一种基于网络流量属性有向拓扑的网络攻击检测方法与流程

技术特征：
1.一种基于网络流量属性有向拓扑的网络攻击检测方法，其特征在于，所述网络攻击检测方法包括：采集离线网络信息和在线网络信息，分别对离线网络信息和在线网络信息进行数据预处理；根据数据预处理后的离线网络信息，构建离线网络有向拓扑图和离线流量属性特征向量；构建基于图注意力机制的网络攻击检测模型，将离线网络有向拓扑图和离线流量属性特征向量输入网络攻击检测模型中进行训练；根据数据预处理后的在线网络信息，构建在线网络有向拓扑图和在线流量属性特征向量并输入训练好的网络攻击检测模型，对网络攻击情况进行实时检测。2.根据权利要求1所述的一种基于网络流量属性有向拓扑的网络攻击检测方法，其特征在于，所述分别对离线网络信息和在线网络信息进行数据预处理，包括：筛选出离线网络信息和在线网络信息中的非数值型信息，通过独热编码转化为二进制的数值型数据；基于离差标准化法，对所有数值型数据进行归一化处理。3.根据权利要求1所述的一种基于网络流量属性有向拓扑的网络攻击检测方法，其特征在于，所述根据数据预处理后的离线网络信息，构建离线网络有向拓扑图和离线流量属性特征向量，包括：根据离线网络信息中的网络拓扑信息获取各个节点的源ip地址和目标ip地址，将源ip地址和目标ip地址作为节点，在源ip地址和目标ip地址对应的节点之间生成边，以此构建各节点的离线网络有向拓扑图g＝{v,e}，其中，v表示离线网络有向拓扑图的节点集合，e表示离线网络有向拓扑图的边集合；根据离线网络信息中的网络流量特征，为离线网络有向拓扑图g＝{v,e}中的各个节点生成离线流量属性特征向量。4.根据权利要求3所述的一种基于网络流量属性有向拓扑的网络攻击检测方法，其特征在于，所述网络流量特征包括基本连接特征和时间统计特征；所述基本连接特征包括协议类型、网络服务类型、连接状态以及数据字节数；所述时间统计特征包括连接时间、每个时间单元与当前连接具有相同目标主机的连接数、每个时间单元与当前连接具有相同服务的连接数。5.根据权利要求1所述的一种基于网络流量属性有向拓扑的网络攻击检测方法，其特征在于，所述构建基于图注意力机制的网络攻击检测模型，包括：构建神经网络作为网络攻击检测模型，获取邻接矩阵a＝[a
ij
|i,j∈{1,2,...,n}}，所述邻接矩阵a根据输入网络攻击检测模型的网络有向拓扑图生成，a
ij
表示邻接矩阵a中的元素，当节点v
i
和节点v
j
之间存在边时a
ij
＝1，当节点v
i
和节点v
j
之间不存在边时a
ij
＝0；将邻接矩阵a和流量属性特征向量h作为网络攻击检测模型的输入；基于图注意力机制计算与节点v
i
相邻的节点v
j
对节点v
i
的影响权重α
ij
，结合节点v
j
的流量属性特征向量计算神经网络的输出为
其中n
i
表示节点v
i
的所有相邻节点的集合，w为预先定义的权重矩阵；采用softmax函数设置分类器作为网络攻击检测模型的输出层，将作为分类器的输入，分类器通过分析输出网络攻击的标签结果。6.根据权利要求5所述的一种基于网络流量属性有向拓扑的网络攻击检测方法，其特征在于，所述基于图注意力机制计算与节点v
i
相邻的节点v
j
对节点v
i
的影响权重α
ij
，包括：定义网络攻击检测模型的权重矩阵，结合预设的注意力权重参数计算节点v
i
相邻的节点v
j
对节点v
i
的注意力互相关系数e
ijl
为：其中，prelu为激活函数，t表示矩阵的转置，为输入的节点v
i
的流量属性特征向量，为输入的节点v
j
的流量属性特征向量，||表示矩阵的拼接操作；利用softmax函数对注意力互相关系数e
ijl
进行处理，得到影响权重α
ij
为：网络攻击检测模型根据邻接矩阵a调整影响权重α
ij
的正负情况，得到节点v
j
对节点v
i
的影响权重。7.根据权利要求6所述的一种基于网络流量属性有向拓扑的网络攻击检测方法，其特征在于，所述网络攻击检测模型根据邻接矩阵a调整影响权重α
ij
的正负情况，包括：当邻接矩阵a中a
ij
＝0时，则设置影响权重α
ijl 1
＝0；当邻接矩阵a中a
ij
＝1时，若流量信息由节点v
i
发送至节点v
j
，则设置影响权重α
ijl 1
>0，若流量信息由节点v
j
发送至节点v
i
，则设置影响权重α
ijl 1
<0。8.根据权利要求1所述的一种基于网络流量属性有向拓扑的网络攻击检测方法，其特征在于，所述将离线网络有向拓扑图和离线流量属性特征向量输入网络攻击检测模型中进行训练，包括：根据采集离线网络信息时的网络状态，为对应的离线网络有向拓扑图预先设置标签；将离线网络有向拓扑图和流量属性特征向量作为样本输入网络攻击检测模型，得到输出的标签结果y
dc
；采用交叉熵损失函数评估对检测结果进行评估，所述交叉熵损失函数定义为：
其中，y
d
表示标签结果的结合，y
dc
表示第d个样本检测为第c类标签的概率，表示预先设置的标签，c为标签的类别总量；若l小于预设阈值，则结束训练，否则对网络攻击检测模型中的参数进行调整。

技术总结
本发明提出了一种基于网络流量属性有向拓扑的网络攻击检测方法，包括：采集离线网络信息和在线网络信息，分别对离线网络信息和在线网络信息进行数据预处理；根据数据预处理后的离线网络信息，构建离线网络有向拓扑图和离线流量属性特征向量；构建基于图注意力机制的网络攻击检测模型，将离线网络有向拓扑图和离线流量属性特征向量输入网络攻击检测模型中进行训练；根据数据预处理后的在线网络信息，构建在线网络有向拓扑图和在线流量属性特征向量并输入训练好的网络攻击检测模型，对网络攻击情况进行实时检测。本发明提高了网络攻击行为识别率，实现网络流量信息的全面分析，进而及时掌握网络攻击情况。而及时掌握网络攻击情况。而及时掌握网络攻击情况。


技术研发人员：张超 卢巍 姚启桂 吴振杰 孙伟乐 章杰伦 曹张洁 周依希 王立建 姜辰 郭抒然 黄铭 陈忆瑜 张黎 张若伊 朱鎏
受保护的技术使用者：国网浙江省电力有限公司杭州供电公司
技术研发日：2022.01.10
技术公布日：2022/5/31