【技术实现步骤摘要】
本专利技术属于网络安全,具体涉及一种基于图神经网络的dns流量异构图中c&c服务器检测方法。
技术介绍
1、网络攻击已经渗透到各种关键的互联网应用中,比如物联网系统、企业网络和工业基础设施。dns(domain name system)是互联网上用于将域名转换为相应ip地址的系统,而dns流量数据信息则可以提供有关网络通信和主机活动的关键信息。因此,在网络安全中,分析dns流量数据信息具有重要意义,也是检测网络攻击的重要手段。
2、然而,目前基于深度学习的dns流量分析工作往往只针对域名开展,对c&c服务器ip分析工作还缺乏深入的研究。比如公开号为cn116418565a的中国专利一种基于属性异构图神经网络的域名检测方法,以及公开号为cn107612911a的中国专利基于dns流量检测受感染主机和c&c服务器的方法,都只是针对dns流量中的域名检测使用了异构图神经网络,而忽略了对服务器ip的进一步分析工作。
3、此外,现有技术比如rgcn、hetgnn、han、magnn模型与hgnn模型继承了gnn处理同构图的许多机制,特别是注意机制和多层结构,这些机构在处理异构图相关问题上仍有明显不足。对上述机制进行深入研究后,会有以下两个结论:一是,语义注意是必不可少的,而邻居注意是不必要的;二是,单层结构和长元路径的模型比多层和短元路径的模型表现得更好。这些发现表明,邻居注意力和多层结构会带来不必要的复杂性,阻碍模型获得更好的性能。此外,多层网络中的层次注意力计算和每个时期的重复邻居聚合也
技术实现思路
1、本专利技术提供了一种基于图神经网络的dns流量异构图中c&c服务器检测方法,可以基于dns流量数据提供高效精确的c&c服务器ip检测。
2、本申请实施例揭露了一种基于图神经网络的dns流量异构图中c&c服务器检测方法,该方法包括:
3、获取dns流量数据,通过gru模型判断所述dns流量数据中域名是否为恶意域名,并将对应的判断标签添加至流量数据对应的域名节点;
4、根据dns流量数据构建dns流量异构图,对所述dns流量异构图进行聚合投影以及语义融合处理后,获得异构图每个节点的最终嵌入向量;
5、将所述每个节点的最终嵌入向量通过线性层和sigmoid激活函数进行二分类,确定所述服务器ip节点属于良性服务器还是c&c服务器。
6、在一些可能的实施方式中,所述通过gru模型判断所述dns流量数据中域名是否为恶意域名,并将对应的判断标签添加至流量数据对应的域名节点,包括:
7、根据所述dns流量数据域名,检测获得域名长度为n的的二级域名字符串;
8、根据所述二级域名字符串,通过独热编码构建域名矩阵;
9、把每一个字符串对应的所述域名矩阵通过嵌入层转换为降维向量;
10、将所述降维向量输入gru模型进行处理,获得包含域名字符串上下文关系的gru处理向量;
11、根据所述gru处理向量,通过二分类任务来判断所述域名为良性还是恶性,并将对应的标签信息添加到所述域名对应的流量数据节点中。
12、在一些可能的实施方式中,所述根据dns流量数据构建dns流量异构图,对所述dns流量异构图进行聚合投影以及语义融合处理后,获得异构图每个节点的最终嵌入向量,包括:
13、根据所述dns流量异构图,对异构图节点进行聚合处理,获得相应的语义特征向量;
14、将每个元路径的所述语义特征向量投影到相同维度中,获得对应元路径的投影语义向量;
15、根据预定义的元路径列表和对应的投影语义向量,通过基于transformer的语义融合为每个异构图节点生成对应的最终嵌入向量。
16、在一些可能的实施方式中,所述根据所述dns流量异构图,对异构图节点进行聚合处理,获得相应的语义特征向量,包括:
17、根据所述dns流量异构图,执行一次异构图邻居节点信息聚合,并为所有给定的元路径集合φx生成不同语义的特征矩阵列表对每个节点vi使用均值聚合器来聚合每个给定元路径的邻居特征,并输出语义特征向量mi:
18、
19、其中是元路径对应的所有元路径实例集合,p(i,j)是目标节点i和源节点j的元路径实例,是元路径对应的特征向量,xj是源节点j的原始特征向量。
20、在一些可能的实施方式中,所述根据所述dns流量异构图,执行一次异构图邻居节点信息聚合,包括:
21、分别获取异构图节点在所有元路径下的特征向量列表、同一类型节点的原始特征矩阵,并通过邻接矩阵乘法计算得到每个节点对目标的最终贡献权重;
22、根据所述最终贡献权重计算得到归一化的邻接矩阵,并通过邻居聚合获得不同语义的特征矩阵,邻居聚合过程表示如下:
23、
24、其中是一个l跳元路径,是节点类型ci,ci+1之间邻接矩阵aci,ci+1的归一化形式,是节点类型为c的所有节点的原始特征矩阵,其中dc是特征维度,||vc||是节点类型为c的节点数量,为||vc||行dc列的矩阵,并使用短元路径的聚合结果作为长元路径的中间值。
25、在一些可能的实施方式中,所述邻居聚合还包括标签的聚合;
26、在所述标签的聚合过程中,标签的传播使用one-hot编码沿元路径传播,生成反映相应元路径邻居图标签分布的矩阵所述标签的传播过程表示如下:
27、
28、其中yc是原始标签矩阵,元路径rm_diag()为去除邻接矩阵乘法结果中对角线值的函数;在矩阵yc中,训练集节点对应的行采用one-hot编码标签的值,其他行填0;所述标签的聚合完成后,输出语义矩阵作为后续训练的额外输入。
29、在一些可能的实施方式中,所述将每个元路径的所述语义特征向量投影到相同维度中,获得对应元路径的投影语义向量,包括:
30、对每个元路径定义一个特定于语义的变换矩阵计算对应元路径的投影语义向量
31、使用具有归一化层、非线性层、两个连续线性层和dropout层的多层感知机将所述投影语义向量进一步表示为:
32、在一些可能的实施方式中,所述根据预定义的元路径列表和对应的投影语义向量,通过基于transformer的语义融合为每个异构图节点生成对应的最终嵌入向量,包括:
33、对于每个异构图节点,基于transformer的语义融合模块学习每对投影语义向量的相互关注;
34、对于每个投影语义向量根据所有元路径共享的可训练参数可映射得到一个查询向量一个键向量和一个值向量本文档来自技高网...
【技术保护点】
1.一种基于图神经网络的DNS流量异构图中C&C服务器检测方法,其特征在于,所述检测方法包括:
2.根据权利要求1所述的基于图神经网络的DNS流量异构图中C&C服务器检测方法,其特征在于,所述通过GRU模型判断所述DNS流量数据中域名是否为恶意域名,并将对应的判断标签添加至流量数据对应的域名节点,包括:
3.根据权利要求1所述的基于图神经网络的DNS流量异构图中C&C服务器检测方法,其特征在于,所述根据所述DNS流量数据构建DNS流量异构图,对所述DNS流量异构图进行聚合投影以及语义融合处理后,获得异构图每个节点的最终嵌入向量,包括:
4.根据权利要求3所述的基于图神经网络的DNS流量异构图中C&C服务器检测方法,其特征在于,所述根据所述DNS流量异构图,对异构图节点进行聚合处理,获得相应的语义特征向量,包括:
5.根据权利要求4所述的基于图神经网络的DNS流量异构图中C&C服务器检测方法,其特征在于,所述根据所述DNS流量异构图,执行一次异构图邻居节点信息聚合,包括:
6.根据权
7.根据权利要求3所述的基于图神经网络的DNS流量异构图中C&C服务器检测方法,其特征在于,所述将每个元路径的所述语义特征向量投影到相同维度中,获得对应元路径的投影语义向量,包括:
8.根据权利要求3所述的基于图神经网络的DNS流量异构图中C&C服务器检测方法,其特征在于,所述根据预定义的元路径列表和对应的投影语义向量,通过基于Transformer的语义融合为每个异构图节点生成对应的最终嵌入向量,包括:
9.根据权利要求1所述的基于图神经网络的DNS流量异构图中C&C服务器检测方法,其特征在于,所述将所述每个节点的最终嵌入向量通过线性层和Sigmoid激活函数进行二分类,确定所述服务器IP节点属于良性服务器还是C&C服务器,包括:
10.根据权利要求1所述的基于图神经网络的DNS流量异构图中C&C服务器检测方法,其特征在于,所述检测方法使用PyTorch框架进行模型的构建与计算。
...【技术特征摘要】
1.一种基于图神经网络的dns流量异构图中c&c服务器检测方法,其特征在于,所述检测方法包括:
2.根据权利要求1所述的基于图神经网络的dns流量异构图中c&c服务器检测方法,其特征在于,所述通过gru模型判断所述dns流量数据中域名是否为恶意域名,并将对应的判断标签添加至流量数据对应的域名节点,包括:
3.根据权利要求1所述的基于图神经网络的dns流量异构图中c&c服务器检测方法,其特征在于,所述根据所述dns流量数据构建dns流量异构图,对所述dns流量异构图进行聚合投影以及语义融合处理后,获得异构图每个节点的最终嵌入向量,包括:
4.根据权利要求3所述的基于图神经网络的dns流量异构图中c&c服务器检测方法,其特征在于,所述根据所述dns流量异构图,对异构图节点进行聚合处理,获得相应的语义特征向量,包括:
5.根据权利要求4所述的基于图神经网络的dns流量异构图中c&c服务器检测方法,其特征在于,所述根据所述dns流量异构图,执行一次异构图邻居节点信息聚合,包括:
6.根据权利要...
【专利技术属性】
技术研发人员:罗熙,殷丽华,周凯,于城,王智明,孙皓,段紫桐,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。