基于E-GraphSAGE和多尺度注意力CNN的入侵检测方法

本发明涉及网络异常检测，具体涉及一种采用e-graphsage和多尺度注意力cnn的入侵检测方法及系统。

背景技术：

1、网络技术的迅猛发展使社会更加互联和依赖于网络。然而，随之而来的是网络攻击者为了谋取个人或组织的利益，不断采用各种手段进行攻击，使得网络环境变得极为危险和复杂。入侵检测系统被认为是识别和处理此类网络攻击的关键技术之一。传统的入侵检测方法主要是使用机器学习的方法。近年来，随着深度学习出现，其不断提高入侵检测系统对异常流量的识别能力，然而绝大部分的方法仅仅是针对单条流量，但并没有对多条流量进行关联得到多流量汇聚特征，并进一步的发掘特征的深度含义，从而有效提高入侵检测系统识别的能力。为了解决以上问题，提供了一种新颖的入侵检测方法来提高入侵检测的识别效率和能力。

技术实现思路

1、为实现上述目的，本发明提供一种基于e-graphsage和多尺度注意力cnn的入侵检测方法，以解决多流量汇聚特征能力以及特征潜力挖掘不足的问题，最终提高流量识别能力。

2、基于e-graphsage和多尺度注意力cnn的入侵检测方法包括步骤：

3、s1:对网络流量数据集进行数据预处理，包括数据缺失值进行删除，对标签型数据进行独热编码，标准化等操作；

4、s2:流量信息交互图构建；

5、s3将处理好的数据划分为训练集和测试集

6、s4:e-graphsage根据流量信息交互图聚合训练数据的邻居特征，然后将结果转为图像格式输入到多尺度注意力cnn中,多尺度注意力cnn是一种在多尺度的思想中添加注意力机制的cnn结构；

7、s5:将预处理后的测试集输入到训练完成的网络中，得到最终的分类结果；

8、优选的，所述数据集为澳大利亚新南威尔士大学的网络与系统安全实验室提供的网络入侵检测数据集，类别种类为10个(9个攻击类别，1个正常类别)；

9、优选的，步骤s2包括：

10、s201:提取网络流量数据集每条流量的目的端口号，源端口号，源ip地址，目的ip地址；

11、s202：s201的输出作为202的输入，为每一条流量构建源套接字二元组和目的套接字二元组，源套接字二元组为源发送ip和源端口号，目的套接字二元组为源发送ip和目的ip端口；

12、s203:s202的输出作为s203的输入，根据所有流量的源套接字和目的套接字二元组进行关系映射，构建流量信息交互图，每一个独特的元组为一个流量信息交互图的一个网络节点。

13、优选的，步骤s4包括：

14、s401:步骤s3的训练集作为s401的输入，利用e-graphsage其强大的图处理功能进行邻居信息聚合，并转为图像形式；

15、s402:s401的输出作为s402的输入，多尺度注意力cnn前两层的卷积层分别具有16个3×3的卷积核，和32个3×3的卷积核；

16、s403:s402的输出作为s403的输入，多尺度注意力cnn的第三层为步长为2，窗口大小2×2的最大池化层；

17、s404:s403的输出作为s404的输入，多尺度注意力cnn的第四层为多尺度和注意力模块，具体操作为对输入分别进行3×3、5×5和7×7的卷积核，并在每一种尺度的卷积层后使用注意力机制对所得特征进行权重分配，以进一步提高模型对输入数据的特征抽取和分析能力；

18、s405:s404的输出作为s405输入，通过多尺度注意力cnn的第5层为卷积核大小为3×3，通道数为16的卷积层，第6层具有256个神经元的全连接层，第7层则是具有类别数神经元的全连接层。

19、s406:s405的输出作为s405的输入，多尺度注意力cnn第8层为softmax将数据取值范围变为(0,1)，并进行分类。

20、优选的，所述s401具体包括：

21、s4011:初始化流量信息交互图每一个节点的特征hv＝{1,...,1}，其中v表示第v个节点；

22、s4012:根据流量信息交互图对输入流量进行k跳邻域信息汇聚并进行节点嵌入；

23、s4013:根据节点嵌入信息和流量特征得到最终的输出特征；

24、本发明的有益效果：

25、研究了一种自动汇聚邻居特征并深度挖掘其隐含特征的入侵检测方法。方法从图的角度挖掘流量之间的隐藏关系，并使用计算机视觉的方法采用cnn进行特征的进一步提取，避免了手工提取特征。通过在cnn中添加注意力和多尺度提升模型的区分能力，并更好地捕捉流量中的关键信息，从而提高对复杂场景的理解和分类性能。

技术特征：

1.一种基于e-graphsage和多尺度注意力cnn的入侵检测方法，其特征在于，包括：

2.根据权利要求1所述的基于e-graphsage和多尺度注意力cnn网络入侵检测模型，其特征在于，所述数据集为为unsw-nb15数据集，其中包含10个类别标签(1个正常标签，9个异常标签)。

3.根据权利要求1所述的基于e-graphsage和多尺度注意力cnn的入侵检测方法，其特征在于所述的步骤s2包括：

4.根据权利1所述的一种基于e-graphsage和多尺度注意力cnn的入侵检测方法，其特征在于步骤s4包括：

5.根据权利4所述的基于e-graphsage和多尺度注意力cnn的入侵检测方法，其特征在于，所述s401具体包括：

技术总结
本发明公开发表了一种基于E‑GraphSAGE和多尺度注意力CNN的入侵检测方法，该方法属于网络安全领域。本方法对网络流量数据进行数据缺失值处理，数值化，标准化，构建流量信息交互图，降低模型的训练负担。将处理好的数据和流量信息交互图输入到E‑GraphSAGE以聚合流量的邻居特征，结果转化图像格式输入到具有注意力机制的多尺度CNN中，通过计算机视觉的方法得到分类结果。本方法可以有效的检测异常信息，降低误报的出现，提高检测的准确率。

技术研发人员：王嘉勋,廖年冬,樊和均
受保护的技术使用者：长沙理工大学
技术研发日：
技术公布日：2024/3/4