(19)国家知识产权局(12)发明专利申请(10)申请公布号CN116010878A(43)申请公布日2023.04.25(21)申请号202211663900.5G06N3/042(2023.01)(22)申请日2022.12.21G06N3/048(2023.01)G06N3/084(2023.01)(71)申请人网络通信与安全紫金山实验室地址210000江苏省南京市江宁区秣周东路9号(72)发明人吴柯萌刘超汪壬甲薛妍妍李煊逯云松(74)专利代理机构北京集佳知识产权代理有限公司11227专利代理师常亮(51)Int.Cl.G06F18/2415(2023.01)H04L9/40(2022.01)G06F18/2433(2023.01)G06F18/214(2023.01)权利要求书2页说明书13页附图2页(54)发明名称基于图神经网络的DDoS检测方法、装置、设备及介质(57)摘要本申请公开了一种基于图神经网络的分布式拒绝服务攻击检测方法、装置、设备及介质，涉及计算机领域，包括：利用训练后的图神经网络模型对待检测流量对应的待检测图结构数据识别；根据识别结果判断待检测流量是否为分布式拒绝服务攻击流量；模型训练过程：获取目标流量中的目标流特征信息，将目标流特征信息转化为图结构数据；利用预设算法对图结构数据处理得到处理后结果；预设算法用于聚合图结构数据中每一顶点的邻居顶点信息，处理后结果基于聚合后信息得到；利用处理后结果训练图神经网络模型。本申请通过预设算法聚合图结构数据中的每一顶点的邻居顶点的信息，无需得到整个图结构数据的信息，解决了过拟合、泛化能力差的问题。CN116010878ACN116010878A权利要求书1/2页1.一种基于图神经网络的分布式拒绝服务攻击检测方法，其特征在于，包括：利用训练后的图神经网络模型对待检测流量对应的待检测图结构数据进行识别；根据识别结果判断所述待检测流量是否为分布式拒绝服务攻击流量；所述图神经网络模型训练过程包括：获取目标流量中的目标流特征信息，并将所述目标流特征信息转化为图结构数据；所述目标流量包括正常流量和分布式拒绝服务攻击流量；利用预设算法对所述图结构数据进行处理，得到处理后结果；所述预设算法用于聚合所述图结构数据中的每一顶点的邻居顶点的信息，所述处理后结果为基于聚合后信息得到的结果；利用所述处理后结果训练图神经网络模型，得到训练后的所述图神经网络模型。2.根据权利要求1所述的基于图神经网络的分布式拒绝服务攻击检测方法，其特征在于，所述获取目标流量中的目标流特征信息，包括：利用抓包工具获取多个主机相互通信过程中产生的目标流量，并提取所述目标流量的初始流特征信息；对所述目标流量的初始流特征信息进行清洗以及归一化处理，得到所述目标流量中的目标流特征信息。3.根据权利要求2所述的基于图神经网络的分布式拒绝服务攻击检测方法，其特征在于，所述将所述目标流特征信息转化为图结构数据，包括：将所述目标流特征信息中的第一目标流特征信息转化为所述图结构数据中的各个顶点；所述第一目标流特征信息为多个所述主机的地址以及端口的特征信息；将所述目标流特征信息中的第二目标流特征信息转化为所述图结构数据中的边；所述第二目标流特征信息为所述目标流特征信息中，所述第一目标流特征信息以外的其他流特征信息。4.根据权利要求3所述的基于图神经网络的分布式拒绝服务攻击检测方法，其特征在于，所述利用预设算法对所述图结构数据进行处理，得到处理后结果，包括：对所述图结构数据中的每一所述顶点的邻居顶点进行采样；每一所述顶点的邻居顶点为与每一所述顶点进行通信的顶点；利用所述预设算法，聚合每一所述顶点的邻居顶点的信息，并根据聚合后信息确定每一所述顶点的邻居顶点的权重，得到所述处理结果；相应的，所述利用所述处理后结果训练图神经网络模型，包括：利用每一所述顶点的邻居顶点的权重训练图神经网络模型。5.根据权利要求4所述的基于图神经网络的分布式拒绝服务攻击检测方法，其特征在于，所述根据聚合后信息确定每一所述顶点的邻居顶点的权重，得到所述处理结果，包括：根据聚合后信息确定每一所述顶点的邻居顶点的特征；根据每一所述顶点的邻居顶点的特征为每一所述顶点的邻居顶点分配相应的权重，得到所述处理结果。6.根据权利要求1至5任一项所述的基于图神经网络的分布式拒绝服务攻击检测方法，其特征在于，所述利用预设算法对所述图结构数据进行处理，得到处理后结果，包括：利用E‑EesGAT算法或GraphSAGE算法对所述图结构数据进行处理，得到处理后结果。2CN116010878A权利要求书2/2页7.根据权利要求1至5任一项所述的基于图神经网络的分布式拒绝服务攻击检测方法，其特征在于，所述利用训练后的图神经网络模型对待检测流量对应的待检测图结构数据进行识别，根据识别结果判断