CN114915444B - 基于图神经网络的DDoS攻击检测方法及装置 - Google Patents

基于图神经网络的DDoS攻击检测方法及装置 Download PDF

Info

Publication number
CN114915444B
CN114915444B CN202210293159.1A CN202210293159A CN114915444B CN 114915444 B CN114915444 B CN 114915444B CN 202210293159 A CN202210293159 A CN 202210293159A CN 114915444 B CN114915444 B CN 114915444B
Authority
CN
China
Prior art keywords
data packets
graph
ddos attack
graph structure
flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210293159.1A
Other languages
English (en)
Other versions
CN114915444A (zh
Inventor
周舟
李玉珍
刘庆云
李仁杰
郭江
杨威
杜梅婕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN202210293159.1A priority Critical patent/CN114915444B/zh
Publication of CN114915444A publication Critical patent/CN114915444A/zh
Application granted granted Critical
Publication of CN114915444B publication Critical patent/CN114915444B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Biophysics (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Probability & Statistics with Applications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于图神经网络的DDoS攻击检测方法及装置,所述方法包括:将待检测流量中的数据包按照<源IP地址、目的IP地址>二元组进行分组;对每一分组,按时间排序所述数据包,并根据所述数据包为上行流量或下行流量,将所述分组划分为若干小组;针对每一分组,构建至少一个图结构;使用图神经网络计算所述图结构的表征,并基于所述表征进行分类,得到所述图结构的DDoS攻击检测结果;结合各图结构的DDoS攻击检测结果,获取所述待检测流量的DDoS攻击检测结果。本发明更好地体现了DDoS攻击流量的固有特性,具有更高的准确率。

Description

基于图神经网络的DDoS攻击检测方法及装置
技术领域
本发明属于网络信息安全领域,尤其涉及一种基于图神经网络的DDoS攻击检测方法及装置。
背景技术
可用性是系统和服务最重要的部分,然而在分布式拒绝服务(DDoS)攻击中,攻击者控制大量的僵尸主机,向目标系统或者服务器发送大量恶意数据包,耗尽目标系统或者服务器的带宽或者系统资源,破坏了系统或者服务器的可用性,对被攻击的系统和服务器造成了很大的危害。
从DDoS攻击出现开始,安全研究人员就在不断地提出和完善DDoS攻击的检测和防御技术。但同时,DDoS攻击也在不断地变化,趋于复杂。近年来,出现了越来越多种类的DDoS攻击,如慢速DDoS攻击、自适应的DDoS攻击等,这些新型的DDoS攻击会模拟正常用户的行为,以逃避检测,因此用传统的检测方法很难检测到这些新型的DDoS攻击。
但由于DDoS攻击和正常访问的目的不同,所以DDoS攻击具有一些固有特性。DDoS攻击的目的是长时间恶意占用目标系统或服务器的资源,使正常用户无法正常访问目标系统或服务器。DDoS攻击一般从两个层面出发达成这个目标,一是在单个流的层面,可以尽可能长时间的保持单个流的连接,在实现上,攻击者会制造一些特殊的请求以达成这个目标,例如TCP SYN洪泛攻击,在三次握手阶段,攻击者会只发送带SYN标志的TCP数据包给服务器,而不响应服务器返回的带SYN ACK标志的TCP数据包,使服务器一直等待攻击者的响应,维持连接,直到超时。这种特征会表现在流量上。二是在多个流的层面,可以与服务器建立尽可能多的连接。在实现上,分为两种情况,高速DDoS攻击会以很快的速率与服务器建立很多个连接,低速DDoS攻击为逃避检测,会以比较低的速率与服务器不断地建立连接,但这种连接往往是机器操作,因此会表现出一些频域上的特性。这种特征也会体现在流量上。这些流量上的固有特性对DDoS攻击的检测来说很重要。
深度学习技术近年来也在快速发展,在计算机视觉、自然语言处理、语音识别等领域都取得了很好的成果,在DDoS攻击的检测方面也成绩斐然。但是,这些基于深度学习的DDoS攻击检测技术大多数都直接利用数据包的信息和数据流的统计信息作为深度学习模型的输入。
Yuan等人提出了DeepDefense,该方法使用了四个模型:卷积神经网路(CNN)、循环神经网络(RNN)、长短期记忆(LSTM)网络和门控循环单元(GRU)网络。DeepDefense根据滑动窗口将连续的数据包分开,并提取了20种包级别的字段作为模型的输入,使用ISCX2012数据集对模型进行训练。实验结果表明在很小的数据集上,该方法相比浅层机器学习方法可以减少39.69%的错误率。
Doriguzzi-Corinet等人,提出了LUCID,一种轻量级的基于CNN的DDoS攻击检测方法。LUCID规定一个时间窗口t和一个数据包数量n,将时间窗口t内的数据包作为一组,如果时间窗口t内的数据包数量小于n,则用0填充到n,如果时间窗口t内的数据包数量大于n,则丢弃第n个数据包后的数据包。另外对每个数据包,LUCID会提取11个特征。
这些方法直接将数据包或者数据流的统计特征输入模型,为了便于提取,这些特征往往是很简单的特征,比如说数据包的长度、IP标志位、TCP标志位、TCP长度等等。这些特征不能完全表达原始流量,丢失了很多原始流量的重要信息,不能体现DDoS攻击具备的这些固有特性。为了解决上述问题,本发明提出了基于图神经网络的DDoS攻击检测方法,构建图结构,在图结构中充分表达这些特性信息,并利用图神经网络充分学习图结构中的特性信息,构建能够有效检测DDoS攻击的图神经网络分类器。
发明内容
本发明的目的在于提供一种基于图神经网络的DDoS攻击检测方法及装置,将流量转化为图结构,保留流量数据包及数据流之间的关系信息,构建图神经网络分类器,充分利用DDoS攻击的固有特性进行DDoS攻击检测。
为达到以上目的,本发明技术方案如下:
一种基于图神经网络的DDoS攻击检测方法,其步骤包括:
将待检测流量中的数据包按照<源IP地址、目的IP地址>二元组进行分组;
对每一分组,按时间排序所述数据包,并根据所述数据包为上行流量或下行流量,将所述分组划分为若干小组;
针对每一分组,构建至少一个图结构,其中,所述图结构中的节点为所述数据包,所述节点特征为数据包的协议类型,所述图结构中的边包括:同一小组内的相邻节点之间、相邻小组的第一个节点之间和相邻小组的最后一个节点之间;
使用图神经网络计算所述图结构的表征,并基于所述表征进行分类,得到所述图结构的DDoS攻击检测结果;
结合各图结构的DDoS攻击检测结果,获取所述待检测流量的DDoS攻击检测结果。
进一步地,所述针对每一分组,构建至少一个图结构,包括:
设置图结构包含的数据包数量n;
若所述分组中的数据包数量不是所述数据包数量n的倍数,则将不足的数据包丢弃;
基于剩余的数据包,进行图结构构建。
进一步地,所述数据包特征包括:数据包的协议类型特征。
进一步地,所述计算所述图结构的表征,包括:
对于每一节点,聚合邻居节点的第k-1层特征
Figure GDA0003996835890000031
形成消息向量
Figure GDA0003996835890000032
其中,v、u分别表示节点编号,v≠u,k为节点表征的层数;
基于所述消息向量
Figure GDA0003996835890000033
传递与该节点的第k-1层特征
Figure GDA0003996835890000034
得到该节点的第k层特征
Figure GDA0003996835890000035
连接每一节点的各层特征,得到所述图结构的表征。
进一步地,所述基于所述表征进行分类,包括:将所述表征输入一个全连接层。
进一步地,基于交叉熵损失函数,对所述图神经网络与全连接层进行训练。
一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一所述方法。
一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一所述方法。
与现有技术相比,本发明至少具有以下有益效果:
相比现有基于深度学习的DDoS攻击检测方法,本方法通过利用数据包的方向信息、协议类型信息,构建流量的图结构,通过清晰的对数据包之间和数据流之间关系的表达,充分在图中体现DDoS攻击流量模式和正常流量模式特性上的差别,利用图同构网络构建DDoS攻击检测模型,充分从图中学习DDoS攻击的模式,有效检测DDoS攻击。
附图说明
图1为本发明的整体流程图。
图2为本发明所用的构图方法。
具体实施方式
下面将结合附图,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式仅仅是本发明特定实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。
图1为本发明的整体架构图,所述方法的具体步骤如下:
步骤1)流量转换
该步骤对流量进行预处理,并将流量转化为图结构。
①流量预处理
将数据包按照二元组(源IP地址、目的IP地址)分组,按时间排序,提取数据包的大小以及协议类型特征,将数据包的方向信息集成到数据包的大小特征中,使上行流量(从客户端到服务器)的数据包大小为负,下行流量(从服务器到客户端)的数据包大小为正。并根据流量是否为DDoS攻击流量为每组数据包添加标签,DDoS攻击流量则标记为1,不是则标记为0。
②构建图结构
按照顺序,将一组中的每n个数据包构建为一张图,图的标签与组的标签一致,若一组中的数据包个数不是n的倍数,则将最后的不足n个的数据包丢弃。以数据包作为图的节点,数据包的协议类型作为节点的特征。为了使用图结构充分体现DDoS攻击流量的固有特性,如图2所示,按照方向对n个节点再次分小组,节点方向每变换一次则重新构建一个小组(数据包大小由负转正或由正转负),每小组中的节点方向一致,小组内的节点仍保持原来的顺序。对同一小组内的相邻节点添加边(如果小组只有一个节点则不添加边),在相邻小组的第一个节点之间以及最后一个节点之间(如果小组只有一个节点,则此节点同时作为此小组的第一个节点和最后一个节点)添加边。同小组内的数据包意味着在服务器未给出响应前客户端向服务器发送的数据包或服务器在客户端没有进行下一次请求前发送给客户端的数据包。
从流之间的关系来看:在正常流量中,一般是客户端向服务器发送的数据包少,服务器向客户端发送的数据包多,客户端会等待服务器给出响应后再发出下一次请求,因此正常流量构成的图中,有客户端发送向服务器的数据包构成的小组的节点数量少,服务器发送向客户端的数据包构成的小组的节点数量多的特点;但在DDoS攻击流量中,为了快速耗尽服务器的资源,防止服务器进行缓解,且僵尸主机一般为自动程序控制,客户端一般不会在意服务器的响应,而向服务器发送大量的相似的恶意请求,在高速DDoS攻击中,一个僵尸主机会使用很多个端口同时(相隔较少时间)向服务器发起连接,在低速DDoS攻击中,僵尸主机通常会以一定频率向服务器发起连接。在高速DDoS攻击流量构成的图中,这种特征在小组内表现为一种“burst”,也就是说,在服务器向客户端响应前,客户端会有大量数据包发送向服务器,且这些数据包在大小协议上会有重复,在低速DDoS攻击流量构成的图中,表现为图由某重复的结构组成。
从数据包之间的关系来看:由于每种DDoS攻击都遵循其基本原理,因此僵尸主机受自动程序控制构造发送的恶意请求有一定模式,受害服务器也会根据请求以一定模式进行响应(比如说在慢速读攻击中,客户端在请求包中会设置很小的窗口大小,服务器则按照很小的大小向客户端进行响应),正常流量不具备这种恶意目的。这种特征在以五元组(源IP地址、目的IP地址、源端口号、目的端口号、协议类型)相同的流构成的图中能够明显显现(但这样图则无法包含流关系信息)。以五元组分组的流量是以二元组分组的流量的子集,因此这种信息也包含在二元组构成的图中。
本发明构成的图结构综合了单流的特征及多流的特征,能够很好的体现DDoS攻击流量的固有特性。
步骤2)基于图神经网络检测DDoS攻击
在本发明构建的图中,想重点讨论的DDoS攻击流量相比正常流量所具备的固有特性主要体现在图的结构之中,因此本发明利用GIN构建模型,该框架被证明能够具备和Weisfeiler-Lehman(WL)图同构测试一样强大的判断力,而在区分图结构方面,图神经网络最多只能和WL测试一样强大。模型主要包括节点表征、图表征及分类三个部分。
①节点表征
图神经网络工作机制的通用框架是消息传播神经网络(Message Passing NeuralNetwork,MPNN)。图神经网络的节点聚合也就是MPNN的消息传递阶段,此阶段要运行N次,每次包含两个子函数,Aggregate和Combine,Aggregate是消息函数,作用是聚合邻居节点的特征,形成消息向量
Figure GDA0003996835890000051
用于传递给中心节点。Combine是节点更新函数,作用是更新当前时刻的节点表示,组合当前时刻节点的表示及从消息函数获得的消息。GNN的第k层可以被表示为:
Figure GDA0003996835890000052
Figure GDA0003996835890000053
其中,
Figure GDA0003996835890000054
是第k层节点v的特征向量,N(v)是节点v的邻居。
只要Aggregate和Combine及之后的图表征中的Readout均是单射的,则GNN就能和WL测试一样强大。将Aggregate和Combine合并在一个公式中就是:
Figure GDA0003996835890000055
其中,函数f表示单射的Aggregate函数,函数Φ表示单射的Combine函数。
在GIN中,设置Aggregate为sum(求和函数),Combine为1+∈,使用多层感知机即能近似表示该函数,因此第k层节点表征可以表示为:
Figure GDA0003996835890000061
其中∈是一个可学习的参数。
②图表征
图神经网络的图表征是MPNN的读出阶段,此阶段利用读出函数聚合节点表示,获得图表示
Figure GDA0003996835890000062
可以表示为:
Figure GDA0003996835890000063
其中
Figure GDA0003996835890000064
是节点表征阶段最后一层的结果,最终的节点表征向量。
在GIN中,将节点表征的每层结果连接,即:
Figure GDA0003996835890000065
其中K是节点表征的总层数,G表示图、v表示图中的节点。
③分类
在得到图表征向量后,问题转变为一个普通的分类问题,在这里使用一个全连接层进行分类。并对全连接层的输出结果
Figure GDA0003996835890000066
使用激活函数softmax,得到样本属于正常或DDoS攻击的概率
Figure GDA0003996835890000067
即:
Figure GDA0003996835890000068
最后,将样本分类为概率较大的类别。
步骤3)训练和测试模型
使用CIC-IDS2017数据集和CIC-DoS2017数据集对模型进行测试和训练。其中本发明只使用了CIC-IDS2017数据集中正常流量和DoS/DDoS流量,对CIC-DoS2017数据集中的正常流量进行了采样,将调整正常流量和异常流量比例调整为3:1。
①训练
使用交叉熵损失函数对模型进行训练:
Figure GDA0003996835890000069
其中,|X|是样本数量,yic是样本的标签,c是样本的类别。
②测试
本发明选取了两个较前沿的深度学习方法:LUCID和GNN-NIDS,以及一个三层的MLP作为对比方法,选择准确率(ACC)、反正例率(FPR)、精确率(Precision)、召回率(Recall)和F1值作为评价指标。表1是在CIC-IDS2017数据集上所做的对比实验结果、表2是在CIC-DoS2017数据集上所做的对比实验结果,其中GraphDDoS代表本方法的结果。结果显示,在CIC-IDS2017数据集和CIC-DoS2017数据集上,GraphDDoS的整体指标均优于其它方法。
表1 CIC-IDS2017数据集实验结果
Model ACC FPR Precision Recall F1
LUCID 0.9557 0.0186 0.9819 0.9318 0.9562
GNN=NIDS 0.9738 0.0243 0.9683 0.9714 0.9698
MLP 0.9510 0.0169 0.9810 0.8271 0.8741
GraphDDoS 0.9959 0.0036 0.9965 0.9953 0.9959
表2 CIC-DoS2017数据集实验结果
Model ACC FPR Precision Recall F1
LUCID 0.9112 0.0618 0.9354 0.8845 0.9002
GNN=NIDS 0.9314 0.0259 0.9110 0.8019 0.8530
MLP 0.8869 0.0353 0.8723 0.6504 0.7437
GraphDDoS 0.9751 0.0146 0.9505 0.9407 0.9456
以上实验均表明数据流和数据包之间的关系能够有效的检测DDoS攻击。
以上所述仅为本发明的较佳实施方式而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种基于图神经网络的DDoS攻击检测方法,其步骤包括:
将待检测流量中的数据包按照<源IP地址、目的IP地址>二元组进行分组;
对每一分组,按时间排序所述数据包,并根据所述数据包为上行流量或下行流量,将所述分组划分为若干小组;
针对每一分组,构建至少一个图结构,其中,所述图结构中的节点为所述数据包,节点特征为数据包的协议类型,所述图结构中的边包括:同一小组内的相邻节点之间、相邻小组的第一个节点之间和相邻小组的最后一个节点之间;
使用图神经网络计算所述图结构的表征,并基于所述表征进行分类,得到所述图结构的DDoS攻击检测结果;
结合各图结构的DDoS攻击检测结果,获取所述待检测流量的DDoS攻击检测结果。
2.如权利要求1所述的方法,其特征在于,所述针对每一分组,构建至少一个图结构,包括:
设置图结构包含的数据包数量n;
若所述分组中的数据包数量不是所述数据包数量n的倍数,则将不足的数据包丢弃;
基于剩余的数据包,进行图结构构建。
3.如权利要求1所述的方法,其特征在于,所述数据包特征包括:数据包的协议类型特征。
4.如权利要求1所述的方法,其特征在于,所述计算所述图结构的表征,包括:
对于每一节点,聚合邻居节点的第k-1层特征
Figure FDA0003996835880000011
形成消息向量
Figure FDA0003996835880000012
其中,v、u分别表示节点编号,v≠u,k为节点表征的层数;
基于所述消息向量
Figure FDA0003996835880000013
传递与该节点的第k-1层特征
Figure FDA0003996835880000014
得到该节点的第k层特征
Figure FDA0003996835880000015
连接每一节点的各层特征,得到所述图结构的表征。
5.如权利要求1所述的方法,其特征在于,所述基于所述表征进行分类,包括:将所述表征输入一个全连接层。
6.如权利要求5所述的方法,其特征在于,基于交叉熵损失函数,对所述图神经网络与全连接层进行训练。
7.一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1-6中任一所述方法。
8.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行如权利要求1-6中任一所述方法。
CN202210293159.1A 2022-03-23 2022-03-23 基于图神经网络的DDoS攻击检测方法及装置 Active CN114915444B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210293159.1A CN114915444B (zh) 2022-03-23 2022-03-23 基于图神经网络的DDoS攻击检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210293159.1A CN114915444B (zh) 2022-03-23 2022-03-23 基于图神经网络的DDoS攻击检测方法及装置

Publications (2)

Publication Number Publication Date
CN114915444A CN114915444A (zh) 2022-08-16
CN114915444B true CN114915444B (zh) 2023-03-10

Family

ID=82763536

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210293159.1A Active CN114915444B (zh) 2022-03-23 2022-03-23 基于图神经网络的DDoS攻击检测方法及装置

Country Status (1)

Country Link
CN (1) CN114915444B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111079931A (zh) * 2019-12-27 2020-04-28 浙江大学 一种基于图神经网络的状态空间概率性多时间序列预测方法
CN112949748A (zh) * 2021-03-23 2021-06-11 哈尔滨理工大学 基于图神经网络的动态网络异常检测算法模型
CN113360915A (zh) * 2021-06-09 2021-09-07 扬州大学 基于源代码图表示学习的智能合约多漏洞检测方法及系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112491867B (zh) * 2020-11-24 2021-11-12 北京航空航天大学 一种基于会话相似性分析的ssh中间人攻击检测系统
CN112910851B (zh) * 2021-01-16 2021-10-15 中国电子科技集团公司第十五研究所 基于知识图谱的数据包标记溯源装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111079931A (zh) * 2019-12-27 2020-04-28 浙江大学 一种基于图神经网络的状态空间概率性多时间序列预测方法
CN112949748A (zh) * 2021-03-23 2021-06-11 哈尔滨理工大学 基于图神经网络的动态网络异常检测算法模型
CN113360915A (zh) * 2021-06-09 2021-09-07 扬州大学 基于源代码图表示学习的智能合约多漏洞检测方法及系统

Also Published As

Publication number Publication date
CN114915444A (zh) 2022-08-16

Similar Documents

Publication Publication Date Title
WO2021227322A1 (zh) 一种SDN环境DDoS攻击检测防御方法
US10375143B2 (en) Learning indicators of compromise with hierarchical models
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
Nguyen et al. Proactive detection of DDoS attacks utilizing k-NN classifier in an anti-DDoS framework
CN107222491B (zh) 一种基于工业控制网络变种攻击的入侵检测规则创建方法
KR100877911B1 (ko) 네트워크 트래픽 전이 모델을 이용한 피투피 기반 봇넷탐지방법
CN113114694B (zh) 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法
CN110351291B (zh) 基于多尺度卷积神经网络的DDoS攻击检测方法及装置
CN112434298A (zh) 一种基于自编码器集成的网络威胁检测系统
Patcha et al. Network anomaly detection with incomplete audit data
Jose et al. Towards detecting flooding DDOS attacks over software defined networks using machine learning techniques
Lei et al. Detecting malicious domains with behavioral modeling and graph embedding
Trabelsi et al. Dynamic rule and rule‐field optimisation for improving firewall performance and security
CN111709022A (zh) 基于ap聚类与因果关系的混合报警关联方法
CN111131309A (zh) 分布式拒绝服务检测方法、装置及模型创建方法、装置
US11848959B2 (en) Method for detecting and defending DDoS attack in SDN environment
Najafimehr et al. DDoS attacks and machine‐learning‐based detection methods: A survey and taxonomy
Alyasiri et al. Grammatical evolution for detecting cyberattacks in Internet of Things environments
CN114915444B (zh) 基于图神经网络的DDoS攻击检测方法及装置
CN112215300A (zh) 一种基于网络结构增强的图卷积模型防御方法、装置和系统
Yang et al. Botnet detection based on machine learning
CN110650157A (zh) 基于集成学习的Fast-flux域名检测方法
Wang et al. DeepPort: detect low speed port scan using convolutional neural network
CN115086021A (zh) 校园网入侵检测方法、装置、设备及存储介质
Ko et al. Recurrent autonomous autoencoder for intelligent DDoS attack mitigation within the ISP domain

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant