一种基于图注意力网络的网络入侵检测方法及系统

本发明涉及网络入侵检测领域，特别涉及一种基于图注意力网络的网络入侵检测方法及系统。

背景技术：

1、随着移动互联网、云计算、大数据、人工智能等信息技术的快速融合发展，各类物联网和工业互联网设备数量呈爆炸式增长，形成了一个庞大的分布式网络体系；这为社会的数字化转型和产业升级提供了有力支撑，人们的工作和生活通过这些互联设备和系统变得更加智能化和便利化；然而，与此同时，由于网络环境日益复杂，网络攻击的频率和复杂性也在不断提高；各类病毒木马程序和网络钓鱼欺诈手段层出不穷，给用户的信息安全和数据隐私带来了巨大隐患；这要求构建一个自动化、智能化并足够鲁棒的网络入侵检测系统，对庞大网络流量进行实时监控和分析，准确识别网络异常，进行预警和防御，已成为产业界和学术界的迫切需求。

2、现有网络入侵检测系统主要基于以下两类技术路线，一是基于签名的检测技术，通过匹配网络流量中是否包含已知攻击的特征签名来实现检测；二是基于异常的检测技术，通过学习网络的正常行为模式，来检测与该模式不符的流量，然而，现有的一些图神经网络方法在考虑网络结构信息时存在端到端性较差的问题，具体可表现为，现有系统多是独立处理网络编码和异常检测两个子任务，即只利用边缘特征而不充分建模节点特征，以及需要定义额外的池化层等。

3、因此，设计一种统一建模网络拓扑结构与流量特征的端到端网络入侵检测方法及系统具有重要价值。

技术实现思路

1、本发明的目的在于提供一种基于图注意力网络的网络入侵检测方法及系统，以解决现有入侵检测方法端到端性较差的问题。

2、为了解决上述问题，在第一技术方案中，本发明提供了一种基于图注意力网络的网络入侵检测方法，包括以下步骤：

3、利用数据集构建网络图，基于所述网络图提取特征信息，得到节点特征和边缘特征；

4、将所述节点特征和所述边缘特征输入至图注意力网络进行节点编码；以网络历史平均流量作为阈值，利用自监督算法生成节点辅助标签；将所述节点编码和所述节点辅助标签进行结合，得到信息丰富后节点编码；

5、基于边缘特征，将所述信息丰富后节点编码进行连接，得到边缘编码；

6、利用分类算法对所述边缘编码进行分类，得到入侵检测结果。

7、在第一技术方案的一些实施例中，在将所述节点特征和所述边缘特征输入至图注意力网络进行节点编码，这一步骤中，具体包括以下步骤：

8、所述节点特征在所述图注意力网络的生成层中生成节点嵌入；

9、利用二跳随机邻居节点算法筛选相邻的所述节点；

10、基于所述节点嵌入和所述边缘特征，利用关注机制函数计算注意力分数；

11、利用所述注意力分数与筛选后的相邻所述节点进行加权组合，得到加权后的相邻节点嵌入；

12、基于前一生成层的所述节点嵌入和前一生成层的所述加权后的相邻节点嵌入，利用更新函数更新所述节点嵌入；

13、遍历所有所述生成层，得到所述节点编码。

14、在第一技术方案的一些实施例中，所述关注机制函数，表示如下：

15、

16、所述更新函数，表示如下：

17、

18、上式中，是第l层从节点vj到节点vi的边缘特征，aij是从节点vj到节点υi的边缘特征，是节点υi在第l次迭代时的特征向量，是节点υj在第l次迭代时的特征向量，att(l)()为注意力机制函数，com(l)()为均值可微分函数，是节点υi在第l-1次迭代时的特征向量，是节点υj在第l-1次迭代时的特征向量，是其邻居节点集，agg(l)()为拼接可微分函数。

19、在第一技术方案的一些实施例中，在以网络历史平均流量作为阈值，利用自监督算法生成节点辅助标签，这一步骤中，具体包括以下步骤：

20、获取网络历史流量，并构建流量组；

21、以网络历史平均流量作为阈值构建判别器；

22、利用所述判别器获取所述节点映射到其流量组的概率分布，得到节点辅助标签；

23、其中，所述判别器定义如下：

24、

25、上述中，θ为sigmoid函数，nυ是节点数量，d1是嵌入空间中节点表示的维度，r是实数集合，ne是边缘数量。

26、在第一技术方案的一些实施例中，在基于边缘特征，将所述信息丰富后节点编码进行连接，得到边缘编码，这一步骤中，具体包括以下步骤：

27、构建编码器；

28、基于边缘特征，利用所述编码器将所述信息丰富后节点编码进行连接，得到边缘编码；

29、其中，所述编码器定义如下：

30、

31、上述中，nυ是节点数量，dnυ是节点表示维度，ne是边缘数，d2是边缘表示的维度。

32、在第一技术方案的一些实施例中，在利用数据集构建网络图之前，还包括以下步骤：

33、对数据集进行平衡预处理，得到平衡后数据集。

34、在第一技术方案的一些实施例中，在对数据集进行平衡预处理，得到平衡后数据集，这一步骤中，具体包括以下步骤：

35、基于所述数据集，利用生成算法生成少数类别入侵样本数据；

36、利用聚类算法从正常数据和多数类别数据中选择一些代表性数据；

37、基于所述少数类别入侵样本数、所述正常数据中的代表性数据和所述多数类别数据中的代表性数据，构建得到所述平衡后数据集。

38、在第一技术方案的一些实施例中，所述节点特征包括端点的源地址、端口号以及从端点到端点的传输频率；所述边缘特征至少包括流记录字段。

39、在第一技术方案的一些实施例中，所述网络图为有向网络图。

40、第二技术方案，本发明提供了一种基于图注意力网络的网络入侵检测系统，应用了第一技术方案所述的基于图注意力网络的网络入侵检测方法，包括：

41、提取模块，用于利用数据集构建网络图，基于所述网络图提取特征信息，得到节点特征和边缘特征；

42、节点编码模块，用于将所述节点特征和所述边缘特征输入至图注意力网络进行节点编码；以网络历史平均流量作为阈值，利用自监督算法生成节点辅助标签；将所述节点编码和所述节点辅助标签进行结合，得到信息丰富后节点编码；

43、边缘编码模块，用于基于边缘特征，将所述信息丰富后节点编码进行连接，得到边缘编码；

44、分类模块，用于利用分类算法对所述边缘编码进行分类，得到入侵检测结果。

45、本发明的有益效果如下：

46、由于本方案将利用网络图提取节点特征和边缘特征，随后将节点特征和边缘特征输入至拓扑结构进行节点、边缘编码，并加入自监督算法引导生成最终的边缘编码，并利用最终得到的边缘编码进行入侵检测分类，在此过程中，节点编码融合了历史流量信息，从而在边缘编码融合了节点编码信息后，能充分利用节点和边缘属性编码的节点和边缘，这样的节点/边缘与相同的行为保持密切，端到端性较好，相比之下，嵌入空间使那些具有不同行为的节点保持较远的距离，可以区分与攻击标签相对应的不同类型的边缘通信，从而构建起端到端网络入侵检测系统。