【技术实现步骤摘要】
一种基于图卷积神经网络的多阶段攻击场景构建方法及系统
[0001]本专利技术属于网络信息安全
,涉及攻击检测技术及攻击场景构建技术,特别涉及一种基于图卷积神经网络的多步攻击场景构建方法及系统。
技术介绍
[0002]自从互联网诞生以来,网络攻击一直威胁着用户和组织。伴随着信息社会的高速发展,计算机网络技术在人们的生活中快速普及,逐渐成为人们生活的必需品。在这种发展态势下,网络攻击也变得越来越复杂。现在,攻击者往往需要执行多个攻击阶段来达到他们的最终目的,每个攻击阶段又包含多个攻击步骤,不同步骤可能会间隔很长时间,但具有相关性。这种一个或几个攻击者针对一个特定目标所采取的攻击阶段的集合被称为多阶段攻击。攻击者将攻击分解为多个阶段,一方面由于现在的网络具有复杂的网络拓扑结构和不同的安全层,仅凭单步完成入侵十分困难,另一方面更多的攻击阶段意味着攻击更难以被检测,因为它们的多阶段性质阻碍了入侵检测,不仅要检测出所有阶段的攻击,还要将不同阶段的攻击关联成完整攻击场景。所以一旦多阶段攻击发生,造成的危害会更大。
[0003...
【技术保护点】
【技术特征摘要】
1.一种基于图卷积神经网络的多阶段攻击场景构建方法,其特征在于,包括:步骤1:从网络流量中匹配IDS警报对应的可疑流;步骤2:利用步骤1匹配到的可疑流提取特征并计算流之间的相似度用于构建相似关系矩阵,将流的特征转换为节点属性,相似关系矩阵转换为邻接矩阵构建可疑流图;步骤3:利用图卷积神经网络对步骤2构建的可疑流图进行半监督分类,将可疑流划分为不同的攻击阶段;并对每个攻击阶段建立带权重的阶段通信图,从阶段通信图中提取高质量场景子图,最终构建完整攻击场景。2.根据权利要求1所述的一种基于图卷积神经网络的多阶段攻击场景构建方法,其特征在于,所述步骤2中提取可疑流的特征并计算流之间的相似度用于构建相似关系矩阵的过程具体包括:步骤21,提取可疑流的原始数据,具体操作为:对每个可疑流截取数量不大于q的数据包,对于超长数据,如果单个流的数据包数量大于2q,那么将流进行拆分处理,拆分成多个组;为减少计算冗余,对每个数据包,提取除mac地址以外的原始数据流,之后将提取的数据按照顺序依次拼接;步骤22,计算流之间的相似度,具体的操作为:通过步骤21提取的原始数据计算流之间的相似度;对于两条不同流f
i
,f
j
,本发明用sim(f
i
,f
j
)计算它们之间的相似度;步骤23,提取可疑流的特征:对于可疑流f
i
,提取了一组特征对不同类型的数据编码为字符型,并进行归一化处理。3.根据权利要求3所述的方法,其特征在于,步骤22所述的利用sim(f
i
,f
j
)计算流之间的相似度的具体操作方法是:对于两条不同流f
i
,f
j
,分别提取了它们的原始数据S
i
和S
j
,用sim(f
i
,f
j
)计算f
i
,f
j
的相似度:其中len(S
i
),len(S
j
)分别表示S
i
,S
i
的长度,m是S
i
,S
j
相匹配字符数,但是这些匹配的字符是不考虑顺序的,需要进行换位操作才能让它们拥有相同的顺序,t表示换位的次数,对分别来自S
i
,S
j
的字符,当它们的位置距离小于d,被认为是相匹配的;d用下面的公式计算:4.根据权利要求1所述的一种基于图卷积神经网络的多阶段攻击场景构建方法,其特征在于,所述步骤2中构建相似关系矩阵,将流的特征转化为节点属性,相似关系矩阵转换为邻接矩阵构建可疑流图的过程具体包括:步骤24,判断相似度是否大于阈值,具体操作为:通过设置阈值去除相似度低的流,首先判断当前两个流的相似度是否大于阈值,如果大于阈值,就存储这对流f
i
,f
j
的索引编号(i,j)到列表F中,否则继续选取流,并通过步骤2
‑
2计算新选取的流之间的相似度;步骤25,构建流相似度矩阵,具体操作为:根据步骤24中得到流的索引编号建立矩阵;首先建立一个p
×
p的全0矩阵,p为步骤21提取流的数量,对于流f
i
,f
j
,如果步骤24的列表F
中存在元素(i,j),则修改矩阵的[i,j]位置的值为1;步骤26,利用流特征和相似度矩阵构建可疑流图,具体操作为:定义可疑流图为一个无向图,...
【专利技术属性】
技术研发人员:刘静,吕宏硕,赖英旭,毛北逢,王一鹏,
申请(专利权)人:北京工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。