CN114944939B - 网络攻击态势预测模型构建方法、装置、设备及存储介质 - Google Patents
网络攻击态势预测模型构建方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114944939B CN114944939B CN202210446628.9A CN202210446628A CN114944939B CN 114944939 B CN114944939 B CN 114944939B CN 202210446628 A CN202210446628 A CN 202210446628A CN 114944939 B CN114944939 B CN 114944939B
- Authority
- CN
- China
- Prior art keywords
- network
- attack
- model
- representing
- data stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/049—Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种网络攻击态势预测模型构建方法、装置、设备及存储介质,涉及网络技术领域,获取包括流量特征、攻击数据流和正常数据流在内的流量训练集;基于攻击数据流和正常数据流创建邻接矩阵,并基于攻击数据流和流量特征创建特征矩阵;基于邻接矩阵和特征矩阵创建时间图卷积网络模型,时间图卷积网络模型中的GCN模型用于学习攻击数据流中的空间特性,GRU模型用于学习攻击数据流中的时间相关性;基于PSO算法计算出各个IP地址的位置和速度的最优解;基于位置和速度的最优解更新时间图卷积网络模型的惯性权重得到网络攻击态势预测模型。本申请构建的网络攻击态势预测模型可提前预测出网络攻击态势,以实现网络攻击的有效防御。
Description
技术领域
本申请涉及网络技术领域,特别涉及一种网络攻击态势预测模型构建方法、装置、设备及存储介质。
背景技术
众所周知,全球互联网领域蓬勃发展,规模日益扩大。不过,近年来,网络攻击事件也频繁发生,其造成的人力、物力和财力损失也不容忽视。比如,某物联网解决方案提供商遭到勒索病毒入侵,导致内部运行系统受到破坏,以致官网无法访问,且所有的生产基地被迫关闭,造成了严重的影响;再以DoS(Deny of Service,拒绝服务)攻击为例,2018年最大的攻击持续了329小时,而DDoS攻击的平均成本为每小时2万到4万美元。由此可见,当前网络攻击形势较为严峻,对网络安全维护充满了挑战。
由于攻击者开发了新的和创新的方法来逃避部署的安全系统,因此相关技术中往往会采用网络攻击防护手段来解决该问题,比如防火墙、入侵检测系统和入侵防护系统等,但是当前的防护手段基本都仅对影响网络安全状态的单一因素进行分析处理,导致分析结果较为片面,容易出现漏报和误报等问题,以致无法有效实现网络攻击的防御。
发明内容
本申请提供一种网络攻击态势预测模型构建方法、装置、设备及存储介质,以解决相关技术中无法有效实现网络攻击的防御的问题。
第一方面,提供了一种网络攻击态势预测模型构建方法,包括以下步骤:
获取流量训练集,所述流量训练集包括不同IP地址间存在的多个流量特征、攻击数据流和正常数据流;
基于所述攻击数据流和所述正常数据流创建邻接矩阵,所述邻接矩阵中的顶点为攻击方的IP地址或受害方的IP地址,并基于所述攻击数据流和所述多个流量特征创建特征矩阵;
基于所述邻接矩阵和所述特征矩阵创建时间图卷积网络模型,所述时间图卷积网络模型包括GCN模型和GRU模型,所述GCN模型用于学习攻击数据流中的空间特性,所述GRU模型用于学习攻击数据流中的时间相关性;
基于PSO算法计算出各个IP地址的位置最优解和速度最优解;
基于各个IP地址的位置最优解和速度最优解更新所述时间图卷积网络模型的权重值,得到网络攻击态势预测模型。
一些实施例中,所述基于所述攻击数据流和所述正常数据流创建邻接矩阵,所述邻接矩阵中的顶点为攻击方的IP地址或受害方的IP地址,包括:
将流量训练集中的各个IP地址作为顶点进行构图,得到顶点连接图;
根据两个相邻顶点间的攻击数据流和正常数据流构建对应的邻接矩阵。
一些实施例中,所述GCN模型的计算公式为:
式中,X表示特征矩阵;表示顶点i在第l+1层的流量特征;/>表示顶点i的所有邻居顶点在第l层的流量特征;Cij表示归一化因子;/>表示A+l的自循环;A表示邻接矩阵;表示/>对应的度矩阵;Ni表示顶点i的所有邻居顶点;σ表示非线性变换;W(l)表示第l层的权重;b(l)表示第l层的截距。
一些实施例中,所述GRU模型的计算公式为:
式中,ut表示更新门,用于控制将上一次的状态信息带入当前状态的程度;rt表示复位门,用于控制忽略上一时刻状态信息的程度;ct表示在t时刻存储的内存内容;ht表示t时刻的输出状态;ht-1表示t-1时刻的隐藏状态;σ表示非线性变换;f(A,Xt)表示图卷积过程;A表示邻接矩阵;Xt表示在t时刻的流量特征;Wu、Wr、Wc分别为ut、rt和ct对应的权重;bu、br、bc分别为ut、rt和ct对应的偏差。
一些实施例中,所述PSO算法中的惯性权重ω的计算公式为:
式中,k表示当前迭代次数;Kmax表示最大迭代次数;μ表示曲率调节参数,a和b表示学习因子。
一些实施例中,在所述获取流量训练集的步骤之前,还包括:
基于流量特征提取工具从网络管理服务器处获取多个数据流;
对所述多个数据流进行流量分析,得到多个流量特征、攻击数据流和正常数据流;
分别对所述多个流量特征、攻击数据流和正常数据流进行归一化处理,得到流量训练集。
一些实施例中,所述流量特征包括持续时间、数据包数、字节数、包的长度。
第二方面,提供了一种网络攻击态势预测模型构建装置,包括:
获取单元,其用于获取流量训练集,所述流量训练集包括不同IP地址间存在的多个流量特征、攻击数据流和正常数据流;
处理单元,其用于基于所述攻击数据流和所述正常数据流创建邻接矩阵,所述邻接矩阵中的顶点为攻击方的IP地址或受害方的IP地址,并基于所述攻击数据流和所述多个流量特征创建特征矩阵;
创建单元,其用于基于所述邻接矩阵和所述特征矩阵创建时间图卷积网络模型,所述时间图卷积网络模型包括GCN模型和GRU模型,所述GCN模型用于学习攻击数据流中的空间特性,所述GRU模型用于学习攻击数据流中的时间相关性;
计算单元,其用于基于PSO算法计算出流量训练集中各个IP地址的位置最优解和速度最优解;
构建单元,其用于基于各个IP地址的位置最优解和速度最优解更新所述时间图卷积网络模型的权重值,得到网络攻击态势预测模型。
第三方面,提供了一种网络攻击态势预测模型构建设备,包括:存储器和处理器,所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行,以实现前述的网络攻击态势预测模型构建方法。
第四方面,提供了一种计算机可读存储介质,所述计算机存储介质存储有计算机程序,当所述计算机程序被处理器执行时,以实现前述的网络攻击态势预测模型构建方法。
本申请提供的技术方案带来的有益效果包括:可提前预测出网络攻击态势,实现网络攻击的有效防御。
本申请提供了一种网络攻击态势预测模型构建方法、装置、设备及存储介质,包括获取流量训练集,所述流量训练集包括不同IP地址间存在的多个流量特征、攻击数据流和正常数据流;基于所述攻击数据流和所述正常数据流创建邻接矩阵,所述邻接矩阵中的顶点为攻击方的IP地址或受害方的IP地址,并基于所述攻击数据流和所述多个流量特征创建特征矩阵;基于所述邻接矩阵和所述特征矩阵创建时间图卷积网络模型,所述时间图卷积网络模型包括GCN模型和GRU模型,所述GCN模型用于学习攻击数据流中的空间特性,所述GRU模型用于学习攻击数据流中的时间相关性;基于PSO算法计算出各个IP地址的位置最优解和速度最优解;基于各个IP地址的位置最优解和速度最优解更新所述时间图卷积网络模型的权重值,得到网络攻击态势预测模型。本申请基于图卷积网络和不同IP地址间存在的多个流量特征、攻击数据流以及正常数据流构建了网络攻击态势预测模型,以提前预测出网络攻击态势,提高网络攻击检测的可靠性,进而实现网络攻击的有效防御。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种网络攻击态势预测模型构建方法的流程示意图;
图2为本申请实施例提供的时间图卷积网络模型进行数据处理的流程示意图;
图3为本申请实施例提供的数据流流向的结构示意图;
图4为本申请实施例提供的一种网络攻击态势预测模型构建装置的结构示意图;
图5为本申请实施例提供的一种网络攻击态势预测模型构建设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种网络攻击态势预测模型构建方法、装置、设备及存储介质,其能解决相关技术中无法有效实现网络攻击的防御的问题。
图1是本申请实施例提供的一种网络攻击态势预测模型构建方法,包括以下步骤:
步骤S10:获取流量训练集,所述流量训练集包括不同IP地址间存在的多个流量特征、攻击数据流和正常数据流;其中,所述流量特征包括持续时间、数据包数、字节数、包的长度。
进一步的,在所述获取流量训练集的步骤之前,还包括:
基于流量特征提取工具从网络管理服务器处获取多个数据流;
对所述多个数据流进行流量分析,得到多个流量特征、攻击数据流和正常数据流;
分别对所述多个流量特征、攻击数据流和正常数据流进行归一化处理,得到流量训练集。
示范性的,本实施例中,可以先通过CICFlowMeter等流量特征提取工具获取网络管理服务器里的大量数据流(每条数据流都是从一个IP地址发送至另一个IP地址),并对大量的数据流进行流量分析,不仅可获知各个数据流是攻击数据流(比如DDOS攻击流(Distributed Denial of Service,分布式拒绝服务攻击)、web攻击流(WebAttack)等)还是正常数据流(即信息数据流),并可从每条数据流中的第一个数据包确定出该条数据流的前向(即源到目标)和后向(即目标到源)的方向,且每条数据流内包含了多达八十多个的统计网络流量特征,比如包括持续时间、数据包数、字节数、包的长度等。然后对所述数据进行归一化处理,且将异常数据和问题数据移除,得到流量训练集。
步骤S20:基于所述攻击数据流和所述正常数据流创建邻接矩阵,所述邻接矩阵中的顶点为攻击方的IP地址或受害方的IP地址,并基于所述攻击数据流和所述多个流量特征创建特征矩阵;
进一步的,所述基于所述攻击数据流和所述正常数据流创建邻接矩阵,所述邻接矩阵中的顶点为攻击方的IP地址或受害方的IP地址,包括:
将流量训练集中的各个IP地址作为顶点进行构图,得到顶点连接图;
根据两个相邻顶点间的攻击数据流和正常数据流构建对应的邻接矩阵。
示范性的,本实施例中,将步骤S10收集的数据转化成图数据。具体的,设G=(V,E)是一个具有n个顶点的图,其中,V是顶点,E是边,G的邻接矩阵表示顶点之间相邻关系的矩阵;因此本实施例将每个用户的IP地址作为一个顶点,并通过邻接矩阵表示IP地址之间相邻关系。于是,本实施例根据攻击数据流和正常数据流来确定两个IP地址之间的邻接矩阵,即对攻击方的IP地址以及受害方的IP地址创建邻接矩阵,可用A表示邻接矩阵,即A表示两个IP地址之间的连接。其中,邻接矩阵只包含0和1,因此若两个IP地址之间没有链接,则邻接矩阵中的元素为0,而若两个IP地址之间有链接,则邻接矩阵中的元素为1。比如IP地址R攻击IP地址Q,则IP地址R发送给IP地址Q的数据流为攻击数据流,此时说明IP地址R和IP地址Q之间有链接,因此IP地址R的邻接矩阵中的元素为1。
然后再将步骤S10中的流量特征转换为特征矩阵X。具体的,以某一条数据流是IP地址R发送给IP地址Q的攻击数据流为例,该攻击数据流包括持续时间、数据包数、字节数、包的长度等在内的八十多个流量特征,并为所有流量特征统一设置一个标签,且由于该数据流为攻击数据流,因此该标签被定义为攻击特征;然后根据该标签将所有流量特征转换为一个特征矩阵,即一个特征矩阵中包含了八十多个流量特征以及流量特征对应的标签。因此根据该标签即可知道该特征矩阵中的流量特征的类型(即是攻击特征还是正常特征)。
步骤S30:基于所述邻接矩阵和所述特征矩阵创建时间图卷积网络模型,所述时间图卷积网络模型包括GCN模型和GRU模型,所述GCN模型用于学习攻击数据流中的空间特性,所述GRU模型用于学习攻击数据流中的时间相关性;
进一步的,所述GCN模型的计算公式为:
式中,X表示特征矩阵;表示顶点i在第l+1层的流量特征;/>表示顶点i的所有邻居顶点在第l层的流量特征;Cij表示归一化因子;/>表示A+l的自循环;A表示邻接矩阵;表示/>对应的度矩阵;Ni表示顶点i的所有邻居顶点;σ表示非线性变换;W(l)表示第l层的权重;b(l)表示第l层的截距。
进一步的,所述GRU模型的计算公式为:
式中,ut表示更新门,用于控制将上一次的状态信息带入当前状态的程度;rt表示复位门,用于控制忽略上一时刻状态信息的程度;ct表示在t时刻存储的内存内容;ht表示t时刻的输出状态;ht-1表示t-1时刻的隐藏状态;σ表示非线性变换;f(A,Xt)表示图卷积过程;A表示邻接矩阵;Xt表示在t时刻的流量特征;Wu、Wr、Wc分别为ut、rt和ct对应的权重;bu、br、bc分别为ut、rt和ct对应的偏差。
示范性的,本实施例中,根据邻接矩阵A和特征矩阵X构建GCN(GraphConvolutional Networks,图卷积网络)模型,并在GCN模型的傅里叶域中构造一个过滤器,该滤波器作用于图的顶点上,通过其的一阶邻域捕获顶点之间的空间特征,因此可通过GCN模型从网络攻击数据中学习空间特征。比如根据攻击特征中的最大时间、最小时间、平均时间和标准时间学习出攻击时间(该攻击特征为一个新的流量特征)。
具体的,将特征矩阵和邻接矩阵输入至GCN模型,以进行空间特征的学习。其中,GCN的初始计算公式如下:
Xl+1=σ(AX(l)W(l)+b(l)) (1)
式中,Xl表示第l层存在的流量特征,A邻接矩阵,σ表示非线性变换;W(l)表示第l层的权重;b(l)表示第l层的截距。
对式(1)中的邻接矩阵A进行归一化,具体可以通过度矩阵D来实现:
对归一化运算进行简化,即可得到每个顶点与相邻顶点之间存在如下关系:
式中,Cij表示归一化因子。
则结合式(2)和式(3)可得到GCN模型的最终计算公式为:
式中,表示顶点i在第l+1层的流量特征(该流量特征为学习到的空间特征,比如上一实施例中的攻击时间),/>表示顶点i的所有邻居顶点(包括顶点i自身在内)在第l层的流量特征,Ni表示顶点i的所有邻居顶点(包括顶点i自身在内)。
然后利用GRU(Gate Recurrent Unit,循环神经网络)模型从网络攻击中获取时间相关性,具体的计算公式如下:
式中,ut表示更新门,用于控制将上一次的状态信息带入当前状态的程度;rt表示复位门,用于控制忽略上一时刻状态信息的程度;ct表示在t时刻存储的内存内容;ht表示t时刻的输出状态;ht-1表示t-1时刻的隐藏状态;σ表示非线性变换;f(A,Xt)表示图卷积过程;A表示邻接矩阵;Xt表示在t时刻的流量特征;Wu、Wr、Wc分别为ut、rt和ct对应的权重;bu、br、bc分别为ut、rt和ct对应的偏差。
最后再搭建一个GCN模型,对经过GRU输出的空间特征进行卷积,以获得一个新的空间特征,进而提高模型的准确性,最终形成一个时间图卷积网络模型。简单来说,本实施例创建的时间图卷积网络模型是叠加了两个GCN层和一个GRU层。
以下结合图2对t时刻的时间图卷积网络模型的数据处理流程作进一步解释说明。
基于第一个GCN层对Xt进行图卷积后,得到Xt′;同时将GRU层输出的t-1时刻的隐藏状态ht-1和Xt′输入至GRU层,经过ut、rt和ct作用后,得到Xt″和ht;将ht输入至GRU层以进行下次迭代,同时将Xt″输入至第二个GCN层进行再一次卷积,即可得到预测网络攻击态势
步骤S40:基于PSO算法计算出各个IP地址的位置最优解和速度最优解;
进一步的,所述PSO算法中的惯性权重ω的计算公式为:
式中,k表示当前迭代次数;Kmax表示最大迭代次数;μ表示曲率调节参数,a和b表示学习因子。
示范性的,PSO(Particle Swarm Optimization,基于种群的随机优化技术算法)算法是一种强大的元启发式优化算法,其灵感来自于观察到的自然界中的群体行为,如鱼和鸟的群集,其是对一个简化的社会系统的模拟。粒子群优化算法的初衷是用图形化的方式模拟鸟类优雅但不可预测的舞蹈动作,由于其内存和CPU速度要求很容易达到,因此具有实现和计算成本低的有点,此外,该算法不需要目标函数的上升信息,因此被证明是一种有效的优化方法。近年来,PSO已经成功地应用于一系列问题,如医疗诊断、云安全模型等。因此,本实施例通过PSO算法来优化时间图卷积网络模型的权重(时间图卷积网络模型的初始权重是基于经验值设定的)。
本实施例先始初化PSO算法的参数,构建单个粒子网络和粒子群网络;然后选择合适的空间维度与种群数目,并初始化粒子的位置Zi与速度Vi,且设置迭代次数k和最大迭代次数Kmax以及惯性权重ω、加速因子c1和c2等,最后进行各个粒子的位置和速度的更新,直到求出最优解。
具体的,将n维空间内存在一个含有m个IP地址的种群O=(O1,O2,…,Om),第i个IP地址的速度和位置分别为Vi=(vi1,vi1,…,vin)T、Zi=(zi1,zi1,…,zin)T,然后通过目标函数来评价t时刻IP地址的个体最优位置Pi=(pi1,pi1,…,pin)T和群体的最优位置Pg=(pg1,pg1,…,pgn)T;再通过以下公式对各IP地址的速度和位置进行迭代更新。
式中,ω为惯性权重;d=1,2,…,n;i=1,2,…,m;k为迭代次数;表示第i个IP地址在第k次迭代中第d维的速度;/>表示第i个IP地址在第k次迭代中第d维的位置;/>表示第i个IP地址在第k次迭代中第d维的最优位置;/>表示第g个群体在第k次迭代中第d维的最优位置;/>表示第g个群体在第k次迭代中第d维的位置;加速因子c1和c2为非负常数;r1和r2为[0,1]之间的随机数。
不过,由于所有PSO算法中的粒子都使用统一的惯性权重,其减少了粒子的多样性,该种方法容易过早收敛,以致粒子搜索精度不高,容易陷入局部最优,该缺点会对训练样本产生一定的影响,进而导致入侵检测准确率较低。因此,本实施例对PSO算法进行改进:在迭代的后期减小惯性权重ω,从而提高算法的局部收敛能力。其中,ω的形式如下:
式中,k表示当前迭代次数;Kmax表示最大迭代次数;μ表示曲率调节参数,a和b表示学习因子。
步骤S50:基于各个IP地址的位置最优解和速度最优解更新所述时间图卷积网络模型的权重值,得到网络攻击态势预测模型。
示范性的,本实施例中,在步骤S40获得各个IP地址的位置最优解和速度最优解后,再将各个IP地址的位置最优解和速度最优解输入至步骤S30中创建的时间图卷积网络模型,以重新训练时间图卷积网络模型;并且对时间图卷积网络模型每一次迭代过程中的误差进行计算,然后将误差最小的迭代过程中的权重值作为时间图卷积网络模型的最终权重值,进而得到网络攻击态势预测模型。其中,时间图卷积网络模型的损失函数loss为:
由此可见,本申请实施例基于图卷积网络和不同IP地址间存在的多个流量特征、攻击数据流以及正常数据流构建了网络攻击态势预测模型,以提前预测出网络攻击态势,提高网络攻击检测的可靠性,进而实现网络攻击的有效防御
进一步的,由于传统的各个网络监测设备之间的信息无法互通,以致当面对大规模的网络攻击模式以及未知的多步骤复杂攻击流程时,传统防御手段愈加显得力不从心。而参见图3所示,网络管理服务器获取攻击者发送的攻击流、用户发送的信息流以及服务器发送的信息流,进而形成大量的数据流;本实施例(即网络攻击分析与预测服务器)从网络管理服务器里获取大量数据流,并基于该数据流创建网络攻击态势预测模型,再通过网络攻击态势预测模型预测未来一段时间内的攻击方式等态势,并将预测结果发送到网络管理服务器里,最后由网络管理员在网络管理服务器进行结果分析(比如哪些IP地址会受到攻击等),再将分析结果发送给各个网络监测设备,以增强防御手段。
本实施例通过包含大量攻击流的数据流以及结合经典的基于粒子群优化算法与图卷神经网络来创建网络攻击态势预测模型,提高了网络攻击检测的可靠性,并且能够被用于分析攻击流量以及预测未来攻击方式,通过本实施例获得到的网络攻击态势结果更加科学和准确。
参见图4所示,本申请实施例还提供了一种网络攻击态势预测模型构建装置,包括:
获取单元,其用于获取流量训练集,所述流量训练集包括不同IP地址间存在的多个流量特征、攻击数据流和正常数据流;
处理单元,其用于基于所述攻击数据流和所述正常数据流创建邻接矩阵,所述邻接矩阵中的顶点为攻击方的IP地址或受害方的IP地址,并基于所述攻击数据流和所述多个流量特征创建特征矩阵;
创建单元,其用于基于所述邻接矩阵和所述特征矩阵创建时间图卷积网络模型,所述时间图卷积网络模型包括GCN模型和GRU模型,所述GCN模型用于学习攻击数据流中的空间特性,所述GRU模型用于学习攻击数据流中的时间相关性;
计算单元,其用于基于PSO算法计算出流量训练集中各个IP地址的位置最优解和速度最优解;
构建单元,其用于基于各个IP地址的位置最优解和速度最优解更新所述时间图卷积网络模型的权重值,得到网络攻击态势预测模型。
本申请实施例基于图卷积网络和不同IP地址间存在的多个流量特征、攻击数据流以及正常数据流构建了网络攻击态势预测模型,以提前预测出网络攻击态势,提高网络攻击检测的可靠性,进而实现网络攻击的有效防御。
进一步的,所述处理单元具体用于:
将流量训练集中的各个IP地址作为顶点进行构图,得到顶点连接图;
根据两个相邻顶点间的攻击数据流和正常数据流构建对应的邻接矩阵。
进一步的,所述GCN模型的计算公式为:
式中,X表示特征矩阵;表示顶点i在第l+1层的流量特征;/>表示顶点i的所有邻居顶点在第l层的流量特征;Cij表示归一化因子;/>表示A+l的自循环;A表示邻接矩阵;/>表示/>对应的度矩阵;Ni表示顶点i的所有邻居顶点;σ表示非线性变换;W(l)表示第l层的权重;b(l)表示第l层的截距。
进一步的,所述GRU模型的计算公式为:
式中,ut表示更新门,用于控制将上一次的状态信息带入当前状态的程度;rt表示复位门,用于控制忽略上一时刻状态信息的程度;ct表示在t时刻存储的内存内容;ht表示t时刻的输出状态;ht-1表示t-1时刻的隐藏状态;σ表示非线性变换;f(A,Xt)表示图卷积过程;A表示邻接矩阵;Xt表示在t时刻的流量特征;Wu、Wr、Wc分别为ut、rt和ct对应的权重;bu、br、bc分别为ut、rt和ct对应的偏差。
进一步的,所述PSO算法中的惯性权重ω的计算公式为:
式中,k表示当前迭代次数;Kmax表示最大迭代次数;μ表示曲率调节参数,a和b表示学习因子。
进一步的,所示获取单元还用于:
基于流量特征提取工具从网络管理服务器处获取多个数据流;
对所述多个数据流进行流量分析,得到多个流量特征、攻击数据流和正常数据流;
分别对所述多个流量特征、攻击数据流和正常数据流进行归一化处理,得到流量训练集。
进一步的,所述流量特征包括持续时间、数据包数、字节数、包的长度。
需要说明的是,所属本领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的装置和各单元的具体工作过程,可以参考前述网络攻击态势预测模型构建方法实施例中的对应过程,在此不再赘述。
上述实施例提供的装置可以实现为一种计算机程序的形式,该计算机程序可以在如图5所示的网络攻击态势预测模型构建设备上运行。
本申请实施例还提供了一种网络攻击态势预测模型构建设备,包括:通过系统总线连接的存储器、处理器和网络接口,存储器中存储有至少一条指令,至少一条指令由处理器加载并执行,以实现前述的网络攻击态势预测模型构建方法的全部步骤或部分步骤。
其中,网络接口用于进行网络通信,如发送分配的任务等。本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
处理器可以是CPU,还可以是其他通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程逻辑门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件分立硬件组件等。通用处理器可以是微处理器,或者该处理器也可以是任何常规的处理器等,处理器是计算机装置的控制中心,利用各种接口和线路连接整个计算机装置的各个部分。
存储器可用于存储计算机程序和/或模块,处理器通过运行或执行存储在存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现计算机装置的各种功能。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如视频播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如视频数据、图像数据等)等。此外,存储器可以包括高速随存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘、智能存储卡(SmartMedia Card,SMC)、安全数字(Secure digital,SD)卡、闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件或其他易失性固态存储器件。
本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时,实现前述的网络攻击态势预测模型构建方法的全部步骤或部分步骤。
本申请实施例实现前述的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法的步骤。其中,计算机程序包括计算机程序代码,计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括:能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(Read-Only memory,ROM)、随机存取存储器(Random Accessmemory,RAM)、电载波信号、电信信号以及软件分发介质等。需要说明的是,计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、服务器或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
以上所述仅是本申请的具体实施方式,使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种网络攻击态势预测模型构建方法,其特征在于,包括以下步骤:
获取流量训练集,所述流量训练集包括不同IP地址间存在的多个流量特征、攻击数据流和正常数据流;
基于所述攻击数据流和所述正常数据流创建邻接矩阵,所述邻接矩阵中的顶点为攻击方的IP地址或受害方的IP地址,并基于所述攻击数据流和所述多个流量特征创建特征矩阵;
基于所述邻接矩阵和所述特征矩阵创建时间图卷积网络模型,所述时间图卷积网络模型包括图卷积网络GCN模型和循环神经网络GRU模型,所述GCN模型用于学习攻击数据流中的空间特性,所述GRU模型用于学习攻击数据流中的时间相关性;
基于粒子群优化算法PSO计算出各个IP地址的位置最优解和速度最优解;
基于各个IP地址的位置最优解和速度最优解更新所述时间图卷积网络模型的权重值,得到网络攻击态势预测模型;
其中,所述GCN模型的计算公式为:
式中,X表示特征矩阵;表示顶点i在第l+1层的流量特征;/>表示顶点i的所有邻居顶点在第l层的流量特征;Cij表示归一化因子;/>表示A+l的自循环;A表示邻接矩阵;/>表示/>对应的度矩阵;Ni表示顶点i的所有邻居顶点;σ表示非线性变换;W(l)表示第l层的权重;b(l)表示第l层的截距;
所述GRU模型的计算公式为:
式中,ut表示更新门,用于控制将上一次的状态信息带入当前状态的程度;rt表示复位门,用于控制忽略上一时刻状态信息的程度;ct表示在t时刻存储的内存内容;ht表示t时刻的输出状态;ht-1表示t-1时刻的隐藏状态;σ表示非线性变换;f(A,Xt)表示图卷积过程;A表示邻接矩阵;Xt表示在t时刻的流量特征;Wu、Wr、Wc分别为ut、rt和ct对应的权重;bu、br、bc分别为ut、rt和ct对应的偏差。
2.如权利要求1所述的网络攻击态势预测模型构建方法,其特征在于,所述基于所述攻击数据流和所述正常数据流创建邻接矩阵,所述邻接矩阵中的顶点为攻击方的IP地址或受害方的IP地址,包括:
将流量训练集中的各个IP地址作为顶点进行构图,得到顶点连接图;
根据两个相邻顶点间的攻击数据流和正常数据流构建对应的邻接矩阵。
4.如权利要求1所述的网络攻击态势预测模型构建方法,其特征在于,在所述获取流量训练集的步骤之前,还包括:
基于流量特征提取工具从网络管理服务器处获取多个数据流;
对所述多个数据流进行流量分析,得到多个流量特征、攻击数据流和正常数据流;
分别对所述多个流量特征、攻击数据流和正常数据流进行归一化处理,得到流量训练集。
5.如权利要求1所述的网络攻击态势预测模型构建方法,其特征在于:所述流量特征包括持续时间、数据包数、字节数或包的长度。
6.一种网络攻击态势预测模型构建装置,其特征在于,包括:
获取单元,其用于获取流量训练集,所述流量训练集包括不同IP地址间存在的多个流量特征、攻击数据流和正常数据流;
处理单元,其用于基于所述攻击数据流和所述正常数据流创建邻接矩阵,所述邻接矩阵中的顶点为攻击方的IP地址或受害方的IP地址,并基于所述攻击数据流和所述多个流量特征创建特征矩阵;
创建单元,其用于基于所述邻接矩阵和所述特征矩阵创建时间图卷积网络模型,所述时间图卷积网络模型包括图卷积网络GCN模型和循环神经网络GRU模型,所述GCN模型用于学习攻击数据流中的空间特性,所述GRU模型用于学习攻击数据流中的时间相关性;
计算单元,其用于基于粒子群优化算法PSO计算出流量训练集中各个IP地址的位置最优解和速度最优解;
构建单元,其用于基于各个IP地址的位置最优解和速度最优解更新所述时间图卷积网络模型的权重值,得到网络攻击态势预测模型;
其中,所述GCN模型的计算公式为:
式中,X表示特征矩阵;表示顶点i在第l+1层的流量特征;/>表示顶点i的所有邻居顶点在第l层的流量特征;Cij表示归一化因子;/>表示A+l的自循环;A表示邻接矩阵;/>表示/>对应的度矩阵;Ni表示顶点i的所有邻居顶点;σ表示非线性变换;W(l)表示第l层的权重;b(l)表示第l层的截距;
所述GRU模型的计算公式为:
式中,ut表示更新门,用于控制将上一次的状态信息带入当前状态的程度;rt表示复位门,用于控制忽略上一时刻状态信息的程度;ct表示在t时刻存储的内存内容;ht表示t时刻的输出状态;ht-1表示t-1时刻的隐藏状态;σ表示非线性变换;f(A,Xt)表示图卷积过程;A表示邻接矩阵;Xt表示在t时刻的流量特征;Wu、Wr、Wc分别为ut、rt和ct对应的权重;bu、br、bc分别为ut、rt和ct对应的偏差。
7.一种网络攻击态势预测模型构建设备,其特征在于,包括:存储器和处理器,所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行,以实现权利要求1至5中任一项所述的网络攻击态势预测模型构建方法。
8.一种计算机可读存储介质,其特征在于:所述计算机存储介质存储有计算机程序,当所述计算机程序被处理器执行时,以实现权利要求1至5中任一项所述的网络攻击态势预测模型构建方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210446628.9A CN114944939B (zh) | 2022-04-26 | 2022-04-26 | 网络攻击态势预测模型构建方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210446628.9A CN114944939B (zh) | 2022-04-26 | 2022-04-26 | 网络攻击态势预测模型构建方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114944939A CN114944939A (zh) | 2022-08-26 |
CN114944939B true CN114944939B (zh) | 2023-07-04 |
Family
ID=82907301
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210446628.9A Active CN114944939B (zh) | 2022-04-26 | 2022-04-26 | 网络攻击态势预测模型构建方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114944939B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115277258B (zh) * | 2022-09-27 | 2022-12-20 | 广东财经大学 | 一种基于时空特征融合的网络攻击检测方法和系统 |
CN117499158B (zh) * | 2023-12-25 | 2024-04-16 | 天地信息网络研究院(安徽)有限公司 | 一种基于多攻击者联合或非联合攻击的主动防御方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112350899A (zh) * | 2021-01-07 | 2021-02-09 | 南京信息工程大学 | 一种基于图卷积网络融合多特征输入的网络流量预测方法 |
CN113794695A (zh) * | 2021-08-26 | 2021-12-14 | 浙江工业大学 | 一种基于gru的网络异常流量检测识别方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10313379B1 (en) * | 2017-06-09 | 2019-06-04 | Symantec Corporation | Systems and methods for making security-related predictions |
CN112491796B (zh) * | 2020-10-28 | 2022-11-04 | 北京工业大学 | 一种基于卷积神经网络的入侵检测及语义决策树量化解释方法 |
CN113630379A (zh) * | 2021-06-30 | 2021-11-09 | 济南浪潮数据技术有限公司 | 一种网络安全态势预测方法、装置、设备及存储介质 |
CN114021140B (zh) * | 2021-10-20 | 2022-10-21 | 深圳融安网络科技有限公司 | 网络安全态势的预测方法、装置及计算机可读存储介质 |
CN114037145B (zh) * | 2021-11-05 | 2022-10-28 | 河北师范大学 | 一种网络安全态势预测方法及系统 |
-
2022
- 2022-04-26 CN CN202210446628.9A patent/CN114944939B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112350899A (zh) * | 2021-01-07 | 2021-02-09 | 南京信息工程大学 | 一种基于图卷积网络融合多特征输入的网络流量预测方法 |
CN113794695A (zh) * | 2021-08-26 | 2021-12-14 | 浙江工业大学 | 一种基于gru的网络异常流量检测识别方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114944939A (zh) | 2022-08-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114944939B (zh) | 网络攻击态势预测模型构建方法、装置、设备及存储介质 | |
de Assis et al. | Near real-time security system applied to SDN environments in IoT networks using convolutional neural network | |
Khammassi et al. | A NSGA2-LR wrapper approach for feature selection in network intrusion detection | |
Arivudainambi et al. | LION IDS: A meta-heuristics approach to detect DDoS attacks against Software-Defined Networks | |
Velliangiri et al. | Fuzzy-Taylor-elephant herd optimization inspired Deep Belief Network for DDoS attack detection and comparison with state-of-the-arts algorithms | |
CN111783442A (zh) | 入侵检测方法、设备和服务器、存储介质 | |
Dias et al. | Using artificial neural network in intrusion detection systems to computer networks | |
CN113992349B (zh) | 恶意流量识别方法、装置、设备和存储介质 | |
Abbass et al. | Classifying IoT security risks using deep learning algorithms | |
CN114863226A (zh) | 一种网络物理系统入侵检测方法 | |
CN116347492A (zh) | 5g切片流量异常检测方法、装置、计算机设备及存储介质 | |
CN110958263A (zh) | 网络攻击检测方法、装置、设备及存储介质 | |
Ghalehgolabi et al. | Intrusion detection system using genetic algorithm and data mining techniques based on the reduction | |
CN115580430A (zh) | 一种基于深度强化学习的攻击树蜜罐部署防御方法与装置 | |
CN113822355A (zh) | 基于改进的隐马尔可夫模型的复合攻击预测方法及装置 | |
Muhati et al. | Asynchronous advantage actor-critic (a3c) learning for cognitive network security | |
Cui et al. | More realistic website fingerprinting using deep learning | |
Zulhilmi et al. | A comparison of three machine learning algorithms in the classification of network intrusion | |
Vijayalakshmi et al. | Hybrid dual-channel convolution neural network (DCCNN) with spider monkey optimization (SMO) for cyber security threats detection in internet of things | |
CN113489744A (zh) | 一种基于霍克斯多元过程建模的物联网攻击模式识别方法 | |
Tekleselassie | A deep learning approach for DDoS attack detection using supervised learning | |
Dahiya | Hybrid classifier strategy with tuned training weights for distributed denial of service attack detection | |
Kozlowski et al. | A New Method of Testing Machine Learning Models of Detection for Targeted DDoS Attacks. | |
Pandithurai et al. | DDoS attack prediction using a honey badger optimization algorithm based feature selection and Bi-LSTM in cloud environment | |
Babu et al. | Improved Monarchy Butterfly Optimization Algorithm (IMBO): Intrusion Detection Using Mapreduce Framework Based Optimized ANU-Net. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |