【技术实现步骤摘要】
本专利技术涉及异常流量检测,特别是涉及一种基于图神经网络的异常流量检测方法。
技术介绍
1、图神经网络(gnn)是一种处理图数据的深度学习模型,其核心思想是将节点和边表示为向量,并通过多轮消息传递来捕捉节点之间的关系。节点嵌入将节点映射为低维向量以表示其特征,然后节点通过边传递信息,迭代更新节点表示以聚合上下文信息。gnn可以有效地处理不同大小和形状的图,已在多个应用中取得成功,为图数据分析提供了强大工具。
2、恶意流量是指在计算机网络中传输的恶意或有害数据。这种恶意流量可能包括恶意软件、病毒、蠕虫、勒索软件等,旨在危害计算机系统、网络或用户的安全和隐私。恶意流量的特征包括异常的数据包、非法访问尝试、大规模的数据传输等。分析恶意流量可以帮助早期识别潜在的网络入侵和攻击,使安全团队能够迅速采取行动,减轻潜在的损害。
3、当前,电力行业频繁遭受网络攻击,导致电力系统巨大损失。采用基于图神经网络的流量异常检测方法,可以更全面地分析网络流量。该法使用深度学习技术,可以自动学习并适应新型威胁,无需手动更新规则,更加灵活和自适应。此外,图神经网络能够识别不寻常的流量模式,甚至是零日漏洞攻击,从而提高了检测的准确性。
技术实现思路
1、为了解决上述现有技术中的不足,本专利技术的目的是提供一种基于图神经网络的异常流量检测方法,通过wireshark工具,对网络中一定时间段内的网络流量进行精确捕获,随后将其导出为csv格式,利用pycharm工具及csv中的列标签,将数据转换
2、本专利技术解决其技术问题所采用的技术方案为:
3、提供了一种基于图神经网络的异常流量检测方法,包括以下步骤:
4、s1:利用wireshark捕获传输在物理网络上的数据包;
5、s2:将捕获的网络流量模拟成一系列增量图,其中每个图反映了一段连续时间内的流量变化;
6、s3:利用图神经网络分类模型对增量图进行二分类,分为遭受攻击和未遭受攻击两类;
7、s4:根据图分类结果并结合资产知识图谱进行网络空间安全态势感知。
8、进一步的,步骤s1中,数据包的捕获方法为:
9、s101:在捕获网络流量之前,安装wireshark工具进行流量捕获;
10、s102:启动wireshark工具,然后选择需要捕获网络流量的网络接口,并开始捕获流量;
11、s103:将通过wireshark工具捕获的一段时间内的网络流量保存下来。
12、进一步的,步骤s103的方法为:
13、(1)在wireshark工具的顶部菜单中,选择“文件”;
14、(2)从下拉菜单中选择“导出分组解析结果”;
15、(3)在打开的窗口中,选择“as csv”将捕获的流量保存为csv格式。
16、进一步的,步骤s2中,增量图的模拟方法为:
17、s201:利用python将保存的csv格式的流量文件转化为点-边-点图;
18、s202:对生成的图进行简化处理,减小图的复杂度,提高图神经模型的分类效率
19、进一步的,步骤s201的方法为:
20、采用wireshark工具设定每隔10秒钟对网络流量进行一次捕获,随后将这些流量数据保存为专门的csv格式的流量文件;
21、利用python中的pandas库,读取和处理csv格式流量文件,并结合networkx库和matplotlib库,将流量文件转化为点-边-点的图形,生成名为图形t的可视化模型;
22、对于在第n个时间间隔内捕获的数据,生成一个对应的图,记作tn,然后将图tn与其前一个时间间隔内生成的图tn-1进行比较,得到第n个时间间隔内的图形增量,即增量图tn。
23、进一步的,利用python中的pandas库、networkx库、matplotlib库将导出的csv格式的流量文件转化为点-边-点图的方法为:
24、在csv文件中选择“source”列中的ip地址作为每个通信事件的起始点,代表数据包的发送方;将“destination”列中的ip地址设定为生成图的终点,代表数据包的接收方
25、进一步的,步骤s202中,对生成的图进行简化处理,减小图的复杂度,提高图神经模型的分类效率,具体包括:
26、在第n个时间间隔内生成的增量图tn如下所示:
27、tn=(dn,bn)
28、其中,d代表增量图t的节点,dn代表增量图tn的节点;节点d分为内部节点和外部节点,其中内部节点代表位于企业内部网络的各种设备和组件,外部节点代表位于公共网络中,且与企业内部网络进行通信交互的各种设备和组件;
29、b代表图t的边,bn代表增量图tn的边;
30、增量图t中的内部节点de、外部节点do、节点d和边b如下所示:
31、d=de∪d0
32、
33、b={b1,…,b2}
34、其中,i为增量图t中内部节点的数量,w为增量图t中外部节点的数量,b为增量图t中边的数量;
35、在增量图tn中,如果内部节点de通过外部节点do与其他内部节点de相连,则绕过该外部节点do,将这两个节点直接连通,删除增量图tn中的所有外部节点do,采用这种方法生成增量图tn的简化图g。
36、进一步的,步骤s3中,二分类的方法为:
37、s301:利用ensp工具构建虚拟测试平台,具体流程如下:
38、(1)安装ensp:从ensp的官方网站获取安装包,并按照安装说明进行安装;
39、(2)启动ensp:安装完成后,在终端或图形用户界面中启动ensp;
40、(3)创建新拓扑:在ensp中,创建一个包含内部网络和外部网络的拓扑解耦,打开ensp的拓扑编辑器,使用拓扑编辑器的图形界面来创建和配置网络设备;
41、(4)添加设备:向内部网络及外部网络中配置网络设备,从ensp的设备库中选择所需的设备,并将其拖放到拓扑中;
42、(5)连接设备:使用拓扑编辑器的工具,连接内部网络设备和外部网络设备,建立虚拟链路,模拟所需的网络拓扑结构;
43、(6)配置设备:针对内部网络设备和外部网络设备,分别配置参数,对内部网络设备,设置内部ip地址、子网掩码和静态路由信息;对外部网络设备,设置外部ip地址、默认网关和默认路由参数,确保内部网络和外部网络之间本文档来自技高网...
【技术保护点】
1.一种基于图神经网络的异常流量检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于图神经网络的异常流量检测方法,其特征在于,步骤S1中,数据包的捕获方法为:
3.根据权利要求2所述的一种基于图神经网络的异常流量检测方法,其特征在于,步骤S103的方法为:
4.根据权利要求3所述的一种基于图神经网络的异常流量检测方法,其特征在于,步骤S2中,增量图的模拟方法为:
5.根据权利要求4所述的一种基于图神经网络的异常流量检测方法,其特征在于,步骤S201的方法为:
6.根据权利要求5所述的一种基于图神经网络的异常流量检测方法,其特征在于,利用Python中的Pandas库、networkx库、matplotlib库将导出的CSV格式的流量文件转化为点-边-点图的方法为:
7.根据权利要求6所述的一种基于图神经网络的异常流量检测方法,其特征在于,步骤S202中,对生成的图进行简化处理,减小图的复杂度,提高图神经模型的分类效率,具体包括:
8.根据权利要求1所述的一种基于图神经网络的异常流
9.根据权利要求8所述的一种基于图神经网络的异常流量检测方法,其特征在于,得到图表示FullGraph的方法为:
10.根据权利要求1所述的一种基于图神经网络的异常流量检测方法,其特征在于,步骤S4中,网络空间安全态势感知,包括:
...【技术特征摘要】
1.一种基于图神经网络的异常流量检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于图神经网络的异常流量检测方法,其特征在于,步骤s1中,数据包的捕获方法为:
3.根据权利要求2所述的一种基于图神经网络的异常流量检测方法,其特征在于,步骤s103的方法为:
4.根据权利要求3所述的一种基于图神经网络的异常流量检测方法,其特征在于,步骤s2中,增量图的模拟方法为:
5.根据权利要求4所述的一种基于图神经网络的异常流量检测方法,其特征在于,步骤s201的方法为:
6.根据权利要求5所述的一种基于图神经网络的异常流量检测方法,其特征在于,利用python中的pandas库、...
【专利技术属性】
技术研发人员:邹振婉,陈涛,王斌,尹军,陈佳,李峰,
申请(专利权)人:国网新疆电力有限公司电力科学研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。