CN105897774B

CN105897774B - 一种基于机器学习的网络用户安全状态评估方法

Info

Publication number: CN105897774B
Application number: CN201610479747.9A
Authority: CN
Inventors: 王田; 吴尤可; 文晟; 钟必能; 王成; 吴群
Original assignee: Huaqiao University
Current assignee: Huaqiao University
Priority date: 2016-06-27
Filing date: 2016-06-27
Publication date: 2018-11-27
Anticipated expiration: 2036-06-27
Also published as: CN105897774A

Abstract

本发明公开了一种基于机器学习的网络用户安全状态评估方法，包括：基于确定的风险传播源u和其传播时间t，建立网络风险的微观传播模型；基于所述传播源，对所述微观传播模型进行多轮的模拟传播；传播结束后，提取指定的特征属性及其对应的特征值形成特征向量；将提取到的特征向量输入到分类器中进行分类训练，生成可以判定新输入特征向量类属的分类规则；实际传播事件发生t时间后，提取网络中所有未被监控用户对应的特征向量；将提取到的特征向量输入训练好的分类器进行分类，获得所有未被监控用户安全状态的估计值。本发明方法通过部分用户的安全状态信息来估计网络中其他用户的安全状态，从而迅速有效地对高风险用户进行处理，阻止风险的传播。

Description

一种基于机器学习的网络用户安全状态评估方法

技术领域

本项发明属于在线网络的信息安全领域。具体来说是一种通过监控大规模在线网络中的小部分用户或者主机，在发生大规模网络风险(谣言、蠕虫病毒)传播事件后，安全人员能够根据被监控用户的状态信息和网络拓扑对网络中其他未被监控用户或者计算机的安全状态做出有效估计。

背景技术

互联网的广泛普及使我们更容易遭受各类网络风险，例如社交网络中谣言肆意传播，计算机病毒感染大量主机，智能电网的网络隔离故障导致大规模断电。每年，因这些网络风险而造成的金融和社会财富的损失不计其数。

为了及时地发现网络风险，保障国家和民众的信息安全，通常的做法是监控网络中的计算机和用户，或从计算机和用户处收集安全日志等数据来分析风险。当发现谣言、计算机病毒或其他形式的风险时，网络安全人员能够迅速地消灭风险。此种做法的理想情况是安全人员能够监控网络的所有计算机和用户，随时获取其安全状态信息，但是理想情况在现实中显然难以实现。一方面由于网络规模过大，全网监控的成本过高；另一方面出于隐私保护的需求，人们绝大多数情况下不愿意被监控和接受数据采集。例如，微软操作系统的用户体验计划和各种杀毒软件常常通过弹出窗口来征求用户是否同意提交本地的安全运行日志，并声称这些数据可以更好地保护用户。然而，绝大多数用户通常选择拒绝。针对同意监控和数据采集的用户，安全人员可以及时地掌握其安全情况并保护他们，但是对于那些不愿意被监控和分享数据的用户，仅仅依靠分享的有限信息和数据，安全人员是否也可以及时地掌握其安全状态并迅速地保护他们呢？在美国前安全局雇员斯诺登先生披露美国政府一直在监控世界范围内的民众的网络行为后，这个问题变得尤为尖锐和重要。

我们的目标是在保护大多数用户隐私的前提下(只监控部分愿意被监控的用户)在风险传播事件发生后对全网用户的安全状态进行有效估计。目前，暂时没有解决相同问题的相关工作，但是研究人员仍然能够找到解决类似问题的工作。目前，类似问题主要有三种：通过在传感器网络上的部分观察来优化监控传感器的选择，和通过网络数据的传播日志来推断和重构网络的结构，以及通过交通探测监控小车收集到的数据来判断和预估整个城市交通的拥堵状况。这些工作在本质上都是需要通过网络的部分信息推断网络的全部信息。

但是，这些技术存在以下缺点。其一、这些工作中的目标数据在网络中都是静态的，绝大多数不涉及风险或是信息在网络上的传播过程，因此不能很好地处理在线网络中风险传播的动态性问题；其二、即便这些相关工作中涉及到风险或是信息的传播，它们的前提条件也是针对全网络的监控和掌握。这导致了如果将这些方法应用在大规模在线网络上会产生过高的监控成本而且不利于保护网络用户的隐私。所以，目前的相关技术不能很好地解决大规模在线网络中的用户风险评估问题。

发明内容

本发明的目的在于克服现有技术的不足，提出一种基于机器学习的网络用户安全状态评估方法。本发明的方法当网络风险爆发时，安全人员可以通过部分计算机或用户的安全状态信息来估计网络中其他计算机或用户的安全状态，从而迅速有效地对高风险用户进行处理，阻止风险的传播。进一步的，本发明的方法一方面能够保护好网络用户的个人隐私，另一方面能够快速地定位高风险计算机和用户，并高效地实施防御措施。针对当前中国的网络安全生态和各种层出不穷的网络应用，本发明将有力地保障国家和民众的信息安全需求。

本发明的核心思路是采用机器学习的方法。具体的是通过历史信息来训练生成一个健壮的分类器，该分类器可以对任意未被监控用户的传播特征向量做出分类判断。根据网络拓扑模拟生成大量的风险传播事件，并提取一些传播特征。之后进行特征选取，形成特征向量。特征向量的选择应该与节点是否被感染密切相关。例如其周围被感染监控用户的个数，其到风险源的拓扑距离，目标节点自身的度数等。

通过生成的特征向量可以利用机器学习的方法进行大量的数据训练，从而生成用于判定用户安全状态的分类器。通过这个分类器，我们可以对网络用户的安全状态进行有效估计。

本发明解决其技术问题所采用的技术方案是：

一种基于机器学习的网络用户安全状态评估方法，包括：

基于确定的风险传播源u和其传播时间t，建立网络风险的微观传播模型；

基于所述传播源，对所述微观传播模型进行多轮的模拟传播，且每轮的传播时间均设置为t；传播结束后，提取指定的特征属性及其对应的特征值形成大量的特征向量；

将提取到的特征向量输入到分类器中进行分类训练，生成可以判定新输入特征向量类属的分类规则；

实际传播事件发生t时间后，提取网络中所有未被监控用户对应的特征向量；将提取到的特征向量输入训练好的分类器进行分类，获得所有未被监控用户安全状态的估计值；

根据估计值判断出未被监控用户的安全状态。

优选的，基于确定的风险传播源u和其传播时间t，建立网络风险的微观传播模型，包括：建立如下迭代公式来表示风险的传播：

P_S(i,t；u)＝[1-v(i,t)]·P_S(i,t-1；u)

P_I(i,t；u)＝v(i,t)·P_S(i,t-1；u)+P_I(i,t-1；u)

P_c(i,t；u)＝v(i,t)·P_S(i,t-1；u)

其中，P_S(i,t；u)、P_I(i,t；u)、P_c(i,t；u)分别表示网络风险从潜在传播源u∈U开始，传播t时间后S、I及C状态的概率，U表示潜在的风险源集合，S代表健康，I代表感染状态，C表示被感染且具有感染性；v(i,t)表示t时刻节点被感染的概率，η_ij∈[0,1]是网络中任意两个节点的历史传播概率，η_ij＝0时示节点i、j之间不存在连接，η_ij＝1表示节点i将收到的任何信息都传给节点j；N_i表示节点i的相邻节点的集合。

优选的，所述指定的特征属性包括：监控用户占全部用户的比例；根据历史信息得到的目标节点被感染的先验概率；源点到目标节点的有效感染距离；目标节点到源点的跳数；目标节点的出度；目标节点的入度；目标节点的入度方向上，一跳范围内被感染监控节点的个数；目标节点的入度方向上，两跳范围内被感染监控节点的个数；目标节点的出度方向上，一跳范围内被感染监控节点的个数；目标节点的出度方向上，两跳范围内被感染监控节点的个数；目标节点的状态信息。

优选的，所述目标节点的状态信息表示需要分类的属性，取值为0或1，0表示健康，1表示被风险感染。

优选的，所述分类器包括朴素贝叶斯分类器。

优选的，所述将提取到的特征向量输入到分类器中进行分类训练，生成可以判定新输入特征向量类属的分类规则，包括：

确定特征属性划分；

获取特征向量的训练样本；

计算训练样本中每个类别的频率；所述类别包括感染用户和健康用户；

计算每个类别条件下各个特征属性划分的频率。

优选的，所述源点到目标节点的有效感染距离用下式表示：

d_ij＝1-log P_ij

其中，P_ij表示根据历史信息得到的节点j被节点i感染的先验概率。

优选的，所述提取指定的特征属性及其对应的特征值生成特征向量之后，还包括：对生成的特征向量进行预处理操作。

优选的，所述对生成的特征向量进行预处理操作包括：

对特征向量进行数据去重，相同的特征向量只保留一个；

对溢出数据设定指定值。

本发明具有如下有益效果：

1、当发生网络风险传播事件后，安全人员可以高效率地估计网络中其他计算机或用户的安全状态，从而迅速、有效地对高风险用户进行处理，阻止网络风险的传播。

2、本发明方法只需要监控网络中的部分用户，因此监控代价较小，同时可以有效保护大多数用户的隐私。

3、本发明方法在对用户进行风险评估时能达到90％以上的准确率，能够很好地应用在网络用户风险评估领域。

以下结合附图及实施例对本发明作进一步详细说明，但本发明的一种基于机器学习的网络用户安全状态评估方法不局限于实施例。

附图说明

图1为本发明方法的流程图；

图2是本发明的网络个体在风险传播过程中的状态转化图；

图3是本发明的朴素贝叶斯分类器在现实网络上的分类结果图。

具体实施方式

参见图1，一种基于机器学习的网络用户安全状态评估方法，包括如下步骤：

步骤101，基于确定的风险传播源u和其传播时间t，建立网络风险的微观传播模型；

步骤102，基于所述传播源，对所述微观传播模型进行多轮的模拟传播，且每轮的传播时间均设置为t；传播结束后，提取指定的特征属性及其对应的特征值形成大量的特征向量；

步骤103，将提取到的特征向量输入到分类器中进行分类训练，生成可以判定新输入特征向量类属的分类规则；

步骤104，实际传播事件发生t时间后，提取网络中所有未被监控用户对应的特征向量；将提取到的特征向量输入训练好的分类器进行分类，获得所有未被监控用户安全状态的估计值；

步骤105，根据估计值判断出未被监控用户的安全状态。

如下将详细介绍基于机器学习的网络用户安全状态评估方法。

首先，通过风险源头追溯算法，确定风险传播源u和其传播时间t。具体的，所述风险传播源u和其传播时间t采用已有的方法实现，可参考Jiang J,Wen S,Yu S,etal.Identifying propagation sources in networks:State-of-the-art andcomparative studies[J].IEEE Communications Surveys and Tutorials,2014,17(9):1-17。

进一步的，建立网络风险的微观传播模型。风险的微观传播模型中，关注的是网络个体用户在风险传播过程的状态转化的动态性。如下给出以下四个迭代公式来表示风险的传播：

P_S(i,t；u)＝[1-v((i,t)]·P_S(i,t-1；u) (1)

P_I(i,t；u)＝v(i,t)·P_S(i,t-1；u)+P_I(i,t-1；u) (2)

P_c(i,t；u)＝v(i,t)·P_S(i,t-1；u) (4)

其中，S代表健康，I代表感染状态(不具有感染性)，C表示节点被感染且具有感染性。(如图2表示网络个体在风险传播过程中的状态转化图，同现实情况类似，不考虑风险的重复感染。用户只会在被感染的下一轮传播风险，随后失去感染性，变为I状态，I状态不会再发送风险。)。公式(1)、(2)、(4)中的P_S(i,t；u)、P_I(i,t；u)、P_c(i,t；u)分别表示网络风险从传播源u∈U开始，传播t时间后是S、I以及C状态的概率。η_ij∈[0,1]是网络中任意两个用户的历史传播概率。当η_ij＝0时表示节点i、j之间不存在连接，η_ij＝1表示但凡用户i收到新的信息都将转发给用户j。v(i,t)表示t时刻个体被感染的概率，和其所有拓扑邻居(N_i表示用户i的邻居用户集合)的P_c(i,t；u)相关。

进一步的，在提取的网络拓扑上利用得到的传播源u按照上述微观传播模型进行多轮的模拟传播(每轮的传播时间均为设置为t)。传播结束后，提取、选择如下表1中的特征属性及其对应的特征值，形成特征向量。

表1被选择的特征属性及其含义

其中，有效感染距离Effctivedistance用来表示网络中任一两节点的概率加权距离。假设节点j被节点i感染的先验概率为P_ij(可以由历史信息得到)，用d_ij表示节点i到j的有效感染距离，则

d_ij＝1-log P_ij (5)

Class表示需要分类的属性，取值为0或1，其中0表示健康，1表示被风险感染。

进一步的，在提取特征值之后还需要对得到的数据进行一些预处理操作。由于训练集中大量的传播事件都是随机生成的，因此会产生较多的重复数据，为了提高风险评估的高效性，对特征向量进行数据去重，相同的特征向量只保留一个。另外，在计算有效感染距离时会产生一些溢出数据，即无法用实数表示的数据，我们将其设置为10000，表示有效感染距离无限大。

进一步的，将上面步骤得到的大量的特征向量输入到主流的分类算法如朴素贝叶斯分类器或C4.5分类器中进行分类训练，生成可以判定新输入特征向量类属的分类规则。

进一步的，对实际传播事件发生t时间后的网络中所有未被监控用户，提取其对应的特征向量，其中状态属性Class是未知量，也是待分类量。将所有的特征向量输入训练好的分类器进行分类，可以得到所有未被监控用户安全状态的估计值。

进一步的，根据估计值判断出未被监控用户的安全状态，即判断未监控用户为健康状态还是被感染状态。

本实施例中，在Facebook网络中以朴素贝叶斯分类器为例，对所提发明进行实例说明，具体过程如下：

(1)确定特征属性以及划分：选取表1中前10个特征属性(最后的class属性是需要分类的属性)，分别用a_i(i∈[1,10])来表示这10个属性，下面对这10个特征属性进行划分：a₁(a＝0.1,a＝0.15,a＝0.2,a＝0.25,a＝0.3)，a₂(a<＝0.5,0.5<a<＝1)，a₃(a<＝5,5<a<10,a>＝10)，a₄(a<5,5<a<10,a>＝10)，a₅(a<＝5,5<a<10,a>10)，a₆(a<＝5,5<a<10,a>＝10)，a₇(a<＝2,2<a<4,a>＝4)，a₈(a<＝2,2<a<4,a>＝4)，a₉(a<＝2,2<a<4,a>＝4)，a₁₀(a<＝2,2<a<4,a>＝4)

(2)获取训练样本：使用安全人员已经由历史信息得到的一万个关于特征向量的训练样本。

(3)计算训练样本中每个类别的频率：用训练样本中感染用户和健康用户的数量分别除以1万，得到：

P(C＝0)＝2000/10000＝0.2

P(C＝1)＝8000/10000＝0.8

(4)计算每个类别条件下各个特征属性划分的频率

P(a₁＝0.1|C＝0)＝0.3,P(a₁＝0.15|C＝0)＝0.3,P(a₁＝0.2|C＝0)＝0.2,P(a₁＝0.25|C＝0)＝0.1,

P(a₁＝0.3|C＝0)＝0.1；P(a₁＝0.1|C＝1)＝0.2,P(a₁＝0.15|C＝1)＝0.3,P(a₁＝0.2|C＝1)＝0.1,

P(a₁＝0.25|C＝1)＝0.1,P(a₁＝0.3|C＝1)＝0.3；

P(a₂<＝0.5|C＝0)＝0.4,P(0.5<a₂<＝1|C＝0)＝0.6；P(a₂<＝0.5|C＝1)＝0.3,P(0.5<a₂<＝1|C＝1)＝0.7；

P(a₃<＝5|C＝0)＝0.2,P(5<a₃<＝10|C＝0)＝0.3,P(a₃>10|C＝0)＝0.5；P(a₃<＝5|C＝1)＝0.2,

P(5<a₃<10|C＝1)＝0.3,P(a₃>＝10|C＝1)＝0.5；

P(a₄<＝5|C＝0)＝0.3,P(5<a₄<10|C＝0)＝0.3,P(a₄>＝10|C＝0)＝0.4；P(a₄<＝5|C＝1)＝0.3,

P(5<a₄<10|C＝1)＝0.3,P(a₄>＝10|C＝1)＝0.4；

P(a₅<＝5|C＝0)＝0.3,P(5<a₅<10|C＝0)＝0.4,P(a₅>＝10|C＝0)＝0.3；P(a₅<＝5|C＝1)＝0.3,

P(5<a₅<10|C＝1)＝0.4,P(a₅>＝10|C＝1)＝0.3；

P(a₆<＝5|C＝0)＝0.3,P(5<a₆<10|C＝0)＝0.4,P(a₆>＝10|C＝0)＝0.3；P(a₆<＝5|C＝1)＝0.2,

P(a₆<＝5|C＝1)＝0.4,P(a₆<＝5|C＝1)＝0.4；

P(a₇<＝2|C＝0)＝0.3,P(2<a₇<4|C＝0)＝0.4,P(a₇>＝4|C＝0)＝0.3；P(a₇<＝2|C＝1)＝0.3,

P(2<a₇<4|C＝1)＝0.4,P(a₇>＝4|C＝1)＝0.3；

P(a₈<＝2|C＝0)＝0.3,P(2<a₈<4|C＝0)＝0.4,P(a₈>＝4|C＝0)＝0.3；P(a₈<＝2|C＝1)＝0.3,

P(2<a₈<4|C＝1)＝0.4,P(a₈>＝4|C＝1)＝0.3；

P(a₉<＝2|C＝0)＝0.3,P(2<a₉<4|C＝0)＝0.4,P(a₉>＝4|C＝0)＝0.3；P(a₉<＝2|C＝1)＝0.1,

P(2<a₉<4|C＝1)＝0.4,P(a₉>＝4|C＝1)＝0.5；

P(a₁₀<＝2|C＝0)＝0.3,P(2<a₁₀<4|C＝0)＝0.5,P(a₁₀>＝4|C＝0)＝0.2；P(a₁₀<＝2|C＝1)＝0.3,

P(2<a₁₀<4|C＝1)＝0.4,P(a₁₀>＝4|C＝1)＝0.3；

(5)使用分类器进行判断：使用上面训练得到的分类器鉴别一个未被监控用户的安全状态，该未被监控用户的特征值属性：a₁＝0.2,a₂＝0.4，a₃＝6，a₄＝10，a₅＝4，a₆＝4，a₇＝5，a₈＝2，a₉＝0，a₁₀＝8。

由朴素贝叶斯法则得到：

显然，上面两式的分母相等，因此判别时只需对分子进行计算比较，如下：

P(C＝0)P(x|C＝0)＝P(C＝0)P(a₁＝0.2|C＝0)P(a₂<0.5|C＝0)P(5<a₃<10|C＝0)P(a₄>＝10|C＝0)P(a₅<＝5|C＝0)P(a₆<＝5|C＝0)P(a₇>＝4|C＝0)P(a₈>＝4|C＝0)P(a₉<＝2|C＝0)P(a₁₀>＝4|C＝0)＝0.2×0.2×0.4×0.3×0.4×0.3×0.3×0.3×0.3×0.3×0.2＝9.3312×10^-7

P(C＝1)P(x|C＝1)＝P(C＝1)P(a₁＝0.2|C＝1)P(a₂<0.5|C＝1)P(5<a₃<10|C＝1)P(a₄>＝10|C＝1)P(a₅<＝5|C＝1)P(a₆<＝5|C＝1)P(a₇>＝4|C＝1)P(a₈>＝4|C＝1)P(a₉<＝2|C＝1)P(a₁₀>＝4|C＝1)＝0.8×0.2×0.1×0.3×0.4×0.3×0.2×0.3×0.3×0.1×0.3＝3.1104×10^-7

由上面的计算结果可知，通过分类器的鉴别，更倾向于将其划分到健康状态。

具体的，本发明方法在对用户进行风险评估时能达到90％以上的准确率，能够很好地应用在网络用户风险评估领域，如图3所示为在Facebook、AS-Internet、US.powergrid网络上的大量实验结果。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于机器学习的网络用户安全状态评估方法，其特点在于，包括：

根据估计值判断出未被监控用户的安全状态；

基于确定的风险传播源u和其传播时间t，建立网络风险的微观传播模型，包括：

建立如下迭代公式来表示风险的传播：

P_S(i，t；u)＝[1-v(i，t)]·P_S(i，t-1；u)

P_I(i，t；u)＝v(i，t)·P_S(i，t-1；u)+P_I (i，t-1；u)

P_c(i，t；u)＝v(i，t)·P_S(i，t-1；u)

其中，P_S(i，t；u)、P_I(i，t；u)、P_c(i，t；u)分别表示网络风险从潜在传播源u∈U开始，传播t时间后S、I及C状态的概率，U表示潜在的风险源集合，S代表健康，I代表感染状态，C表示被感染且具有感染性；v(i，t)表示t时刻节点被感染的概率，η_ij∈[0，1]是网络中任意两个节点的历史传播概率，η_ij＝0时表示节点i、j之间不存在连接，η_ij＝1表示节点i将收到的任何信息都传给节点j；N_i表示节点i的相邻节点的集合。

2.根据权利要求1所述的基于机器学习的网络用户安全状态评估方法，其特征在于，所述指定的特征属性包括：

监控用户占全部用户的比例；根据历史信息得到的目标节点被感染的先验概率；源点到目标节点的有效感染距离；目标节点到源点的跳数；目标节点的出度；目标节点的入度；目标节点的入度方向上，一跳范围内被感染监控节点的个数；目标节点的入度方向上，两跳范围内被感染监控节点的个数；目标节点的出度方向上，一跳范围内被感染监控节点的个数；目标节点的出度方向上，两跳范围内被感染监控节点的个数；目标节点的状态信息。

3.根据权利要求2所述的基于机器学习的网络用户安全状态评估方法，其特征在于：所述目标节点的状态信息表示需要分类的属性，取值为0或1，0表示健康，1表示被风险感染。

4.根据权利要求3所述的基于机器学习的网络用户安全状态评估方法，其特征在于，所述分类器包括朴素贝叶斯分类器。

5.根据权利要求4所述的基于机器学习的网络用户安全状态评估方法，其特征在于，所述将提取到的特征向量输入到分类器中进行分类训练，生成可以判定新输入特征向量类属的分类规则，包括：

确定特征属性划分；

获取特征向量的训练样本；

计算每个类别条件下各个特征属性划分的频率。

6.根据权利要求2所述的基于机器学习的网络用户安全状态评估方法，其特征在于，所述源点到目标节点的有效感染距离用下式表示：

d_ij＝1-logP_ij

7.根据权利要求2所述的基于机器学习的网络用户安全状态评估方法，其特征在于，所述提取指定的特征属性及其对应的特征值生成特征向量之后，还包括：对生成的特征向量进行预处理操作。

8.根据权利要求7所述的基于机器学习的网络用户安全状态评估方法，其特征在于，所述对生成的特征向量进行预处理操作包括：

对特征向量进行数据去重，相同的特征向量只保留一个；

对溢出数据设定指定值。