本發明提供一種圖神經網絡構建方法、基于圖神經網絡的異常流量檢測方法，異常流量檢測的圖神經網絡構建方法包括：S10：獲取原始流量數據中具有相關性以及時序性的特征；S20：將步驟S10中的特征轉化為圖結構數據；S30：構建深度圖神經網絡模型。本發明通過深度挖掘網絡流量中具有相關性以及時序性的特征，以及通過構建圖神經網絡模型，在此基礎上挖掘網絡流量報文段內部字段之間的相關特征，通過預先訓練，最終得到對流量數據具有良好分類效果的模型。對于待識別的未知網絡流量，只需要進行簡單的會話還原，就可以通過訓練好的模型對其進行快速的分析判斷，快速發現流量數據中可能存在的異常。

技術領域

本發明涉及網絡安全技術領域，具體涉及一種圖神經網絡構建方法、基于圖神經網絡的異常流量檢測方法。

背景技術

隨著機器學習技術的迅猛發展以及人工智能產業的迅速崛起，使用機器學習、深度學習方法進行流量異常檢測成為業界和學術界關注的重點，在惡意流量分析領域，基于機器學習法，構建異常流量模型來實現流量分類檢測已經逐漸成為近些年業界研究的主流。基于深度學習算法構建的流量分類檢測模型，在流量識別中也有著較好的效果。深度學習方法通過深層次神經網絡從原始流量數據中學習高層語義特征，相比于淺層模型，深度模型不過分依賴于特征工程，具有更強的表達能力，可滿足多種復雜任務。同時，深度學習方法的一大優勢就是能夠從數據中自動提取特征，避免人工設計特征表達能力不足的問題。而現有的一些基于機器學習的異常流量模型，只是關注了流量的時序特征，而對于流量本身各字段之間的關系未多加考慮。

發明內容

有鑒于此，本發明提供一種圖神經網絡構建方法、基于圖神經網絡的異常流量檢測方法，以解決現有技術中的問題。

本發明的第一方面提供一種圖神經構建方法，包括：

S10：獲取原始流量數據中具有相關性以及時序性的特征；

S20：將步驟S10中的特征轉化為圖結構數據；

S30：構建深度圖神經網絡模型。

優選地，步驟S10之前還包括步驟S00：通過會話還原技術對原始流量數據進行處理，形成以會話為基本單位的數據。

優選地，步驟S00中對原始流量數據進行處理的過程從時間窗口與會話狀態兩方面進行。

優選地，步驟S10中獲取原始流量數據中具有相關性以及時序性的特征包括：

S101：獲取原始流量數據中具有相關性的特征；

S102：獲取原始流量數據中具有時序性的特征。

優選地，獲取原始流量數據中具有相關性的特征的過程包括：

S1011：選取與流量判別相關的數據；

S1012：按照數據的表現形式，對選取的與流量判別相關的數據進行差異化的特征向量化處理。

優選地，獲取原始流量數據中具有時序性的特征的過程包括：對不同表現形式的數據進行區分處理，分別進行循環神經網絡訓練，學習得到具有時序性的特征。

優選地，采用雙向GRU模型來進行時序數據的處理，可同時接受不同類型的數據的處理，計算公式為：

r_t＝σ(W_r·[h_t-1，e_t|n_t|x_t])

z_t＝σ(W_z·[h_t-1，e_t|n_t|x_t])