一种基于图神经网络的车联网入侵检测方法技术

本发明专利技术公开了一种基于图神经网络的车联网入侵检测方法；本发明专利技术所述方法包括：收集车联网流量数据并对原始流量数据进行预处理；构建图生成模块，将预处理过的流量数据转化为图结构数据；构建图神经网络模型GraphSAGE作为图特征提取器来提取流量的结构特征和属性特征信息；将提取到的特征作为Softmax层的输入，输出得到是否是攻击流量的概率值来检测入侵。本发明专利技术方法在车联网入侵检测任务上展示了巨大的潜力，有效地提高了入侵检测的准确率。有效地提高了入侵检测的准确率。有效地提高了入侵检测的准确率。

【技术实现步骤摘要】
一种基于图神经网络的车联网入侵检测方法


[0001]本专利技术属于车联网安全
，具体涉及一种基于图神经网络的车联网入侵检测方法。

技术介绍

[0002]随着5G和人工智能等新兴技术在智能交通系统的实践应用，车联网可以真正实现车与车，车与基础设施，车与人的全方位网络连接，从而避免交通事故，提高运输安全和效率。车辆相对较快的移动速度使车联网具有高度动态的网络拓扑结构，无线通信信道的开放性会使网络连接不稳定，这些特点为车联网网络安全带来了极大的风险。入侵检测系统通过分析车联网中大量的流量信息可以高效地识别各种恶意攻击行为，使它成为了保障车联网安全问题的一种解决方案。
[0003]为了降低车联网中存在的安全风险，许多学者借助深度学习技术提出了针对车联网的入侵检测方法。主要是利用深度学习技术捕获车联网原始流量数据的高维特征和其是否为恶意流量之间复杂的非线性关系，从而识别车联网的各种攻击行为。田纳西大学Wyk博士提出将卷积神经网络与基于检测器的卡尔曼滤波的异常检测方法相结合，用于检测车联网中的异常行为。北京大学曾博士提出首先借助卷积神经网络提取流量空间特征，然后输入长短期记忆网络学习时间相关特征的模型。印度比尔拉科学技术学院Alladi博士提出先将原始流量处理成时间序列数据，再将时间序列数据转换成灰度图像以便输入卷积神经网络，从而将问题转化为图像分类。随后，Alladi博士又提出利用深度学习模型进行序列重构，通过计算原始序列和重构序列之间的误差对序列进行分类来检测未知的网络攻击。
[0004]但是以上深度学习技术将车联网流量建模为图像或者序列数据存在极大的局限性，忽略了车联网本质上是图结构数据这一事实导致了较高的误报率。如何在图结构数据中挖掘异常元素是比较困难的问题，图神经网络作为处理图结构数据的深度学习技术，展示了其强大的图数据拟合能力。因此，为了解决车联网入侵检测问题，本专利技术结合车联网的网络结构特征和流量节点的属性特征，提出一种基于图神经网络的车联网入侵检测方法。

技术实现思路

[0005]针对现有技术存在的问题，本专利技术的目的是提供一种基于图神经网络的车联网入侵检测方法，以提高车联网入侵检测的准确率，解决车联网通信网络安全问题。
[0006]为实现上述目的，本专利技术方法主要流程包括以下步骤：
[0007]步骤S1：收集车联网流量数据，对原始流量数据进行预处理；
[0008]步骤S2：构建图生成模块，将预处理过的流量数据转化为图结构数据；
[0009]所述的图生成模块具体为：
[0010]S2.1：构建车辆通信图G：流量数据是由车辆ID标识，并通过一组提供流详细信息的字段进行注释，流量数据以图的形式表示：G＝(V,E)，其中节点集合V表示车辆，边集E代表车辆之间的通信流；将车联网入侵检测问题建模为一个边分类问题；
[0011]引入线图，基于车辆通信图G生成相应的流量连通图G
L
；
[0012]S2.2：构建流量连通图G
L
：G
L
＝(V
L
,E
L
)表示相应的流量连通图，E
L
表示G
L
的边集，代表流量之间的相关性，那么G
L
的节点集是G的边集，即V
L
＝{(v
i
,v
j
)∈E}且|V
L
|＝|E|，如果G中的两条边共享一个节点，则G
L
中存在一条边；G
L
的边集用邻接矩阵表示
[0013][0014]流量连通图的属性特征定义为其中N表示流量的条数，F表示流量的特征维度，借助流量连通图G
L
，车联网入侵检测问题转化为节点分类问题；
[0015]步骤S3：构建图神经网络模块，将上述图结构数据输入到图神经网络模块中，提取流量的结构特征和属性特征信息；
[0016]步骤S4：将提取的特征信息通过Softmax层输出概率分布，根据相关指标对模型进行性能评估。
[0017]作为优选，所述的步骤S1预处理包括：
[0018]S1.1：数据清洗：消除冗余特征，用平均值代替Nan，用最大值代替Inf；
[0019]S1.2：特征数值化：使用python中get dummies函数将分类特征转换为数值特征；
[0020]S1.3：特征标准化：由于数据各个特征的尺度不同，为了消除特征间尺度差异的影响，对特征进行标准化处理。
[0021]作为优选，所述的图神经网络模块为GraphSAGE模块。
[0022]作为优选，所述的构建GraphSAGE模块，具体操作为：
[0023]S3.1：根据构建的流量连通图的结构特征A
L
和属性特征X
L
，针对每个流量节点从其相邻节点集合随机均匀采样固定数量的节点来进行聚合特征，采样的邻居数为S
k
，如果实际邻居数小于S
k
，则使用带回放的采样方法，如果实际邻居数大于S
k
，则使用不带回放的采样方法；
[0024]S3.2：选择池化聚合函数来聚合相邻节点的特征，池化函数是对称的，因为要确保输出不随节点的顺序而变化，即AGG(v1,v2)＝AGG(v2,v1)；
[0025]第k层的池化聚合函数定义为:
[0026][0027]其中代表节点v
i
的邻居集合在经GraphSAGE提取的第k
‑
1层的聚合特征，σ表示非线性激活函数，W表示要训练的权重矩阵，b表示偏置量；公式解析为先将所有前一层相邻节点的聚合特征通过一个全连接层，再利用非线性激活函数，最后使用最大池化聚合；
[0028]则第k层的相邻节点的聚合信息表示为:
[0029][0030]S3.3：将聚合生成的相邻节点的表示向量与中心节点前一层的特征合并，最后输入到一个全连接层，更新中心节点v
i
的特征向量，并对其进行规范化：
[0031][0032][0033]对车联网中所有流量节点进行K层GraphSAGE聚合后，对于每个流量节点v
i
得到该节点的聚合特征表示捕获其K
‑
hop邻域中的信息。
[0034]作为优选，所述的将提取的特征信息通过Softmax层输出概率分布，根据相关指标对模型进行性能评估，具体为：
[0035]根据Softmax层将GraphSAGE模块的输出结果转化成概率分布，具有最高概率所属的类别被视为模型的预测类；经过多次迭代训练后通过计算模型输出的预测值与真实标签的交叉熵损失执行反向传播和更新权重，使用Adam模型优化器不断优化模型参数，使损失达到最小，权重收敛，得到最优的模型参数；然后采用测试集测试模型，获得流量的类别预测值，并根据相关指标对模型性能进行评估，相关指标计算如下：
[0036][本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于图神经网络的车联网入侵检测方法，其特征在于，该方法具体包括以下步骤：步骤S1：收集车联网流量数据，对原始流量数据进行预处理；步骤S2：构建图生成模块，将预处理过的流量数据转化为图结构数据；所述的图生成模块具体为：S2.1：构建车辆通信图G：流量数据是由车辆ID标识，并通过一组提供流详细信息的字段进行注释，流量数据以图的形式表示：G＝(V,E)，其中节点集合V表示车辆，边集E代表车辆之间的通信流；将车联网入侵检测问题建模为一个边分类问题；引入线图，基于车辆通信图G生成相应的流量连通图G
L
；S2.2：构建流量连通图G
L
：G
L
＝(V
L
,E
L
)表示相应的流量连通图，E
L
表示G
L
的边集，代表流量之间的相关性，那么G
L
的节点集是G的边集，即V
L
＝{(v
i
,v
j
)∈E}且|V
L
|＝|E|，如果G中的两条边共享一个节点，则G
L
中存在一条边；G
L
的边集用邻接矩阵表示流量连通图的属性特征定义为其中N表示流量的条数，F表示流量的特征维度，借助流量连通图G
L
，车联网入侵检测问题转化为节点分类问题；步骤S3：构建图神经网络模块，将上述图结构数据输入到图神经网络模块中，提取流量的结构特征和属性特征信息；步骤S4：将提取的特征信息通过Softmax层输出概率分布，根据相关指标对模型进行性能评估。2.根据权利要求1所述的一种基于图神经网络的车联网入侵检测方法，其特征在于：所述的步骤S1预处理包括：S1.1：数据清洗：消除冗余特征，用平均值代替Nan，用最大值代替Inf；S1.2：特征数值化：使用python中get dummies函数将分类特征转换为数值特征；S1.3：特征标准化：由于数据各个特征的尺度不同，为了消除特征间尺度差异的影响，对特征进行标准化处理。3.根据权利要求1所述的一种基于图神经网络的车联网入侵检测方法，其特征在于：所述的图神经网络模块为GraphSAGE模块。4.根据权利要求3所述的一种基于图神经网络的车联网入侵检测方法，其特征在于：所述的构建Graph...

【专利技术属性】
技术研发人员：伍益明，梁巧媛，徐明，郑宁，
申请(专利权)人：杭州电子科技大学，
类型：发明
国别省市：