CN114900357A - 时空图神经网络链路泛洪攻击检测方法、设备及存储介质 - Google Patents
时空图神经网络链路泛洪攻击检测方法、设备及存储介质 Download PDFInfo
- Publication number
- CN114900357A CN114900357A CN202210494274.5A CN202210494274A CN114900357A CN 114900357 A CN114900357 A CN 114900357A CN 202210494274 A CN202210494274 A CN 202210494274A CN 114900357 A CN114900357 A CN 114900357A
- Authority
- CN
- China
- Prior art keywords
- time
- graph
- network
- matrix
- space
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/048—Activation functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/049—Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02A—TECHNOLOGIES FOR ADAPTATION TO CLIMATE CHANGE
- Y02A10/00—TECHNOLOGIES FOR ADAPTATION TO CLIMATE CHANGE at coastal zones; at river basins
- Y02A10/40—Controlling or monitoring, e.g. of flood or hurricane; Forecasting, e.g. risk assessment or mapping
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Molecular Biology (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Software Systems (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及网络空间安全与人工智能领域,公开了一种时空图神经网络链路泛洪攻击检测方法、设备及存储介质。所述方法包括:S1、拓扑构建图,将待保护的网络区域建模成适用于LFA检测的图;S2、特征提取,选取适应于LFA检测的流量特征与统计特征;S3、采用STGCN模型构建流量时空特性,并使用分类网络进行LFA攻击检测。该方法利用时空图神经网络,按分钟、日和周级别三个维度充分建模了待保护网络流量的时空特性,并通过注意力机制等手段赋予不同的权重,可以高效地检测LFA攻击。
Description
技术领域
本发明涉及网络空间安全与人工智能领域,具体地,涉及一种时空图神经网络链路泛洪攻击检测方法、设备及存储介质。
背景技术
拒绝服务(Denial of Service,DoS)攻击是一种非法组织利用所控制资源对国家骨干网络、重要网络设施和重要网站等网络目标的攻击,致使目标服务器断网,最终停止提供服务。传统DoS攻击流量通常到达受害主机,并且与合法流量有明显区别,并随着近年来对传统DoS攻击检测手段不断增加,检测此类传统DoS攻击并不困难。
然而,最新研究发现一种新型的目标链路泛洪攻击(Link Flooding Attacks,LFA),LFA可以有效地切断目标区域的网络连接,且不易被终端网络安全检测设备所检测。LFA分为Coremelt和Crossfire等具体攻击方式。例如,游戏服务的主要链接遭受Crossfire攻击,使其长时间无法使用。此外,LFA还被攻击者用来攻击主要互联网交换点的特定链路。
其中,LFA具体攻击过程分为以下两个阶段:第一阶段是攻击者利用受控主机探测链路并选定攻击目标链路;第二阶段是攻击者利用大量受控主机产生低速流量通过目标链路,达到泛洪目标链路的目的。而LFA很难检测,因为目标链路是由攻击者选择的,目标链路可能位于目标区域的不同位置;并且攻击流量不会到达目标区域,因此受害者并不知道正在遭受攻击;每个受控主机向公共服务器发送符合协议的低速流量,使得基于签名的检测无效;受控主机可以改变流量模式,使得基于异常流量模式的检测无效。
对此,传统的检测方法主要基于对选定链路的相关统计特征进行检测,该方法通常只考虑部分链路,且目前基于启发式的LFA检测算法过于依赖专家经验,基于人工智能的检测方法也不能很好地建模LFA攻击的时空特性。
发明内容
本发明的目的是提供一种基于时空图神经网络链路泛洪攻击检测方法,该方法利用时空图神经网络,按分钟、日和周级别三个维度充分建模了待保护网络流量的时空特性,并通过注意力机制等手段赋予不同的权重,可以高效地检测LFA攻击。
为了实现上述目的,本发明第一方面提供了一种时空图神经网络链路泛洪攻击检测方法,该方法包括:
S1、拓扑构建图,将待保护的网络区域建模成适用于LFA检测的图;
S2、特征提取,选取适应于LFA检测的流量特征与统计特征;
S3、采用STGCN模型构建流量时空特性,并使用分类网络进行LFA攻击检测。
优选地,步骤S1包括:
SDN场景下,控制器拥有网络全局拓扑;将全局拓扑抽象出来,选取出待保护的网络,定义为无向图GS=(VS,ES,AS),其中,VS表示待保护的网络的节点的有限集,|VS|=NS,NS为GS中节点个数;ES表示待保护的网络节点间的链路集合,|ES|=MS,MS为GS中链路个数;表示GS的邻接矩阵;将网络中的链路ES建模成拓扑图中的点,相邻的链路在拓扑图中进行连接转化为拓扑图中的边,可以得到GL=(VL,EL,AL),其中,VL表示构建的拓扑图节点集合|VL|=MS,EL表示构建的拓扑图链路集合,表示GL的邻接矩阵,具体转化流程为:
首先,按顺序将ES矩阵的每一条边进行标号;然后,构建零矩阵AL,遍历AS矩阵中的边,将相邻的边在AL矩阵中赋值,得到用于LFA检测的拓扑图。
优选地,步骤S2包括:
使用链路流量、链路利用率、ABW、丢包率和RTT作为LFA检测的特征,定义为其中,表示第i条链路t时刻的特征,F为特征数目,F=5,和分别表示第i条链路t时刻的链路流量、利用率、ABW、丢包率和RTT;因此有 表示t时刻所有网络链路的特征,其中,定义X=(X1,X2,...,Xτ)T表示所有节点τ个时间片的所有特征,
由于网络流量特征不仅具有空间特性还具有较强的时间特性,进而刻画网络链路的时间特征:定义默认时间间隔为5min,窗口长度为Tp,分别提取分钟级别、日级别和周级别的特征序列作为时间维度的刻画,分别定义为Xm、Xd和
优选地,在步骤S3中,采用时空注意力图神经网络(Attention Based Spatial-Temporal GraphConvolutional Networks,ASTGCN),使用三个维度的输入,分别建模历史流量的分钟级别、小时级别和日级别的周期依赖关系,捕获网络流量的动态时空相关性,并使用全连接网络进行LFA攻击检测。
优选地,步骤S3包括:
在空间维度上,使用注意力机制自适应地捕捉空间维度中节点之间的动态相关性;
以分钟级别中的r-1层为例:
其中,表示第r层时空块的输入,Cr-1表示第r层输入的通道数量,当r=1时C0=F,Tr-1是r层的时间维度,当r=1时T0=Tp; 是可学习的参数;空间相关矩阵S由变化的输入确定,S的元素Si,j表示时间i和j之间的依赖强度,利用归一化指数Softmax函数对Si,j进行归一化处理,最后将归一化的空间注意力矩阵应用于输入。
优选地,步骤S3还包括:
在时间维度上,采用注意力机制自适应地对不同时间段的数据给予不同的权重;
以分钟级别第r-1层上的操作为例:
优选地,步骤S3还包括:
在每个时间片上采用基于谱图方法的图卷积处理流量信息,处理网络流量在空间维度上的相关性;在谱图方法中,图由相应的拉普拉斯矩阵表示,通过分析拉普拉斯矩阵及其特征值,可以得到图结构的性质;定义图的拉普拉斯矩阵L=D-A,其中,D为对角度矩阵,Dii=∑j Aij,A为邻接矩阵,标准化为IN为单位矩阵,拉普拉斯矩阵的特征值分解为L=UΛUT,Λ=diag([λ0,...,λN-1]),根据拉普拉斯矩阵性质,U是一个正交矩阵;信号的傅里叶变换为与之的逆变换为因此可得,图GL上的信号x通过卷积核gθ:
gθ*Gx=gθ(L)x=gθ(UΛUT)x=Ugθ(Λ)UTx
其中,*G是图卷积运算;图信号的卷积运算等于图傅里叶变换到谱域的这些信号的乘积,因此上述公式分别将gθ和x通过傅里叶变换到谱域,将结果相乘再进行傅里叶逆变换,得到卷积运算的最终结果;
然而,当图的规模较大时,采用切比雪夫多项式近似:
其中,θ∈RK是多项式系数向量,λmax是拉普拉斯矩阵的最大特征值,切比雪夫多项式的递归定义为Tk(x)=2xTk-1(x)-Tk-2(x),T0(x)=1,T1(x)=x;使用切比雪夫多项式的近似展开来求解该公式对应于通过卷积核gθ来提取图中每个节点的0到K-1阶邻域的信息;图卷积使用线性整流函数(Rectified Linear Unit,ReLU)作为最终激活函数,即ReLU(gθ*Gx);
图卷积捕获了空间维度中的每个节点的相邻信息后,在时间维度中一维卷积来更新节点的信息,以分钟级别中第r层上的操作为例:
其中,*表示一维卷积运算,Φ为时间卷积核参数,激活函数为ReLu;最后将不同的输出融合,赋予每个部分不同的权重:
其中,⊙代表哈达玛积,Wm,Wd,Ww表示可学习参数,反映三维时间分量对预测目标的影响程度;并将预测值与真实值之间的均方误差(meansquare error,MSE)作为损失函数,反向传播优化模型参数。
优选地,经过步骤3中的时空图神经网络的方法预测网络流量行为特征将此刻的真实的网络流量行为特征Xnow与预测值做差,将得到的结果输入到全连接的LFA检测网络中,并使用交叉熵作为损失函数,反向传播优化模型参数,即可准确检测LFA攻击。
本发明第二方面提供一种设备,所述设备包括处理器及存储器;其中,所述存储器用于存储计算机程序,所述处理器用于根据所述计算机程序执行本发明第一方面所述的时空图神经网络链路泛洪攻击检测方法。
本发明第三方面提供一种计算机可读存储介质,所述计算机可读存储介质用于存储计算机程序,所述计算机程序用于执行本发明第一方面所述的时空图神经网络链路泛洪攻击检测方法。
根据上述技术方案,本发明针对DoS攻击作为一种重要的网络攻击的手段,近年来衍化出了LFA等新型的攻击方式,使得检测越来越困难,对LFA的检测需求也日益增加。传统的检测方法主要使用启发式算法或者人工智能算法对选定链路的相关统计特征进行检测,该类方法通常只考虑部分链路,不能有效的建模LFA的时空特性,且较为依赖专家经验的问题,通过对流量特征与相关统计特征的提取,使用GCN处理LFA的空间特征,CNN处理LFA的时间特征,利用STGCN充分建模攻击的时空特性,完成对LFA的准确识别,提高LFA攻击检测的准确率。
本发明的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。在附图中:
图1是本发明提供的基于时空图神经网络链路泛洪攻击检测方法中***总体架构图;
图2是本发明提供的基于时空图神经网络链路泛洪攻击检测方法中拓扑图构建示例图;
图3是本发明提供的基于时空图神经网络链路泛洪攻击检测方法中时间序列构建示例图;
图4是本发明提供的基于时空图神经网络链路泛洪攻击检测方法中ASTGCN的LFA检测框架示意图;
图5是本发明提供的一种实施方式中的校园网拓扑图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
近年来图卷积神经网络(Graph Convolutional Networks,GCN)的发展,为处理非欧式数据的问题带来了新的解决思路,GCN被应用于解决网络建模和推荐***等问题。随后又将GCN与其他神经网络相结合,提出时空图卷积神经网络(Spatial-Temporal GraphConvolutional Networks,STGCN),分别从时间和空间角度提取和分析数据中所包含的信息。STGCN被广泛的应用于交通流量预测、识别动作和推荐***等领域。
随着一种新兴的网络模式,软件定义网络(Software DefinedNetworking,SDN)兴起。SDN下的数据平面可编程技术可以获得细粒度的网络状态,其不仅可以获取细粒度的网络状态时间特征,还可以获取网络状态的空间特征。
在此,本发明提出一种基于时空图神经网络的链路泛洪攻击检测方法,该方法包括:
S1、拓扑构建图,将待保护的网络区域建模成适用于LFA检测的图;
S2、特征提取,选取适应于LFA检测的流量特征与统计特征;
S3、采用STGCN模型构建流量时空特性,并使用分类网络进行LFA攻击检测。
其中,LFA是一种针对于链路的泛洪攻击模式,本发明意在通过STGCN构建LFA的时空特性。STGCN的输入应为网络链路信息,而不是交换机节点信息,所以本发明考虑从链路的角度将网络拓扑构建成适用于STGCN输入的LFA检测拓扑图,以下简述为拓扑图。
具体的,上述步骤S1包括:
SDN场景下,控制器拥有网络全局拓扑;将全局拓扑抽象出来,选取出待保护的网络,定义为无向图GS=(VS,ES,AS),其中,VS表示待保护的网络的节点的有限集,|VS|=NS,NS为GS中节点个数;ES表示待保护的网络节点间的链路集合,|ES|=MS,MS为GS中链路个数;表示GS的邻接矩阵;将网络中的链路ES建模成拓扑图中的点,相邻的链路在拓扑图中进行连接转化为拓扑图中的边,可以得到GL=(VL,EL,AL),其中,VL表示构建的拓扑图节点集合|VL|=MS,EL表示构建的拓扑图链路集合,表示GL的邻接矩阵,具体转化流程为:
首先,按顺序将ES矩阵的每一条边进行标号;然后,构建零矩阵AL,遍历AS矩阵中的边,将相邻的边在AL矩阵中赋值,得到用于LFA检测的拓扑图。这样就可以得到用于LFA检测的拓扑图,拓扑图具体构建示例如图2所示。
本实施方式选取与LFA检测密切相关的特征作为STGCN的输入,并使用链路信息收集模块来收集各个节点的信息。链路信息收集模块运行在SDN控制器中,负责链路信息的收集。SDN控制器可以实时读取和分析链路信息。
链路发生阻塞时,链路丢包率增加、往返时延(Round-Trip Time,RTT)增加、可用带宽(Available Band Width,ABW)明显减少。在交换机节点中,当数据包到达速率大于传出速率时,数据包会临时存储在先进先出的缓存队列中。一旦这种情况持续一段时间,队列占满后,后续的数据包将被丢弃,将导致丢包率和RTT大幅增加。如果LFA攻击流量的带宽达到或者超过链路最大带宽,ABW将固定在一定范围内,无论LFA攻击流量增加多少,ABW都将在固定值附近浮动。然而,丢包率和RTT将有巨大的变化。因此,上述链路特征对检测LFA攻击至关重要。
因此,本发明的步骤S2包括:
使用链路流量、链路利用率、ABW、丢包率和RTT作为LFA检测的特征,定义为其中,表示第i条链路t时刻的特征,F为特征数目,F=5,和分别表示第i条链路t时刻的链路流量、利用率、ABW、丢包率和RTT;因此有 表示t时刻所有网络链路的特征,其中,定义X=(X1,X2,...,Xτ)T表示所有节点τ个时间片的所有特征,
由于网络流量特征不仅具有空间特性还具有较强的时间特性,每周的不同工作日与休息日、每天的不同小时和每小时的不同分钟都具有较强的时间特性。本发明在提取了LFA检测的重要特征和刻画了网络链路的空间特征之后,进而刻画网络链路的时间特征:如图3所示,定义默认时间间隔为5min,窗口长度为Tp,分别提取分钟级别、日级别和周级别的特征序列作为时间维度的刻画,分别定义为Xm、Xd和
在检测模型方面,本发明在步骤S3中,采用时空注意力图神经网络(AttentionBased Spatial-Temporal GraphConvolutional Networks,ASTGCN),使用三个维度的输入,分别建模历史流量的分钟级别、小时级别和日级别的周期依赖关系,捕获网络流量的动态时空相关性,并使用全连接网络进行LFA攻击检测,检测模型的总体框架如图4所示。
在空间维度上,不同链路的流量相互影响,影响是高度动态的。因此,步骤S3包括:
在空间维度上,使用注意力机制自适应地捕捉空间维度中节点之间的动态相关性;
以分钟级别中的r-1层为例:
其中,表示第r层时空块的输入,Cr-1表示第r层输入的通道数量,当r=1时C0=F,Tr-1是r层的时间维度,当r=1时T0=Tp; 是可学习的参数;空间相关矩阵S由变化的输入确定,S的元素Si,j表示时间i和j之间的依赖强度,利用归一化指数Softmax函数对Si,j进行归一化处理,最后将归一化的空间注意力矩阵应用于输入。
进一步的,步骤S3还包括:
在时间维度上,不同时间段的流量状况之间存在相关性,并且相关性在不同情况下也会有所不同。本发明采用注意力机制自适应地对不同时间段的数据给予不同的权重;
以分钟级别第r-1层上的操作为例:
时空卷积由一个空间维度的图卷积和一个时间维度的卷积组成,前者从邻域中获取空间依赖性,后者从邻近时间获取时间依赖性。谱图方法将卷积运算推广到图结构的数据。本发明的步骤S3还包括:
在每个时间片上采用基于谱图方法的图卷积处理流量信息,处理网络流量在空间维度上的相关性;在谱图方法中,图由相应的拉普拉斯矩阵表示,通过分析拉普拉斯矩阵及其特征值,可以得到图结构的性质;定义图的拉普拉斯矩阵L=D-A,其中,D为对角度矩阵,Dii=∑j Aij,A为邻接矩阵,标准化为IN为单位矩阵,拉普拉斯矩阵的特征值分解为L=UΛUT,Λ=diag([λ0,...,λN-1]),根据拉普拉斯矩阵性质,U是一个正交矩阵;信号的傅里叶变换为与之的逆变换为因此可得,图GL上的信号x通过卷积核gθ:
gθ*Gx=gθ(L)x=gθ(UΛUT)x=Ugθ(Λ)UTx
其中,*G是图卷积运算;图信号的卷积运算等于图傅里叶变换到谱域的这些信号的乘积,因此上述公式分别将gθ和x通过傅里叶变换到谱域,将结果相乘再进行傅里叶逆变换,得到卷积运算的最终结果;
然而,当图的规模较大时,采用切比雪夫多项式近似:
其中,θ∈RK是多项式系数向量,λmax是拉普拉斯矩阵的最大特征值,切比雪夫多项式的递归定义为Tk(x)=2xTk-1(x)-Tk-2(x),T0(x)=1,T1(x)=x;使用切比雪夫多项式的近似展开来求解该公式对应于通过卷积核gθ来提取图中每个节点的0到K-1阶邻域的信息;图卷积使用线性整流函数(Rectified Linear Unit,ReLU)作为最终激活函数,即ReLU(gθ*Gx);
图卷积捕获了空间维度中的每个节点的相邻信息后,在时间维度中一维卷积来更新节点的信息,以分钟级别中第r层上的操作为例:
其中,*表示一维卷积运算,Φ为时间卷积核参数,激活函数为ReLu;最后将不同的输出融合,赋予每个部分不同的权重:
其中,⊙代表哈达玛积,Wm,Wd,Ww表示可学习参数,反映三维时间分量对预测目标的影响程度;并将预测值与真实值之间的均方误差(meansquare error,MSE)作为损失函数,反向传播优化模型参数。
经过步骤3中的时空图神经网络的方法预测网络流量行为特征将此刻的真实的网络流量行为特征Xnow与预测值做差,将得到的结果输入到全连接的LFA检测网络中,并使用交叉熵作为损失函数,反向传播优化模型参数,即可准确检测LFA攻击。
通过上述技术方案,针对DoS攻击作为一种重要的网络攻击的手段,近年来衍化出了LFA等新型的攻击方式,使得检测越来越困难,对LFA的检测需求也日益增加。传统的检测方法主要使用启发式算法或者人工智能算法对选定链路的相关统计特征进行检测,该类方法通常只考虑部分链路,不能有效的建模LFA的时空特性,且较为依赖专家经验的问题,本发明通过对流量特征与相关统计特征的提取,使用GCN处理LFA的空间特征,CNN处理LFA的时间特征,利用STGCN充分建模攻击的时空特性,完成对LFA的准确识别,提高LFA攻击检测的准确率。
此外,本发明还提供了一种设备,所述设备包括处理器及存储器;其中,所述存储器用于存储计算机程序,所述处理器用于根据所述计算机程序执行上述时空图神经网络链路泛洪攻击检测方法。
同样的,本发明也提供了一种计算机可读存储介质,所述计算机可读存储介质用于存储计算机程序,所述计算机程序用于执行上述的时空图神经网络链路泛洪攻击检测方法。
在一种具体实施方式中,如图5所示为某校园网连接到Internet的拓扑结构,其中,链路L4位于校园网出口链路附近,长期具有较高的链路利用率,Host2附近的受控主机可以通过访问Public server来达到泛洪链路L4的目的,导致Host1附近主机断网。应用本发明所述方法可以有效地建模校园网流量的时空模式,有效的保护校园网络,避免遭受LFA泛洪攻击的侵扰。
以上结合附图详细描述了本发明的优选实施方式,但是,本发明并不限于上述实施方式中的具体细节,在本发明的技术构思范围内,可以对本发明的技术方案进行多种简单变型,这些简单变型均属于本发明的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合,为了避免不必要的重复,本发明对各种可能的组合方式不再另行说明。
此外,本发明的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明的思想,其同样应当视为本发明所公开的内容。
Claims (10)
1.一种时空图神经网络链路泛洪攻击检测方法,其特征在于,所述方法包括:
S1、拓扑构建图,将待保护的网络区域建模成适用于LFA检测的图;
S2、特征提取,选取适应于LFA检测的流量特征与统计特征;
S3、采用STGCN模型构建流量时空特性,并使用分类网络进行LFA攻击检测。
2.根据权利要求1所述的方法,其特征在于,步骤S1包括:
SDN场景下,控制器拥有网络全局拓扑;将全局拓扑抽象出来,选取出待保护的网络,定义为无向图GS=(VS,ES,AS),其中,VS表示待保护的网络的节点的有限集,|VS|=NS,NS为GS中节点个数;ES表示待保护的网络节点间的链路集合,|ES|=MS,MS为GS中链路个数;表示GS的邻接矩阵;将网络中的链路ES建模成拓扑图中的点,相邻的链路在拓扑图中进行连接转化为拓扑图中的边,可以得到GL=(VL,EL,AL),其中,VL表示构建的拓扑图节点集合|VL|=MS,EL表示构建的拓扑图链路集合,表示GL的邻接矩阵,具体转化流程为:
首先,按顺序将ES矩阵的每一条边进行标号;然后,构建零矩阵AL,遍历AS矩阵中的边,将相邻的边在AL矩阵中赋值,得到用于LFA检测的拓扑图。
4.根据权利要求1所述的方法,其特征在于,在步骤S3中,采用时空注意力图神经网络(Attention Based Spatial-Temporal GraphConvolutional Networks,ASTGCN),使用三个维度的输入,分别建模历史流量的分钟级别、小时级别和日级别的周期依赖关系,捕获网络流量的动态时空相关性,并使用全连接网络进行LFA攻击检测。
7.根据权利要求4所述的方法,其特征在于,步骤S3还包括:
在每个时间片上采用基于谱图方法的图卷积处理流量信息,处理网络流量在空间维度上的相关性;在谱图方法中,图由相应的拉普拉斯矩阵表示,通过分析拉普拉斯矩阵及其特征值,可以得到图结构的性质;定义图的拉普拉斯矩阵L=D-A,其中,D为对角度矩阵,Dii=∑jAij,A为邻接矩阵,标准化为IN为单位矩阵,拉普拉斯矩阵的特征值分解为L=UΛUT,Λ=diag([λ0,...,λN-1]),根据拉普拉斯矩阵性质,U是一个正交矩阵;信号的傅里叶变换为与之的逆变换为因此可得,图GL上的信号x通过卷积核gθ:
gθ*Gx=gθ(L)x=gθ(UΛUT)x=Ugθ(Λ)UTx
其中,*G是图卷积运算;图信号的卷积运算等于图傅里叶变换到谱域的这些信号的乘积,因此上述公式分别将gθ和x通过傅里叶变换到谱域,将结果相乘再进行傅里叶逆变换,得到卷积运算的最终结果;
然而,当图的规模较大时,采用切比雪夫多项式近似:
其中,θ∈RK是多项式系数向量,λmax是拉普拉斯矩阵的最大特征值,切比雪夫多项式的递归定义为Tk(x)=2xTk-1(x)-Tk-2(x),T0(x)=1,T1(x)=x;使用切比雪夫多项式的近似展开来求解该公式对应于通过卷积核gθ来提取图中每个节点的0到K-1阶邻域的信息;图卷积使用线性整流函数(Rectified Linear Unit,ReLU)作为最终激活函数,即ReLU(gθ*Gx);
图卷积捕获了空间维度中的每个节点的相邻信息后,在时间维度中一维卷积来更新节点的信息,以分钟级别中第r层上的操作为例:
其中,*表示一维卷积运算,Φ为时间卷积核参数,激活函数为ReLu;最后将不同的输出融合,赋予每个部分不同的权重:
其中,⊙代表哈达玛积,Wm,Wd,Ww表示可学习参数,反映三维时间分量对预测目标的影响程度;并将预测值与真实值之间的均方误差(meansquare error,MSE)作为损失函数,反向传播优化模型参数。
9.一种设备,其特征在于,所述设备包括处理器及存储器;其中,所述存储器用于存储计算机程序,所述处理器用于根据所述计算机程序执行权利要求1-8中任一项所述的时空图神经网络链路泛洪攻击检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储计算机程序,所述计算机程序用于执行权利要求1-8中任一项所述的时空图神经网络链路泛洪攻击检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210494274.5A CN114900357A (zh) | 2022-05-07 | 2022-05-07 | 时空图神经网络链路泛洪攻击检测方法、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210494274.5A CN114900357A (zh) | 2022-05-07 | 2022-05-07 | 时空图神经网络链路泛洪攻击检测方法、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114900357A true CN114900357A (zh) | 2022-08-12 |
Family
ID=82720866
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210494274.5A Pending CN114900357A (zh) | 2022-05-07 | 2022-05-07 | 时空图神经网络链路泛洪攻击检测方法、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114900357A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115422694A (zh) * | 2022-11-03 | 2022-12-02 | 深圳市城市交通规划设计研究中心股份有限公司 | 一种路段缺失流量推算方法、电子设备及存储介质 |
CN116473514A (zh) * | 2023-03-29 | 2023-07-25 | 西安电子科技大学广州研究院 | 基于足底压力的自适应有向时空图神经网络的帕金森疾病检测 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111292562A (zh) * | 2020-05-12 | 2020-06-16 | 北京航空航天大学 | 一种航空流量预测方法 |
CN113450568A (zh) * | 2021-06-30 | 2021-09-28 | 兰州理工大学 | 一种基于时空注意力机制的卷积网络交通流预测方法 |
CN113705880A (zh) * | 2021-08-25 | 2021-11-26 | 杭州远眺科技有限公司 | 基于时空注意力图卷积网络的交通速度预测方法和装置 |
CN113852492A (zh) * | 2021-09-01 | 2021-12-28 | 南京信息工程大学 | 基于注意力机制和图卷积神经网络的网络流量预测方法 |
CN114077811A (zh) * | 2022-01-19 | 2022-02-22 | 华东交通大学 | 一种基于图神经网络的电力物联网设备异常检测方法 |
-
2022
- 2022-05-07 CN CN202210494274.5A patent/CN114900357A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111292562A (zh) * | 2020-05-12 | 2020-06-16 | 北京航空航天大学 | 一种航空流量预测方法 |
CN113450568A (zh) * | 2021-06-30 | 2021-09-28 | 兰州理工大学 | 一种基于时空注意力机制的卷积网络交通流预测方法 |
CN113705880A (zh) * | 2021-08-25 | 2021-11-26 | 杭州远眺科技有限公司 | 基于时空注意力图卷积网络的交通速度预测方法和装置 |
CN113852492A (zh) * | 2021-09-01 | 2021-12-28 | 南京信息工程大学 | 基于注意力机制和图卷积神经网络的网络流量预测方法 |
CN114077811A (zh) * | 2022-01-19 | 2022-02-22 | 华东交通大学 | 一种基于图神经网络的电力物联网设备异常检测方法 |
Non-Patent Citations (2)
Title |
---|
李昊天;盛益强;: "单时序特征图卷积网络融合预测方法", 计算机与现代化, no. 09 * |
陈卓等: "基于时空图卷积网络的无人机网络入侵检测方法", 《北京航空航天大学学报》, vol. 47, no. 5, pages 1068 - 1076 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115422694A (zh) * | 2022-11-03 | 2022-12-02 | 深圳市城市交通规划设计研究中心股份有限公司 | 一种路段缺失流量推算方法、电子设备及存储介质 |
CN116473514A (zh) * | 2023-03-29 | 2023-07-25 | 西安电子科技大学广州研究院 | 基于足底压力的自适应有向时空图神经网络的帕金森疾病检测 |
CN116473514B (zh) * | 2023-03-29 | 2024-02-23 | 西安电子科技大学广州研究院 | 基于足底压力的自适应有向时空图神经网络的帕金森疾病检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108494810B (zh) | 面向攻击的网络安全态势预测方法、装置及*** | |
CN114900357A (zh) | 时空图神经网络链路泛洪攻击检测方法、设备及存储介质 | |
Blazek et al. | A novel approach to detection of “denial–of–service” attacks via adaptive sequential and batch–sequential change–point detection methods | |
US10609057B2 (en) | Digital immune system for intrusion detection on data processing systems and networks | |
CN113364752B (zh) | 一种流量异常检测方法、检测设备及计算机可读存储介质 | |
CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
Sharma et al. | Anomaly detection framework to prevent DDoS attack in fog empowered IoT networks | |
WO2006071985A2 (en) | Threat scoring system and method for intrusion detection security networks | |
CN112769869B (zh) | 一种基于贝叶斯攻击图的sdn网络安全预测方法及对应*** | |
Liang et al. | A security situation prediction algorithm based on HMM in mobile network | |
CN113872943A (zh) | 网络攻击路径预测方法及装置 | |
Saurabh et al. | Nfdlm: A lightweight network flow based deep learning model for ddos attack detection in iot domains | |
Rajesh et al. | Evaluation of machine learning algorithms for detection of malicious traffic in scada network | |
CN114866310A (zh) | 一种恶意加密流量检测方法、终端设备及存储介质 | |
Grottke et al. | On the efficiency of sampling and countermeasures to critical-infrastructure-targeted malware campaigns | |
Tuncer et al. | Detection SYN flooding attacks using fuzzy logic | |
Narender et al. | Preemptive modelling towards classifying vulnerability of DDoS attack in SDN environment | |
JP2019514315A (ja) | 異種混在アラートのグラフベース結合 | |
CN114760087B (zh) | 软件定义工业互联网中的DDoS攻击检测方法及*** | |
Anil | A zero-trust security framework for granular insight on blind spot and comprehensive device protection in the enterprise of internet of things (e-iot) | |
Qiu et al. | Abnormal traffic detection method of internet of things based on deep learning in edge computing environment | |
Bishnoi et al. | A deep learning-based methodology in fog environment for DDOS attack detection | |
Saranya et al. | Integrated quantum flow and hidden Markov chain approach for resisting DDoS attack and C-Worm | |
Pisetskiy et al. | Software Implementation of the Detection System of Distributed Network Attacks Type “Denial of Service” | |
CN116436701B (zh) | 用于对网络攻击进行预测的方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |