的数据包的概率;两路由节点的转移概率、搜索偏差及指向下一个路由节点的数据包的概率构成不同的路由节点特征向量。
所述两路由节点的转移概率πvx,包括:
πvx=apq(t,x)·wvx
所述搜索偏差apq(t,x),包括:
Figure BDA0003519285900000091
所述指向下一个路由节点的数据包的概率p(ci=x|ci-1=v),包括:
Figure BDA0003519285900000092
其中:v为当前的路由节点,t表示v的上一步所在路由节点,x代表下一步路由节点,wvx为边的权重,dtx为下一步访问路由节点x和当前路由节点v的上一个路由节点t之间的最短路径,p、g为超参数,p控制重复访问刚经过的路由节点的概率,q控制游走的方向,ci为游走的第i个路由节点,ci-1为游走的第i-1个路由节点,z为归一化常数,E表示边的集合。
通过此算法对路由路由节点的数据包进行处理,提取包中的多层信标特征,对这些路由路由节点分类,得到不同的路由节点特征向量,对网络中的每一个路由节点都重复此步骤,直至访问完所有路由节点,最终得到各路由节点的表征特征向量。
步骤四、路径还原过程,将步骤三得到的路由节点特征图输入到图卷积神经网络算法中,并利用上下路由节点之间的信标植入规则,对路由节点之间的路径进行预测,并将路由节点连接成完整的攻击路径。
步骤五、将还原得到的攻击路径保存到数据库中,以便后续加强网络安全性。
可见,实施本发明实施例所描述的多层融合信标检测与路径还原方法,对企业中的网络流量出入的路由器加入信标植入设备,选择网络边界出入关口路由器加入信标检测设备,当企业内网受到网络攻击时,对流经路由器的数据包进行信标提取,还原攻击路径,并将路径信息保存,可以实现对攻击路径的准确有效还原,提升网络的安全性。
实施例三
请参阅图4,图4为一种基于表征学习的多层融合信标检测与路径还原装置示意图,其中,图4所描述的装置能够应用于基于表征学习的多层融合信标检测与路径还原方法中,如图4所示,该装置可以包括:
401、信标植入模块,用于实现多层融合的信标植入;
402、路由节点特征计算模块,采用基于随机游走的网络表征学习模型,对路由节点的特征进行计算;
403、路径还原模块,从网络的各个路由节点信息中提取信息传播的路径信息,从而找到路由节点还原的先后顺序;
404、存储模块,将还原得到的攻击路径保存到数据库中,以便后续加强网络安全性。
可见,实施本发明实施例所描述的多层融合信标检测与路径还原装置,能够通过多层融合的信标植入,采用基于随机游走的网络表征学习模型,对路由节点的特征进行计算,从网络的各个路由节点信息中提取信息传播的路径信息,从而找到路由节点还原的先后顺序,将还原得到的攻击路径保存到数据库中,以便后续加强网络安全性,有利于实现对攻击路径的准确有效还原,提升网络的安全性。
最后应说明的是:本发明实施例公开的一种出库分单方法及装置所揭露的仅为本发明较佳实施例而已,仅用于说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解;其依然可以对前述各项实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或替换,并不使相应的技术方案的本质脱离本发明各项实施例技术方案的精神和范围。

Claims (10)

1.一种多层融合信标检测与路径还原方法,其特征在于,所述方法包括:
对目标网络进行多层融合的信标植入与提取,得到信标数据包信息;所述信标数据包信息包括若干个信标数据信息;利用预设的网络表征学习模型对所述信标数据包信息进行节点特征提取分类,得到节点特征向量信息;所述节点特征向量信息包括若干个节点特征向量;
利用预设的图卷积神经网络模型对所述节点特征向量信息进行路径还原处理,得到攻击路径信息;所述攻击路径信息表征攻击信息在所述目标网络中的传播路径情况。
2.根据权利要求1所述的多层融合信标检测与路径还原方法,其特征在于,所述对目标网络进行多层融合的信标植入与提取,得到信标数据包信息,包括:
从系统网络的网络层、传输层及应用层进行信标植入与提取,得到信标数据包信息;
将流经当前路由节点的信标的标记信息与下一路由节点的信标的标记信息建立规则,所述规则作为路径还原的依据。
3.根据权利要求1所述的多层融合信标检测与路径还原方法,其特征在于,所述利用预设的网络表征学习模型对所述信标数据包信息进行节点特征提取分类,得到节点特征向量信息,包括:
步骤1:从第一个路由节点的数据包开始,分别计算两路由节点的转移概率、搜索偏差及指向下一个路由节点的数据包的概率;
步骤2:使用超参数1控制游走的重复访问上一路由节点的概率;
步骤3:使用超参数2控制游走的方向;
对网络中的每一个路由节点都重复步骤1、步骤2和步骤3,直至访问完所有路由节点,最终得到各路由节点的表征特征向量。
4.根据权利要求1所述的多层融合信标检测与路径还原方法,其特征在于,所述利用预设的图卷积神经网络模型对所述节点特征向量信息进行路径还原处理,得到攻击路径信息,包括:
将各路由节点的表征特征向量输入图卷积神经网络中,利用图卷积神经网络实现攻击路径还原。
5.根据权利要求3所述的多层融合信标检测与路径还原方法,其特征在于,所述网络表征学习模型,包括:
将已植入信标的路由节点利用Node2vec算法计算两路由节点的转移概率、搜索偏差及指向下一个路由节点的数据包的概率;
所述两路由节点的转移概率、搜索偏差及指向下一个路由节点的数据包的概率构成不同的路由节点特征向量。
6.根据权利要求4所述的多层融合信标检测与路径还原方法,其特征在于,所述攻击路径还原,包括:
利用图卷积神经网络中路由节点的特征组成特征矩阵;
路由节点之间的连接关系组成邻接矩阵;
所述特征矩阵和所述邻接矩阵作为图卷积神经网络的输入;
所述输入经过变换、聚合和激活运算,得到包含路由节点信息的网络图。
7.根据权利要求1所述的多层融合信标检测与路径还原方法,其特征在于,所述方法还包括:
利用预设的网络表征学习模型对所述还原攻击路径进行验证;
所述对所述还原攻击路径进行验证,包括:
预先设定好攻击路径;
基于网络表征学习模型进行多层融合信标植入与检测;
利用图卷积神经网络进行攻击路径还原;
将预先设定好的攻击路径与攻击路径还原结果进行对比,完成验证。
8.一种多层融合信标检测与路径还原装置,其特征在于,所述装置包括:
信标处理模块,用于对目标网络进行多层融合的信标植入与提取,得到信标数据包信息;
路由节点特征计算模块,利用预设的网络表征学习模型对所述信标数据包信息进行节点特征提取分类,得到节点特征向量信息;
路径还原模块,利用预设的图卷积神经网络模型对所述节点特征向量信息进行路径还原处理,得到攻击路径信息;
存储模块,用于保存所还原的路径信息。
9.一种多层融合信标检测与路径还原装置,其特征在于,所述装置包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行如权利要求1-7任一项所述多层融合信标检测与路径还原方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机指令,所述计算机指令被调用时,用于执行如权利要求1-7任一项所述的多层融合信标检测与路径还原方法。
CN202210174318.6A 2022-02-24 2022-02-24 一种多层融合信标检测与路径还原方法、装置和存储介质 Active CN114650171B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210174318.6A CN114650171B (zh) 2022-02-24 2022-02-24 一种多层融合信标检测与路径还原方法、装置和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210174318.6A CN114650171B (zh) 2022-02-24 2022-02-24 一种多层融合信标检测与路径还原方法、装置和存储介质

Publications (2)

Publication Number Publication Date
CN114650171A true CN114650171A (zh) 2022-06-21
CN114650171B CN114650171B (zh) 2023-04-18

Family

ID=81992876

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210174318.6A Active CN114650171B (zh) 2022-02-24 2022-02-24 一种多层融合信标检测与路径还原方法、装置和存储介质

Country Status (1)

Country Link
CN (1) CN114650171B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116319095A (zh) * 2023-05-19 2023-06-23 天津工业大学 一种高通量网络环境下的信标植入检测方法
CN116400264A (zh) * 2023-06-09 2023-07-07 广东工业大学 一种逆变器开路故障诊断方法和系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103354539A (zh) * 2012-11-29 2013-10-16 北京安天电子设备有限公司 一种基于IPv6网络特征的攻击路径还原方法及系统
CN107291803A (zh) * 2017-05-15 2017-10-24 广东工业大学 一种融合多类型信息的网络表示方法
CN111008447A (zh) * 2019-12-21 2020-04-14 杭州师范大学 一种基于图嵌入法的链路预测方法
CN112822198A (zh) * 2021-01-15 2021-05-18 中国电子科技集团公司第十五研究所 面向追踪溯源应用的多层协议网络信标植入检测方法
CN113691507A (zh) * 2021-08-05 2021-11-23 武汉卓尔信息科技有限公司 一种工业控制网络安全检测方法及系统
CN113765928A (zh) * 2021-09-10 2021-12-07 湖南工商大学 物联网入侵检测方法、系统、设备及介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103354539A (zh) * 2012-11-29 2013-10-16 北京安天电子设备有限公司 一种基于IPv6网络特征的攻击路径还原方法及系统
CN107291803A (zh) * 2017-05-15 2017-10-24 广东工业大学 一种融合多类型信息的网络表示方法
CN111008447A (zh) * 2019-12-21 2020-04-14 杭州师范大学 一种基于图嵌入法的链路预测方法
CN112822198A (zh) * 2021-01-15 2021-05-18 中国电子科技集团公司第十五研究所 面向追踪溯源应用的多层协议网络信标植入检测方法
CN113691507A (zh) * 2021-08-05 2021-11-23 武汉卓尔信息科技有限公司 一种工业控制网络安全检测方法及系统
CN113765928A (zh) * 2021-09-10 2021-12-07 湖南工商大学 物联网入侵检测方法、系统、设备及介质

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116319095A (zh) * 2023-05-19 2023-06-23 天津工业大学 一种高通量网络环境下的信标植入检测方法
CN116319095B (zh) * 2023-05-19 2023-07-28 天津工业大学 一种高通量网络环境下的信标植入检测方法
CN116400264A (zh) * 2023-06-09 2023-07-07 广东工业大学 一种逆变器开路故障诊断方法和系统
CN116400264B (zh) * 2023-06-09 2023-08-18 广东工业大学 一种逆变器开路故障诊断方法和系统

Also Published As

Publication number Publication date
CN114650171B (zh) 2023-04-18

Similar Documents

Publication Publication Date Title
CN114650171B (zh) 一种多层融合信标检测与路径还原方法、装置和存储介质
Jin et al. Stable and practical {AS} relationship inference with {ProbLink}
Castellano et al. Cumulative merging percolation and the epidemic transition of the susceptible-infected-susceptible model in networks
CN115296924A (zh) 一种基于知识图谱的网络攻击预测方法及装置
CN107958255A (zh) 一种基于图像的目标检测方法及装置
CN115277102B (zh) 网络攻击检测方法、装置、电子设备及存储介质
Ding et al. Gnn-geo: A graph neural network-based fine-grained ip geolocation framework
CN114615066A (zh) 目标路径确定方法以及装置
Amani et al. A case-based reasoning method for alarm filtering and correlation in telecommunication networks
CN112235254A (zh) 一种高速主干网中Tor网桥的快速识别方法
Fan et al. A hierarchical method for assessing cyber security situation based on ontology and fuzzy cognitive maps
Govindan et al. Pronet: Network trust assessment based on incomplete provenance
CN111464327A (zh) 一种基于图卷积网络的空间信息网络抗毁性评估方法
Zarrinpanjeh et al. Optimum path determination to facilitate fire station rescue missions using ant colony optimization algorithms: case study City of Karaj
CN115935367A (zh) 一种基于图神经网络的源代码漏洞静态检测及定位方法
Zhang et al. Root cause analysis of concurrent alarms based on random walk over anomaly propagation graph
CN114912927A (zh) 一种区块链反诈骗分析方法及系统
CN113762043A (zh) 异常轨迹识别方法及装置
CN112926993B (zh) 基于区块链安全大数据的信息生成方法及区块链服务系统
Jin et al. Community Selection for Multivariate KPI Predictions in a 2-Tier System
Reichelt et al. Reliable communication network design with evolutionary algorithms
Chetouane et al. Performance improvement of DDoS intrusion detection model using hybrid deep learning method in the SDN environment
Wolff et al. Anomaly Search over Composite Hypotheses in Hierarchical Statistical Models
Yue et al. Critical nodes identification: A non-cooperative method for unknown topology information in ad hoc networks
Li et al. A novel machine learning based intrusion detection method for 5G empowered CBTC systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant