本发明专利技术公开了一种基于图神经网络的DDoS攻击检测方法及装置,所述方法包括:将待检测流量中的数据包按照<源IP地址、目的IP地址>二元组进行分组;对每一分组,按时间排序所述数据包,并根据所述数据包为上行流量或下行流量,将所述分组划分为若干小组;针对每一分组,构建至少一个图结构;使用图神经网络计算所述图结构的表征,并基于所述表征进行分类,得到所述图结构的DDoS攻击检测结果;结合各图结构的DDoS攻击检测结果,获取所述待检测流量的DDoS攻击检测结果。本发明专利技术更好地体现了DDoS攻击流量的固有特性,具有更高的准确率。具有更高的准确率。具有更高的准确率。
【技术实现步骤摘要】
基于图神经网络的DDoS攻击检测方法及装置
[0001]本专利技术属于网络信息安全领域,尤其涉及一种基于图神经网络的DDoS攻击检测方法及装置。
技术介绍
[0002]可用性是系统和服务最重要的部分,然而在分布式拒绝服务(DDoS)攻击中,攻击者控制大量的僵尸主机,向目标系统或者服务器发送大量恶意数据包,耗尽目标系统或者服务器的带宽或者系统资源,破坏了系统或者服务器的可用性,对被攻击的系统和服务器造成了很大的危害。
[0003]从DDoS攻击出现开始,安全研究人员就在不断地提出和完善DDoS攻击的检测和防御技术。但同时,DDoS攻击也在不断地变化,趋于复杂。近年来,出现了越来越多种类的DDoS攻击,如慢速DDoS攻击、自适应的DDoS攻击等,这些新型的DDoS攻击会模拟正常用户的行为,以逃避检测,因此用传统的检测方法很难检测到这些新型的DDoS攻击。
[0004]但由于DDoS攻击和正常访问的目的不同,所以DDoS攻击具有一些固有特性。DDoS攻击的目的是长时间恶意占用目标系统或服务器的资源,使正常用户无法正常访问目标系统或服务器。DDoS攻击一般从两个层面出发达成这个目标,一是在单个流的层面,可以尽可能长时间的保持单个流的连接,在实现上,攻击者会制造一些特殊的请求以达成这个目标,例如TCP SYN洪泛攻击,在三次握手阶段,攻击者会只发送带SYN标志的TCP数据包给服务器,而不响应服务器返回的带SYN ACK标志的TCP数据包,使服务器一直等待攻击者的响应,维持连接,直到超时。这种特征会表现在流量上。二是在多个流的层面,可以与服务器建立尽可能多的连接。在实现上,分为两种情况,高速DDoS攻击会以很快的速率与服务器建立很多个连接,低速DDoS攻击为逃避检测,会以比较低的速率与服务器不断地建立连接,但这种连接往往是机器操作,因此会表现出一些频域上的特性。这种特征也会体现在流量上。这些流量上的固有特性对DDoS攻击的检测来说很重要。
[0005]深度学习技术近年来也在快速发展,在计算机视觉、自然语言处理、语音识别等领域都取得了很好的成果,在DDoS攻击的检测方面也成绩斐然。但是,这些基于深度学习的DDoS攻击检测技术大多数都直接利用数据包的信息和数据流的统计信息作为深度学习模型的输入。
[0006]Yuan等人提出了DeepDefense,该方法使用了四个模型:卷积神经网路(CNN)、循环神经网络(RNN)、长短期记忆(LSTM)网络和门控循环单元(GRU)网络。DeepDefense根据滑动窗口将连续的数据包分开,并提取了20种包级别的字段作为模型的输入,使用ISCX2012数据集对模型进行训练。实验结果表明在很小的数据集上,该方法相比浅层机器学习方法可以减少39.69%的错误率。
[0007]Doriguzzi
‑
Corinet等人,提出了LUCID,一种轻量级的基于CNN的DDoS攻击检测方法。LUCID规定一个时间窗口t和一个数据包数量n,将时间窗口t内的数据包作为一组,如果时间窗口t内的数据包数量小于n,则用0填充到n,如果时间窗口t内的数据包数量大于n,则
丢弃第n个数据包后的数据包。另外对每个数据包,LUCID会提取11个特征。
[0008]这些方法直接将数据包或者数据流的统计特征输入模型,为了便于提取,这些特征往往是很简单的特征,比如说数据包的长度、IP标志位、TCP标志位、TCP长度等等。这些特征不能完全表达原始流量,丢失了很多原始流量的重要信息,不能体现DDoS攻击具备的这些固有特性。为了解决上述问题,本专利技术提出了基于图神经网络的DDoS攻击检测方法,构建图结构,在图结构中充分表达这些特性信息,并利用图神经网络充分学习图结构中的特性信息,构建能够有效检测DDoS攻击的图神经网络分类器。
技术实现思路
[0009]本专利技术的目的在于提供一种基于图神经网络的DDoS攻击检测方法及装置,将流量转化为图结构,保留流量数据包及数据流之间的关系信息,构建图神经网络分类器,充分利用DDoS攻击的固有特性进行DDoS攻击检测。
[0010]为达到以上目的,本专利技术技术方案如下:
[0011]一种基于图神经网络的DDoS攻击检测方法,其步骤包括:
[0012]将待检测流量中的数据包按照<源IP地址、目的IP地址>二元组进行分组;
[0013]对每一分组,按时间排序所述数据包,并根据所述数据包为上行流量或下行流量,将所述分组划分为若干小组;
[0014]针对每一分组,构建至少一个图结构,其中,所述图结构中的节点为所述数据包,所述节点特征为数据包特征,所述图结构中的边包括:同一小组内的相邻节点之间、相邻小组的第一个节点之间和相邻小组的最后一个节点之间;
[0015]使用图神经网络计算所述图结构的表征,并基于所述表征进行分类,得到所述图结构的DDoS攻击检测结果;
[0016]结合各图结构的DDoS攻击检测结果,获取所述待检测流量的DDoS攻击检测结果。
[0017]进一步地,所述针对每一分组,构建至少一个图结构,包括:
[0018]设置图结构包含的数据包数量n;
[0019]若所述分组中的数据包数量不是所述数据包数量n的倍数,则将不足的数据包丢弃;
[0020]基于剩余的数据包,进行图结构构建。
[0021]进一步地,所述数据包特征包括:数据包的协议类型特征。
[0022]进一步地,所述计算所述图结构的表征,包括:
[0023]对于每一节点,聚合邻居节点的第k
‑
1层特征形成消息向量其中,v、u分别表示节点编号,v≠u,k为节点表征的层数;
[0024]基于所述消息向量传递与该节点的第k
‑
1层特征得到该节点的第k层特征
[0025]连接每一节点的各层特征,得到所述图结构的表征。
[0026]进一步地,所述基于所述表征进行分类,包括:将所述表征输入一个全连接层。
[0027]进一步地,基于交叉熵损失函数,对所述图神经网络与全连接层进行训练。
[0028]一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一所述方法。
[0029]一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一所述方法。
[0030]与现有技术相比,本专利技术至少具有以下有益效果:
[0031]相比现有基于深度学习的DDoS攻击检测方法,本方法通过利用数据包的方向信息、协议类型信息,构建流量的图结构,通过清晰的对数据包之间和数据流之间关系的表达,充分在图中体现DDoS攻击流量模式和正常流量模式特性上的差别,利用图同构网络构建DDoS攻击检测模型,充分从图中学习DDoS攻击的模式,有效检测DDoS攻击。
附图说明
[0032]图1为本专利技术的整体流程图本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于图神经网络的DDoS攻击检测方法,其步骤包括:将待检测流量中的数据包按照<源IP地址、目的IP地址>二元组进行分组;对每一分组,按时间排序所述数据包,并根据所述数据包为上行流量或下行流量,将所述分组划分为若干小组;针对每一分组,构建至少一个图结构,其中,所述图结构中的节点为所述数据包,所述节点特征为数据包特征,所述图结构中的边包括:同一小组内的相邻节点之间、相邻小组的第一个节点之间和相邻小组的最后一个节点之间;使用图神经网络计算所述图结构的表征,并基于所述表征进行分类,得到所述图结构的DDoS攻击检测结果;结合各图结构的DDoS攻击检测结果,获取所述待检测流量的DDoS攻击检测结果。2.如权利要求1所述的方法,其特征在于,所述针对每一分组,构建至少一个图结构,包括:设置图结构包含的数据包数量n;若所述分组中的数据包数量不是所述数据包数量n的倍数,则将不足的数据包丢弃;基于剩余的数据包,进行图结构构建。3.如权利要求1所述的方法,其特征在于,所述数据包特征包括:...
【专利技术属性】
技术研发人员:周舟,李玉珍,刘庆云,李仁杰,郭江,杨威,杜梅婕,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。