【技术实现步骤摘要】
一种基于图注意力网络的BGP异常检测方法及系统
[0001]本专利技术涉及数据挖掘与计算机
,特别涉及一种基于图注意力网络的BGP异常检测方法及系统。
技术介绍
[0002]互联网的发展在促进经济、文化和生活快速发展的同时,也伴随着众多影响网络安全稳定的问题的出现。边界网关协议(Border Gateway Protocol,BGP)是一种域间路由通信协议,负责管理自治系统之间的网络可达信息(Network Reachable Information,NRI),保证信息的全局可达性。BGP功能的重要性也使其容易受到劫持、错误配置、DDoS攻击和自然灾害等的影响。最近的统计数据显示,大约20%的劫持和错误配置持续时间不到10分钟,但却能够在不到2分钟内影响90%的互联网。例如,2008年2月24日,巴基斯坦电信(AS17557)发布了一个未经授权的添加前缀208.65.153.0/24的公告。巴基斯坦电信的上游供应商之一,电讯盈科全球公司(AS3491)将这一声明转发到互联网的其它地方,导致全球范围内的YouTube流量被劫持。这样的网络安全事故还有很多很多。因此,设计BGP异常检测方法,发现BGP流量中的异常信息或行为,并提出警示或采取相应应对措施,具有重要意义。
[0003]在本文中,我们重点关注互联网安全中的BGP异常检测问题。CN201811331848.7基于改进的高斯核函数以及基于网格搜索与交叉验证进行参数寻优,以提高模型分类准确率,基于最优特征子集来评价模型综合性能;CN2020100931 ...
【技术保护点】
【技术特征摘要】
1.一种基于图注意力网络的BGP异常检测方法,其特征在于,包括以下步骤:S1:数据获取:从公开互联网项目平台获取指定区域、指定时间段、指定自治系统的边界网关协议(Border Gateway Protocol,BGP)更新数据包,解析为可读格式并进行整理,得到多种异常事件数据集;S2:特征提取:解析后的BGP更新数据包报文头中不同字段包含该数据包对应的不同信息和特征,对特征的选择和提取主要分为自治系统路径特征和数量特征两大类,总计45个特征,根据时间戳将BGP更新包数据以特征序列的形式进行持久化存储,并根据异常事件发生的时间段自动添加异常标签,构建实验数据集;S3:模型训练:将上述处理好的实验数据集输入到BGP异常检测模型,经过时间序列的STL(Seasonal and Trend decomposition using Loess)分解和滑动窗口的数据增强处理,突出数据的趋势和季节性,基于特征和基于时序的图注意力网络(Graph Attention Networks,GAT)从特征关系和时间依赖的新颖角度提取数据特征,凭借长短期记忆网络(Long
‑
Short Term Memory,LSTM)分类器自主学习训练后得到预训练模型;S4:模型预测:将新的异常事件处理为输入数据的格式,输入到预训练模型,实现对未知事件的预测以及不同的评估指标。2.如权利要求1所述的一种基于图注意力网络的BGP异常检测方法,其特征在于:所述步骤S1具体包括:S1.1:获取异常互联网事件时间范围及区域表,为了最小化存储和计算需求,短时间异常事件周期为五天:事件发生前两天和事件发生后两天以及异常事件持续时间内的当天;S1.2:利用自动获取数据程序从Route Views和RIPE NCC这两个组织按时间顺序区域范围收集和存储BGP更新报文数据;S1.3:在本方法中,主要涉及类型为蠕虫攻击的Code Red I(2001.07.19
‑
2001.07.20)事件、Nimda(2001.09.15
‑
2001.09.23)事件、Slammer(2003.01.23
‑
2003.01.27)事件,类型为设备故障的Moscow Blackout(2005.05.23
‑
2005.05.27)事件,类型为错误配置的Malaysian Telecom(2015.06.10
‑
2015.06.14)事件,该五个异常事件数据集分别从RIPE NCC平台的rrc04、rrc05收集者处获取,这两个收集者分别位于日内瓦、维也纳;S1.4:收集到的BGP更新数据包以多线程路由工具包(Multi
‑
threaded Routing Toolkit,MRT)的二进制格式存储,解析工具将MRT文件转换为ASCII格式,将转化后的文件按原有顺序进行持久化存储。3.如权利要求1所述的一种基于图注意力网络的BGP异常检测方法,其特征在于:所述步骤S2具体包括:S2.1:解析后的BGP更新数据包报文头中不同字段包含该数据包对应的不同信息和特征;S2.2:从上述五个异常事件中以1分钟为间隔收集收集数据中提取的各种信息,可从中提取和总结出45个相关特征,这些特征主要分为自治系统路径特征和数量特征两类;S2.3:将45个特征值按时间戳的顺序进行存储,每个时间戳下的数据被当作是一个样本,并根据异常事件发生的时间段,对每个样本添加标签,正常样本的标签为0,异常样本的标签为1,最后,将不同的互联网异常事件转化为多变量时序数据集。4.如权利要求1所述的一种基于图注意力网络的BGP异常检测方法,其特征在于:所述
步骤S3具体包括:S3.1:BGP异常检测即多变量时间序列异常检测,其输入可表示为其中n代表时间戳的最大长度,也代表样本的数量,k代表每个样本的输入特征数,也可以用序列表示,然后表示,然后代表所有n个输入样本的输出向量,y
i
∈{0,1}代表第i个时间戳的样本是正常样本还是异常样本;S3.2:滑动窗口是一种从原始时间序列中按顺序提取固定窗口大小的子样本方法,该方法常用于数据流挖掘,从历史流量中获取信息,从模型的角度来看,利用滑动窗口在原始时间序列数据集上扩展了特征维数更多的强相关数据集,并通过增强数据来提高模型训练的分类器的分类性能;滑动窗口的大小为可调参数m,该窗口每次以1的步幅从头到尾遍历整个初始时间序列,形成一系列新的多样本时间序列,单个窗口的构成形如其中对应的是第(i
‑
1)个时间戳的样本数据,新序列数据集对应的标签等于每个序列中所有时间样本频率最高的标签,至此,构成了经过滑动窗口增强后的新序列数据集S3.3:STL分解法是以鲁棒局部加权回归作为平滑方法的时间序列分解方法,将上一部分的新序列数据经过STL分解法分解后,得到5个不同角度的同样维度的新数据集,进行拼接来扩展数据集的特征维度,再一次实现数据的增强,得到新的序列数据集据集,进行拼接来扩展数据集的特征维度,再一次实现数据的增强,得到新的序列数据集其中,n代表初始总样本数,m代表滑动窗口大小,5k代表每一个新的样本的特征数量从最初的k个变为5k个;S3.4:GAT层能够对任意图中的节点之间的关系进行建模,一般来说,给定一个有n个节点的图,即v1,v2,...,v
n
,其中v
i
为第i个节点的特征向量,GAT层计算每个节点的输出表示形式如试下:式中h
i
为节点i的输出表示形式,与输...
【专利技术属性】
技术研发人员:宣琦,彭松涛,殳欣成,张丽娜,阮中远,
申请(专利权)人:浙江工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。