2025-12-22 04:24:11 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 这篇论文介绍了GraphDDoS，一种使用图神经网络检测DDoS攻击的新方法。作者将网络流量转换为端点流量图，保留数据包关系和流之间的关系信息，包括突发性和周期性特征。实验表明，GraphDDoS在CIC-IDS2017和CIC-DoS2017数据集上优于现有方法，特别在检测低速DDoS攻击方面表现突出。该方法利用GIN模型学习图结构特征，有效区分正常流量和攻击流量，为网络安全领域提供了新的DDoS检测思路。 综合评分： 90 文章分类： 漏洞分析,威胁情报,网络安全,安全工具,应用安全

cover_image

论文研读与思考 | GraphDDoS：使用图神经网络的有效DDoS攻击检测

Yuan

玄枢战队-Arcane Hub

2025年12月15日 16:35 陕西

原文标题：GraphDDoS: Effective DDoS Attack Detection Using Graph Neural Networks

原文作者：Yuzhen Li, Renjie Li, Zhou Zhou, Jiang Guo, Wei Yang, Meijie Du, Qingyun Liu

期刊： 2022 IEEE 25th International Conference on Computer Supported Cooperative Work in Design (CSCWD)

DOI：10.1109/CSCWD54268.2022.9776097

一、主要研究问题、目标和方法

1.1核心研究问题和研究动机

现有深度学习的DDoS检测方法主要依赖包级或流级的统计特征，而没有利用包与包、流与流之间的关系，导致检测准确性受限。DDoS 攻击在单流层面具有不同于正常流量的交互结构（如 SYN-flood 缺失最后的握手包），在多流层面包含明显的突发特征、高频连接建立特征，或低速攻击的周期性特征（如 slow read/slow send），这些关键模式无法通过传统序列模型或基于统计特征的方法捕获。基于以上思想作者提出一种能够很好地表达这两个重要关系的端点流量图，将网络流量转换为图结构，并利用图神经网络GNN模型自动从端点流量图中提取特征，并区分DDoS攻击流量图和正常流量图，从而提升 DDoS 检测性能。

1.2论文提出的关键方法、模型或理论框架

端点流量图及其优势

1.端点流量图构建：

预处理阶段：在预处理阶段，将具有相同源IP地址和目标IP地址的数据包分为一组，这就是端点流量图的由来，表示两端点之间的交互。在每组中，数据包按时间升序排序，每n个相同组的数据包构成一个图。如果一组的数据包数不能被n整除，则丢弃最后少于n的数据包。

节点：每组数据包都转化为图中的节点，因此图中有n个节点。为了证明端点流量图在DDoS攻击检测中的有效性，这里仅使用数据包协议类型作为节点特征。为了便于图形的构建和进一步研究，作者通过将上行（客户端到服务器的流量）设置为负值，设置下行（服务器到客户端的流量）为正值来区分上行和下行流量。

边的：图1展示了一个端点流量图，表示正常客户端和HTTP服务器之间的三次握手过程以及HTTP消息传输。预处理后，一组数据包被构成为{ -70, 70, -66, -182, 642, 642, 642, 642, 642, -70, 70, -70}。作者将客户端发送给服务器的数据包视为一个小组，服务器回馈给客户端的数据包视为另一个小组。最终，该组被划分为七个小组：{-70}、{70}、{-66，-182}、{642，642，642，642，642}、{-70}、{70}、{-70}。在每个小组中，节点间会添加边；不同小组之间，则将每个小组的首尾节点添加边。

2.端点流量图的优势：

单流的数据包关系：每个客户端和服务器之间的流代表了一种特定的行为，而DDoS攻击者的行为与正常用户截然不同。因此，DDoS攻击中的数据包关系也具有可区分性。端点流量图能够表示这种行为差异，包含客户端和服务器之间的交互过程。不同类型的图结构代表了不同类型的流行为。图1展示了正常客户端和服务器之间的端点流量图，图2则展示了慢速读取攻击流的端点流量图，从图结构上可以明显观察到两者的差异。图2显示了低速读取攻击流的端点流量图。

多流之间的关系：仅单一流的图结构不足以检测所有类型的DDoS攻击。有些DDoS/DoS攻击的单一流图结构与正常流的图结构相似，因此难以区分。例如，图3展示了HTTP GET攻击的单一流图结构，与正常的图结构（图1）相似。为了有效解决这个问题，必须结合多个流之间的关系。基于这一观察，端点流量图引入了多流的突发信息和周期性信息。图3是HTTP GET攻击的单流程图结构。

突发信息：为了耗尽受害者服务器的带宽或连接资源，DDoS攻击通常以高频率发起。攻击者会向受害者服务器发送大量数据包，或者通过不同端口同时建立多个连接。在端点流量图中，同一层的节点表示一次客户端到服务器的多个数据包，可以很好地表达这种突发信息。图4展示了SYN洪水攻击的端点流量图。

周期性信息：低速攻击模仿正常客户端的行为，并以低速发起DDoS攻击。然而，低速攻击在频域中具有特征，这些特征常用于检测低速攻击。端点流量图能够保留流量的频率信息，如图5所示的流发送头攻击。

GRAPHDDOS模型

一.流量转换

在此阶段，输入流量被转换为端点流量图。转换后的端点流量图表示为G=(V,E)，它具有节点特征XV，节点标签LV中的 v∈V，V：图的顶点，E：图的边。给定一组端点流量图(G1，G2，..，Gn)，Gi∈G及其标签(y1，y2，…，yn)，yi∈Y，任务是预测一个新图的标签yG。

二.节点表示法

使用基于消息传递神经网络(MPNN)的GNN，每一层的节点表示可以分为聚集函数和组合函数。在k次迭代后，节点的表示捕捉到其k跳网络邻域内的结构信息。GNN的第k层可以描述如下：

其中hv(K)是第k层节点v的特征向量，N(V)是v的邻域。大部分信息都是图结构信息，此时需要学习能够尽可能地保留图的结构信息的最佳节点表示。Xu等人[12]提出了一个表达模型GIN，该模型在解决图同构问题方面与Weisfeler-Lehman图分类基准一样强大。因此在节点表示和图表示部分使用GIN。

[12] K. Xu, W. Hu, J. Leskovec, and S. Jegelka, “How powerful are graph neural networks?”arXiv preprint arXiv:1810.00826, 2018.

Xu等人证明了当邻域聚集函数和图级读出函数是内射函数时，GNN与WeisfeilerLehman检验一样强大，且邻域聚集函数可以描述为：

函数f和φ是内射的。它能够使用多层感知来表示函数f和φ的组合，它将节点表示更新为：

ε是常量或一个可学习的参数。

三.图形表示法

通过聚合节点特征得到整个图的表示，最后一层的读出函数获得整个图的表示向量HG：

hv(K)用于预测作为最终迭代的节点表示，并且读出函数是一个置换不变函数。在GIN中，图形级读出函数也应该是内射的，并且图表示HG可以被转换为：

其中K是迭代/层的数量。

四.分类

在得到图的特征后就变成了一个正常的分类问题。使用完全连接的层来执行线性变换。此外使用了丢弃函数来避免过拟合，激活函数为Softmax，以获得预测的概率向量yi，该概率向量指示图Gi属于定义为：

其中XGi是线性函数的输出和SoftMax函数的输入。

1.3这些方法如何解决研究问题。

传统方法难以识别的攻击（如低速攻击、结构与正常流类似的 GET 攻击），GraphDDoS 通过以下方式解决：

二、论文的主要发现、结论及创新点是什么？

2.1论文的核心结果与主要发现

本文利用网络流量的结构信息，提出了一种利用GNN检测DDoS攻击的新方法GraphDDoS。引入端点流量图，该图包含单个流中的结构信息，流之间的关系，包括流突发信息和流周期信息，能够很好地区分DDoS业务图和正常业务图。利用端点流量图，将DDoS攻击检测问题转化为图分类问题，设计了一种能够有效识别图结构的GNN模型GraphDDoS。作者在两个著名的数据集CIC-IDS2017和CIC-DoS2017上将作者的方法与三种最先进的方法进行了比较。实验结果表明，作者的方法比其他方法具有更好的性能。证明了单流结构和流之间的关系信息对于检测DDoS攻击的重要性

2.2作者得出的关键结论

1.分析包结构关系+流突发/周期关系，是DDoS识别的关键；

2.图结构天然适合表示网络中数据流之间的复杂关系；

3.GIN在图级分类中表现最佳，能捕获更多图结构差异；

4.GraphDDoS能显著提升低速DoS检测能力，弥补传统DL方法缺陷。

2.3研究的创新点与对领域的贡献

1.作者提出了一种基于GNN的DDoS攻击检测模型GraphDDoS。使用该模型可以准确地检测出高流量、低流量、高速率和低速率的DDoS攻击，作者将流量转换为端点流量图，保留了数据包关系和流关系的流量信息，这对检测DDoS攻击至关重要；

2.作者在数据集CIC-IDS2017和CIC-DoS2017上进行了实验，表明GraphDDoS在多类型 DoS/DDoS检测中均优于现有方法。

2.4与已有工作的区别

基于序列的深度学习方法： DeepDefense，利用连续数据包的序列，通过卷积神经网络（CNN）、循环神经网络（RNN）和门控循环单元（GRU）等深度学习方法进行DDoS检测。这些方法通过滑动窗口从数据集中提取特征，取得了比浅层机器学习方法更好的性能。然而这些方法忽略了流量的方向信息、突发性信息和周期性信息，而这些信息对DDoS攻击的检测非常关键。

流关系的利用： Pujol-Perichet等人利用流之间的关系来构建图，将源主机、流和目标主机作为图中的节点，并通过图神经网络（GNN）进行分类。然而，这些方法忽略了单一流内的数据包结构关系，而这些关系对于DDoS攻击的准确检测至关重要。

图神经网络（GNN）的应用：Shen等人提出的Traffic Interaction Graph（TIG）将流转化为图并应用GNN进行分类。尽管TIG与本文提出的端点流量图方法相似，但其将流通过5元组（源/目标IP地址、源/目标端口和协议）分离，而本文的方法通过源/目标IP地址来分离流量，这对于DDoS攻击检测更加适用。

这些方法大多忽略了流量中更细粒度的结构信息尤其是数据包之间的关系，本文提出的端点流量图方法则全面考虑了这些关系，从而提高了DDoS攻击检测的准确性。

三、论文使用了什么研究方法和数据？

3.1研究设计与实验设置

性能评估：

作者使用10次交叉验证，它将数据集随机分为10个小子集，其中8个子集用于训练，最后两个子集用于测试。在CIC-IDS2017和CIC-DoS2017上的实验结果分别如表I和表II所示。

在CIC-IDS2017上，ACC/Precision/Recall/F1的所有值都非常接近1，而FPR仅为0.36%。与MLP相比，GraphDDoS的召回增加了约17%。MLP的召回率很低，这意味着它倾向于将DDoS/DoS攻击流量区分为正常流量。特别是在对CIC-DoS2017进行MLP测试时，MLP的召回率仅为65.04%，意味着MLP可能无法识别低率攻击。与CIC-IDS2017相比，GraphDDoS的准确率提高了约4%，准确率提高了约1%，召回率提高了约6%。Lucid的召回率也不是太高，仅比CICDoS2017高出88.45%。GNN-NIDS利用流与身份攻击之间的关系。其图形的节点包括主机、服务器以及它们之间的流量。GNN-NIDS的性能好于CIC-IDS2017，但在CIC-DoS2017上不是很高。GNN-NID的召回率仅为80.19%，与CIC-IDS2017相比下降了17%。这可能是因为DDoS攻击具有不同的流模式(n到1)，但DoS攻击的模式不是很明显。GNN-NIDS的性能优于Lucid和MLP，说明流的关系信息对检测DDoS攻击是有用的，但不足以检测DoS攻击。GraphDDoS的性能优于GNNNIDS，这主要是因为它不仅利用了GNN-NIDS也使用的流关系信息，而且引入了包关系信息和流的周期性信息。它还证实了包和流的周期性信息之间的关系对于检测DoS/DDoS攻击是至关重要的。

3.2数据收集方法与数据集特点

使用了两个经典数据集：

| 数据集 | 攻击类型 | 特点 | | — | — | — | | CIC-IDS2017 | Slowloris、Slowhttptest、Hulk、GoldenEye | 包括大量正常流量（10GB），DoS 攻击较丰富 | | CIC-DoS2017 | 高速 DoS + 多种低速攻击（Slowread、Slowbody、Slowheaders） | 尤其适合评估低速周期攻击 |

3.3分析技术与评估方法

技术方法：

1.图构造

2.GIN 节点/图表示学习

3.参数自动调优

4.对比实验（MLP / CNN / GNN-NIDS）

评价指标：为了评价不同分类模型的性能作者考虑了五个标准指标：准确率、假正率、精确度、召回率和F1-Score。TP是真阳性(标记为DoS的DoS记录)，FP是假阳性(标记为DoS的良性记录)，TN是真阴性(标记为良性的良性记录)，以及FN是假阴性(标记为良性的DoS记录)。

3.4方法学上的合理性。

比较模型：

为了评估GraphDDoS的性能，作者将其与两种最先进的深度学习方法(Lucid，GNN-NIDS)和三层MLP进行了比较。在实验中使用了Lucid和GNN-NIDS的开源实现，并构建了自己的MLP。所有这些比较方法都是基于TensorFlow实现的，并基于Pytorch DGL包实现了GraphDDoS。

参数调整：

1)超参数调整：超参数调整是GNN训练的关键部分，使GNN模型达到更好的性能。作者使用微软开发的自动参数调优工具NNI来调优超参数。对于每个超参数，利用控制变量方法来选择执行得最好的前k个值。在这个阶段，作者使用NNI的网格搜索模式，再将这些值组合在一起，使用NNI的TPE模式选择最佳的超参数集，如表III所示。