[发明专利]一种基于图卷积神经网络的多阶段攻击场景构建方法及系统

权利要求书

1.一种基于图卷积神经网络的多阶段攻击场景构建方法，其特征在于，包括：

步骤1：从网络流量中匹配IDS警报对应的可疑流；

步骤2：利用步骤1匹配到的可疑流提取特征并计算流之间的相似度用于构建相似关系矩阵，将流的特征转换为节点属性，相似关系矩阵转换为邻接矩阵构建可疑流图；

步骤3：利用图卷积神经网络对步骤2构建的可疑流图进行半监督分类，将可疑流划分为不同的攻击阶段；并对每个攻击阶段建立带权重的阶段通信图，从阶段通信图中提取高质量场景子图，最终构建完整攻击场景。

2.根据权利要求1所述的一种基于图卷积神经网络的多阶段攻击场景构建方法，其特征在于，所述步骤2中提取可疑流的特征并计算流之间的相似度用于构建相似关系矩阵的过程具体包括：

步骤21，提取可疑流的原始数据，具体操作为：对每个可疑流截取数量不大于q的数据包，对于超长数据，如果单个流的数据包数量大于2q，那么将流进行拆分处理，拆分成多个组；为减少计算冗余，对每个数据包，提取除mac地址以外的原始数据流，之后将提取的数据按照顺序依次拼接；

步骤22，计算流之间的相似度，具体的操作为：通过步骤21提取的原始数据计算流之间的相似度；对于两条不同流f_i,f_j，本发明用sim(f_i,f_j)计算它们之间的相似度；

步骤23，提取可疑流的特征：对于可疑流f_i，提取了一组特征对不同类型的数据编码为字符型，并进行归一化处理。

3.根据权利要求3所述的方法，其特征在于，步骤22所述的利用sim(f_i,f_j)计算流之间的相似度的具体操作方法是：对于两条不同流f_i,f_j，分别提取了它们的原始数据S_i和S_j，用sim(f_i,f_j)计算f_i,f_j的相似度：

其中len(S_i)，len(S_j)分别表示S_i，S_i的长度，m是S_i，S_j相匹配字符数，但是这些匹配的字符是不考虑顺序的，需要进行换位操作才能让它们拥有相同的顺序，t表示换位的次数，对分别来自S_i，S_j的字符，当它们的位置距离小于d，被认为是相匹配的；d用下面的公式计算：

4.根据权利要求1所述的一种基于图卷积神经网络的多阶段攻击场景构建方法，其特征在于，所述步骤2中构建相似关系矩阵，将流的特征转化为节点属性，相似关系矩阵转换为邻接矩阵构建可疑流图的过程具体包括：

步骤24，判断相似度是否大于阈值，具体操作为：通过设置阈值去除相似度低的流，首先判断当前两个流的相似度是否大于阈值，如果大于阈值，就存储这对流f_i,f_j的索引编号(i,j)到列表F中，否则继续选取流，并通过步骤2-2计算新选取的流之间的相似度；

步骤25，构建流相似度矩阵，具体操作为：根据步骤24中得到流的索引编号建立矩阵；首先建立一个p×p的全0矩阵，p为步骤21提取流的数量，对于流f_i,f_j，如果步骤24的列表F中存在元素(i,j)，则修改矩阵的[i,j]位置的值为1；

步骤26，利用流特征和相似度矩阵构建可疑流图，具体操作为：定义可疑流图为一个无向图，用G_f＝(V,E)表示，其中V为节点E为边，包含全部可疑流的信息；图中的一个顶点v_i∈V代表了一条可疑流f_i，用流的特征当作节点属性，节点属性可以表示为之后将将节点属性建模为向量其中v为节点，M为特征向量的维数，最后构建包含N维特征的特征矩阵边e(f_i,f_j)∈E依赖于两条不同的流f_i,f_j的相似度，可直接由步骤25构建的相似度矩阵转化；为了方便存储，用稀疏邻接矩阵来表示图。