一种基于双源流量图融合的网络加密攻击检测方法

本发明公开了一种基于双源流量图融合的网络加密攻击检测方法，所述方法包括收集某学院校园网络流量的IP级数据，并对原始pcap流量包进行基础特征提取；对提取的基础特征进行特征工程，并通过随机森林模型进行恶意或良性初筛；分别从初筛后的良性流量包和恶意流量包中提取IP节点特征与边特征；对提取过的节点特征和边特征进行数据处理，将节点和边特征融合为一张图；根据节点恶意概率，通过防火墙API执行实时阻断。本发明通过跨图融合实现协同分析，节点偏移机制消除ID冲突确保拓扑融合零损失，马尔可夫边特征精准捕获加密流量行为模式，较传统单一图建模提升新型攻击检出率46.5％，为加密威胁检测提供全新解决方案。