[发明专利]一种基于GraphSAGE的恶意DoH流量检测方法、系统

说明书

本发明公开了一种基于GraphSAGE的恶意DoH流量检测方法、系统，涉及网络信息安全领域。该方法包括：获取自带流量类型的PCAP流量数据并进行处理，提取流量的流级特征和包级特征；将提取的特征数据转换为图数据；采用图数据对GraphSAGE图神经网络进行训练；提取部分PCAP流量数据的特征，将其作为待检测流量，提取特征数据，并转换为图数据，输入训练好的GraphSAGE图神经网络，并判断是否是恶意DoH流量。本发明提出的检测方法提高了训练效率，减少了内存消耗，并无需对加密流量解密。

技术领域

本发明属于网络信息安全领域，具体涉及一种基于GraphSAGE的恶意DoH流量检测方法、系统。

背景技术

DNS over HTTPS使用安全的HTTPS协议运行DNS，与单独使用DNS协议相比，DoH增强用户的安全性和隐私性。通过使用加密的HTTPS连接，第三方将不再影响或监视解析过程，因此无法查看请求的URL并对其进行更改。若数据在传输过程中发生丢失时，DoH中的TCP协议会做出更快的反应。DoH先天具备极高的隐私性，导致现有流量检测方法无法准确识别出全部的恶意DoH流量。

目前的方法是在非解密的情况下，提取流量数据的IP、端口、流级特征和包级特征，利用机器学习或深度学习的方式来检测流量中的恶意流量。

通过机器学习方法检测恶意流量，首先获取恶意流量和正常流量，制定特征提取规则后提取特征，构建特征矩阵以及训练集，建立机器学习模型如树模型等，将训练集输入机器学习模型中，训练完成后使用该模型进行恶意流量检测。该方法的不足之处是：在提取特征后，需要不断测试选择出最优的特征组合，在这一过程中，耗费大量的时间和人力。

通过深度学习方法检测恶意流量，该方法与机器学习类似，区别在于建立训练网络时，采用神经元的方式互联，常用深度神经网络、一维卷积神经网络和长短期记忆网络等。该方法不足之处是：深度学习模型的训练需要大量的有效数据来进行学习，数据量过小会导致过拟合，同时深度学习模型的泛化能力较差，适用环境需要与训练环境数据分布保持一致。

除此之外，现有的机器学习方法和深度学习方法忽略以IP地址为表征的实体及其关系，在建模过程中，为避免模型过拟合，通常对IP和端口信息进行删除处理。本发明以IP和端口信息为基础建立节点，构建出节点之间的关系，形成图数据进行训练，提高训练效率并降低了内存消耗。

发明内容

本发明所要解决的技术问题是：提出了一种基于GraphSAGE的恶意DoH流量检测方法、系统，能够挖掘流量在传输层的统计特征，保留以IP地址为表征的实体及其关系，在非破密的情况下准确地判断DoH流量是否为恶意流量。

本发明为解决上述技术问题采用以下技术方案：

本发明提出的一种基于GraphSAGE的恶意DoH流量检测方法，包括以下步骤：

S1、获取自带流量类型的PCAP流量数据并进行处理，提取特征数据。

S2、将提取的特征数据转换为图数据，表示为G＝(N_s，N_d，E)，其中N_s为图的起点，N_d为图的终点，E为边。

S3、利用图数据训练GraphSAGE图神经网络。

S4、使用Wireshark工具捕获部分PCAP流量数据，将其作为待检测流量，提取特征数据，并转换为图数据。

S5、将步骤S4中的图数据输入到训练完成的GraphSAGE图神经网络中，根据待检测流量中恶意DoH流量和正常DoH流量的数量比例设定阈值，并与图神经网络输出的数值结果进行比较，若小于阈值则为恶意DoH流量，检测结果反馈为1；若大于阈值则为正常DoH流量，检测结果反馈为0。

进一步的，所述步骤S1中，提取特征数据的具体步骤为：