CN104303152A - 用于在计算机网络中识别协同群组攻击的异常检测 - Google Patents

Abstract

本发明提供了用于在计算机网络上检测异常以识别协同群组攻击的系统、装置、方法和计算机程序。本发明可确定网络异常图形，包含节点、边线和异常图形中节点的入度。本发明可将带有至少两个入度的节点指定为潜在的目标。本发明可将不带有传入连接的节点指定为潜在地受感染的节点。当潜在地受感染的节点连接到一个或多个相同的潜在的目标节点时，可以将指定的潜在地受感染的节点输出为在网络上潜在地与协同攻击关联。

Description

用于在计算机网络中识别协同群组攻击的异常检测

联邦政府的权利声明

根据美国政府能源部门和洛斯阿拉莫斯国家安全有限公司之间的关于洛斯阿拉莫斯国家实验室运营的编号为DE-AC52-06NA25396的合约，美国政府享有本发明的权利。

相关申请的交叉引用

本申请要求序列号为61/614,148申请日为2012年3月22日的美国临时申请的权益。因此，这个较早提交的临时专利的主题内容通过引用全部合并到本文中。

技术领域

本发明一般涉及网络异常检测，更具体地涉及对计算机网络上指示协同组攻击的异常进行检测。

背景技术

检测多个不管是人或者自动系统(例如僵尸网络)的攻击者所引发的攻击，在计算机安全利益上越显其重要性。例如，一些方式已试图通过使用基于集群计算机的方法一段时间来检测僵尸网络，其中所述集群计算机在它们的通信和活动往来中共享相似的特性。这些方法用于监控网络边线上的网络流量，寻找网络中的共享类似连接到外部因特网协议(“IP”)地址的主机，而不是监控内部的网络流量。对于这些方法所针对检测的攻击类型，中央实体不需要控制网络中各种被感染的主机。

另一种常规的入侵检测系统的目的在于，基于用户指定的规则集通过构建随时间推移的网络活动图形，以检测计算机网络上的大规模恶意攻击。这些网络事件图形的呈现，据说能够使分析人员直观地判断是否正在发生可疑的网络活动。然而，留给用户去考虑哪些活动是异常的，而且没有提供建议来寻找网络中的用作协同攻击发生的估量的重叠活动。

在入侵检测中显著的研究领域为警报关联性，其涉及到多个入侵检测系统产生的集群警报。基于多个警报在时间上的相似性和接近性，利用统计测试来评估多个警报的相关性。其目的是为了减少误报并且帮助分析者通过将多个警报归因于单个威胁，使更清晰地观察攻击的不同阶段并且降低分析者必须要从头到尾要进行筛选的警报数量。然而，这种方法并没有特别用于寻找连接中的重叠。

检测网络平台上更大规模的协同攻击，比如分布式的拒绝服务攻击或者大规模的隐身扫描，是另一个主要的研究领域。协作式入侵检测系统的目的在于，通过使用上述的警报相关性以检测这些协同攻击，该警报是由通过一系列网络的入侵检测系统来产生。然而，目前还没有找到在内部网络中找出协同攻击的方法。因此，在内部网络上识别协同攻击的方法是非常有益的。

发明内容

本发明的某些实施例可以提供方案以解决当前的网络异常检测系统仍然没有完全识别、理解或解决的问题和需求。例如，本发明的一些实施例在内部计算机网络中检测异常以识别协同群组攻击。

在一个实施例中，一种计算机执行的方法包括，通过计算系统确定网络的异常图形，包括异常图形中的节点、边线和节点的入度。该计算机执行的方法还包括，通过计算系统将带有至少两个入度的节点指定为潜在的目标，通过计算系统将不带有传入连接的节点指定为潜在地受感染的节点。该计算机执行的方法还包括，当该潜在地受感染的节点连接到一个或多个相同的潜在的目标节点时，通过计算系统将指定的潜在地受感染的节点输出为在网络上潜在地与协同攻击关联。

在另一个实施例中，一种装置包括至少一个处理器和含有指令的存储器。当至少一个处理器执行该指令时，该指令被配置为在多个时间周期上监控网络，从而在至少一个时间周期上确定出一组攻击者中表示潜在活动的异常行为。该指令还被配置为，在至少一个时间周期上确定出异常行为的时候，提供在网络中发生群组攻击的标示。

又在另一个实施例中，一种系统，包括储存计算机程序指令的存储器，该计算机程序指令配置为检测网络中的异常并且配置为执行储存的计算机程序指令的多个处理核心。该多个处理核心配置为在一时间周期内产生网络的异常图形。该处理核心还配置为，在该时间周期内确定是否存在不带有入度的多个节点和普通的节点连接。该处理核心进一步配置为，当系统确定了在异常图形的一个或多个子图中存在不带有入度的多个节点并且存在普通的节点连接的时候，产生网络上的潜在攻击的标示。

附图说明

为了正确理解本发明，需要参考附图。这些附图仅描述了本发明的一些实施例而不作为对发明范围的限制。关于附图:

图1A为根据本发明实施例显示潜在异常行为的一组节点的子图S_t；

图1B为根据本发明实施例的异常子图该子图已缩小为显示群组活动的节点；

图2为根据本发明的实施例用于在网络上检测异常行为以识别协同的群组攻击的方法流程图；

图3为根据本发明的实施例用于在网络上检测异常行为以识别协同的群组攻击的方法流程图；

图4为根据本发明的实施例用于在网络上检测异常行为以识别协同的群组攻击的方法流程图；

图5为根据本发明的实施例用于在网络上检测群组攻击的计算系统的框图。

具体实施方式

本发明的一些实施例检测来自多个攻击者，通常是从协同攻击者(即，队伍)，的统计异常。在某些实施例中，可以实时执行检测。这些实施例涉及内部计算机网络上的异常检测问题，其中的异常表示网络上的攻击。具体地，一些实施例的目的在于，利用基于异常的检测系统来检测协同攻击，其中入侵者危及网络中的多个主机并且同时使用这些主机进行有针对性的恶意活动。

在队伍方面一些实施例是非常新颖的。尤其在涉及国家行为者的情况下，老练的对手通常利用同时攻击者的队伍以快速完成任务。然而，当存在多个攻击者的时候，随着异常行为趋于更为普遍，在统计学上来讲，这将引发更大的信号。因此，一些实施例将同时性纳入考虑，产生比单独考虑每个异常要更好的检测效果。

为了能够在大型网络中进行部署，一些实施例将网络图形中的所有节点和边线初步视为独立的实体，并且针对表示群组活动的显著的重叠或者相关的行为寻找随时间推移的潜在异常的边线。这样的群组活动的例子可以是在一些特定时期内全部与节点公共集关联的受感染节点。可以基于对认知的历史行为的一些背离，使用基线统计概率模型对行为进行分类，该模型比如是作为优先权基础的美国临时专利申请序列号为61/614,148(以下简称“优先权申请”)中讨论的模型。这种独立性假设的有效性依靠认识来自历史数据的每个节点的周期性行为，这些行为为基线概率模型提供信息。接着，由于那些时期中的节点是活动的，沿着从该节点发出的边线的连接也被视为有条件的独立。总之，这两个方面的特征为网络中沿者每条边线的活动级别提供了一种概率模型。

此异常边线聚集可能类似于优先权申请中的一些实施例方法的构思，在形成路径的网络中寻找异常边线，以遍历攻击者的检测为目的。然而，一些实施例的目的在于从多个受感染的节点连接中检测重叠，而不是从单个受感染的节点开始遍历网络进行寻找。入侵者倾向于创建新的行为模式，因为他们在网络中的操作性质，并且事实上他们一般不访问历史数据。

在政府和企业防卫网络中，一旦黑客已经穿透外围防御，识别黑客变得尤其重要。在攻击者队伍穿透核心网络前，迅速识别攻击者队伍，可以为被攻击的机构挽救数百万美元的资产损失。如果考虑到攻击者持续处于网络中并渗透到核心机器，唯一的解决办法通常是关闭网络数天，否则数星期。从消除网络功能到引起重要的公共关系破坏，带来明显的影响。按照上述，本发明的一些实施例监控内部网络以检测黑客队伍。传统的系统不可能带有或者识别出这种有益特征。

在一些实施例中，统计异常检测涉及沿网络中的每条边线(或至少多条边线)的监控行为，并且寻找与合适的概率模型有关的边远行为。当边线持续表现正常的时候，可以使用观察到的数据进一步在清晰的更新方案中提炼概率模型。否则，如果边线当前的行为明显偏离过去的行为，可以将边线标记为异常。在每个时间点上，可以为沿着每个边线的当前行为从概率模型获取p-值，以量化偏离级别。低p-值可以指示潜在异常的行为。

一些实施例的新颖性在于，在一些时间窗口上看似异常的边线内搜索表示群组活动的显著的重叠或相互关联的行为。这样的群组活动的例子可以是全部与一些特定时期内的节点公共集全部关联的受感染节点。统计独立概率模型在观测基本重叠的异常行为中没有捕获到背离正常的行为，因此，这可以被视为需要在异常检测系统内进行处理的额外相关信息。

聚集异常边线以检测重叠，类似于优先权申请中讨论的一些实施例方法的构思，在形成路径的网络中寻找异常边线，以遍历攻击者的检测为目的。然而，在本发明的一些实施例中，从多个受感染的节点连接中检测重叠，而不是通过网络从单个受感染的节点开始寻找遍历。下面叙述怎样才能检测重叠活动的简单例子。

可以认为网络中的最近行为包含滑动时间窗口中的所有连接事件。可以选择该窗口的宽度w，以符合分析者的关注。然而，由于本例中讨论的实施例针对检测系统活动，w必须相对于图形的全部历史要小。

在时间t，(V_t，E_t)为当前图形，该图形包括所有通信节点V_t以及在多数的最近时间窗口(t-w，t)内活动的所有边线E_t。对每个边线(i，j)∈E_t，获取p-值p_ij，t，表示该边线已背离其正常行为的程度。对于p-值的阀值T∈(0，1)，从具有低于阀值的正p-值的边线形成网络的异常图形 $S_t=(V_t^S,E_t^S).$

$E_t^S=\{(i,j)\&Element;E_t|p_{\mathrm{ij},t}<T\}---\left(1\right)$

$V_t^S=\{i\&Element;V_t|\&Exists;j\&NotEqual;i\&Element;V_{t}s.t.(i,j)\&Element;E_t^S\mathrm{or}(j,i)\&Element;E_t^S\}---\left(2\right)$

在方程(2)中，“s.t.”代表“使得(such that)”。在实践中，可以选取阀值T，使得在训练期间，平均异常图形大小不会超过期望数。

为了消除潜在虚假的边线，可以通过删除所有连接到带有一个入度节点的边线，以进一步减少异常图形。一个例子在图1A和1B中示出。该例子重点说明显示群组行为结构的图形。在图1A中，子图100所示为一组显示潜在异常行为的节点S_t。在图1B中，异常子图110已缩小为显示群组活动的节点。应注意到，每个子图可以代表群组攻击，如果检测出多个潜在的群组攻击，可以在给定的时期或时间窗口内产生多个异常子图。带有零入度的节点，即是没有收到传入连接的节点以阴影表示并且被认为是可疑的受感染的节点(见图1B)。可以将带有两个以上入度的节点考虑为目标(例如，图1A和1B中的节点7和8)应注意到，节点可以分为两类，并且不是所有不带有传入的连接的节点都受到感染。

图形的弱关联子图(即，组件)是一种具有假如用非有向的边线代替全部有向边线则使得子图具有关联性的性质的最大子图。的弱关联子图中的每一个，都可以被考虑为潜在异常，因此被考虑为潜在部分的协同攻击。

可以为每个弱关联图形子图A_k＝(V_k，E_k)计算汇总的统计量O_k，以描述重叠的级别。根据所寻找的攻击的性质，可以改变对汇总的统计量的合适选择。然而，可以考虑使用一个这样的统计量作为子图中的非有向边线的数量。

O_k＝Σ_i＜jmax{II(e_ij∈E_k)，II(e_ji∈E_k)}   (3)

简便起见，可以假定观测的重叠统计量为来自一些常见的但未知的分布中的独立和相等的分布。在训练期间，从统计量观测值计算的经验分布可以提供这种未知且潜在的复杂分布的非参数判断。

回到时间t上的网络评估，可以为缩小的异常图形的每一个弱关联子图获取与该经验分布有关的p-值，从而在网络中的更多异常行为中，在重叠级别中提供异常测量。

图2为根据本发明实施例的用于在网络上检测异常行为以识别协同的群组攻击的方法流程图200。在一些实施例中，例如通过图5的计算系统500来执行图2的方法。在205，该方法始于确定网络的异常图形。该异常图形可以包括节点、边线和异常图形中节点的入度。接着，在210，从异常图形中删除传入的边线，该传入的边线转向带有一个入度的节点。

在215，在异常图形中查找弱关联子图。在220，可以为每个子图计算汇总的统计量，以描述重叠的级别。在225，将带有两个以上的入度的节点指定为潜在的目标。在230，将不带有传入的连接的节点指定为潜在地受感染的节点。在235，然后，当潜在地受感染的节点连接到一个或多个相同的潜在目标节点时，将指定的潜在地受感染的节点输出为网络上的潜在协同攻击部分。

图3为根据本发明实施例的用于在网络上检测异常行为以识别协同的群组攻击的方法流程图。在一些实施例中，例如通过图5的计算系统500来执行图3的方法。在305，该方法始于在时间周期上监控网络，从而在至少一段时期内的一组攻击者中确定出表示潜在活动的异常行为。该异常行为可以包括重叠或者互相关联的行为，其中一组潜在地受感染的节点尝试去连接至少一段时期内的普通节点。在异常图形中，在网络中可以对每个边线确定出p-值。p-值表示相应的边线已背离其正常行为的程度。基于p-值和p-值阀值，可以形成异常图形。

在310，从异常图形中删除传入的边线，该传入的边线转向带有一个入度的节点。在315，在异常图形中查找弱关联子图。在320，在给定的子图中，利用非有向边线的数量来计算汇总的统计量。在至少一段时期内确定出异常行为的时候，然后在325提供在网络中可能发生群组攻击的标示。

图4为根据本发明的实施例用于在网络上检测异常行为以识别协同的群组攻击的方法流程图。在一些实施例中，例如通过图5的计算系统500来执行图4的方法。在405，该方法始于在一段时期内产生网络的异常图形。在异常图形中，可以对每个边线确定出p-值。p-值表示相应的边线已背离其正常行为的程度。基于p-值和p-值阀值，可以形成异常图形。在410，从异常图形中删除传入的边线，该传入的边线转向带有一个入度的节点。在415，在异常图形中查找弱关联子图。

在420，在所述时期内，确定是否存在不带有入度的多个节点和普通的节点连接。如果存在，则在425，在网络上产生潜在的群组攻击的标示。该标示可以包括潜在地受感染的不带有入度的节点和公共的节点连接，并且潜在地受感染的节点与带有两个以上入度的潜在目标节点连接。

图5为根据本发明的实施例用于在网络上检测群组攻击的计算系统500的框图。计算系统500包括总线505或其它用于消息通信的通信机构，以及与总线505连结用于处理消息的处理器(一个或多个)510。处理器(一个或多个)510可以是任意类型的通用或专用处理器，其包括中央处理单元(“CPU”)或者专用集成电路(“ASIC”)。处理器(一个或多个)510还可以具有多个处理核心，并且至少一些核心可配置为执行特定功能。计算系统500还包括存储器515，用于储存信息以及由处理器(一个或多个)510执行的指令。存储器515可以由随机存取存储器(“RAM”)的任意组合、只读存储器(“ROM”)、闪存存储器、高速缓冲存储器、静态存储器如磁盘或光盘、或任何其它类型的非临时性计算机可读介质或其组合构成。此外，计算系统500包括通信设备520，比如无线收发器，以无线地提供通信网络访问。

非临时性计算机可读介质可以是任何处理器(一个或多个)510能够访问的任何可用介质，并且可以都包括易失性和非易失性介质、可移动和不可移动介质以及通信介质。通信介质可以包含计算机可读指令、数据结构、程序模块或其它调制数据信号比如载波中的数据或者其它传输结构，并且包含任何信息传递介质。

(一个或多个)处理器510进一步通过总线505连结到显示器525，比如是液晶显示器(“LCD”)，用于向用户显示信息。键盘530和光标控制设备535比如计算机鼠标进一步连结到总线505，从而使用户与计算系统500进行交互。然而，在某些实施例中，比如在那些用于移动计算执行实施例中，可以不出现物理键盘和鼠标，用户可以通过显示器525和/或触摸板(没有示出)单独地与设备进行互动。可以在设计选择的问题上使用任何类型和组合的输入设备。

在一个实施例中，存储器515储存软件模块，当(一个或多个)处理器510执行该软件模块时提供功能。该模块包含用于计算系统500的操作系统540。该模块进一步包括群组攻击检测模块545，群组攻击检测模块545被配置为使用一个或多个本发明的实施方案来检测群组攻击。计算系统500可以包括一个或多个包含附加功能的附加功能模块550。

本领域技术人员应理解到，“系统”可以实施为个人电脑、服务器、控制台、个人数字助手(“PDA”)、手机、平板计算设备或任何其它适用的计算设备或设备的组合。当前通过“系统”执行上述功能并不旨在以任何方式限制本发明的范围，而是旨在提供本发明许多实施例中的其中一个实例。实际上，可以按照局部和分散的与包含云计算系统的计算技术一致的形式来实现本文所公开的方法、系统和装置。

应当注意到，在本说明书中描述的一些系统特征已体现为模块，从而更特别地强调它们的执行独立性。例如，可以将模块实施为硬件电路，包括定制的超大规模集成(“VLSI”)电路或门阵列，大规模生产的半导体比如逻辑芯片、晶体管或其它分立电子元件。模块还可以实施在可编程硬件设备，例如现场可编程门阵列、可编程逻辑阵列、可编程逻辑器件、图形处理单元等。

模块还可以至少部分地在软件中实施，供各种类型的处理器执行。可执行代码的识别单元例如可以包括一个或多个计算机指令的物理或逻辑块，其例如可以组织为对象、过程或功能。然而，识别模块的可执行代码无需在物理上设置在一起，而是可以包括存储在不同位置的在逻辑上结合在一起时的不同指令，包括该模块并且实现模块的指定目的。进一步，模块可以存储在计算机可读介质上，该计算机可读介质例如可以是硬盘驱动器、闪存设备、RAM、磁带或其它用于存储数据的任何介质。

实际上，可执行代码模块可以是单指令或多指令，甚至可以在若干不同的代码段上、不同程序之间以及横跨多个存储设备来分布。类似地，操作数据可以在此处的模块中识别和说明，可以在任何合适的形式中体现并且在任何合适类型的数据结构中组织。可以收集操作数据作为单个数据集，或者可以将操作数据分布在包含不同存储设备的不同位置，并且可能至少部分地仅作为的电子信号，存在于系统或网络上。

根据本发明的实施例，可以通过计算机程序来执行图2-4中实施的方法步骤，对非线性自适应处理器的指令进行编码以至少执行图2-4中所描述的方法。可以在非临时性计算机可读介质上实施该计算机程序。计算机可读介质可以是但不限于硬盘驱动器、闪存设备、随机存取存储器、磁带或用于存储数据的任何其它这样的介质。计算机程序可以包含用于控制非线性自适应处理器来实现在图2-4中描述的方法编码的指令，该指令也可以储存在计算机可读介质上。

可以在硬件、软件或其混合的实施中实施计算机程序。计算机程序可以由在运行时互相通信的多个模块构成，并且该模块被设计为传递信息或指令到显示器。计算机程序可以被配置为在通用计算机或ASIC上运行。

将容易理解到，在本文附图中一般描述和示出的本发明各种实施例的电子零件，可被布置和设计成各种广泛的不同的结构。因此，在附图中表示的针对本发明的系统、装置、方法和计算机程序的实施例的详细描述，并不旨在限制本发明所要求保护的范围，而是仅仅代表本发明所选择的实施例。

在整个说明书中描述的本发明的特征、结构或特性可以通过任何合适的方式在一个或多个实施例中结合。例如，整个说明书中的引用“某些实施例”、“一些实施例”或类似语句的意思是，特定的特征、结构或与实施例关联的描述特性被包括在本发明的至少一个实施例中。因此，出现的用语“在某些实施例中”、“在一些实施例中”、“在其它实施例中”或说明书中类似的语句，不一定都引用同一组的实施例，并且描述的特征、结构或特性可以在一个或多个实施例中以任何合适的方式进行组合。

应当注意的是，在整个说明书中对特征、优点或类似语言的引用并不意味着本发明可实现的所有特征和优点必须是本发明的任何单个实施例或者在其中。相反，将引用特征和优点的语句理解为特定的特征、结构或与实施例关联的描述特性被包括在本发明的至少一个实施例中。因此，在整个说明书中，特征和优点的讨论以及类似的语句可以但不一定引用相同的实施例。

此外，于此描述的本发明的特征、优点和特性可以通过任何合适的方式在一个或多个实施例中结合。本领域技术人员将认识到，本发明能够在没有一个或多个特定实施例的具体特征或优点的情况下实践。其它情况，在某些实施例中可能认出的附加特征和优点可能不存在于本发明的所有实施例中。

具有普通技能的本领域技术人员将容易理解到，上面讨论的本发明可以用不同的顺序步骤实施和/或与公开的硬件元件相比的不同配置下的硬件元件来实现。因此，尽管已基于这些优选实施例对本发明进行描述，本领域技术人员仍可很容易地预见到某些修改、变化和替换的构造，而且这些修改、变化和替换的构造均处于本发明的精神和范围之内。因此需要参照所附的权利要求书来确定本发明的边界和范围。

Claims (20)

1.一种计算机执行的方法，包括：

通过计算系统确定网络的异常图形，包括节点、边线和异常图形中节点的入度；

通过计算系统将具有至少两个入度的节点指定为潜在的目标；

通过计算系统将不具有传入连接的节点指定为潜在地受感染的节点；以及

当所述潜在地受感染的节点连接到至少一个相同的潜在的目标节点时，通过计算系统将指定的潜在地受感染的节点输出为在网络上潜在地与协同攻击相关联。

2.根据权利要求1所述的计算机执行的方法，其中权利要求1的步骤由计算系统在滑动时间窗口内周期地执行。

3.根据权利要求1所述的计算机执行的方法，进一步包括：

通过计算系统从所述异常图形中删除传入的边线，该传入的边线转向具有一个入度的节点。

4.根据权利要求1所述的计算机执行的方法，进一步包括：

通过计算系统确定异常图形中每个弱关联的子图。

5.根据权利要求4所述的计算机执行的方法，进一步包括：

利用给定的子图中非有向边线的数量来计算每个子图的汇总的统计量O_k，所述汇总的统计量由下式确定：

$O_k=\underset{i<j}{\mathrm{\&Sigma;}}\max \{\mathrm{II}(e_{\mathrm{ij}}\&Element;E_k),\mathrm{II}(e_{\mathrm{ji}}\&Element;E_k)\}$

其中e_ij和e_ji表示给定子图的边线集E_k中的边线。

6.根据权利要求1所述的计算机执行的方法，其中所述计算系统配置为将异常图形中的所有节点和边线视为为独立的实体。

7.根据权利要求1所述的计算机执行的方法，其中对于p-值的阀值T∈(0，1)，从具有低于阀值的正p-值的边线中形成网络的异常图形

$E_t^S=\{(i,j)\&Element;E_t|p_{\mathrm{ij},t}<T\}$

$V_t^S=\{i\&Element;V_t|\&Exists;j\&NotEqual;i\&Element;V_{t}s.t.(i,j)\&Element;E_t^S\mathrm{or}(j,i)\&Element;E_t^S\}$

其中是S_t中的边线集，是S_t中的节点集，并且p_ij，t是对给定边线(i，j)∈E_t的p-值。

8.一种装置，包括：

至少一个处理器；以及

储存计算机程序指令的存储器，其中所述指令在由至少一个处理器执行时，被配置为使得至少一个处理器：

在时间周期上监控网络，从而在至少一个时间周期内从一组攻击者中确定出表示潜在活动的异常行为；以及

在至少一个时间周期内在确定出异常行为时提供网络中发生群组攻击的标示。

9.根据权利要求8所述的装置，其中所述异常行为包括重叠或者互相关联的行为，其中在所述时间周期的至少一个内一组潜在地受感染的节点尝试去连接公共节点。

10.根据权利要求8所述的装置，其中所述指令被进一步配置为使得至少一个处理器为网络中的每个边线确定p-值，其中该p-值表示相应的边线已背离其正常行为的程度。

11.根据权利要求10所述的装置，其中对于p-值的阀值T∈(0，1)，指令被进一步配置为使得至少一个处理器从具有低于阀值的正p-值的边线中形成网络的异常图形

$E_t^S=\{(i,j)\&Element;E_t|p_{\mathrm{ij},t}<T\}$

$V_t^S=\{i\&Element;V_t|\&Exists;j\&NotEqual;i\&Element;V_{t}s.t.(i,j)\&Element;E_t^S\mathrm{or}(j,i)\&Element;E_t^S\}$

其中是S_t中的边线集，是S_t中的节点集，并且p_ij，t是对给定边线(i，j)∈E_t的p-值。

12.根据权利要求11所述的装置，其中所述指令被进一步配置为使得至少一个处理器执行：

在异常图形中删除传入的边线，该传入的边线转向带有一个入度的节点。

13.根据权利要求11所述的装置，其中所述指令被进一步配置为使得至少一个处理器执行：

确定异常图形中每个弱关联的子图。

14.根据权利要求13所述的装置，其中所述指令被进一步配置为使得至少一个处理器使用给定子图中非有向边线的数量为每个子图计算汇总的统计量O_k，所述汇总的统计量由下式确定：

$O_k=\underset{i<j}{\mathrm{\&Sigma;}}\max \{\mathrm{II}(e_{\mathrm{ij}}\&Element;E_k),\mathrm{II}(e_{\mathrm{ji}}\&Element;E_k)\}$

其中，e_ij和e_ji表示给定子图的边线集E_k中的边线。

15.一种系统，包括：

存储器，储存被配置为检测网络中异常的计算机程序指令；以及

多个处理核心，被配置为执行储存的计算机程序指令以及：

生成网络在一时间周期内的异常图形；

确定在该时间周期内是否存在不带有入度的多个节点和公共节点连接；和

当系统确定了在异常图形的一个或多个子图中存在不带有入度的多个节点以及公共节点连接的时候，生成网络上潜在攻击的标示。

16.根据权利要求15所述的系统，其中所述标示包括潜在地受感染的不带有入度的节点和公共节点连接，并且潜在地受感染的节点与带有两个以上入度的潜在目标节点连接。

17.根据权利要求15所述的系统，其中所述多个处理核心被进一步配置为对网络中的每个边线确定p-值，其中该p-值表示相应的边线已背离其正常行为的程度。

18.根据权利要求17所述的系统，其中对于p-值的阀值T∈(0，1)，所述处理器核心被进一步配置为从具有低于阀值的正p-值的边线中形成网络的异常图形

$E_t^S=\{(i,j)\&Element;E_t|p_{\mathrm{ij},t}<T\}$

$V_t^S=\{i\&Element;V_t|\&Exists;j\&NotEqual;i\&Element;V_{t}s.t.(i,j)\&Element;E_t^S\mathrm{or}(j,i)\&Element;E_t^S\}$

其中是S_t中的边线集，是S_t中的节点集，并且p_ij，t是对给定边线(i，j)∈E_t的p-值。

19.根据权利要求15所述的系统，其中所述处理核心被进一步配置为：

从异常图形中删除转向具有一个入度的节点的传入边线。

20.根据权利要求15所述的系统，其中所述处理核心被进一步配置为：

确定异常图形中每个弱关联的子图。