一种基于网络结构特征的异常检测方法与流程

本发明涉及网络安全
技术领域：
，特别是一种基于网络结构特征的异常检测方法。
背景技术：
：随着信息和网络技术的飞速发展，通信网络已成为人们日常生活中不可或缺的一部分，然而，伴随通信网络广泛应用为用户带来便利的同时，也为网络安全带来了极大的隐患，针对网络的攻击事件频繁发生，且攻击手段更加复杂多样。如何通过安全技术手段尽可能发现网络异常行为或入侵企图，并采取有效举措进行处理和防范，是目前信息安全领域研究的重点之一，这类研究称为网络异常检测。网络异常检测能够有效发现网络中的潜在问题，为网络安全运行提供基础。现有的网络异常检测技术根据研究对象主要分为两类，即基于主机和基于网络。基于主机的异常检测通过收集主机系统的时间日志、操作日志以及安全审计数据进行分析，发现可能遇到的异常事件。基于网络的异常检测主要是针对网络数据流，通过将网络行为分为“正常”和“异常”两类；符合规范的网络行为定性为正常行为，而与正常行为偏离较大的行为定性为异常行为。针对网络的异常检测技术，其基本思想是：通过对大量正常网络数据进行分析处理，建立正常规则模型，将待测网络与该规则模型进行匹配，判定与该规则不相匹配的待测网络为网络异常，相匹配的网络为正常。网络异常检测的过程一般包括数据采集、模型建立和匹配检测三个阶段。数据采集是模型建立和匹配检测阶段的基础，主要实现对数据的提取、筛选、过滤与预处理；模型建立阶段基于采集的数据，进行训练并建立正常模型，该模型将用于匹配检测阶段发现网络异常。目前应用较为广泛的异常检测方法包括基于信息熵的异常检测方法、基于统计分析的异常检测方法、基于分类的异常检测方盒以及基于聚类的异常检测方法等。部分方法存在无法检测规模性异常、对网络流量之间关联关系分析不深入、精细化分析导致开销过大等问题。技术实现要素：本发明的目的在于提供一种基于网络结构特征的异常检测方法，用于解决上述现有技术的问题。本发明一种基于网络结构特征的异常检测方法，其中，包括：(1)网络特征参数提取，包括：对于网络拓扑gs＝(vs,es)，其中vs和es分别表示网络拓扑节点集合和链路集合；网络特征参数集合定义为ss＝(s1,s2,…,sd)，共包含d类特征参数；(2)建立网络拓扑特征模型，包括：设置时间周期t天以及窗口宽度w，则网络结构特征模型定义如下：假设在t时刻之前，在周期内相同时刻的连续w次网络行为均为正常行为，则在t时刻正常网络结构特征s0(t)＝(so(t，1)，so(t，2)，so(t，3))可表示为：即t时刻正常网络结构特征为前w个周期内相同时刻的正常网络特征平均值；(3)进行网络特征匹配，包括：将t时刻的待检测网络结构特征与分析所得的正常网络结构特征进行匹配，若t时刻的网络特征与的正常网络结构特征偏离度较大，则表示当前t时刻的网络存在异常；若偏离度不大，则判定t时刻的网络正常；网络特征模型更新，并通过更新后的网络模型对待检测网络行为进行检测。根据本发明的基于网络结构特征的异常检测方法的一实施例，其中，还包括：(4)网络特征模型更新，包括：在检测结束后，若t时刻的网络存在异常，则仍以s0(t)作为t+1时刻的网络结构特征模式，即s0(t+1)＝s0(t)，若t时刻的网络行为为正常行为，增加t时刻的网络特征数据，替代在s0(t)中离t时刻时间最长的网络特征数据，即ss(t-w×t)，则：根据本发明的基于网络结构特征的异常检测方法的一实施例，其中，网络特征参数包括：网络节点数、网络边数、网络平均度数、网络拓扑直径、网络密度以及节点度分布.根据本发明的基于网络结构特征的异常检测方法的一实施例，其中，1)网络节点数为：网络gs＝(vs,es)的节点数v＝|vs|；2)网络边数为：网络中边的数目，即网络gs＝(vs,es)的边数e＝|es|；3)网络平均度数，包括：指连接到节点的边的数目，节点vi的度数d(vi)可表示为：其中，若节点vi与vj之间存在通信链路，即(vi,vj)∈es,则δij＝1，否则δij＝0，网络平均度数为网络中所有节点的平均度，表示为：根据本发明的基于网络结构特征的异常检测方法的一实施例，其中，时间周期t＝7天，窗口宽度w＝4。根据本发明的基于网络结构特征的异常检测方法的一实施例，其中，进行网络特征匹配采用的相似度匹配算法，包括jaccard算法以及夹角余弦算法。根据本发明的基于网络结构特征的异常检测方法的一实施例，其中，进行网络特征匹配中，t时刻的网络结构特征表示为：ss(t)＝(ss(t，1)，ss(t，2)，ss(t，3))，对ss(t)与s0(t)进行匹配，在匹配过程中，首先对ss(t)与s0(t)进行归一化处理，再进行相似度匹配；定义则归一化处理后的s’s(t)与s’0(t)表示为：根据本发明的基于网络结构特征的异常检测方法的一实施例，其中，对于办公网网络拓扑gs＝(vs，es)，选择3类特征参数，包括网络节点数、网络边数以及网络平均度数，即，ss＝(s1,s2，s3)，d＝3，其中s1，s2,s3分别表示网络节点数、网络边数以及网络平均度数。本发明根据已有研究成果发现，在正常情况下网络拓扑结构应具有一定的规律性和稳定性，而当网络异常行为发生时，会造成各网络结的特征发生变化。例如，ddos攻击以极大的通信量冲击目标网络或用极大量的连接请求冲击目标主机，以消耗可用的网络资源或系统资源，会导致网络拓扑中网络节点数、边数、平均度数大量增大。本发明将基于网络结构特征，结合滑动窗口理念，设计了一种网络异常检测方法，解决了现有技术无法检测规模性异常、对网络流量之间关联关系分析不深入、精细化分析导致开销过大等的问题。附图说明图1为基于网络结构特征的异常检测方法的流程图。具体实施方式为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。图1为基于网络结构特征的异常检测方法的流程图，如图1所示，本发明的基于网络结构特征的异常检测方法包括：(1)网络特征参数提取，包括：对于网络拓扑gs＝(vs,es)，其中vs和es分别表示网络拓扑节点集合和链路集合。网络特征参数集合定义为ss＝(s1,s2,…,sd)，共包含d类特征参数。网络特征参数可用于表征当前时刻网络状况，包括：网络节点数、网络边数、网络平均度数、网络拓扑直径、网络密度、节点度分布等。为了便于理解，本发明以网络节点数、网络边数、网络平均度数为例，所提模型具有良好的可扩展性，未来可根据需要扩充网络特征参数，如网络拓扑直径、网络密度、节点度分布等。1)网络节点数，包括：网络节点数是指网络中节点的数目，即网络gs＝(vs,es)的节点数v＝|vs|。2)网络边数，包括：网络边数是指网络中边的数目，即网络gs＝(vs,es)的边数e＝|es|。3)网络平均度数，包括：网络平均度数在无向图中是指连接到节点的边的数目，节点vi的度数d(vi)可表示为：其中，若节点vi与vj之间存在通信链路，即(vi,vj)∈es,则δij＝1，否则δij＝0。网络平均度数为网络中所有节点的平均度，可表示为：当网络中出现异常行为时，可能会导致网络结构特征发生变化。例如ddos攻击可能会导致网络节点数、边数、平均度数大量增大，因此通过提取网络特征参数，建立网络拓扑特征模型，并与该网络待检测状态进行匹配可发现网络异常行为。(2)网络拓扑特征模型建立网络流量及拓扑特征在一定时间周期内具有规律性。以办公网络为例，在一个星期内，工作日工作时间网络流量较大，在周末及工作日休息时间网络拓扑中节点和流量较少。本发明在网络特征模型建立阶段，结合滑动窗口理念，对网络拓扑的特征进行建模。滑动窗口初始设计主要针对网络数据流连续无限的情况，通过设计滑动窗口，着重对当前数据进行处理，对时间较远的衰减数据进行清除。本方法将对网络拓扑特征数据根据时间进行分片，如设置时间周期t＝7天，窗口宽度w＝4，则网络结构特征模型可初步定义如下：假设在t时刻之前，在周期内相同时刻的连续w次网络行为均为正常行为，则在t时刻正常网络结构特征s0(t)＝(so(t，1)，so(t，2)，so(t，3))可表示为即t时刻正常网络结构特征为前w个周期内相同时刻的正常网络特征平均值。(3)网络特征匹配，包括：网络特征匹配是将t时刻的待检测网络结构特征与分析所得的正常网络结构特征进行匹配，若t时刻的网络特征与的正常网络结构特征偏离度较大，则表示当前t时刻的网络存在异常；若偏离度不大，则判定t时刻的网络正常。t时刻的网络结构特征可表示为：ss(t)＝(ss(t，1)，ss(t，2)，ss(t，3))，对ss(t)与s0(t)进行匹配。在匹配过程中，首先对ss(t)与s0(t)进行归一化处理，再进行相似度匹配。定义则归一化处理后的s’s(t)与s’0(t)可表示为：目前已存在多种相似度匹配算法，如jaccard算法、夹角余弦算法等。可根据实际数据，经过反复多次测试，校正，验证，再校正的过程，选择最佳偏离度测算方案。(4)网络特征模型更新，包括：在检测结束后，若t时刻的网络存在异常，则仍以s0(t)作为t+1时刻的网络结构特征模式，即s0(t+1)＝s0(t)。若t时刻的网络行为为正常行为，增加t时刻的网络特征数据，替代在s0(t)中离t时刻时间最长的网络特征数据，即ss(t-w×t)，则：如图1所示，对于本发明基于网络结构特征的异常检测方法的一实施例，包括：步骤1：网络拓扑特征参数选择。对于办公网网络拓扑gs＝(vs，es)，选择3类特征参数，包括网络节点数、网络边数、网络平均度数。即，ss＝(s1,s2,s3)，d＝3，其中s1,s2,s3分别表示网络节点数、网络边数、网络平均度数。步骤2：网络拓扑特征模型建立。针对办公网络流量的规律性，设定流量特征比对的时间周期t＝7天，窗口宽度w＝4。即对于办公网网络拓扑gs＝(vs，es)，若判断时刻t为3月29日星期一上午10时的网络异常情况，则为建立正常网络拓扑特征模型，则需采集3月22日(t-t时刻)、3月15日(t-2×t时刻)、3月8日(t-3×t时刻)、3月1日(t-4×t时刻)上午10时的网络拓扑特征参数(上述四个时刻的网络行为均为正常行为)，相应的特征参数如下表所示。时间节点数边数平均度数3月22日10时1213501.913月15日10时1203581.933月8日10时1163681.943月1日10时1323641.86则在t时刻(3月29日星期一上午10时)正常网络结构特征可表示为步骤3：网络特征匹配。采集待检测的t时刻(3月29日星期一上午10时)的网络特征，为ss(t)＝(121,358,1.89)。经过归一化处理后，采用夹角余弦算法判断t时刻是否存在异常网络行为，经计算cos(θt)≈1，t时刻的网络结构特征与正常网络环境下的特征相匹配，即判定t时刻的网络不存在异常行为。步骤4：更新网络特征模型。因为t时刻的网络行为为正常行为，在对t+1时刻(即4月5日星期一上午10时)的网络行为进行检测时，更新网络拓扑特征模型，删除最远时刻3月1日上午10时的网络拓扑特征参数，补充3月29日上午10时的网络拓扑特征参数，并计算网络拓扑特征模型；若t时刻的网络存在异常，则仍采用原有网络拓扑特征模型。根据更新后的网络拓扑特征模型对待检测网络行为进行检测，重复步骤2、3、4。本发明根据已有研究成果发现，在正常情况下网络拓扑结构应具有一定的规律性和稳定性，而当网络异常行为发生时，会造成各网络结的特征发生变化。例如，ddos攻击以极大的通信量冲击目标网络或用极大量的连接请求冲击目标主机，以消耗可用的网络资源或系统资源，会导致网络拓扑中网络节点数、边数、平均度数大量增大。本发明将基于网络结构特征，结合滑动窗口理念，设计了一种网络异常检测方法，解决了现有技术无法检测规模性异常、对网络流量之间关联关系分析不深入、精细化分析导致开销过大等的问题。以上所述仅是本发明的优选实施方式，应当指出，对于本
技术领域：
的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。当前第1页12