一种融合统计特征和图结构特征的隐蔽恶意流量检测方法技术

技术编号:37600708 阅读:17 留言:0更新日期:2023-05-18 11:51
本发明专利技术公开了一种融合统计特征和图结构特征的隐蔽恶意流量检测方法,包括:监听网关流量,将相同的源和目的地址的数据包聚合成数据流,构造出流量交互图,图中节点表示一个主机,一条边表示一个数据流;对各个数据流中的数据包进行逐包特征提取,将数据流中逐包特征集合生成流特征直方图,再将不等长的流特征直方图转化为等长的流特征向量;将流量交互图根据各个节点数据流之间的关系转化为一种新的图结构——流量关联图,该图以流作为节点,流特征向量作为节点属性;使用图卷积神经网络训练流关联图,最终识别出隐蔽的恶意流量。通过上述方式,本发明专利技术可以高效且准确的检测出恶意隐蔽流量,能够在安全性高的同时消耗较少的时间和空间。间和空间。间和空间。

【技术实现步骤摘要】
一种融合统计特征和图结构特征的隐蔽恶意流量检测方法


[0001]本专利技术涉及网络安全
,特别是涉及一种融合统计特征和图结构特征的隐蔽恶意流量检测方法。

技术介绍

[0002]随着网络通信技术的不断发展,生活中的各个基础设施均信息化和数字化,它们均通过网络流量进行传输和控制,新的网络攻击不断涌现,这些攻击威胁着军事领域、工业领域和基础设施的安全,其规模还在逐渐扩大。
[0003]新型网络攻击流量通常具有如下特点:
[0004]隐蔽性:新型网络流量通常已经经过加密处理且通伪装成正常流量,数据包内容无法直接获取,无法通过对数据包内容进行规则匹配、自然语言处理等措施,检测难度大大提升;
[0005]缓慢性:攻击者往往缓慢地进行攻击,使得攻击流量能够淹没在正常流量中,使得防御者难以从数据量很大的正常流量中区分出隐蔽的恶意流量。
[0006]如何检测到隐蔽的恶意流量成为了近两年热门的研究方向。由于目前攻击流量通常是加密流量,对于加密流量的检测通常用基于统计特征或者基于流量交互图的检测方法,基于流量统计特征的方法仅仅关注了流量本身的内在特征,由于攻击流量的缓慢性,基于流量统计特征难以区分出正常数据流和恶意数据流,且基于多种统计特征结合机器学习进行分类的分类所需的时间和内存较大同时也损失了一些数据包级特征的信息,无法满足高带宽、高安全性要求的网络环境;而基于流量交互图的检测方法关注的是流量的结构特征,忽略了流量本身的特征,也无法精准检测出恶意隐蔽流量。因此以上恶意隐蔽流量检测方案不满足与对新型隐蔽流量进行检测。
[0007]基于以上缺陷和不足,有必要对现有的技术予以改进,设计出一种融合统计特征和图结构特征的隐蔽恶意流量检测方法。

技术实现思路

[0008]本专利技术主要解决的技术问题是提供一种融合统计特征和图结构特征的隐蔽恶意流量检测方法,可以高效且准确的检测出恶意隐蔽流量,能够在安全性高的同时消耗较少的时间和空间。
[0009]为解决上述技术问题,本专利技术采用的一个技术方案是:提供一种融合统计特征和图结构特征的隐蔽恶意流量检测方法,包括以下步骤:
[0010]步骤S1:监听网关流量,将数据包聚合成数据流,构造出流量交互图,图中节点表示一个主机,一条边表示一个数据流;
[0011]步骤S2:对各个数据流中的数据包进行数据包级特征提取,将数据流中逐包特征集合生成流特征直方图,将不等长的流特征直方图转化为等长的流特征向量;
[0012]步骤S3:将流量交互图根据各个节点数据流之间的关系转化为流量关联图,该图
以流作为节点,流特征向量作为节点属性;
[0013]步骤S4:使用图卷积神经网络训练数据流特征和图结构特征,最终识别出隐蔽的恶意流量。
[0014]优选的是,步骤S1中将流量监听设备设置在网关处,监听局域网内部的流量。
[0015]优选的是,步骤S1中根据源IP和目的IP将在该时间段内监听到的数据包聚集成流。
[0016]优选的是,步骤S2中对数据流进行数据包粒度特征提取,再将数据包粒度特征向量的转化成定长的流特征向量,输入到图卷积神经网络中进行学习和训练,最终得到分类结果。
[0017]优选的是,步骤S3中将流量交互图中的边转化成流量关联图中的节点,通过两个数据流是否与同一个主机有通信来判断两个数据流节点是否相连,将流量关联图输入到图卷积神经网络中进行训练,其中隐藏层将领居节点的特征进行聚类,最后再连接softmax全连接层完成节点的分类。
[0018]优选的是,对数据包进行解析,提取出每一个数据包的长度、协议、与上一个数据包的时间间隔、端口号这四类特征,记录数据流中每一个数据包的特征,且保存一份链接开始的时间戳和持续时间。
[0019]优选的是,对数据包粒度特征进行处理,首先,对数据流中各个特征值的计数,分别对不同特征进行计数操作,每个数据流生成四个直方图,由于无法预知各个特征有多少种特征值所以直方图的长度是不可预知,所以需要统一它的长度。
[0020]使用敏感Hash函数来将不定长特征直方图转化为定长的特征向量,分别对不同的特征直方图进行敏感hash值计算,两个不同直方图的敏感Hash值之间的Jaccard相似度逼近直方图之间的Jaccard相似度。
[0021]优选的是,步骤S4中图卷积神经网络可以同时对特征矩阵和图结构进行训练,但是只能训练节点的特征矩阵,而目前的流特征向量表示的是边特征属性,为了将边特征转化为节点特征将流量交互图转化成流量关联图,然后将特征向量和流量关联图一起输入到图卷积神经网络种进行训练。
[0022]与现有技术相比,本专利技术的有益效果是:
[0023]融合了流量统计特征和结构特征,流量统计特征表示了两主机之间数据流的特征,结构特征为局域网内流量交互特征,前者着眼于数据包本身,后者着眼于全局的结构特征,正常流量和恶意流量之间至少有一种特征是不同的,利用流量交互图的变换使得图卷积神经网络可以融合流量统计特征和结构特征,更加全面的学习隐蔽恶意流量和正常流量的区别;
[0024]逐包统计数据包特征并记录下来,经过直方图、流特征向量的转变,使得流的数据包级特征被完整的记录在定长的流特征向量中,减少了手动构造的统计特征的信息丢失,定长的特征向量也保证了检测的时间和空间方面的消耗。
附图说明
[0025]图1为一种融合统计特征和图结构特征的隐蔽恶意流量检测方法的系统架构图。
[0026]图2为一种融合统计特征和图结构特征的隐蔽恶意流量检测方法的流程图。
具体实施方式
[0027]下面结合附图对本专利技术较佳实施例进行详细阐述,以使专利技术的优点和特征能更易于被本领域技术人员理解,从而对本专利技术的保护范围做出更为清楚明确的界定。
[0028]请参阅图1和图2,本专利技术实施例包括:
[0029]一种融合统计特征和图结构特征的隐蔽恶意流量检测方法,该种融合统计特征和图结构特征的隐蔽恶意流量检测方法包括以下步骤:
[0030]步骤S1:监听网关流量,将数据包聚合成数据流,构造出流量交互图,图中节点表示一个主机,一条边表示一个数据流;
[0031]步骤S2:对各个数据流中的数据包进行数据包级特征提取,将数据流中逐包特征集合生成流特征直方图,将不等长的流特征直方图转化为等长的流特征向量;
[0032]步骤S3:将流量交互图根据各个节点数据流之间的关系转化为流量关联图,该图以流作为节点,流特征向量作为节点属性;
[0033]步骤S4:使用图卷积神经网络训练数据流特征和图结构特征,最终识别出隐蔽的恶意流量。
[0034]步骤S1中将流量监听设备设置在网关处,监听局域网内部的流量。
[0035]步骤S1中根据源IP和目的IP将在该时间段内监听到的数据包聚集成流,一个数据流作为流量交互图中的一条边,主机作为流量交互图的一个节点,流量交互图中包含了数据流的结构信息,攻击行为一般具有攻击链,攻击本文档来自技高网
...

【技术保护点】

【技术特征摘要】
1.一种融合统计特征和图结构特征的隐蔽恶意流量检测方法,其特征在于:包括以下步骤:步骤S1:监听网关流量,将数据包聚合成数据流,构造出流量交互图,图中节点表示一个主机,一条边表示一个数据流;步骤S2:对各个数据流中的数据包进行数据包级特征提取,将数据流中逐包特征集合生成流特征直方图,将不等长的流特征直方图转化为等长的流特征向量;步骤S3:将流量交互图根据各个节点数据流之间的关系转化为流量关联图,该图以流作为节点,流特征向量作为节点属性;步骤S4:使用图卷积神经网络训练数据流特征和图结构特征,最终识别出隐蔽的恶意流量。2.根据权利要求1所述的一种融合统计特征和图结构特征的隐蔽恶意流量检测方法,其特征在于:步骤S1中将流量监听设备设置在网关处,监听局域网内部的流量。3.根据权利要求1所述的一种融合统计特征和图结构特征的隐蔽恶意流量检测方法,其特征在于:步骤S1中根据源IP和目的IP将在该时间段内监听到的数据包聚集成流。4.根据权利要求1所述的一种融合统计特征和图结构特征的隐蔽恶意流量检测方法,其特征在于:步骤S2中对数据流进行数据包粒度特征提取,再将数据包粒度特征向量的转化成定长的流特征向量,输入到图卷积神经网络中进行学习和训练,最终得到分类结果。5.根据权利要求1所述的一种融合统计特征和图结构特征的隐蔽恶意流量检测方法,其特征在于:步骤S3中将流量交互图中的边转化成流量关联图中的节点,通过两个数据流是否与同一个主机有通信来判断两个数据流节点是否相连,将流量关联图输入...

【专利技术属性】
技术研发人员:卢功利孙辉周国栋赵益平郑康锋武斌
申请(专利权)人:北京邮电大学
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1