本申请公开了一种基于图神经网络的分布式拒绝服务攻击检测方法、装置、设备及介质,涉及计算机领域,包括:利用训练后的图神经网络模型对待检测流量对应的待检测图结构数据识别;根据识别结果判断待检测流量是否为分布式拒绝服务攻击流量;模型训练过程:获取目标流量中的目标流特征信息,将目标流特征信息转化为图结构数据;利用预设算法对图结构数据处理得到处理后结果;预设算法用于聚合图结构数据中每一顶点的邻居顶点信息,处理后结果基于聚合后信息得到;利用处理后结果训练图神经网络模型。本申请通过预设算法聚合图结构数据中的每一顶点的邻居顶点的信息,无需得到整个图结构数据的信息,解决了过拟合、泛化能力差的问题。题。题。
【技术实现步骤摘要】
基于图神经网络的DDoS检测方法、装置、设备及介质
[0001]本专利技术涉及计算机
,特别涉及一种基于图神经网络的分布式拒绝服务攻击检测方法、装置、设备及介质。
技术介绍
[0002]近年来,分布式拒绝服务攻击(Distributed Denial of Service,DDoS)作为网络安全中极其严重的安全威胁,对政府、企业乃至个人的信息和财产安全都是极大的考验,因此受到了广泛的关注。DDoS攻击者先通过扫描整个网络,寻找网络中存在协议漏洞或某些问题的主机,然后利用这些漏洞来控制大量的主机同时向攻击目标发送各种请求,消耗攻击目标的系统资源,使得被攻击目标没有能力为合法用户提供相应的服务。分布式拒绝服务攻击有多种类型,按照拒绝对象可分为带宽消耗型攻击和资源消耗型攻击:带宽消耗攻击是受害主机在DDoS攻击下,存在大量的数据报文流向受害主机,受害主机的网络接入带宽被耗尽;系统资源消耗攻击是受害主机的系统资源(存储资源和计算资源)被大量占用,甚至发生死机,两种类型的攻击可能单独发生,也可能同时发生。常见的DDoS攻击有TCP SYN FLOOD攻击、ACK FLOOD攻击、ICMP攻击、UDP FLOOD攻击。
[0003]在深度学习领域,图神经网络(Graph Neural Networks,GNN)已经成为各大深度学习顶会的研究热点,受到广泛的关注。在处理结构化数据,例如语音、图像、文本,机器学习算法有相对应的应用场景,现实中,诸如社交网络、知识图谱、网络拓扑、复杂的文件系统都是属于非结构化数据,GNN处理非结构化数据时的出色能力使其在网络数据分析、推荐系统、物理建模、自然语言处理都取得了新的突破。
[0004]在样本数据不平衡的情况下,使用传统的GNN处理,需要将图结构数据中的所有的顶点参与训练才能得到最终模型,如此一来,会导致数据的准确率会下降,进而会产生过拟合以及泛化能力差等问题。
[0005]为此,在样本数据不平衡的情况下,如何保证数据的准确率,从而避免过拟合以及泛化能力差的问题是本领域技术人员需要探索的。
技术实现思路
[0006]有鉴于此,本专利技术的目的在于提供涉及一种基于图神经网络的分布式拒绝服务攻击检测方法、装置、设备及介质,能够在样本数据不平衡的情况下,保证数据的准确率,从而避免过拟合以及泛化能力差的问题的出现。其具体方案如下:
[0007]第一方面,本申请公开了一种基于图神经网络的分布式拒绝服务攻击检测方法,包括:
[0008]利用训练后的图神经网络模型对待检测流量对应的待检测图结构数据进行识别;
[0009]根据识别结果判断所述待检测流量是否为分布式拒绝服务攻击流量;
[0010]所述图神经网络模型训练过程包括:
[0011]获取目标流量中的目标流特征信息,并将所述目标流特征信息转化为图结构数
据;所述目标流量包括正常流量和分布式拒绝服务攻击流量;
[0012]利用预设算法对所述图结构数据进行处理,得到处理后结果;所述预设算法用于聚合所述图结构数据中的每一顶点的邻居顶点的信息,所述处理后结果为基于聚合后信息得到的结果;
[0013]利用所述处理后结果训练图神经网络模型,得到训练后的所述图神经网络模型。
[0014]可选的,所述获取目标流量中的目标流特征信息,包括:
[0015]利用抓包工具获取多个主机相互通信过程中产生的目标流量,并提取所述目标流量的初始流特征信息;
[0016]对所述目标流量的初始流特征信息进行清洗以及归一化处理,得到所述目标流量中的目标流特征信息。
[0017]可选的,所述将所述目标流特征信息转化为图结构数据,包括:
[0018]将所述目标流特征信息中的第一目标流特征信息转化为所述图结构数据中的各个顶点;所述第一目标流特征信息为多个所述主机的地址以及端口的特征信息;
[0019]将所述目标流特征信息中的第二目标流特征信息转化为所述图结构数据中的边;所述第二目标流特征信息为所述目标流特征信息中,所述第一目标流特征信息以外的其他流特征信息。
[0020]可选的,所述利用预设算法对所述图结构数据进行处理,得到处理后结果,包括:
[0021]对所述图结构数据中的每一所述顶点的邻居顶点进行采样;每一所述顶点的邻居顶点为与每一所述顶点进行通信的顶点;
[0022]利用所述预设算法,聚合每一所述顶点的邻居顶点的信息,并根据聚合后信息确定每一所述顶点的邻居顶点的权重,得到所述处理结果;
[0023]相应的,所述利用所述处理后结果训练图神经网络模型,包括:
[0024]利用每一所述顶点的邻居顶点的权重训练图神经网络模型。
[0025]可选的,所述根据聚合后信息确定每一所述顶点的邻居顶点的权重,得到所述处理结果,包括:
[0026]根据聚合后信息确定每一所述顶点的邻居顶点的特征;
[0027]根据每一所述顶点的邻居顶点的特征为每一所述顶点的邻居顶点分配相应的权重,得到所述处理结果。
[0028]可选的,所述利用预设算法对所述图结构数据进行处理,得到处理后结果,包括:
[0029]利用E
‑
EesGAT算法或GraphSAGE算法对所述图结构数据进行处理,得到处理后结果。
[0030]可选的,所述利用训练后的图神经网络模型对待检测流量对应的待检测图结构数据进行识别,根据识别结果判断所述待检测流量是否为分布式拒绝服务攻击流量,包括:
[0031]利用训练后的图神经网络模型对待检测流量对应的待检测图结构数据进行识别,得到所述待检测图结构数据的全局表征信息;
[0032]根据所述全局表征信息计算所述待检测图结构数据的类别概率;
[0033]当所述类别概率大于预设的类别概率阈值,则判定所述待检测流量为分布式拒绝服务攻击流量;
[0034]当所述类别概率不大于所述预设的类别概率阈值,则判定所述待检测流量不是分
布式拒绝服务攻击流量。
[0035]第二方面,本申请公开了一种基于图神经网络的分布式拒绝服务攻击检测装置,包括:
[0036]识别模块,用于利用训练后的图神经网络模型对待检测流量对应的待检测图结构数据进行识别;
[0037]判断模块,用于根据识别结果判断所述待检测流量是否为分布式拒绝服务攻击流量;
[0038]图神经网络模型训练模块:用于获取目标流量中的目标流特征信息,并将所述目标流特征信息转化为图结构数据;所述目标流量包括正常流量和分布式拒绝服务攻击流量;利用预设算法对所述图结构数据进行处理,得到处理后结果;所述预设算法用于聚合所述图结构数据中的每一顶点的邻居顶点的信息,所述处理后结果为基于聚合后信息得到的结果;利用所述处理后结果训练图神经网络模型,得到训练后的所述图神经网络模型。
[0039]第三方面,本申请公开了一种电子设备,包括:
[0040]存储器,用于保存计算机程序;
[0本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于图神经网络的分布式拒绝服务攻击检测方法,其特征在于,包括:利用训练后的图神经网络模型对待检测流量对应的待检测图结构数据进行识别;根据识别结果判断所述待检测流量是否为分布式拒绝服务攻击流量;所述图神经网络模型训练过程包括:获取目标流量中的目标流特征信息,并将所述目标流特征信息转化为图结构数据;所述目标流量包括正常流量和分布式拒绝服务攻击流量;利用预设算法对所述图结构数据进行处理,得到处理后结果;所述预设算法用于聚合所述图结构数据中的每一顶点的邻居顶点的信息,所述处理后结果为基于聚合后信息得到的结果;利用所述处理后结果训练图神经网络模型,得到训练后的所述图神经网络模型。2.根据权利要求1所述的基于图神经网络的分布式拒绝服务攻击检测方法,其特征在于,所述获取目标流量中的目标流特征信息,包括:利用抓包工具获取多个主机相互通信过程中产生的目标流量,并提取所述目标流量的初始流特征信息;对所述目标流量的初始流特征信息进行清洗以及归一化处理,得到所述目标流量中的目标流特征信息。3.根据权利要求2所述的基于图神经网络的分布式拒绝服务攻击检测方法,其特征在于,所述将所述目标流特征信息转化为图结构数据,包括:将所述目标流特征信息中的第一目标流特征信息转化为所述图结构数据中的各个顶点;所述第一目标流特征信息为多个所述主机的地址以及端口的特征信息;将所述目标流特征信息中的第二目标流特征信息转化为所述图结构数据中的边;所述第二目标流特征信息为所述目标流特征信息中,所述第一目标流特征信息以外的其他流特征信息。4.根据权利要求3所述的基于图神经网络的分布式拒绝服务攻击检测方法,其特征在于,所述利用预设算法对所述图结构数据进行处理,得到处理后结果,包括:对所述图结构数据中的每一所述顶点的邻居顶点进行采样;每一所述顶点的邻居顶点为与每一所述顶点进行通信的顶点;利用所述预设算法,聚合每一所述顶点的邻居顶点的信息,并根据聚合后信息确定每一所述顶点的邻居顶点的权重,得到所述处理结果;相应的,所述利用所述处理后结果训练图神经网络模型,包括:利用每一所述顶点的邻居顶点的权重训练图神经网络模型。5.根据权利要求4所述的基于图神经网络的分布式拒绝服务攻击检测方法,其特征在于,所述根据聚合后信息确定每一所述顶点的邻居顶点的权重,得到所述处理结果,包括:根据聚合...
【专利技术属性】
技术研发人员:吴柯萌,刘超,汪壬甲,薛妍妍,李煊,逯云松,
申请(专利权)人:网络通信与安全紫金山实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。