[发明专利]一种基于图卷积网络的入侵警报消息的关联方法

权利要求书

1.一种基于图卷积网络的入侵警报消息关联方法，其特征在于，具体包括以下步骤：

(1)收集入侵检测反馈的警报消息，并打上攻击类别的标签，所述警报消息分为分类属性和数值属性，通过Min-Max scaling将所述数值属性进行归一化操作，转换到[0,1]的范围内，得到归一化数值属性；将所述分类属性进行独热编码，随后将归一化数值属性和独热编码拼接成特征向量；

(2)根据步骤(1)收集的警报消息构建警报消息图G_ag＝(V,E)，其中，V代表所述警报消息图中的节点，每个节点均表示一个单独的警报消息，由步骤(1)获得的特征向量表示；E代表所述警报消息图中的边，边代表边两侧的警报消息的基本属性相似度超过0.8；(3)将步骤(1)编码的特征向量和步骤(2)构建的警报消息图同时输入到图卷积神经网络，训练图卷积神经网络，通过交叉熵损失函数将警报消息攻击类别的标签和预测概率值进行比较，当交叉熵损失函数收敛时，完成对图卷积神经网络的训练；

(4)再次收集入侵检测反馈的警报消息输入训练好的图卷积神经网络中，输出警报消息攻击类别的概率值。

2.根据权利要求1所述基于图卷积网络的入侵警报消息关联方法，其特征在于，当步骤(2)中警报消息的基本属性相似度通过相似度函数ξ(a_i,a_j)进行判断：

其中，n为警报消息中基本属性的个数，w^k为第k个基本属性的权重，和分别为第i个警报消息和第j个警报消息的第k个基本属性，表示两个警报消息关于第k个基本属性的相似度，当警报消息的基本属性为总的数据报长度、TTL、IP包长度、警报类型时，有：

其中，两个警报消息的第k个基本属性相等时，的值为1，否则为0。

3.根据权利要求2所述基于图卷积网络的入侵警报消息关联方法，其特征在于，当警报消息的基本属性为IP地址时，设置IP地址元组(src,dst)，如果两个警报消息中的IP地址元组相同，或者相反，则两个警报消息关于IP地址属性的相似度的值为1，否则为0。

4.根据权利要求2所述基于图卷积网络的入侵警报消息关联方法，其特征在于，当警报消息的基本属性为端口时，设置端口元组(srcport,dstport)，如果两个警报消息的端口元组相同或相反，则两个警报消息关于端口属性的相似度的值为1，否则为0。

5.根据权利要求1所述基于图卷积网络的入侵警报消息关联方法，其特征在于，步骤(4)所述交叉熵损失函数L为：

其中，p_i代表了攻击类别i的预测概率，q_i为该类别的标签，J为攻击类别的总数。