[发明专利]一种基于GraphSAGE的恶意DoH流量检测方法、系统

权利要求书

1.一种基于GraphSAGE的恶意DoH流量检测方法，其特征在于，包括：

S1、获取自带流量类型的PCAP流量数据并进行处理，提取特征数据；

S2、将提取的特征数据转换为图数据；

S3、利用图数据训练GraphSAGE图神经网络；

S4、使用Wireshark工具捕获部分PCAP流量数据，将其作为待检测流量，提取特征数据，并转换为图数据；

S5、将步骤S4中的图数据输入到训练完成的GraphSAGE图神经网络中，根据待检测流量中恶意DoH流量和正常DoH流量的数量比例设定阈值，并与图神经网络输出的数值结果进行比较，若小于阈值则为恶意DoH流量，检测结果反馈为1；若大于阈值则为正常DoH流量，检测结果反馈为0。

2.根据权利要求1所述的基于GraphSAGE的恶意DoH流量检测方法，其特征在于，步骤S1中，提取特征数据的具体步骤为：

S101、收集网络安全公开数据集，根据数据集中的网络流量数据自带的类型标签，将数据分为正常DoH流量和恶意DoH流量，分别存储为PCAP流量数据，使用Wireshark对PCAP流量数据进行解析，过滤筛选出使用TCP和UDP作为传输协议的流数据，TCP流以FIN标志位作为结束标志，UDP流对响应时间进行限定作为结束标志；

S102、根据流量数据的五元组将流量数据划分为不同的流量集合，在每个流量集合中，将第一条流量数据的源IP和目的IP的流向方向作为正向流，其余流量数据与第一条流量数据的流向方向相同则为正向流，不同则为反向流；

每个方向流的每条流量数据通过与前后两条流量数据的计算推断出该流量数据的信息数据，并将其与Wireshark中每条流量数据的相关协议信息数据合并作为流量的特征数据，去除缺失值后对统计特征进行归一化操作，将统计特征和IP、端口、标签按流量数据特征格式组合；

其中，双向流的信息数据包括：流量包的大小数值，每两个流量包之间所用的时间，流量包的数量，流量数据的持续时间，流量数据的字节数，两个流量数据之间所用的时间；其中每个信息数据都分为正向流和反向流两类数据；

S103、所述流量特征数据的表达格式为：[SourceIP，SourcePort，DestinationIP，DestinationPort，特征，标签]；

其中，SourceIP表示源IP；SourcePort表示源端口号；DestinationIP表示目的IP；DestinationPort表示目的端口号；特征表示归一化处理后的流量特征数据；标签表示流量的类型，若为1则表示是恶意DoH流量，若为0则表示是正常DoH流量。

3.根据权利要求2所述的基于GraphSAGE的恶意DoH流量检测方法，其特征在于，步骤S2中，将特征数据转换为图数据的具体内容为：

节点定义如下：

N＝(node_name，node_feature)

其中，node_name表示该节点的名称，由IP和对应的端口号组成的二元组表示；node_feature表示节点的特征向量，经过初始化后由GraphSAGE图神经网络经过邻域采样得到；

边定义如下：

E＝(edge_feature,edge_label)

其中，edge_feature表示流量的特征数据，edge_label表示所标注的流量类型；

图数据的表达形式为：

G＝(N_s，N_d，E)

其中，N_s表示图的起点，则node_name是由SourceIP和SourcePort组成的节点；N_d表示图的终点，则node_name是由DestinationIP和DestinationPort组成的节点；

将数据按照节点定义和边定义填充后，使用第三方图形库创建空的图对象，将N_s和N_d分别作为图的起点和终点填入，对节点的特征向量进行初始化，E作为边的特征向量参与GraphSAGE图神经网络的邻域采样。