CN115865458B

CN115865458B - 基于lstm和gat算法的网络攻击行为检测方法、系统及终端

Info

Publication number: CN115865458B
Application number: CN202211491384.2A
Authority: CN
Inventors: 曲延盛; 陈剑飞; 王云霄; 盛华; 刘子函; 赵丽娜; 李明; 黄华; 程兴防; 张婕
Original assignee: State Grid Corp of China SGCC; Information and Telecommunication Branch of State Grid Shandong Electric Power Co Ltd
Current assignee: State Grid Corp of China SGCC; Information and Telecommunication Branch of State Grid Shandong Electric Power Co Ltd
Priority date: 2022-11-25
Filing date: 2022-11-25
Publication date: 2024-04-02
Anticipated expiration: 2042-11-25
Also published as: CN115865458A

Abstract

本申请公开了一种基于LSTM和GAT算法的网络攻击行为检测方法、系统及终端，该方法包括：基于待检测的网络攻击行为序列，生成嵌入向量集合；将每个嵌入向量分别输入LSTM模块和GAT模块，分别获取序列模式向量和结构模式向量；对序列模式向量和结构模式向量进行对比学习，获取对比损失得分；将序列模式向量和结构模式向量输入多层感知机，获取预测损失得分；根据对比损失得分和预测损失得分，利用混合损失训练数据增强编码器和分类器，获取网络攻击行为检测结果。该系统包括：嵌入向量集合生成模块、双视角信息捕获模块、对比学习模块、多层感知模块和联合优化模块。通过本申请，能够有效提高网络攻击行为检测结果的准确性和可靠性。

Description

基于LSTM和GAT算法的网络攻击行为检测方法、系统及终端

技术领域

本申请涉及计算机网络安全技术领域，特别是涉及一种基于LSTM(Long Short-Term Memory，长短期记忆，时间序列预测模型)和GAT(Graph Attention Network，图神经网络)算法的网络攻击行为检测方法、系统及终端。

背景技术

随着通信技术和计算机技术的发展，网络环境越来越开放，标准化的软硬件设施越来越多样化，同时，互联网环境中的网络攻击行为也越来越多，这些网络攻击行为极有可能穿透信息系统和物理系统的边界，将网络系统置于危险境地。因此，如何对网络攻击行为进行检测，从而及时发现并阻止网络攻击行为，是个重要的技术问题。

对网络攻击行为进行检测的传统方法，通常是误用检测，也就是基于签名的入侵检测。具体地，该检测方法基于已知特征和模式的知识来检测网络攻击，这些特征和模型即为签名。最后，通过将这些签名与新检测到的网络流量进行比较来检攻击行为。

然而，目前对网络攻击行为进行检测的方法中，由于主要是针对已知攻击的已知特征和模式来进行检测，针对未知攻击是无法检测到的，而实际网络攻击行为中既包括已知攻击也包括未知攻击，因此，目前对网络攻击行为进行检测的方法，使得检测结果的准确性和可靠性不够高。

发明内容

本申请提供了一种基于LSTM和GAT算法的网络攻击行为检测方法、系统及终端，以解决现有技术中的网络攻击行为检测结果的准确性和可靠性不够高的问题。

为了解决上述技术问题，本申请实施例公开了如下技术方案：

一种基于LSTM和GAT算法的网络攻击行为检测方法，所述方法包括：

基于待检测的网络攻击行为序列，生成嵌入向量集合，所述嵌入向量集合中的每个嵌入向量可被LSTM模块和GAT模块识别，且任一嵌入向量与一个网络攻击行为指令相匹配；

将每个嵌入向量分别输入LSTM模块和GAT模块，分别获取序列模式向量和结构模式向量，所述LSTM模块用于获取任一网络攻击行为的上下文关系，所述GAT模块用于获取任一网络攻击行为指令与其他所有网络攻击行为指令的相关性得分；

对所述序列模式向量和结构模式向量进行对比学习，获取对比损失得分；

将所述序列模式向量和结构模式向量输入多层感知机，获取预测损失得分；

根据所述对比损失得分和预测损失得分，利用混合损失训练数据增强编码器和分类器，获取网络攻击行为检测结果。

可选地，所述基于待检测的网络攻击行为序列，生成嵌入向量集合，包括：

获取待检测的网络攻击行为序列，所述网络攻击行为序列中包含多个网络攻击行为指令；

通过编码，将网络攻击行为序列中的每个网络攻击行为指令转化为数值类型的网络攻击行为指令；

将所述数值类型的网络攻击行为指令嵌入到一维向量中。

可选地，对所述序列模式向量和结构模式向量进行对比学习，获取对比损失得分的方法，包括：

对比序列模式向量和结构模式向量之间原有空间分布的实际距离，获取对比结果；

根据所述对比结果，采用余弦相似度的方法，计算得出对比损失得分。

可选地，所述混合损失包括：编码对比损失和标签分类损失。

一种基于LSTM和GAT算法的网络攻击行为检测系统，所述系统包括：

嵌入向量集合生成模块，用于基于待检测的网络攻击行为序列，生成嵌入向量集合，所述嵌入向量集合中的每个嵌入向量可被LSTM模块和GAT模块识别，且任一嵌入向量与一个网络攻击行为指令相匹配；

双视角信息捕获模块，用于将每个嵌入向量分别输入LSTM模块和GAT模块，分别获取序列模式向量和结构模式向量，所述LSTM模块用于获取任一网络攻击行为的上下文关系，所述GAT模块用于获取任一网络攻击行为指令与其他所有网络攻击行为指令的相关性得分；

对比学习模块，用于对所述序列模式向量和结构模式向量进行对比学习，获取对比损失得分；

多层感知模块，用于将所述序列模式向量和结构模式向量输入多层感知机，获取预测损失得分；

联合优化模块，用于根据所述对比损失得分和预测损失得分，利用混合损失训练数据增强编码器和分类器，获取网络攻击行为检测结果。

可选地，所述嵌入向量集合生成模块包括：

数据采集单元，用于获取待检测的网络攻击行为序列，所述网络攻击行为序列中包含多个网络攻击行为指令；

编码单元，用于通过编码，将网络攻击行为序列中的每个网络攻击行为指令转化为数值类型的网络攻击行为指令；

嵌入单元，用于将所述数值类型的网络攻击行为指令嵌入到一维向量中。

可选地，所述对比学习模块包括：

实际距离对比单元，用于对比序列模式向量和结构模式向量之间原有空间分布的实际距离，获取对比结果；

对比损失得分计算单元，用于根据所述对比结果，采用余弦相似度的方法，计算得出对比损失得分。

一种终端，所述终端包括：处理器以及与所述处理器通信连接的存储器，其中，

所述存储器中存储有可被所述处理器执行的指令，所述指令被所述处理器执行，以使所述处理器能够如上任意一项所述的基于LSTM和GAT算法的网络攻击行为检测方法。

本申请的实施例提供的技术方案可以包括以下有益效果：

本申请提供一种基于LSTM和GAT算法的网络攻击行为检测方法，该方法首先基于待检测的网络攻击行为序列，生成嵌入向量集合，其次将每个嵌入向量分别输入LSTM模块和GAT模块，分别获取序列模式向量和结构模式向量，然后对序列模式向量和结构模式向量进行对比学习，获取对比损失得分，同时将序列模式向量和结构模式向量输入多层感知机，获取预测损失得分，最后根据对比损失得分和预测损失得分，利用混合损失训练数据增强编码器和分类器，获取网络攻击行为检测结果。

本实施例利用LSTM模块和GAT模块，分别从序列模式和图模式双视角进行网络攻击行为检测，通过序列模式的LSTM模块能够获取到任一攻击行为的上下文关系，通过图模式的GAT模块，能够获取到任一行为指令与其他所有行为指令的关联得分，最后将两种信息结合，从而获取更高层次的标识向量，这种方法使得本实施例中对网络攻击行为的检测结果更加准确和可靠。

另外，本实施例中获取序列模式向量和结构模式向量后，分别基于这两个向量进行对比学习和输入多层感知机，分别获取到对比损失得分和预测损失得分，最后采用联合优化的方法获取最终的网络攻击行为检测结果，基于对比损失得分，能够更好地学习整个攻击行为序列的数据分布，基于预测损失得分，能够更好地优化攻击行为检测的准确度，这种联合优化的方法能够充分结合两种损失得分进一步提高网络攻击行为检测结果的准确性和可靠性。

本申请还提供一种基于LSTM和GAT算法的网络攻击行为检测系统，该系统主要包括：嵌入向量集合生成模块、双视角信息捕获模块、对比学习模块、多层感知模块和联合优化模块。通过双视角信息捕获模块，能够充分利用LSTM模块和GAT模块分别获取序列模式向量和结构模式向量，从序列模式和图模式两个视角捕获攻击行为，以获取更高层次的向量表示，从而有效提高网络攻击行为检测结果的准确性和可靠性。对比学习模块、多层感知模块和联合优化模块的设置，能够对序列模式向量和结构模式向量进行对比学习和输入多层感知机，分别获取到对比损失得分和预测损失得分，有利于更好地学习整个攻击行为序列的数据分布以及优化攻击行为检测的准确度，从而大大提高网络攻击行为检测结果的准确性和可靠性。

本申请还提供一种终端，该终端也具有如上基于LSTM和GAT算法的网络攻击行为检测方法和系统相应的技术效果，在此不再赘述。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例所提供的一种基于LSTM和GAT算法的网络攻击行为检测方法的流程示意图；

图2为本申请实施例所提供的一种基于LSTM和GAT算法的网络攻击行为检测系统的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请中的技术方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

为了更好地理解本申请，下面结合附图来详细解释本申请的实施方式。

实施例一

参见图1，图1为本申请实施例所提供的一种基于LSTM和GAT算法的网络攻击行为检测方法的流程示意图。

由图1可知，本实施例中基于LSTM和GAT算法的网络攻击行为检测方法，主要包括如下过程：

S1：基于待检测的网络攻击行为序列，生成嵌入向量集合，嵌入向量集合中的每个嵌入向量可被LSTM模块和GAT模块识别，且任一嵌入向量与一个网络攻击行为指令相匹配。

具体地，步骤S1包括如下过程：

S11：获取待检测的网络攻击行为序列，网络攻击行为序列中包含多个网络攻击行为指令。

每个网络攻击行为序列也称为一个指令块，其长度为100，即一个网络攻击行为序列包含100条行为指令。

S12：通过编码，将网络攻击行为序列中的每个网络攻击行为指令转化为数值类型的网络攻击行为指令。

S13：将数值类型的网络攻击行为指令嵌入到一维向量中。

由以上步骤S11-S13可知，首先对网络攻击行为序列进行采集，将100个行为指令当作一个行为序列，即一个网络攻击行为序列包含多个网络攻击行为指令。然后将待检测的网络攻击行为序列处理为LSTM模型和GAT模型所需的输入格式。也就是每个序列中的行为指令将被编码成数值类型，然后将行为指令嵌入到一维向量中。多个行为指令嵌入后的行为序列可表示为其中/>D为每个行为指令的嵌入向量的维度。

S2：将每个嵌入向量分别输入LSTM模块和GAT模块，分别获取序列模式向量和结构模式向量。其中，LSTM模块用于获取任一网络攻击行为的上下文关系，GAT模块用于获取任一网络攻击行为指令与其他所有网络攻击行为指令的相关性得分。

具体地，为挖掘网络攻击行为序列中的拓扑信息，首先将序列构建成图的形式，在没有任何先验的情况下获取指令节点之间的相关性。可以将N个节点视为一个完整的图，即{v₁,v₂,…v_N}，其中v_i是每个节点的特征向量，每条边表示两个指令之间的关系。通过图注意力操作捕捉一个节点与所有相邻节点之间的关系。

经过GAT模块后每个节点的输出表示如下：

其中，v_j是每个节点的特征向量，h_i表示节点i的输出表示。σ代表sigmod激活函数，α_ij是注意力互相关得分，代表着节点j对节点i的贡献。j是与节点i相邻的其他节点，N表示与节点i相邻的节点数。其中α_ij通过以下公式计算：

其中，α_ij是注意力得分，e_ij为注意力系数，α_ij由e_ij归一化后得到。代表两个节点向量的拼接操作，/>是与特征相乘的权重矩阵，其中D是每个节点的嵌入维度，LeakyReLU是非线性激活函数。图注意力模块最后经过MLP层输出一个形状为N×D的表示向量z_grp，即结构模式向量。

本实施例采用LSTM模块进行时间序列数据的特征提取，能够有效解决梯度消失问题，从而进一步提高网络攻击行为检测的准确性和可靠性。

LSTM的细胞单元具有三个门，分别是Input Gate，Forget Gate，Output Gate。输入门用来控制信息输入，遗忘门用来控制细胞历史状态信息的保留，输出门用来控制信息输出。激活函数使得遗忘门的输出值在[0,1]之间，当遗忘门输出为0的时候，表示将上一状态的信息全部丢弃；为1的时候，表示上一状态的信息全部保留，LSTM公式如下所示：

i_t＝σ(W_xix_t+W_hih_t-1+W_cic_t-1+b_i) (3)

f_t＝σ(W_xfx_t+W_hfh_t-1+W_cfc_t-1+b_f) (4)

c_t＝f_tc_t-1+i_ttanh (W_xcx_t+W_hch_t-1+b_c) (5)

o_t＝σ(W_xox_t+W_hoh_t-1+W_coc_t+b_o) (6)

h_t＝o_ttanh (c_t) (7)

其中：x_t为输入向量，h_t为输出向量，i_t为输入门的输出，f_t为遗忘门的输出，c_t为当前时刻t的细胞单元状态，o_t为输出门的输出，W_xi，W_hi，W_ci，W_xf，W_hf，W_cf，W_xc，W_hc，W_xo，W_ho，W_co分别为相应门、输入x_t、记忆细胞c_t-1以及中间输出h_t-1相乘的矩阵权重；b_i，b_f，b_c，b_o分别为相应门的偏置。多个时间步输出向量对应为[h₁,h₂…h_L]，类似的，将输出向量序列相加，得到序列的最终表示向量z_seq，即序列模式向量。

通过将每个嵌入向量分别输入LSTM模块和GAT模块，本实施例能够从多个视角捕获攻击行为序列的潜在特征。从图模式的角度，采用本方法可以得到一个行为指令与所有其他行为指令的相关性得分；从序列模式的角度，可以获得攻击行为的序列信息，最后将这两种信息结合起来得到一个更高层次的表示向量。这种方法能够有效提高网络攻击行为检测结果的准确性和可靠性。

S3：对序列模式向量和结构模式向量进行对比学习，获取对比损失得分。

具体地，步骤S3包括如下过程：

S31：对比序列模式向量和结构模式向量之间原有空间分布的实际距离，获取对比结果。

S32：根据对比结果，采用余弦相似度的方法，计算得出对比损失得分。

由以上步骤S31和S32可知，对序列模式向量和结构模式向量两种不同表示向量进行对比学习，得到对比损失。

z_grp和z_seq分别代表任一指令块经过GAT层和LSTM层提取特征之后，再通过MLP层的两个输出。本实施例中损失函数可以采用InfoNCEloss，在损失函数中，为了简化表示，将z_grp和z_seq分别用z_i和z_j代替，定义如下：

其中，N代表的是一个batch的样本数，即对于一个batch的N个指令块，通过数据增强的得到N对样本，对于一个给定的正样本对，剩下的2(N-1)个样本都是负样本，也就是负样本都基于这个batch的数据生成。1_[k≠i]输入0或1，当k不等于i时，结果就为1否则为0。score(…)函数用来衡量正负样本的相似度。其原理采用了cosin余弦相似度等。

本实施例中损失函数的计算方法，能够更加准确高效地获取对比损失得分，从而能够更好地学习整个攻击行为序列的数据分布，进而提高网络攻击行为检测结果的准确性。

S4：将序列模式向量和结构模式向量输入多层感知机，获取预测损失得分。

本实施例中预测损失函数采用交叉熵损失函数:

其中，y_i表示行为序列i的label，正常为0，异常为1，p_i表示预测结果为正常的概率。在训练过程中，两个模块的参数同时更新。损失函数定义为两个优化目标之和，即

Loss_total＝Loss_pre+βLoss_cl (10)

其中，Loss_for表示基于预测的模型的损失函数，Loss_cl表示基于对比学习模型的损失函数，β为超参数。

继续参见图1可知，获取到对比损失得分和预测损失得分之后，执行步骤S5：根据对比损失得分和预测损失得分，利用混合损失训练数据增强编码器和分类器，获取网络攻击行为检测结果。

其中，混合损失包括：编码对比损失和标签分类损失。

本实施例使用混合损失来训练数据增强编码器和分类器。通过式(10)中超参数β，来控制编码对比损失和标签分类损失之间的相对权重。Loss_total背后的动机是Loss_cl鼓励实例级的类内紧凑性和类间可分离性，而Loss_for确保类的可区分性。编码器和分类器可以根据损失Loss_total通过反向传播进行端到端更新。最后基于得到损失值Loss_total，采用Adam优化器对模型参数进行优化。将向量表示z_grp和z_seq做相加之后接一个多感知机作为预测模型，利用该预测模型获取网络攻击行为检测结果。

对本实施例中基于LSTM和GAT算法的网络攻击行为检测方法的运行效果进行验证。将攻击行为序列数据集按照8:1:1的比例划分为训练集、验证集和测试集，其中训练集用来进行模型训练，验证集用来进行超参数确定，测试集用来验证模型性能，所获取的实验结果如表1所示。

表1模型在SEA数据集上的评价指标比较结果(％)

由表1可知，采用本实施例中基于LSTM和GAT算法的网络攻击行为检测方法，能够有效提高检测结果的准确性和可靠性。

实施例二

在图1所示实施例的基础上参见图2，图2为本申请实施例所提供的一种基于LSTM和GAT算法的网络攻击行为检测系统的结构示意图。由图2可知，本实施例中基于LSTM和GAT算法的网络攻击行为检测系统，主要包括：嵌入向量集合生成模块、双视角信息捕获模块、对比学习模块、多层感知模块和联合优化模块。

其中，嵌入向量集合生成模块，用于基于待检测的网络攻击行为序列，生成嵌入向量集合，嵌入向量集合中的每个嵌入向量可被LSTM模块和GAT模块识别，且任一嵌入向量与一个网络攻击行为指令相匹配；双视角信息捕获模块，用于将每个嵌入向量分别输入LSTM模块和GAT模块，分别获取序列模式向量和结构模式向量，LSTM模块用于获取任一网络攻击行为的上下文关系，GAT模块用于获取任一网络攻击行为指令与其他所有网络攻击行为指令的相关性得分；对比学习模块，用于对序列模式向量和结构模式向量进行对比学习，获取对比损失得分；多层感知模块，用于将序列模式向量和结构模式向量输入多层感知机，获取预测损失得分；联合优化模块，用于根据对比损失得分和预测损失得分，利用混合损失训练数据增强编码器和分类器，获取网络攻击行为检测结果。

进一步地，嵌入向量集合生成模块包括：数据采集单元、编码单元和嵌入单元。其中，数据采集单元，用于获取待检测的网络攻击行为序列，网络攻击行为序列中包含多个网络攻击行为指令；编码单元，用于通过编码，将网络攻击行为序列中的每个网络攻击行为指令转化为数值类型的网络攻击行为指令；嵌入单元，用于将数值类型的网络攻击行为指令嵌入到一维向量中。

对比学习模块包括：实际距离对比单元和对比损失得分计算单元。其中，实际距离对比单元，用于对比序列模式向量和结构模式向量之间原有空间分布的实际距离，获取对比结果；对比损失得分计算单元，用于根据对比结果，采用余弦相似度的方法，计算得出对比损失得分。

该实施例中基于LSTM和GAT算法的网络攻击行为检测系统的工作原理和工作方法，在图1所述的实施例中已经详细阐述，在此不再赘述。

实施例三

本申请还提供一种终端，该终端包括：处理器以及与处理器通信连接的存储器，其中，存储器中存储有可被处理器执行的指令，指令被处理器执行，以使处理器能够执行如上基于LSTM和GAT算法的网络攻击行为检测方法。

处理器所执行的基于LSTM和GAT算法的网络攻击行为检测方法如下：

1)基于待检测的网络攻击行为序列，生成嵌入向量集合，嵌入向量集合中的每个嵌入向量可被LSTM模块和GAT模块识别，且任一嵌入向量与一个网络攻击行为指令相匹配；

2)将每个嵌入向量分别输入LSTM模块和GAT模块，分别获取序列模式向量和结构模式向量，LSTM模块用于获取任一网络攻击行为的上下文关系，GAT模块用于获取任一网络攻击行为指令与其他所有网络攻击行为指令的相关性得分；

3)对序列模式向量和结构模式向量进行对比学习，获取对比损失得分；

4)将序列模式向量和结构模式向量输入多层感知机，获取预测损失得分；

5)根据对比损失得分和预测损失得分，利用混合损失训练数据增强编码器和分类器，获取网络攻击行为检测结果。

以上方法的具体执行步骤和原理，可以参见图1所示的实施例一和图2所示的实施例二，在此不再赘述。

以上所述仅是本申请的具体实施方式，使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

1.一种基于LSTM和GAT算法的网络攻击行为检测方法，其特征在于，所述方法包括：

2.根据权利要求1所述的一种基于LSTM和GAT算法的网络攻击行为检测方法，其特征在于，所述基于待检测的网络攻击行为序列，生成嵌入向量集合，包括：

将所述数值类型的网络攻击行为指令嵌入到一维向量中。

3.根据权利要求1所述的一种基于LSTM和GAT算法的网络攻击行为检测方法，其特征在于，对所述序列模式向量和结构模式向量进行对比学习，获取对比损失得分的方法，包括：

4.根据权利要求1所述的一种基于LSTM和GAT算法的网络攻击行为检测方法，其特征在于，所述混合损失包括：编码对比损失和标签分类损失。

5.一种基于LSTM和GAT算法的网络攻击行为检测系统，其特征在于，所述系统包括：

6.根据权利要求5所述的一种基于LSTM和GAT算法的网络攻击行为检测系统，其特征在于，所述嵌入向量集合生成模块包括：

7.根据权利要求5所述的一种基于LSTM和GAT算法的网络攻击行为检测系统，其特征在于，所述对比学习模块包括：

8.一种终端，其特征在于，所述终端包括：处理器以及与所述处理器通信连接的存储器，其中，

所述存储器中存储有可被所述处理器执行的指令，所述指令被所述处理器执行，以使所述处理器能够执行权利要求1至4中任意一项所述的基于LSTM和GAT算法的网络攻击行为检测方法。