一种自适应干扰的网络恶意流量检测防御方法

技术领域

本发明涉及网络安全技术、数据隐私保护领域，具体涉及一种自适应干扰的网络恶意流量检测防御方法。

背景技术

现如今，随着网络技术的不断发展，软件定义网络作为一种能够适宜网络规模不断增长趋势的新计算机网络架构，得到广泛部署和应用。相较于传统网络，软件定义网络使用基于流的概念来识别网络流量，通过转发控制分离。提高了网络管理灵活性。然而，软件定义网络同样面对恶意流量的威胁，例如网络渗透、网络流量欺诈、网络入侵等，这些恶意流量行为通常以未经许可的方式入侵、干扰或抓取未经许可的业务数据或信息。总而言之，在网络空间安全领域中，恶意流量检测一直是一个热点问题。

目前，为了解决软件定义网络恶意流量检测问题，有很多现有的技术被提出用以解决恶意流量检测问题。这些技术主要分为两大类，基于密码学的流量检测保护以及基于机器学习方法的流量检测保护。基于密码学的流量检测保护主要有密文检索技术和深度报文检测技术，这种方法通常由理论保障，然而，不同的加密方式会产生不同的特征，当前尚无通用方法能够应用于所有类型的加密流量。基于机器学习方法的流量检测保护如恶意特征识别，通常识别效果严重依赖于样本数量和质量，并且存在无法有效应对混淆和整形后的流量的问题。

同样的，入侵者往往会根据恶意流量检测结果来调整其网络攻击以逃避现有的检测方案，以最大化效益，流量异常的性质也会随着时间的推移而不断变化。

发明内容

针对现有技术准确度较低、计算复杂度较高、数据依赖性较强等问题，本发明提出了一种自适应干扰的网络恶意流量检测防御方法。通过为软件定义网络图各节点控制器上传决策数据给全局控制器之前对原始流量信息进行重构，可以有效保证子节点流量预测准确性的前提下，自适应更新网络路由规则，动态调整链路节点流量分布，从而起到防御恶意流量检测的作用。

为实现上述发明目的，本发明提供的技术方案为：一种自适应干扰的网络恶意流量检测防御方法，包括以下步骤：

(1)初始化软件定义网络中节点控制器上的循环神经网络RNN和图神经网络GNN模型，并初始化原始流量矩阵，各个节点控制器i加载原始流量矩阵X

(2)通过图神经网络GNN和循环神经网络RNN提取流量特征；

(3)选取干扰噪声向量，训练生成对抗网络GANs中的生成器G(ω)，利用生成器将干扰噪声向量转化生成特定噪声P

(4)将步骤(2)输出的流量特征和步骤(3)输出的扰动的流量特征F

同时将扰动流量消息特征向量与原始流量消息特征向量输入鉴别器D(ψ)，将扰动的流量特征F

所述鉴别器损失函数loss为：

其中，M(·)为客户端子模型，D(·)为鉴别器模型，m表示样本数量。

重复前述步骤(3)～(4)，直至鉴别器D(ψ)和生成器G(ω)都收敛，即步骤(2)输出的流量特征和步骤(3)输出的扰动的流量特征F

(5)将步骤(3)输出的扰动的流量特征F

进一步地，所述软件定义网络包括应用层、控制层、基础设备层；所述控制层包括i个节点控制器和全局控制器网络；所述应用层为软件定义网络的数据中心，协同控制i个节点控制器，并监控全局控制器网络；所述基础设备层为节点控制器下的若干联网设备，包括基础设备和路由器。

进一步地，所述路由网络由一组链接表示：N＝{l

进一步地，所述步骤(2)具体包括以下子步骤：

(2.1)利用图神经网络GNN提取图网络结构流量特征：将原始流量矩阵X

所述路径状态

所述链路状态

其中，

(2.2)利用循环神经网络RNN对链路流量消息进行聚合预测：

利用循环神经网络RNN对路由网络中的链路流量消息进行聚合，捕捉该链路流量消息的依赖关系，收集在每个节点控制器中接受的任意数量的流量消息。并将这些流量消息压缩成固定维度的数组，即隐藏状态；所述隐藏状态中都代表一个包含链接状态

进一步地，所述步骤(3)具体包括以下子步骤：

(3.1)从先验分布P

(3.2)利用生成器G(ω)生成特定噪声：将步骤(3.1)初始化后的噪声输入生成器G(ω)前向传播获得输出特定噪声并进行降维操作。所述输出的特定噪声P

(3.3)特定噪声P

X

将扰动流量矩阵X

进一步地，所述步骤(5)具体包括以下子步骤：

(5.1)全局控制器聚合扰动的流量特征F

(5.2)将图卷积神经网络GCN作为路由决策模型，将步骤(5.2)聚合完成的决策流量数据F

本发明的有益成果主要体现在：

(1)本发明中的各个节点控制器所有扰动加密操作均在节点控制器本地完成，因此整个扰动加密操作具有隐私性，避免中间操作过程中网络恶意流量的检测泄露。

(2)本发明利用自适应干扰方法来实现对恶意流量测绘的防御目标主要分为两个方面，一个方面是原始流量矩阵上所叠加的扰动噪声，使扰动流量矩阵在流量数量级上很难和原始流量矩阵进行区分；另一方面扰动干扰下的扰动流量矩阵在预测模型的流量特征输出中，本发明节点控制器通过添加扰动噪声生成的扰动流量矩阵，相较于原始流量特征差异分布，在流量特征分布上具有不相似性，即使存在恶意攻击者窃取利用网络流量数据，也无法获取未扰动流量特征信息，因此保证了原始流量的隐蔽性。

(3)本发明中的扰动流量矩阵和原始流量矩阵在预测模型输出的隐藏状态差异大，全局控制器可以反向传播更新网络路由规则，因此保证全局控制器可以自适应更新网络路由规则，链路可以自适应地动态调节流量分布方式，避免恶意攻击持续有效作用。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动前提下，还可以根据这些附图获得其他附图。

图1是本发明实施例提供的自适应干扰的网络恶意流量检测防御方法的示意图

图2是本发明实施例提供的自适应干扰的网络恶意流量检测防御方法中的生成扰动流量的流程图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例对本发明进行进一步的详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不限定本发明的保护范围。

鉴于现有技术中存在的问题和不足，本发明提供了一种自适应干扰的网络恶意流量检测防御方法。具体技术构思为：本发明提供的自适应干扰的网络恶意流量检测防御方法，通过对原始流量矩阵添加扰动噪声进行流量数据脱敏，利用自适应干扰技术保证网络路由动态更新。

图1为本发明实施例提供的自适应干扰的网络恶意流量检测防御方法的示意图，具体包括以下步骤：

(1)初始化软件定义网络，所述软件定义网络包括应用层、控制层、基础设备层；所述控制层包括i个节点控制器和全局控制器网络；所述应用层为软件定义网络的数据中心，协同控制i个节点控制器，并监控全局控制器网络；所述基础设备层为节点控制器下的若干联网设备，包括基础设备和路由器。具体包括以下子步骤：

(1.1)初始化节点控制器上的网络模型：初始化节点控制器的循环神经网络RNN和图神经网络GNN的训练轮数R，全局控制器网络及其初始化参数，所述全局控制器网络的初始化参数包括节点控制器上传的嵌入流量向量维度N，和模型学习率r，并初始化当前训练轮次t＝0。

(1.2)初始化原始流量矩阵：各个节点控制器i加载原始流量矩阵X

所述路由网络可以由一组链接表示：N＝{l

(2)通过图神经网络GNN和循环神经网络RNN提取流量特征，具体包括以下子步骤：

(2.1)利用图神经网络GNN提取图网络结构流量特征：

将原始流量矩阵X

所述链接状态

所述路径状态

所述链路状态

其中，

(2.2)利用循环神经网络RNN对链路流量消息进行聚合预测：

利用循环神经网络RNN对路由网络中的链路流量消息进行聚合，在可变大小序列中捕捉该链路流量消息的依赖关系，收集在每个节点实体控制器中接受的任意数量的流量消息。并将这些流量消息压缩成固定维度的数组，即隐藏状态。

对于输入序列i

(o

其中，o

所述隐藏状态中都代表一个包含链接状态

(3)如图2所示，选取干扰噪声向量，训练生成对抗网络(GANs)中的生成器G(ω)模型，利用生成器将干扰噪声向量转化生成特定噪声，具体包括以下子步骤：

(3.1)从先验分布P

从先验分布P

(3.2)利用生成器G(ω)生成特定噪声：将步骤(3.1)初始化后的噪声输入生成器G(ω)前向传播获得输出特定噪声并进行降维操作。所述输出的特定噪声P

(3.3)特定噪声p

X

将扰动流量矩阵X

(4)将步骤(2)输出的流量特征和步骤(3)输出的扰动的流量特征F

同时将扰动流量消息特征向量与原始流量消息特征向量输入鉴别器D(ψ)，将扰动的流量特征F

鉴别器损失函数loss为：

其中，M(·)为客户端子模型，D(·)为鉴别器模型，m表示样本数量。

重复前述步骤(3)～(4)，直至鉴别器D(ψ)和生成器G(ω)都收敛，即步骤(2)输出的流量特征和步骤(3)输出的扰动的流量特征F

(5)将步骤(3)输出的扰动的流量特征F

(5.1)全局控制器聚合扰动的流量特征F

(5.2)将图卷积神经网络GCN作为路由决策模型，利用全局控制器训练路由决策模型：

将步骤(5.2)聚合完成的决策流量数据F

实施例中，在训练节点控制器模型和全局控制器模型过程中，使得部分神经元失活，即将神经元失活参数dropout设置为0.5，减少隐层节点间的相互作用，进一步避免模型过拟合现象的发生。

综上，本发明中的各个节点控制器所有扰动加密操作均在节点控制器本地完成，因此能够保证整个扰动加密操作具有隐私性，避免中间操作过程中网络恶意流量的检测泄露。本发明利用自适应干扰方法来实现对恶意流量测绘的防御目标主要分为两个方面，一个方面是原始流量矩阵上所叠加的扰动噪声，使扰动流量矩阵在流量数量级上很难和原始流量矩阵进行区分；另一方面扰动干扰下的扰动流量矩阵在预测模型的流量特征输出中，本发明节点控制器通过添加扰动噪声生成的扰动流量矩阵，相较于原始流量特征差异分布，在流量特征分布上具有不相似性，即使存在恶意攻击者窃取利用网络流量数据，也无法获取未扰动流量特征信息，保证了原始流量的隐蔽性。本发明中的扰动流量矩阵和原始流量矩阵在预测模型输出的隐藏状态差异大，全局控制器可以反向传播更新网络路由规则，因此保证全局控制器可以自适应更新网络路由规则，链路可以自适应地动态调节流量分布方式，避免恶意攻击持续有效作用。

以上所述的具体实施方式对本发明的技术方案和有益效果进行了详细说明，应理解的是以上所述仅为本发明的最优选实施例，并不用于限制本发明，凡在本发明的原则范围内所做的任何修改、补充和等同替换等，均应包含在本发明的保护范围之内。