CN116980225A - 一种基于图神经网络的拟态防御判决方法 - Google Patents

一种基于图神经网络的拟态防御判决方法 Download PDF

Info

Publication number
CN116980225A
CN116980225A CN202311089676.8A CN202311089676A CN116980225A CN 116980225 A CN116980225 A CN 116980225A CN 202311089676 A CN202311089676 A CN 202311089676A CN 116980225 A CN116980225 A CN 116980225A
Authority
CN
China
Prior art keywords
flow
executive body
neural network
graph neural
executable
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311089676.8A
Other languages
English (en)
Inventor
王佳
王文涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xinjiang University
Original Assignee
Xinjiang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xinjiang University filed Critical Xinjiang University
Priority to CN202311089676.8A priority Critical patent/CN116980225A/zh
Publication of CN116980225A publication Critical patent/CN116980225A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Probability & Statistics with Applications (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于图神经网络的拟态防御判决方法,包括:执行体集合、执行体输出流量检测、执行体异构度量化、执行体输出流量分类和多目标决策模块。本发明采用基于图神经网络的自监督异常检测,能够在使用大规模无标签数据的情况下完成对执行体集合输出流量的异常检测并生成各执行体的异常值,提高对未知威胁的感知能力;通过量化执行体集合差异度计算出执行体集合异构值,保证执行体集合的多样性和安全性;通过聚类算法,对执行体集合输出流量进行分类,降低了多模裁决成本;采用多目标决策模块,可以对执行体的各项参数进行综合评估,进一步提升判决的准确度。

Description

一种基于图神经网络的拟态防御判决方法
技术领域
本发明涉及计算机网络安全技术领域,具体为一种基于图神经网络的拟态防御判决方法。
背景技术
在当前网络安全领域,攻击者发送恶意流量入侵到攻击目标内部,破坏或者获取重要信息,网络安全问题日益突出。虽然针对恶意流量的检测技术在不断发展,基于深度学习的异常流量检测模型在识别现有恶意流量种类效率方面已达到理想水平,但与此同时恶意流量种类也在不断迭代,这使得基于深度学习的有监督异常流量检测模型在实际应用时往往表现出滞后性。在这种现状下,拟态防御中的冗余手段被看作一种新型安全防御技术,通过设计异构或者多样化的变体来起到防御或者容错的目的,例如:使用功能等价的多元化或多样化软硬件构建异构执行体,采取多模裁决算法对多执行体输出进行综合判决以应对未知流量攻击,大幅度增加攻击难度和成本;
现有的拟态防御判决方法采用多数一致性方法,即将执行体集合输出结果进行分类并选择分类中占多数的执行体流量作为输出,但是这种判决方法缺乏对执行体输出流量感知并且对未知攻击手段防御效果不理想,以及执行体分类成本高且分类结果不一定可靠,判决准确度有待进一步提升。
发明内容
针对上述存在的技术不足,本发明的目的是提供一种基于图神经网络的拟态防御判决方法,在现有的多变体环境上进行改进,添加不同模块和计算方法获得执行体参数,包括使用无标签数据训练图神经网络模型并生成执行体异常值、使用树层次模型计算执行体异构值,使用聚类方法生成执行体最大频数,在判决时使用多目标决策综合考虑多个执行体参数,提升了系统面对未知流量攻击的判决准确度,同时也降低了系统运行成本。
为解决上述技术问题,本发明采用如下技术方案:
本发明涉及一种基于图神经网络的拟态防御判决方法,其特征在于,包括以下具体步骤:
S101、使用基于图神经网络的异常流量检测模型对各执行体输出流量进行检测分类,并依据检测分类生成各执行体的异常值,异常值作为执行体参数用于多目标决策;
S102、利用使用树层次模型量化执行体差异性,使用量化后的复杂性和差异性生成执行体异构值,异构值作为执行体参数用于多目标决策;
S103、针对执行体输出流量有不同的分类结果,通过使用聚类算法K-Means,将不同执行体输出流量进行分类,并统计各执行体流量所占分类的最大频数,频数作为执行体参数用于多目标决策,聚类算法包括但不限于K-means聚类算法、DBSCAN聚类算法等;
S104、使用多目标决策计算各参数所占权重,并根据参数值对各执行体输出流量进行分析和评估,选择最优结果作为输出,多目标决策可以包括但不限于熵权值、TOPSIS算法、决策树、遗传算法。
本发明的有益效果在于:本发明采用基于图神经网络的自监督异常检测,能够在使用大规模无标签数据的情况下完成对执行体集合输出流量的异常检测并生成各执行体的异常值,提高对未知威胁的感知能力;通过量化执行体集合差异度计算出执行体集合异构值,保证执行体集合的多样性和安全性;通过聚类算法,对执行体集合输出流量进行分类,降低了分类成本;采用多目标决策模块,可以对执行体的各项参数进行综合评估,进一步提升判决的准确度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于图神经网络的拟态防御判决架构示意图;
图2为本发明实施例提供的一种基于图神经网络的拟态防御判决方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例,如图1所示,一种基于图神经网络的拟态防御判决架构包含执行体集合、执行体输出流量检测、执行体异构度量化、执行体输出流量分类模块以及多目标决策。在现有的多变体环境架构上进行改进,考虑到了不同的攻击情况、异构性度量、异常值等因素,保证多变体的多样性和安全性,并且避免了自身不必要的成本消耗;
执行体集合是由n个结构相同但功能不同的异构执行体组成,这些执行体在不同层次上选择不同的操作系统、服务软件、数据库,在软硬件上实现异构,进而形成拟态防御中的多变体执行环境;
执行体输出流量检测接收各异构执行体输出的流量报文,使用流量解析工具对流量进行解析并得到流量特征值,将流量特征值输入到基于图神经网络的流量检测模型进行训练和测试,生成各执行体输出流量的异常值;执行体异构度量化,使用树层次模型量化执行体集的差异性,生成执行体集合异构值;执行体输出流量分类,使用聚类模型,将各执行体输出流量进行聚类并统计各执行体流量所占分类的最大频数,降低了运行成本,进一步提升分类结果的可靠性;多目标决策,使用综合评价模型,对执行体参数包括异常值、异构值、频数进行评估,最终选择一个最优执行体执行结果作为架构输出;
如图2所示,一种基于图神经网络的拟态防御判决方法流程,具体步骤为:
首先,使用无监督的图神经网络模型生成各执行体输出流量的异常值ai,具体步骤为:使用Wireshark工具获取各执行体的原始输出流量;将执行体原始数据流量按照流的表示形式进行切分,将一份原始流量数据切分为多个网络流量数据;对数据长度和形式进行标准化处理,将清洗过的数据按照M=800字节的长度进行处理,大于800字节则截取,小于800字节的进行补充;将转换过的数据放入到表格中,并在最后一列输入标签值,对于空缺部分采用众数或平均数方法进行数据填充,对于字符串类型的数据通过字典进行替换,生成原始数据集;为了评估的流量检测器在不同网络场景中泛化的能力,将原始数据集标准化为NetFlow格式;将NetFlow格式的原始数据集按7:3的比例划分为训练集和测试集;使用训练集和测试集生成训练图和测试图,其中节点使用IP地址表示,边使用节点之间的数据包表示;使用无标签训练集对图神经网络模型进行训练,使用有标签测试集对图神经网络模型测试;进一步地,将图神经网络模型部署到拟态防御模型获得各执行体流量异常值集合A={a1,a2,ai,...,an};
进一步地,使用执行体异构度计算模块中树层次模型计算执行体集合差异度并生成异构值hi,具体步骤为:将执行体集合的特征进行分层处理,最高层级的特征具有最大的权值,表示在最高层级的特征对异构性有最强的影响,从上到下权值依次减小,影响依次减弱,则执行体之间的异构性hi计算公式可表示为公式(1)
其中,n为层级数,w是相应层级的权值,w(A,k)表示为执行体A在第k层特征的权值,w(B,k)表示为执行体B在第k层特征的权值,m为两个执行体之间产生差异的层级编号,fk(A,B)为执行体在第k层内的差异;
将每一个执行体与执行体集中的其他执行体比较计算差异度,并将所得到的差异度指标求平均值作为该执行体与执行体集合的异构值指标hi
进一步地,使用聚类模型K-means统计各执行体流量所占分类的最大频数fi,具体步骤为:将NetFlow格式的原始数据集采用N-gram方法将数据映射为向量,选择合适的K值作为聚类簇的个数,初始化K个中心点,按照欧几里得距离进行聚类,直到聚类结果收敛或达到最大迭代次数,用轮廓系数对聚类结果进行评估和优化,检查是否需要调整K值等参数,得到同一执行周期内执行体集合输出的分类结果C={C1,C2,C3,…,Ci},最后统计各执行体输出流量所占分类的频次最大值(f1,f2,fi,…,fn),其中频数fi指的是执行体所在各类别中的最大数据个数;
进一步地,计算各执行体中的最高综合得分vi,作为判决依据,具体步骤为:确定评价执行体的参数和各参数的取值范围;使用熵权法根据hi,fi,ai三项指标构建信息熵矩阵并求出预测参数权重r1,r2,r3;将预测权重r1,r2,r3用于TOPSIS法计算bi与正理想值(+B)和负理想值(-B)之间的加权欧氏距离;根据实际值与理想值的欧式距离来修正权重r1,r2,r3;将参数hi,fi,ai综合考虑作为最终的判决结果,即计算各执行体的综合得分vi=r1*hi+r2*fi+r3*ai,得到每个执行体得分集合(v1,v2,…,vn),求出该集合中的最大值vi=max(v1,v2,…,vn),然后将vi的执行体结果作为正确结果进行输出;当出现输出值vi相同的情况时,选择ai较大的一组进行输出,若ai仍相同,选择fi较大的一组进行输出;若fi仍相同,选择hi较大的一组进行输出;其他情况,判决失效,重新进行输入判决。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (7)

1.一种基于图神经网络的拟态防御判决方法,其特征在于,包括:
执行体集合:由n个结构相同但功能不同的异构执行体集合组成;
执行体输出流量检测:用于接收各异构执行体输出的流量报文,使用流量解析工具对流量进行解析并得到流量特征值,将流量特征值以图的形式输入到基于图神经网络的流量异常检测模型进行训练和测试,生成各执行体输出流量的异常值;
执行体异构度量化:使用树层次模型量化执行体集合的差异性,并生成执行体集合异构值;
执行体输出流量分类:使用聚类模型将各执行体输出流量进行聚类并统计各执行体流量所占分类的最大频数;
多目标决策:使用综合评价模型对执行体参数包括异常值、异构值、频数进行评估,最终生成一个最优结果作为数据输出。
2.如权利要求1所述的一种基于图神经网络的拟态防御判决方法,其特征在于,所述异构执行体集合使用功能等价的多元化或多样化软硬件,在不同层次上选用不同的架构、操作系统以及服务软件。
3.如权利要求1所述的一种基于图神经网络的拟态防御判决方法,其特征在于,所述执行体输出流量检测使用pcap流量解析工具生成并筛选出重要流量特征值并标记正常或异常标签,流量异常检测模型是基于图神经网络的自监督模型,采用无标签数据进行模型训练,有标签数据进行模型测试。
4.如权利要求1所述的一种基于图神经网络的拟态防御判决方法,其特征在于,所述执行体异构度量化使用树层次模型量化执行体集差异性,将执行体集的特征进行分层处理,处于最高层级的特征具有最大的权值,从上到下权值依次减小,影响依次减弱。
5.如权利要求1所述的一种基于图神经网络的拟态防御判决方法,其特征在于,根据不同特征值将执行体输出流量分成不同类,并统计各执行体所占分类的频数。
6.如权利要求1所述的一种基于图神经网络的拟态防御判决方法,其特征在于,所述多目标决策使用熵权法计算异常值、异构值、频数三个指标的熵值和权重,结合各指标的权重。
7.一种基于图神经网络的拟态防御判决方法,其特征在于,包括以下具体步骤:
S101、使用基于图神经网络的异常流量检测模型对各执行体输出流量进行检测分类,并依据检测分类生成各执行体的异常值,异常值作为执行体参数用于多目标决策;
S102、利用树层次模型量化执行体差异性,使用量化后的差异性生成执行体异构值,异构值作为执行体参数用于多目标决策;
S103、针对执行体输出流量有不同的分类结果,通过使用聚类算法,将不同执行体输出流量进行分类,并统计各执行体流量所占分类的最大频数,频数作为执行体参数用于多目标决策;
S104、使用多目标决策计算各参数所占权重,并根据参数值对各执行体输出流量进行分析和评估,选择最优结果作为输出。
CN202311089676.8A 2023-08-28 2023-08-28 一种基于图神经网络的拟态防御判决方法 Pending CN116980225A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311089676.8A CN116980225A (zh) 2023-08-28 2023-08-28 一种基于图神经网络的拟态防御判决方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311089676.8A CN116980225A (zh) 2023-08-28 2023-08-28 一种基于图神经网络的拟态防御判决方法

Publications (1)

Publication Number Publication Date
CN116980225A true CN116980225A (zh) 2023-10-31

Family

ID=88476786

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311089676.8A Pending CN116980225A (zh) 2023-08-28 2023-08-28 一种基于图神经网络的拟态防御判决方法

Country Status (1)

Country Link
CN (1) CN116980225A (zh)

Similar Documents

Publication Publication Date Title
CN112784881B (zh) 网络异常流量检测方法、模型及系统
CN111314331B (zh) 一种基于条件变分自编码器的未知网络攻击检测方法
CN111783442A (zh) 入侵检测方法、设备和服务器、存储介质
CN107579846B (zh) 一种云计算故障数据检测方法及系统
CN113780443B (zh) 一种面向威胁检测的网络安全态势评估方法
CN115277354B (zh) 一种面向指挥控制网络管理系统的故障检测方法
CN113225346A (zh) 一种基于机器学习的网络运维态势评估方法
CN111898129B (zh) 基于Two-Head异常检测模型的恶意代码样本筛选器及方法
CN114513367B (zh) 基于图神经网络的蜂窝网络异常检测方法
CN118041661A (zh) 基于深度学习的异常网络流量监测方法、装置、设备及可读存储介质
CN116720095A (zh) 一种基于遗传算法优化模糊c均值的电特性信号聚类方法
CN115618743B (zh) 一种瞄准镜系统的状态评估方法及状态评估系统
CN115033893B (zh) 一种改进型聚类算法的信息漏洞数据分析方法
CN114861739B (zh) 一种特征通道可选择的多组件系统退化预测方法及系统
CN116980225A (zh) 一种基于图神经网络的拟态防御判决方法
CN111160419B (zh) 一种基于深度学习的电子式互感器数据分类预测方法及装置
CN110348481B (zh) 一种基于近邻样本万有引力的网络入侵检测方法
CN114124437A (zh) 基于原型卷积网络的加密流量识别方法
CN113379000B (zh) 一种自适应更新的网络入侵检测方法
CN117792933B (zh) 一种基于深度学习的网络流量优化方法及系统
CN118378254B (zh) 基于深度学习的数据安全态势感知系统及方法
CN116366359B (zh) 一种工业控制网络的智能协同自进化防御方法及系统
CN118378178B (zh) 基于残差图卷积神经网络的变压器故障识别方法及系统
Wang et al. Intrusion alert analysis based on PCA and the LVQ neural network
Salehi et al. A DOS and network probe attack detection based on HMM using fuzzy inference

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination