本发明属于网络安全,尤其涉及一种基于同质节点异质频谱融合图网络的恶意流量检测方法。
背景技术:
1、在网络安全领域中,传统的恶意流量检测方法通常分为很多种形式,但最主要分为这两种:基于特征的检测方法、基于行为分析检测方法。基于特征的检测方法通过定义一系列特征或规则来检测恶意流量。这些特征可以是恶意软件的特定代码,或者是网络攻击中常见的行为模式,这种方法对于检测已知威胁的检测快速有效,但其严重依赖于攻击数据特征数据库,较大程度上限制其使用场景;基于行为分析检测方法通过监测网络流量的行为模式来检测恶意流量。这种方法不依赖于特定的规则或特征,而是通过分析流量的统计特征、流量之间的关系等来判断是否为恶意流量,能够对于新型的恶意流量有较好的适应性,但其劣势在于可能存在误判情况,需要进一步优化算法。许多研究人员提出了基于机器学习技术的模型,然而,由于不合适的特征选择,一些机器学习模型容易对大多数恶意流量进行错误分类。因此,如何选择有效的特征以实现网络中恶意流量的准确检测需要进行深入研究。为解决这一问题,muhammmad等人提出了一种新的框架模型。首先,引入了一种名为corauc的新型特征选择度量方法,然后基于corauc,开发和设计了一种基于包装技术的新型特征选择算法,它能够准确地过滤特征,并通过使用曲线下面积(auc)度量,为所选的机器学习算法选择有效特征。最后,应用了基于双射软集的综合topsis和香农熵方法,验证了在网络中选定的特征对于恶意流量识别的有效性。近年来,图网络逐渐出现在人们的视野,并能够有效表示和分析各种复杂关系,应用于各个领域。现实网络访问中网页之间的访问通过超链接来实现,可将每个网页看作图网络中的一个节点,网页之间超链接则可视为图网络中的边,从而可将复杂的网页恶意流量检测问题映射为图卷积神经网络中节点分类问题。传统恶意流量检测方法是基于单个网页来训练模型,而没有考虑到复杂的网络关系和动态特性,从而严重影响检测准确度。然而图网络能够捕捉到网页中节点之间的复杂关系,从而能够在网页节点拓扑图结构发生变化时也可进行动态更新,实现提高恶意流量预测的准确率。因此,如何将图网络应用在恶意流量检测中是网络安全方法亟待解决的问题。
技术实现思路
1、为解决上述技术问题,本发明提出了一种基于同质节点异质频谱融合图网络的恶意流量检测方法,通过结合图网络方法,提出了一种恶意流量检测模型,实现网页访问中恶意流量准确、高效检测。
2、为实现上述目的,本发明提供了一种基于同质节点异质频谱融合图网络的恶意流量检测方法,包括:获取网页数据集,构建恶意流量检测模型,将所述网页数据集输入训练好的恶意流量检测模型,获得恶意流量访问的网页节点。
3、根据本发明提供的基于同质节点异质频谱融合图网络的恶意流量检测方法,所述网页数据集包括网页节点源数据集和网页节点正常流量数据集。
4、根据本发明提供的基于同质节点异质频谱融合图网络的恶意流量检测方法,构建恶意流量检测模型,将所述网页节点源数据集和网页节点正常流量数据集输入训练好的恶意流量检测模型,获得恶意流量访问的网页节点的方法包括:
5、基于网页之间超链接关系构建异质网页图网络,获得网页节点图网络;
6、基于所述网页节点图网络,构建网页同质节点提取模块,获得网页的同质节点列表;
7、基于所述网页节点图网络,构建网页节点频谱信息学习模块,获得网页节点低频信息和网页节点高频信息;
8、基于所述网页节点低频信息、所述网页节点高频信息和所述网页的同质节点列表,构建频质信息融合模型;
9、结合所述网页节点源数据集和所述网页节点正常流量数据集对所述频质信息融合模型进行训练,获得已训练频质信息融合模型;
10、获取待测网页节点源数据,将待测网页节点源数据输入所述已训练频质信息融合模型,获得待测网页节点流量预测数据;
11、比较待测网页节点流量实际数据和所述待测网页节点流量预测数据,若所述待测网页节点流量实际数据与所述待测网页节点流量预测数据的差值大于预设阈值,则初步判定网页被恶意流量访问,输出被判定为恶意流量访问的网页节点。
12、根据本发明提供的基于同质节点异质频谱融合图网络的恶意流量检测方法,所述网页同质节点提取模块包括网页节点拓扑结构自适应学习单元和同质节点提取单元;
13、所述网页节点拓扑结构自适应学习单元,用于通过网页节点拓扑结构自适应学习,获取网页节点的初始结构嵌入信息并通过损失函数进行反馈优化;
14、所述同质节点提取单元,用于反馈优化后进行网页节点的提取,获得网页的同质节点列表。
15、根据本发明提供的基于同质节点异质频谱融合图网络的恶意流量检测方法,所述网页节点拓扑结构自适应学习单元中损失函数获得方法为:
16、
17、其中,n表示节点的总个数,l为卷积总层数并是超参数,f(l)[i]表示节点i的最终预测类别,表示节点i的真实类别。
18、根据本发明提供的基于同质节点异质频谱融合图网络的恶意流量检测方法,所述同质节点提取单元中获得网页的同质节点列表方法为:
19、通过计算节点表示之间的点积,得到节点之间的相似性度量,计算如下:
20、di,j=f(l)[i]t·f(l)[j],
21、
22、其中,s表示采样节点,采样节点数目为m,表示节点i和节点j1之间的相似性度量;
23、获得每个节点的最相似的mhomo个节点:
24、
25、构建mhomo节点和mheter节点的边索引得到节点的同质性图ao,计算如下:
26、
27、根据本发明提供的基于同质节点异质频谱融合图网络的恶意流量检测方法,获得网页节点低频信息和网页节点高频信息的方法包括:
28、设计一个低频滤波器和一个高频滤波器,聚合网页节点邻居的低频信号和高频信号,并结合初始残差连接提取信息更丰富的多跳邻居节点信息,获得所述网页节点低频信息和所述网页节点高频信息。
29、根据本发明提供的基于同质节点异质频谱融合图网络的恶意流量检测方法,构建频质信息融合模型的方法包括:
30、利用节点的局部邻居信息生成频质信息融合系数,将所述同质节点列表、网页节点低频信息和网页节点高频信息进行融合学习,获得网页节点特征信息矩阵,基于网页节点信息矩阵得到每行向量的最大值的索引,所述每行向量的最大值的索引为网页节点访问流量预测类别,输出网页节点访问流量预测类别,完成频质信息融合模型的构建。
31、本发明技术效果:本发明公开了一种基于同质节点异质频谱融合图网络的恶意流量检测方法,通过结合图网络,从而将复杂的网页恶意流量检测问题映射为图卷积神经网络中节点分类问题,捕捉到网页中节点之间的复杂关系,从而能够在网页节点拓扑图结构发生变化时也可进行动态更新,实现提高恶意流量预测的准确率。
1.一种基于同质节点异质频谱融合图网络的恶意流量检测方法,其特征在于,包括:获取网页数据集,构建恶意流量检测模型,将所述网页数据集输入训练好的恶意流量检测模型,获得恶意流量访问的网页节点。
2.如权利要求1所述的基于同质节点异质频谱融合图网络的恶意流量检测方法,其特征在于,所述网页数据集包括网页节点源数据集和网页节点正常流量数据集。
3.如权利要求2所述的基于同质节点异质频谱融合图网络的恶意流量检测方法,其特征在于,构建恶意流量检测模型,将所述网页节点源数据集和网页节点正常流量数据集输入训练好的恶意流量检测模型,获得恶意流量访问的网页节点的方法包括:
4.如权利要求3所述的基于同质节点异质频谱融合图网络的恶意流量检测方法,其特征在于,所述网页同质节点提取模块包括网页节点拓扑结构自适应学习单元和同质节点提取单元;
5.如权利要求4所述的基于同质节点异质频谱融合图网络的恶意流量检测方法,其特征在于,所述网页节点拓扑结构自适应学习单元中损失函数获得方法为:
6.如权利要求4所述的基于同质节点异质频谱融合图网络的恶意流量检测方法,其特征在于,所述同质节点提取单元中获得网页的同质节点列表方法为:
7.如权利要求3所述的基于同质节点异质频谱融合图网络的恶意流量检测方法,其特征在于,获得网页节点低频信息和网页节点高频信息的方法包括:
8.如权利要求3所述的基于同质节点异质频谱融合图网络的恶意流量检测方法,其特征在于,构建频质信息融合模型的方法包括:
