(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211007702.3 (22)申请日 2022.08.22 (71)申请人 西安电子科技大 学 地址 710071 陕西省西安市太白南路2号 (72)发明人 朱光明　张亮　卢梓杰　张锋军　 张向东　沈沛意　戴朝霞　 (74)专利代理 机构 西安智大知识产权代理事务 所 61215 专利代理师 季海菊 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/045(2022.01) H04L 43/0876(2022.01) (54)发明名称 一种基于因果图的网络攻击行为检测方法 (57)摘要 一种基于因果图的网络攻击行为检测方法， 包括： 对抓取到的网络流数据包进行预处理， 以 缩减数据包规模； 对预处理后的数据包序列， 构 建表征网络流的因果关系图； 以某个或某些节点 为种子节 点， 把种子节点在某时段内的边按时间 戳排序， 构成一个该节点相关的网络交互序列； 大规模构建网络交互序列， 如果交互序列中都是 网络攻击过程的数据包则被标记 为攻击序列， 否 则被标记为非攻击序列， 并训练基于LSTM的攻击 序列识别模 型； 以某个或某些检测到的属于攻击 过程的数据包的源IP和目的IP为种子节点， 构建 网络交互序列， 使用攻击序列识别模型进行识 别， 识别出未被检测到的攻击过程数据包， 实现 网络攻击 行为检测； 本发明与已知的网络攻击行 为检测方法相比， 是在更大的网络交互上下文中 进行网络攻击行为检测， 可以检测出伪装成正常 网络交互的攻击行为。 权利要求书1页 说明书4页 附图1页 CN 115361215 A 2022.11.18 CN 115361215 A 1.一种基于因果图的网络攻击行为检测方法， 其特 征在于， 具体包括以下步骤： 1)抓取的网络流数据包， 对抓取到的网络流数据包进行 预处理， 以缩减数据包规模； 2)对预处 理后的数据包序列， 构建表征网络流的因果关系图； 3)以某个或某些节点为种子节点， 把种子节点在某时段内的边按时间戳排序， 构成一 个该节点相关的网络交 互序列； 4)按步骤3)方法对不同种子节点构建网络交互序列， 如果交互序列中都是网络攻击过 程的数据包则被标记为攻击序列， 否则被标记为非攻击序列， 生成若干攻击序列的正负样 本， 并训练基于LSTM的攻击序列识别模型； 5)实际检测中， 按步骤1)至步骤3)方法， 以某个或某些检测到的属于攻击过程的数据 包的源IP和目的IP为种子节点， 构建网络交互序列， 使用步骤4)训练的攻击序列识别模型 进行识别， 识别出 未被检测到的攻击过程数据包， 实现网络攻击行为检测。 2.根据权利要求1所述的一种基于因果图的网络攻击行为检测方法， 其特征在于， 所述 步骤1)中预 处理具体为： 对抓取到的网络流数据包进 行合并源IP、 目的IP一致、 报文类型一 致、 时间连续的数据包序列， 以缩 减数据包规模。 3.根据权利要求1所述的一种基于因果图的网络攻击行为检测方法， 其特征在于， 所述 步骤2)具体为： 对预处理后的数据包序列， 提取所有的源IP和目的IP， 构成图节点； 将包括 每个数据包的时间戳、 连接类型、 网络流统计特征， 构成该数据包源IP节 点和目的IP节 点之 间的一条边； 该情况 下两个节点之前会 存在多条边， 表示两个IP间的不同网络交 互。 4.根据权利要求1所述的一种基于因果图的网络攻击行为检测方法， 其特征在于， 所述 步骤3)中， 按时间戳筛选某个时段内种子节 点的边， 并按时间戳排序， 获得该时段内种子节 点涉及的按时间排序的网络交互过程， 表征种子节点某时段内的网络行为， 图中每个节点 的边表征某时段以该节点 IP为源IP或目的IP的网络流交 互。 5.根据权利要求1所述的一种基于因果图的网络攻击行为检测方法， 其特征在于， 所述 步骤4)中， 选取不同的种子节 点和时间段， 可以构建若干网络交互序列； 如果序列中只包含 攻击过程则为攻击序列， 否则为 非攻击序列； 生成大规模攻击序列的正负样 本后， 构建 并训 练基于LSTM的神经网络模型。 6.根据权利要求1所述的一种基于因果图的网络攻击行为检测方法， 其特征在于， 所述 步骤5)中的检测为攻击序列和非攻击序列的二分类检测； 检测到的攻击序列中的数据包即 为攻击过程的数据包， 表征攻击行为。权　利　要　求　书 1/1 页 2 CN 115361215 A 2一种基于因果图的网 络攻击行为检测方 法 技术领域 [0001]本发明涉及网络安全领域入侵检测技术， 特别涉及一种基于因果图的网络攻击行 为检测方法。 背景技术 [0002]随着互联 网、 云计算、 物联 网等技术的发展， 越来越多的设备、 信息实现了联 网， 给 网络安全、 数据安全等带来了极大的挑战。 如何利用深度学习和图方法对入侵检测， 是对网 络安全的研究及应用的重要方向。 [0003]在现有技术中， 倾向于针对特定的攻击行为设定检测规则实现对已知攻击行为的 检测， 或者直接利用深度学习 方法对网络流进行良性和恶性二分类。 基于特定规则的方法 只能检测特定的攻击行为， 简单地利用深度学习方法进行二分类忽略了网络拓扑连接和攻 击过程的上下文特征。 上述问题导致很难检测到完整的攻击过程， 特别是某些单一来看就 是正常网络行为的攻击过程。 发明内容 [0004]为了克服上述现有技术存在的缺陷， 本发明提出了一种基于因果图的网络攻击行 为检测方法， 利用因果图对整个网络的交互过程进行建模， 从因果图中提取种子节点相关 的网络交互序列， 并利用深度学习方法实现对攻击序列的识别， 对网络攻击行为的检测， 尤 其有利于检测有一定隐蔽性的攻击行为。 [0005]为实现上述目的， 本发明提供如下技 术方案： [0006]一种基于因果图的网络攻击行为检测方法， 具体包括以下步骤： [0007]1)抓取的网络流数据包， 对抓取到 的网络流数据包进行预处理， 以缩减数据包规 模； [0008]2)对预处 理后的数据包序列构建表征网络流的因果关系图； [0009]3)以某个或某些节点为种子节点， 把种子节点在某时段内的边按时间戳排序， 构 成一个该节点相关的网络交 互序列； [0010]4)按步骤3)方法对不同种子节点构建网络交互序列， 如果 交互序列中都是 网络攻 击过程的数据包则被标记为攻击序列， 否则被标记为非攻击序列， 生成若干攻击序列的正 负样本， 并训练基于LSTM的攻击序列识别模型； [0011]5)实际检测中， 按步骤1)至步骤3)方法， 以某个或某些检测到的属于攻击过程的 数据包的源IP和目的IP为种子节点， 构建网络交互序列， 使用步骤4)训练的攻击序列识别 模型进行识别， 识别出 未被检测到的攻击过程数据包， 实现网络攻击行为检测。 [0012]所述步骤1)中预处理具体为： 对抓取到的网络流数据包进行合并源IP、 目的IP一 致、 报文类型一 致、 时间连续的数据包序列， 以缩 减数据包规模。 [0013]所述步骤2)具体为： 对预处理后的数据 包序列， 提取所有的源IP和目的IP， 构成图 节点； 将包括每个数据包的时间戳、 连接类型、 网络流统计特征， 构成该数据包源IP节点和说　明　书 1/4 页 3 CN 115361215 A 3