基于自监督协作对比学习的网络入侵检测方法及应用技术

本发明专利技术公开了一种基于自监督协作对比学习的网络入侵检测方法及应用，该方法包括以下步骤：基于目标网络内定期收集的网络流量数据，建立主机交互图，其中所述主机交互图包括节点和边；基于网络结构视图和元路径视图，提取所述主机交互图的本地结构特征和高阶结构特征，获得所述网络结构视图和元路径视图的边特征嵌入；结合所述网络结构视图和元路径视图的边特征嵌入进行自监督协作对比学习，训练所述网络结构视图的特征嵌入模型；基于所述特征嵌入模型，提取所述主机交互图中的网络流量特征，并生成边特征嵌入向量以识别恶意网络流量。该方法能够有效提升网络入侵检测的泛化性与准确率。与准确率。与准确率。

【技术实现步骤摘要】
基于自监督协作对比学习的网络入侵检测方法及应用


[0001]本专利技术是关于流量监测领域，特别是关于一种基于自监督协作对比学习的网络入侵检测方法及应用。

技术介绍

[0002]如今，网络系统面临着愈发严重的安全挑战，其中，具有组织性、特定目标以及长时间持续性的高级持续性威胁(APT)攻击在世界范围内具有较高的高风险发生率。APT攻击是一种以商业或者政治目的为前提的特定攻击，其能够通过一系列具有针对性的攻击行为以获取某个组织甚至国家的重要信息，特别是针对国家重要的基础设施和单位展开攻击。因此，亟需有效的方法来检测类似于APT攻击的复杂网络攻击。
[0003]现有技术中，攻击检测领域内的方法主要分为两类检测方法，基于主机的检测和基于网络流量的检测。基于主机的检测模型主要分析终端主机中攻击的恶意行为；基于网络流量的检测主要是收集和分析网络中的通信流量，并提取相应的特征来实现流量检测。
[0004]实际中，企业通常利用网络入侵检测系统(NIDS)对网络流量进行攻击检测，以保护企业的数据安全。传统意义的，NIDS可以分为两大类，基于签名的NIDS和基于行为的NIDS。基于签名的NIDS利用一组预先确定的规则、度量或计算来对网络流量进行检测。实际上，由于漏洞披露的时间滞后性和攻击武器的更新换代等现实性挑战的存在，基于签名的NIDS往往无法应对未知攻击。
[0005]另一方面，基于行为的NIDS依赖于更复杂的操作，通常运用机器学习方法识别复杂和不断进化的网络攻击。针对特定行为，通常使用监督学习的方法，然而在零日攻击等未知攻击的情况下，网络流量很少能被正确分类。
[0006]此外，由于APT攻击等复杂网络攻击在实际入侵行动中，往往具有横向移动等多步攻击行为，而传统的NIDS方法通常忽略了网络流量的拓扑模式，难以捕捉这类复杂网络攻击的整体网络图模式和横向移动路径。
[0007]公开于该
技术介绍
部分的信息仅仅旨在增加对本专利技术的总体背景的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。

技术实现思路

[0008]本专利技术的目的在于提供一种基于自监督协作对比学习的网络入侵检测方法及应用，其能够提升网络入侵检测的泛化性与准确率。
[0009]为实现上述目的，本专利技术的实施例提供了一种基于自监督协作对比学习的网络入侵检测方法。
[0010]在本专利技术的一个或多个实施方式中，所述检测方法包括：基于目标网络内定期收集的网络流量数据，建立主机交互图，其中所述主机交互图包括节点和边，所述节点包括所述目标网络中的终端实体，所述边包括所述终端实体间的交互关系；基于网络结构视图和元路径视图，提取所述主机交互图的本地结构特征和高阶结构特征，获得所述网络结构视
图和元路径视图的边特征嵌入；结合所述网络结构视图和元路径视图的边特征嵌入进行自监督协作对比学习，训练所述网络结构视图的特征嵌入模型；基于所述特征嵌入模型，提取所述主机交互图中的网络流量特征，并生成边特征嵌入向量以识别恶意网络流量。
[0011]在本专利技术的一个或多个实施方式中，所述获得所述网络结构视图的边特征嵌入，具体包括：对所述主机交互图的每个节点进行邻域信息聚合，获取节点特征嵌入；基于所述节点特征嵌入获取所述网络结构视图的边特征嵌入。
[0012]在本专利技术的一个或多个实施方式中，所述获得所述元路径视图的边特征嵌入，具体包括：对所述元路径视图中每条元路径使用GCN编码聚合对应节点特征；基于所述节点特征嵌入获取每条元路径的边特征嵌入；基于语义级注意力融合不同的元路径，获得所述元路径视图的边特征嵌入。
[0013]在本专利技术的一个或多个实施方式中，所述方法还包括：基于所述网络结构视图和元路径视图的边特征嵌入进行自监督协作对比学习，计算正样本集和负样本集在所述网络结构视图下的对比损失，其中所述正样品集和负样本集来自所述元路径视图或所述网络模式视图；基于所述对比损失，训练所述网络结构视图和元路径视图的特征嵌入模型。
[0014]在本专利技术的一个或多个实施方式中，所述方法还包括：基于所述网络结构视图中的特征嵌入模型提取所述主机交互图中网络流量数据的特征，生成所述边特征嵌入向量；和/或，基于无监督异常检测算法检测所述边特征嵌入向量，识别恶意网络流量。
[0015]在本专利技术的一个或多个实施方式中，所述无监督异常检测算法包括PCA、IF、HBOS中的至少一个。
[0016]在本专利技术的一个或多个实施方式中，所述终端实体包括主机、DNS服务器中的至少一个，所述交互关系包括认证授权、网络请求、网络响应中的至少一个。
[0017]在本专利技术的另一个方面当中，提供了一种基于自监督协作对比学习的网络入侵检测装置，其包括制图模块、提取模块、训练模块和检测模块。
[0018]制图模块，用于基于目标网络内定期收集的网络流量数据，建立主机交互图，其中所述主机交互图包括节点和边，所述节点包括所述目标网络中的终端实体，所述边包括所述终端实体间的交互关系。
[0019]提取模块，用于基于网络结构视图和元路径视图，提取所述主机交互图的本地结构特征和高阶结构特征，获得所述网络结构视图和元路径视图的边特征嵌入。
[0020]训练模块，用于结合所述网络结构视图和元路径视图的边特征嵌入进行自监督协作对比学习，训练所述网络结构视图的特征嵌入模型。
[0021]检测模块，用于基于所述特征嵌入模型，提取所述主机交互图中的网络流量特征，并生成边特征嵌入向量以识别恶意网络流量。
[0022]在本专利技术的一个或多个实施方式中，所述提取模块还用于：对所述主机交互图的每个节点进行邻域信息聚合，获取节点特征嵌入；基于所述节点特征嵌入获取所述网络结构视图的边特征嵌入。
[0023]在本专利技术的一个或多个实施方式中，所述提取模块还用于：对所述元路径视图中每条元路径使用GCN编码聚合对应节点特征；基于所述节点特征嵌入获取每条元路径的边特征嵌入；基于语义级注意力融合不同的元路径，获得所述元路径视图的边特征嵌入。
[0024]在本专利技术的一个或多个实施方式中，所述训练模块还用于：基于所述网络结构视
图和元路径视图的边特征嵌入进行自监督协作对比学习，计算正样本集和负样本集在所述网络结构视图下的对比损失，其中所述正样品集和负样本集来自所述元路径视图或所述网络模式视图；基于所述对比损失，训练所述网络结构视图和元路径视图的特征嵌入模型。
[0025]在本专利技术的一个或多个实施方式中，所述检测模块还用于：基于所述网络结构视图中的特征嵌入模型提取所述主机交互图中网络流量数据的特征，生成所述边特征嵌入向量；和/或，基于无监督异常检测算法检测所述边特征嵌入向量，识别恶意网络流量。
[0026]在本专利技术的另一个方面当中，提供了一种计算设备，包括：至少一个处理器；以及存储器，所述存储器存储指令，当所述指令被所述至少一个处理器执行时，使得所述至少一个处理器执行如上所述的基于自监督协作对比学习的网络入侵检测方本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于自监督协作对比学习的网络入侵检测方法，其特征在于，所述检测方法包括：基于目标网络内定期收集的网络流量数据，建立主机交互图，其中所述主机交互图包括节点和边，所述节点包括所述目标网络中的终端实体，所述边包括所述终端实体间的交互关系；基于网络结构视图和元路径视图，提取所述主机交互图的本地结构特征和高阶结构特征，获得所述网络结构视图和元路径视图的边特征嵌入；结合所述网络结构视图和元路径视图的边特征嵌入进行自监督协作对比学习，训练所述网络结构视图的特征嵌入模型；基于所述特征嵌入模型，提取所述主机交互图中的网络流量特征，并生成边特征嵌入向量以识别恶意网络流量。2.如权利要求1所述的基于自监督协作对比学习的网络入侵检测方法，其特征在于，所述获得所述网络结构视图的边特征嵌入，具体包括：对所述主机交互图的每个节点进行邻域信息聚合，获取节点特征嵌入；基于所述节点特征嵌入获取所述网络结构视图的边特征嵌入。3.如权利要求1所述的基于自监督协作对比学习的网络入侵检测方法，其特征在于，所述获得所述元路径视图的边特征嵌入，具体包括：对所述元路径视图中每条元路径使用GCN编码聚合对应节点特征；基于所述节点特征嵌入获取每条元路径的边特征嵌入；基于语义级注意力融合不同的元路径，获得所述元路径视图的边特征嵌入。4.如权利要求1所述的基于自监督协作对比学习的网络入侵检测方法，其特征在于，所述方法还包括：基于所述网络结构视图和元路径视图的边特征嵌入进行自监督协作对比学习，计算正样本集和负样本集在所述网络结构视图下的对比损失，其中所述正样品集和负样本集来自所述元路径视图或所述网络模式视图；基于所述对比损失，训练所述网络结构视图和元路径视图的特征嵌入模型。5.如权利要求1所述的基于自监督协作对比学习的网络入侵检测方法，其特征在于，所述方法还包括：基于所述...

【专利技术属性】
技术研发人员：陈兵，谢磊，
申请(专利权)人：南京航空航天大学，
类型：发明
国别省市：