[发明专利]一种多层融合信标检测与路径还原方法、装置和存储介质

说明书

本发明公开了一种多层融合信标检测与路径还原方法和装置，该方法包括：目标系统网络路由节点数据包多层融合信标植入；获取目标系统中已植入信标的路由节点网络数据包；对已植入信标的网络数据包进行网络表征学习，计算路由节点的特征；根据路由节点的特征提取信息传播的路径信息，还原攻击路径；保存所还原的路径信息。可见，本发明引入网络表征学习模型，将网络路由节点向量化，考虑不同路由节点的特征，使得到的向量形式可以在向量空间中具有表示以及推理的能力，再利用图卷积神经网络计算得到还原的攻击路径，本发明有利于提高网络的威胁感知和预测能力，提升网络的安全性。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种多层融合信标检测与路径还原方法和装置。

背景技术

随着计算机技术的不断发展和互联网的不断普及，网络攻击形式层出不穷，网络安全问题日益突出。网络攻击路径描述了网络状态和攻击动作之间的依赖关系，攻击路径还原主要是对攻击源定位和攻击时序重构。

攻击路径溯源较多是利用数据包中的标记信息来确定流量数据包在网络传输过程中所经过的转发路径。在溯源技术的发展中，出现的技术可以分为四类：链路测试法、日志记录法、基于ICMP的追踪方法、数据包标记法；其中，数据包标记法是当前溯源方面的主流方法。

数据包标记技术一般分为两大部分，路由器标记部分、受害者重构攻击路径部分，其较易携带路径信息，无需占用额外资源，但是此方法存在以下缺点：

(1)路径重构过程较难进行：由于此方法是在IP域内添加标记，在进行路径还原时，需要收集一定数量的数据包进行分析溯源；

(2)攻击者若伪造或篡改网络数据标记包，受害者处则无法收集到全部被标记的数据包，则无法构建网络攻击路径或者构建出错误的网络攻击路径。

攻击路径还原技术主要是对攻击源定位和攻击时序重构。当网络路由节点受到攻击者的攻击时，此路由节点的流量信息可能来源于多条攻击路径。针对现有还原攻击路径不准确、当数据包丢失时无法还原完整攻击路径的问题，本发明引入网络表征学习算法，其本质在于将网络路由节点向量化，考虑不同路由节点的特征，使得到的向量形式可以在向量空间中具有表示以及推理的能力，继而使用图卷积神经网络算法得到还原的攻击路径。

发明内容

本发明所要解决的技术问题在于，提供一种多层融合信标检测与路径还原方法，该方法的核心在于利用网络表征学习模型构建网络拓扑结构，继而使用图卷积神经网络得到还原的攻击路径。

为了解决上述技术问题，本发明实施例第一方面公开了一种多层融合信标检测与路径还原方法，所述方法包括：

S1，对目标网络进行多层融合的信标植入与提取，得到信标数据包信息；所述信标数据包信息包括若干个信标数据信息；

所述信标植入与提取从系统网络的网络层、传输层及应用层进行；

所述信标植入在路由节点标记时，植入规则为：

insertfield_old＝insertfield+ID_old

其中insertfield表示当前路由节点的标识字段，insertfield_old表示上一路由节点的标识字段，ID_old表示上一路由节点的数据包中IP协议的ID标识；

S2，利用预设的网络表征学习模型对所述信标数据包信息进行节点特征提取分类，得到节点特征向量信息；所述节点特征向量信息包括若干个节点特征向量；

所述节点特征向量信息的计算步骤为：

步骤1：从第一个路由节点的数据包开始，分别计算两路由节点的转移概率、搜索偏差及指向下一个路由节点的数据包的概率；