【技术实现步骤摘要】
时空图神经网络链路泛洪攻击检测方法、设备及存储介质
[0001]本专利技术涉及网络空间安全与人工智能领域,具体地,涉及一种时空图神经网络链路泛洪攻击检测方法、设备及存储介质。
技术介绍
[0002]拒绝服务(Denial of Service,DoS)攻击是一种非法组织利用所控制资源对国家骨干网络、重要网络设施和重要网站等网络目标的攻击,致使目标服务器断网,最终停止提供服务。传统DoS攻击流量通常到达受害主机,并且与合法流量有明显区别,并随着近年来对传统DoS攻击检测手段不断增加,检测此类传统DoS攻击并不困难。
[0003]然而,最新研究发现一种新型的目标链路泛洪攻击(Link Flooding Attacks,LFA),LFA可以有效地切断目标区域的网络连接,且不易被终端网络安全检测设备所检测。LFA分为Coremelt和Crossfire等具体攻击方式。例如,游戏服务的主要链接遭受Crossfire攻击,使其长时间无法使用。此外,LFA还被攻击者用来攻击主要互联网交换点的特定链路。
[0004]其中,L...
【技术保护点】
【技术特征摘要】
1.一种时空图神经网络链路泛洪攻击检测方法,其特征在于,所述方法包括:S1、拓扑构建图,将待保护的网络区域建模成适用于LFA检测的图;S2、特征提取,选取适应于LFA检测的流量特征与统计特征;S3、采用STGCN模型构建流量时空特性,并使用分类网络进行LFA攻击检测。2.根据权利要求1所述的方法,其特征在于,步骤S1包括:SDN场景下,控制器拥有网络全局拓扑;将全局拓扑抽象出来,选取出待保护的网络,定义为无向图G
S
=(V
S
,E
S
,A
S
),其中,V
S
表示待保护的网络的节点的有限集,|V
S
|=N
S
,N
S
为G
S
中节点个数;E
S
表示待保护的网络节点间的链路集合,|E
S
|=M
S
,M
S
为G
S
中链路个数;表示G
S
的邻接矩阵;将网络中的链路E
S
建模成拓扑图中的点,相邻的链路在拓扑图中进行连接转化为拓扑图中的边,可以得到G
L
=(V
L
,E
L
,A
L
),其中,V
L
表示构建的拓扑图节点集合|V
L
|=M
S
,E
L
表示构建的拓扑图链路集合,表示G
L
的邻接矩阵,具体转化流程为:首先,按顺序将E
S
矩阵的每一条边进行标号;然后,构建零矩阵A
L
,遍历A
S
矩阵中的边,将相邻的边在A
L
矩阵中赋值,得到用于LFA检测的拓扑图。3.根据权利要求1所述的方法,其特征在于,步骤S2包括:使用链路流量、链路利用率、ABW、丢包率和RTT作为LFA检测的特征,定义为其中,表示第i条链路t时刻的特征,F为特征数目,F=5,和分别表示第i条链路t时刻的链路流量、利用率、ABW、丢包率和RTT;因此有包率和RTT;因此有表示t时刻所有网络链路的特征,其中,定义X=(X1,X2,...,X
τ
)
T
表示所有节点τ个时间片的所有特征,由于网络流量特征不仅具有空间特性还具有较强的时间特性,进而刻画网络链路的时间特征:定义默认时间间隔为5min,窗口长度为T
p
,分别提取分钟级别、日级别和周级别的特征序列作为时间维度的刻画,分别定义为X
m
、X
d
和和和和4.根据权利要求1所述的方法,其特征在于,在步骤S3中,采用时空注意力图神经网络(Attention Based Spatial
‑
Temporal GraphConvolutional Networks,ASTGCN),使用三个维度的输入,分别建模历史流量的分钟级别、小时级别和日级别的周期依赖关系,捕获网络流量的动态时空相关性,并使用全连接网络进行LFA攻击检测。5.根据权利要求4所述的方法,其特征在于,步骤S3包括:在空间维度上,使用注意力机制自适应地捕捉空间维度中节点之间的动态相关性;以分钟级别中的r
‑
1层为例:
其中,表示第r层时空块的输入,C
r
‑1表示第r层输入的通道数量,当r=1时C0=F,T
r
‑1是r层的时间维度,当r=1时T0=T
p
;V
e
,,是可学习的参数;空间相关矩阵S由变化的输入确定,S的元素S
i,j
表示时间i和j之间的依赖强度,利用归一化指数Softmax函数对S
i,j
进行归一化处理,最后将归一化的空间注意力矩阵应用于输入。6.根据权利要求4...
【专利技术属性】
技术研发人员:杨坚,程思雨,陈双武,承孝敏,张勇东,徐正欢,
申请(专利权)人:长三角信息智能创新研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。