本發(fā)明公開了一種基于復(fù)雜網(wǎng)絡(luò)和圖神經(jīng)網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測方法，解決了目前的方法通常需要具備較好的惡意腳本、惡意軟件靜態(tài)分析和動態(tài)分析能力，同時目前對于未知僵尸網(wǎng)絡(luò)及相關(guān)僵尸網(wǎng)絡(luò)變種檢測能力不足的技術(shù)問題，本發(fā)明將流量解析數(shù)據(jù)轉(zhuǎn)為圖數(shù)據(jù)，通過復(fù)雜網(wǎng)絡(luò)技術(shù)提取節(jié)點相關(guān)特征值，再以圖神經(jīng)網(wǎng)絡(luò)構(gòu)建模型學(xué)習(xí)數(shù)據(jù)中的屬性信息和結(jié)構(gòu)信息。該方法擺脫了以往基于機器學(xué)習(xí)的僵尸網(wǎng)絡(luò)檢測方法無法發(fā)現(xiàn)結(jié)構(gòu)信息的弊端，以及單純基于圖神經(jīng)網(wǎng)絡(luò)而未對流量解析數(shù)據(jù)進行深入的特征工程而丟失結(jié)構(gòu)信息的缺陷。本發(fā)明的方法可作為僵尸網(wǎng)絡(luò)綜合檢測系統(tǒng)的重要組成部分，以提高未知僵尸網(wǎng)絡(luò)及其變種的檢測精確率。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，具體涉及一種基于復(fù)雜網(wǎng)絡(luò)和圖神經(jīng)網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測方法。

背景技術(shù)

僵尸網(wǎng)絡(luò)以遠(yuǎn)程控制木馬為基礎(chǔ)，可被黑客用來發(fā)動DDoS、竊密、挖坑、垃圾郵件等網(wǎng)絡(luò)攻擊，對國家、組織和個人的安全危害極大，隨著攻防對抗的不斷演化，該方向的研究一直是重點也是難點。

目前檢測僵尸網(wǎng)絡(luò)的技術(shù)主要包括入侵檢測系統(tǒng)(IDS,Instruction?DetectionSystem)、蜜罐技術(shù)和DNS流量分析。其中入侵檢測系統(tǒng)大多基于開源Snort系統(tǒng)，再額外配置各自研發(fā)的安全策略，對網(wǎng)絡(luò)和系統(tǒng)的運行進行監(jiān)測，盡量及時的發(fā)現(xiàn)各類網(wǎng)絡(luò)攻擊，并鎖定感染主機，生成相關(guān)告警信息。IDS檢測規(guī)則主要根據(jù)HTTP協(xié)議的User-Agent請求頭，其基本原理是僵尸網(wǎng)絡(luò)感染主機后尋找其它目標(biāo)進行掃描的時候會帶上該請求頭，每一種僵尸網(wǎng)絡(luò)的請求頭特征都不同，所以這種檢測方式不通用，并且由于IDS規(guī)則語法比較簡單，當(dāng)僵尸網(wǎng)絡(luò)流量涉及到比較復(fù)雜的檢測邏輯或未曾見的僵尸網(wǎng)絡(luò)特征就很難檢測出來。蜜罐技術(shù)通過精心布置被攻擊的目標(biāo)引誘攻擊，一旦攻擊者入侵后，就可以對攻擊進行一定程度的溯源，但要使該技術(shù)效果較好，需要大量的部署，并且容易被高級黑客作為攻擊跳板。

這些技術(shù)都是從傳統(tǒng)網(wǎng)絡(luò)安全的角度去定點深入分析單個僵尸網(wǎng)絡(luò)，以提取相關(guān)特征形成規(guī)則，再將規(guī)則應(yīng)用到入侵檢測、蜜罐和DNS分析等系統(tǒng)中進行檢測，但此類方法通常需要具備較好的惡意腳本、惡意軟件靜態(tài)分析和動態(tài)分析能力，同時目前對于未知僵尸網(wǎng)絡(luò)及相關(guān)僵尸網(wǎng)絡(luò)變種檢測能力不足。

另一方面，基于機器學(xué)習(xí)的僵尸網(wǎng)絡(luò)檢測研究雖然從一定程度上提高了檢出率，和對未知僵尸網(wǎng)絡(luò)和相關(guān)僵尸網(wǎng)絡(luò)變種的檢測能力，但大多還是基于諸如支持向量機、隨機森林等傳統(tǒng)的機器學(xué)習(xí)算法，限制了模型的學(xué)習(xí)能力，特別是對于特征緯度較多的流量數(shù)據(jù)，基于淺學(xué)習(xí)、屬性學(xué)習(xí)算法的模型檢測已遇到技術(shù)上的瓶頸。

同時，目前較為前沿的基于圖神經(jīng)網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測模型，未對流量解析數(shù)據(jù)進行深入的特征工程，丟失了原始數(shù)據(jù)中部分結(jié)構(gòu)信息，從一定程度上限制了檢測模型精確率的提升，另外該模型使用基礎(chǔ)圖卷積和圖注意力機制模型，當(dāng)面對海量的實際流量數(shù)據(jù)時，由于計算復(fù)雜度而使得其缺乏實用性和落地價值。

僵尸網(wǎng)絡(luò)(Botnet)：是指采用一種或多種傳播手段，使大量主機干擾僵尸程序，從而在控制者和被感染主機(僵尸主機或肉雞)之間所形成的一對多控制的網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)以遠(yuǎn)程控制木馬為基礎(chǔ)，可以被黑客用來發(fā)動諸如分布式拒絕服務(wù)攻擊(DistributedDenial?of?Services)、海量垃圾郵件等大規(guī)模網(wǎng)絡(luò)攻擊、挖礦、盜取諸如機密信息、個人隱私等信息，對國家、組織和個人的安全造成極大的危害。

圖神經(jīng)網(wǎng)絡(luò)：旨在通過人工神經(jīng)網(wǎng)絡(luò)的方式將圖和圖上的節(jié)點與邊映射到一個低維空間，學(xué)習(xí)圖和節(jié)點的低維向量表示，是圖嵌入或圖表示學(xué)習(xí)的一種。

復(fù)雜網(wǎng)絡(luò)：是指具有自組織、自相似、吸引子、小世界、無標(biāo)度中部分或全部性質(zhì)的網(wǎng)絡(luò)。其主要表現(xiàn)有結(jié)構(gòu)復(fù)雜、網(wǎng)絡(luò)進化、連接多樣性、動力學(xué)復(fù)雜性和節(jié)點多樣性。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種基于復(fù)雜網(wǎng)絡(luò)和圖神經(jīng)網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測方法，可作為僵尸網(wǎng)絡(luò)綜合檢測系統(tǒng)的重要組成部分，大大提高了未知僵尸網(wǎng)絡(luò)及其變種的檢測精確率。