[发明专利]一种基于图卷积网络的入侵警报消息的关联方法

说明书

本发明公开了一种基于图卷积网络的入侵警报消息的关联方法，属于网络安全技术领域，该关联方法将警报消息进行编码，构建警报消息的特征向量，并根据警报消息构建警报消息图，将特征向量和警报消息图同时输入到图卷积神经网络，本发明将警报消息的关联建模为警报消息图上的节点分类问题。通过训练图卷积神经网络，使用交叉熵损失函数将警报消息攻击类别的标签和预测概率值进行比较，当交叉熵损失函数收敛时，完成对图卷积神经网络的训练；再次收集入侵检测反馈的警报消息输入训练好的图卷积神经网络中，输出警报消息攻击类别的概率值。与传统的基于相似度等的警报关联方法相比，本发明的关联方法具有更高的准确率。

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于图卷积网络的入侵警报消息的关联方法。

背景技术

目前，网络攻击形式日益复杂化，网络管理人员通常会在网络系统中部署入侵检测系统(intrusion detection system,IDS)，根据IDS反馈的大量警报消息(alert)，网络管理人员可以分析网络系统目前的安全态势，挖掘可能的攻击场景，为系统做出及时的响应措施。IDS反馈的警报信息包含多个属性，例如：IP地址、端口、警报类型等等。警报类型反映了可疑的攻击动作，然而并不能反映目前系统真实的攻击场景，这是由于不同的攻击可能会产生相同类型的警报消息。为此，警报消息关联(Alert correlation)技术被用于挖掘攻击场景，通过关联大量相似的警报消息来分析可能的攻击场景。

传统的方法大多基于alert的相似度，例如：将具有相同属性的警报消息进行关联，相似的警报消息构成一种攻击场景。此外，基于机器学习的方法也得到了较为广泛的应用。然而这种方法依赖alert本身的特征，且不考虑alert之间的因果关系。近年来，越来越多的研究开始将警报消息建成图的表示，然后在图上采取社区发现算法来挖掘可能的集群，每一个集群可以视为一种攻击(S.Haas and M.Fischer,“Gac:graph-based alertcorrelation for the detection of distributed multi-step attacks,”inProceedings of the 33^rd Annual ACM Symposium on applied computing,2018,pp.979–988.)。但是，这种基于社区发现算法的方法更多的是考虑到图的拓扑结构信息，忽略了图中节点的信息。如何从构建的警报消息图中提取特征信息是关联警报消息的关键。

发明内容

本发明的目的在于针对现有技术的不足，提供一种基于图卷积网络的入侵警报消息关联方法，该关联方法首先将IDS收集到的警报消息构建成警报消息图，为了从图中提取更丰富的特征信息，本发明将警报消息图输入到图卷积网络(graph convolutionalnetworks,GCN)中。GCN通过堆叠多个图卷积层，可以使节点汇聚邻接点的信息，从而发现警报消息之间的隐含关系，从而更好地实现警报消息的关联，发现网络攻击场景。

本发明的目的是通过以下技术方案来实现的：一种基于图卷积网络的入侵警报消息关联方法，具体包括以下步骤：

(1)收集入侵检测反馈的警报消息，并打上攻击类别的标签，所述警报消息分为分类属性和数值属性，通过Min-Max scaling将所述数值属性进行归一化操作，转换到[0,1]的范围内，得到归一化数值属性；将所述分类属性进行独热编码，随后将归一化数值属性和独热编码拼接成特征向量；

(2)根据步骤(1)收集的警报消息构建警报消息图G_ag＝(V,E)，其中，V代表所述警报消息图中的节点，每个节点均表示一个单独的警报消息，由步骤(1)获得的特征向量表示；E代表所述警报消息图中的边，边代表边两侧的警报消息的基本属性相似度超过0.8；

(3)将步骤(1)编码的特征向量和步骤(2)构建的警报消息图同时输入到图卷积神经网络，训练图卷积神经网络，通过交叉熵损失函数将警报消息攻击类别的标签和预测概率值进行比较，当交叉熵损失函数收敛时，完成对图卷积神经网络的训练；