买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

摘要：本发明提供了一种基于图异常检测算法的网络入侵检测方法、系统及介质，该方法包括：针对不同的协议将网络流量数据包按照五元组聚合为网络流，所述五元组包括源IP地址、源端口号、目的IP地址、目的端口号和传输层协议；使用聚合好的网络流构建同源网络流图和同目的网络流图，并采用相似度计算减小同源网络流图和同目的网络流图的规模；使用图自编码器对同源网络流图和同目的网络流图进行编码解码，最终得到每个网络流的异常分，进而根据每个网络流的异常分判断是否为异常恶意流量。本发明能对网络流之间的关系进行充分建模。

主权项：1.一种基于图异常检测算法的网络入侵检测方法，其特征在于，所述方法包括以下步骤：步骤S10，针对不同的协议将网络流量数据包按照五元组聚合为网络流，所述五元组包括源IP地址、源端口号、目的IP地址、目的端口号和传输层协议；步骤S20，使用聚合好的网络流构建同源网络流图和同目的网络流图，并采用相似度计算减小同源网络流图和同目的网络流图的规模；步骤S30，使用图自编码器对同源网络流图和同目的网络流图进行编码解码，最终得到每个网络流的异常分，进而根据每个网络流的异常分判断是否为异常恶意流量；所述步骤S30包括：步骤S301，对同源网络流图和同目的网络流图分别进行编码，编码器采用多层GNN，得到每个网络流的同源图编码向量和同目的图编码向量，将同源网络流图整个图的编码矩阵记为，其中分别表示n个网络流在同源图中的编码向量，将同目的网络流图整个图的编码矩阵记为，其中，分别表示n个网络流在同目的图中的编码向量；步骤S302，对编码向量进行结构解码，结构解码的计算方式如下： ，其中E为图的编码向量，对同源图解码时采用，对同目的图结构解码时采用，sigmoid为激活函数，得到结构解码结果，随后将对应图的邻接矩阵与结构解码结果作差得到结构重构误差：,其中A为原图的邻接矩阵，为刚才得到的结构解码结果;步骤S303，对编码向量进行属性解码，属性解码器采用多层GNN，将两个图的解码结果与流的初始特征F作差作为属性重构误差；步骤S304，将结构重构误差与属性重构误差以一个权重求和作为该图的总误差R： ，其中，为302步骤中得到的结构重构误差，为303步骤中得到的属性重构误差，是设置的超参数；对同源图与同目的图同样计算，同源图总误差记为，同目的图总误差记为，再将两张图的误差求加权和得到最终误差： ,其中是人为设置的超参数，最终误差记为;步骤S305，采用良性数据训练模型，使得模型学习到良性流量的行为模式，以最终误差作为损失训练模型，采用训练阶段良性流量的最大误差作为异常分阈值；在测试和正式使用中，以最终误差作为异常分，由于良性流量经过训练，其原始特征与解码后的结果相近，误差较小；而对于恶意流量，由于其于良性流量不同的统计特征和行为模式，会得到误差较大的解码结果，即异常分大于阈值，从而有效检测异常恶意流量。

全文数据：

权利要求：

百度查询： 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) 基于图异常检测算法的网络入侵检测方法、系统及介质