[发明专利]一种基于图卷积神经网络的蠕虫传播溯源方法

说明书

本发明提出了一种基于图卷积神经网络的互联网蠕虫传播溯源方法，采集蠕虫传播图样本集，使用SI模型仿真蠕虫传播过程，获取不同节点作为源节点在网络上传播的传播图样本集；将传播图用邻接矩阵表示，传播图在不同观测条件下的节点感染状态表示为节点特征；将传播图样本邻接矩阵与节点特征一起作为GCN的输入，传播图样本对应的源节点作为图分类的标签，经过层次化堆叠的图卷积和图池化过程，采用梯度下降算法训练GCN；将未知传播源的传播图输入到训练好的GCN中，得到对其传播源节点的预测结果。本方法采用图卷积神经网络建立传播图与源节点标签之间的图分类模型，解决卷积神经网络模型在获取传播图中非欧式结构信息上能力有限的问题。

技术领域

本发明涉及一种基于图卷积神经网络的互联网蠕虫传播溯源方法，适用于互联网中广泛传播的蠕虫，对蠕虫传播进行反向跟踪与溯源，在蠕虫传播初期将其遏制，为后期的病毒特征分析和互联网犯罪取证提供关键的证据支撑。

背景技术

随着我国信息化进程的不断推进，大量工业企业和政府机构正致力于依托互联网技术实现其管理系统以及关键基础设施的信息共享和互联互通，这些基础设施暴露在互联网上的同时也带来了网络安全问题，特别是利用互联网的联通性，蠕虫能够广泛传播继而造成严重的后果。传统的溯源方法根据假设的传播模型先验知识来模拟传播过程，通过概率推理和图谱分析估计传播源节点，只有当传播假设与真实情况相符时，溯源方法才是有效的，而实际情况中很难获取真实的传播模型，这使得蠕虫传播溯源面临新的挑战。

一方面，现有的蠕虫传播溯源方法往往假设具有传播模型先验知识，通过对传播过程的复现来寻找传播源节点。这类方法对于假设模型与真实情况相符合的传播是有效的，但现实情况下，蠕虫有许多种类，其传播情况较为复杂多变，很难获得真实的传播模型。此外，对传播过程的假设参数越多时，描述才会越准确，溯源方法准确率越高。传统溯源方法的预测准确率因此受到限制，一般获得的估计结果不是真实源节点，而是与真实源节点距离相近的估计节点。

另一方面，使用卷积神经网络的方法解决溯源问题，需要将传播图转换为二维矩阵作为卷积神经网络的输入进行训练，只能获取欧式空间中的信息。而传播图这类非欧式空间的图结构信息通过邻接图的方式映射到二维欧式平面过程中必然导致传播图中大量非欧式结构信息的损失，影响溯源效果。因此，使用图卷积神经网络(Graph ConvolutionalNetwork,GCN)的方法，直接将传播图作为输入，通过聚合图中相邻节点的信息，对图的结构特征进行表示，从而对传播图进行溯源。

综上所述，为解决面向互联网安全的蠕虫传播溯源问题，需要使用GCN直接对传播图在非欧式的图空间中进行卷积，避免不必要的图结构信息损失，有效提高溯源能力。

发明内容

本发明的目的在于解决原始卷积神经网络模型在获取传播图中非欧式结构信息上能力有限的问题，提出一种基于图卷积神经网络的互联网蠕虫传播溯源方法，无需将传播图转换到欧式空间上，而是直接对图结构进行卷积，将传播图的节点感染状态作为节点特征，与邻接矩阵一起作为图卷积神经网络的输入，将传播图对应的传播源节点作为类标签输出，通过层次化堆叠的图卷积和图池化过程，对传播图进行分类训练与学习(基于梯度下降算法)，从而可以直接从图分类的角度解决传播溯源问题。

为了达到上述发明目的，本发明通过以下具体技术方案进行实现：

一种基于图卷积神经网络的互联网蠕虫传播溯源方法，包括如下步骤：

步骤1)采集蠕虫传播图样本集，使用传染病模型中的SI(S表示节点为易感状态，I表示节点为感染状态)模型仿真蠕虫传播过程，获取不同节点作为源节点在网络上传播的传播图样本；

步骤2)将传播图用邻接矩阵A表示，传播图在不同观测条件下的节点感染状态表示为节点特征F；

步骤3)将传播图邻接矩阵A与节点特征F一起作为图卷积神经网络(GCN)的输入，传播图对应的源节点作为图分类的标签，经过层次化堆叠的图卷积和图池化过程，采用梯度下降算法训练GCN；