CN104301330B - 基于异常行为监测和成员亲密度测量的陷阱网络检测方法 - Google Patents

基于异常行为监测和成员亲密度测量的陷阱网络检测方法 Download PDF

Info

Publication number
CN104301330B
CN104301330B CN201410596589.6A CN201410596589A CN104301330B CN 104301330 B CN104301330 B CN 104301330B CN 201410596589 A CN201410596589 A CN 201410596589A CN 104301330 B CN104301330 B CN 104301330B
Authority
CN
China
Prior art keywords
network
event
mrow
cohesion
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410596589.6A
Other languages
English (en)
Other versions
CN104301330A (zh
Inventor
张德海
张德刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yunnan University YNU
Original Assignee
Yunnan University YNU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yunnan University YNU filed Critical Yunnan University YNU
Priority to CN201410596589.6A priority Critical patent/CN104301330B/zh
Publication of CN104301330A publication Critical patent/CN104301330A/zh
Application granted granted Critical
Publication of CN104301330B publication Critical patent/CN104301330B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters

Abstract

基于异常行为监测和成员亲密度测量的陷阱网络检测方法,步骤如下:1)、网络事件监测;2)、网络异常事件监测;3)、网络用户亲密度测量;4)、网络事件风险系数计算;5)、网络陷阱预警。本发明的方法能够给用户提供可靠的安全保障,还不影响用户正常接入网络,用户既可以享受无处不在的网络带来的便利又不用担心随之而来的风险。

Description

基于异常行为监测和成员亲密度测量的陷阱网络检测方法
技术领域
本发明设计了一个在普适计算环境下通过网络异常事件监测和网络成员亲密度测量来发现陷阱网络的方法,属于网络安全和智能检测及分类等数据分析技术领域。适用于陷阱网络检测全过程信息化、智能化、规范化、流程化处理系统。
背景技术
随着移动设备的普及(特别是智能手机),无线网络安全方面问题也越来越凸显。人们在享受着无处不在的无线网络所带来的便利性的同时也需面对越来越多的安全问题,例如个人信息丢失、身份盗窃等等。
带有无线网络接入功能的移动设备(例如智能手机)正变得越来越流行,当一个人走在大街上或者进入了拥有无线网络的人流集中地,那么他就可以很容易的将他的设备接入一个未知的无线网络中。这对设备持有者来说是个很方便的事,但会给他的个人信息和财产带来巨大的安全隐患。如果这个未知的无线网络是一个陷阱网络,这个网络的其它成员属于一个别有用心的组织,那么他们会勾结在一起来欺骗该设备持有者,设备持有者也因此会遭受损失。
一方面,由于用户经通常需要接入未知的无线网络,陷阱网络因此成为突破移动设备安全防护的重要途径。另一方面,由于陷阱网络中的骗子常以团伙形式来欺骗用户,因此用户很容易受骗。这样的事情在现实生活中每天都会发生。
举个例子,当一个用户在旅途中加入一个自组网中,他想获得一些本地的便宜餐馆或者纪念品商店的信息,他加入到一个本地的网络中并要求获得一些帮助,所有的其它成员都建议同一家餐馆或纪念品店,并告诉该用户价格非常便宜,但是最后等该用户到了那家餐馆或商店后才发现价格并不如建议上说的那么便宜。
再举一个例子,当一个用户加入到一个自组网时,该网络中的一位成员给此用户一个低投入但高回报的投资机会,该网络其它成员也强烈建议将此投资机会给该用户,也有一些成员建议该用户抓住此投资机会。而如果你真的进行投资的话,你就会发现你被欺骗了。
“陷阱网络”指一些可以自由接入并且会产生网络诈骗的无线网络或社交网络。该网络的成员都是别有用心的,他们勾结在一起来引诱和欺骗受害者。诈骗罪在很多国家都是重罪。不幸的是,这类问题几乎每天都发生。因为相关识别方法的缺乏,它很难被我们检测出来。
发明内容
本发明正是为了克服上述现有技术存在的缺陷和不足之处,为了解决日益复杂的普适计算网络环境中存在的陷阱网络问题,提供一个在普适计算环境下通过网络异常事件监测和网络成员亲密度测量来发现陷阱网络的方法。该方法提出了一个基于网络风险系数的陷阱网络识别模型。通过检测陷阱网络特定的网络行为模式和网络成员亲密度程度来衡量加入该网络的风险,当人们加入一个未知的网络时,我们就检测异常事件,如果出现了异常事件,那么我们就测算这些提出建议的成员之间的亲密程度并计算出该网络的风险系数,然后根据不同级别的风险发出不同级别的警告。给用户提供可靠的安全保障,还不影响用户正常接入网络,用户既可以享受无处不在的网络带来的便利又不用担心随之而来的风险。
本发明的目的是通过如下技术方案来实现的。
基于异常行为监测和成员亲密度测量的陷阱网络检测方法,本发明特征在于,步骤如下:
1)、网络事件监测
当用户要接入一个陌生网络的时候,网络服务器系统监测该网络产生的事件,事件E被定义为向量E:=Fc={F1,F2,F3...Fn},n是属性的数量;这些属性包括事件发生的时间,地点,参与成员,金额的多维信息,然后在服务器数据库中更新事件的历史记录;由于不同属性对事件的影响也会有不同,属性的影响力将被量化为不同的权重:
2)、网络异常事件监测
计算当前事件向量和历史事件向量之间的距离,并将此作为网络事件异常系数;第一步:如果事件数量为1,那么个人网络异常事件系数计算公式为:C_a=Dis(F_c,F_r),其中,Dis(Fc,Fr)=||aFc-aFr||,其中,||·||代表向量之间的距离,Fr是历史事件属性;第二步:如果事件数量超过1,采用常见的如k-mean或k-median聚类算法,将这些事件向量分为M类,并存储在数据服务器中,如果新的事件数量到达一个阈值后再进行重新聚簇;当监测到一个新事件后,计算新事件与每个簇中心的距离,这些距离中最短的一个将被设定为当前网络事件的异常系数,记为Ca,Ca=argMin(D),其中:D=Dis(Fc,Firc),i∈{1,2,3,...M},M∈R,这里Firc代表第i个聚簇中心。
3)网络用户亲密度测量
根据步骤2判断出的异常事件,接着进一步测量该网络中所有向用户进行过推荐的成员之间的亲密度M={m1,…};方法是,收集一段时间内(实验中采用5天)这些成员之间的语音或者文本信息交流内容,语音则用语音识别技术转换为文本,利用Lovins算法进行主题合并和除梗预处理,将文本分割成为基本的词,通过统计词频,将文本转换成词频集合T:={(c1,w1),(c2,w2)…},其中权重wi表示词ti在整个文本中出现的频率;根据具体事件的描述给出一个语义维度d,对于一个给定的片段c,其权值通过测量c和d之间的关联性得出:map(c,d)=rel(c,d);当rel(c,d)的值低于一个给定的阈值λ,将其置为0,以过滤噪音,而一段时间的交谈的总分是对应文本中所有映射的语言片段的得分的总和;
所有推荐成员M={m1,…}间的亲密度就是总分的平均值UM(t);
4)网络事件风险系数计算
根据步骤3的计算结果,综合网络异常事件系数和网络成员间亲密度系数来计算网络危险系数:
Rt=WtCa+(1-Wt)Closeness(M)
其中,Rt是陷阱网络的风险系数,Ca是网络异常事件系数,P是成员亲密度系数,Wt是Ca的权重。
5)网络陷阱预警
根据步骤4的计算结果,设定多个阈值来判定风险的级别,同时根据风险系数Rt来向用户发出警告信息或者对他提出建议;第一级别风险:如果风险系数的值低于0.2,这代表着该网络符合历史网络事件,人们可以信任这个网络;第二级别风险:如果风险系数级别的值在0.2和0.5之间,那么用户就需要在安全模式下接入这个网络,并且要有选择地接受信息;第三级别风险:如果风险系数级别的值在0.5至0.8之间,那就表明这个网络中包含重大风险,用户需要限制与网络其它成员的联系,系统也会在每次信息交换时发出警告信息;第四级别风险:如果风险系数值高于0.8,那就表明这个网络完全不可信任,系统会终止接入该网络并且发出积极警告。
本发明的有益效果是,提供一个在普适计算环境下通过网络异常事件监测和网络成员亲密度测量来发现陷阱网络的方法。该方法提出了一个基于网络风险系数的陷阱网络识别模型。通过检测陷阱网络特定的网络行为模式和网络成员亲密度程度来衡量加入该网络的风险,当人们加入一个未知的网络时,我们就检测异常事件,如果出现了异常事件,那么我们就测算这些提出建议的成员之间的亲密程度并计算出该网络的风险系数,然后根据不同级别的风险发出不同级别的警告。给用户提供可靠的安全保障,还不影响用户正常接入网络,用户既可以享受无处不在的网络带来的便利又不用担心随之而来的风险。
附图说明
图1是本发明基于异常行为监测和成员亲密度测量的陷阱网络检测方法的总体框架图;
图2是本发明基于异常行为监测和成员亲密度测量的陷阱网络检测方法流程图;
图3是本发明网络事件检测流程图。
具体实施方式
现结合附图对本发明作进一步描述,参考附图1、图2和图3,具体的实施步骤如下:
1).网络事件监测
当用户要接入一个陌生网络的时候,系统监测该网络产生的事件,事件E被定义为向量E:=Fc={F1,F2,F3...Fn},n是属性的数量。这些属性包括事件发生的时间,地点,参与成员,金额和其它多维信息,然后在服务器数据库中更新事件的历史记录。考虑到不同属性对事件的影响可能也会有显著的不同,属性的影响力将被量化为不同的权重:
2).网络异常事件检测
计算当前事件向量和历史事件向量之间的距离,并将此作为网络事件异常系数。第一步:如果事件数量为1,那么个人网络异常事件系数计算公式为:C_a=Dis(F_c,F_r),其中,Dis(Fc,Fr)=||aFc-aFr||,其中,||·||代表向量之间的距离,Fr是历史事件属性。第二步:如果事件数量超过1,采用常见的聚类算法(例如k-mean和k-median)将这些事件向量分为M类,并存储在数据服务器中(如果新的事件数量到达一个阈值后再进行重新聚簇)。当监测到一个新事件后,计算新事件与每个簇中心的距离,这些距离中最短的一个将被设定为当前网络事件的异常系数,记为Ca,Ca=argMin(D),其中:D=Dis(Fc,Firc),i∈{1,2,3,...M},M∈R,这里Firc代表第i个聚簇中心。网络异常事件检测流程如图3所示。
3).网络用户亲密度测量
根据步骤2判断出异常事件,接着进一步测量该网络中所有向用户进行过推荐的成员之间的亲密度M={m1,…}。基本思想是,收集一段时间内这些成员之间的交流内容(语音或者文本信息,语音则用语音识别技术转换为文本),利用Lovins算法进行主题合并和除梗预处理,将文本分割成为基本的词,通过统计词频,将文本转换成词频集合T:={(c1,w1),(c2,w2)…},其中权重wi表示词ti在整个文本中出现的频率。根据具体事件的描述给出一个语义维度d,对于一个给定的片段c,其权值通过测量c和d之间的关联性得出:map(c,d)=rel(c,d)。当rel(c,d)的值低于一个给定的阈值λ,将其置为0,以过滤噪音,而一段时间的交谈的总分是对应文本中所有映射的语言片段的得分的总和。
所有推荐成员M={m1,…}间的亲密度就是总分的平均值UM(t);
4).网络事件风险系数计算
根据步骤3的计算结果,综合网络异常事件系数和网络成员间亲密度系数来计算网络危险系数:
Rt=WtCa+(1-Wt)Closeness(M)
其中,Rt是陷阱网络的风险系数,Ca是网络异常事件系数,P是成员亲密度系数,Wt是Ca的权重。
5).陷阱网络预警
根据步骤4的计算结果,设定多个阈值来判定风险的级别,同时根据风险系数Rt来向用户发出警告信息或者对他提出建议。第一级别风险:如果风险系数的值低于0.2,这代表着该网络符合历史网络事件,人们可以信任这个网络。第二级别风险:如果风险系数级别的值在0.2和0.5之间,那么用户就需要在安全模式下接入这个网络,并且要有选择地接受信息。第三级别风险:如果风险系数级别的值在0.5至0.8之间,那就表明这个网络中包含重大风险,用户需要限制与网络其它成员的联系,系统也会在每次信息交换时发出警告信息。第四级别风险:如果风险系数值高于0.8,那就表明这个网络完全不可信任,系统会终止接入该网络并且发出积极警告。

Claims (1)

1.基于异常行为监测和成员亲密度测量的陷阱网络检测方法,其特征在于,步骤如下:
1)、网络事件监测
当用户要接入一个陌生网络的时候,该网络的服务器系统监测该网络产生的事件,事件被定义为向量Fc={F1,F2,F3...Fn},n是属性的数量;这些属性包括事件发生的时间,地点,参与成员,金额的多维信息,然后在服务器数据库中更新事件的历史记录;由于不同属性对事件的影响也会有不同,属性的影响力将被量化为不同的权重:
2)、网络异常事件监测
计算当前事件向量和历史事件向量之间的距离,并将此作为网络事件异常系数;第一步:如果事件数量为1,那么网络异常事件系数计算公式为:Ca=Dis(Fc,Fr),其中,Dis(Fc,Fr)=||aFc-aFr||,其中,||·||代表向量之间的距离,Fr是历史事件属性;第二步:如果事件数量超过1,采用常见的聚类算法,将这些事件向量分为N类,并存储在数据服务器中,如果新的事件数量到达一个阈值后再进行重新聚簇;当监测到一个新事件后,计算新事件与每个簇中心的距离,这些距离中最短的一个将被设定为当前网络事件的异常系数,那么网络异常系数Ca=argMin(D),其中:D=Dis(Fc,Firc),i∈{1,2,3,...N},N∈R,这里Firc代表第i个聚簇中心;
3)网络用户亲密度测量
根据步骤2判断出的异常事件,接着进一步测量该网络中所有向用户进行过推荐的成员M={m1,...}之间的亲密度;方法是,收集一段时间内这些成员之间的语音或者文本信息交流内容,语音则用语音识别技术转换为文本,利用Lovins算法进行主题合并和除梗预处理,将文本分割成为基本的词,通过统计词频,将文本转换成词频集合T:={(c1,w1),(c2,w2)…},其中权重wi表示词ti在整个文本中出现的频率;根据具体事件的描述给出一个语义维度d,对于一个给定的片段c,其权值通过测量c和d之间的关联性得出:map(c,d)=rel(c,d);当rel(c,d)的值低于一个给定的阈值λ,将其置为0,以过滤噪音,而一段时间t的交谈的总分是对应文本中所有映射的语言片段的得分的总和:
<mrow> <mi>s</mi> <mi>c</mi> <mi>o</mi> <mi>r</mi> <mi>e</mi> <mrow> <mo>(</mo> <mi>t</mi> <mo>)</mo> </mrow> <mo>=</mo> <munder> <mo>&amp;Sigma;</mo> <mrow> <mo>(</mo> <msub> <mi>c</mi> <mi>i</mi> </msub> <mo>,</mo> <msub> <mi>w</mi> <mi>i</mi> </msub> <mo>&amp;Element;</mo> <mi>T</mi> <mo>)</mo> </mrow> </munder> <msub> <mi>w</mi> <mi>i</mi> </msub> <mi>m</mi> <mi>a</mi> <mi>p</mi> <mrow> <mo>(</mo> <msub> <mi>c</mi> <mi>i</mi> </msub> <mo>,</mo> <mi>d</mi> <mo>)</mo> </mrow> </mrow>
所有向用户进行过推荐的成员M={m1,...}之间的亲密度就是总分的平均值:
<mrow> <mi>c</mi> <mi>l</mi> <mi>o</mi> <mi>s</mi> <mi>e</mi> <mi>n</mi> <mi>e</mi> <mi>s</mi> <mi>s</mi> <mrow> <mo>(</mo> <mi>M</mi> <mo>,</mo> <mi>t</mi> <mo>)</mo> </mrow> <mo>=</mo> <mfrac> <mrow> <mi>s</mi> <mi>c</mi> <mi>o</mi> <mi>r</mi> <mi>e</mi> <mrow> <mo>(</mo> <mi>t</mi> <mo>)</mo> </mrow> </mrow> <mrow> <mo>|</mo> <mi>M</mi> <mo>|</mo> </mrow> </mfrac> <mo>;</mo> </mrow>
4)网络事件风险系数计算
根据步骤3的计算结果,综合网络异常事件系数和网络成员间亲密度系数来计算网络风险系数:
Rt=WtCa+(1-Wt)closeness(M,t)
其中,Rt是陷阱网络的风险系数,Ca是网络异常事件系数,Wt是Ca的权重;
5)网络陷阱预警
根据步骤4的计算结果,设定多个阈值来判定风险的级别,同时根据风险系数Rt来向用户发出警告信息或者对他提出建议;第一级别风险:如果风险系数的值低于0.2,这代表着该网络符合历史网络事件,人们可以信任这个网络;第二级别风险:如果风险系数级别的值在0.2和0.5之间,那么用户就需要在安全模式下接入这个网络,并且要有选择地接受信息;第三级别风险:如果风险系数级别的值在0.5至0.8之间,那就表明这个网络中包含重大风险,用户需要限制与网络其它成员的联系,系统也会在每次信息交换时发出警告信息;第四级别风险:如果风险系数值高于0.8,那就表明这个网络完全不可信任,系统会终止接入该网络并且发出积极警告。
CN201410596589.6A 2014-10-29 2014-10-29 基于异常行为监测和成员亲密度测量的陷阱网络检测方法 Active CN104301330B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410596589.6A CN104301330B (zh) 2014-10-29 2014-10-29 基于异常行为监测和成员亲密度测量的陷阱网络检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410596589.6A CN104301330B (zh) 2014-10-29 2014-10-29 基于异常行为监测和成员亲密度测量的陷阱网络检测方法

Publications (2)

Publication Number Publication Date
CN104301330A CN104301330A (zh) 2015-01-21
CN104301330B true CN104301330B (zh) 2017-09-15

Family

ID=52320898

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410596589.6A Active CN104301330B (zh) 2014-10-29 2014-10-29 基于异常行为监测和成员亲密度测量的陷阱网络检测方法

Country Status (1)

Country Link
CN (1) CN104301330B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105516152B (zh) * 2015-12-15 2019-03-29 云南大学 异常行为检测方法
CN110223085A (zh) * 2019-05-25 2019-09-10 深圳市元征科技股份有限公司 一种数据处理方法、服务器及计算机可读介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102004999A (zh) * 2010-12-06 2011-04-06 中国矿业大学 电子商务网络中基于行为收益模式的共谋团体识别方法
CN102281163A (zh) * 2011-09-19 2011-12-14 南京大学 一种网络入侵检测报警的方法
CN103902621A (zh) * 2012-12-28 2014-07-02 深圳先进技术研究院 一种鉴定网络谣言的方法和装置
CN103916385A (zh) * 2014-03-13 2014-07-09 南京理工大学 一种基于智能算法的waf安全监测系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7805762B2 (en) * 2003-10-15 2010-09-28 Cisco Technology, Inc. Method and system for reducing the false alarm rate of network intrusion detection systems

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102004999A (zh) * 2010-12-06 2011-04-06 中国矿业大学 电子商务网络中基于行为收益模式的共谋团体识别方法
CN102281163A (zh) * 2011-09-19 2011-12-14 南京大学 一种网络入侵检测报警的方法
CN103902621A (zh) * 2012-12-28 2014-07-02 深圳先进技术研究院 一种鉴定网络谣言的方法和装置
CN103916385A (zh) * 2014-03-13 2014-07-09 南京理工大学 一种基于智能算法的waf安全监测系统

Also Published As

Publication number Publication date
CN104301330A (zh) 2015-01-21

Similar Documents

Publication Publication Date Title
CN103581186B (zh) 一种网络安全态势感知方法及系统
CN112053221A (zh) 一种基于知识图谱的互联网金融团伙欺诈行为检测方法
CN106507315B (zh) 基于网络社交媒体数据的城市交通事故预测方法和系统
CN103176981B (zh) 一种事件信息挖掘并预警的方法
CN106530078A (zh) 基于跨行业数据的贷款风险预警方法及系统
CN109635283B (zh) 一种基于挖掘市民投诉文本的公共安全事件事前预警方法
CN107993144A (zh) 客户风险等级确定方法、装置、设备及可读存储介质
CN108363717B (zh) 一种数据安全级别的识别检测方法及装置
CN108062674A (zh) 基于gps的订单欺诈识别方法、系统、存储介质和电子设备
CN105376223B (zh) 网络身份关系的可靠度计算方法
CN112053222A (zh) 一种基于知识图谱的互联网金融团伙欺诈行为检测方法
CN109543986A (zh) 基于用户画像的监狱罪犯三预风险评估方法及系统
CN110533525A (zh) 用于评估实体风险的方法及装置
CN114782897A (zh) 基于机器视觉及深度学习的危险行为检测方法及系统
CN111898385A (zh) 一种地震灾害评估方法及系统
CN109033351A (zh) 案情数据的归并方法及装置
CN112132490A (zh) 城市传染病高风险社区识别方法、装置、电子设备及介质
CN104301330B (zh) 基于异常行为监测和成员亲密度测量的陷阱网络检测方法
CN110533488A (zh) 一种商业大数据分析系统
CN113254580A (zh) 一种特殊群体搜索方法及系统
CN116054416B (zh) 一种基于物联网的智能监控运维管理系统
CN106874739B (zh) 一种终端标识的识别方法及装置
CN110852441B (zh) 一种基于改进朴素贝叶斯算法的火灾预警方法
CN107590391A (zh) 一种预判数据泄露风险的方法及装置
CN111160025A (zh) 一种基于公安文本的主动发现案件关键词的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant