[发明专利]一种自适应干扰的网络恶意流量检测防御方法

说明书

本发明公开了一种自适应干扰的网络恶意流量检测防御方法，初始化软件定义网络，通过图神经网络GNN和循环神经网络RNN提取流量特征，选取干扰噪声向量，利用生成器将干扰噪声向量转化生成特定噪声，得到扰动的流量特征，判断两者特征相似性，扰动的流量特征F_p上传至全局控制器，更新节点的路由策略，调整流量分布。本发明可以避免中间操作过程中网络恶意流量的检测泄露，保证了原始流量的隐蔽性，通过添加扰动噪声进行流量数据脱敏，利用自适应干扰技术保证网络路由动态更新。

技术领域

本发明涉及网络安全技术、数据隐私保护领域，具体涉及一种自适应干扰的网络恶意流量检测防御方法。

背景技术

现如今，随着网络技术的不断发展，软件定义网络作为一种能够适宜网络规模不断增长趋势的新计算机网络架构，得到广泛部署和应用。相较于传统网络，软件定义网络使用基于流的概念来识别网络流量，通过转发控制分离。提高了网络管理灵活性。然而，软件定义网络同样面对恶意流量的威胁，例如网络渗透、网络流量欺诈、网络入侵等，这些恶意流量行为通常以未经许可的方式入侵、干扰或抓取未经许可的业务数据或信息。总而言之，在网络空间安全领域中，恶意流量检测一直是一个热点问题。

目前，为了解决软件定义网络恶意流量检测问题，有很多现有的技术被提出用以解决恶意流量检测问题。这些技术主要分为两大类，基于密码学的流量检测保护以及基于机器学习方法的流量检测保护。基于密码学的流量检测保护主要有密文检索技术和深度报文检测技术，这种方法通常由理论保障，然而，不同的加密方式会产生不同的特征，当前尚无通用方法能够应用于所有类型的加密流量。基于机器学习方法的流量检测保护如恶意特征识别，通常识别效果严重依赖于样本数量和质量，并且存在无法有效应对混淆和整形后的流量的问题。

同样的，入侵者往往会根据恶意流量检测结果来调整其网络攻击以逃避现有的检测方案，以最大化效益，流量异常的性质也会随着时间的推移而不断变化。

发明内容

针对现有技术准确度较低、计算复杂度较高、数据依赖性较强等问题，本发明提出了一种自适应干扰的网络恶意流量检测防御方法。通过为软件定义网络图各节点控制器上传决策数据给全局控制器之前对原始流量信息进行重构，可以有效保证子节点流量预测准确性的前提下，自适应更新网络路由规则，动态调整链路节点流量分布，从而起到防御恶意流量检测的作用。

为实现上述发明目的，本发明提供的技术方案为：一种自适应干扰的网络恶意流量检测防御方法，包括以下步骤：

(1)初始化软件定义网络中节点控制器上的循环神经网络RNN和图神经网络GNN模型，并初始化原始流量矩阵，各个节点控制器i加载原始流量矩阵X_c至本地基础设备，利用本地预路由网络配置交换设备下转发规则；

(2)通过图神经网络GNN和循环神经网络RNN提取流量特征；

(3)选取干扰噪声向量，训练生成对抗网络GANs中的生成器G(ω)，利用生成器将干扰噪声向量转化生成特定噪声P_c；所述输出的特定噪声P_c和原始流量矩阵X_c具有相同的维度大小；通过图神经网络GNN和循环神经网络RNN提取扰动的流量特征F_p；

(4)将步骤(2)输出的流量特征和步骤(3)输出的扰动的流量特征F_p输入鉴别器D(ψ)，训练鉴别器并判断两者特征相似性：

同时将扰动流量消息特征向量与原始流量消息特征向量输入鉴别器D(ψ)，将扰动的流量特征F_p对应的标签设为0，步骤(2)输出的流量特征对应的标签设为1；鉴别器D(ψ)训练模型实现二分类任务；

所述鉴别器损失函数loss为：

其中，M(·)为客户端子模型，D(·)为鉴别器模型，m表示样本数量。