一种基于FP-outlier挖掘的P2P恶意节点检测方法
【技术领域】
[0001] 本发明属于对等网络(P2P网络)安全领域,具体的说是一种基于频繁模式离群点 (FP-outlier)挖掘的P2P网络中恶意节点检测方法。
【背景技术】
[0002] 诸如文件污染、僵尸网络、共谋攻击等恶意节点对P2P网络的攻击严重影响了网 络的性能和发展,有效检测恶意节点并抑制其攻击成为了现阶段研究的热点。现有研究通 常采用信任机制来增强P2P网络的可靠性和安全性,节点的信任值通常综合反馈信息和推 荐信息得到,虽然信任机制能在一定程度上减少恶意行为的影响,但往往依赖于反馈信息 和推荐信息,当反馈节点或推荐节点不提供或提供虚假信息时难W应对。
【发明内容】
[0003] 本发明的目的是不依赖于节点的反馈信息,而根据节点交互产生的数据来构建一 种具有较高应用价值的、简单易行的恶意节点检测方法。
[0004] 本发明根据P2P网络中节点之间的交互数据,为节点构建行为模式,采用频繁模 式挖掘的方法提取P2P子网内的局部频繁行为模式,再通过超节点之间局部频繁模式的增 量传播与聚合更新各个超节点保存的全局频繁行为模式,最后综合局部与全局频繁行为模 式计算节点的离群因子,将离群因子高于均值的节点检测为恶意节点。
[0005] 一种基于FP-outlier挖掘的P2P恶意节点检测方法,技术方案如下:
[0006] (1)节点行为模式建模
[0007] 1)超节点SN(SuperNode)WT为周期,SN为其子网内成员节点构建行为 模式。P2P节点的行为模式是由节点的交互数据导出的键值对有序集合,是对节点 行为方式的量化,记为BP炬ehaviorPattern)。对于节点i,其行为模式记为BPi,
【主权项】
1. 一种基于FP-OUtlier挖掘的P2P恶意节点检测方法,其特征在于,步骤如下: (1)节点行为模式建模 1) 超节点SN以T为周期,SN为其子网内成员节点构建行为模式;P2P节点的行为模式 是由节点的交互数据导出的键值对有序集合,是对节点行为方式的量化,记为BP ;对于节 Uj \ ij\ ... ij M 点i,其行为模式记为BPi, H., 其中,I =U1J2,…,Is}为反映 P2P 节点交互行为特征的s个关键项,由用户根据具体网络和侧重点自行设置;<,1 < Λ'为 节点i在项L上的值; 超节点保存时间窗τ内所在子网成员节点的BP数据,τ = IT1J2,…,Tm},m为 时间窗τ内的周期数;SN上保存的BP数据称为其所在子网的局部数据库,记为Dsn, ,….?],其中,T1-Tni为τ内的连续周期,路^丨为SN所在子网中 成员节点在Tx周期的BP集; 在每一周期结束后,根据需求,剔除超节点中保存的节点之间的交互的原始数据中的 不完整数据和格式错误数据,保证分析数据的有效性和完整性;超节点计算各个成员节点 在相关属性列上的取值,得到该周期的局部数据为
(1) 其中,η为P2P子网中包含的节点数,〇 < ) < < / < Η)为在1;周期时节 点i在L上的取值; 2) 局部数据的归一化:设的任一属性列上的值域范围为Range[min,max],其中 min和max分别为属性列上可能出现的最小值和最大值,将值域等分为若干个区间,表示取 值的大小特征,令z为期望划分的区间数,d = (max-min)/z为每一值域区间的长度,Range 进而划分为[min, min+d),[min+d, min+2d),…,[min+(m_l) d, max]的 m 个区间;在划分好 区间后对各取值区间进行整数编码,同时将忘中的取值更新为所属值域区间的编码,贫^ 更新为如下形式:
C2) 其中,?'ι ??./<a,i 为在τ,期节点i在I j上取值的所属区间编码; (2)局部频繁行为模式挖掘 运用数据挖掘领域现有的频繁模式挖掘算法挖掘P2P子网的局部频繁行为模式,求得 最为频繁的前k个频繁模式; 以时间窗为单位进行局部频繁模式挖掘,生成时间窗τ内各个周期的Dsn后,由超节点 计算子网内各个节点在时间窗τ内行为模式的平均值,节点i在时间窗τ内行为模式的 平均值记为得到Dsn在时间窗τ内的平均数据,用;表示:
......... (3) 其中为时间窗τ内节点i在Ij上取值所属区间编号的均值,
m为时间窗τ内的周期数; BPi的任意非空子集均为节点i所符合的行为模式,BP的长度为其中包含的项数,记为 IBP I I,在频繁模式挖掘中,长度为L的模式称为L-项集; 将P2P子网中各节点在当前时间窗内行为模式均值数据作为数据集,运用数据挖 掘领域现有的频繁模式挖掘算法挖掘P2P子网的局部频繁行为模式,挖掘E中前k个最 大频繁项集; 挖掘结果记为newLocalFP,是在P2P子网中出现最为频繁的k个行为模式的集合;对 比newLocalFP与上一个时间窗局部挖掘产生的LocalFP,将频繁行为模式的改变情况记为 Update,Update 包含两部分:Update. Inc 和 Update. Del,通过 newLocalFP 与 LocalFP 的集 合差运算求得; Update. Inc = newLocalFP - LocalFP (4) Update. Del = LocalFP - newLocalFP (5) 当Update不为空时,表示局部频繁行为模式产生了变化,将LocalFP更新为 newLocalFP ; 对于Update集合中的每个FP,赋予一个影响因子来反映 FP在评估离群性中的重要性, 记为 IF(FP);
(6) 其中,s = I 111 I,表示网络属性的个数,SUbNetSize(SN)为SN所在子网中包含的成员 节点个数;FP所属的子网成员节点越多,越能反映网络中大多数正常节点行为特征,IF越 尚;包含的项越多,其反映的彳丁为方式越有意义,IF越尚; (3) 全局频繁行为模式的增量传递与聚合; 当Update. Inc和Update. Del中至少有一个非空集合,则超节点将LocalFP的更新状 态封装成消息发送给SN的超节点邻居,消息包含以下内容:
超节点不断接收并存储来自其他超节点的消息,当接收到的消息数超过阈值S时进 行GlobalFP的增量聚合操作,过程如下: a) 消息整合,令超节点SN收到的消息集为Qsn,对于Qsn中的增加或删除更新一致的 FP,仅保留一份,其IF为各消息中IF的和;对于Qsn中增加或删除更新不一致的FP,对各消 息中IF(FP)加权求和,增加模式的IF为正,删除模式的IF为负;当IF(FP)加权求和非零 时,仅保留一份,其IF为IF(FP)加权求和的绝对值,若正则进行增加更新,若负则进行删 除更新;当IF(FP)加权求和为零时,不进行操作;经过消息整合Q sn变成一个Update,记为 Update (Qsn),包括 Update. Inc 和 Update. Del ; b) 更新GlobalFP ;对于GlobalFP中的FP,若存在于Qsn整合结果Update. Inc中,则增 加其IF ;若存在于Qsn整合结果Update. Del中,则减少其IF,当IF (FP)降为0删除GlobalFP 中的相应FP ;QSN整合结果Update. Inc中若存在不包含于GlobalFP的FP,则将该FP及IF 信息添加至GlobalFP中; (4) 离群因子计算及恶意节点检测 定义局部离群因子,表示节点的行为模式在其所在P2P子网中的异常程度,记 为LocalOF;全局离群因子,表示节点的行为模式在P2P全网范围内的异常程度,记为 GlobalOF ; 超节点SN所在子网中节点i的LocalOF和GlobalOF计算方法如下:
(7) 其中,X为节点i所符合的局部频繁行为模式,w(X) = |x|X||为X的权重;一个节点所 符合的LocalFP越少,权重越低,表明该节点的BP在子网中越离群,LocalOF越大;
(8) 其中,X为节点i所符合的全局频繁行为模式,一个节点符合的GlobalFP越少,影响因 子越低,表明该节点的BP在全网范围内越离群GlobalOF越大; 假设P2P网络中大多数节点是正常和善意的,将GlobalOF大于其所在子网各节点 GlobalOF均值的节点标记为恶意节点;令SN所在P2P子网中各成员节点的平均局部离群 因子为l〇ca/OFsv,平局全局离群因子为G/ο?α/?λΡ^ (1)当任意节点 i ^LocalOF<LocaIOFs, )[ μ. Gl〇balOFi<G7〇/^/OFvv 时,节点 i 的 BP在子网及P2P全网节点中均不离群;节点i与其所在子网和P2P全网中大多数节点的BP 相一致;节点i为正常节点,节点i所在P2P子网为正常子网; ⑵当任意节点i的LocalOFi> LocalOFs,并且GlobalOFiCG施"OFv''时,节点i的 BP在子网中离群,在P2P全网中不离群;节点i与P2P全网中大多数节点的BP-致,节点i 所在子网中大多数节点与网络中大多数节点BP不一致;节点i为正常节点,节点i所在子 网为异常子网; (3) 当任意节点 i 的 LocalOFFLocw/O/7、.、并且 GlobalOFj>G/〇/WOfw 时,节点 i 的 BP在子网中不离群,在整个P2P网络中离群;节点i与其所在子网中大多数节点的BP-致, 节点i所在子网中大多数节点与网络中大多数节点的BP不一致;节点i为恶意节点,节点 i所在子网为异常子网; (4) 当任意节点 i 的 LocalOFpiWOFw 并且 GlobalOFpG/〇k//Of;:Y 时,节点 i 的 BP在子网及P2P全网节点中均离群;节点i与其所在子网和P2P全网中大多数节点的BP都 不一致,节点i为恶意节点;其所在子网为正常子网或异常子网; 若为异常子网,包含于LocalFP但不包含于GlobalFP的BP即为恶意团体所符合的行 为特征,超节点以此为依据进行恶意行为抵抗,并将恶意团体行为特征发布给网络中其他 超节点;若为正常子网,若某一恶意节点的BP与某个恶意团体相符,则该节点也属于该恶 意团体;若某个恶意节点的行为并不符合任何团体性恶意行为模式,则该节点为个体性恶 意行为,其恶意行为特征为包含于BP,但不包含于GlobalFP的行为模式,超节点以此为依 据进行恶意行为抵抗。
【专利摘要】本发明提供了一种基于FP-outlier挖掘的P2P恶意节点检测方法,属于P2P网络安全领域。本发明对于半分布式P2P网络中恶意节点的识别,增强网络安全起到指导作用。根据P2P网络中节点之间的交互数据,构建节点的行为模式;采用频繁模式挖掘的方法提取P2P子网内的局部频繁行为模式;通过P2P网络中超节点之间局部频繁模式的增量传播与聚合更新各个超节点保存的全局频繁行为模式,并评估各个全局频繁行为模式的影响因子;综合局部与全局频繁行为模式计算节点的离群因子,将离群因子高于均值的节点检测为恶意节点。该发明简单易行,准确地检测恶意节点,增强网络安全,为网络管理提供借鉴意义。
【IPC分类】H04L29-06
【公开号】CN104836804
【申请号】CN201510220656
【发明人】孟宪福, 任爽
【申请人】大连理工大学
【公开日】2015年8月12日
【申请日】2015年4月30日