[发明专利]图神经网络构建方法、基于图神经网络的异常流量检测方法在审
| 申请号: | 202011184585.9 | 申请日: | 2020-10-29 |
| 公开(公告)号: | CN112383516A | 公开(公告)日: | 2021-02-19 |
| 发明(设计)人: | 向鹏;李青山;孙圣力;司华友 | 申请(专利权)人: | 博雅正链(北京)科技有限公司;南京博雅区块链研究院有限公司;北京大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06N3/04;G06N3/08 |
| 代理公司: | 北京沁优知识产权代理有限公司 11684 | 代理人: | 郭峰 |
| 地址: | 100000 北京市西*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 神经网络 构建 方法 基于 异常 流量 检测 | ||
本发明提供一种图神经网络构建方法、基于图神经网络的异常流量检测方法,异常流量检测的图神经网络构建方法包括:S10:获取原始流量数据中具有相关性以及时序性的特征;S20:将步骤S10中的特征转化为图结构数据;S30:构建深度图神经网络模型。本发明通过深度挖掘网络流量中具有相关性以及时序性的特征,以及通过构建图神经网络模型,在此基础上挖掘网络流量报文段内部字段之间的相关特征,通过预先训练,最终得到对流量数据具有良好分类效果的模型。对于待识别的未知网络流量,只需要进行简单的会话还原,就可以通过训练好的模型对其进行快速的分析判断,快速发现流量数据中可能存在的异常。
技术领域
本发明涉及网络安全技术领域,具体涉及一种图神经网络构建方法、基于图神经网络的异常流量检测方法。
背景技术
随着机器学习技术的迅猛发展以及人工智能产业的迅速崛起,使用机器学习、深度学习方法进行流量异常检测成为业界和学术界关注的重点,在恶意流量分析领域,基于机器学习法,构建异常流量模型来实现流量分类检测已经逐渐成为近些年业界研究的主流。基于深度学习算法构建的流量分类检测模型,在流量识别中也有着较好的效果。深度学习方法通过深层次神经网络从原始流量数据中学习高层语义特征,相比于浅层模型,深度模型不过分依赖于特征工程,具有更强的表达能力,可满足多种复杂任务。同时,深度学习方法的一大优势就是能够从数据中自动提取特征,避免人工设计特征表达能力不足的问题。而现有的一些基于机器学习的异常流量模型,只是关注了流量的时序特征,而对于流量本身各字段之间的关系未多加考虑。
发明内容
有鉴于此,本发明提供一种图神经网络构建方法、基于图神经网络的异常流量检测方法,以解决现有技术中的问题。
本发明的第一方面提供一种图神经构建方法,包括:
S10:获取原始流量数据中具有相关性以及时序性的特征;
S20:将步骤S10中的特征转化为图结构数据;
S30:构建深度图神经网络模型。
优选地,步骤S10之前还包括步骤S00:通过会话还原技术对原始流量数据进行处理,形成以会话为基本单位的数据。
优选地,步骤S00中对原始流量数据进行处理的过程从时间窗口与会话状态两方面进行。
优选地,步骤S10中获取原始流量数据中具有相关性以及时序性的特征包括:
S101:获取原始流量数据中具有相关性的特征;
S102:获取原始流量数据中具有时序性的特征。
优选地,获取原始流量数据中具有相关性的特征的过程包括:
S1011:选取与流量判别相关的数据;
S1012:按照数据的表现形式,对选取的与流量判别相关的数据进行差异化的特征向量化处理。
优选地,获取原始流量数据中具有时序性的特征的过程包括:对不同表现形式的数据进行区分处理,分别进行循环神经网络训练,学习得到具有时序性的特征。
优选地,采用双向GRU模型来进行时序数据的处理,可同时接受不同类型的数据的处理,计算公式为:
rt=σ(Wr·[ht-1,et|nt|xt])
zt=σ(Wz·[ht-1,et|nt|xt])
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于博雅正链(北京)科技有限公司;南京博雅区块链研究院有限公司;北京大学,未经博雅正链(北京)科技有限公司;南京博雅区块链研究院有限公司;北京大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011184585.9/2.html,转载请声明来源钻瓜专利网。
