CN106411904B

CN106411904B - 一种基于微观状态预测的网络风险控制方法

Info

Publication number: CN106411904B
Application number: CN201610883067.3A
Authority: CN
Inventors: 王田; 吴群; 蔡绍滨; 陈永红; 田晖; 蔡奕侨
Original assignee: Huaqiao University
Current assignee: Huaqiao University
Priority date: 2016-10-10
Filing date: 2016-10-10
Publication date: 2019-05-03
Anticipated expiration: 2036-10-10
Also published as: CN106411904A

Abstract

一种基于微观状态预测的网络风险控制方法，其特征在于，包括如下步骤：1)找到风险传播源头；2)建立目标网络风险传播的微观模型，得到该微观模型下各个用户节点在当前时刻处于感染状态的概率估计值；3)采用传感器观测模型获取目标网络中用户节点的安全状态以及风险传播路径，结合策略重建风险所处目标网络的拓扑结构进一步得到用户节点在当前时刻处于感染状态的概率值；4)将步骤3)的概率值和预先设置的阈值进行比较，筛选得到控制用户节点集合进行控制。本发明的方法能实现高效地控制风险传播，能够在免疫较少用户节点的情况下达到更好的风险控制效果。

Description

一种基于微观状态预测的网络风险控制方法

技术领域

本发明涉及网络信息安全领域，特别是一种基于微观状态预测的网络风险控制方法。

背景技术

互联网的广泛普及使我们更容易遭受各种各样网络风险的威胁。例如，社交网络中的谣言肆意传播，因特网中的计算机病毒感染大量网络主机，以及智能电网中的网络隔离故障会导致大规模断电事故。每年，因这些网络风险而造成的金融和社会财富的损失不计其数。例如，2013年开始的社交网络上广泛传播的谣言“爽歪歪、娃哈哈AD钙奶等都含有肉毒杆菌，现在紧急召回。”就累计造成娃哈哈集团20亿以上的经济损失。

网络谣言、计算机病毒以及智能电网故障都是在不同网络中进行传播的网络风险，为了应对这些网络风险，在风险被网络安全人员检测到之后对其及时有效干预至关重要。为了及控制网络风险的传播，保障国家和民众的信息安全，通常的做法是控制网络中部分关键用户或是计算机主机。但是，从选取关键用户的角度，这些方法往往只是从网络拓扑的固有的静态特征来选取控制用户。例如，度中心法(Degree Centrality)选取网络中一定比例的度数最大的用户节点来进行控制，社区桥节点法(Bridges of SocialCommunities)通过控制网络社区的连接用户节点来控制风险。但是单纯地从静态网络拓扑特征来选择的控制节点，效率较低，特别是在以下两种情况下，控制所谓的拓扑关键节点实际上不能影响风险的继续传播：1)该节点距离风险传播源较远，因此短时间内它无法接收并转发该风险。2)该节点已经转发过该风险，不再具有感染性。现实世界中，个体只在首次接收到风险才有可能转发该风险。例如，社交网络用户一般不会重复地转发同一条网络谣言，而只在第一次接收到谣言时决定是否对该谣言进行转发。为了提升风险控制效率，过滤掉这些实际上并无作用的拓扑关键节点，我们需要从风险传播时空动态性的角度来筛选当前时刻最有可能转发风险的拓扑节点。

近几年来，很多网络安全领域的研究学者对大规模在线网络中的拓扑传播风险的控制问题做了相关的工作。其中，就网络风险传播模型来看，目前这些建模工作大部分是基于经典的传染病模型，如SI(Susceptible-Infected)，SIS(Susceptible-Infected-Susceptible)，SIR(Susceptible-Infected-Recovery)模型等。这些传播模型只能对当前风险感染规模进行宏观估计，但是并不能预估任意用户的当前安全状态。而在此传染病模型基础之上建立的网络风险控制策略，往往是分析网络的固有的拓扑结构，通过筛选出某些在理论上能够很大程度影响风险传播规模的关键特征，再针对这些关键特征如节点的度数遴选出一定比例的关键用户或是关键桥节点，之后对这些拓扑节点进行一些控制操作以达到控制网络风险继续更大规模传播的目的。

但是，这些技术普遍存在以下缺点。其一，基于传染病的宏观传播模型不能反映网络中个体的微观安全状态，它们只能对当前风险感染的规模进行宏观估计。这使得我们很难推测到在网络风险感染过程中网络个体的安全状态的实时性改变从而有针对性地提供保护以及修复。其二、静态拓扑结构中的关键节点并不一定是当前时刻的能影响传播的重要拓扑节点，如上面提到的两种特殊场景中，控制这些所谓关键拓扑节点并无实际意义。换言之，原有的方法对网络风险控制的设计过于理想化，没有考虑到风险扩散的实时性动态变化。

发明内容

本发明的主要目的在于克服现有技术中的上述缺陷，提出一种基于微观状态预测的网络风险控制方法，以筛选出部分当前时刻最有可能转发风险的用户或者是计算机主机，并对这些用户节点进行控制操作来高效地控制风险传播。

本发明采用如下技术方案：

一种基于微观状态预测的网络风险控制方法，其特征在于，包括如下步骤：

1)找到风险传播源头；

2)建立目标网络风险传播的微观模型，得到该微观模型下各个用户节点在当前时刻处于感染状态的概率估计值；

3)采用传感器观测模型获取目标网络中用户节点的安全状态以及风险传播路径，结合策略重建风险所处目标网络的拓扑结构进一步得到用户节点在当前时刻处于感染状态的概率值；

4)将步骤3)的概率值和预先设置的阈值进行比较，筛选得到控制用户节点集合进行控制。

优选的，在步骤3)中，所述的策略包括如下：如果存在显式的风险传播路径，则将该路径上所有用户节点状态标记为感染，且该路径上所有边的概率权重标记为1。

优选的，在步骤3)中，所述的策略包括如下：如果一个用户节点只有一条指向自己的边，同时它的出边中存在显式的传播路径，则将指向它的边的概率权重为1。

优选的，在步骤3)中，所述的策略包括如下：如果一条显式的传播路径指向某个用户节点，则其他指向该用户节点的边的权重设置为0。

优选的，在步骤3)中，所述的策略包括如下：如果一个被感染的监控用户节点只有一条指向它的边，则将该边的概率权重设置为1。

优选的，在步骤3)中，所述的策略包括如下：如果一个用户节点是其他两个受感染的监控用户节点的中间连接节点，它的状态将被设置为1。

优选的，在步骤3)中，所述的策略包括如下：如果一个用户节点的出度方向上存在显式的传播路径，同时只有一条边指向该用户节点，且该边的另一端为被感染的监控用户节点，则将该点的状态设置为感染状态。

优选的，在步骤2)中，所述微观模型采用经典的SI感染模型中的状态表示。

优选的，在步骤1)中通过已有的风险溯源技术回溯到风险传播的源头。

由上述对本发明的描述可知，与现有技术相比，本发明具有如下有益效果：

1、本发明的方法通过概率迭代来预测个体在风险传播过程中的微观状态来模拟网络风险的传播动态并筛选出当前时刻最有可能传播该风险的用户或者计算机主机进行免疫控制，从而实现高效地控制风险传播，能够在免疫较少用户节点的情况下达到更好的风险控制效果。

2、本发明的方法不受网络规模的限制，同时可以适应多谣言传播场景，可扩展性强。

附图说明

图1为目标网络示例图(无向有权)，表示一个简单的网络,网络中每条边上的数值作为概率权重，表示两端用户节点发生信息交互的历史概率；

图2为传播事件示例图，其中箭头代表实际的传播路径.；

图3为微观模型图，安全人员能够获知传感器节点的状态以及部分传播路径；

图4为策略I示例图；

图5为策略II示例图；

图6策略III示例图

图7为策略IV示例图；

图8为策略V示例图

图9为策略VI示例图；

图10a为在Facebook上的风险控制实验结果(传播时间)；

图10b为在Facebook上的风险控制实验结果(控制方法)；

图11a为在AS-level Internet上的风险控制实验效果(传播时间)；

图11b为在AS-level Internet上的风险控制实验效果(控制方法)。

具体实施方式

以下通过具体实施方式对本发明作进一步的描述。

一种基于微观状态预测的网络风险控制方法，其核心思路为：当网络安全人员检测到网络风险爆发后，将先通过已有的风险溯源技术回溯到风险传播的源头，再结合所提出的风险传播微观模型构建风险扩散过程中的网络个体状态估计，筛选出当前时刻最有可能扩散风险的用户进行控制，以达到高效控制风险传播的目的。

参照图1至图3，具体包括如下步骤：

1)通过风险溯源技术回溯到网络风险传播源头，记为u，该风险溯源技术可参考2016年发表在中国科学院分级的1区国际顶级期刊IEEE Communications Survey andTutorials的文章《Identifying Propagation Sources in Networks:State-of-the-Artand Comparative Studies》。

2)建立目标网络风险传播的微观模型，得到该微观模型下各个用户节点在当前时刻处于感染状态的概率估计值，即为Pro.(St._i(t)＝C|u)。具体可采用经典的SI感染模型中的状态表示，

Pro.(St._i(t)＝S|u)＝[1-β(i，t)]Pro.(St._i(t-1)＝S|u) (1)

Pro.(X_i(t)＝C|u)＝β(i，t)Pro.(St._i(t-1)＝S|u) (2)

Pro.(St._i(t)＝I|u)＝β(i，t)Pro.(St._i(t-1)＝S|u)+Pro.(St._i(t-1)＝I|u)(3)

其中：用Pro.(St_i(t)＝S|u)，Pro.(St._i(t)＝C|u)以及Pro.(St_i(t)＝I|u)分别表示当传播源是u，传播t时间后网络用户i是S、C及I状态的概率，S代表健康，I代表感染状态，C表示被感染且具有感染性；∏是连乘符号，表示连续求积；β(i，t)表示t时刻节点被感染的概率，，η_ji∈[0,1]是网络中任意两个用户节点的历史传播概率，η_ji＝0表示节点j、i之间不存在连接，η_ji＝1表示节点j将收到的任何信息都传给节点i；N_i表示节点i的相邻节点的集合。

3)采用传感器观测模型获取目标网络中用户节点的安全状态以及风险传播路径，结合策略重建风险所处目标网络的拓扑结构进一步得到用户节点在当前时刻处于感染状态的概率值。该传感器观测模型为了保护绝大多数用户隐私以及降低网络监控成本，近年来研究学者提出只监控网络中部分愿意被监控的用户，定义为传感器节点，然后通过这少部分传感器的安全状态来推断整个网络的状态的方法。通过传感器节点能够获得网络中一些用户的安全状态以及风险传播的部分路径。更实际的，如新浪微博或者是推特，用户可以用“@”来表示他们所转发信息的来源，即显示指明了信息一些较短的传输路径。因此该步骤中，通过这些已知信息来重构网络拓扑。具体地，可以执行以下策略：

策略I：如果存在显式的风险传播路径，则将该路径上所有用户节点状态标记为感染，且该路径上所有边的概率权重标记为1。参照图4，显示得是一条短的传播路径，将节点1，2，3标记为感染，且对应边的权重设置为1。

策略II：如果一个用户节点只有一条指向自己的边，同时它的出边中存在显式的传播路径，则将指向它的边的概率权重为1。参照图5，用户节点1只有一条指向它的边，且由它出发的边存在传播路径，则该边的概率权重被设置为1

策略III：如果一条显式的传播路径指向某个用户节点，则其他指向该用户节点的边的权重设置为0。参照图6，如果有传播路径指向节点1，且e₁₂是传播路径，则节点1状态时感染，且其他指向用户节点2的边的概率权重被设置为0

策略IV：如果一个被感染的监控用户节点只有一条指向它的边，则将该边的概率权重设置为1。参见图7，被感染节点1只有一条指向它的边，则该边的概率权重设置为1。该监控用户节点是指被监控的用户节点。

策略V：如果一个用户节点是其他两个受感染的监控用户节点用户的中间连接节点，它的状态将被设置为1。参见图8，用户节点2为被感染的监控节点1，3的中间连接点，则将2的状态设置为感染，且两条边的概率权重设置为1。

策略VI：如果一个用户节点的出度方向上存在显式的传播路径，同时只有一条边指向该用户节点，且该边的另一端为被感染的监控用户节点，则将改点的状态设置为感染状态。参见图9，节点1是被感染监控用户节点，节点2的出边中存在传播路径的情况下，用户节点2的状态将被标记为感染，且节点1，2的连接边的权重将被设置为1。

上述的策略是针对目标网络的，其目的是根据已有的信息(监控用户的状态以及部分可知的风险传播路径)，将网络中的边的概率权重进行重新计算并标记。

4)设置一个控制阈值θ(0<θ＜1)，将步骤3)的概率值和该控制阈值θ进行比较，当概率值大于这个阈值，则将该用户节点加入控制用户节点集合，从而筛选得到控制用户节点集合进行控制。具体控制措施可以有：对该用户节点集合内的用户定向发送官方辟谣信息(针对网络谣言)，定向发送修复补丁(针对计算机病毒)；暂时强制性断开其与其他用户节点进行通信的能力等。

本发明的方法所采用的具体算法描述如下所示：

由于步骤1是利用现有的技术，因此在该算法中没有直接体现，只是直接假定通过已有算法得到了风险源u。输入的网络结构G,其网络拓扑保存在degree.txt，edge.txt，probabilityFB.txt三个文件。网络节点编号0～N，其中degree.txt记录每个节点的度，按节点编号顺序edge.txt存储所有节点的边对应的邻居节点，probability.txt对应每条边的概率，与edge.txt一一对应。

示例：编号为0的节点，通过搜索degree文件得到度为2，表示有两条边，从对应的edge.txt中知道对应的邻居节点为17和18，同时由probability.txt可知传播过程中，节点0传播到其邻居节点17和节点18的概率分别为0.143254和0.610309。对于算法中的6-16说明如下：遍历所有用户节点，将计算得到的当前时刻状态为C的概率与控制阈值进行比较，如果大于阈值，则加入控制集合。进一步地，从控制集合中剔除一些没有传播能力的节点。当节点出度为0或者其所有邻节点的出度为0这两种情况认为节点没有传播能力，尽管此时这些节点是C状态的概率大于阈值，但仍然不认为它们是控制用户节点。

将本发明的方法应用于两种大规模现实网络Facebook和AS-level Internet中进行了实验，图10a、图10b和图11a、图11b是对应的实验结果。其中，NI表示不执行任何控制操作，AI表示熟人免疫(又名度中心法)，TI表示经典的目标免疫算法，RRPP是本发明提出的基于概率预测的控制算法并设置了不同的控制阈值。通过实验可知，本发明的风险控制算法在控制效率和控制成本上明显优于经典的度中心法和目标免疫算法。而在控制阈值的选择上，阈值越大，控制效果越好，但是控制集合越大，因此成本也越高。

上述仅为本发明的具体实施方式，但本发明的设计构思并不局限于此，凡利用此构思对本发明进行非实质性的改动，均应属于侵犯本发明保护范围的行为。

Claims

1.一种基于微观状态预测的网络风险控制方法，其特征在于，包括如下步骤：

1)找到风险传播源头；

4)将步骤3)的概率值和预先设置的阈值进行比较，筛选得到控制用户节点集合进行控制；

步骤2)中所述概率估计值，可采用经典的SI感染模型中的状态表示，

Pro.(St._i(t)＝S|u)＝[1-β(i，t)]Pro.(St._i(t-1)＝S|u)

Pro.(X_i(t)＝C|u)＝β(i，t)Pro.(St._i(t-1)＝S|u)

Pro.(St._i(t)＝I|u)＝β(i，t)Pro.(St._i(t-1)＝S|u)+Pro.(St._i(t-1)＝I|u)

5)其中：用Pro.(St_i(t)＝S|u)，Pro.(St._i(t)＝C|u)以及Pro.(St_i(t)＝I|u)分别表示当传播源是u，传播t时间后网络用户i是S、C及I状态的概率，S代表健康，I代表感染状态，C表示被感染且具有感染性；Π是连乘符号，表示连续求积；β(i，t)表示t时刻节点被感染的概率，η_ji∈[0，1]是网络中任意两个用户节点的历史传播概率，η_ji＝0表示节点j、i之间不存在连接，η_ji＝1表示节点j将收到的任何信息都传给节点i；N_i表示节点i的相邻节点的集合。

2.如权利要求1所述的一种基于微观状态预测的网络风险控制方法，其特征在于，在步骤3)中，所述的策略包括如下：如果存在显式的风险传播路径，则将该路径上所有用户节点状态标记为感染，且该路径上所有边的概率权重标记为1。

3.如权利要求1所述的一种基于微观状态预测的网络风险控制方法，其特征在于，在步骤3)中，所述的策略包括如下：如果一个用户节点只有一条指向自己的边，同时它的出边中存在显式的风险传播路径，则将指向它的边的概率权重为1。

4.如权利要求1所述的一种基于微观状态预测的网络风险控制方法，其特征在于，在步骤3)中，所述的策略包括如下：如果一条显式的风险传播路径指向某个用户节点，则其他指向该用户节点的边的权重设置为0。

5.如权利要求1所述的一种基于微观状态预测的网络风险控制方法，其特征在于，在步骤3)中，所述的策略包括如下：如果一个被感染的监控用户节点只有一条指向它的边，则将该边的概率权重设置为1。

6.如权利要求1所述的一种基于微观状态预测的网络风险控制方法，其特征在于，在步骤3)中，所述的策略包括如下：如果一个用户节点是其他两个受感染的监控用户节点的中间连接节点，它的状态将被设置为1。

7.如权利要求1所述的一种基于微观状态预测的网络风险控制方法，其特征在于，在步骤3)中，所述的策略包括如下：如果一个用户节点的出度方向上存在显式的风险传播路径，同时只有一条边指向该用户节点，且该边的另一端为被感染的监控用户节点，则将该点的状态设置为感染状态。

8.如权利要求1所述的一种基于微观状态预测的网络风险控制方法，其特征在于，在步骤2)中，所述微观模型采用经典的SI感染模型中的状态表示。

9.如权利要求1所述的一种基于微观状态预测的网络风险控制方法，其特征在于：在步骤1)中通过已有的风险溯源技术回溯到风险传播的源头。