CN114900357A - 时空图神经网络链路泛洪攻击检测方法、设备及存储介质 - Google Patents

Abstract

本发明涉及网络空间安全与人工智能领域，公开了一种时空图神经网络链路泛洪攻击检测方法、设备及存储介质。所述方法包括：S1、拓扑构建图，将待保护的网络区域建模成适用于LFA检测的图；S2、特征提取，选取适应于LFA检测的流量特征与统计特征；S3、采用STGCN模型构建流量时空特性，并使用分类网络进行LFA攻击检测。该方法利用时空图神经网络，按分钟、日和周级别三个维度充分建模了待保护网络流量的时空特性，并通过注意力机制等手段赋予不同的权重，可以高效地检测LFA攻击。

Description

时空图神经网络链路泛洪攻击检测方法、设备及存储介质

技术领域

本发明涉及网络空间安全与人工智能领域，具体地，涉及一种时空图神经网络链路泛洪攻击检测方法、设备及存储介质。

背景技术

拒绝服务(Denial of Service，DoS)攻击是一种非法组织利用所控制资源对国家骨干网络、重要网络设施和重要网站等网络目标的攻击，致使目标服务器断网，最终停止提供服务。传统DoS攻击流量通常到达受害主机，并且与合法流量有明显区别，并随着近年来对传统DoS攻击检测手段不断增加，检测此类传统DoS攻击并不困难。

然而，最新研究发现一种新型的目标链路泛洪攻击(Link Flooding Attacks，LFA)，LFA可以有效地切断目标区域的网络连接，且不易被终端网络安全检测设备所检测。LFA分为Coremelt和Crossfire等具体攻击方式。例如，游戏服务的主要链接遭受Crossfire攻击，使其长时间无法使用。此外，LFA还被攻击者用来攻击主要互联网交换点的特定链路。

其中，LFA具体攻击过程分为以下两个阶段：第一阶段是攻击者利用受控主机探测链路并选定攻击目标链路；第二阶段是攻击者利用大量受控主机产生低速流量通过目标链路，达到泛洪目标链路的目的。而LFA很难检测，因为目标链路是由攻击者选择的，目标链路可能位于目标区域的不同位置；并且攻击流量不会到达目标区域，因此受害者并不知道正在遭受攻击；每个受控主机向公共服务器发送符合协议的低速流量，使得基于签名的检测无效；受控主机可以改变流量模式，使得基于异常流量模式的检测无效。

对此，传统的检测方法主要基于对选定链路的相关统计特征进行检测，该方法通常只考虑部分链路，且目前基于启发式的LFA检测算法过于依赖专家经验，基于人工智能的检测方法也不能很好地建模LFA攻击的时空特性。

发明内容

本发明的目的是提供一种基于时空图神经网络链路泛洪攻击检测方法，该方法利用时空图神经网络，按分钟、日和周级别三个维度充分建模了待保护网络流量的时空特性，并通过注意力机制等手段赋予不同的权重，可以高效地检测LFA攻击。

为了实现上述目的，本发明第一方面提供了一种时空图神经网络链路泛洪攻击检测方法，该方法包括：

S1、拓扑构建图，将待保护的网络区域建模成适用于LFA检测的图；

S2、特征提取，选取适应于LFA检测的流量特征与统计特征；

S3、采用STGCN模型构建流量时空特性，并使用分类网络进行LFA攻击检测。

优选地，步骤S1包括：

SDN场景下，控制器拥有网络全局拓扑；将全局拓扑抽象出来，选取出待保护的网络，定义为无向图G_S＝(V_S，E_S，A_S)，其中，V_S表示待保护的网络的节点的有限集，|V_S|＝N_S，N_S为G_S中节点个数；E_S表示待保护的网络节点间的链路集合，|E_S|＝M_S，M_S为G_S中链路个数；

表示G_S的邻接矩阵；将网络中的链路E_S建模成拓扑图中的点，相邻的链路在拓扑图中进行连接转化为拓扑图中的边，可以得到G_L＝(V_L，E_L，A_L)，其中，V_L表示构建的拓扑图节点集合|V_L|＝M_S，E_L表示构建的拓扑图链路集合，

表示G_L的邻接矩阵，具体转化流程为：

首先，按顺序将E_S矩阵的每一条边进行标号；然后，构建零矩阵A_L，遍历A_S矩阵中的边，将相邻的边在A_L矩阵中赋值，得到用于LFA检测的拓扑图。

优选地，步骤S2包括：

使用链路流量、链路利用率、ABW、丢包率和RTT作为LFA检测的特征，定义为

其中，

表示第i条链路t时刻的特征，

F为特征数目，F＝5，

和

分别表示第i条链路t时刻的链路流量、利用率、ABW、丢包率和RTT；因此有

表示t时刻所有网络链路的特征，其中，

定义X＝(X₁，X₂，...，X_τ)^T表示所有节点τ个时间片的所有特征，

由于网络流量特征不仅具有空间特性还具有较强的时间特性，进而刻画网络链路的时间特征：定义默认时间间隔为5min，窗口长度为T_p，分别提取分钟级别、日级别和周级别的特征序列作为时间维度的刻画，分别定义为X_m、X_d和

优选地，在步骤S3中，采用时空注意力图神经网络(Attention Based Spatial-Temporal GraphConvolutional Networks，ASTGCN)，使用三个维度的输入，分别建模历史流量的分钟级别、小时级别和日级别的周期依赖关系，捕获网络流量的动态时空相关性，并使用全连接网络进行LFA攻击检测。

优选地，步骤S3包括：

在空间维度上，使用注意力机制自适应地捕捉空间维度中节点之间的动态相关性；

以分钟级别中的r-1层为例：

其中，

表示第r层时空块的输入，C_r-1表示第r层输入的通道数量，当r＝1时C₀＝F，T_r-1是r层的时间维度，当r＝1时T₀＝T_p；

是可学习的参数；空间相关矩阵S由变化的输入确定，S的元素S_i，j表示时间i和j之间的依赖强度，利用归一化指数Softmax函数对S_i，j进行归一化处理，最后将归一化的空间注意力矩阵应用于输入。

优选地，步骤S3还包括：

在时间维度上，采用注意力机制自适应地对不同时间段的数据给予不同的权重；

以分钟级别第r-1层上的操作为例：

其中，

是可学习的参数；时间相关矩阵E由变化的输入确定，E的元素E_i，j表示时间i和j之间的依赖强度，利用Softmax函数对E_i，j进行归一化处理，最后将归一化的时间注意力矩阵应用于输入可得：

优选地，步骤S3还包括：

在每个时间片上采用基于谱图方法的图卷积处理流量信息，处理网络流量在空间维度上的相关性；在谱图方法中，图由相应的拉普拉斯矩阵表示，通过分析拉普拉斯矩阵及其特征值，可以得到图结构的性质；定义图的拉普拉斯矩阵L＝D-A，其中，D为对角度矩阵，D_ii＝∑_j A_ij，A为邻接矩阵，标准化为

I_N为单位矩阵，

拉普拉斯矩阵的特征值分解为L＝UΛU^T，Λ＝diag([λ₀，...，λ_N-1])，根据拉普拉斯矩阵性质，U是一个正交矩阵；信号的傅里叶变换为

与之的逆变换为

因此可得，图G_L上的信号x通过卷积核g_θ：

g_θ*Gx＝g_θ(L)x＝g_θ(UΛU^T)x＝Ug_θ(Λ)U^Tx

其中，*G是图卷积运算；图信号的卷积运算等于图傅里叶变换到谱域的这些信号的乘积，因此上述公式分别将g_θ和x通过傅里叶变换到谱域，将结果相乘再进行傅里叶逆变换，得到卷积运算的最终结果；

然而，当图的规模较大时，采用切比雪夫多项式近似：

其中，θ∈R^K是多项式系数向量，

λ_max是拉普拉斯矩阵的最大特征值，切比雪夫多项式的递归定义为T_k(x)＝2xT_k-1(x)-T_k-2(x)，T₀(x)＝1，T₁(x)＝x；使用切比雪夫多项式的近似展开来求解该公式对应于通过卷积核g_θ来提取图中每个节点的0到K-1阶邻域的信息；图卷积使用线性整流函数(Rectified Linear Unit，ReLU)作为最终激活函数，即ReLU(g_θ*Gx)；

图卷积捕获了空间维度中的每个节点的相邻信息后，在时间维度中一维卷积来更新节点的信息，以分钟级别中第r层上的操作为例：

其中，*表示一维卷积运算，Φ为时间卷积核参数，激活函数为ReLu；最后将不同的输出融合，赋予每个部分不同的权重：

其中，⊙代表哈达玛积，W_m，W_d，W_w表示可学习参数，反映三维时间分量对预测目标的影响程度；并将预测值与真实值之间的均方误差(meansquare error，MSE)作为损失函数，反向传播优化模型参数。

优选地，经过步骤3中的时空图神经网络的方法预测网络流量行为特征

将此刻的真实的网络流量行为特征X_now与预测值

做差，将得到的结果输入到全连接的LFA检测网络中，并使用交叉熵作为损失函数，反向传播优化模型参数，即可准确检测LFA攻击。

本发明第二方面提供一种设备，所述设备包括处理器及存储器；其中，所述存储器用于存储计算机程序，所述处理器用于根据所述计算机程序执行本发明第一方面所述的时空图神经网络链路泛洪攻击检测方法。

本发明第三方面提供一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序，所述计算机程序用于执行本发明第一方面所述的时空图神经网络链路泛洪攻击检测方法。

根据上述技术方案，本发明针对DoS攻击作为一种重要的网络攻击的手段，近年来衍化出了LFA等新型的攻击方式，使得检测越来越困难，对LFA的检测需求也日益增加。传统的检测方法主要使用启发式算法或者人工智能算法对选定链路的相关统计特征进行检测，该类方法通常只考虑部分链路，不能有效的建模LFA的时空特性，且较为依赖专家经验的问题，通过对流量特征与相关统计特征的提取，使用GCN处理LFA的空间特征，CNN处理LFA的时间特征，利用STGCN充分建模攻击的时空特性，完成对LFA的准确识别，提高LFA攻击检测的准确率。

本发明的其他特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

附图是用来提供对本发明的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明，但并不构成对本发明的限制。在附图中：

图1是本发明提供的基于时空图神经网络链路泛洪攻击检测方法中***总体架构图；

图2是本发明提供的基于时空图神经网络链路泛洪攻击检测方法中拓扑图构建示例图；

图3是本发明提供的基于时空图神经网络链路泛洪攻击检测方法中时间序列构建示例图；

图4是本发明提供的基于时空图神经网络链路泛洪攻击检测方法中ASTGCN的LFA检测框架示意图；

图5是本发明提供的一种实施方式中的校园网拓扑图。

具体实施方式

以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。

近年来图卷积神经网络(Graph Convolutional Networks,GCN)的发展，为处理非欧式数据的问题带来了新的解决思路，GCN被应用于解决网络建模和推荐***等问题。随后又将GCN与其他神经网络相结合，提出时空图卷积神经网络(Spatial-Temporal GraphConvolutional Networks,STGCN)，分别从时间和空间角度提取和分析数据中所包含的信息。STGCN被广泛的应用于交通流量预测、识别动作和推荐***等领域。

随着一种新兴的网络模式，软件定义网络(Software DefinedNetworking,SDN)兴起。SDN下的数据平面可编程技术可以获得细粒度的网络状态，其不仅可以获取细粒度的网络状态时间特征，还可以获取网络状态的空间特征。

在此，本发明提出一种基于时空图神经网络的链路泛洪攻击检测方法，该方法包括：

S1、拓扑构建图，将待保护的网络区域建模成适用于LFA检测的图；

S2、特征提取，选取适应于LFA检测的流量特征与统计特征；

S3、采用STGCN模型构建流量时空特性，并使用分类网络进行LFA攻击检测。

其中，LFA是一种针对于链路的泛洪攻击模式，本发明意在通过STGCN构建LFA的时空特性。STGCN的输入应为网络链路信息，而不是交换机节点信息，所以本发明考虑从链路的角度将网络拓扑构建成适用于STGCN输入的LFA检测拓扑图，以下简述为拓扑图。

具体的，上述步骤S1包括：

SDN场景下，控制器拥有网络全局拓扑；将全局拓扑抽象出来，选取出待保护的网络，定义为无向图G_S＝(V_S，E_S，A_S)，其中，V_S表示待保护的网络的节点的有限集，|V_S|＝N_S，N_S为G_S中节点个数；E_S表示待保护的网络节点间的链路集合，|E_S|＝M_S，M_S为G_S中链路个数；

表示G_S的邻接矩阵；将网络中的链路E_S建模成拓扑图中的点，相邻的链路在拓扑图中进行连接转化为拓扑图中的边，可以得到G_L＝(V_L，E_L，A_L)，其中，V_L表示构建的拓扑图节点集合|V_L|＝M_S，E_L表示构建的拓扑图链路集合，

表示G_L的邻接矩阵，具体转化流程为：

首先，按顺序将E_S矩阵的每一条边进行标号；然后，构建零矩阵A_L，遍历A_S矩阵中的边，将相邻的边在A_L矩阵中赋值，得到用于LFA检测的拓扑图。这样就可以得到用于LFA检测的拓扑图，拓扑图具体构建示例如图2所示。

本实施方式选取与LFA检测密切相关的特征作为STGCN的输入，并使用链路信息收集模块来收集各个节点的信息。链路信息收集模块运行在SDN控制器中，负责链路信息的收集。SDN控制器可以实时读取和分析链路信息。

链路发生阻塞时，链路丢包率增加、往返时延(Round-Trip Time，RTT)增加、可用带宽(Available Band Width，ABW)明显减少。在交换机节点中，当数据包到达速率大于传出速率时，数据包会临时存储在先进先出的缓存队列中。一旦这种情况持续一段时间，队列占满后，后续的数据包将被丢弃，将导致丢包率和RTT大幅增加。如果LFA攻击流量的带宽达到或者超过链路最大带宽，ABW将固定在一定范围内，无论LFA攻击流量增加多少，ABW都将在固定值附近浮动。然而，丢包率和RTT将有巨大的变化。因此，上述链路特征对检测LFA攻击至关重要。

因此，本发明的步骤S2包括：

使用链路流量、链路利用率、ABW、丢包率和RTT作为LFA检测的特征，定义为

其中，

表示第i条链路t时刻的特征，

F为特征数目，F＝5，

和

分别表示第i条链路t时刻的链路流量、利用率、ABW、丢包率和RTT；因此有

表示t时刻所有网络链路的特征，其中，

定义X＝(X₁，X₂，...，X_τ)^T表示所有节点τ个时间片的所有特征，

由于网络流量特征不仅具有空间特性还具有较强的时间特性，每周的不同工作日与休息日、每天的不同小时和每小时的不同分钟都具有较强的时间特性。本发明在提取了LFA检测的重要特征和刻画了网络链路的空间特征之后，进而刻画网络链路的时间特征：如图3所示，定义默认时间间隔为5min，窗口长度为T_p，分别提取分钟级别、日级别和周级别的特征序列作为时间维度的刻画，分别定义为X_m、X_d和

在检测模型方面，本发明在步骤S3中，采用时空注意力图神经网络(AttentionBased Spatial-Temporal GraphConvolutional Networks，ASTGCN)，使用三个维度的输入，分别建模历史流量的分钟级别、小时级别和日级别的周期依赖关系，捕获网络流量的动态时空相关性，并使用全连接网络进行LFA攻击检测，检测模型的总体框架如图4所示。

在空间维度上，不同链路的流量相互影响，影响是高度动态的。因此，步骤S3包括：

在空间维度上，使用注意力机制自适应地捕捉空间维度中节点之间的动态相关性；

以分钟级别中的r-1层为例：

其中，

表示第r层时空块的输入，C_r-1表示第r层输入的通道数量，当r＝1时C₀＝F，T_r-1是r层的时间维度，当r＝1时T₀＝T_p；

是可学习的参数；空间相关矩阵S由变化的输入确定，S的元素S_i，j表示时间i和j之间的依赖强度，利用归一化指数Softmax函数对S_i，j进行归一化处理，最后将归一化的空间注意力矩阵应用于输入。

进一步的，步骤S3还包括：

在时间维度上，不同时间段的流量状况之间存在相关性，并且相关性在不同情况下也会有所不同。本发明采用注意力机制自适应地对不同时间段的数据给予不同的权重；

以分钟级别第r-1层上的操作为例：

其中，

是可学习的参数；时间相关矩阵E由变化的输入确定，E的元素E_i，j表示时间i和j之间的依赖强度，利用Softmax函数对E_i，j进行归一化处理，最后将归一化的时间注意力矩阵应用于输入可得：

时空卷积由一个空间维度的图卷积和一个时间维度的卷积组成，前者从邻域中获取空间依赖性，后者从邻近时间获取时间依赖性。谱图方法将卷积运算推广到图结构的数据。本发明的步骤S3还包括：

在每个时间片上采用基于谱图方法的图卷积处理流量信息，处理网络流量在空间维度上的相关性；在谱图方法中，图由相应的拉普拉斯矩阵表示，通过分析拉普拉斯矩阵及其特征值，可以得到图结构的性质；定义图的拉普拉斯矩阵L＝D-A，其中，D为对角度矩阵，D_ii＝∑_j A_ij，A为邻接矩阵，标准化为

I_N为单位矩阵，

拉普拉斯矩阵的特征值分解为L＝UΛU^T，Λ＝diag([λ₀，...，λ_N-1])，根据拉普拉斯矩阵性质，U是一个正交矩阵；信号的傅里叶变换为

与之的逆变换为

因此可得，图G_L上的信号x通过卷积核g_θ：

g_θ*Gx＝g_θ(L)x＝g_θ(UΛU^T)x＝Ug_θ(Λ)U^Tx

其中，*G是图卷积运算；图信号的卷积运算等于图傅里叶变换到谱域的这些信号的乘积，因此上述公式分别将g_θ和x通过傅里叶变换到谱域，将结果相乘再进行傅里叶逆变换，得到卷积运算的最终结果；

然而，当图的规模较大时，采用切比雪夫多项式近似：

其中，θ∈R^K是多项式系数向量，

λ_max是拉普拉斯矩阵的最大特征值，切比雪夫多项式的递归定义为T_k(x)＝2xT_k-1(x)-T_k-2(x)，T₀(x)＝1，T₁(x)＝x；使用切比雪夫多项式的近似展开来求解该公式对应于通过卷积核g_θ来提取图中每个节点的0到K-1阶邻域的信息；图卷积使用线性整流函数(Rectified Linear Unit，ReLU)作为最终激活函数，即ReLU(g_θ*Gx)；

图卷积捕获了空间维度中的每个节点的相邻信息后，在时间维度中一维卷积来更新节点的信息，以分钟级别中第r层上的操作为例：

其中，*表示一维卷积运算，Φ为时间卷积核参数，激活函数为ReLu；最后将不同的输出融合，赋予每个部分不同的权重：

其中，⊙代表哈达玛积，W_m，W_d，W_w表示可学习参数，反映三维时间分量对预测目标的影响程度；并将预测值与真实值之间的均方误差(meansquare error，MSE)作为损失函数，反向传播优化模型参数。

经过步骤3中的时空图神经网络的方法预测网络流量行为特征

将此刻的真实的网络流量行为特征X_now与预测值

做差，将得到的结果输入到全连接的LFA检测网络中，并使用交叉熵作为损失函数，反向传播优化模型参数，即可准确检测LFA攻击。

通过上述技术方案，针对DoS攻击作为一种重要的网络攻击的手段，近年来衍化出了LFA等新型的攻击方式，使得检测越来越困难，对LFA的检测需求也日益增加。传统的检测方法主要使用启发式算法或者人工智能算法对选定链路的相关统计特征进行检测，该类方法通常只考虑部分链路，不能有效的建模LFA的时空特性，且较为依赖专家经验的问题，本发明通过对流量特征与相关统计特征的提取，使用GCN处理LFA的空间特征，CNN处理LFA的时间特征，利用STGCN充分建模攻击的时空特性，完成对LFA的准确识别，提高LFA攻击检测的准确率。

此外，本发明还提供了一种设备，所述设备包括处理器及存储器；其中，所述存储器用于存储计算机程序，所述处理器用于根据所述计算机程序执行上述时空图神经网络链路泛洪攻击检测方法。

同样的，本发明也提供了一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序，所述计算机程序用于执行上述的时空图神经网络链路泛洪攻击检测方法。

在一种具体实施方式中，如图5所示为某校园网连接到Internet的拓扑结构，其中，链路L4位于校园网出口链路附近，长期具有较高的链路利用率，Host2附近的受控主机可以通过访问Public server来达到泛洪链路L4的目的，导致Host1附近主机断网。应用本发明所述方法可以有效地建模校园网流量的时空模式，有效的保护校园网络，避免遭受LFA泛洪攻击的侵扰。

以上结合附图详细描述了本发明的优选实施方式，但是，本发明并不限于上述实施方式中的具体细节，在本发明的技术构思范围内，可以对本发明的技术方案进行多种简单变型，这些简单变型均属于本发明的保护范围。

另外需要说明的是，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合，为了避免不必要的重复，本发明对各种可能的组合方式不再另行说明。

此外，本发明的各种不同的实施方式之间也可以进行任意组合，只要其不违背本发明的思想，其同样应当视为本发明所公开的内容。

Claims (10)

1.一种时空图神经网络链路泛洪攻击检测方法，其特征在于，所述方法包括：

S1、拓扑构建图，将待保护的网络区域建模成适用于LFA检测的图；

S2、特征提取，选取适应于LFA检测的流量特征与统计特征；

S3、采用STGCN模型构建流量时空特性，并使用分类网络进行LFA攻击检测。

2.根据权利要求1所述的方法，其特征在于，步骤S1包括：

SDN场景下，控制器拥有网络全局拓扑；将全局拓扑抽象出来，选取出待保护的网络，定义为无向图G_S＝(V_S，E_S，A_S)，其中，V_S表示待保护的网络的节点的有限集，|V_S|＝N_S，N_S为G_S中节点个数；E_S表示待保护的网络节点间的链路集合，|E_S|＝M_S，M_S为G_S中链路个数；

表示G_S的邻接矩阵；将网络中的链路E_S建模成拓扑图中的点，相邻的链路在拓扑图中进行连接转化为拓扑图中的边，可以得到G_L＝(V_L，E_L，A_L)，其中，V_L表示构建的拓扑图节点集合|V_L|＝M_S，E_L表示构建的拓扑图链路集合，

表示G_L的邻接矩阵，具体转化流程为：

首先，按顺序将E_S矩阵的每一条边进行标号；然后，构建零矩阵A_L，遍历A_S矩阵中的边，将相邻的边在A_L矩阵中赋值，得到用于LFA检测的拓扑图。

3.根据权利要求1所述的方法，其特征在于，步骤S2包括：

使用链路流量、链路利用率、ABW、丢包率和RTT作为LFA检测的特征，定义为

其中，

表示第i条链路t时刻的特征，

F为特征数目，F＝5，

和

分别表示第i条链路t时刻的链路流量、利用率、ABW、丢包率和RTT；因此有

表示t时刻所有网络链路的特征，其中，

定义X＝(X₁，X₂，...，X_τ)^T表示所有节点τ个时间片的所有特征，

由于网络流量特征不仅具有空间特性还具有较强的时间特性，进而刻画网络链路的时间特征：定义默认时间间隔为5min，窗口长度为T_p，分别提取分钟级别、日级别和周级别的特征序列作为时间维度的刻画，分别定义为X_m、X_d和

4.根据权利要求1所述的方法，其特征在于，在步骤S3中，采用时空注意力图神经网络(Attention Based Spatial-Temporal GraphConvolutional Networks，ASTGCN)，使用三个维度的输入，分别建模历史流量的分钟级别、小时级别和日级别的周期依赖关系，捕获网络流量的动态时空相关性，并使用全连接网络进行LFA攻击检测。

5.根据权利要求4所述的方法，其特征在于，步骤S3包括：

在空间维度上，使用注意力机制自适应地捕捉空间维度中节点之间的动态相关性；

以分钟级别中的r-1层为例：

其中，

表示第r层时空块的输入，C_r-1表示第r层输入的通道数量，当r＝1时C₀＝F，T_r-1是r层的时间维度，当r＝1时T₀＝T_p；V_e，

是可学习的参数；空间相关矩阵S由变化的输入确定，S的元素S_i，j表示时间i和j之间的依赖强度，利用归一化指数Softmax函数对S_i，j进行归一化处理，最后将归一化的空间注意力矩阵应用于输入。

6.根据权利要求4所述的方法，其特征在于，步骤S3还包括：

在时间维度上，采用注意力机制自适应地对不同时间段的数据给予不同的权重；

以分钟级别第r-1层上的操作为例：

其中，V_e，

是可学习的参数；时间相关矩阵E由变化的输入确定，E的元素E_i，j表示时间i和j之间的依赖强度，利用Softmax函数对E_i，j进行归一化处理，最后将归一化的时间注意力矩阵应用于输入可得：

7.根据权利要求4所述的方法，其特征在于，步骤S3还包括：

在每个时间片上采用基于谱图方法的图卷积处理流量信息，处理网络流量在空间维度上的相关性；在谱图方法中，图由相应的拉普拉斯矩阵表示，通过分析拉普拉斯矩阵及其特征值，可以得到图结构的性质；定义图的拉普拉斯矩阵L＝D-A，其中，D为对角度矩阵，D_ii＝∑_jA_ij，A为邻接矩阵，标准化为

I_N为单位矩阵，

拉普拉斯矩阵的特征值分解为L＝UΛU^T，Λ＝diag([λ₀，...，λ_N-1])，根据拉普拉斯矩阵性质，U是一个正交矩阵；信号的傅里叶变换为

与之的逆变换为

因此可得，图G_L上的信号x通过卷积核g_θ：

g_θ*Gx＝g_θ(L)x＝g_θ(UΛU^T)x＝Ug_θ(Λ)U^Tx

其中，*G是图卷积运算；图信号的卷积运算等于图傅里叶变换到谱域的这些信号的乘积，因此上述公式分别将g_θ和x通过傅里叶变换到谱域，将结果相乘再进行傅里叶逆变换，得到卷积运算的最终结果；

然而，当图的规模较大时，采用切比雪夫多项式近似：

其中，θ∈R^K是多项式系数向量，

λ_max是拉普拉斯矩阵的最大特征值，切比雪夫多项式的递归定义为T_k(x)＝2xT_k-1(x)-T_k-2(x)，T₀(x)＝1，T₁(x)＝x；使用切比雪夫多项式的近似展开来求解该公式对应于通过卷积核gθ来提取图中每个节点的0到K-1阶邻域的信息；图卷积使用线性整流函数(Rectified Linear Unit，ReLU)作为最终激活函数，即ReLU(g_θ*Gx)；

图卷积捕获了空间维度中的每个节点的相邻信息后，在时间维度中一维卷积来更新节点的信息，以分钟级别中第r层上的操作为例：

其中，*表示一维卷积运算，Φ为时间卷积核参数，激活函数为ReLu；最后将不同的输出融合，赋予每个部分不同的权重：

其中，⊙代表哈达玛积，W_m，W_d，W_w表示可学习参数，反映三维时间分量对预测目标的影响程度；并将预测值与真实值之间的均方误差(meansquare error，MSE)作为损失函数，反向传播优化模型参数。

8.根据权利要求4所述的方法，其特征在于，经过步骤3中的时空图神经网络的方法预测网络流量行为特征

将此刻的真实的网络流量行为特征X_now与预测值

做差，将得到的结果输入到全连接的LFA检测网络中，并使用交叉熵作为损失函数，反向传播优化模型参数，即可准确检测LFA攻击。

9.一种设备，其特征在于，所述设备包括处理器及存储器；其中，所述存储器用于存储计算机程序，所述处理器用于根据所述计算机程序执行权利要求1-8中任一项所述的时空图神经网络链路泛洪攻击检测方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质用于存储计算机程序，所述计算机程序用于执行权利要求1-8中任一项所述的时空图神经网络链路泛洪攻击检测方法。

Images