CN104836804B - 一种基于FP‑outlier挖掘的P2P恶意节点检测方法 - Google Patents

Abstract

本发明提供了一种基于FP‑outlier挖掘的P2P恶意节点检测方法，属于P2P网络安全领域。本发明对于半分布式P2P网络中恶意节点的识别，增强网络安全起到指导作用。根据P2P网络中节点之间的交互数据，构建节点的行为模式；采用频繁模式挖掘的方法提取P2P子网内的局部频繁行为模式；通过P2P网络中超节点之间局部频繁模式的增量传播与聚合更新各个超节点保存的全局频繁行为模式，并评估各个全局频繁行为模式的影响因子；综合局部与全局频繁行为模式计算节点的离群因子，将离群因子高于均值的节点检测为恶意节点。该发明简单易行，准确地检测恶意节点，增强网络安全，为网络管理提供借鉴意义。

Description

一种基于FP-outlier挖掘的P2P恶意节点检测方法

技术领域

本发明属于对等网络(P2P网络)安全领域，具体的说是一种基于频繁模式离群点(FP-outlier)挖掘的P2P网络中恶意节点检测方法。

背景技术

诸如文件污染、僵尸网络、共谋攻击等恶意节点对P2P网络的攻击严重影响了网络的性能和发展，有效检测恶意节点并抑制其攻击成为了现阶段研究的热点。现有研究通常采用信任机制来增强P2P网络的可靠性和安全性，节点的信任值通常综合反馈信息和推荐信息得到，虽然信任机制能在一定程度上减少恶意行为的影响，但往往依赖于反馈信息和推荐信息，当反馈节点或推荐节点不提供或提供虚假信息时难以应对。

发明内容

本发明的目的是不依赖于节点的反馈信息，而根据节点交互产生的数据来构建一种具有较高应用价值的、简单易行的恶意节点检测方法。

本发明根据P2P网络中节点之间的交互数据，为节点构建行为模式，采用频繁模式挖掘的方法提取P2P子网内的局部频繁行为模式，再通过超节点之间局部频繁模式的增量传播与聚合更新各个超节点保存的全局频繁行为模式，最后综合局部与全局频繁行为模式计算节点的离群因子，将离群因子高于均值的节点检测为恶意节点。

一种基于FP-outlier挖掘的P2P恶意节点检测方法，技术方案如下：

(1)节点行为模式建模

1)超节点SN(Super Node)以T为周期，SN为其子网内成员节点构建行为模式。P2P节点的行为模式是由节点的交互数据导出的键值对有序集合，是对节点行为方式的量化，记为BP(Behavior Pattern)。对于节点i，其行为模式记为BP_i，其中，I＝{I₁,I₂,…,I_s}为反映P2P节点交互行为特征的s个关键项，由用户根据具体网络和侧重点自行设置。为节点i在项I_j上的值。

超节点保存时间窗τ内所在子网成员节点的BP数据，τ＝{T₁,T₂,…,T_m}，m为时间窗τ内的周期数；SN上保存的BP数据称为其所在子网的局部数据库，记为D_SN，其中，T₁～T_m为τ内的连续周期，为SN所在子网中成员节点在T_x周期的BP集；

在每一周期结束后，根据需求，剔除超节点中保存的节点之间的交互的原始数据中的不完整数据和格式错误数据，保证分析数据的有效性和完整性；超节点计算各个成员节点在相关属性列上的取值，得到该周期的局部数据为

其中，n为P2P子网中包含的节点数，为在T_x周期时节点i在I_j上的取值；

2)局部数据的归一化：设的任一属性列上的值域范围为Range[min,max]，其中min和max分别为属性列上可能出现的最小值和最大值，将值域等分为若干个区间，表示取值的大小特征，令z为期望划分的区间数，d＝(max-min)/z为每一值域区间的长度，Range进而划分为[min,min+d)，[min+d,min+2d)，…，[min+(m-1)d,max]的m个区间；在划分好区间后对各取值区间进行整数编码，同时将中的取值更新为所属值域区间的编码，更新为如下形式：

其中,为在T_x周期节点i在I_j上取值的所属区间编码,1≤j≤s，1≤i≤n。

(2)局部频繁行为模式挖掘

运用数据挖掘领域现有的频繁模式挖掘算法挖掘P2P子网的局部频繁行为模式，求得最为频繁的前k个频繁模式。

以时间窗为单位进行局部频繁模式挖掘，生成时间窗τ内各个周期的D_SN后，由超节点计算子网内各个节点在时间窗τ内行为模式的平均值，节点i在时间窗τ内行为模式的平均值记为得到D_SN在时间窗τ内的平均数据，用表示：

其中，为时间窗τ内节点i在I_j上取值所属区间编号的均值，(m为时间窗τ内的周期数)。

BP_i的任意非空子集均为节点i所符合的行为模式，BP的长度为其中包含的项数，记为||BP||，在频繁模式挖掘中，长度为L的模式称为L-项集。

将P2P子网中各节点在当前时间窗内行为模式均值数据作为数据集，运用数据挖掘领域现有的频繁模式挖掘算法(FP-outlier挖掘算法)挖掘P2P子网的局部频繁行为模式，挖掘中前k个最大频繁项集。

该FP-outlier挖掘算法步骤如下：

a)扫描数据库产生全部2-项集，存于矩阵中，矩阵中2-项集对应的值为该2-项集的出现次数计数；

b)将矩阵中2-项集的出现次数计数更新为AR(关联关系)值，AR(a,b)＝P(BP_a,BP_b)/(1-P(BP_a,BP_b))，其中，P(BP_a,BP_b)为数据集中BP_a、BP_b两项共同出现的概率；

c)将矩阵中的2-项集按AR值降序排列，存于一个列表中，列表包括2-项集的两个项，对应值以及其AR值；

d)由列表产生AR图(键值对为顶底，键值对之间的AR值为边的无向图)，并根据AR图产生最大频繁项集，当k个最大频繁项集产生之后程序终止。

挖掘结果记为newLocalFP，是在P2P子网中出现最为频繁的k个行为模式的集合。对比newLocalFP与上一个时间窗局部挖掘产生的LocalFP，将频繁行为模式的改变情况记为Update，Update包含两部分：Update.Inc(increase)，Update.Del(delete)，通过newLocalFP与LocalFP的集合差运算求得。

Update.Inc＝newLocalFP–LocalFP (4)

Update.Del＝LocalFP–newLocalFP (5)

当Update不为空时，表示局部频繁行为模式产生了变化，将LocalFP更新为newLocalFP。

对于Update集合中的每个FP，赋予一个影响因子来反映FP在评估离群性中的重要性，记为IF(FP)。

其中，s＝||I||，表示网络属性的个数，subNetSize(SN)为SN所在子网中包含的成员节点个数。FP所属的子网成员节点越多，越能反映网络中大多数正常节点行为特征，IF越高；包含的项越多，其反映的行为方式越有意义，IF越高。

(3)全局频繁行为模式的增量传递与聚合。

当Update.Inc和Update.Del中至少有一个非空集合，则超节点将LocalFP的更新状态封装成消息发送给SN的超节点邻居，消息包含以下内容：

超节点IP:SN

Update.Inc

Update.Del

超节点不断接收并存储来自其他超节点的消息，当接收到的消息数超过阈值δ时进行GlobalFP的增量聚合操作，过程如下：

a)消息整合，令超节点SN收到的消息集为Q_SN，对于Q_SN中的增加或删除更新一致的FP，仅保留一份，其IF为各消息中IF的和。对于Q_SN中增加或删除更新不一致的FP，我们对各消息中IF(FP)加权求和，增加模式的IF为正，删除模式的IF为负。当IF(FP)加权求和非零时，仅保留一份，其IF为IF(FP)加权求和的绝对值，若正则进行增加更新，若负则进行删除更新；当IF(FP)加权求和为零时，不进行操作。经过消息整合Q_SN变成一个Update，记为Update(Q_SN)，包括Update.Inc和Update.Del。

b)更新GlobalFP。对于GlobalFP中的FP，若存在于Q_SN整合结果Update.Inc中，则增加其IF；若存在于Q_SN整合结果Update.Del中，则减少其IF，当IF(FP)降为0删除GlobalFP中的相应FP。Q_SN整合结果Update.Inc中若存在不包含于GlobalFP的FP，则将该FP及IF信息添加至GlobalFP中。

GlobalFP更新算法如下：

(4)离群因子计算及恶意节点检测。

定义局部离群因子，表示节点的行为模式在其所在P2P子网中的异常程度，记为LocalOF。全局离群因子，表示节点的行为模式在P2P全网范围内的异常程度，记为GlobalOF。

超节点SN所在子网中节点i的LocalOF和GlobalOF计算方法如下：

其中，X为节点i所符合的局部频繁行为模式，为X的权重。一个节点所符合的LocalFP越少，权重越低，表明该节点的BP在子网中越离群，LocalOF越大。

其中，X为节点i所符合的全局频繁行为模式，一个节点符合的GlobalFP越少，影响因子越低，表明该节点的BP在全网范围内越离群GlobalOF越大。

假设P2P网络中大多数节点是正常和善意的，整个网络中大多数节点都是恶意节点的情况在现实中并不常见，即使出现此极端情况，网络管理人员为保护自身利益也会及时介入加以调整。将GlobalOF大于其所在子网各节点GlobalOF均值的节点标记为恶意节点。令SN所在P2P子网中各成员节点的平均局部离群因子为平局全局离群因子为

(a)当任意节点i的并且时，节点i的BP在子网及P2P全网节点中均不离群。节点i与其所在子网和P2P全网中大多数节点的BP相一致。节点i为正常节点，节点i所在P2P子网为正常子网。

(b)当任意节点i的并且时，节点i的BP在子网中离群，在P2P全网中不离群。节点i与P2P全网中大多数节点的BP一致，节点i所在子网中大多数节点与网络中大多数节点BP不一致。节点i为正常节点，节点i所在子网为异常子网。

(c)当任意节点i的并且时，节点i的BP在子网中不离群，在整个P2P网络中离群。节点i与其所在子网中大多数节点的BP一致，节点i所在子网中大多数节点与网络中大多数节点的BP不一致。节点i为恶意节点，节点i所在子网为异常子网。

(d)当任意节点i的并且时，节点i的BP在子网及P2P全网节点中均离群。节点i与其所在子网和P2P全网中大多数节点的BP都不一致，节点i为恶意节点。其所在子网可能为正常子网，也可能为异常子网。

对于异常子网，存在团体性恶意攻击的可能，包含于LocalFP但不包含于GlobalFP的BP即为恶意团体所符合的行为特征，超节点以此为依据进行恶意行为抵抗，并将团体恶意行为特征发布给网络中其他超节点。对于正常子网，若某一恶意节点的BP与某个恶意团体相符，则该节点也属于该恶意团体。若某个恶意节点的行为并不符合任何团体性恶意行为模式，则该节点为个体性恶意行为，其恶意行为特征为包含于BP，但不包含于GlobalFP的行为模式，超节点以此为依据进行恶意行为抵抗。

本发明的有益效果是：

(1)提出一个基于FP-outlier挖掘的P2P恶意节点检测方法；

(2)本发明不依赖与节点反馈，根据节点之间的交互数据进行检测，有效抵制了虚假反馈等攻击对检测结果的影响；

(3)本发明简单易行，可以准确、可靠的检测半分布式P2P网络中的恶意节点。应用范围广泛，对于很多实际P2P网络应用都有参考和应用的价值。

附图说明

图1为本发明在不同恶意率下的伪阳性率图。

图2为本发明在不同恶意率下的伪阴性率图。

具体实施方式

以下结合附图和技术方案，进一步说明本发明的具体实施方式，但本发明的内容不限于此。

以P2P文件共享网络为例，可以使用与文件共享相关的几个属性设置I＝{数据重复率，成组率，PM率，流量集中度}来反映节点的行为模式，其中，数据重复率为节点上传的总流量与其中非重复数据流量之比；成组率为在两节点之间上传的流量之和与两个节点上传的总流量之比；PM(peer/machine)率为节点id数与机器数之比；流量集中度为节点向单一机器之间上传的最高流量与节点上传的总流量之比，超节点统计其所在子网成员节点在当前周期的上传流量，文件内容hash，文件传输双方IP，文件传输双方ID号。

技术方案(1)节点行为模式建模过程如下。

首先，剔除原始数据中的不完整数据和格式错误数据，此处我们将超节点收集的节点信息中超过取值范围的值赋值为平均值；

其次，计算各个成员节点在相关属性列上的取值。例如，节点i在周期T_x内的数据重复率取值计算方式为：

其他属性上取值的计算方式类似，不再赘述。若节点i在几项属性上的取值为10,0.87,1,0.93，则其行为模式即为BPi的任意非空子集，如等均为i符合的行为模式，上述两模式的长度分别为2和1，在频繁模式挖掘过程中分别称为2-项集和1-项集。P2P子网全部成员节点的行为模式按照公式(1)组成了该子网在时间窗内任一周期中的局部数据。

最后，将连续数值数据进行归一。例如，在上述文件共享网络中数据重复率的取值范围为Range[0,100]，我们将其划分为4个区间，各区间范围为[0,25]，[25,50]，[50,75]，[75,100]，并依次编码为0～3区间，用来反映重复率低，中低，中高，高的特征。对于SN中的某个节点i，若其在周期T上传的总流量为81G，其中非重复上传的流量为70G，则i的数据重复率为1.15(81/70)。该值属于值域区间0：[0,25]，则将DSN中节点i在周期T上I1取值更新为0。其他关键项上的计算方式类似，为方便说明，我们假设在周期T中节点i在I的各项上均值分别为0，0，1，3，则节点i在周期T内的行为模式均值更新为：按照公式(2)求得连续数值归一化后的局部数据。

技术方案(2)局部频繁模式挖掘的过程如下。

首先，按照公式(3)求得当前时间窗内各个时间周期中局部数据的均值，作为FP-outlier挖掘算法中所述挖掘方法的输入数据集，挖掘方法的输出记为newLocalFP，是一个行为模式的集合。其次，按照公式(4)，(5)求得局部频繁行为模式的改变情况Update。当Update非空时，更新LocalFP为newLocalFP。最后，按照公式(6)求得Update中的每个FP的影响因子。将IF与FP作为一个结构体在Update中。

技术方案(3)全局频繁行为模式的整合过程如下。

超节点负责消息收发机制，当Update非空时，超节点将其封装为消息发送给其邻居超节点。此外，超节点周期性的接收来自其他超节点的消息。超节点将接收到的消息保存至缓冲池中，当接收到的消息数超过阈值δ时进行全局频繁行为模式的整合。首先，根据整合过程a)所述对消息集合进行处理，先将消息集合中重复出现的行为模式进行汇总，将重复的行为模式的影响因子进行相加减，仅保留一份行为模式，若最后影响因子为0，则将对应行为模式从消息集合中删除。其次，根据整合过程b)所述对全局频繁行为模式进行更新。

技术方案(4)离群因子计算及恶意节点检测的过程如下。

超节点按照公式(7)，(8)计算其所在子网各成员节点的局部离群因子和全局离群因子，并按照公式(9)计算平均局部离群因子和平均全局离群因子，最后按照技术方案(4)所给出的分析方法分析节点和子网的异常情况。

本发明检测结果的伪阳性率快速收敛至较低值且参数影响小(如图1所示)；伪阴性率快速收敛于0，且不受网络中恶意节点所占比例的影响(如图2所示)。

Claims (1)

1.一种基于FP-outlier挖掘的P2P恶意节点检测方法，其特征在于，步骤如下：

(1)节点行为模式建模

1)超节点SN以T为周期，SN为其子网内成员节点构建行为模式；P2P节点的行为模式是由节点的交互数据导出的键值对有序集合，是对节点行为方式的量化，记为BP；对于节点i，其行为模式记为BP_i，其中，I＝{I₁,I₂,…,I_s}为反映P2P节点交互行为特征的s个关键项，由用户根据具体网络和侧重点自行设置；为节点i在项I_j上的值，1≤j≤s；

超节点保存时间窗τ内所在子网成员节点的BP数据，τ＝{T₁,T₂,…,T_m}，m为时间窗τ内的周期数；SN上保存的BP数据称为其所在子网的局部数据库，记为DSN，其中，T₁～T_m为τ内的连续周期，为SN所在子网中成员节点在T_x周期的BP集，1≤x≤m；

在每一周期结束后，根据需求，剔除超节点中保存的节点之间的交互的原始数据中的不完整数据和格式错误数据，保证分析数据的有效性和完整性；超节点计算各个成员节点在相关属性列上的取值，得到该周期的局部数据为

其中，n为P2P子网中包含的节点数，为在T_x周期时节点i在I_j上的取值，1≤j≤s，1≤i≤n；

2)局部数据的归一化：设的任一属性列上的值域范围为Range[min,max]，其中min和max分别为属性列上可能出现的最小值和最大值，将值域等分为若 干个区间，表示取值的大小特征，令z为期望划分的区间数，d＝(max-min)/z为每一值域区间的长度，Range进而划分为[min,min+d)，[min+d,min+2d)，…，[min+(m-1)d,max]的m个区间；在划分好区间后对各取值区间进行整数编码，同时将中的取值更新为所属值域区间的编码，更新为如下形式：

其中，为在T_x周期节点i在I_j上取值的所属区间编码，1≤j≤s，1≤i≤n；

(2)局部频繁行为模式挖掘

运用数据挖掘领域现有的频繁模式挖掘算法挖掘P2P子网的局部频繁行为模式，求得最为频繁的前k个频繁模式；

以时间窗为单位进行局部频繁模式挖掘，生成时间窗τ内各个周期的D_SN后，由超节点计算子网内各个节点在时间窗τ内行为模式的平均值，节点i在时间窗τ内行为模式的平均值记为得到D_SN在时间窗τ内的平均数据，用表示：

其中，为时间窗τ内节点i在I_j上取值所属区间编号的均值， m为时间窗τ内的周期数，1≤j≤s，1≤i≤n；

BP_i的任意非空子集均为节点i所符合的行为模式，BP的长度为其中包含的 项数，记为||BP||，在频繁模式挖掘中，长度为L的模式称为L-项集；

将P2P子网中各节点在当前时间窗内行为模式均值数据作为数据集，运用数据挖掘领域现有的频繁模式挖掘算法挖掘P2P子网的局部频繁行为模式，挖掘中前k个最大频繁项集；

挖掘结果记为newLocalFP，是在P2P子网中出现最为频繁的k个行为模式的集合；对比newLocalFP与上一个时间窗局部挖掘产生的LocalFP，将频繁行为模式的改变情况记为Update，Update包含两部分：Update.Inc和Update.Del，通过newLocalFP与LocalFP的集合差运算求得；

Update.Inc＝newLocalFP–LocalFP (4)

Update.Del＝LocalFP–newLocalFP (5)

当Update不为空时，表示局部频繁行为模式产生了变化，将LocalFP更新为newLocalFP；

对于Update集合中的每个FP，赋予一个影响因子来反映FP在评估离群性中的重要性，记为IF(FP)；

其中，s＝||I||，表示网络属性的个数，subNetSize(SN)为SN所在子网中包含的成员节点个数；FP所属的子网成员节点越多，越能反映网络中大多数正常节点行为特征，IF越高；包含的项越多，其反映的行为方式越有意义，IF越高；

(3)全局频繁行为模式的增量传递与聚合；

当Update.Inc和Update.Del中至少有一个非空集合，则超节点将LocalFP的更新状态封装成消息发送给SN的超节点邻居，消息包含超节点IP:SN、Update.Inc和Update.Del；

超节点不断接收并存储来自其他超节点的消息，当接收到的消息数超过阈 值δ时进行GlobalFP的增量聚合操作，过程如下：

a)消息整合，令超节点SN收到的消息集为Q_SN，对于Q_SN中的增加或删除更新一致的FP，仅保留一份，其IF为各消息中IF的和；对于Q_SN中增加或删除更新不一致的FP，对各消息中IF(FP)加权求和，增加模式的IF为正，删除模式的IF为负；当IF(FP)加权求和非零时，仅保留一份，其IF为IF(FP)加权求和的绝对值，若正则进行增加更新，若负则进行删除更新；当IF(FP)加权求和为零时，不进行操作；经过消息整合Q_SN变成一个Update，记为Update(Q_SN)，包括Update.Inc和Update.Del；

b)更新GlobalFP；对于GlobalFP中的FP，若存在于Q_SN整合结果Update.Inc中，则增加其IF；若存在于Q_SN整合结果Update.Del中，则减少其IF，当IF(FP)降为0删除GlobalFP中的相应FP；Q_SN整合结果Update.Inc中若存在不包含于GlobalFP的FP，则将该FP及IF信息添加至GlobalFP中；

(4)离群因子计算及恶意节点检测

定义局部离群因子，表示节点的行为模式在其所在P2P子网中的异常程度，记为LocalOF；全局离群因子，表示节点的行为模式在P2P全网范围内的异常程度，记为GlobalOF；

超节点SN所在子网中节点i的LocalOF和GlobalOF计算方法如下：

其中，X为节点i所符合的局部频繁行为模式，为X的权重；一个节点所符合的LocalFP越少，权重越低，表明该节点的BP在子网中越离群，LocalOF越大；

其中，X为节点i所符合的全局频繁行为模式，一个节点符合的GlobalFP越少，影响因子越低，表明该节点的BP在全网范围内越离群GlobalOF越大；

假设P2P网络中大多数节点是正常和善意的，将GlobalOF大于其所在子网各节点GlobalOF均值的节点标记为恶意节点；令SN所在P2P子网中各成员节点的平均局部离群因子为平局全局离群因子为

(a)当任意节点i的并且时，节点i的BP在子网及P2P全网节点中均不离群；节点i与其所在子网和P2P全网中大多数节点的BP相一致；节点i为正常节点，节点i所在P2P子网为正常子网；

(b)当任意节点i的并且时，节点i的BP在子网中离群，在P2P全网中不离群；节点i与P2P全网中大多数节点的BP一致，节点i所在子网中大多数节点与网络中大多数节点BP不一致；节点i为正常节点，节点i所在子网为异常子网；

(c)当任意节点i的并且时，节点i的BP在子网中不离群，在整个P2P网络中离群；节点i与其所在子网中大多数节点的BP一致，节点i所在子网中大多数节点与网络中大多数节点的BP不一致；节点i为恶意节点，节点i所在子网为异常子网；

(d)当任意节点i的并且时，节点i的BP在子网及P2P全网节点中均离群；节点i与其所在子网和P2P全网中大多数节点的BP都不一致，节点i为恶意节点；其所在子网为正常子网或异常子网；

若为异常子网，包含于LocalFP但不包含于GlobalFP的BP即为恶意团体所符合的行为特征，超节点以此为依据进行恶意行为抵抗，并将恶意团体行为特征发布给网络中其他超节点；若为正常子网，若某一恶意节点的BP与某个恶意团体相符，则该节点也属于该恶意团体；若某个恶意节点的行为并不符合任何团体性恶意行为模式，则该节点为个体性恶意行为，其恶意行为特征为包含于BP，但不包含于GlobalFP的行为模式，超节点以此为依据进行恶意行为抵抗。