本發(fā)明公開了一種基于聚類圖神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全異常檢測算法。該算法包括以下步驟：利用圖模型描述網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，利用圖神經(jīng)網(wǎng)絡(luò)卷積層優(yōu)化節(jié)點(diǎn)特征，利用圖聚類算法將圖分割成多個不相交子圖，將每個子圖視為一個節(jié)點(diǎn)，子圖的鄰接關(guān)系視為邊，形成一個子圖，利用圖注意力層為每個節(jié)點(diǎn)學(xué)習(xí)一個權(quán)重，將每個子圖中的所有節(jié)點(diǎn)的特征加權(quán)求和，形成子圖中節(jié)點(diǎn)的特征，最后利用全連接層和分類器層判斷網(wǎng)絡(luò)是否收到了攻擊。該方法構(gòu)建了層級化的圖神經(jīng)網(wǎng)絡(luò)，通過圖卷積層優(yōu)化圖中節(jié)點(diǎn)特征，通過基于圖聚類算法的池化層，捕捉圖上的局部特征，生成高層次的語義特征，通過融合層生成整個網(wǎng)絡(luò)的態(tài)勢特征，利用分類器對網(wǎng)絡(luò)態(tài)勢進(jìn)行分類。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全異常檢測領(lǐng)域，具體而言，本發(fā)明利用圖模型描述網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，并且利用層級化的圖神經(jīng)網(wǎng)絡(luò)模型對整個網(wǎng)絡(luò)是否存在異常進(jìn)行檢測。

背景技術(shù)

隨著信息技術(shù)地進(jìn)步，企業(yè)和個人都在享受著信息技術(shù)帶來的方便。網(wǎng)絡(luò)技術(shù)作為信息技術(shù)的一部分在生活中有廣泛應(yīng)用。隨著近年來網(wǎng)絡(luò)攻擊事件不斷增多，攻擊手段越來越多樣化、隱蔽化。通過判斷單一設(shè)備的運(yùn)行狀態(tài)和日志等信息，難以發(fā)現(xiàn)隱藏的復(fù)雜攻擊。如何能夠合理地、有效地利用整個網(wǎng)絡(luò)中所有設(shè)備的信息，綜合地判斷整個網(wǎng)絡(luò)是否收到了攻擊，是一個十分具有挑戰(zhàn)性，但也十分有意義的工作。

目前，網(wǎng)絡(luò)安全異常檢測面臨的主要挑戰(zhàn)為：

(1)如何利用網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，考慮網(wǎng)絡(luò)中相鄰設(shè)備節(jié)點(diǎn)的特征來優(yōu)化當(dāng)前設(shè)備節(jié)點(diǎn)的特征。

(2)如何能夠綜合地考慮網(wǎng)絡(luò)中所有設(shè)備節(jié)點(diǎn)的特征，將這些特征融合成一個能夠反映出整個網(wǎng)絡(luò)狀態(tài)的特征。

針對網(wǎng)絡(luò)安全態(tài)勢感知中存在的難點(diǎn)和挑戰(zhàn)，本發(fā)明提出了一種利用層級化圖神經(jīng)網(wǎng)絡(luò)檢測整個網(wǎng)絡(luò)中是否存在異常的方法。層級化圖神經(jīng)網(wǎng)絡(luò)中的圖卷積層能夠根據(jù)網(wǎng)絡(luò)拓?fù)鋱D中設(shè)備節(jié)點(diǎn)的鄰接關(guān)系，利用當(dāng)前節(jié)點(diǎn)的特征和其鄰接節(jié)點(diǎn)的特征優(yōu)化節(jié)點(diǎn)特征，以解決挑戰(zhàn)一。層級化圖神經(jīng)網(wǎng)絡(luò)利用池化層，將圖中局部的一個節(jié)點(diǎn)集合映射成一個節(jié)點(diǎn)，生成一個子圖，同時將節(jié)點(diǎn)集合中每個節(jié)點(diǎn)的特征映射成一個特征作為子圖中對應(yīng)節(jié)點(diǎn)的特征。通過池化層，能夠?qū)W習(xí)出網(wǎng)絡(luò)中局部區(qū)域的特征。最終通過將這些局部區(qū)域特征進(jìn)行融合就可以得到整個網(wǎng)絡(luò)的全局特征。

發(fā)明內(nèi)容

本發(fā)明的目的是利用圖結(jié)構(gòu)自然描述網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，同時利用圖神經(jīng)網(wǎng)絡(luò)強(qiáng)大的特征提取能力，根據(jù)網(wǎng)絡(luò)中各個節(jié)點(diǎn)的特征，生成整個網(wǎng)絡(luò)的特征，反映出整個網(wǎng)絡(luò)中是否存在異常。

本發(fā)明的技術(shù)方案是提供了一種新型的基于圖神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全異常檢測算法，包括：

步驟1、從多源數(shù)據(jù)中提取多源特征；

步驟2、將步驟1中提取的多源特征進(jìn)行融合，形成設(shè)備節(jié)點(diǎn)特征。

步驟3、是將步驟2生成的設(shè)備節(jié)點(diǎn)特征進(jìn)行優(yōu)化，并使用圖模型來描述網(wǎng)絡(luò)拓?fù)洌W(wǎng)絡(luò)中的設(shè)備被建模為圖中的節(jié)點(diǎn)，設(shè)備之間的連接關(guān)系被建模為圖中的邊；

步驟4、在步驟3的基礎(chǔ)上，根據(jù)步驟3定義的圖結(jié)構(gòu)，運(yùn)用譜聚類算法，將圖上相似的點(diǎn)聚合，生成K個簇；

步驟5、將步驟4中生成的每一個簇視為一個點(diǎn)，這樣就將圖映射成一個規(guī)模更小的子圖，子圖中的節(jié)點(diǎn)對應(yīng)原來的簇，子圖中的邊表示原來的兩個簇是相鄰的。同時將一個簇中所有節(jié)點(diǎn)的特征向量映射成為一個特征向量，作為子圖中對應(yīng)節(jié)點(diǎn)的特征；

步驟6、利用步驟5生成的子圖和子圖的節(jié)點(diǎn)特征，再次利用圖卷積模塊來優(yōu)化子圖中的節(jié)點(diǎn)特征；

步驟7、根據(jù)步驟6優(yōu)化后的節(jié)點(diǎn)特征，融合生成對于整個圖的語義特征；即對步驟6輸出的所有的節(jié)點(diǎn)的特征向量，求取平均值，生成對于整個圖的語義特征；

步驟8、是將步驟7得到的特征向量做進(jìn)一步優(yōu)化，生成低維特征空間中更優(yōu)的特征向量；