[发明专利]一种基于复杂网络和图神经网络的僵尸网络检测方法

说明书

本发明公开了一种基于复杂网络和图神经网络的僵尸网络检测方法，解决了目前的方法通常需要具备较好的恶意脚本、恶意软件静态分析和动态分析能力，同时目前对于未知僵尸网络及相关僵尸网络变种检测能力不足的技术问题，本发明将流量解析数据转为图数据，通过复杂网络技术提取节点相关特征值，再以图神经网络构建模型学习数据中的属性信息和结构信息。该方法摆脱了以往基于机器学习的僵尸网络检测方法无法发现结构信息的弊端，以及单纯基于图神经网络而未对流量解析数据进行深入的特征工程而丢失结构信息的缺陷。本发明的方法可作为僵尸网络综合检测系统的重要组成部分，以提高未知僵尸网络及其变种的检测精确率。

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于复杂网络和图神经网络的僵尸网络检测方法。

背景技术

僵尸网络以远程控制木马为基础，可被黑客用来发动DDoS、窃密、挖坑、垃圾邮件等网络攻击，对国家、组织和个人的安全危害极大，随着攻防对抗的不断演化，该方向的研究一直是重点也是难点。

目前检测僵尸网络的技术主要包括入侵检测系统(IDS,Instruction DetectionSystem)、蜜罐技术和DNS流量分析。其中入侵检测系统大多基于开源Snort系统，再额外配置各自研发的安全策略，对网络和系统的运行进行监测，尽量及时的发现各类网络攻击，并锁定感染主机，生成相关告警信息。IDS检测规则主要根据HTTP协议的User-Agent请求头，其基本原理是僵尸网络感染主机后寻找其它目标进行扫描的时候会带上该请求头，每一种僵尸网络的请求头特征都不同，所以这种检测方式不通用，并且由于IDS规则语法比较简单，当僵尸网络流量涉及到比较复杂的检测逻辑或未曾见的僵尸网络特征就很难检测出来。蜜罐技术通过精心布置被攻击的目标引诱攻击，一旦攻击者入侵后，就可以对攻击进行一定程度的溯源，但要使该技术效果较好，需要大量的部署，并且容易被高级黑客作为攻击跳板。

这些技术都是从传统网络安全的角度去定点深入分析单个僵尸网络，以提取相关特征形成规则，再将规则应用到入侵检测、蜜罐和DNS分析等系统中进行检测，但此类方法通常需要具备较好的恶意脚本、恶意软件静态分析和动态分析能力，同时目前对于未知僵尸网络及相关僵尸网络变种检测能力不足。

另一方面，基于机器学习的僵尸网络检测研究虽然从一定程度上提高了检出率，和对未知僵尸网络和相关僵尸网络变种的检测能力，但大多还是基于诸如支持向量机、随机森林等传统的机器学习算法，限制了模型的学习能力，特别是对于特征纬度较多的流量数据，基于浅学习、属性学习算法的模型检测已遇到技术上的瓶颈。

同时，目前较为前沿的基于图神经网络的僵尸网络检测模型，未对流量解析数据进行深入的特征工程，丢失了原始数据中部分结构信息，从一定程度上限制了检测模型精确率的提升，另外该模型使用基础图卷积和图注意力机制模型，当面对海量的实际流量数据时，由于计算复杂度而使得其缺乏实用性和落地价值。

僵尸网络(Botnet)：是指采用一种或多种传播手段，使大量主机干扰僵尸程序，从而在控制者和被感染主机(僵尸主机或肉鸡)之间所形成的一对多控制的网络。僵尸网络以远程控制木马为基础，可以被黑客用来发动诸如分布式拒绝服务攻击(DistributedDenial of Services)、海量垃圾邮件等大规模网络攻击、挖矿、盗取诸如机密信息、个人隐私等信息，对国家、组织和个人的安全造成极大的危害。

图神经网络：旨在通过人工神经网络的方式将图和图上的节点与边映射到一个低维空间，学习图和节点的低维向量表示，是图嵌入或图表示学习的一种。

复杂网络：是指具有自组织、自相似、吸引子、小世界、无标度中部分或全部性质的网络。其主要表现有结构复杂、网络进化、连接多样性、动力学复杂性和节点多样性。

发明内容

本发明的目的是提供一种基于复杂网络和图神经网络的僵尸网络检测方法，可作为僵尸网络综合检测系统的重要组成部分，大大提高了未知僵尸网络及其变种的检测精确率。