(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111382680.4 (22)申请日 2021.11.22 (71)申请人 浙江工业大 学 地址 310014 浙江省杭州市拱 墅区潮王路 18号 (72)发明人 宣琦　彭松涛　殳欣成　张丽娜　 阮中远　 (74)专利代理 机构 杭州天正专利事务所有限公 司 33201 代理人 王兵 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 一种基于图注意力网络的BGP异常检测方法 及系统 (57)摘要 一种基于图注意力网络的BGP异常检测方 法， 包括以下步骤： S1： 获取、 解析、 整理， 得到异 常事件数据集； S2： 提取45个特征； S4： 将数据集 及其特征输入到模型中， 得到 预训练模型； S5： 将 模型用于对 未知事件的异常检测。 本发明还包括 一种基于图注意力网络的BGP异常检测的系统， 包括依次连接的数据获取模块， 特征提取模块， 模型训练模块和模型预测模块。 本发 明构建了五 个网络异常事件数据集， 通过STL关注数据的趋 势性和季节性， 并首次应用GAT模型关注特征关 系和时间依赖， 大幅提升性能， 更好的实现对异 常情况的捕获和在未知事件中的实用性和 高效 性。 权利要求书4页 说明书13页 附图2页 CN 114221790 A 2022.03.22 CN 114221790 A 1.一种基于图注意力网络的BGP异常检测方法， 其特 征在于， 包括以下步骤： S1： 数据获取： 从公开互联网项目平台获取指定区域、 指定时间段、 指定自治系 统的边 界网关协议(Border  Gateway Protocol， BGP)更新数据包， 解析为可读格式并进行整理， 得 到多种异常事 件数据集； S2： 特征提取： 解析后的BGP更新数据包报文头中不同字段包含该数据包对应的不同信 息和特征， 对特征 的选择和提取主要分为自治系统路径特征和数量特征两大类， 总计45个 特征， 根据时间戳将BGP更新包数据以特征序列的形式进 行持久化存储， 并根据异常事件发 生的时间段自动添加异常标签， 构建实验数据集； S3： 模型训练： 将上述处理好的实验数据集输入到BGP异常检测模型， 经过时间序列的 STL(Seasonal  and Trend decomposition  using Loess)分解和滑动窗口的数据增强处 理， 突出数据的趋势和季节性， 基于特征和基于时序的图注意力网络(Graph  Attention   Networks， GAT)从特征关系和时间依赖的新颖角度提取数据特征， 凭借长短期记忆网络 (Long‑Short Term Memory， LSTM)分类 器自主学习训练后得到预训练模型； S4： 模型预测： 将新的异常事件处理为输入数据的格式， 输入到预训练模型， 实现对未 知事件的预测以及不同的评估指标。 2.如权利要求1所述的一种基于图注意力网络的BGP异常检测方法， 其特征在于： 所述 步骤S1具体包括： S1.1： 获取异常互联网事件时间范围及区域表， 为了最小化存储和计算需求， 短时间异 常事件周期为五 天： 事件发生前两天和事 件发生后两天以及异常事 件持续时间内的当天； S1.2： 利用自动获取数据程序从Route  Views和RIPE  NCC这两个组织按时间顺序区域 范围收集和存 储BGP更新报文数据； S1.3： 在本方法中， 主要涉及类型为蠕虫攻击的Code  Red I(2001.07.19 ‑2001.07.20) 事件、 Nimda(2001.09.15 ‑2001.09.2 3)事件、 Slammer(2 003.01.2 3‑2003.01.27)事件， 类 型 为设备故障的Moscow  Blackout(2005.05.23 ‑2005.05.27)事件， 类型为错误配置的 Malaysian  Telecom(2015.06.10 ‑2015.06.14)事件， 该五个异常事件数据集分别 从RIPE  NCC平台的r rc04、 rrc05收集者处获取， 这两个收集 者分别位于日内瓦、 维也纳； S1.4： 收集到的BGP更新数据包以多线程路由工具包(Multi ‑threaded  Routing  Toolkit， MRT)的二进制格式存储， 解析工具将MRT文件转换为ASCII格式， 将转化后的文件 按原有顺序进行持久化存 储。 3.如权利要求1所述的一种基于图注意力网络的BGP异常检测方法， 其特征在于： 所述 步骤S2具体包括： S2.1： 解析后的BGP更新数据包报文头中不同字段包含该数据包对应的不同信息和特 征； S2.2： 从上述五个异常事件中以1分钟为间隔收集收集数据中提取的各种信息， 可从中 提取和总结 出45个相关特 征， 这些特征主要分为自治系统路径特 征和数量特 征两类； S2.3： 将45个特征值按时间戳的顺序进行存储， 每个时间戳下的数据被当作是一个样 本， 并根据异常事件发生的时间段， 对每个样本添加标签， 正常样本的标签为0， 异常样本的 标签为1， 最后， 将不同的互联网异常事 件转化为多变量时序数据集。 4.如权利要求1所述的一种基于图注意力网络的BGP异常检测方法， 其特征在于： 所述权　利　要　求　书 1/4 页 2 CN 114221790 A 2步骤S3具体包括： S3.1： BGP异常检测即多变量时间序列异常检测， 其输入可表示为 其中n代 表时间戳的最大长度， 也代表样本的数量， k代表每个样本的输入特征数， 也可以用序列 表示， 然后 代表所有n个输入样本的输出 向量， yi∈{0， 1}代表第i个 时间戳的样本是正常样本还是异常样本； S3.2： 滑动窗口是一种从原始时间序列中按顺序提取固定窗口大小的子样本方法， 该 方法常用于数据流挖掘， 从历史流量中获取信息， 从模型的角度来看， 利用滑动窗口在原始 时间序列数据集上扩展了特征维数更多的强相关数据集， 并通过增强数据来提高模型训练 的分类器的分类性能； 滑动窗口的大小为可调参数m， 该窗口每次以1的步幅从头到尾遍历 整个初始时间序列 ， 形成一系列新的多样本时间序列 ， 单个窗口的构成形如 其中 对应的是第(i ‑1)个时间戳的样本数据， 新序列数据集 对应的标签等于每个序列中所有时间样本频率最高的标签， 至此， 构成了经过滑动窗口增 强后的新序列数据集 S3.3： STL分解法是以鲁棒局部加权回归作为平滑方法的时间序列分解方法， 将上一部 分的新序列数据 经过STL分解法分解后， 得到5个不同角度的同样维度的新数 据集， 进行拼接来扩展数据集的特征维度， 再一次实现数据 的增强， 得到新的序列数据集 其中， n代表初始总样本 数， m代表滑动窗口大小， 5k代表每一个新的样本的 特征数量从最初的k个 变为5k个； S3.4： GAT层能够对任意图中的节点之间的关系进行建模， 一般来说， 给定一个有n个节 点的图， 即v1， v2， ...， vn， 其中vi为第i个节点的特征向量， GAT层计算每个节点的输出表示 形式如试 下： 式中hi为节点i的输出表示形式， 与输入vi具有相同的形状， σ( ·)为激活函数， αij为注 意力分数， 衡量节 点j对节点i的贡献， 其中j是节 点i的一个相 邻节点， L为节 点i的相邻节 点 总数； 式(1)中注意力分数αij可以由下列公式计算： 其中 表示两个节点的级联， 为参数可学习的列向量， 其中m为每个节点特征 向量的维数， LeakyReLU( ·)为非线性激活函数； S3.5： 新的多变量时间序列异常数据集输入GAT层即为将每一个窗口内的样本分别经 过面向特征的图注意力 层和面向时间的图注意力 层， 面向特征即为每一个特征代表一个节权　利　要　求　书 2/4 页 3 CN 114221790 A 3