本发明涉及网络安全,具体涉及一种基于异构图注意力网络和随机游走的恶意加密流量检测方法。
背景技术:
1、随着互联网的快速发展,恶意流量识别已成为网络空间安全和网络管理的重要任务。为了保障数据信息在传输过程中的安全,越来越多的网络流量采用加密的方式进行传输。加密流量在提供流量隐私和数据保护的同时也产生了一定的风险。加密流量作为网络攻击和网络威胁的重要载体,许多不法分子利用加密协议对恶意流量进行封装等手段,隐藏不良意图,以达到绕过网络防火墙以及躲避入侵检测的目的。然而,这给网络空间安全监控和抵御网络攻击带来了巨大的挑战。
2、目前,研究人员已经提出了多种方法,例如传统的基于负载的深度数据包检测(dpi)方法将数据包中的关键字与固定规则进行匹配,对于未加密的流量非常有效。然而,在处理加密的有效负载时,它们的准确性会显着降低。随后,基于机器学习的方法被广泛应用于识别加密流量。然而,这些方法需要人工提取特征,这不仅耗时,而且缺乏适应不断变化的威胁所需的灵活性。随着神经网络的进步,基于深度学习的方法,像卷积神经网络(cnn)和循环神经网络(rnn),已经越来越多地应用于分析恶意加密网络流量。这些模型将输入数据转换为固定长度的向量并应用学习的特征检测器。然而,这种将数据映射到欧几里德空间的转换过程常常忽略网络流量中数据包之间的复杂关系,从而丢失潜在有价值的信息。因此,最近的研究采用图神经网络(gnn)的方法将网络流量建模为图来捕获节点之间的关系。gnn通过将网络流量建模为图来捕获节点之间的复杂关系。大多数现有的基于gnn的方法都是基于数据包相关性构建图。该网络仅包含单一节点类型,很难对异构网络对象(例如端口、协议)之间复杂的相互依赖关系进行建模。
技术实现思路
1、本发明为了克服以上技术的不足,提供了一种捕获加密流量中潜在的空间结构信息和时序关联,提升模型检测的准确性的基于异构图注意力网络和随机游走的恶意加密流量检测方法。
2、本发明克服其技术问题所采用的技术方案是:
3、一种基于异构图注意力网络和随机游走的恶意加密流量检测方法,包括:
4、(a)建立由加密流量数据构成的初始数据集;
5、(b)对初始数据集按会话进行切分,得到切分后的数据集,,其中为第个会话,,为会话的数量;
6、(c)根据切分后的数据集构建csv文件;
7、(d)根据csv文件构建异质图及元路径集合;
8、(e)利用元路径集合执行随机游走算法,得到更新后的邻接矩阵;
9、(f)建立异质图注意力模型,将更新后的邻接矩阵输入到异质图注意力模型中,输出得到最终的嵌入表示;
10、(g)根据最终的嵌入表示得到0,1的概率分布,为0时表示恶意流量,为1时表示良性流量。
11、进一步的,步骤(a)中利用python的scapy工具包的rdpcap()函数加载公共数据集中的pcap文件中的所有数据包,得到初始数据集。
12、进一步的,步骤(b)中使用python的scapy工具包解析初始数据集,将初始数据集按会话切分,得到切分后的数据集,第个会话,为第个会话中的第个数据包,,为第个会话中的数据包的数量。
13、进一步的,步骤(c)包括如下步骤:
14、(c-1)使用python的scapy工具包解析切分后的数据集中的第个会话,将第个会话中的数据包、ip协议、协议、端口号作为图构建的节点;
15、(c-2)提取第个会话的源mac、目的mac、数据包长度、载荷长度、ip、udp长度、ttl时间、时间戳、第个会话中第个数据包与第个数据包的时间差值作为节点的特征向量;
16、(c-3)第个会话中的第个数据包的用语标识该数据包是否为恶意流量的标签为labels;
17、(c-4)建立dataframe表格,dataframe表格的第行为第个会话中的第个数据包,,dataframe表格的列分别为节点、数据包节点特征信息、labels;
18、(c-5)利用pandas库将dataframe表格转存为csv文件。
19、进一步的,步骤(d)包括如下步骤:
20、(d-1)使用python中的networkx库利用csv文件中的节点创建一个有向图,,其中为节点集合,为边集合,,为第个节点,,为节点的数量,,为第条边,,为边的数量,边集合中有条相似性边,,创建一个包含256个元素的向量,将向量中每个元素初始化为零,遍历第个会话中第个数据包中的每个字节,向量的每个元素为对应的字节值在该数据包中出现的次数,得到一个256维的频率向量;创建一个包含256个元素的向量,将向量中每个元素初始化为零,遍历第个会话中第个数据包中的每个字节,向量的每个元素为对应的字节值在该数据包中出现的次数,得到一个256维的频率向量,计算频率向量与频率向量之间的余弦相似度,当余弦相似度大于阈值时,有向图中添加一条相似性边;
21、(d-2)使用python中的networkx库将有向图转换为dgl库支持的异质图;
22、(d-3)元路径集合,为第种元路径,,第1种元路径为:数据包-协议-数据包;第2种元路径为:数据包-端口号-数据包;第3种元路径为:数据包-相似性边-数据包;第4种元路径为:数据包-ip-数据包。
23、优选的,阈值取值为0.9。
24、进一步的,步骤(e)包括如下步骤:
25、(e-1)对第种元路径创建一个邻接矩阵,,如果第个会话中的第个数据包与第个会话中的第个数据包之间的关系符合元路径,则将邻接矩阵中第行第列的值设置为1,如果第个会话中的第个数据包与第个会话中的第个数据包之间的关系不符合元路径,则将邻接矩阵中第行第列的值设置为0;
26、(e-2)选择与第个节点的关系符合元路径的潜在邻居节点,通过公式计算得到第个节点与潜在邻居节点之间的权重,式中为调节系数,为第个节点与潜在邻居节点之间的时间差值,为绝对值;
27、(e-3)通过公式计算得到第个节点到潜在邻居节点的转移概率,为与第个节点关系符合元路径的潜在邻居节点,为与第个节点的关系符合元路径的潜在邻居节点的集合,为潜在邻居节点与第个节点之间的权重,,为第个节点与潜在邻居节点之间的时间差值,当转移概率大于阈值时,将潜在邻居节点添加至邻居节点集合;
28、(e-4)检查潜在邻居节点是否位于邻居节点集合中,如果否,则将其添加只邻居节点集合,重复执行步骤(e-3)直至邻居节点集合中的邻居节点达到个;
29、(e-5)如果邻居节点集合中的第个邻居节点存在,则将邻接矩阵中第行第列的值设置为1且将第行第列的值设置为1,得到更新后的邻接矩阵。
30、进一步的,步骤(f)包括如下步骤:
31、(f-1)异质图注意力模型由节点级注意力模块、语义级注意力模块构成,节点级注意力模块由前馈神经网络、归一化单元、聚合单元构成,语义级注意力模块由重要性单元、权重单元、聚合单元构成;
32、(f-2)建立变化矩阵,为节点的特征向量的数量,通过公式计算得到新的特征向量,式中为第个节点的特征向量,通过公式计算得到新的特征向量,式中为潜在邻居节点的特征向量;
33、(f-3)将新的特征向量、新的特征向量、更新后的邻接矩阵输入到节点级注意力模块的前馈神经网络中,输出得到潜在邻居节点对于第个节点的重要性指标;
34、(f-4)将重要性指标输入到节点级注意力模块的归一化单元中进行归一化处理,得到权重系数;
35、(f-5)将权重系数输入到节点级注意力模块的聚合单元中,通过公式计算得到第个节点基于元路径的节点邻居的特征映射向量和权重系数的聚合值,为sigmoid激活函数,个节点的聚合值构成元路径的聚合值集,,4种元路径的聚合值集为;
36、(f-6)将聚合值输入到语义级注意力模块的重要性单元中,通过公式计算得到重要性指标,式中为语义级注意力向量,为转置,为tanh函数,为权重矩阵,为偏置向量;
37、(f-7)将重要性指标输入到语义级注意力模块的权重单元中,通过公式计算得到元路径的权重;
38、(f-8)将权重输入到语义级注意力模块的聚合单元中,通过公式计算得到最终的嵌入表示。
39、进一步的,步骤(g)中将最终的嵌入表示依次输入到多层感知机mlp、全连接层、sigmoid函数,输出得到0,1的概率分布。
40、进一步的,还包括使用adam优化器利用交叉熵损失函数训练异质图注意力模型,得到优化后的异质图注意力模型。
41、本发明的有益效果是:通过对加密流量数据进行异质图建模,实现节点之间关联关系的建立,并采用异质图注意力网络来学习节点级和元路径级的嵌入。同时该模型采用基于元路径的随机游走策略,捕获加密流量中隐藏的时间特征和空间结构信息,进一步提升模型检测的准确性。通过深度学习技术,实现了对恶意加密流量的检测。所提出的方法能够捕获节点之间的关联关系,有助于识别网络中的恶意活动和保护用户及系统的安全。
1.一种基于异构图注意力网络和随机游走的恶意加密流量检测方法,其特征在于,包括:
2.根据权利要求1所述的基于异构图注意力网络和随机游走的恶意加密流量检测方法,其特征在于:步骤(a)中利用python的scapy工具包的rdpcap()函数加载公共数据集中的pcap文件中的所有数据包,得到初始数据集。
3.根据权利要求1所述的基于异构图注意力网络和随机游走的恶意加密流量检测方法,其特征在于:步骤(b)中使用python的scapy工具包解析初始数据集,将初始数据集按会话切分,得到切分后的数据集,第个会话,为第个会话中的第个数据包,,为第个会话中的数据包的数量。
4.根据权利要求1所述的基于异构图注意力网络和随机游走的恶意加密流量检测方法,其特征在于,步骤(c)包括如下步骤:
5.根据权利要求4所述的基于异构图注意力网络和随机游走的恶意加密流量检测方法,其特征在于,步骤(d)包括如下步骤:
6.根据权利要求5所述的基于异构图注意力网络和随机游走的恶意加密流量检测方法,其特征在于:阈值取值为0.9。
7.根据权利要求5所述的基于异构图注意力网络和随机游走的恶意加密流量检测方法,其特征在于,步骤(e)包括如下步骤:
8.根据权利要求7所述的基于异构图注意力网络和随机游走的恶意加密流量检测方法,其特征在于,步骤(f)包括如下步骤:
9.根据权利要求1所述的基于异构图注意力网络和随机游走的恶意加密流量检测方法,其特征在于:步骤(g)中将最终的嵌入表示依次输入到多层感知机mlp、全连接层、sigmoid函数,输出得到0,1的概率分布。
10.根据权利要求1所述的基于异构图注意力网络和随机游走的恶意加密流量检测方法,其特征在于:还包括使用adam优化器利用交叉熵损失函数训练异质图注意力模型,得到优化后的异质图注意力模型。
