[发明专利]基于图卷积网络的拟态路由器系统内部状态异常检测方法及系统

权利要求书

1.一种基于图卷积网络的拟态路由器系统内部状态异常检测方法，其特征在于，包含如下内容：

收集拟态路由器系统执行体的多源内部状态数据，该多源内部状态数据包含：系统状态数据和活跃进程数据，并进行数据预处理；

用由邻接矩阵和特征矩阵表示的图来表征执行体内部多源状态数据，并利用已训练的图卷积神经网络提取状态数据的关系特征；利用已训练的分类器进行分类，分类过程中结合拟态防御比对裁决思想来判定拟态路由器系统执行体内部的异常行为；

采用三元组图卷积神经网络对状态数据进行特征提取，每个图卷积神经网络的输入对应一个执行体的多源内部状态数据，通过三元组图卷积神经网络损失函数来获取距离特征，将距离特征输入KNN分类器得到执行体内部异常行为图关系特征表征下的分类标签；

拟态路由器体系环境中将网络损失函数的损失值设置为关于标签的正负符号、权重矩阵和预测值距离相似矩阵相关的函数，其中，预测值距离相似矩阵由任意两个子图卷积神经网络的输出预测值之间的相似距离拼接而成，权重矩阵由任意两个子图卷积神经网络的标签之间的正负符号和权重值拼接而成，若两个子图卷积神经网络的标签相同，则权重矩阵对应的元素为1，若两个子图卷积神经网络的标签不同，则权重矩阵的对应的元素为-1。

2.根据权利要求1所述的基于图卷积网络的拟态路由器系统内部状态异常检测方法，其特征在于，通过采集执行体资源利用率来获取系统状态数据，通过采集进程资源利用率、访问文件及系统调用来获取活跃进程数据。

3.根据权利要求1或2所述的基于图卷积网络的拟态路由器系统内部状态异常检测方法，其特征在于，设定状态数据的采集时间间隔，在采集时间段内通过发起远程攻击和/或本地攻击来获取不同状态数据，并通过加入时间戳来进行状态数据的同步；并对状态数据进行预处理来获取用于图卷积神经网络和分类器训练测试的样本数据集。

4.根据权利要求3所述的基于图卷积网络的拟态路由器系统内部状态异常检测方法，其特征在于，状态数据预处理包含：对访问文件名和系统调用文件名进行数字化处理、利用特征提取函数进行特征提取、及将状态数据进行等比例映射的归一化处理。

5.根据权利要求1所述的基于图卷积网络的拟态路由器系统内部状态异常检测方法，其特征在于，图卷积神经网络输入包含表示节点特征集合的特征矩阵和表示节点信息的邻接矩阵两部分，其中，特征矩阵大小为N×D，N为节点个数，D为每个节点特征的个数，邻接矩阵大小为N×N，图卷积神经网络输出为N×M的矩阵；在图卷积神经网络输入和输出之间设置有多个用于对特征矩阵和邻接矩阵进行聚合操作并利用非线性激活函数卷积输出的卷积隐藏层。

6.根据权利要求5所述的基于图卷积网络的拟态路由器系统内部状态异常检测方法，其特征在于，每个进程对应的状态作为图中节点，邻接矩阵表示由用户指定的进程之间关系。

7.根据权利要求1所述的基于图卷积网络的拟态路由器系统内部状态异常检测方法，其特征在于，损失函数损失值采用关于标签的正负符号、权重矩阵及预测值距离相似矩阵的函数，其中，预测值距离相似矩阵由任意两个图卷积神经网络的输出预测值之间的相似距离拼接而成，权重矩阵由任意两个图卷积神经网络标签之间的正负符号和权重值拼接而成。

8.根据权利要求1所述的基于图卷积网络的拟态路由器系统内部状态异常检测方法，其特征在于，分类器训练中利用样本数据对近邻个数k进行调参。

9.一种基于图卷积网络的拟态路由器系统内部状态异常检测系统，其特征在于，基于权利要求1所述的方法实现，包含：数据收集模块和分类检测模块，其中，

数据收集模块，用于收集拟态路由器系统执行体的多源内部状态数据，该多源内部状态数据包含：系统状态数据和活跃进程数据，并进行数据预处理；

分类检测模块，用于通过由邻接矩阵和特征矩阵表示的图来表征执行体内部多源状态数据，并利用已训练的图卷积神经网络提取状态数据的关系特征；利用已训练的分类器进行分类，分类过程中结合拟态防御比对裁决思想来判定拟态路由器系统执行体内部的异常行为。