(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111471356.X (22)申请日 2021.12.04 (71)申请人 东南大学 地址 210000 江苏省南京市麒 麟科创园智 识路26号启迪城立 业园04幢 (72)发明人 胡晓艳　高文洁　程光　吴桦　 龚俭　 (74)专利代理 机构 南京众联专利代理有限公司 32206 代理人 吕书桁 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) (54)发明名称 一种基于图嵌入的网络入侵 检测方法 (57)摘要 本发明提供了一种基于图嵌入的网络入侵 检测方法， 具体步骤包括： 从原始网络流量中提 取每条流的数据包长度序列； 利用得到的数据包 长度序列来构图， 其中每条流都对应一张图； 利 用图嵌入方法graph2vec把图变成表示向量； 使 用分类器对图向量进行分类， 得出被检测流量的 类别。 本发 明是第一个利用单条流构图来做网络 入侵检测的， 将流量检测问题转换为图分类问 题， 分类效果显著； 本发明一定程度上更好地满 足入侵检测的实时性要求， 其只需要流的一段数 据包长度序列即可， 对于持续时间长的攻击流在 攻击的早期即可实现及时检测进而可以及时采 取相应防御措施； 本发明的特征提取不依赖人工 经验， 不需手动地选择流特 征， 简化了特 征工程。 权利要求书2页 说明书6页 附图2页 CN 114124565 A 2022.03.01 CN 114124565 A 1.一种基于图嵌入的网络入侵检测方法， 其特 征在于， 包括如下步骤： (1)从原始网络流 量中提取每条流的数据包长度 序列； (2)利用得到的数据包长度 序列来构图， 其中每条流都对应一张图； (3)利用图嵌入方法graph2vec把图变成表示向量； (4)使用分类 器对图向量进行分类， 得 出被检测流量的类别。 2.根据权利要求1所述的基于图嵌入的网络入侵检测方法， 其特征在于， 所述步骤(1) 具体包括如下子步骤： (1.1)获取原 始流量； (1.2)把原 始流量输入到fl owcontainer中， 并设置过 滤条件； (1.3)根据步骤(1.2)的过滤条件提取出目标流量的数据包长度序列， 并保存为csv文 件， 其中每条流的数据包长度 序列对应一条记录； (1.4)为步骤(1.3)中提取的数据包长度序列设置相应的类别标签， 以备后续分类模型 训练及评估使用。 3.根据权利要求2所述的基于图嵌入的网络入侵检测方法， 其特征在于， 步骤(1.2)中 所述的原始流量是指存储网络通信数据包的pcap文件， 数据包长度序列指网络层的IP数据 包长度序列， 过滤条件的设置基于w ireshark中的流过 滤规则。 4.根据权利要求1所述的基于图嵌入的网络入侵检测方法， 其特征在于， 所述步骤(2) 具体包括如下子步骤： (2.1)根据步骤(1)提取的数据包长度序列构图， 对于每个数据包长度序列， 以数据包 为顶点， 把方向相同的连续数据包划分在一起， 方向不同的则分开， 以此把每个数据包长度 序列按顺序分为若干 部分； (2.2)对于每个数据包长度序列， 把(2.1)中划分到一起的顶点连接起来， 即按顺序给 相邻两点间加边； (2.3)对于每 个数据包长度 序列， 把划分开的几个部分用边连接起 来， 形成一个整图； (2.4)把数据包长度值添加为图的节点属性， 构图完成； (2.5)重复(2.1)～(2.4)操作， 为每条流构图， 并保存。 5.根据权利要求4所述的基于图嵌入的网络入侵检测方法， 其特征在于， 步骤(2.3)中 所述的把划分开的几个部分用边连接起来是指每个部分的第一个点和 最后一个点分别连 接到下个部分的第一个点和最后一个点， 即相邻两个部分之间有2条边。 6.根据权利要求4所述的基于图嵌入的网络入侵检测方法， 其特征在于， 步骤(2.4)中 所述的构成 的图都可以表示为G(N,E,A)， 其中N代表图G的节点集合， E代表图G的边集合， A 代表图G中节点对应的属性 集合。 7.根据权利要求4所述的基于图嵌入的网络入侵检测方法， 其特征在于， 步骤(2.5)中 所述的保存是指把每 个图存成一个jso n文件， 以备后续图表示学习graph2vec无限次使用。 8.根据权利要求1所述的基于图嵌入的网络入侵检测方法， 其特征在于， 所述步骤(3) 具体包括如下子步骤： (3.1)输入步骤(2)生成的图数据； (3.2)设置训练次数、 学习率、 输出维数； (3.3)使用graph2vec生成图嵌入并输出。权　利　要　求　书 1/2 页 2 CN 114124565 A 29.根据权利要求9所述的基于图嵌入的网络入侵检测方法， 其特征在于， 所述步骤 (3.3)具体包括如下子步骤： (3.3.1)对于 输入的每 个图， 在图中每 个节点周围提取有根子图； (3.3.2)基于Skipgram模型， 采用负采样策略训练模型， 更新根子图嵌入的同时训练图 嵌入， 直至训练结束得到最终图嵌入。 10.根据权利要求1所述的基于图嵌入的网络入侵检测方法， 其特征在于， 步骤(4)中的 分类器指随机森林分类器， 该分类器利用步骤(1.4)形成的标签和步骤(3)生 成的图向量进 行模型训练和分类评估。权　利　要　求　书 2/2 页 3 CN 114124565 A 3