基于知识图谱的DDoS攻击路径检测方法

本发明属于网络安全，涉及一种基于知识图谱的ddos攻击路径检测方法。

背景技术：

1、随着互联网的普及和网络服务的广泛应用，网络安全面临着日益复杂和多样的威胁，其中分布式拒绝服务(ddos)攻击是一种常见而严重的威胁形式。传统的ddos攻击防御手段在面对攻击者采用多样性攻击手法时显得力不从心。知识图谱(knowledge graph)是一种用于组织、表示和推理关于现实世界中实体及其关系的图形化知识结构。它是一种基于图的知识表示模型，通常使用图的节点表示实体，边表示实体之间的关系。知识图谱通过以图形结构表示网络拓扑和关系，提供了一种更为直观和结构化的网络安全分析方式。为了更好地理解和应对ddos攻击，引入了基于知识图谱的ddos攻击路径检测方法。

2、通过对ddos攻击路径的检测，网络防御工作者可以实施相应的防御手段组织攻击者继续发起ddos攻击，可对网络用户使用的系统起到一定的保护作用。而现有的利用知识图谱挖掘ddos攻击脆弱点，从而进行ddos攻击路径检测的研究知识采用了较为简单的ddos攻击图谱表征方法，在构建知识图谱过程中存在标签爆炸的问题，不能很好地表征ddos攻击的脆弱点，且采用的ddos攻击路径检测方法识别攻击效果较差。

技术实现思路

1、本发明的目的是提供基于知识图谱的ddos攻击路径检测方法，该方法首先采用基于随机森林的k折交叉验证递归消除法筛选ddos攻击的关键特征，解决了在构建ddos攻击知识图谱过程中标签爆炸的问题，并通过构建ddos攻击知识图谱，然后根据bkg对攻击路径和非攻击路径进行标记，解决了现有检测方法存在的ddos攻击路径检测效果差的问题。

2、本发明所采用的技术方案是，基于知识图谱的ddos攻击路径检测方法，具体包括如下过程：通过对ddos攻击的网络流量数据特征进行关键特征提取，根据ddos攻击的关键流量数据特征构建ddos攻击特征知识图谱ddoskg_feature和ddos攻击知识图谱ddoskg；并综合已构建的ddos攻击行为知识图谱bkg中有关ddos攻击的描述对ddoskg中的攻击路径和非攻击路径进行标记，利用bilstm和gcn两个模型从攻击序列向量和图结构两个方面进行了路径序列的特征提取，并使用自注意力机制将两者特征进行融合，再利用全连接层更好的实现ddos攻击路径的检测。

3、本发明的特点还在于：

4、具体包括如下步骤：

5、步骤1，构建ddos行为知识图谱bkg；

6、步骤2，获取有关ddos攻击的流量数据，记为ddos.pcap，选取表征ddos攻击的关键流量特征，并构建ddos攻击特征知识图谱ddoskg_feature；

7、步骤3，构建ddos攻击知识图谱的ddoskg并抽取ddos攻击路径，得到包含攻击路径和非攻击路径的路径序列集合psc，并进行数据集的划分；

8、步骤4，通过bert模型对步骤3中训练集train_data的数据进行预训练，得到向量化后的路径序列train_vec_psc；并通过bilstm模型提取train_vec_psc中攻击序列和非攻击序列的隐藏状态序列hi；

9、步骤5，使用node2vec方法将步骤3.2中构建的ddos攻击知识图谱ddoskg中的节点映射为节点特征向量s，并将节点间的关系构建为邻接矩阵a，将邻接矩阵a输入图卷积神经网络模型中，获取ddos攻击路径的图结构特征zi；

10、步骤6，使用自注意力机制融合步骤4和步骤5得到的路径序列特征hi和图结构特征zi，并将融合后的结果通过全连接层进行分类，从而获取训练好的ddos攻击路径检测模型dsbga；并使用验证集和测试集数据进行验证和测试。

11、步骤1的具体过程为：

12、步骤1.1，从cwe官网中获取有关ddos攻击的弱点名称、弱点描述、弱点危害以及缓解措施信息；从capec官网中获取有关ddos攻击的攻击名称、攻击id、攻击危害、攻击后果、缓解措施、严重程度信息；从cnnvd官网中获取有关ddos攻击的漏洞名称、漏洞描述、漏洞危害、缓解措施信息；

13、步骤1.2，构建ddos行为知识图谱<实体，关系，属性>三元组；

14、步骤1.3，根据步骤1.2构建的三元组通过cypher语句构建ddos行为知识图谱bkg。

15、步骤2的具体过程为：

16、步骤2.1，从cicids2017官网中获取有关ddos攻击的流量数据，并通过以随机森林为基模型的k折交叉验证递归特征消除法选取表征ddos攻击的关键流量特征，选取的关键流量特征为feature_list[total fwd packets,total length of fwd packets,fwdpacket length max,fwd packet length mean,……,act_data_pkt_fwd]；

17、步骤2.2，根据步骤2.1中选取的关键流量特征构建ddos攻击特征知识图谱ddoskg_feature。

18、步骤3的具体过程为：

19、步骤3.1，根据步骤2.2中流量特征之间的关系，从ddos.csv中选取关键流量特征对应的特征值存入ddos_data.csv，并将ddos_init.csv中的源主机、目的主机、协议、源端口、目的端口信息添加到ddos_data.csv文件中并保存；

20、步骤3.2，构建<实体，关系，属性>三元组，将ddos_data.csv中的数据存入知识图谱中，完成ddos攻击知识图谱的构建，记为ddoskg；

21、步骤3.3，对照步骤1中的ddos行为知识图谱bkg中对于ddos攻击弱点的弱点描述及ddos攻击漏洞的漏洞描述属性描述，将ddoskg中的路径分为攻击路径和非攻击路径，以人工方式抽取两种路径，记为路径序列集合psc；

22、步骤3.4，将步骤3.3中的路径序列集合psc按照60％、20％、20％的比例划分为训练集train_data、验证集dev_data和测试集test_data。

23、步骤4的具体过程为：

24、步骤4.1，通过bert模型对步骤3中训练集train_data的数据进行预训练，得到向量化后的路径序列train_vec_psc；

25、步骤4.2，通过bilstm模型提取train_vec_psc中攻击序列和非攻击序列的隐藏状态序列hi。

26、步骤5的具体过程为：

27、步骤5.1，使用node2vec方法将步骤3.2中构建的ddos攻击知识图谱ddoskg中的节点进行向量化，将图中的节点映射为节点特征向量s；

28、步骤5.2，将节点间的关系构建为邻接矩阵a；

29、步骤5.3，将节点特征向量s和邻接矩阵a输入图卷积神经网络模型中，通过隐藏层进行不断卷积，获取ddos攻击路径的图结构特征zi，公式如下：

30、

31、其中，relu是激活函数，a为邻接矩阵，是a的度矩阵，si是节点在i层的特征向量，wc是gcn中的权重矩阵。

32、步骤6的具体过程为：

33、步骤6.1，通过自注意力机制将步骤4中的隐藏状态序列集合hi和步骤5中的特征zi进行融合，得到融合后的特征c；

34、步骤6.2，将步骤6.1得到的融合后的特征c输入到全连接层中进行攻击路径和非攻击路径的分类，得到攻击路径识别结果；

35、步骤6.3，将步骤4至步骤6.2获取训练好的模型保存为dsbga；

36、步骤6.4，将步骤3.4中验证集dev_data和测试集test_data放入步骤6.3中dsbga模型进行攻击路径序列和非攻击路径序列分类判别验证和测试，实现ddos攻击的攻击路径检测。

37、步骤6.1的具体过程为：

38、步骤6.1.1，对于bilstm和gcn的输出，分别计算注意力权重和

39、

40、其中，是由bilstm输出的值hi计算出的注意力权重，是由gcn输出的值zi计算出的注意力权重，f是前馈神经网络；

41、步骤6.1.2，分别计算得到的注意力权重的加权向量cbilstm和cgcn：

42、

43、其中，是由bilstm输出的值hi计算出的注意力权重，是由gcn输出的值zi计算出的注意力权重；

44、步骤6.1.3，对步骤6.1.2得到的两个加权向量进行加权求和，得到最终的自注意力融合特征c：

45、c＝α·cbilstm+(1-α)cgcn    (6)

46、其中，α是权重参数，表示对bilstm输出的重要性。

47、本发明的有益效果是，本发明是面向网络安全领域的ddos攻击路径检测。通过对ddos攻击的网络流量数据特征进行分析，构建了ddos攻击知识图谱；通过对攻击知识图谱中攻击路径和非攻击路径进行标记，利用bilstm和gcn两个模型从攻击序列向量和图结构两个方面进行了路径序列的特征提取，并使用自注意力机制对两个特征进行融合，通过全连接层更好的实现攻击路径的检测，提高了ddos攻击检测的准确度。