【技术实现步骤摘要】
本专利技术属于网络安全领域,具体涉及一种基于结构嵌入双向重构图网络的恶意流量检测方法。
技术介绍
1、在网络安全领域中,传统的恶意流量检测方法通常分为两种形式:基于数字签名的检测方法、基于流量特征识别的检测方法。基于签名的检测方法使用一个已知攻击签名的数据库来识别潜在的安全威胁,这种方法对于检测已知威胁的检测快速有效,但其严重依赖于攻击数据特征数据库,较大程度上限制其使用场景;基于流量特征识别的检测方法能够准确识别出异常网络访问与正常网络访问的行为偏差,同时可将异常网络访问行为标记为潜在安全威胁,能够有效地检测出未知的威胁,但其劣势在于容易预测假阳性警报。
2、传统的基于机器学习的异常流量检测方法是识别与正常网络行为的偏差,并将其标记为潜在的安全威胁。xu等人引入信息增益率自适应地选取流量特征并进行定量分析,然后利用改进的k-means算法来进行流量特征聚类。ashfaq等人使用模糊量对未标记样本进行分类,将每个类别分别合并到原始训练集后再对分类器进行训练。张浩等人提出一种基于数据增强和模型更新的异常流量检测技术,基于smote进行少量样本的过采样,结合enn算法剔除噪声数据,最后,采用带有分类特性的catboost分类算法进行流量分类。陈何雄等人提出了基于联邦学习的sdn异常流量协同检测技术。首先利用sdn网络中的传感节点,建立一个基于联合学习的多传感点的协同传感架构。然后,利用信息熵计算提取流量特征,从相对熵的角度分析观察节点的流量相关性,并根据这种相关性制定模型训练时的参数聚合优化策略。最后,将该策略应用于所提
3、近年来,图网络逐渐出现在人们的视野,并能够有效表示和分析各种复杂关系,应用于各个领域。现实网络访问中网页之间的访问通过超链接来实现,可将每个网页看作图网络中的一个节点,网页之间超链接则可视为图网络中的边,从而可将复杂的网页恶意流量检测问题映射为图卷积神经网络中节点分类问题。
4、传统恶意流量检测方法是基于单个网页来训练模型,而没有考虑到复杂的网络关系和动态特性,从而严重影响检测准确度。然而图网络能够捕捉到网页中节点之间的复杂关系,从而能够在网页节点拓扑图结构发生变化时也可进行动态更新。实现提高恶意流量预测的准确率。因此,如何将图网络应用在恶意流量检测中是网络安全方法亟待解决的问题。
技术实现思路
1、针对现有技术的不足,本专利技术提出了一种基于结构嵌入双向重构图网络的恶意流量检测方法,通过结合图网络方法,提出了一种恶意流量检测模型,实现网页访问中恶意流量准确、高效检测。
2、为实现上述目的,本专利技术提供了如下方案:
3、一种基于结构嵌入双向重构图网络的恶意流量检测方法,包括以下步骤:
4、获取网页数据集,其中,所述网页数据集包括:网页节点源数据集和网页节点正常流量数据集;
5、基于网页之间超链接关系构建异质网页图网络,得到网页节点图网络;
6、基于所述网页节点图网络,构建网页节点局部结构嵌入机制模型,获取网页节点的初始结构嵌入信息;
7、基于所述初始结构嵌入信息,构建双向图重构模型,获得网页节点同质性图ao和网页节点异质性图at;
8、基于所述网页节点同质性图ao和所述网页节点异质性图at,构建自适应网页节点分类模型;
9、结合所述网页节点源数据集和所述网页节点正常流量数据集对所述自适应网页节点分类模型进行训练,得到已训练自适应网页节点分类模型;
10、获取待测网页节点源数据,将待测网页节点源数据输入所述已训练自适应网页节点分类模型,获取待测网页节点流量预测数据;
11、对比待测网页节点流量实际数据及所述待测网页节点流量预测数据,若所述待测网页节点流量实际数据与所述待测网页节点流量预测数据的差值大于预设阈值,则初步判定该网页被恶意流量访问,最终输出被判定为恶意流量访问的网页节点。
12、优选的,基于所述网页节点图网络,构建网页节点局部结构嵌入机制模型,获取网页节点的初始结构嵌入信息的方法包括:
13、所述网页节点局部结构嵌入机制模型由gcn和线型层组成,基于网页节点源数据集对网页节点的初始结构嵌入信息进行提取,共有三层结构;
14、第一层结构由gcn来实现,输入为原始特征通道数d,经过对邻居节点特征的聚合以及通过可学习的权重矩阵w1变换后,再通过激活函数σ的作用,输出的特征通道数为隐藏层通道数h;
15、第二层结构和第三层结构均为线型层,在线型层中输入和输出通道数均和隐藏层通道数h一致,仍然通过可学习的权重矩阵w2、w3变换来保证一致的特征通道数;
16、在训练的过程中,设置超参数γ,以预设的概率保留原有节点信息,最终得到网页节点的初始结构嵌入信息embed。
17、优选的,基于所述初始结构嵌入信息,构建双向图重构模型,获得网页节点同质性图ao和网页节点异质性图at的方法包括:
18、所述双向图重构模型主要包括特征提取、反馈优化和图重构三个关键步骤;
19、首先通过特征提取和反馈优化,学习节点特征并通过损失函数进行优化;
20、随后进行图重构,得到网页节点同质性图ao和网页节点异质性图at。
21、优选的,所述双向图重构模型中特征提取的方法包括:
22、基于动态注意力机制gatv2来实现,共三层gatv2结构,前两层gatv2结构卷积后,通过激活函数增加模型非线性,最后一层gatv2结构不经过激活函数作用直接输出。
23、优选的,所述双向图重构模型中反馈优化的方法包括:
24、由三个损失函数来实现,具体为:分组损失、排序损失和标签损失;
25、其中,所述分组损失通过采样一定数量的正类别边和负类别边,增加正类别边对应节点之间的相似性,降低负类别边对应节点之间的相似性来进行学习,正类别边为两个相同类型节点之间有边链接,负类别边为两个不同类型的节点之间有边链接;
26、所述排序损失根据网页节点特征之间的余弦相似度预测已知的给定网页节点的相似度排名序列,从而进行反馈学习;
27、所述标签损失通过降低网页节点的预测类别和真实类别之间的交叉熵损失来实现。
28、优选的,所述双向图重构模型中图重构方法包括:
29、经过特征提取和反馈优化得到丰富的节点特征表示;
30、通过计算节点特征表示之间的点积,得到节点之间的相似性度量;
31、基于所述相似性度量,得到每个节点的最相似的khomo个节点和最不相似的kheter个节点;
32、构建khomo个节点和kheter个节点的边索引,得到节点的同质性图ao、异质性图at。
33、优选的,基于所述网页节点同质性图ao和所述网页节点异质性图at,构建自适应网页节点分类模型的方法包括:
34、将网页节点本文档来自技高网...
【技术保护点】
1.一种基于结构嵌入双向重构图网络的恶意流量检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于结构嵌入双向重构图网络的恶意流量检测方法,其特征在于,基于所述网页节点图网络,构建网页节点局部结构嵌入机制模型,获取网页节点的初始结构嵌入信息的方法包括:
3.根据权利要求1所述的基于结构嵌入双向重构图网络的恶意流量检测方法,其特征在于,基于所述初始结构嵌入信息,构建双向图重构模型,获得网页节点同质性图Ao和网页节点异质性图At的方法包括:
4.根据权利要求3所述的基于结构嵌入双向重构图网络的恶意流量检测方法,其特征在于,所述双向图重构模型中特征提取的方法包括:
5.根据权利要求3所述的基于结构嵌入双向重构图网络的恶意流量检测方法,其特征在于,所述双向图重构模型中反馈优化的方法包括:
6.根据权利要求3所述的基于结构嵌入双向重构图网络的恶意流量检测方法,其特征在于,所述双向图重构模型中图重构方法包括:
7.根据权利要求1所述的基于结构嵌入双向重构图网络的恶意流量检测方法,其特征在于,基于所述网页节点同
...【技术特征摘要】
1.一种基于结构嵌入双向重构图网络的恶意流量检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于结构嵌入双向重构图网络的恶意流量检测方法,其特征在于,基于所述网页节点图网络,构建网页节点局部结构嵌入机制模型,获取网页节点的初始结构嵌入信息的方法包括:
3.根据权利要求1所述的基于结构嵌入双向重构图网络的恶意流量检测方法,其特征在于,基于所述初始结构嵌入信息,构建双向图重构模型,获得网页节点同质性图ao和网页节点异质性图at的方法包括:
4.根据权利要求3所述的基于结构嵌入双向重构图...
【专利技术属性】
技术研发人员:刘康,代文青,康梦涛,江平升,
申请(专利权)人:中国矿业大学北京,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。