基于ChebNet图卷积神经网络的邮件蠕虫检测系统技术方案

基于ChebNet图卷积神经网络的邮件蠕虫检测系统，包括以下步骤：步骤1)基于开源威胁情报信息库、恶意样本分享站点、在线病毒扫描器等渠道收集有关蠕虫邮件的数据，并对原始数据进行预处理，得到蠕虫邮件的历史特征，并构建邻接矩阵关系图来表示蠕虫邮件节点之间的关系；步骤2)得到增强ChebNet图卷积神经网络模型；步骤3)将待检测的蠕虫邮件数据代入增强ChebNet图卷积神经网络模型中，进行分类或者回归提取邮件特征，对邮件进行预测和判定，根据判定结果实现蠕虫邮件的检测和预警。本发明专利技术通过上述步骤，解决目前邮件蠕虫检测技术的不足，达到保护网络安全的目的。达到保护网络安全的目的。达到保护网络安全的目的。

【技术实现步骤摘要】
基于ChebNet图卷积神经网络的邮件蠕虫检测系统


[0001]本专利技术属于计算机网络安全领域领域，特别涉及一种基于ChebNet图卷积神经网络的邮件蠕虫检测系统。

技术介绍

[0002]邮件蠕虫是一种恶意软件，通常通过电子邮件或其他通信方式传播。它可以自我复制并感染计算机网络中的其他系统，从而形成一个蠕虫网络。邮件蠕虫可能会执行未经授权的操作或窃取敏感信息，造成严重的损害和数据泄露。因此，检测和预防邮件蠕虫攻击对于保护计算机网络安全至关重要。
[0003]ChebNet是一种基于图卷积神经网络GCN的模型，用于处理图形数据。与传统的卷积神经网络不同，GCN可以处理非欧几里得结构的数据，如网状结构或图形数据。ChebNet则使用切比雪夫多项式逼近来实现空间卷积操作，以提高图形数据的特征提取精度。
[0004]在邮件蠕虫检测中，可以将网络流量数据转换为图形数据，并将其输入到增强ChebNet中进行特征提取和分类。具体而言，可以将网络节点表示为向量，每个向量代表一个网络节点的属性或行为。然后，使用ChebNet对这些向量进行卷积操作，以提取节点之间的关系和拓扑结构信息。最后，可以使用softmax函数将每个节点分类为正常或感染的邮件蠕虫。ChebNet在处理图形数据时具有良好的性能和鲁棒性，因此可以用于检测和防御邮件蠕虫攻击。

技术实现思路

[0005]针对现有技术的不足，本专利技术提供一种基于增强ChebNet图卷积神经网络的邮件蠕虫检测系统，旨在解决目前邮件蠕虫检测技术的不足，达到保护系统安全的目的。
[0006]本专利技术是通过以下技术方案实现的：基于ChebNet图卷积神经网络的邮件蠕虫检测系统，包括以下步骤：
[0007]步骤1)基于开源威胁情报信息库、恶意样本分享站点、在线病毒扫描器等渠道收集有关蠕虫邮件的数据，并对原始数据进行预处理，得到蠕虫邮件的历史特征，并构建邻接矩阵关系图来表示蠕虫邮件节点之间的关系；
[0008]1.1)数据收集；
[0009]1.2)数据清洗和去重；
[0010]1.3)数据标注和分类；
[0011]1.4)特征提取和选择；
[0012]1.5)构建邻接矩阵关系图；
[0013]首先，每个将每个蠕虫邮件转化为二进制形式，并将每个二进制数值表示为一个节点，根据二进制序列建立含有节点和边的图结构，其中节点表示二进制数值，边表示相邻二进制数值之间的依赖关系；通过对这些节点的特征进行分析和计算，捕捉到节点之间的关联性，节点是对应的二进制数值和操作码，二进制数值表示蠕虫邮件中数据，操作码用于
描述计算机执行的操作类型和参数，节点之间的连通性表示它们之间的关联关系；
[0014]此外，所有蠕虫邮件被抽象为一组动态图网络结构集合G＝{G1,G2,
···
G
T
}，其中G
t
＝{V
t
,E
t
}代表第t个字节长文件的图结构信息，为第t个字节长的特征向量；X
t
∈R
N
×
N
为邮件蠕虫邮件的第t个字节长的二维特征矩阵，其元素xij表示字节i和字节j紧邻出现的次数除以t；为邮件在第1个至第T个文本段所堆叠的三维特征矩阵，其中N个邮件关联关系通过二维邻接矩阵A∈R
N
×
N
表示；邻接矩阵关系图的通过A'∈R
3N
×
3N
二维矩阵表示，公式(1)所示：
[0015][0016]步骤2)得到增强ChebNet图卷积神经网络模型；
[0017]增强ChebNet图卷积模型包含4个部分：图数据输入、卷积层特征提取、全连接层分类和矩阵乘积输出结果，由于需要进行特征分解计算，在参数和计算量上较大，用切比雪夫多项式替换图卷积的卷积核，加速特征矩阵的求解；
[0018]2.1)信息融合：利用拉普拉斯矩阵L对图的信息进行融合，信息融合通过在每个图层中应用切比雪夫多项式近似图形信号的方式进行实现；通过计算切比雪夫多项式的系数来构造一个滤波器，滤波器看作是一个局部子图上的加权平均，通过不同的滤波器组合，从不同的数据子图中捕捉关键特征，并将这些信息进行融合；
[0019]2.2)特征分解：模型使用基于图形结构的普适近似方法，利用Chebyshev多项式来近似拉普拉斯矩阵的函数，通过这种方法在谱域上对图形数据进行卷积操作，在特征分解过程中，拉普拉斯矩阵被分解为本征向量和本征值的形式，其中本征值表示了数据在频率域中的变化情况，不需要进行像传统的卷积神经网络那样的卷积运算，如下式将拉普拉斯矩阵X进行特征分解，得到特征值和特征向量，特征分解如公式(2)所示
[0020][0021]式中：为列向量U被称为切比雪夫矩阵，Λ是对角线矩阵，它的对角线元素是X的的特征值，U
‑1表示矩阵U的逆矩阵；
[0022]2.3)归一化：在模型中，使用拉普拉斯矩阵的特征向量来进行谱卷积操作，对拉普拉斯矩阵的特征向量进行归一化处理，将原本的空域信息转换为频域信息；对于拉普拉斯矩阵
[0023]L＝U1，将每个特征向量除以相应的特征值的平方根，得到归一化后的特征向量，使得每个特征向量都具有单位长度，方便进行谱卷积操作，保证特征向量之间的正交性，通过对拉普拉斯矩阵的特征向量进行归一化处理，将图像数据从空域转换为频域，利用谱卷积操作对图像数据进行卷积，通过对拉普拉斯矩阵的特征向量进行归一化处理，将图像数据从空域转换为频域，利用谱卷积操作对图像数据进行卷积，归一化的特征向量如公式(3)所示；
[0024][0025]式中：u
i
表示节点i的特征向量，λ
i
拉普拉斯矩阵的第i个特征值，也即是特征向量的本征值，则表示归一化后的特征向量，i的个数为图中的节点数，N为最大节点个数；
[0026]2.4)图卷积：利用拉普拉斯矩阵的Chebyshev多项式逼近滤波器函数，图卷积操作用于从节点邻居节点的特征中提取新的特征表示；图卷积操作看作是对每个节点的输入特征向量与邻居节点的特征向量进行线性聚合，得到该节点的新特征向量，图f与卷积核g
θ
的卷积公式如式(4)所示：
[0027]f
*
g
θ
＝U((U
T
g
θ
)
⊙
(U
T
f))
ꢀꢀꢀ
(4)
[0028]式中：*表示图卷积运算，
⊙
表示哈德曼乘积，f表示输入节点的特征向量，g
θ
表示学习到的权重参数，θ是模型可学习的参数；
[0029]2.5)矩阵乘积：使用前一时间步和当前时间步的特征向量计算预测结果；在时间序列数据中，相邻的时间步之间存在关联性，在相关性预测任务中，前一时间步的相关性大小对当前时间步的流相关性有较大的影响，作为一本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于ChebNet图卷积神经网络的邮件蠕虫检测系统，其特征在于，包括以下步骤：步骤1)基于开源威胁情报信息库、恶意样本分享站点、在线病毒扫描器等渠道收集有关蠕虫邮件的数据，并对原始数据进行预处理，得到蠕虫邮件的历史特征，并构建邻接矩阵关系图来表示蠕虫邮件节点之间的关系；步骤2)得到增强ChebNet图卷积神经网络模型；步骤3)将待检测的蠕虫邮件数据代入增强ChebNet图卷积神经网络模型中，进行分类或者回归提取邮件特征，对邮件进行预测和判定，根据判定结果实现蠕虫邮件的检测和预警。2.根据权利要求1所述的基于ChebNet图卷积神经网络的邮件蠕虫检测系统，其特征在于，所述的步骤1)中，具体方法为：1.1)数据收集；1.2)数据清洗和去重；1.3)数据标注和分类；1.4)特征提取和选择；1.5)构建邻接矩阵关系图。3.根据权利要求2所述的基于ChebNet图卷积神经网络的邮件蠕虫检测系统，其特征在于，所述的步骤1.5)中，具体方法为：首先，每个将每个蠕虫邮件转化为二进制形式，并将每个二进制数值表示为一个节点，根据二进制序列建立含有节点和边的图结构，其中节点表示二进制数值，边表示相邻二进制数值之间的依赖关系；通过对这些节点的特征进行分析和计算，捕捉到节点之间的关联性，节点是对应的二进制数值和操作码，二进制数值表示蠕虫邮件中数据，操作码用于描述计算机执行的操作类型和参数，节点之间的连通性表示它们之间的关联关系；此外，所有蠕虫邮件被抽象为一组动态图网络结构集合G＝{G1,G2,
···
G
T
}，其中G
t
＝{V
t
,E
t
}代表第t个字节长文件的图结构信息，为第t个字节长的特征向量；X
t
∈R
N
×
N
为邮件蠕虫邮件的第t个字节长的二维特征矩阵，其元素xij表示字节i和字节j紧邻出现的次数除以t；为邮件在第1个至第T个文本段所堆叠的三维特征矩阵，其中N个邮件关联关系通过二维邻接矩阵A∈R
N
×
N
表示；邻接矩阵关系图的通过A'∈R
3N
×
3N
二维矩阵表示，公式(1)所示：4.根据权利要求2所述的基于ChebNet图卷积神经网络的邮件蠕虫检测系统，其特征在于，所述的步骤2)中，具体方法为：增强ChebNet图卷积模型包含4个部分：图数据输入、卷积层特征提取、全连接层分类和矩阵乘积输出结果，由于需要进行特征分解计算，在参数和计算量上较大，用切比雪夫多项式替换图卷积的卷积核，加速特征矩阵的求解；增强ChebNet图卷积神经网络对图的结点、结构和边等信息进行融合，并转换为频域中的信息，具体操作如下：2.1)信息融合：利用拉普拉斯矩阵L对图的信息进行融合，信息融合通过在每个图层中应用切比雪夫多项式近似图形信号的方式进行实现；通过计算切比雪夫多项式的系数来构造一个滤波器，滤波器看作是一个局部子图上的加权平均，通过不同的滤波器组合，从不同
的数据子图中捕捉关键特征，并将这些信息进行融合；2.2)特征分解：模型使用基于图形结构的普适近似方法，利用Chebyshev多项式来近似拉普拉斯矩阵的函数，通过这种方法在谱域上对图形数据进行卷积操作，在特征分解过程中，拉普拉斯矩阵被分解为本征向量和本征值的形式，其中本征值表示了数据在频率域中的变化情况，不需要进行像传统的卷积神经网络那样的卷积运算，如下式将拉普拉斯矩阵X进行特征分解，得到特征值和特征向量，特征分解如公式(2)所示式中：为列向量U被称为切比雪夫矩阵，Λ是对角线矩阵，它的对角线元素是X的的特征值，U
‑1表示矩阵U的逆矩阵；2.3)归一化：在模型中，使用拉普拉斯矩阵的特征向量来进行谱卷积操作，...

【专利技术属性】
技术研发人员：周翰逊，娄权威，
申请(专利权)人：辽宁大学，
类型：发明
国别省市：