P2P僵尸网络因具有较高的隐蔽性和健壮性,已经成为新型的网络攻击平台,对网络空间安全造成的威胁越来越大,但现有基于规则分析或流量分析的检测方法不能有效检测.为了解决P2P僵尸网络隐蔽性强、难以识别等问题,提出了一种基于图神经网络(graph neural network,GNN)的P2P僵尸网络检测方法.该方法不依赖流量协议特征,而是基于P2P僵尸网络节点交互特征及网络拓扑结构信息实现检测.首先,该方法先提取P2P僵尸网络流量中的源IP、目的IP、出度、入度和节点介数中心性,构建成拓扑图、出入度图和介数中心性图;其次,通过元素积对3种特征图的邻接矩阵加权求和进行图融合,得到检测模型的输入;然后,利用基于注意力机制的图卷积神经网络提取节点间特征,使用神经协同过滤算法实现中心节点注意力概率分配,完成节点状态更新;最后,利用多层图卷积层之间的紧密连通性实现对交互特征的降维抽取和对高阶结构信息的挖掘,自动学习僵尸网络的内在特征,并通过节点分类模块判别分类,完成僵尸网络检测.使用ISCX-2014僵尸网络数据集对该方法进行对比验证,实验结果表明,在训练样本包含僵尸网络节点规模较大时本文提出的深层图神经网络方法的检测准确率和模型稳定性优于其他两类对比方法,所提方法能有效提高P2P僵尸网络检测能力和泛化能力,降低误报率.

P2P僵尸网络;深度学习;图卷积神经网络;图融合;注意力机制

林宏刚;张运理;郭楠馨;陈麟

成都信息工程大学 网络空间安全学院,四川 成都 610225;先进密码技术与系统安全四川省重点实验室,四川 成都 610225;网络空间安全态势感知与评估安徽省重点实验室,安徽 合肥 230037

工程科学与技术

[1]林宏刚;张运理;郭楠馨;陈麟-.基于图神经网络的P2P僵尸网络检测方法)[J].工程科学与技术,2022(02):65-72

图神经网络,P2P,僵尸网络,网络检测,隐蔽性,健壮性,网络攻击,网络空间安全,基于规则,流量分析,有效检测,graph,neural,network,GNN,不依,网络节点,点交,交互特征,网络拓扑结构,结构信息,网络流量,出度,入度,节点介数,介数中心性,拓扑图,出入,特征图,邻接矩阵,加权求和,图融合,检测模型,注意力机制,图卷积神经网络,神经协同过滤,协同过滤算法,算法实现,中心节点,点状,状态更新,多层图,卷积层,连通性,自动学习,内在特征,过节,节点分类,ISCX,网络数据,对比验证,训练样本,规模较,神经网络方法,检测准确率,模型稳定性,比方,检测能力,泛化能力,低误报率

0.366809