[发明专利]基于图卷积网络的拟态路由器系统内部状态异常检测方法及系统

说明书

本发明属于网络空间安全技术领域，特别涉及一种基于图卷积网络的拟态路由器系统内部状态异常检测方法及系统，该方法包含：收集拟态路由器系统执行体的多源内部状态数据，该多源内部状态数据包含：系统状态数据和活跃进程数据，并进行数据预处理；用邻接矩阵和特征矩阵表示的图来表征执行体内部多源状态数据，并利用已训练的图卷积神经网络提取状态数据的关系特征；利用已训练的分类器进行分类，分类过程中结合拟态防御比对裁决思想来判定拟态路由器系统执行体内部的异常行为。本发明通过图表征执行体内部状态多源数据，并利用拟态防御的比对裁决思想判断异常，提升检测效率和准确度，具有较好的应用前景。

技术领域

本发明属于网络空间安全技术领域，特别涉及一种基于图卷积网络的拟态路由器系统内部状态异常检测方法及系统。

背景技术

路由器是网络空间底层实现数据包路由转发的设备，作为网络空间的基础核心要素互联多种异构网络。路由在信息交互过程中起着至关重要的作用，决定网络数据包的传播路径。路由器位于网络基础设施的核心枢纽，覆盖整个互联网的核心层、汇聚层和接入层，其安全性能对网络安全具有决定性意义。然而，频发的安全事件表明路由器的安全形势仍十分严峻。拟态路由器基于拟态防御技术思想，力求打破现有被动式防御局面，根据异构冗余架构引入多个路由功能执行体，在相同的外部输入激励下，将这些功能等价的路由执行体的输出交由裁决模块，通过比对发现异常功能执行体，实现拟态路由器的主动防御机制。因此，亟需一种结合拟态路由系统各路由执行体内部运行状态的入侵检测来提升网络防御性能。

发明内容

为此，本发明提供一种基于图卷积网络的拟态路由器系统内部状态异常检测方法及系统，用图表征执行体内部状态多源数据，利用拟态防御的比对裁决思想判断异常，提升检测效率和准确度。

按照本发明所提供的设计方案，提供一种基于图卷积网络的拟态路由器系统内部状态异常检测方法，包含如下内容：

收集拟态路由器系统执行体的多源内部状态数据，该多源内部状态数据包含：系统状态数据和活跃进程数据，并进行数据预处理；

用邻接矩阵和特征矩阵表示的图来表征执行体内部多源状态数据，并利用已训练的图卷积神经网络提取状态数据的关系特征；利用已训练的分类器进行分类，分类过程中结合拟态防御比对裁决思想来判定拟态路由器系统执行体内部的异常行为。

作为本发明基于图卷积网络的拟态路由器系统内部状态异常检测方法，进一步地，通过采集执行体资源利用率来获取系统状态数据，通过采集进程资源利用率、访问文件及系统调用来获取活跃进行数据。

作为本发明基于图卷积网络的拟态路由器系统内部状态异常检测方法，进一步地，设定状态数据的采集时间间隔，在采集时间段内通过发起远程攻击和/或本地攻击来获取不同状态数据，并通过加入时间戳来进行状态数据的同步；并对状态数据进行预处理来获取用于图卷积神经网络和分类器训练测试的样本数据集。

作为本发明基于图卷积网络的拟态路由器系统内部状态异常检测方法，进一步地，状态数据预处理包含：对访问文件名和系统调用文件名进行数字化处理、利用特征提取函数进行特征提取、及将状态数据进行等比例映射的归一化处理。

作为本发明基于图卷积网络的拟态路由器系统内部状态异常检测，进一步地，采用三元组图卷积神经网络对状态数据进行特征提取，每个图卷积神经网络的输入对应一个执行体的多源内部状态数据，通过三元组图卷积神经网络损失函数来获取距离特征，将距离特征输入分类器得到执行体内部异常行为图关系特征表征下的分类标签。

作为本发明基于图卷积网络的拟态路由器系统内部状态异常检测，进一步地，图卷积神经网络输入包含表示节点特征集合的特征矩阵和表示节点信息的邻接矩阵两部分，其中，特征矩阵大小为N×D，N为节点个数，D为每个节点特征的个数，邻接矩阵大小为N×N，图卷积神经网络输出为N×M的矩阵；在图卷积神经网络输入和输出之间设置有多个用于对特征矩阵和邻接矩阵进行聚合操作并利用非线性激活函数卷积输出的卷积隐藏层。