基于图卷积神经网络的攻击场景检测方法技术

本发明专利技术涉及网络安全领域，尤其涉及一种基于图卷积神经网络的攻击场景检测方法。随着网络攻击的复杂化和多样化，网络攻击场景的检测变得极具挑战。通常情况下，管理员会在网络节点中部署监控设备，如：入侵检测系统。入侵检测系统会产生大量的警报消息，用于反映底层网络中可能存在的攻击行为，通过分析这些入侵警报消息可以发现相应的攻击场景。普遍的做法是采用警报消息关联的方式将相似的网络安全警报消息聚集在一起，从而发现相似的攻击场景。这种警报消息的关联为网络管理人员提供了一种抽象的、更高级别的网络视图。本专利提出基于图卷积神经网络的攻击场景检测方法，用于发现网络警报消息中的攻击场景，利用图卷积神经网络，将攻击场景的检测转化为警报消息图上节点的多分类问题，实现了较为准确的检测效果。实现了较为准确的检测效果。实现了较为准确的检测效果。

【技术实现步骤摘要】
基于图卷积神经网络的攻击场景检测方法


[0001]本专利技术属于网络安全领域，尤其涉及一种基于图卷积神经网络的攻击场景检测方法。

技术介绍

[0002]随着网络攻击的复杂化和多样化，网络攻击场景的检测变得极具挑战。通常情况下，管理员会在网络节点中部署监控设备，如：入侵检测系统。入侵检测系统会产生大量的警报消息，用于反映底层网络中可能存在的攻击行为，通过分析这些入侵警报消息可以发现相应的攻击场景。普遍的做法是采用警报消息关联的方式将相似的网络安全警报消息聚集在一起，从而发现相似的攻击场景。这种警报消息的关联为网络管理人员提供了一种抽象的、更高级别的网络视图。
[0003]为此，本专利技术提出基于图卷积神经网络的攻击场景检测方法，用于发现网络警报消息中的攻击场景。

技术实现思路

[0004]本专利技术的目的是克服现有技术中的不足，提供一种基于图卷积神经网络的攻击场景检测技术。
[0005]这种网络攻击场景检测技术，包括以下步骤：
[0006]S1、由入侵检测系统产生的可能的潜在攻击信号定义为警报信息，根据分类本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于图卷积神经网络的攻击场景检测方法，其特征在于，该方法包括以下步骤：S1、由入侵检测系统产生的可能的潜在攻击信号定义为警报信息，根据分类属性和数值属性对警报信息编码；S102、确定警报消息的分类属性和数值属性，采用离散化的思想将数值属性映射到离散类别；S104、使用独热编码对警报消息混合数据编码为特征向量；S2、创建警报消息图，图顶点为警报信息图，图的边都由警报消息之间的相似度决定，根据警报消息相似度计算邻接矩阵；S202、根据警报消息相似度计算邻接矩阵，对图的邻接矩阵采用稀疏矩阵存储；S204、对单个属性，乘以对应预设的属性权重得到警报信息的相似度，根据预设属性权重调整邻接矩阵数值；S3、设计图卷积神经网络结构，将到检测的警报信息图输出入图神经网络分类，实现警报信息的攻击场景检测；S302、设计图卷积神经网络从邻接点学习图节点特征；S304、利用图拉普拉斯矩阵的特征分解来实现信息传播，从图的少数节点传播生成合成节点；S306、使用边生成器生成新的节点集连接边；S308、将扩展警报信息图输入图卷积神经网络进行分类训练，通过交叉熵损失函数将警报消息攻击类别的标签和预测概率值进行比较，当交叉熵损失函数收敛时完成对图卷积神经网络的训练。2.如权利要求1所述的一种基于图卷积神经网络的攻击场景检测方法，其特征在于，S...

【专利技术属性】
技术研发人员：刘彦伸，郭银锋，吴艳，虞雁群，
申请(专利权)人：浙江御安信息技术有限公司，
类型：发明
国别省市：