基于图神经网络的P2P僵尸网络检测方法

作     者：林宏刚 张运理 郭楠馨 陈麟 LIN Honggang;ZHANG Yunli;GUO Nanxin;CHEN Lin

作者机构：成都信息工程大学网络空间安全学院四川成都610225 先进密码技术与系统安全四川省重点实验室四川成都610225 网络空间安全态势感知与评估安徽省重点实验室安徽合肥230037 

出 版 物：《工程科学与技术》 (Advanced Engineering Sciences)

年 卷 期：2022年第54卷第2期

页      面：65-72页

核心收录：

学科分类：08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：网络空间安全态势感知与评估安徽省重点实验室开放课题(CSSAE–2021–002) 国家242信息安全计划项目(2021–037)。 

主　　题：P2P僵尸网络 深度学习 图卷积神经网络 图融合 注意力机制 

摘      要：P2P僵尸网络因具有较高的隐蔽性和健壮性,已经成为新型的网络攻击平台,对网络空间安全造成的威胁越来越大,但现有基于规则分析或流量分析的检测方法不能有效检测。为了解决P2P僵尸网络隐蔽性强、难以识别等问题,提出了一种基于图神经网络(graph neural network,GNN)的P2P僵尸网络检测方法。该方法不依赖流量协议特征,而是基于P2P僵尸网络节点交互特征及网络拓扑结构信息实现检测。首先,该方法先提取P2P僵尸网络流量中的源IP、目的IP、出度、入度和节点介数中心性,构建成拓扑图、出入度图和介数中心性图;其次,通过元素积对3种特征图的邻接矩阵加权求和进行图融合,得到检测模型的输入;然后,利用基于注意力机制的图卷积神经网络提取节点间特征,使用神经协同过滤算法实现中心节点注意力概率分配,完成节点状态更新;最后,利用多层图卷积层之间的紧密连通性实现对交互特征的降维抽取和对高阶结构信息的挖掘,自动学习僵尸网络的内在特征,并通过节点分类模块判别分类,完成僵尸网络检测。使用ISCX–2014僵尸网络数据集对该方法进行对比验证,实验结果表明,在训练样本包含僵尸网络节点规模较大时本文提出的深层图神经网络方法的检测准确率和模型稳定性优于其他两类对比方法,所提方法能有效提高P2P僵尸网络检测能力和泛化能力,降低误报率。