[发明专利]一种基于图神经网络的车联网入侵检测方法

权利要求书

1.一种基于图神经网络的车联网入侵检测方法，其特征在于，该方法具体包括以下步骤：

步骤S1：收集车联网流量数据，对原始流量数据进行预处理；

步骤S2：构建图生成模块，将预处理过的流量数据转化为图结构数据；

所述的图生成模块具体为：

S2.1：构建车辆通信图G：流量数据是由车辆ID标识，并通过一组提供流详细信息的字段进行注释，流量数据以图的形式表示：G＝(V,E)，其中节点集合V表示车辆，边集E代表车辆之间的通信流；将车联网入侵检测问题建模为一个边分类问题；

引入线图，基于车辆通信图G生成相应的流量连通图G_L；

S2.2：构建流量连通图G_L：G_L＝(V_L,E_L)表示相应的流量连通图，E_L表示G_L的边集，代表流量之间的相关性，那么G_L的节点集是G的边集，即V_L＝{(v_i,v_j)∈E}且|V_L|＝|E|，如果G中的两条边共享一个节点，则G_L中存在一条边；G_L的边集用邻接矩阵表示

流量连通图的属性特征定义为其中N表示流量的条数，F表示流量的特征维度，借助流量连通图G_L，车联网入侵检测问题转化为节点分类问题；

步骤S3：构建图神经网络模块，将上述图结构数据输入到图神经网络模块中，提取流量的结构特征和属性特征信息；

步骤S4：将提取的特征信息通过Softmax层输出概率分布，根据相关指标对模型进行性能评估。

2.根据权利要求1所述的一种基于图神经网络的车联网入侵检测方法，其特征在于：

所述的步骤S1预处理包括：

S1.1：数据清洗：消除冗余特征，用平均值代替Nan，用最大值代替Inf；

S1.2：特征数值化：使用python中get dummies函数将分类特征转换为数值特征；

S1.3：特征标准化：由于数据各个特征的尺度不同，为了消除特征间尺度差异的影响，对特征进行标准化处理。

3.根据权利要求1所述的一种基于图神经网络的车联网入侵检测方法，其特征在于：所述的图神经网络模块为GraphSAGE模块。

4.根据权利要求3所述的一种基于图神经网络的车联网入侵检测方法，其特征在于：所述的构建GraphSAGE模块，具体操作为：

S3.1：根据构建的流量连通图的结构特征A_L和属性特征X_L，针对每个流量节点从其相邻节点集合随机均匀采样固定数量的节点来进行聚合特征，采样的邻居数为S_k，如果实际邻居数小于S_k，则使用带回放的采样方法，如果实际邻居数大于S_k，则使用不带回放的采样方法；

S3.2：选择池化聚合函数来聚合相邻节点的特征，池化函数是对称的，因为要确保输出不随节点的顺序而变化，即AGG(v₁,v₂)＝AGG(v₂,v₁)；

第k层的池化聚合函数定义为:

其中代表节点v_i的邻居集合在经GraphSAGE提取的第k-1层的聚合特征，σ表示非线性激活函数，W表示要训练的权重矩阵，b表示偏置量；公式解析为先将所有前一层相邻节点的聚合特征通过一个全连接层，再利用非线性激活函数，最后使用最大池化聚合；

则第k层的相邻节点的聚合信息表示为:

S3.3：将聚合生成的相邻节点的表示向量与中心节点前一层的特征合并，最后输入到一个全连接层，更新中心节点v_i的特征向量，并对其进行规范化：

对车联网中所有流量节点进行K层GraphSAGE聚合后，对于每个流量节点v_i得到该节点的聚合特征表示捕获其K-hop邻域中的信息。

5.根据权利要求1所述的一种基于图神经网络的车联网入侵检测方法，其特征在于：所述的将提取的特征信息通过Softmax层输出概率分布，根据相关指标对模型进行性能评估，具体为：

根据Softmax层将GraphSAGE模块的输出结果转化成概率分布，具有最高概率所属的类别被视为模型的预测类；经过多次迭代训练后通过计算模型输出的预测值与真实标签的交叉熵损失执行反向传播和更新权重，使用Adam模型优化器不断优化模型参数，使损失达到最小，权重收敛，得到最优的模型参数；然后采用测试集测试模型，获得流量的类别预测值，并根据相关指标对模型性能进行评估，相关指标计算如下：

其中TP表示正确预测的攻击流量数，FN表示错误识别为正常的攻击流量数，FP表示错误识别为攻击的正常流量数。