【技术实现步骤摘要】
一种基于行为图和Weisfeiler Lehman算法的可扩展网络攻击检测方法
[0001]本专利技术涉及网络攻击异常检测
,具体是一种基于行为图和Weisfeiler Lehman算法的可扩展网络攻击检测方法。
技术介绍
[0002]在网络流量异常检测中,通常将从pcap中提取出连接记录作为样本,每一条连接记录包含了一次会话连接的信息,表示形式为五元组(源IP,源端口,目的IP,目的端口,协议)及其扩展属性,标准化后的连接记录就作为一个特征向量用于模型训练。常用的KDD99,CICIDS17,CTU
‑
13数据集都提供了类似的已经提取好的连接记录,每条连接记录都有对应的标签,连接记录通常被标记为正常业务流量、恶意流量或者背景流量。
[0003]对于有监督学习,在模型训练阶段,特征向量的顺序被打乱之后,将特征向量和标签输入有监督模型如Naive Bayes,SVM,ANN等,经过训练之后得到分类器。对于无监督学习,将向量输入无监督异常检测算法,如孤立森林,KNN,K
‑
Mea...
【技术保护点】
【技术特征摘要】
1. 一种基于行为图和Weisfeiler Lehman算法的可扩展网络攻击检测方法,其特征在于,包括如下步骤:1)有标签训练网络的搭建及其资产信息收集:搭建有标签的训练网络,对训练网络进行网络资产信息收集,网络资产信息包括主机、路由器、交换机、服务器,以及打印机,提取它们的设备类型、IP、MAC地址、系统、服务,构建网络资产列表,存储至数据库;2)针对步骤1)得到的训练网络,从数据收集及清洗、行为单元提取、数据减量、到行为图嵌入及相似度矩阵计算,生成待训练模型的输入,具体步骤如下:2
‑
1)流量捕获与自动样本标注:运行步骤1)搭建的训练网络,并对训练网络中的网络流量进行捕获与自动样本标注;利用TShark或WireShark工具,分别捕获安全窗口的正常业务流量和背景流量、攻击流量,所捕获的流量是有标签的,相关的每个主机都标注相应的标签,用于发起攻击的主机被标注为正样本,即恶意主机;其余主机和设备标注为负样本,即正常主机;标注过程基于预先配置的攻击脚本自动化实现;2
‑
2)连接记录提取:从步骤2
‑
1)中捕获的网络流量中提取连接记录,首先通过CICFlowMeter将pcap文件转换为csv特征文件,提取网络设备之间通信的连接记录,连接记录的属性包括源IP、目的IP、源端口、目的端口、通信方向、连接状态、持续时间、连接内发包数量、连接内发送字节总数量、源目的主机通信期间的应答比例;2
‑
3)数据清洗与属性离散化:对步骤2
‑
2)得到连接记录进行数据清洗和离散化:2
‑3‑
1)数据清洗:删除连接记录提取工具运行期间生成的异常连接记录,包括属性确实、类型异常,属性缺失通过线性插值补全或直接删除;2
‑3‑
2)属性离散化:将连接记录的各个属性映射到一个不重合的整数区间,即属性离散化对应一个映射D,对于属性F
i
和F
j
,满足D(F
i
)
→
N
i*
,D(F
j
)
→
N
j*
,且N
i* ∩ N
j*
=
∅
;其中原始记录中包含本身离散的属性,包括源/目的地址、协议、端口、服务、状态、通信方向,将这些属性转化为类别属性,即源/目的地址包含大量的IP地址,类别化后,变为NORMAL_IP、RESERVE_IP、ERROR_IP之一,端口变为RESERVE_PORT、 WELL_KONWN_PORT、OTHER_PROT,源/目的地址,即连接记录中的SrcAddr和DstAddr字段;2
‑
4)数据融合并生成行为单元和行为图:基于步骤1)收集到的网络资产信息以及步骤2
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。