一种基于边特征提取的循环图神经网络的入侵检测模型

一种基于边特征提取的循环图神经网络的入侵检测模型
二、所属技术领域
1.本发明涉及网络安全领域中的入侵检测领域，提出了一种基于边特征提取的循环图神经网络的入侵检测模型。
三、

背景技术：

2.入侵行为检测识别是网络安全领域中的一个重要问题，随着网络技术日渐成熟，网络已成为人们生活中不可或缺的一部分。从日常通信到商业交易，从小型企业到大型企业，所有的活动都可以使用网络快速简便的进行，网络安全问题也日益凸显出来。因此，一个高效准确的网络入侵检测系统(nids)对网络系统来说至关重要。机器学习自发明以来就被应用于计算机领域的方方面面，由于于其在视频检索、视频监控、虚拟现实、人机交互等领域的广泛应用，目前发展迅速，同时机器学习也被应用于入侵检测系统中。
3.相较于传统的神经网络模型，基于图神经网络的机器学习模型因其对数据的图特征提取、识别的高准确率等优点越来越受关注。图放大和聚合算法(graphsage)算法是最著名的图神经网络算法之一，由汉密尔顿等人开发。在graphsage中，一个固定大小的子集(均匀随机)会被采集成样本。这种算法允许限制空间和时间的复杂度，而不考虑图的结构(例如节点度的分布)和batch的大小，已经成功地应用于各类领域。然而，这些方法主要关注节点特征进行节点分类，目前还不能对边特征进行学习和分类。相比之下，e-graphsage算法在特征学习的过程中也会对流信息进行特征提取和学习。这为计算相应的边embedding和实现边分类提供了基础，即将网络流分类为良性流和攻击流。
4.本发明所提出的方法基于对网络流的边特征而非节点特征的提取思想，同时将rnn捕获图序列的长期依赖性，扩展到动态图，由此来捕获动态网络的演化模式。
四、

技术实现要素：

5.本发明的目的在于提供一种新的基于边特征提取的循环图神经网络的入侵检测模型，该模型包括以下步骤：
6.步骤1：从网络流数据中生成网络图，使用所提供的边特征而非节点特征。使用向量xv＝{1，
……
，1}来初始化节点特征(和初始节点嵌入)，所有常量向量的维数与其边特征的数量相同
7.步骤2：在每个时间步长中，首先为每个目标节点的邻域特征进行采样。然后，通过邻域聚合函数在第k层创建采样邻域边的聚合嵌入。
8.步骤3：聚合特征被输入到一个循环单元(ru)中，以捕获动态图的演化模式。循环单元的隐藏状态可以用上一个时间步长的输出状态进行初始化，并且可以以集成的方式捕获图序列之间的长期依赖关系。
9.步骤4：对节点的邻居节点的邻域特征表示进行进一步聚合，以同样的方式得到目标节点邻域的特征。
10.步骤5：在训练过程中对模型参数进行调整后，模型就可以通过对看不见的测试样
23.r
t
＝σ(wr·
[h
t-1
，x
t
])
[0024]
控制，之后通过应用非线性映射
[0025][0026]
创建一个新的隐藏值的候选值。然后，使用更新门
[0027]zt
＝σ(wz·
[h
t-1
，x
t
])
[0028]
来决定来自上一步的信息将保留多少信息。最后，根据遗忘门
[0029][0030]
通过新的候选状态和之前的隐藏状态来更新隐藏状态。ru循环单元保存了节点当前邻域和历史邻域的特征信息。网络模型的参数可以通过优化无监督或监督损失函数来调整。最后，可以使用单个或多个时间步长的表示来完成下游的图的任务。
[0031]
步骤5)、在每个时间步长的最后先通过聚合函数得到中心节点的embedding，然后，将每个边uv的边embedding计算为节点u和节点v的节点embedding的连接，如下式所示
[0032][0033]
最后将得到embedding的与历史embedding信息通过lstm进行集成。
[0034]
步骤6)、在训练过程中对模型参数进行调整后，模型就可以通过对不可见的测试样本进行分类来进行评估。测试流记录也被转换为图形，然后将得到的最终边embedding转换为最终的softmax层中的类概率，并最终与真实的类标签进行比较，以计算分类评价性能指标。


技术特征：
1.一种基于边特征提取的循环图入侵检测模型，其特征在于，包括软件部分，所述软件部分包括网络数据预处理模块、网络结构图生成模块、特征提取模块、网络行为分类模块；预处理模块对数据进行处理，将需要处理的网络流数据转化成本模型能够处理的数据，在数据预处理后网络结构图生成模块将预处理好的数据输入网络生成有结构的特征网络图，接着由特征提取模块对生成好的特征网络图进行特征提取学习以此完成网络模型的训练，根据特征提取模块提取出的特征信息，网络行为分类模块会根据相应规则来对该网络行为作出评价，分类出恶意行为和正常行为。2.根据权利要求1所述的一种基于边特征提取的循环图入侵检测模型，其特征在于，所述行数据预处理模块用于对数据结构完整、拥有完整节点信息和网络流数据信息的网络数据进行处理。3.根据权利要求1所述的一种基于边特征提取的循环图入侵检测模型，其特征在于，所述预特征图生成模块用于对已经被预处理模块处理好的数据进行网络特征图构造，对于不含特征的节点信息而言，特征图生成模块对该节点采用单位向量对其进行信息补全。4.根据权利要求3所述的一种基于边特征提取的循环图入侵检测模型，其特征在于，所述特征提取模块在嵌入过程中考虑边缘(流)信息。这为计算相应的边缘嵌入和实现边缘分类提供了基础，促进边缘特征和拓扑信息的捕获，以进行入侵检测。同时对动态的网络特征图在不同时刻的特征信息进行捕获，通过在特征学习框架中采用门控神经网络来捕获动态网络中的演变模式。在每一个特征提取层聚合特征被馈送到一个循环单元(ru)中，以捕获动态图的演化模式。循环单元的隐藏状态可以用前一个时间步长的输出状态初始化，并且可以以集成的方式捕获图序列之间的长期依赖关系。5.根据权利要求1所述的一种基于边特征提取的循环图入侵检测模型，其特征在于，所述网络行为分类模块，在训练过程中调整模型参数后，模型就可以通过对未见的测试样本进行分类来进行评估。测试流记录也被转换成图形，通过从特征提取模块中得到的边缘嵌入。然后在最后的softmax层将它们转换为类别概率，最后与真实的类别标签进行比较，以计算分类评估性能指标。

技术总结
本发明公开了一种基于边特征提取的循环图神经网络的入侵检测模型，涉及入侵检测和神经网络领域，方法包括获取构造网络流的结构特征图；根据所述网络流特征使用基于边特征提取的循环图神经网络的入侵检测模型进行特征提取，得到边特征和时间联系特征；所述的循环图神经网络的入侵检测模型包括图神经网络和循环神经网络；将所述边特征和时间联系特征进行融合，得到融合特征；根据所述融合特征得到网络行为检测结果。本发明提高网络行为识别性能。能。能。


技术研发人员：杨靖航 于晓雯 徐雷 宋晓勤 蔡志成
受保护的技术使用者：南京理工大学
技术研发日：2023.05.29
技术公布日：2023/8/13