當(dāng)前位置: 首頁 > 專利查詢>內(nèi)蒙古工業(yè)大學(xué)專利>正文

基于歷史數(shù)據(jù)和GCN的入侵檢測模型和方法技術(shù)

技術(shù)編號：44273025 閱讀：4 留言：0更新日期：2025-02-14 22:13

本申請涉及工業(yè)互聯(lián)網(wǎng)的入侵檢測技術(shù)領(lǐng)域，公開了一種基于歷史數(shù)據(jù)和GCN的入侵檢測模型和方法，通過將多視圖時序數(shù)據(jù)饋送至嵌入模塊并輸出嵌入結(jié)果，將嵌入結(jié)果和多個圖像數(shù)據(jù)饋送至多視圖時空模塊，多視圖時空模塊為任意個，每個多視圖時空模塊的輸入都是上一個多視圖時空的輸出以及多個圖像數(shù)據(jù)，這樣可以防止圖神經(jīng)網(wǎng)絡(luò)的過渡平滑，經(jīng)過多視圖時空模塊處理后，得到多個預(yù)測信息，將多個預(yù)測信息連接在一起并輸入至輸出模塊中，以輸出預(yù)測結(jié)果。通過將時間和空間信息從多個視圖中挖掘，可以交叉利用不同數(shù)據(jù)形成的空間依賴關(guān)系，并且捕獲了時間和空間視圖之間的相互作用，這樣可以實現(xiàn)對于長序列的日志和流量數(shù)據(jù)的精準(zhǔn)檢測。

全部詳細(xì)技術(shù)資料下載

【技術(shù)實現(xiàn)步驟摘要】

本申請涉及工業(yè)互聯(lián)網(wǎng)的入侵檢測，特別涉及一種基于歷史數(shù)據(jù)和gcn的入侵檢測模型和方法。

技術(shù)介紹

1、數(shù)字化技術(shù)的運用賦能工業(yè)互聯(lián)網(wǎng)實現(xiàn)全面感知與高度智能化運行，強化源、網(wǎng)、荷、儲各環(huán)節(jié)間的靈活協(xié)調(diào)、互聯(lián)互通，但同時也給工業(yè)互聯(lián)網(wǎng)帶來網(wǎng)絡(luò)安全風(fēng)險，對現(xiàn)有技術(shù)架構(gòu)和安全防護(hù)體系產(chǎn)生沖擊。

2、目前，針對工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)風(fēng)險感知技術(shù)仍存在不足。現(xiàn)有的入侵檢測方法主要有基于規(guī)則的、基于序列和圖匹配檢測方法?；谝?guī)則的檢測方法，主要是根據(jù)惡意行為總結(jié)規(guī)律，比如權(quán)限低的進(jìn)程訪問權(quán)限高的進(jìn)程、下載包含不安全信息的文件等，對日志數(shù)據(jù)打標(biāo)簽，可以有效識別攻擊行為?；谛蛄械臋z測方法是將日志數(shù)據(jù)通過會話、靜態(tài)時間窗口或動態(tài)時間窗口將日志數(shù)據(jù)分為一系列的日志行為數(shù)據(jù)，然后通過無監(jiān)督或監(jiān)督學(xué)習(xí)方法識別攻擊行為?；趫D匹配的檢測方法是將惡意行為構(gòu)建為圖的表示形式，然后和日志數(shù)據(jù)的溯源圖進(jìn)行圖節(jié)點和結(jié)構(gòu)對比，超過一定閾值即為攻擊行為。以上方法雖然都能夠?qū)θ肭址椒ㄟM(jìn)行檢測，但是現(xiàn)有的檢測方法無法利用不同數(shù)據(jù)形式形成的空間依賴關(guān)系，因此雖然在短期預(yù)測效果較好，但是對于長序列的處理能力不夠，檢測準(zhǔn)確率較低。

技術(shù)實現(xiàn)思路

1、本申請?zhí)峁┝艘环N基于歷史數(shù)據(jù)和gcn的入侵檢測模型，旨在解決現(xiàn)有技術(shù)中的檢測方法無法利用不同數(shù)據(jù)形式形成的空間依賴關(guān)系，導(dǎo)致對于長序列的處理能力不夠，檢測準(zhǔn)確率較低的技術(shù)問題。

2、本申請?zhí)峁┝艘环N基于歷史數(shù)據(jù)和gcn的入侵檢測模型，包括：

3、輸入模塊，

4、嵌入模塊，用于獲取所述多視圖時序數(shù)據(jù)，并根據(jù)所述多視圖時序數(shù)據(jù)生成多個嵌入結(jié)果，并將多個嵌入結(jié)果和多個圖像數(shù)據(jù)饋送至多視圖時空模塊；

5、多個多視圖時空模塊，包括第一多視圖時空模塊、第二多視圖時空模塊，第三多視圖時空模塊、其中：

6、第一多視圖時空模塊，用于根據(jù)多個嵌入結(jié)果和多個圖像數(shù)據(jù)輸出對應(yīng)的多個時態(tài)信息以及多個空間依賴關(guān)系信息，并對多個時態(tài)信息和多個空間依賴關(guān)系信息進(jìn)行融合，得到第一融合信息，并將第一融合信息作為第一預(yù)測信息和多個圖像數(shù)據(jù)饋送至第二多視圖時空模塊；

7、第二多視圖時空模塊，用于根據(jù)第一預(yù)測信息和多個圖像數(shù)據(jù)生成第二預(yù)測信息，并將第二預(yù)測信息和多個圖像數(shù)據(jù)饋送至第三多視圖時空模塊；

8、第三多視圖時空模塊，用于根據(jù)第二預(yù)測信息和多個圖像數(shù)據(jù)生成對應(yīng)第三預(yù)測信息；

9、輸出模塊，用于根據(jù)多個多視圖時空模塊生成的第一預(yù)測信息、第二預(yù)測信息和第三預(yù)測信息生成預(yù)測結(jié)果。

10、作為優(yōu)選，多個粒度的歷史數(shù)據(jù)包括最近歷史數(shù)據(jù)、每天歷史數(shù)據(jù)以及每周歷史數(shù)據(jù)，所述歷史數(shù)據(jù)包括會話數(shù)據(jù)、按照時間窗口劃分的時間窗口時序數(shù)據(jù)以及按照鄰域劃分的鄰域時序數(shù)據(jù)，多個所述圖像數(shù)據(jù)包括多組圖像，每組圖像包括交互事件圖、時間窗口圖、鄰居信息圖。

11、作為優(yōu)選，所述嵌入模塊包括第一嵌入塊、第二嵌入塊和第三嵌入塊，其中：

12、所述第一嵌入塊用于獲取最近歷史數(shù)據(jù)，并根據(jù)最近歷史數(shù)據(jù)生成最近嵌入結(jié)果并饋送至多視圖時空模塊；

13、所述第二嵌入塊用于獲取每天歷史數(shù)據(jù)，并根據(jù)每天歷史數(shù)據(jù)生成每天嵌入結(jié)果并饋送至多視圖時空模塊；

14、所述第三嵌入塊用于獲取每周歷史數(shù)據(jù)，并根據(jù)每周歷史數(shù)據(jù)生成每周嵌入結(jié)果并饋送至多視圖時空模塊。

15、作為優(yōu)選，每個多視圖時空模塊均包括多視圖時間學(xué)習(xí)單元和第一視圖智能融合單元，其中：

16、多視圖時間學(xué)習(xí)單元用于根據(jù)多個最近嵌入結(jié)果、多個每天嵌入結(jié)果、多個每周嵌入結(jié)果分別生成多個最近時態(tài)信息、多個每天時態(tài)信息和多個每周時態(tài)信息；

17、第一視圖智能融合單元用于根據(jù)多個最近時態(tài)信息、多個每天時態(tài)信息和多個每周時態(tài)信息生成多個最佳融合比例以對多個最近時態(tài)信息、多個每天時態(tài)信息和多個每周時態(tài)信息進(jìn)行整合，得到多個時態(tài)信息。

18、作為優(yōu)選，每個多視圖時空模塊均包括多視圖空間學(xué)習(xí)單元和第二視圖智能融合單元，其中：

19、多視圖空間學(xué)習(xí)單元，用于根據(jù)每組圖像中的交互事件圖、時間窗口圖、鄰居信息圖挖掘圖像關(guān)系信息，并生成對應(yīng)的三個挖掘結(jié)果，并將三個挖掘結(jié)果輸出至下一個多視圖融合模塊；

20、第二視圖智能融合單元，用于根據(jù)多個時態(tài)信息生成對應(yīng)的注意力系數(shù)，并根據(jù)注意力系數(shù)對多視圖學(xué)習(xí)單元生成的挖掘結(jié)果進(jìn)行視覺融合操作，得到融合信息。

21、作為優(yōu)選，所述第二視圖智能融合單元，用于將多個時態(tài)信息作為多個節(jié)點映射至關(guān)鍵子空間，并計算關(guān)鍵子空間中每一層中每個節(jié)點的關(guān)注分?jǐn)?shù)，其中，計算公式為：

22、

23、其中，i表示關(guān)鍵子空間中節(jié)點的編號，其中，i＝1,2,3…，表示關(guān)鍵子空間中第l層中第i個節(jié)點的關(guān)注分?jǐn)?shù)，表示關(guān)鍵子空間中輸入的第l層中第i個節(jié)點的挖掘結(jié)果，w表示可訓(xùn)練的權(quán)重矩陣，u表示查詢向量；

24、還用于根據(jù)關(guān)注分?jǐn)?shù)計算關(guān)鍵子空間中每一層中每個節(jié)點的注意力系數(shù)，其中，計算公式為：

25、

26、其中，i表示關(guān)鍵子空間中節(jié)點的編號，其中，i＝1,2,3…，表示第l層中第i個節(jié)點的注意力系數(shù)，softmaxl表示softmax函數(shù)，用于將第l層中所有節(jié)點的注意力權(quán)重歸一化為概率分布；

27、還用于根據(jù)注意力系數(shù)對挖掘結(jié)果進(jìn)行視覺融合操作，得到融合信息，其中，視覺融合操作所對應(yīng)的公式為：

28、

29、其中，i、p均表示關(guān)鍵子空間中節(jié)點的編號，其中，i＝1,2,3…p；表示表示第k層中第i個節(jié)點的融合信息，表示第l層中第i個節(jié)點的注意力系數(shù)，表示關(guān)鍵子空間中輸入的第l層中第i個節(jié)點的挖掘結(jié)果。

30、作為優(yōu)選，所述第一嵌入塊、所述第二嵌入塊和所述第三嵌入塊均包括第一全連接層、激活函數(shù)、批歸一化、第二全連接層。

31、作為優(yōu)選，所述多視圖學(xué)習(xí)單元包括兩個由relu激活函數(shù)和批歸一化連接的圖卷積網(wǎng)絡(luò)層，每個圖卷積網(wǎng)絡(luò)層均用于獲取鄰居信息，并對鄰居信息進(jìn)行邊緣傳遞，將鄰居信息乘以邊緣權(quán)重并進(jìn)行聚合，得到聚合后的鄰居信息，將聚合后的鄰居信息和交互事件圖、時間窗口圖、鄰居信息圖分別對應(yīng)的節(jié)點信息進(jìn)行線性變換并對線性變換結(jié)果相加，得到對應(yīng)的三個挖掘結(jié)果。

32、本申請還提供一種基于歷史數(shù)據(jù)和gcn的入侵檢測方法，包括：

33、輸入多視圖時序數(shù)據(jù)，其中，多視圖時序數(shù)據(jù)包括多個粒度的歷史數(shù)據(jù)以及多個圖像數(shù)據(jù)；

34、獲取所述多視圖時序數(shù)據(jù)，并根據(jù)所述多視圖時序數(shù)據(jù)生成多個嵌入結(jié)果；

35、根據(jù)多個嵌入結(jié)果和多個圖像數(shù)據(jù)輸出對應(yīng)的多個時態(tài)信息以及多個空間依賴關(guān)系信息，并對多個時態(tài)信息和多個空間依賴關(guān)系信息進(jìn)行融合，得到第一融合信息；

36、根據(jù)第一預(yù)測信息和多個圖像數(shù)據(jù)生成第二預(yù)本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點】

1.一種基于歷史數(shù)據(jù)和GCN的入侵檢測模型，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的基于歷史數(shù)據(jù)和GCN的入侵檢測模型，其特征在于，多個粒度的歷史數(shù)據(jù)包括最近歷史數(shù)據(jù)、每天歷史數(shù)據(jù)以及每周歷史數(shù)據(jù)，所述歷史數(shù)據(jù)包括會話數(shù)據(jù)、按照時間窗口劃分的時間窗口時序數(shù)據(jù)以及按照鄰域劃分的鄰域時序數(shù)據(jù)，多個所述圖像數(shù)據(jù)包括多組圖像，每組圖像包括交互事件圖、時間窗口圖、鄰居信息圖。

3.根據(jù)權(quán)利要求2所述的基于歷史數(shù)據(jù)和GCN的入侵檢測模型，其特征在于，所述嵌入模塊包括第一嵌入塊、第二嵌入塊和第三嵌入塊，其中：

4.根據(jù)權(quán)利要求3所述的基于歷史數(shù)據(jù)和GCN的入侵檢測模型，其特征在于，每個多視圖時空模塊均包括多視圖時間學(xué)習(xí)單元和第一視圖智能融合單元，其中：

5.根據(jù)權(quán)利要求3所述的基于歷史數(shù)據(jù)和GCN的入侵檢測模型，其特征在于，每個多視圖時空模塊均包括多視圖空間學(xué)習(xí)單元和第二視圖智能融合單元，其中：

6.根據(jù)權(quán)利要求5所述的基于歷史數(shù)據(jù)和GCN的入侵檢測模型，其特征在于，所述第二視圖智能融合單元，用于將多個時態(tài)信息作為多個節(jié)點映射至關(guān)

7.根據(jù)權(quán)利要求3所述的基于歷史數(shù)據(jù)和GCN的入侵檢測模型，其特征在于，所述第一嵌入塊、所述第二嵌入塊和所述第三嵌入塊均包括第一全連接層、激活函數(shù)、批歸一化、第二全連接層。

8.根據(jù)權(quán)利要求4所述的基于歷史數(shù)據(jù)和GCN的入侵檢測模型，其特征在于，所述多視圖學(xué)習(xí)單元包括兩個由ReLU激活函數(shù)和批歸一化連接的圖卷積網(wǎng)絡(luò)層，每個圖卷積網(wǎng)絡(luò)層均用于獲取鄰居信息，并對鄰居信息進(jìn)行邊緣傳遞，將鄰居信息乘以邊緣權(quán)重并進(jìn)行聚合，得到聚合后的鄰居信息，將聚合后的鄰居信息和交互事件圖、時間窗口圖、鄰居信息圖分別對應(yīng)的節(jié)點信息進(jìn)行線性變換并對線性變換結(jié)果相加，得到對應(yīng)的三個挖掘結(jié)果。

9.一種基于歷史數(shù)據(jù)和GCN的入侵檢測方法，其特征在于，包括：

10.根據(jù)權(quán)利要求1所述的基于歷史數(shù)據(jù)和GCN的入侵檢測方法，其特征在于，多個粒度的歷史數(shù)據(jù)包括最近歷史數(shù)據(jù)、每天歷史數(shù)據(jù)以及每周歷史數(shù)據(jù)，所述歷史數(shù)據(jù)包括會話數(shù)據(jù)、按照時間窗口劃分的時間窗口時序數(shù)據(jù)以及按照鄰域劃分的鄰域時序數(shù)據(jù)，多個所述圖像數(shù)據(jù)包括多組圖像，每組圖像包括交互事件圖、時間窗口圖、鄰居信息圖。

...

【技術(shù)特征摘要】

1.一種基于歷史數(shù)據(jù)和gcn的入侵檢測模型，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的基于歷史數(shù)據(jù)和gcn的入侵檢測模型，其特征在于，多個粒度的歷史數(shù)據(jù)包括最近歷史數(shù)據(jù)、每天歷史數(shù)據(jù)以及每周歷史數(shù)據(jù)，所述歷史數(shù)據(jù)包括會話數(shù)據(jù)、按照時間窗口劃分的時間窗口時序數(shù)據(jù)以及按照鄰域劃分的鄰域時序數(shù)據(jù)，多個所述圖像數(shù)據(jù)包括多組圖像，每組圖像包括交互事件圖、時間窗口圖、鄰居信息圖。

3.根據(jù)權(quán)利要求2所述的基于歷史數(shù)據(jù)和gcn的入侵檢測模型，其特征在于，所述嵌入模塊包括第一嵌入塊、第二嵌入塊和第三嵌入塊，其中：

4.根據(jù)權(quán)利要求3所述的基于歷史數(shù)據(jù)和gcn的入侵檢測模型，其特征在于，每個多視圖時空模塊均包括多視圖時間學(xué)習(xí)單元和第一視圖智能融合單元，其中：

5.根據(jù)權(quán)利要求3所述的基于歷史數(shù)據(jù)和gcn的入侵檢測模型，其特征在于，每個多視圖時空模塊均包括多視圖空間學(xué)習(xí)單元和第二視圖智能融合單元，其中：

6.根據(jù)權(quán)利要求5所述的基于歷史數(shù)據(jù)和gcn的入侵檢測模型，其特征在于，所述第二視圖智能融合單元，用于將多個時態(tài)信息作為多個節(jié)點映射至關(guān)鍵子空間，并計算關(guān)鍵子空間中每一層中每...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：霍闖，王鋼，劉乃維，何京恒，孔令飛，
申請(專利權(quán))人：內(nèi)蒙古工業(yè)大學(xué)，
類型：發(fā)明
國別省市：

全部詳細(xì)技術(shù)資料下載我是這個專利的主人

相關(guān)技術(shù)

網(wǎng)友詢問留言已有0條評論

還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。

發(fā)布您的意見

相關(guān)領(lǐng)域技術(shù)