CN107528734A - 一种基于动态图的异常主机群检测方法 - Google Patents

Abstract

本发明公开了一种基于动态图的异常主机群检测方法，包括流量采集，提取源IP地址和目的IP地址，转换为图模型；针对每个时间快照数据集识别主机群集合；设置每个主机群的标识主机，分析相邻时间快照的主机群数据，根据异常事件的定义发现异常主机群IP地址集合；根据异常事件定义的规则进行检测，不属于的就是持续不变的主机群，认为是正常的主机群，否则就是异常主机群。本发明解决了针对主机网络行为具有群体性、协同性和大规模交互行为的形式化描述难、异常检测复杂度高的问题，可以检测出导致的网络连接的拓扑结构变化，如网络管理配置的变更、群体攻击行为；并能准确地检测出了真实攻击案例与攻击关联的异常主机群。

Description

一种基于动态图的异常主机群检测方法

技术领域

本发明涉及主机网络异常检测技术领域，具体地讲，是涉及一种基于动态图的异常主机群检测方法，特别是对具有群体性、协同性的大规模主机的网络交互行为的IP地址定位的异常检测。

背景技术

主机安全是网络安全研究的重要领域。目前，对于网络中主机行为的分析主要是从个体主机的角度进行，研究网络中各个主机的社会层、功能层和应用层等的网络行为。随着分布式计算技术的发展，面向服务的网络应用架构，提供给网络用户如Web服务，形成以服务为聚合的网络通信行为。还涌现出以分布式攻击为典型的新型协同攻击模式，形成以攻击目标、攻击者为聚合的网络通信，使主机网络行为呈现出主机群聚合的交互关系。当网络异常发生时，需耗费大量人力和时间查找与异常发生相关联的主机，当异常主机具有群体性、协作性和聚合行为时，传统的主机网络行为特征的研究对于这类主机群的通信结构特性的分析已经无法适用。仅仅分析主机的个体网络行为，无法进行有效的主机交互关系的分析和异常检测。这些研究工作大多观测主机个体的行为特征，缺乏从整体的网络环境中分析网络通信行为，以及网络中主机之间的交互行为构建的群体交互关系。尤其是这些网络通信构成的主机群网络连接图的拓扑结构随着网络应用系统的复杂、用户群的扩大更复杂，随着攻击规模和强度的剧增而演化为大规模攻击。以个体主机的局部分析方式没有办法准确的解释和判断多主机的网络通信行为，及时发现网络环境中由网络通信行为形成的主机通信连接的拓扑变化，势必采用新的技术和方法从主机群体结构的角度进行分析和检测。因此，如何理解和分析主机群结构演化过程，就成为了必须应对的问题。

图论作为研究事物之间关系的理论基础，已经广泛的应用于社交网络、生物计算等研究领域。将主机看作图中的节点，将主机间的网络通信看作网络中的边，就可以把网络通信的主机连接行为看作是一个连接图。从而分析和揭示具有聚合行为的主机群结构，分析网络环境中主机群结构的演化行为，揭示网络演化的异常。从主机行为研究角度，以主机群结构演化的分析和建模方法，有效的填补了个体主机网络行为研究中交互关系分析不足，具有重要的研究意义。

发明内容

为克服现有技术中的上述问题，本发明提供一种基于动态图的异常主机群检测方法，对主机群的规模和拓扑结构规律进行研究，准确地检测出真实攻击案例与攻击关联的异常主机群。

本发明基于Spark GraphX图处理系统。Spark GraphX是一个分布式图处理框架，它是基于Spark平台提供对图计算和图挖掘简洁易用的而丰富的接口，极大的方便了对分布式图处理的需求。

为了实现上述目的，本发明采用的技术方案如下：

一种基于动态图的异常主机群检测方法，包括如下步骤：

(1)数据采集：捕获网络中的流量数据，生成会话流数据，仅采用其源IP地址和目的IP地址；

(2)图形式化：以一定时间间隔汇聚期间的会话流数据，将网络连接数据转换为Spark Graphx的图模型，其中，用节点表示每个IP地址对应的主机，用连接两个节点的边表示主机IP地址之间的网络连接关系，将进行网络通信的IP地址间的交互行为定义为一个图G＝(V,E)，V为节点的集合，E为边的集合；

(3)主机群发现：在每个时间快照中，采用图聚类算法从所述图模型中发现网络连接图中的所有主机群，得到当前时间快照的主机群集合；

(4)主机群标识：建立相邻时间快照，由相邻时间快照对应的网络连接图构建动态图，通过动态图建立主机群的演化关系，并计算获取每个主机群中每个主机的度，选择其中最大度值的主机节点，作为此主机群的标识主机；

(5)主机群异常事件检测：根据图演化事件的定义，检测主机群发生的异常演化事件，并输出发生异常演化事件的主机群，其中，定义的异常演化事件包括主机群扩大、主机群缩小、主机群合并、主机群解体、主机群新增和主机群消失。

具体地，所述主机群扩大事件的判定方法为：

在相邻时间快照中，主机群的标识主机h_c(t-1)＝h_ct＝h相同，且满足|V_t-1(h_c(t-1))|<|V_t(h_ct)|，该主机群的节点数增加，判定为该主机群成员规模扩大；

其中，t为当前时间快照，t-1为前一时间快照，h_c为该主机群的标识主机，V(h)为主机群的节点集合，|V(h)|为主机群的节点数量。

所述主机群缩小事件的判定方法为：

在相邻时间快照中，主机群的标识主机h_c(t-1)＝h_ct＝h相同，且满足|V_t-1(h_c(t-1))|>|V_t(h_ct)|，该主机群的节点数减少，判定为该主机群成员规模缩小；

其中，t为当前时间快照，t-1为前一时间快照，h_c为该主机群的标识主机，V(h)为主机群的节点集合，|V(h)|为主机群的节点数量。

所述主机群合并时间的判定方法为：

在主机群V_t(h_ct)中，其主机集合包含有前一时间快照中的多个主机群的标识主机h_cn(t-1)，满足H_t-1∩V_t(h_ct)＝Mh，交集的元素个数|Mh|>1，且满足判定为该主机群由多个主机群合并而成；

其中，t为当前时间快照，t-1为前一时间快照，h_c为该主机群的标识主机，V(h_c)为主机群的节点集合，H_t为当前时间快照的所有标识主机的集合，n为计数。

所述主机群解体事件的判定方法为：

在主机群V_t-1(h_c(t-1))中，其主机集合中有多个主机属于当前时间快照中多个主机群的标识主机h_cnt，满足V_t-1(h_c(t-1))∩H_t>1，判定为原主机群分解成多个主机群；

其中，t为当前时间快照，t-1为前一时间快照，h_c为该主机群的标识主机，V(h_c)为主机群的节点集合，H_t为当前时间快照的所有标识主机的集合，n为计数。

所述主机群新增事件的判定方法为：

以hc为标识主机的主机群V_t(h_ct)在前一时间快照中不存在，且判定为该主机群新增；

其中，t为当前时间快照，t-1为前一时间快照，h_c为该主机群的标识主机，V(h_c)为主机群的节点集合，H_t为当前时间快照的所有标识主机的集合。

所述主机群消失事件的判定方法为：

前一时间快照中以h_c为标识主机的主机群V_t-1(h_c(t-1))在当前时间快照中不存在，且判定为该主机群消失；

其中，t为当前时间快照，t-1为前一时间快照，h_c为主机群的标识主机，V(h_c)为主机群的节点集合，H_t为当前时间快照的所有标识主机的集合。

具体地，所述图聚类算法采用fast unfolding社区发现算法。

与现有技术相比，本发明具有以下有益效果：

(1)本发明基于图理论的角度分析了网络流量的整体主机通信行为的空间拓扑结构，给出了主机网络交互行为的动态图形式化表征方法和描述，并且针对动态图模型提出并定义了主机群演化事件，提供了适用于网络安全领域发现和定位异常主机群的新方法和视角，本发明构思新颖，设计巧妙，结构简单，使用方便，具有广泛的应用前景，适合推广应用。

(2)本发明构建针对主机群聚合行为，首次将社区发现和动态图演化的方法应用于网络安全领域，分析主机群的规模和拓扑结构规律，构建异常主机群检测模型，为网络安全分析提供了有力的分析方法。

附图说明

图1为本发明的流程示意图。

图2为本发明中主机群扩大事件的图形表达示意图。

图3为本发明中主机群缩小事件的图形表达示意图。

图4为本发明中主机群合并事件的图形表达示意图。

图5为本发明中主机群解体事件的图形表达示意图。

图6为本发明中主机群新增事件的图形表达示意图。

图7为本发明中主机群消失事件的图形表达示意图。

图8为本发明中系统框架的结构框图。

具体实施方式

下面结合附图和实施例对本发明作进一步说明，本发明的实施方式包括但不限于下列实施例。

实施例

如图1至图8所示，该基于动态图的异常主机群检测方法，包括如下步骤：

(1)数据采集：捕获网络中的流量数据，生成多维会话流数据，仅需采用其源IP地址和目的IP地址即可，扩展性强，采集方便，数据量少，有效控制了系统处理负载。

(2)图形式化：以一定时间间隔汇聚期间的会话流数据，将网络连接数据转换为Spark Graphx的图模型，由此通过抽取对应时间快照数据就形成了网络连接动态图，以此将IP地址之间的网络连接关系用图模型的方式形式化，从而将这种网络通讯的IP交互行为抽象为主机个体与个体之间的相互作用，定义为一个图G＝(V,E)，用节点表示每个IP地址对应的主机，V为节点的集合，用连接两个节点的边(连线)表示主机IP地址之间的网络连接关系，E为边的集合。具体地，该系统中的图模型采用Spark Graphx构建。

(3)主机群发现：在每个时间快照中，采用图聚类算法或社区识别算法从由所述图模型标示出的网络连接图中进行主机群发现，得到当前时间快照的主机群集合；其中，主机群的群体结构特征体现为：每个主机群内部的主机的网络交互行为紧密，而主机群之间的网络交互行为稀疏。具体来说，每个簇内的节点内部交互性远远高于与其他簇的节点交互程度，就是内部交互高，与外部节点交互低，这就形成了主机连接图的各个主机群。

(4)主机群标识：建立相邻时间快照，由相邻时间快照对应的网络连接图构建动态图，通过动态图建立主机群的演化关系，并计算获取每个主机群中每个主机的度，选择其中最大度值的主机节点，作为此主机群的标识主机；所述标识主机的确定大大增加了对相邻时间窗口的主机群是否具有演化关系的辨识度，为后续检测提供了可靠的基础。

(5)主机群异常事件检测：根据主机群的演化关系定义图演化事件，用以检测主机群发生的异常演化事件，并输出发生异常演化事件的主机群，其中，当主机群正常时体现为稳定的图演化事件，本发明中主要定义了6种异常演化事件，具体包括主机群扩大、主机群缩小、主机群合并、主机群解体、主机群新增和主机群消失。

具体来说，以t表示当前时间快照的时间，则t-1为前一时间快照的时间，t+1为后一时间快照的时间，以h_c表示主机群的标识主机，则V(h_c)为主机群的节点集合，|V(h_c)|为主机群的节点数量，H为某一时间快照对应的所有标识主机的集合；以G_t表示在t时间的网络连接图快照，则g＝{G₁,G₂,…,G_m}表示动态图序列。

第一、所述主机群扩大事件的判定方法为：

在相邻时间快照中，主机群的标识主机h_c(t-1)＝h_ct＝h相同，且满足|V_t-1(h_c(t-1))|<|V_t(h_ct)|，该主机群的节点数增加，那么意味着t-1时间快照时，以h_c为标识的主机群，在t时间快照仍然存在，且主机群成员规模扩大，判定为主机群扩大事件。

第二、所述主机群缩小事件的判定方法为：

在相邻时间快照中，主机群的标识主机h_c(t-1)＝h_ct＝h相同，且满足|V_t-1(h_c(t-1))|>|V_t(h_ct)|，该主机群的节点数减少，那么意味着t-1时间快照时，以h_c为标识的主机群，在t时间快照仍然存在，且主机群成员规模缩小，判定为主机群缩小事件。

第三、所述主机群合并事件的判定方法为：

在所有主机群V_t(h_ct)中，其主机集合包含有前一时间快照所有主机群中的多个主机群的标识主机h_cn(t-1)，满足H_t-1∩V_t(h_ct)＝Mh，交集的元素个数|Mh|>1，那么意味着t时间快照的主机群的主机集合由多个标识主机构成，且满足即由t-1时间快照的多个主机群合并而成的，合并的主机群不在t时间快照存在，由此判定为主机群合并事件；其中，H_t为当前时间快照的所有标识主机的集合，n为计数。

第四、所述主机群解体事件的判定方法为：

在所有主机群V_t-1(h_c(t-1))中，其主机集合中有多个主机属于当前时间快照中多个主机群的标识主机h_cnt，满足V_t-1(h_c(t-1))∩H_t>1，那么意味着t-1时间快照的以h_c为标识的主机群的主机结合，有多个成为了t时间快照的主机群的标识主机，即分解为t时间快照的多个主机群，由此判定为主机群解体事件；其中，H_t为当前时间快照的所有标识主机的集合，n为计数。

第五、所述主机群新增事件的判定方法为：

通过t-1时间快照主机群映射到t时间快照主机群，以h_c为标识主机的主机群V_t(h_ct)在前一时间快照中不存在，且判定为主机群新增事件；其中，H_t-1为前一时间快照的所有标识主机的集合。

第六、所述主机群消失事件的判定方法为：

通过t-1时间快照主机群映射到t时间快照主机群，前一时间快照中以h_c为标识主机的主机群V_t-1(h_c(t-1))在当前时间快照中不存在，且判定为主机群消失事件；其中，H_t为当前时间快照的所有标识主机的集合。

本发明在Spark平台上进行了真实环境的检测，构建如图8所示的检测系统结构。发明中所使用的检测会话流适用于企事业单位的网络流量，通过镜像的方式对数据进行采集和还原。将还原后的数据存放于数据存储平台上，并在数据处理平台上进行数据处理和相关操作。采集服务器共两台；数据存储平台服务器，数据存放于HDFS中；处理平台服务器，已搭建完成Spark平台，计算节点和存储节点可以根据数据处理量级扩展。本发明使用Spark平台对测试集中的会话流进行处理和分析。

本发明方法描述了主机之间的网络交互行为，识别出了网络通信紧密的主机群，采用定义的缩小、扩大、合并、分解、新增和消失事件发现异常主机群。在真实环境中，主机群随着时间变化处于不同演化事件中，不仅有效识别发生出演化事件的主机群，还从所有演化事件中，进一步区分攻击行为聚合的主机群。将提出的方法应用于真实环境网络攻击事件数据，与人工分析标记异常主机比对，检测实验结果表明，该方法主机群数精确度可以达到100％，成员主机的精确度可以达到93.97％，且具有较好的通用性、数据处理量级可扩展性。

上述实施例仅为本发明的优选实施例，并非对本发明保护范围的限制，但凡采用本发明的设计原理，以及在此基础上进行非创造性劳动而作出的变化，均应属于本发明的保护范围之内。

Claims (8)

1.一种基于动态图的异常主机群检测方法，其特征在于，包括如下步骤：

(1)数据采集：捕获网络中的流量数据，生成会话流数据，仅采用其源IP地址和目的IP地址；

(2)图形式化：以一定时间间隔汇聚期间的会话流数据，将网络连接数据转换为SparkGraphx的图模型，其中，用节点表示每个IP地址对应的主机，用连接两个节点的边表示主机IP地址之间的网络连接关系，将进行网络通信的IP地址间的交互行为定义为一个图G＝(V,E)，V为节点的集合，E为边的集合；

(3)主机群发现：在每个时间快照中，采用图聚类算法从所述图模型中发现网络连接图中的所有主机群，得到当前时间快照的主机群集合；

(4)主机群标识：建立相邻时间快照，由相邻时间快照对应的网络连接图构建动态图，通过动态图建立主机群的演化关系，并计算获取每个主机群中每个主机的度，选择其中最大度值的主机节点，作为此主机群的标识主机；

(5)主机群异常事件检测：根据图演化事件的定义，检测主机群发生的异常演化事件，并输出发生异常演化事件的主机群，其中，定义的异常演化事件包括主机群扩大、主机群缩小、主机群合并、主机群解体、主机群新增和主机群消失。

2.根据权利要求1所述的一种基于动态图的异常主机群检测方法，其特征在于，所述主机群扩大事件的判定方法为：

在相邻时间快照中，主机群的标识主机h_c(t-1)＝h_ct＝h相同，且满足|V_t-1(h_c(t-1))|<|V_t(h_ct)|，该主机群的节点数增加，判定为该主机群成员规模扩大；

其中，t为当前时间快照，t-1为前一时间快照，h_c为该主机群的标识主机，V(h)为主机群的节点集合，|V(h)|为主机群的节点数量。

3.根据权利要求1所述的一种基于动态图的异常主机群检测方法，其特征在于，所述主机群缩小事件的判定方法为：

在相邻时间快照中，主机群的标识主机h_c(t-1)＝h_ct＝h相同，且满足|V_t-1(h_c(t-1))|>|V_t(h_ct)|，该主机群的节点数减少，判定为该主机群成员规模缩小；

其中，t为当前时间快照，t-1为前一时间快照，h_c为该主机群的标识主机，V(h)为主机群的节点集合，|V(h)|为主机群的节点数量。

4.根据权利要求1所述的一种基于动态图的异常主机群检测方法，其特征在于，所述主机群合并事件的判定方法为：

在主机群V_t(h_ct)中，其主机集合包含有前一时间快照中的多个主机群的标识主机h_cn(t-1)，满足H_t-1∩V_t(h_ct)＝Mh，交集的元素个数|Mh|>1，且满足判定为该主机群由多个主机群合并而成；

其中，t为当前时间快照，t-1为前一时间快照，h_c为该主机群的标识主机，V(h_c)为主机群的节点集合，H_t为当前时间快照的所有标识主机的集合，n为计数。

5.根据权利要求1所述的一种基于动态图的异常主机群检测方法，其特征在于，所述主机群解体事件的判定方法为：

在主机群V_t-1(h_c(t-1))中，其主机集合中有多个主机属于当前时间快照中多个主机群的标识主机h_cnt，满足V_t-1(h_c(t-1))∩H_t>1，判定为原主机群分解成多个主机群；

其中，t为当前时间快照，t-1为前一时间快照，h_c为该主机群的标识主机，V(h_c)为主机群的节点集合，H_t为当前时间快照的所有标识主机的集合，n为计数。

6.根据权利要求1所述的一种基于动态图的异常主机群检测方法，其特征在于，所述主机群新增事件的判定方法为：

以h_c为标识主机的主机群V_t(h_ct)在前一时间快照中不存在，且判定为该主机群新增；

其中，t为当前时间快照，t-1为前一时间快照，h_c为该主机群的标识主机，V(h_c)为主机群的节点集合，H_t为当前时间快照的所有标识主机的集合。

7.根据权利要求1所述的一种基于动态图的异常主机群检测方法，其特征在于，所述主机群消失事件的判定方法为：

前一时间快照中以h_c为标识主机的主机群V_t-1(h_c(t-1))在当前时间快照中不存在，且判定为该主机群消失；

其中，t为当前时间快照，t-1为前一时间快照，h_c为主机群的标识主机，V(h_c)为主机群的节点集合，H_t为当前时间快照的所有标识主机的集合。

8.根据权利要求1～7任一项所述的一种基于动态图的异常主机群检测方法，其特征在于，所述图聚类算法采用fast unfolding社区发现算法。