买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：桂林电子科技大学

摘要：本发明公开了一种基于行为图和WeisfeilerLehman算法的可扩展网络攻击检测方法，该方法首先采用主机行为的图表示形式，能够以网络通信图为基础架构，将与各个主机通过相关联的连接记录以通信关系关联在一起；其次基于自相似度进行数据减量，由于网络数据的冗余度高，需要进行数据减量来提高模型的训练效率，但是对连接记录进行数据减量很可能导致主机的行为模式的完整性被破坏；最后利用WeisfeilerLehman图核端到端进行图嵌入和相似度计算。将其输出作为核方法的输入，结合集成学习，能够高效训练模型的同时不会引入更多误差。

主权项：1.一种基于行为图和WeisfeilerLehman算法的可扩展网络攻击检测方法，其特征在于，包括如下步骤：1）有标签训练网络的搭建及其资产信息收集：搭建有标签的训练网络，对训练网络进行网络资产信息收集，网络资产信息包括主机、路由器、交换机、服务器，以及打印机，提取它们的设备类型、IP、MAC地址、系统、服务，构建网络资产列表，存储至数据库；2）针对步骤1）得到的训练网络，从数据收集及清洗、行为单元提取、数据减量、到行为图嵌入及相似度矩阵计算，生成待训练模型的输入，具体步骤如下：2-1）流量捕获与自动样本标注：运行步骤1）搭建的训练网络，并对训练网络中的网络流量进行捕获与自动样本标注；利用TShark或WireShark工具，分别捕获安全窗口的正常业务流量和背景流量、攻击流量，所捕获的流量是有标签的，相关的每个主机都标注相应的标签，用于发起攻击的主机被标注为正样本，即恶意主机；其余主机和设备标注为负样本，即正常主机；标注过程基于预先配置的攻击脚本自动化实现；2-2）连接记录提取：从步骤2-1）中捕获的网络流量中提取连接记录，首先通过CICFlowMeter将pcap文件转换为csv特征文件，提取网络设备之间通信的连接记录，连接记录的属性包括源IP、目的IP、源端口、目的端口、通信方向、连接状态、持续时间、连接内发包数量、连接内发送字节总数量、源目的主机通信期间的应答比例；2-3）数据清洗与属性离散化：对步骤2-2）得到连接记录进行数据清洗和离散化：2-3-1）数据清洗：删除连接记录提取工具运行期间生成的异常连接记录，包括属性确实、类型异常，属性缺失通过线性插值补全或直接删除；2-3-2）属性离散化：将连接记录的各个属性映射到一个不重合的整数区间，即属性离散化对应一个映射D，对于属性Fi和Fj，满足DFi→Ni*，DFj→Nj*，且Ni*∩Nj*=∅；其中原始记录中包含本身离散的属性，包括源目的地址、协议、端口、服务、状态、通信方向，将这些属性转化为类别属性，即源目的地址包含大量的IP地址，类别化后，变为NORMAL_IP、RESERVE_IP、ERROR_IP之一，端口变为RESERVE_PORT、WELL_KONWN_PORT、OTHER_PROT，源目的地址，即连接记录中的SrcAddr和DstAddr字段；2-4）数据融合并生成行为单元和行为图：基于步骤1）收集到的网络资产信息以及步骤2-3）清洗和属性离散化后的连接记录，进行数据融合并生成行为单元和行为图，其中行为单元是连接记录的图表示，图中包括SrcAddr-Type、DstAddr-Type、State、Dir、Conn_num、Proto、Duration、Totpkts、SrcBytesRatio这9个节点，其中Src和Dst代表源IP和目的IP，state状态表示连接状态是否成功，Dir表示通信的方向，conn_num代表某个时间窗口两台主机的建立的连接数量，proto为连接的协议，duration为连接的持续时间，Totpkts为该时间窗口的发包数量，SrcBytesRatio为源主机发送到目的主机的字节占连接内通信总字节数的比例，得到主机行为单元之后，通过SrcAddr及DstAddr节点，将有关的行为单元关联起来，生成主机的行为图；2-5）基于图核的数量减量：基于网络行为图的自相似度，先计算步骤2-4）中得到的每个主机的行为图的自相似度，从而得到主机行为模式的摘要，然后对相同模式进行删减，经过数据减量后，得到的图集为有效图集，并将有效图集作为后续的训练样本；3）模型训练：基于WeisfeilerLehman算法，以步骤2-5）得到的有效图集作为输入，端到端进行图嵌入并计算相似度，得到所有主机的行为图的图相似度矩阵，将得到相似度矩阵与标签一起，作为该算法的集成学习方法的输入，训练基学习器，得到集成分类器，训练过程中，使用嵌套的交叉验证方法，对数据集进行划分，训练集和验证集用于学习器的参数学习、超参数的调优和基学习器聚合方式的学习，测试集用于最后评估模型的效果，最终得到集成分类器；4）收集无标签真实网络的资产信息：对于无标签真实网络进行探测，收集网络的资产信息，在真实网络环境中，每台设备的标签是不确定的，这些设备可能为正常的设备或被恶意代码感染的设备；5）真实样本的收集和预处理：对真实网络中的流量采用步骤2-2）-步骤2-4）的方法进行预处理，并采用步骤4）中的网络资产信息进行数据融合，并生成行为单元和行为图，基于WeisfeilerLehman图算法端到端进行图嵌入和相似度矩阵计算，此时的相似度计算在待测样本与每一个训练样本之间进行；6）将步骤5）得到的相似度矩阵输入步骤3）得到的集成分类器中，得到主机行为模块的分类结果，若主机的行为模式被判断为异常，则该行为图对应的主机为可疑主机，有可能是被感染的主机，分类结果被通知至安全管理与相应平台，由安全人员进一步对可以主机的行为模式进行审计；7）响应与模型更新：若可疑主机被安全人员确定为恶意主机，则安全管理与响应平台对该恶意主机作出处理，若安全人员确定为安全主机，则将该主机的行为模式图作为新样本，重新输送至步骤3）中，重新训练以更新模型。

全文数据：

权利要求：

百度查询： 桂林电子科技大学 一种基于行为图和Weisfeiler Lehman算法的可扩展网络攻击检测方法