随着网络技术的快速发展,互联网已经渗透到人们生活的方方面面。然而,网络的快速增长也伴随着日益严重的安全威胁,对人们的生活构成了潜在风险[1]、[2]、[3]。
传统的入侵检测技术主要包括基于规则的检测、统计分析和机器学习方法[4]、[5]、[6]。这些技术在处理已知威胁时在一定程度上是有效的,但它们也存在显著的局限性。例如,基于规则的方法难以适应新的攻击方式,统计分析在识别异常模式方面的能力有限,而传统的机器学习方法严重依赖于大量标记数据,并且难以捕捉网络数据中固有的复杂拓扑关系。
近年来,图神经网络(GNN)[7]因其能够有效建模网络结构和节点之间的依赖关系而受到越来越多的关注,为入侵检测提供了新的研究方向和解决方案[8]、[9]、[10]。大多数现有的基于图神经网络的网络入侵检测模型都是监督式的[11]、[12]、[13]、[14]。然而,在现实世界的网络环境中,网络流量通常是未标记的,而对网络流量进行标记需要大量的人力和资源。因此,在未标记的网络环境中准确识别异常网络流量已成为该领域亟待解决的问题[15]、[16]。现有的基于无监督图神经网络的入侵检测模型大多基于编码器-解码器架构,其编码器通常采用传统的图神经网络模型,没有针对网络入侵检测的特点进行特定优化[17]、[18]、[19]。因此,现有基于无监督图神经网络的入侵检测模型的检测精度难以进一步提高。
网络入侵检测领域具有哪些特点?通过分析常用的基准数据集和网络攻击受害者的攻击过程,我们总结了两个关键特点。
首先,网络流量特征多种多样,但并非所有特征都对异常流量检测有相同的贡献:以本研究中使用的四个基准数据集为例,每个数据集包含43个特征,这些特征可以大致分为:网络身份特征(IP地址、端口、ID)、流量统计特征(字节、数据包数量)、时间特征(持续时间)和数据包长度分布特征(例如,最大/最小数据包长度)。从异常检测机制的角度来看,流量统计特征和时间特征的影响最为显著。攻击行为的本质在于异常的通信模式,这两种特征可以直接表征单位时间内的行为强度和会话建立模式。因此,它们能够有效捕捉到攻击的典型“流量形态”,例如DDoS攻击的高频小数据包和扫描行为的短暂探测爆发。相比之下,网络身份特征的影响最小,甚至可能产生负面影响。这些特征描述的是“谁在通信”,而不是“通信是如何发生的”。在训练过程中,模型可能会容易学习到数据集中某些固定IP或端口与攻击行为之间的虚假相关性,从而导致强烈的环境依赖性和过拟合。我们在第5.8节通过实验验证了我们的观点。
其次,受害者接收到的异常流量通常来自其直接邻居,而不是远距离的邻居。如图1所示,A代表受害者,B和D代表攻击者,E代表正常节点。攻击者通常采用两种主要攻击策略:直接攻击和间接攻击。从B到A的路径代表直接攻击过程,其中B直接向A发送异常流量。从D到A的路径代表间接攻击过程,其中D向C发送控制命令,然后C被操纵向A发送异常流量。无论攻击是直接的还是间接的,异常流量最终都来自A的直接邻居。从远距离邻居聚合信息可能会引入噪声,并干扰模型准确识别来自直接邻居的异常流量的能力。
为了提高编码器对计算机网络图结构的特征提取能力,从而进一步提高无监督模型的检测精度,本文根据网络入侵检测邻域的上述两个特点对传统的图神经网络模型进行了优化。对于特点(1),我们设计了一个基于注意力的输入层,为不同重要性的特征分配不同的权重,增加重要特征的权重同时减少冗余特征的权重,使模型能够更有效地关注关键特征。对于特点(2),我们改进了传统E-GraphSAGE模型的邻居聚合过程,使得当图卷积层的数量增加时,模型仅从附近的邻居聚合信息,避免来自远距离邻居的干扰。
经过上述优化后,本文得到了一个具有强大特征提取能力的编码器。在解码器部分,我们采用了图对比学习模型DGI。此外,通过对DGI模型中图对比学习过程的分析,我们发现某些计算步骤是不必要的。因此,我们移除了原始DGI模型中的一部分冗余计算,提高了计算效率,从而得到了一个轻量级的DGI模型,作为我们提出的模型的解码器。我们在四个公共基准数据集上进行了广泛的实验来验证所提模型的有效性。
总结来说,本文的主要贡献如下:
•基于注意力的输入层:我们设计了一个基于注意力的输入层,为不同重要性的特征分配不同的权重,增加重要特征的权重同时减少冗余特征的权重,使图神经网络模型能够更有效地关注关键特征。
•改进的信息聚合过程:我们改进了传统E-GraphSAGE模型的邻居聚合过程,使得当图卷积层的数量增加时,图神经网络仅从附近的邻居聚合信息,避免来自远距离邻居的干扰。
•轻量级DGI模型:
在原始DGI模型的基础上,我们移除了冗余计算,减少了计算开销并提高了计算效率,得到了一个轻量级的DGI模型。•有效的编码器和无监督模型:
优化的图神经网络模型作为编码器,轻量级DGI模型作为解码器,形成了所提出的无监督网络入侵检测模型。在四个公共基准数据集上的广泛实验验证了所提编码器和无监督模型的有效性。本文的其余部分组织如下。第2节回顾了基于图神经网络的入侵检测模型的相关工作。第3节介绍了与GraphSAGE模型、E-GraphSAGE模型、DGI模型和异常检测算法相关的背景知识。第4节介绍了所提出的无监督模型的详细信息。第5节报告了实验设置和结果。第6节总结了本文,第7节讨论了模型的局限性,第8节提出了未来的工作。
