基于圖神經網絡的工控網絡異常檢測算法①

劉 杰,李喜旺

1(中國科學院大學,北京 100049)

2(中國科學院 沈陽計算技術研究所,沈陽 110168)

隨著科學技術的迅速發(fā)展,人們的日常生活中也逐漸離不開網絡.由于網絡信息不斷產生和變化,使得網絡安全問題也成為計算機領域的一個熱門的研究方向.目前網絡攻擊發(fā)生在我們生活中的方方面面,加之網絡攻擊類型的千變萬化,網絡攻擊者通過各種不同的手段攻擊各種公共設施和用戶個人隱私信息[1],比如“橙風單車”投用第二天就遭到黑客攻擊,導致系統(tǒng)癱瘓,用戶無法正常體驗、使用.隨著信息化時代的發(fā)展,目前網絡數據已經不僅僅是靜態(tài)的單個節(jié)點的影響,而是以不斷變化的形式存在,因此傳統(tǒng)的網絡異常檢測算法已不能滿足數據實時、準確的檢測要求,對不斷更新的新的網絡攻擊手段無法迅速的做出相應的裁決和相應,因此我們需要更加快速和準確的檢測網絡異常的方法,已保證在高速網絡的數據到來時能夠對數據及時做出相應[2].

目前常用的網絡入侵檢測的方法主要有兩種：誤用檢測和異常檢測[3].誤用檢測需要事先建立網絡異常的特征規(guī)則庫,并將采集到的每個數據包與規(guī)則庫的每一條規(guī)則進行一一匹配,根據此判斷網絡中是否存在異常.誤用檢測的優(yōu)點是檢測率高、誤報率低,缺點是對未知特征的新異常行為,誤用檢測就表現毫無應對能力.而異常檢測完全不同于誤用檢測,異常檢測所關注的是網絡流量的宏觀統(tǒng)計特證,異常檢測首先需要提取或者概括網絡流量的統(tǒng)計特征,據此建立一個正常模型.是將當前產生的活動模型與正常模型作比較,當當前的活動模型與正常活動模型不匹配時,異常檢測就會發(fā)出警報.異常檢測的優(yōu)點是可以檢測出以前從未出現的網絡攻擊方法,但缺點是誤報率較高[4,5].

1 目前的研究

近年來,為了應對網絡異常入侵的多樣性,加之為提高網絡異常檢測的檢測率,降低網絡異常檢測的誤報率,國內外的學者對此已經做了大量的研究工作,目前網絡異常檢測方法大致分為兩大方面：動態(tài)網絡異常檢測和靜態(tài)網絡異常檢測.

在靜態(tài)網絡異常檢測中,最為代表的是基于閾值的網絡檢測方法.在基于閾值檢測的方法中,Maxion 等[6]提出根據歷史網絡流量的特征建立閾值,一旦超出此閾值即判斷為網絡異常[7].

在動態(tài)網絡異常檢測中,典型的方法即基于統(tǒng)計的檢測方法,比如基于用戶畫像的異常行為檢測模型[8]中提出引入用戶畫像技術,實現了入侵檢測粒度的細化,并將大數據技術引入網絡安全領域,證明了基于用戶畫像的入侵檢測模型有較好的實用價值.基于隱馬爾可夫模型和條件熵的異常流量檢測方法研究中[1]中提出運用統(tǒng)計學的方法對流量分類,最后通過輸出概率值來判斷是否是異常類型,該方法明顯的提高了異常檢測的精確度和檢測率,但是只能對流量進行籠統(tǒng)的分類為異常和正常,無法做到更精細的劃分.

但由于網絡流量不僅存在相似性和周期性的特點,還存在多點之間的連接性,因此當網絡攻擊者對我們的網絡進行入侵時,往往不是單獨的某個點對我們的網絡造成極大的攻擊,而是多個網絡攻擊者聯合攻擊對我們的網絡造成網絡崩潰,網絡節(jié)點關系如圖1所示.因此目前的單點網絡異常檢測已滿足不了現階段對網絡攻擊者的防御和對其預測.另外,“網絡異常”也是一個很模糊的概念,工控網絡異常檢測通常表現為結構和屬性的變化,異常當然也包括網絡節(jié)點本身的異常以及網絡變化的異常,因此在本文中,我們基于工控網絡中的多點連接性提出了基于圖神經網絡的工控網絡異常檢測算法,將圖神經網絡應用于工控網絡異常檢測,這樣就可以同時抓取工控網絡結構、屬性以及其周圍點鄰域狀態(tài)上的異常.從而使算法能夠脫離單點的網絡異常檢測.

圖1 網絡節(jié)點圖關系

最終將該模型與單點檢測算法比較,證明了該算法具有較高的準確率,驗證了該算法的有效性.

2 基于圖神經網絡的工控網絡異常檢測

2.1 問題描述

對于我們日常生活中的網絡拓撲結構,工控網絡節(jié)點的結構特征和屬性以及工控網絡節(jié)點之間的連接關系,本文中提出的基于圖神經網絡的工控網絡異常檢測算法的目標是：充分利用工控網絡節(jié)點之間的屬性信息和工控網絡拓撲結構的信息,挖掘工控網絡節(jié)點之間的隱含的交互信息,并學習每個工控網絡節(jié)點的類標簽.表1給出本文中相關的符號定義.

表1 符號定義

2.2 圖神經網絡

圖神經網絡(Graph Neural Network,GNN) 是近幾年出現的一類以圖結構作為網絡輸入的神經網絡模型[9].由于圖神經網絡處理的數據結構是圖,而圖是一種主要針對非歐幾里得空間結構的數據進行處理,具有以下優(yōu)勢：

(1)對輸入元素數據的順序不敏感；

(2)在圖計算過程中,節(jié)點的表示受周圍鄰居節(jié)點的結構和屬性的影響,而圖本身的連接不變；

(3)將網絡節(jié)點表示為圖結構表示,便于進行基于圖的推理,對網絡異常檢測具有天然的優(yōu)勢.

同時受到網絡嵌入的啟發(fā),本文旨在學習一個圖神經網絡映射函數,通過該映射函數將圖中的某一節(jié)點Vi可以聚合它自己的特征Xi與它相關聯的鄰居的特征Xj來生成節(jié)點Vi的新表示,然后將其作為K-means的輸入,進行聚類算法,判斷該節(jié)點是否異常.圖神經網絡結構圖如圖2所示.

圖2 圖神經網絡結構圖

2.3 基于圖神經網絡的網絡異常檢測

圖神經網絡模型由三大部分組成：圖節(jié)點狀態(tài)向量獲取模塊、迭代更新模塊和損失函數模塊[10].

(1)圖節(jié)點狀態(tài)向量獲取

首先每個節(jié)點Vi都可以用其特征Xi表示,并與其已標記的標簽相關聯.給定部分標記的圖G=(V,E),利用已標記的節(jié)點來預測未標記的節(jié)點標簽.它可以通過學習得到每個節(jié)點的d維狀態(tài)向量表示為Hv,同時已包含了其相鄰節(jié)點的狀態(tài)信息.

其中,Xv表示節(jié)點的屬性特征集合,Xco表示邊的特征集合,Hne表示樣本v的鄰居節(jié)點的嵌入表示,Xne表示節(jié)點v的鄰居節(jié)點的屬性特征.f(x)函數表示將輸入節(jié)點的特征映射到d維向量空間的一個映射函數.

(2)迭代更新

根據上述算法可以獲取到每個節(jié)點的d 維狀態(tài)向量,該向量蘊含了連接節(jié)點的特征信息以及節(jié)點之間的交互信息.由于我們要求出Hv的唯一解,在本文中我們選擇使用不動點理論重寫上述方程進行迭代更新.

其中,H和X表示所有h和x的連接.

然而對于每個節(jié)點,其鄰域節(jié)點的交互信息固然重要,但其自身節(jié)點的原始信息也包含了很多重要的狀態(tài)信息.因此將節(jié)點的狀態(tài)向量Hv以及節(jié)點的特征Xv同時傳遞給輸出函數g進一步計算,得到GNN 的輸出,即是否為異常節(jié)點.即：

其中,f(x)和g(x)是全連接前饋神經網絡.

(3)損失函數

給定一個圖G=(V,E,X),經過上述的狀態(tài)向量獲取和迭代更新,每個節(jié)點都可以用一個具有既包含節(jié)點自身信息又有樣本鄰域交互信息的狀態(tài)向量表示.在本文中根據詞特征向量,我們使用softmax(x)函數為每個節(jié)點計算每個類別對應的概率,softmax(x)函數定義如下：

最后在該模型中,我們使用交叉熵計算模型的損失loss,其計算公式如下：

其中,y表示真實的標簽.

圖神經網絡的算法進行節(jié)點特征表示的過程圖如圖3所示.

2.4 K-means 數據聚類

聚類算法是一個將數據集劃分成若干個聚類的過程,使得同一聚類的類內相似性最大,類間相似性最小.相似性的度量我們選用基于距離的方法.在本文中我們選用歐幾里得距離,計算公式如下：

常用的聚類算法包括K 均值聚類、密度聚類、層次聚類.在本文中我們選擇K-means 聚類,K-means 聚類算法是將n個樣本點劃分成k個子集,每個子集都代表一個聚類.

K-means 算法的步驟：

① 在已研究的基礎上,將所有的樣本根據類標種類分為k個類,記為k個種子聚類中心.

② 計算每個樣本與種子聚類中心之間的距離,并把每個樣本點分配到距離最近的聚類中心點,即聚類中心及分配的樣本點代表一個簇.

③ 計算每個簇的均值作為每個簇的質心,重復步驟②,直至質心不再發(fā)生變化,確定k的值.

將上述圖神經網絡的網絡節(jié)點輸出特征作為Kmeans 聚類的輸入,判斷網絡節(jié)點是否是異常節(jié)點.

圖3 節(jié)點特征表示的過程圖

3 實驗部分

3.1 數據說明與預處理

為了評價本文提出的網絡異常檢測算法,使用Libpcap 網絡工具獲取中科院沈陽計算技術研究所使用的內部網絡數據,主要是原始網絡的流量數據.

在本文中選取TCP 連接的基本特征比如連續(xù)時間,協議類型、傳送的字節(jié)數、連接正常或錯誤的狀態(tài)和TCP 連接的內容特征比如登錄嘗試失敗的次數、成功登錄的次數,root 用戶訪問次數和文件創(chuàng)建操作次數等屬性對網絡節(jié)點數據進行分析.

為了剔除數據集中的“臟數據”,與網絡節(jié)點異常無關的數據、重復采集的數據、數據格式錯誤或null 值的數據,需要先對數據進行預處理,找出數據的特征表示,為算法提供可靠的數據保證.對于數據的預處理主要包括兩大部分,首先利用Python 3 將獲取的字符型特征轉換為數值型特征,其次對數據進行標準化和歸一化處理.在本文中使用的是min-max 標準化方法,即對原始數據的線性變換,使數據結果歸一化到[0,1]區(qū)間轉換函數如下：

其中,max 為樣本數據的最大值,min 為樣本數據的最小值.

3.2 實驗平臺

使用基于Python3 環(huán)境的Tensorflow 開源深度學習框架實現圖神經網絡的模型構建與異常檢測.本文實驗采用PC 機,內存為16 GB,操作系統(tǒng)為Windows、Linux.

3.3 實驗結果與分析

在該網絡異常檢測算法中,模型的結果評估使用準確率和誤判率來評價模型的性能.具體如表2.

表2 混淆矩陣

準確率表示為：

傳統(tǒng)聚類單點檢測算法得到的聚類結果圖和經圖神經網絡處理后網絡節(jié)點異常檢測結果分別如圖4和圖5所示.

圖4 傳統(tǒng)聚類結果

本文模型在準確率和誤報率與其他傳統(tǒng)網絡異常檢測模型比較,具體如表3.

圖5 圖神經網絡處理聚類結果

表3 結果對比表(%)

4 結束語

網絡異常檢測已經成為網絡安全的一個重要研究方向,本文提出的基于圖神經網絡的網絡異常檢測算法可以融合網絡節(jié)點自身屬性以及其鄰域節(jié)點的屬性信息進行訓練,彌補了以往的單節(jié)點的動態(tài)預測方法的不足,實驗證明該方法具有較好的魯棒性,但是該算法也具有一定的局限性,對于進一步的節(jié)點之間的相關性研究及圖神經網絡更精確精準的異常檢測是我們下一步的研究重點.