基于信任的网络群体异常感知方法与流程

本发明涉及一种网络群体的异常感知方法。

背景技术：
由于互联网自身的复杂性、异构性与动态性导致在互联网上的各种网络恶意行为日趋隐蔽，同时群体化网络恶意行为可能在某一时间段内不同空间中进行交叉融合，形成危害较大的网络攻击，对互联网的基础设施中心服务节点产生巨大威胁。尤其随着僵尸网络技术的提升，更强的受控性、隐藏性与融合性使得互联网安全所面临的挑战愈加严峻。伴随着互联网及无线传感网络的兴起，基于网络的开放式大规模分布式应用的使用者大多为未知群体，大量的不确定性因素引发了研究人员对信任概念与信任模型的关注。目前的研究工作主要是针对主要集中与P2P网络与无线传感网络，主要考虑如何在无关中心化网络中建立节点的互信关系以及如何量化节点间信任值，没有进一步考虑群体性行为尤其是恶意行为在网络中的演化。

技术实现要素：
本发明为了解决现有异常感知没有考虑群体性恶意行为在网络中演化且忽略恶意行为节点之间的社会化关系，导致无法在早期发现恶意群体行为特征的问题，从而提供一种基于信任的网络群体异常感知方法。基于信任的网络群体异常感知方法，它包括如下步骤：步骤一：根据目标区域网络出口数据建立网络节点间的行为交互矩阵M；步骤二：对行为交互矩阵M数据进行计算，得到节点vi和节点vj间的相关信任度rij以及总信矩阵T'；步骤三：根据节点的总信矩阵T'计算节点的相似度矩阵SIM；步骤四：对相似度矩阵进行谱聚类，获取网络群体行为的异常。本发明实现了基于信任的网络群体异常感知。本发放不仅考虑到历史行为与时间衰减因素，还在此基础上建立信任行为交互矩阵，从而构造基于信任度的相似度矩阵，并基于该矩阵对网络群体进行聚类，以此发现网络中的潜在恶意群体。本发明能够使分类准确度持续在80%以上。附图说明图1为本发明基于信任的网络群体异常感知方法的流程图；图2为具体实施例所述DDoS攻击分类结果图；其中（a）为初始阶段的分类结果，（b）为攻击节点占总节点数量为40%时的分类结果，（c）为攻击节点数量为50%时的分类结果，（d）为攻击节点占总节点数量为60%时的分类结果；图3为具体实施方式所述DDoS攻击分类准确度对比图；其中（a）为DDoS初始阶段准确度对比图，（b）为DDoS阶段2准确度对比图，（c）为DDoS阶段3准确度对比图，（d）为DDoS阶段4准确度对比图；图中为本发明所述基于信任的网络群体异常感知方法的准确度；为具体实施方式所述基于偶图的分类模型方法的准确度；图4为具体实施方式一所述虚拟边Euq建立示意图。具体实施方式具体实施方式一、结合图1说明本具体实施方式。基于信任的网络群体异常感知方法，它包括如下步骤：步骤一：根据目标区域网络出口数据建立网络节点间的行为交互矩阵M；步骤二：对行为交互矩阵M数据进行计算，得到节点vi和节点vj间的相关信任度rij以及总信矩阵T'；步骤三：根据节点的总信矩阵T'计算节点的相似度矩阵SIM；步骤四：对相似度矩阵进行谱聚类，获取网络群体行为的异常。首先通过目标区域网络出口数据建立网络节点间的行为交互矩阵M，进而通过三个阶段对交互矩阵数据信息进行挖掘以发现网络中的异常状况：（1）计算网络内任意节点的相关信任度r；（2）计算相似度矩阵SIM，（3）普聚类分离，从而挖掘出网络群体行为的异常。本发明中技术用语定义如下：定义1网络信任度，网络信任的量化值，与信任属性直接相关，是描述网络节点行为间交互程度的定量表示。定义2总信任度，节点vi与节点vj间的信任度可以表示为F(vi,vj,dij,rij)，其中dij表示vi与vj直接交互行为产生的直接信任值，rij表示vi与vj的相关信任值。定义3直接信任度dij，与节点vi与节点vj间的直接信任度与节点的交互频率有关，交互频率约高，直接信任度越大，0<dij≤1。定义4传递信任度transitij，表示当节点vi与节点vj不存在直接交互行为时，通过信任传递方式得到的信任度。定义5相关信任度，与节点的行为相似度相关，描述交互行为相似的节点间信任属性。定义6原始交互拓扑图G，从网络数据中提取的基于IP地址生成的网络交互拓扑图，大多情况下可能是非连通图。定义7虚拟边Euq，对于原始交互拓扑图G，若图G由m个不连通子图g1,g2,...,gm构成，则Euq表示将子图gu与gq(1≤u,q≤m)中度最大的点相连形成的虚拟边，如度最大的点有多个，则任选其一相连，如图4所示，图4（1）表示图G由2个不连通子图g1,g2组成，显然节点2和节点6分别是子图中度最大的节点，因此将节点2与节点6相连，建立虚拟边。而交互矩阵M表示根据图的邻接矩阵建立方法对交互拓扑图G建立出的矩阵，矩阵中M的权值Mij为dij。具体实施方式二、本具体实施方式与具体实施方式一不同的是步骤二：对行为交互矩阵M数据进行信息计算网络内节点vi和节点vj间的相关信任度rij以及总信矩阵T'的过程为：步骤B1：获取行为交互矩阵M；步骤B2：恢复行为交互矩阵M连通性，得到邻接矩阵M'；节点vi在子图Gz内的影响力IMi为：其中，dgr(vi)为节点vi的度，影响力的取值范围为大于0且不大于1；选择每个子图中度最大的节点，对其进行虚拟边建立，其中虚拟边权值赋值为：其中，|Gz|为第z个子图内的节点数，VWij为领袖节点vi与领袖节点vj之间的虚拟边权值，λ为调节参数；从而将交互矩阵M中的节点vi与节点vj对应的位置赋值为VWij，直至所有虚拟边对应的部分均被赋值完毕，生成的新矩阵为邻接矩阵M'；步骤B3：通过邻接矩阵M'获得节点vi与节点vj的节点邻居集合neighi和neighj；其中neighi为节点vi的邻接向量，neighj为节点vj的邻接向量；步骤B4：计算neighi和neighj的差集Sij；步骤B5：采用先广搜索BFS算法计算节点vi到节点vj的路径；步骤B6：根据分别计算节点vi和节点vj对差集Sij中每个节点的传递信任值，并更新对应的邻接向量，并将更新后的邻接矩阵记为M''；步骤B7：根据公式计算邻接矩阵M''中任意两个节点的相关信任值rij，并通过公式计算出任意两个节点的总信任值F；其中L为获取交互数据的总次数；步骤B8：根据总信任值F获取总信任矩阵T'。本具体实施方式为计算网络内任意节点的相关信任度r的过程，由于行为交互拓扑图G通常是不连通图，因此通过虚拟边恢复方法对交互拓扑图G进行连通恢复，其中，行为交互拓扑图G的数学表达为行为交互矩阵；其次通过节点相似度公式计算任意两个节点的相关信任度，其中对于节点向量维度不同的情况，则根据传递新人计算对维度进行填充。本具体实施方式采用节点交互向量填充算法，其工作原理为：在抽象化的网络节点交互中，相关信任度是描述弱相关的节点潜在的信任属性，相关信任度公式如下：其中，nvecti为节点vi的邻接向量，neighj为节点vj的邻接向量。余弦定理是数据相似性分析的基本定理，当向量的夹角越小，其相似度越高。根据余弦定理可知当rij为0时，代表两个向量垂直，即相似度为0；当rij为1时，代表两向量平行，即相似度为1。由于nvecti与neighj维度可能不同，这将引起先关信任度计算出现误差，即维度的缺失降低了一些节点对相关信任度计算的影响。考虑到信任关系中存在部分传递性，可通过信任传递方法对向量进行填充。假设节点vi与节点vj之间没有直接交互，但节点vk与vi，vj均有交互，则vi到vj的传递信任值按照如下公式计算得出，从而保证两个节点维度相同：其中，表示节点vi到节点vj通过节点vk的传递信任值，其值等于节点vi对节点vk的直接信任值与节点vk对节点vj的直接信任值乘积。在修复过程中，对新加入的交互边权值的赋值是影响传递信任的关键性因素。在网络交互矩阵中，不连通子图的结构在一定程度上表现了该子图内节点的交互特征，而节点在子图内的影响在一定程度上也表现出该节点在图中的地位。通过IMi表示节点在子图内的活跃度：其中，IMi表示节点vi在子图Gz内的影响力，dgr(vi)为节点vi的度，0<IM≤1；IM越高表示该节点在子图内的活跃度越高，同时也直观表明在子图内的群体行为越集中，因此对于不同子图中领袖节点的IM越相近，表明集中性群体行为越相似，可分为三类情形：（1）两个领袖节点IM都高，说明两个图领袖节点的影响力都很高，此时两个子图在未来可能产生交集的概率较大；（2）两个领袖节点IM都低，说明两个子图结构较为松散，子图内的交互行为尚未稳定，其可能产生新的交互概率较高；（3）两个IM差异较大，说明两个子图的交互行为并不相似，则可能产生新的交互概率交底。两个子图领袖节点虚拟边权值越大时表示它们的差异越小，用于确定上述三类情况，虚拟边权值的计算方法为：其中，|Gn|为第n个子图内的节点数，VWij为领袖节点vi与领袖节点vj之间的虚拟边权值，。通过上述交互矩阵的连通恢复与节点交互向量填充，能够计算节点vi与节点vj相关信任值，此时总信任值F为：其中，L为获取交互数据的总次数，；由于获取的交互矩阵数据只是整个网络交互演变过程中的序列快照，若事先固定ωi的值，将导致计算出的总信任值存在较大误差。为了降低误差对行为相似度矩阵的影响，则采用动态的参数赋值策略对ω1和ω2进行指定。信任的不确定性是影响信任量化准确度的重要因素，而信任值的大小则表示未来交互概率的高低，考虑到不确定性特征在信任中的影响，我们使用信息熵方法对权重进行自动修正，进一步降低信任误差。信息熵是表示时间不确定性的一个重要概念，熵值越低表示不确定性越小：对于直接信任值与相关信任值，分别计算其对应的熵值：例如从交互矩阵中进行计算：H(ω1)=-0.7·log(0.7)-0.3·log(0.3)=0.2652H(ω2)=-0.5·log(0.5)-0.5·log(0.5)=0.3010表示本次数据中所获得的直接信任值的不确定性低于相关信任值，计算相应的ωi：由于传递信任的计算是指数性下降，因此可能出现H(ω)≥1的情况，此时说明数据的不确定性极大，数据值所包括的信息量基地，对于这类数据直接判定对应的ωi为0，降低不确定性对信任计算的影响。具体实施方式三、本具体实施方式与具体实施方式二不同的是步骤三：根据节点的总信矩阵T'计算节点的相似度矩阵SIM的过程为：步骤C1：根据总信矩阵T'计算任意两节点vi,vj(i≤j)的信任向量tveci,tvecj；步骤C2：根据余弦定理，计算tveci,tvecj之间的夹角，得到节点vi和节点vj的相似度SIij；步骤C3：根据相似度SIij构建相似度矩阵SIM。本具体实施方式为计算相似度矩阵SIM的过程：为了衡量网内两个节点的行为相似性，通过直接信任与相关信任得到总信任值，进而根据这两个节点的信任向量计算他们的相似性，最终获得相似度矩阵SIM。对于我们得到的总信矩阵T'，该矩阵是非对称矩阵，保持了信任有向性特征。但这种非对称性对分类造成了极大的困难，为了能够对网络节点进行分类，我们需要从总信矩阵T'中提取出节点的相似性，构建对称的相似度矩阵SIM。具体实施方式四、本具体实施方式与具体实施方式三不同的是步骤四：对相似度矩阵进行谱聚类，获取网络群体行为的异常的过程为：步骤D1：根据相似度矩阵SIM计算对角矩阵D，其中：步骤D2：根据对角矩阵D计算拉普拉斯矩阵L，同时计算拉普拉斯矩阵L的特征值并按降序排列生成的特征值序列；计算拉普拉斯矩阵L：L=D-SIM拉普拉斯矩阵L的特征值为λi，特征值个数为m，则i≤m，按降序排的特征值序列为λ1,λ2,...,λm,(m≤n)，n为拉普拉斯矩阵L的阶数；步骤D3：令gi=λi-λi+1,(i=1,...,m-1)计算gi，生成序列g1,g2,...,gm-1；步骤D4：通过对拉普拉斯矩阵L的特征值约束，确定目标数据集的族个数k：步骤D5：根据族个数k从拉普拉斯矩阵L的特征值序列中从大到小获取k个特征值，获得对应的特征向量e1,e2,...,ek，则特征矩阵V为V=[e1,e2,...,ek]；步骤D6：采用k均值算法对特征矩阵V进行聚类，获得聚类结果Clusteri,i=1,...,k；步骤D7：根据得到的聚类结果Clusteri,i=1,...,k与正常的网络数据聚类结果进行对比，当出现误差时，则可认为出现异常，例如节点类数目发生较大改变，或者原先类中节点数目发生较大改变，则可认为出现异常。本具体实施方式为进行聚类分析的过程：为了对网内节点进行聚类，实现对异常群体事件的自动识别，通过改进谱聚类算法增强类数目的识别能力，提高聚类的精确度。假设拉普拉斯矩阵L为p阶，特征值个数为m(m≤p)，λi(i≤m)是拉普拉斯矩阵L的特征值，且λi≥λi+1。我们定义gi=λi-λi+1,(i=1,...,m-1)，显然gi>0。考虑到二阶导数的几何意义为斜率变化的快慢，类似的，我们只需找出gi的变化趋势即可。因此，我们约束条件进行松弛，增强类数目的自动识别能力：其中，k满足gi+1-gi<0或gi>(gi+1+gi-1)/2中最小的。我们通过对拉普拉斯矩阵L的特征值进行约束，确定目标数据集的族个数，进而对相似度矩阵进行谱聚类。本具体实施为相似度矩阵自动谱聚类算法CSMA(SimilarityMatrixAutomatedSpectralClusteringAlgorithm)。本算法通过典型的谱聚类算法计算拉普拉斯矩阵L的特征值方法，接着为了增加自动识别族的能力，对特征值选取进行约束，决定族的数量。通过使用k均值算法对k个最大特征值所对应的特征向量组成的实矩阵V∈Rp×k进行k分类，最后得到聚类结果。对于计算拉普拉斯矩阵L的特征值的时间复杂度一般为O(p3)，n为矩阵维度；对于降序排列特征值时间为O(mlogm)，其中m为特征值个数；而约束条件匹配的时间复杂度通常都较小，可视为常数；对于k均值算法时间复杂度一般为O(tkp)，其中t为迭代次数，k为族数目，n为节点个数，因此总的时间负责度上界为O(p3)。具体实施例：结合图2和图3说明本具体实施例。DDoS攻击是典型的网络恶意行为之一，通常的检测手段是通过链路流量的饱和度以及服务端连接数进行判断。为验证本文模型对于整个DDoS攻击前期、中期和后期三个阶段的识别能力，我们进行一下实验分析：整个模拟过程的参数设置如表1所示：表1DDoS攻击模拟实验参数整个攻击模拟时长为40秒，被攻击节点序号为第2527号节点，模拟共分为四个阶段：1)初始阶段(initialstage)：持续时间为0-10秒，该时期内所有节点根据前文提到的初始阶段进行网络交互；2)攻击阶段1(attackstage1)：持续时间为10-20秒，40%的节点(节点序号1510-2516)参与DDoS攻击；3)攻击阶段2(attackstage2)：持续时间为20-30秒，50%的节点(节点序号1260-2516)参与DDoS攻击；3)攻击阶段3(attackstage3)：持续时间为30-40秒，60%的节点(节点序号1008-2516)参与DDoS攻击。每秒进行1次网络交互拓扑导出，共计产生40个交互矩阵，则4个阶段的交互矩阵均为10个，根据公式(5)对每个阶段的总信任值进行迭代计算，图2展示了4个阶段的分类结果。图2(a)显示了初始阶段的分类结果，根据特征值选择约束条件得出类数目k=4，可看出大约有60%的节点被划分到同一类中，根据交互度分布可知大量的节点的出度为1，虽然它们的目标节点大多不同，然而在行为上具有很高的相似度。图2(b)显示了攻击节点占总节点数量40%的分类结果，两个偏小的阴影区域是攻击节点聚类集合，同时被攻击节点被单独分出，最大的阴影区域是正常节点集合。由于传递信任的影响导致攻击节点被分成2类，但所包括非攻击节点数极少，说明分类准确度较高。图2(c)显示攻击节点占50%的情况，此时分类数目k被自动识别为3，攻击节点与被攻击节点均被划分至同一类，说明随着攻击节点比例的增加，传递信任的影响逐渐增多。而图2(d)展示了攻击节点为60%的分类结果，此时所有的攻击节点在同一类中，被攻击节点再次被单独分类，普通节点间的聚合度也进一步提升。我们可看出随着攻击节点数目的增加，整个网络的分类趋势逐渐变小，即k值从4变至3，同时产生新的独立类别节点，即被攻击节点，同时还可看出当攻击节点比例较小时，分类的效果并不理想，没有将所有攻击节点划分至同一类别中，说明传递信任在网络行为聚集度不太高的情况下对分类结果的产生一定影响，造成节点的相似度距离变大，当攻击节点比例上升至60%，整个网络分类结果非常明显，攻击、被攻击及普通节点被分至不同三类。整个过程同时也表明分类识别度随着攻击节点覆盖面的增加而增加。为了对聚类算法中的特征值约束条件进行分析，我们进一步将分类算法与文献进行对比，首先定义分类准确度CA作为评价指标，由于我们更加关心攻击节点的分类准确性，因此只计算攻击节点居多的类别，公式如下：其中p为攻击节点居多的类数目，numi表示该类中攻击节点的个数，totalnumi表示该类中所有节点个数。为了更直观的分析分类结果，在模拟过程中每秒输出1次行为交互拓扑，在40s过程中共计产生40个交互行为图。图3显示了4个阶段的分类准确度CA，虚线是本文的聚类算法(BTC)，很明显分类准确度高于基于偶图的分类模型(BGC)。从图3中可看出随着攻击节点数增加，两种分类模型的分类准确性迅速提升，但在攻击的初级阶段，如图3(b)所示，当攻击持续7秒时，BGC的分类准确性仅有33%，而本文的分类准确度达到87%，这是由于BGC算法对特征值的约束条件过强，导致类数目较低，大量非攻击节点和攻击节点被划分到同一类中。随着参与攻击的节点不断增多，到第4阶段，两种算法的准确度都大于90%，说明当攻击节点超过全网节点50%时，偶图模型的分类方法也较为有效。适用情况：适用于不同应用、适用于不同规模的网络、适用于不同类型的网络。只要能够获取目标网络的网络包数据，均可使用此发明中的方法。本发明所述方法，不仅能够用于感知目标网络的异常事件，而且适用于不同的逻辑网络，比如社会网络等。