一种基于图积分的单特征加密流检测方法及系统

1.本发明涉及流量检测技术领域，尤其涉及一种基于图积分的单特征加密流检测方法及系统。


背景技术：

2.在现有技术中，通过在物联网传输中使用数据加密，可以有效降低物联网设备对恶意流攻击的可见性。从加密的数据包头中提取基本特性还提供了额外的好处，可以实现潜在的实时分类。
3.然而，在现有研究中使用机器学习实现的分类检测通常需要融合多维特征，且往往仅仅使用了原始数据本身进行检测，导致检测精度较低。


技术实现要素：

4.鉴于此，本发明的实施例提供了一种基于图积分的单特征加密流检测方法，以消除或改善现有技术中存在的一个或更多个缺陷。
5.本发明的一个方面提供了一种基于图积分的单特征加密流检测方法，所述方法的步骤包括：获取流量信息，所述流量信息中包括多个数据包，基于所述数据包的五元组信息将多个数据包分为多个数据流；获取数据流中数据包的第一特征值，并基于所述数据包为上行数据包或下行数据包为所述第一特征值赋予第一标记或第二标记，得到第二特征值；将所述数据流中的第二特征值构建为特征序列，基于所述特征序列构建上行流量交互图和下行流量交互图，所述上行流量交互图和下行流量交互图均包括多个节点；分别基于所述上行流量交互图和中下行流量交互图节点的节点属性，对所述上行流量交互图和下行流量交互图进行图积分，得到上行流量积分图和下行流量积分图；将所述上行流量积分图和下行流量积分图进行拼接得到联合积分图，将所述联合积分图输入到预设的神经网络分类模型得到对于每个数据流的检测结果。
6.采用上述方案，本方案首先仅仅需要数据包的第一特征值即可完成整个检测过程，不需要多维特征的融合，降低计算难度；进一步本方案通过构建联合积分图对数据流进行分类，一方面对于数据流的检测应用了图积分，提高了检测精度，另一方面，本方案对于原始的节点属性进行了图积分，充分考虑到了节点之间传递信息的能力，进一步提高了检测精度。
7.在本发明的一些实施方式中，在基于所述数据包的五元组信息将多个数据包分为多个数据流的步骤中，基于所述五元组信息中的源ip地址和目的ip地址，将符合源ip地址和目的ip地址均相同，或目的ip地址与源ip地址相同且源ip地址与目的ip地址相同中任一条件的数据包的组合作为一个数据流。
8.在本发明的一些实施方式中，在获取数据流中数据包的第一特征值的步骤中，解
析获得每个数据包的长度，将所述数据包的长度作为第一特征值。
9.在本发明的一些实施方式中，在基于所述数据包为上行数据包或下行数据包为所述第一特征值赋予第一标记或第二标记，得到第二特征值的步骤中，在一个数据流中基于数据包的源ip地址和目的ip地址将数据包分类为上行数据包和下行数据包，为所述上行数据包赋予第一标记，下行数据包赋予第二标记。
10.在本发明的一些实施方式中，在基于所述数据包为上行数据包或下行数据包为所述第一特征值赋予第一标记或第二标记的步骤中，所述第一标记为正号标记，第二标记为负号标记。
11.在本发明的一些实施方式中，基于所述特征序列构建上行流量交互图和下行流量交互图的步骤包括：基于所述特征序列构建上行特征序列和下行特征序列，所述上行特征序列和下行特征序列中均包括与所述特征序列的第二特征值相同数量个第三特征值；将所述上行特征序列的第三特征值作为上行流量交互图中节点的节点属性构建上行流量交互图，将所述下行特征序列的第三特征值作为下行流量交互图中节点的节点属性构建下行流量交互图。
12.在本发明的一些实施方式中，在对所述上行流量交互图和下行流量交互图进行图积分的步骤中，基于图中节点的顺序对节点的节点属性进行更新。
13.在本发明的一些实施方式中，在将所述上行流量积分图和下行流量积分图进行拼接得到联合积分图的步骤中，将所述上行流量积分图和下行流量积分图中的节点顺序进行组合，得到联合积分图。
14.在本发明的一些实施方式中，在将所述联合积分图输入到预设的神经网络分类模型得到对于每个数据流的检测结果的步骤中，所述预设的神经网络分类模型采用gcn分类模型、gin分类模型或gat分类模型。
15.本发明的第二方面还提供一种基于图积分的单特征加密流检测系统，该系统包括计算机设备，所述计算机设备包括处理器和存储器，所述存储器中存储有计算机指令，所述处理器用于执行所述存储器中存储的计算机指令，当所述计算机指令被处理器执行时该系统实现如前所述方法所实现的步骤。
16.本发明的第三方面还提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时以实现前述基于图积分的单特征加密流检测方法所实现的步骤。
17.本发明的附加优点、目的，以及特征将在下面的描述中将部分地加以阐述，且将对于本领域普通技术人员在研究下文后部分地变得明显，或者可以根据本发明的实践而获知。本发明的目的和其它优点可以通过在说明书以及附图中具体指出并获得。
18.本领域技术人员将会理解的是，能够用本发明实现的目的和优点不限于以上具体所述，并且根据以下详细说明将更清楚地理解本发明能够实现的上述和其他目的。
附图说明
19.此处所说明的附图用来提供对本发明的进一步理解，构成本技术的一部分，并不构成对本发明的限定。
20.图1为本发明基于图积分的单特征加密流检测方法一种实施方式的示意图；图2为本发明基于图积分的单特征加密流检测方法另一种实施方式的示意图；图3为对所述上行流量交互图进行图积分得到上行流量积分图的示意图；图4为对所述下行流量交互图进行图积分得到下行流量积分图的示意图；图5为将所述上行流量积分图和下行流量积分图进行拼接得到联合积分图的示意图。
具体实施方式
21.为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施方式和附图，对本发明做进一步详细说明。在此，本发明的示意性实施方式及其说明用于解释本发明，但并不作为对本发明的限定。
22.在此，还需要说明的是，为了避免因不必要的细节而模糊了本发明，在附图中仅仅示出了与根据本发明的方案密切相关的结构和/或处理步骤，而省略了与本发明关系不大的其他细节。
23.为解决以上问题，如图1所示，本发明提出一种基于图积分的单特征加密流检测方法，所述方法的步骤包括：步骤s100，获取流量信息，所述流量信息中包括多个数据包，基于所述数据包的五元组信息将多个数据包分为多个数据流；在具体实施过程中，使用pyshark（使用了wireshark的python数据包解析工具）进行pcap（packet capture）包的解析提取工作，具体的，当用户和客户端有信息交互时，可以收集流量信息。
24.在具体实施过程中，所述数据包的五元组信息包括源ip地址、源端口、目的ip地址、目的端口和传输层协议。
25.采用上述方案，由于流量信息中通常涵盖多种类型的流信息，首先将流量信息中的全部数据包切分为独立的流，提取完成后将每一个数据包的数据按行读取进入csv文件中。
26.步骤s200，获取数据流中数据包的第一特征值，并基于所述数据包为上行数据包或下行数据包为所述第一特征值赋予第一标记或第二标记，得到第二特征值；在具体实施过程中，所述第一特征值可以为数据包中的数据长度或数据包大小等。
27.在具体实施过程中，所述第一标记或第二标记均可以为正号标记或负号标记，若第一标记为正号标记，则第二标记为负号标记；若第一标记为负号标记，则第二标记为正号标记。
28.在具体实施过程中，在基于所述数据包为上行数据包或下行数据包为所述第一特征值赋予第一标记或第二标记步骤的将所述数据包分为上行数据包或下行数据包的步骤中，得到的csv文件，以dataframe的形式进行读取。
29.步骤s300，将所述数据流中的第二特征值构建为特征序列，基于所述特征序列构建上行流量交互图和下行流量交互图，所述上行流量交互图和下行流量交互图均包括多个节点；
在本发明的一些实施方式中，在构建所述上行流量交互图的步骤中，基于所述特征序列构建上行特征序列和下行特征序列，在构建上行特征序列的步骤中，将所述特征序列中下行数据包的第二特征值替代为0；在构建下行特征序列的步骤中，将所述特征序列中上行数据包的第二特征值替代为0，并保留原第二特征值在特征序列中的顺序。
30.在具体实施过程中，若设置第一标记为正号标记，则第二标记为负号标记，且为上行数据包的第一特征值赋予第一标记，为且为下行数据包的第一特征值赋予第二标记；且若所述特征序列为-66、-66、-60、+60、+1514、-183，则所述上行特征序列为0、0、0、+60、+1514、0，所述下行特征序列为-66、-66、-60、0、0、-183，将所述上行特征序列的第三特征值作为上行流量交互图中节点的节点属性构建上行流量交互图，将所述下行特征序列的第三特征值作为下行流量交互图中节点的节点属性构建下行流量交互图。
31.步骤s400，分别基于所述上行流量交互图和中下行流量交互图节点的节点属性，对所述上行流量交互图和下行流量交互图进行图积分，得到上行流量积分图和下行流量积分图；步骤s500，将所述上行流量积分图和下行流量积分图进行拼接得到联合积分图，将所述联合积分图输入到预设的神经网络分类模型得到对于每个数据流的检测结果。
32.在具体实施过程中，每张所述联合积分图对应一个数据流，所述预设的神经网络分类模型为图神经网络模型，通过所述图神经网络模型的分类器输出检测结果，所述检测结果可以为恶意流或非恶意流，及恶意流种类等。
33.在具体实施过程中，所述神经网络分类模型可以采用训练完成的gcn分类模型、gin分类模型或gat分类模型。
34.在具体实施过程中，本方案的图结构采用树形结构表示，并在存储时采用十字交叉链表数据结构，减轻存储压力，在十字交叉链表（cross-linked list）结构为计算机底层中图的存储结构，通过此结构我们可以很容易的读取到图的结构信息以及对节点进行相关积分操作。
35.采用上述方案，本方案首先仅仅需要数据包的第一特征值即可完成整个检测过程，不需要多维特征的融合，降低计算难度；进一步本方案通过构建联合积分图对数据流进行分类，一方面对于数据流的检测应用了图积分，提高了检测精度，另一方面，本方案对于原始的节点属性进行了图积分，充分考虑到了节点之间传递信息的能力，进一步提高了检测精度。
36.在本发明的一些实施方式中，在基于所述数据包的五元组信息将多个数据包分为多个数据流的步骤中，基于所述五元组信息中的源ip地址和目的ip地址，将符合源ip地址和目的ip地址均相同，或目的ip地址与源ip地址相同且源ip地址与目的ip地址相同中任一条件的数据包的组合作为一个数据流。
37.在具体实施过程中，在一个数据流中包括上行数据包和下行数据包，若源ip地址为a，目的ip地址为b的数据包为上行数据包，则源ip地址为b，目的ip地址为a的数据包为下行数据包。
38.在具体实施过程中，若存在数据包x1，源ip地址为a，目的ip地址为b；存在数据包x2，源ip地址为a，目的ip地址为b；存在数据包x3，源ip地址为b，目的ip地址为a；存在数据包x4，源ip地址为b，目的ip地址为a，则上述4个数据包符合源ip地址和目的ip地址均相同，
或目的ip地址与源ip地址相同且源ip地址与目的ip地址相同两个条件中的一个，将上述4个数据包的组合作为一个数据流。
39.在本发明的一些实施方式中，在获取数据流中数据包的第一特征值的步骤中，解析获得每个数据包的长度，将所述数据包的长度作为第一特征值。
40.采用上述方案，本方案仅需通过数据包的一项特征即可完成整个检测过程，不需要多维特征的融合，降低计算难度。
41.在本发明的一些实施方式中，在基于所述数据包为上行数据包或下行数据包为所述第一特征值赋予第一标记或第二标记，得到第二特征值的步骤中，在一个数据流中基于数据包的源ip地址和目的ip地址将数据包分类为上行数据包和下行数据包，为所述上行数据包赋予第一标记，下行数据包赋予第二标记。
42.在本发明的一些实施方式中，在基于所述数据包为上行数据包或下行数据包为所述第一特征值赋予第一标记或第二标记的步骤中，所述第一标记为正号标记，第二标记为负号标记。
43.在具体实施过程中，所述第一特征值可以为数据包中的数据长度或数据包大小等。
44.如图2所示，在本发明的一些实施方式中，所述步骤300包括，步骤s310，将所述数据流中的第二特征值构建为特征序列；在具体实施过程中，基于所述特征序列构建上行流量交互图和下行流量交互图的步骤包括：步骤s320，基于所述特征序列构建上行特征序列和下行特征序列，所述上行特征序列和下行特征序列中均包括与所述特征序列的第二特征值相同数量个第三特征值；在具体实施过程中，在构建上行特征序列的步骤中，将所述特征序列中下行数据包的第二特征值替代为0；在构建下行特征序列的步骤中，将所述特征序列中上行数据包的第二特征值替代为0，并保留原第二特征值在特征序列中的顺序。
45.在具体实施过程中，若设置第一标记为正号标记，则第二标记为负号标记，且为上行数据包的第一特征值赋予第一标记，为且为下行数据包的第一特征值赋予第二标记；且若所述特征序列为-66、-66、-60、+60、+1514、-183，则所述上行特征序列为0、0、0、+60、+1514、0，所述下行特征序列为-66、-66、-60、0、0、-183。
46.步骤s330，将所述上行特征序列的第三特征值作为上行流量交互图中节点的节点属性构建上行流量交互图，将所述下行特征序列的第三特征值作为下行流量交互图中节点的节点属性构建下行流量交互图。
47.在具体实施过程中，将所述上行特征序列的第三特征值作为上行流量交互图中节点的节点属性，并将相邻的第三特征值对应节点之间构建边，得到上行流量交互图，将所述下行特征序列的第三特征值作为下行流量交互图中节点的节点属性，并将相邻的第三特征值对应节点之间构建边，得到下行流量交互图。
48.采用上述方案，基于数据包的单个特征的特征值分别构建上行流量交互图和下行流量交互图，在所述特征序列的基础上分别构建上行流量交互图和下行流量交互图，体现数据在上行和下行两个方向的分别体现，提高了最后进行数据检测时对两个方向检测的精准性。
49.在本发明的一些实施方式中，在对所述上行流量交互图和下行流量交互图进行图积分的步骤中，基于图中节点的顺序对节点的节点属性进行更新。
50.如图3和4所示，在具体实施过程中，若所述上行流量交互图中节点的节点属性分别为0、0、0、+60、+1514、0，对所述上行流量交互图进行图积分，则对于上行流量交互图在第一次积分过程中，将第一个节点后的节点的节点属性加上原第一个节点的节点属性，各个节点的节点属性更新为0、0、0、+60、+1514、0，在第二次积分过程中，将第二个节点后的节点的节点属性加上原第二个节点的节点属性，各个节点的节点属性更新为0、0、0、+60、+1514、0，同上步骤，在第三次积分各个节点的节点属性更新为0、0、0、+60、+1514、0，在第四次积分各个节点的节点属性更新为0、0、0、+60、+1574、+60，在第五次积分各个节点的节点属性更新为0、0、0、+60、+1574、+1574，得到上行流量积分图中各个节点的节点属性为0、0、0、+60、+1574、+1574；若所述下行流量交互图中节点的节点属性为-66、-66、-60、0、0、-183，则对于上行流量交互图在第一次积分过程中，将第一个节点后的节点的节点属性加上原第一个节点的节点属性，各个节点的节点属性更新为-66、-132、-126、-66、-66、-249，在第二次积分过程中，将第二个节点后的节点的节点属性加上原第二个节点的节点属性，各个节点的节点属性更新为-66、-132、-192、-132、-132、-315，同上步骤，在第三次积分各个节点的节点属性更新为-66、-132、-192、-192、-192、-375，在第四次积分各个节点的节点属性更新为-66、-132、-192、-192、-192、-375，在第五次积分各个节点的节点属性更新为-66、-132、-192、-192、-192、-375，得到下行流量积分图中各个节点的节点属性为-66、-132、-192、-192、-192、-375。
51.采用上述方案，本方案进一步对所述上行流量交互图和下行流量交互图进行图积分，提高两个图中的数据更加丰富，本方案结合图结构的拓扑结构，进一步体现了节点之间传递信息的能力，本发明将路径积分原理应用到图结构中，利用节点之间传递信息的能力，提升了单特征检测的准确率。
52.在本发明的一些实施方式中，在将所述上行流量积分图和下行流量积分图进行拼接得到联合积分图的步骤中，将所述上行流量积分图和下行流量积分图中的节点顺序进行组合，得到联合积分图。
53.如图5所示，在本发明的一些实施方式中，若上行流量积分图中各个节点的节点属性为0、0、0、+60、+1574、+1574，下行流量积分图中各个节点的节点属性为-66、-132、-192、-192、-192、-375，则将所述上行流量积分图和下行流量积分图中的节点顺序进行组合，得到联合积分图，联合积分图中各个节点的节点属性为0、0、0、+60、+1574、+1574、-66、-132、-192、-192、-192、-375。
54.在具体实施过程中，本方案通过将原始流量交互信息构图，并对图进行图积分从而进行流量检测，图积分即在原始流量交互图中对图上节点进行离散积分，从而构造出上行流量积分图及下行流量积分图，而图积分可以在原始图的基础上提升检测能力，从而使本方案在少量特征的前提下达到更优的检测结果。
55.本方案结合了邻域节点特征与基于mqtt和coap协议的客户端服务器之间的交互将网络流分类问题转换为图分类问题，允许使用有限的特征增强检测能力。
56.在本发明的一些实施方式中，在将所述联合积分图输入到预设的神经网络分类模
型得到对于每个数据流的检测结果的步骤中，所述预设的神经网络分类模型采用gcn分类模型、gin分类模型或gat分类模型。
57.在具体实施过程中，本方案通过单一特征如数据包长度等对原始流量进行检测，在之前的深度学习检测方法中通常需要依赖仅选择的几个特征来对恶意流进行分类。在本方案中，将其应用于仅基于数据包长度序列构建图，增强了基于单特征的方法（如数据包长度序列）的检测能力。
58.在具体实施过程中，现有的流量检测，主要有如下问题：一、使用机器学习的现有研究通常需要融合多维特征，需要计算密集型的特征处理(例如，包时间序列的动态时间规整)，但一些低级特征的使用给准确检测带来了挑战。
59.二、现有的图结构存储冗余大，给计算带来了很大的额外开销。
60.三、现有的路径积分方法仅在原始数据的层面上操作，未能结合图结构等拓扑结构。因此，忽略了节点之间传递信息的能力，对具有有限特征的数据的分析和决策产生不利影响；本发明提出了图积分的理论，并将其应用在物联网以及互联网的网络流检测上面，解决了网络流分类中使用少量特征分类低准确率的问题。在图结构的存储方面，我们采用了十字交叉链表形式，结构也是计算机底层中图的存储结构，通过此结构本方案可以很容易的读取到图的结构信息以及对节点进行相关积分操作。除了普通的流量交互图，本方案还提出了轻量级的树形结构表示流量交互图的方式，并发现在相同节点的情况下，树形结构的边数更少，减少了计算机的存储和计算成本。
61.本方案的有益效果包括：1.本方案首次提出了图积分的理论，并将其应用在物联网以及互联网的网络流检测上面，解决了网络流分类中使用少量特征分类低准确率的问题。在图结构的存储方面，我们采用了十字交叉链表形式，结构也是计算机底层中图的存储结构，通过此结构我们可以很容易的读取到图的结构信息以及对节点进行相关积分操作。除了普通的流量交互图，我们还提出了轻量级的树形结构表示流量交互图的方式，并发现在相同节点的情况下，树形结构的边数更少，减少了计算机的存储和计算成本。
62.2.现有的路径积分方法仅在原始数据的层面上操作，未能结合图结构等拓扑结构。因此，忽略了节点之间传递信息的能力，对具有有限特征的数据的分析和决策产生不利影响。本发明将路径积分原理应用到图结构中，利用节点之间传递信息的能力，提升了单特征检测的准确率。
63.实验例：本实验例中，如下表一所示，gcn表示采用的图神经网络为图卷积网络，gin表示采用的图神经网络为图同构网络(graph isomorphism network, gin)，gat表示采用的图神经网络为图注意力网络(graph attention network, gat)，采用gu表示上行流量交互图，gd表示下行流量交互图，guf表示上行流量积分图，gdf表示下行流量积分图，gu+gd表示拼接上行流量交互图和下行流量交互图作为输入，输入到图神经网络中；guf+gdf表示采用本方案的拼接上行流量积分图和下行流量积分图作为输入，输入到图神经网络中。
64.在具体实施过程中，为了进一步研究git在多类分类中的有效性，我们利用了unsw-nb15数据集。为了真实地恢复恶意流和良性流的比例，我们从数据集中提取了每种攻
击类型的2000个数据包，并将它们与20000个良性流的数据包混合在一起。我们只选择了数据包长度序列作为分析的特征。我们基于lstm和rnn中的数据包长度序列以及基于gcn、gin和gat中的长度序列构建了分类结果。
65.表一
66.本实验中使用的原始序列为基于数据包的数据长度构建的序列，本实验例中的gcn、gin、gat和lstm的batch_size为128，隐藏层数为64，且均为十分类。
67.如表一所示，通过对比各个实施方式可知，使用原始序列，并将原始序列输入到lstm神经网络的方式的分类准确率最低；进一步地，在采用不同的图神经网络的情况下，本方案拼接上行流量积分图和下行流量积分图作为输入，输入到图神经网络中的方式的分类准确率均大于对应的采用拼接上行流量交互图和下行流量交互图作为输入，输入到图神经网络中的方式的分类准确率。
68.根据实验结果，我们可以得出结论，本方案对于多类分类是有效的。此外，gin分类器在十个类别的分类中实现了0.8557的准确率，显著高于仅使用数据包长度特征时所达到的最高准确率0.6172，且高于采用采用拼接上行流量交互图和下行流量交互图作为输入，输入到图神经网络的方式的最高准确率0.6634。此外，在基于图的分类中使用git实现的分类准确率优于在没有使用git的情况下实现的准确率。
69.本发明实施例还提供一种基于图积分的单特征加密流检测系统，该系统包括计算机设备，所述计算机设备包括处理器和存储器，所述存储器中存储有计算机指令，所述处理器用于执行所述存储器中存储的计算机指令，当所述计算机指令被处理器执行时该系统实现如前所述方法所实现的步骤。
70.本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时以实现前述基于图积分的单特征加密流检测方法所实现的步骤。该计算机可读存储介质可以是有形存储介质，诸如随机存储器（ram）、内存、只读存储器（rom）、电可编程rom、电可擦除可编程rom、寄存器、软盘、硬盘、可移动存储盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质。
71.本领域普通技术人员应该可以明白，结合本文中所公开的实施方式描述的各示例性的组成部分、系统和方法，能够以硬件、软件或者二者的结合来实现。具体究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。当以硬件方式实现时，其可以例如是电子电路、专用集成电路（asic）、适当的固件、插
件、功能卡等等。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。
72.需要明确的是，本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见，这里省略了对已知方法的详细描述。在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本发明的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本发明的精神后，做出各种改变、修改和添加，或者改变步骤之间的顺序。
73.本发明中，针对一个实施方式描述和/或例示的特征，可以在一个或更多个其它实施方式中以相同方式或以类似方式使用，和/或与其他实施方式的特征相结合或代替其他实施方式的特征。
74.以上所述仅为本发明的优选实施例，并不用于限制本发明，对于本领域的技术人员来说，本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

技术特征：
1.一种基于图积分的单特征加密流检测方法，其特征在于，所述方法的步骤包括：获取流量信息，所述流量信息中包括多个数据包，基于所述数据包的五元组信息将多个数据包分为多个数据流；获取数据流中数据包的第一特征值，并基于所述数据包为上行数据包或下行数据包为所述第一特征值赋予第一标记或第二标记，得到第二特征值；将所述数据流中的第二特征值构建为特征序列，基于所述特征序列构建上行流量交互图和下行流量交互图，所述上行流量交互图和下行流量交互图均包括多个节点；分别基于所述上行流量交互图和中下行流量交互图节点的节点属性，对所述上行流量交互图和下行流量交互图进行图积分，得到上行流量积分图和下行流量积分图；将所述上行流量积分图和下行流量积分图进行拼接得到联合积分图，将所述联合积分图输入到预设的神经网络分类模型得到对于每个数据流的检测结果。2.根据权利要求1所述的基于图积分的单特征加密流检测方法，其特征在于，在基于所述数据包的五元组信息将多个数据包分为多个数据流的步骤中，基于所述五元组信息中的源ip地址和目的ip地址，将符合源ip地址和目的ip地址均相同，或目的ip地址与源ip地址相同且源ip地址与目的ip地址相同中任一条件的数据包的组合作为一个数据流。3.根据权利要求1所述的基于图积分的单特征加密流检测方法，其特征在于，在获取数据流中数据包的第一特征值的步骤中，解析获得每个数据包的长度，将所述数据包的长度作为第一特征值。4.根据权利要求1所述的基于图积分的单特征加密流检测方法，其特征在于，在基于所述数据包为上行数据包或下行数据包为所述第一特征值赋予第一标记或第二标记，得到第二特征值的步骤中，在一个数据流中基于数据包的源ip地址和目的ip地址将数据包分类为上行数据包和下行数据包，为所述上行数据包赋予第一标记，下行数据包赋予第二标记。5.根据权利要求1所述的基于图积分的单特征加密流检测方法，其特征在于，在基于所述数据包为上行数据包或下行数据包为所述第一特征值赋予第一标记或第二标记的步骤中，所述第一标记为正号标记，第二标记为负号标记。6.根据权利要求1所述的基于图积分的单特征加密流检测方法，其特征在于，基于所述特征序列构建上行流量交互图和下行流量交互图的步骤包括：基于所述特征序列构建上行特征序列和下行特征序列，所述上行特征序列和下行特征序列中均包括与所述特征序列的第二特征值相同数量个第三特征值；将所述上行特征序列的第三特征值作为上行流量交互图中节点的节点属性构建上行流量交互图，将所述下行特征序列的第三特征值作为下行流量交互图中节点的节点属性构建下行流量交互图。7.根据权利要求1-6任一项所述的基于图积分的单特征加密流检测方法，其特征在于，在对所述上行流量交互图和下行流量交互图进行图积分的步骤中，基于图中节点的顺序对节点的节点属性进行更新。8.根据权利要求1所述的基于图积分的单特征加密流检测方法，其特征在于，在将所述上行流量积分图和下行流量积分图进行拼接得到联合积分图的步骤中，将所述上行流量积分图和下行流量积分图中的节点顺序进行组合，得到联合积分图。9.根据权利要求1所述的基于图积分的单特征加密流检测方法，其特征在于，在将所述
联合积分图输入到预设的神经网络分类模型得到对于每个数据流的检测结果的步骤中，所述预设的神经网络分类模型采用gcn分类模型、gin分类模型或gat分类模型。10.一种基于图积分的单特征加密流检测系统，其特征在于，该系统包括计算机设备，所述计算机设备包括处理器和存储器，所述存储器中存储有计算机指令，所述处理器用于执行所述存储器中存储的计算机指令，当所述计算机指令被处理器执行时该系统实现如权利要求1-9任一项所述方法所实现的步骤。

技术总结
本发明提供一种基于图积分的单特征加密流检测方法及系统，所述方法的步骤包括：获取流量信息中的多个数据包，基于数据包的五元组信息将多个数据包分为多个数据流；获取数据流中数据包的第一特征值，基于数据包为上行数据包或下行数据包为第一特征值赋予第一标记或第二标记，得到第二特征值；将数据流中的第二特征值构建为特征序列，并构建上行流量交互图和下行流量交互图；基于上行流量交互图和中下行流量交互图节点的节点属性，对上行流量交互图和下行流量交互图进行图积分，得到上行流量积分图和下行流量积分图；将上行流量积分图和下行流量积分图进行拼接得到联合积分图，基于将联合积分图输入到预设的神经网络分类模型得到检测结果。得到检测结果。得到检测结果。


技术研发人员：何明枢 韩影 王小娟 阳柳 郭世泽 俞赛赛 路子逵 王欣蕾
受保护的技术使用者：北京邮电大学
技术研发日：2023.09.05
技术公布日：2023/10/15