基于GATv2的網(wǎng)絡(luò)入侵異常檢測方法

鄭海瀟，馬夢帥，文斌*，曾昭武，劉文龍

1.數(shù)據(jù)科學(xué)與智慧教育教育部重點(diǎn)實(shí)驗(yàn)室（海南師范大學(xué)），海南 ?？?571158

2.海南師范大學(xué)，信息科學(xué)技術(shù)學(xué)院，海南 海口 571158

引 言

入侵檢測是對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析[1]，以確定網(wǎng)絡(luò)中的行為是否構(gòu)成威脅?，F(xiàn)有的方法主要可以分為基于主機(jī)和基于網(wǎng)絡(luò)兩種?；谥鳈C(jī)方法是通過分析系統(tǒng)日志文件來監(jiān)視和分析系統(tǒng)的行為；基于網(wǎng)絡(luò)方法是分析網(wǎng)絡(luò)流量和網(wǎng)絡(luò)協(xié)議來確定可能的入侵。這些方法主要是對網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行分析和學(xué)習(xí)，以識別出網(wǎng)絡(luò)攻擊和入侵[2]。但是，這種解決方案容易被攻擊者偽裝，因此需要考慮它們在網(wǎng)絡(luò)中的關(guān)系來提高檢測的可靠性。目前，業(yè)界最常用的方法是特征匹配檢測法，是對已知的攻擊或入侵的方式做出確定性的描述，形成相應(yīng)的事件模式。當(dāng)被審計的事件與已知的入侵事件模式相匹配時，即報警。原理上與專家系統(tǒng)相仿。其檢測方法上與計算機(jī)病毒的檢測方式類似。目前，基于對包特征描述的模式匹配應(yīng)用方法較為廣泛。該方法預(yù)報檢測的準(zhǔn)確率較高，但對于無經(jīng)驗(yàn)知識的入侵與攻擊行為無能為力。

針對當(dāng)前網(wǎng)絡(luò)環(huán)境的日益復(fù)雜和網(wǎng)絡(luò)流量數(shù)據(jù)爆炸式增長的問題，本文著重研究了基于圖神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測方案。該方案將網(wǎng)絡(luò)流量數(shù)據(jù)構(gòu)建成圖，并利用圖神經(jīng)網(wǎng)絡(luò)的優(yōu)勢來處理和分類，從而提供更可靠的信息。網(wǎng)絡(luò)流量數(shù)據(jù)由IP 地址、端口號和一組與流相關(guān)的特征（如持續(xù)時間、事務(wù)字節(jié)數(shù)、傳輸?shù)臄?shù)據(jù)包數(shù)等）組成，通過學(xué)習(xí)網(wǎng)絡(luò)流數(shù)據(jù)的屬性信息和結(jié)構(gòu)信息來對不同攻擊產(chǎn)生的網(wǎng)絡(luò)流進(jìn)行分類，實(shí)現(xiàn)入侵檢測。……