CN112839025B - 基于节点关注和转发特征的Sybil攻击检测方法和电子设备 - Google Patents

Abstract

本发明公开了一种基于节点关注和转发特征的Sybil攻击检测方法和电子设备，该检测方法包括：获取社交网络用户行为数据，并基于节点关注和转发特征，从社交网络用户行为数据中提取得到节点特征向量和节点对特征向量；将节点特征向量输入至预设节点分类器，得到节点的初始信任值，并将节点对特征向量输入至预设节点对分类器，得到节点对的初始信任值；根据预设社交图及节点对的初始信任值，构建加权强社交图；利用随机游走算法根据节点的初始信任值在加权强社交图中进行信任传播，得到Sybil节点集合和良性节点集合。该方法通过在社交网络的图结构中整合用户行为信息，有效提高了Sybil检测的准确性和实用性，且简单易实现。

Description

基于节点关注和转发特征的Sybil攻击检测方法和电子设备

技术领域

本发明涉及计算机及信息安全技术领域，具体涉及一种基于节点关注和转发特征的Sybil攻击检测方法和电子设备。

背景技术

Sybil攻击指攻击者利用其创造的大量虚假身份(即Sybil身份)实施恶意活动，破坏系统功能的一种攻击方式。目前社交网络中Sybil攻击的主流检测方法分为两类，分别为基于图结构的检测方法和基于节点特征的检测方法。

然而上述主流的Sybil攻击检测方法均具有一定局限性。其中，基于图结构的检测方法对结构假设的依赖性过强，所述假设在真实社交网络中并不成立，从而导致基于图结构的检测方法的有效性大大降低。并且基于图结构的检测方法对节点初始信任值的设置存在一定局限性，忽略了节点间的差异性，容易产生大量误报情况。基于节点特征的检测方法其特征鲁棒性较差，在基于已知的恶意特征进行检测时，攻击者可以针对性地改变其行为从而轻易绕过检测，使得检测方法失效。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本发明的第一个目的在于提出一种基于节点关注和转发特征的Sybil攻击检测方法，通过利用用户行为特征和用户标签相互关联的特性，基于用户行为特征生成初始信任值，并在社交图的基础上加入初始信任值构建加权强社交图，以根据加权强社交图对Sybil节点进行检测，从而解决了基于图结构的检测方法初始信任值设置的局限性和基于节点特征的检测方法特征鲁棒性较差的问题，提高了Sybil检测的准确性。

本发明的第二个目的在于提出一种电子设备。

为达到上述目的，本发明第一方面实施例提出了一种基于节点关注和转发特征的Sybil攻击检测方法，包括：获取社交网络用户行为数据，并基于节点关注和转发特征，从所述社交网络用户行为数据中提取得到节点特征向量和节点对特征向量；将所述节点特征向量输入至预设节点分类器，得到节点的初始信任值，并将所述节点对特征向量输入至预设节点对分类器，得到节点对的初始信任值；根据预设社交图和所述节点对的初始信任值，构建加权强社交图；利用随机游走算法根据所述节点的初始信任值在所述加权强社交图中进行信任传播，得到Sybil节点集合和良性节点集合。

根据本发明实施例的基于节点关注和转发特征的Sybil攻击检测方法，通过从社交网络用户行为数据中提取出节点特征向量和节点对特征向量，并将节点特征向量和节点对特征向量输入至预设分类器，得到节点和节点对的初始信任值，然后根据预设社交图和节点对的初始信任值，构建加权强社交图，再根据节点信任值和加权强社交图对Sybil节点进行检测，从而有效提高了Sybil检测的准确性。

为达到上述目的，本发明第二方面实施例提出了一种电子设备，包括存储器、处理器和存储在所述存储器上的计算机程序，所述计算机程序被所述处理器执行时，实现上述所述的基于节点关注和转发特征的Sybil攻击检测方法。

根据本发明实施例的电子设备，通过上述的基于节点关注和转发特征的Sybil攻击检测方法，有效提高了Sybil检测的准确性。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

图1为根据本发明一个实施例的社交图示意图；

图2为根据本发明一个实施例的基于节点关注和转发特征的Sybil攻击检测方法的流程图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

Sybil攻击指攻击者利用其创造的大量虚假身份实施恶意活动，破坏系统功能。Sybil攻击作为分布式系统中的一种基本攻击，早期常见于传感器网络，后期被广泛应用于社交网络。由于社交网络对用户创建身份数没有限制且缺乏有效的身份认证机制，使得社交网络容易遭受Sybil攻击。攻击者利用其创造的大量Sybil身份，在社交网络中进行各种恶意活动，如传播谣言、恶意链接及垃圾邮件、收集用户隐私信息等。

目前社交网络中Sybil攻击的主流检测方法有两类，基于图结构的检测方法和基于节点特征的检测方法。基于图结构的检测方法将社交网络拓扑结构建模为社交图，在给定社交图和部分节点标签已知的情况下，预测节点的标签，进而检测出Sybil节点。这类方法大多假设Sybil节点和良性节点在图结构上存在差异，其中关键假设为Sybil节点与良性节点建立连接的能力有限。基于节点特征的检测方法则根据用户行为特征与用户标签相互关联这一特性，从社交网络数据中提取用户特征，根据已知的Sybil用户恶意特征，利用机器学习算法进行节点分类，从而检测出Sybil节点。这类方法的检测准确性和特征选取密切相关。

然而通过对社交网络拓扑结构Sybil攻击策略的研究发现，两类主流的Sybil攻击检测方法均具有一定局限性。基于图结构的检测方法对假设的依赖性过强，并且其关键假设在真实社交网络中并不成立。攻击者可以利用反向社会工程学攻击或社交机器人等手段，使Sybil节点与良性节点间建立大量连接，且攻击成本较低。这一关键假设不成立导致基于图结构的检测方法的有效性大大降低。此外，基于图结构的检测方法对节点初始信任值的设置不够完善，其忽略了节点间的差异性，容易产生大量误报情况。基于节点特征的检测方法其特征鲁棒性较差，基于已知的恶意特征进行检测，攻击者可以针对性地改变其行为从而轻易绕过检测。Sybil攻击策略的复杂性，要求该方法所选特征具有很强的鲁棒性。

基于此，本申请提出了一种能够有效解决基于图结构的检测方法局限性和基于节点特征的检测方法特征鲁棒性较差问题，并能有效提高Sybil检测准确性的基于节点关注和转发特征的Sybil攻击检测方法和电子设备。

在描述基于节点关注和转发特征的Sybil攻击检测方法之前，首先，将存在Sybil攻击的社交网络抽象为一个无向社交图G＝(V,B,S,A)，其中节点表示用户，V＝{v₁,v₂,K,v_|V|}是所有节点的集合，B、S、A是节点之间的边。根据节点的标签可将节点分为两个集合V_b和V_s，且

V_bUV_s＝V。节点之间的边表示对应用户间的社交关系，边的集合为E＝{(u,v)|u,v∈V,u<v}＝BUSUA，其中，u、v为节点。参考图1所示，根据节点的标签可以将边分为良性边、Sybil边和攻击边，分别对应的边的集合为B＝{(u,v)|u,v∈V_b}、S＝{(u,v)|u,v∈V_s}和A＝{(u,v)|u∈V_b,v∈V_s}U{(u,v)|u∈V_s,v∈V_b}。

下面参考附图描述本发明实施例的基于节点关注和转发特征的Sybil攻击检测方法和电子设备。

图2为根据本发明一个实施例的基于节点关注和转发特征的Sybil攻击检测方法的流程图。

S101，获取社交网络用户行为数据，并基于节点关注和转发特征，从社交网络用户行为数据中提取得到节点特征向量和节点对特征向量。

在本发明的一个实施例中，节点特征向量包括如下特征中的至少两者：节点u的传入请求接受率、发出请求接受率、关注数与粉丝数的比例、关注熵、总转发数和日均转发数；节点对特征向量包括如下特征：节点对中两节点的共同关注数和共同转发数。

具体地，对社交网络中Sybil用户和良性用户的测量研究可知，Sybil用户和良性用户的关注和转发行为模式存在差异，Sybil用户的行为具有随机、大批量和高频率的特征，而良性用户的行为往往遵循一定的规律且频率稳定。本发明实施例中选取的关注和转发特征可以反映Sybil用户和良性用户在行为模式上的差异，并将节点特征分为独立特征和关联特征。

其中，独立特征可度量不同用户行为模式的差异，关联特征可度量两个用户的相似性和同质性。独立特征可包括节点的传入请求接受率、发出请求接受率、关注数与粉丝数的比例、关注熵、总转发数和日均转发数；关联特征可包括节点对中两节点的共同关注数和共同转发数。

其中，节点u的传入请求接受率为

节点u的发出请求接受率为

节点u的关注数与粉丝数的比例为

节点u的关注熵为

其中，

为归一化因子；节点u的总转发数为F_t(u)＝|M_r(u)|；节点u的日均转发数为

节点对(u,v)的共同关注数为CU(u，v)＝|F_e(u)∩F_e(v)|，节点对(u,v)的共同转发数为CM(u,v)＝|(M_c(u)∪M_r(u))∩(M_c(v)UM_r(v))|。

其中，F_e(u)为节点u关注节点的集合，F_r(u)为关注u的节点集合，N_f(u)为T天内节点u关注的节点总数，n_i(u)为第i天内节点u关注的节点数，M_c(u)为节点u发布的消息集合，M_r(u)为节点u转发的消息集合，N_r(u)为节点u存在转发活动的总天数。

本实施例中，可从社交网络的用户行为数据中提取用户的独立特征和用户对的关联特征，并根据上述特征分别定义节点的特征向量和节点对的特征向量。

具体而言，可对社交图G中的节点，从用户的关注和转发行为数据中，提取传入请求接受率、发出请求接受率、关注数与粉丝数的比例、关注熵、总转发数和日均转发数这6个独立特征，定义节点v∈V的特征向量为ω_v＝[Req_in(v),Req_out(v),R(v),H(v),F_t(v),F_a(v)]。对社交图G中的边对应的节点对，从其对应用户的行为数据中提取共同关注数和共同转发数这2个关联特征，定义节点对e＝(u,v)∈E的特征向量为λ_e＝[CU(u,v),CM(u,v)]。

S102，将节点特征向量输入至预设节点分类器，得到节点的初始信任值，并将节点对特征向量输入至预设节点对分类器，得到节点对的初始信任值。

本实施例中，可基于已知属性标签的用户节点集合构造训练数据集，以训练得到预设节点分类器和预设节点对分类器。其中，预设节点分类器的训练集为T₁＝{ω_v|v∈V_T}，其中，V_T为已知属性标签的用户节点集合，当节点v的属性为良性时，特征向量ω_v的标记为0；当节点v的属性为Sybil时，特征向量ω_v的标记为1；预设节点对分类器的训练集为T₂＝{λ_e|e＝(u,v),u,v∈V_T}，其中，当节点u和v的属性相同时，特征向量λ_e的标记为1；当节点u和v的属性不同时，特征向量λ_e的标记为0。

在本发明的一个实施例中，可将预设节点分类器输出的特征向量ω_v标签为0的概率估计值，作为节点v的初始信任值S(v)；将预设节点对分类器输出的特征向量λ_e标签为1的概率估计值，作为节点对(u,v)的初始信任值S(u,v)。

其中，预设节点分类器可采用支持向量机SVM分类器，预设节点对分类器可采用逻辑回归分类器。

S103，根据预设社交图和节点对的初始信任值，构建加权强社交图。

在本发明的一个实施例中，可将预设社交图G＝(V,E)中的节点对集合E中各节点对的权重设置为对应节点对的初始信任值以得到加权强社交图，其中，V为预设社交图中所有节点的集合。

具体地，根据边对应节点对的共同邻居节点数，在保证图的连通性的前提下，对预设社交图G＝(V,E)提取强连接边，得到强社交图

其中，

η(u,v)为节点对(u,v)在预设社交图G＝(V,E)中的共同邻居节点数，当满足条件η(u,v)≥1时，边(u,v)为强连接边；反之，边(u,v)为弱连接边。

进一步地，根据节点对的初始信任值设置强社交图

中边的权重，得到加权强社交图

在加权强社交图

中，节点表示社交网络中的用户；节点如u、v间的边表示用户间的社交关系；边(u,v)的权重表示用户u和v的同质性概率，等于节点对(u,v)的初始信任值，即W(u,v)＝S(u,v)。

需要说明的是，良性用户节点的标签为1，Sybil用户节点的标签为0。在加权强社交图中，两个均为良性节点或Sybil节点间的边的标签为1，其余边的标签为0。节点初始信任值的取值范围为[0,1]，节点初始信任值越接近1，说明节点为良性节点的可能性越大；节点初始信任值越接近0，说明节点为Sybil节点的可能性越大。节点对的初始信任值的取值范围为[0,1]，节点对的初始信任值越接近1，说明节点对中两节点标签相同的可能性越大；节点对的初始信任值越接近0，说节点对中两节点标签不同的可能性越大。

另外，需要说明的是，在社交图中，通常相同属性节点间连接紧密，不同属性节点间连接稀疏，即良性节点和Sybil节点的共同邻居节点数普遍较小，即攻击边为强连接边的概率较小。因此，构建加权强社交图，可以删除大量的攻击边，同时保留相同属性节点间的强连接边，即良性边和Sybil边，从而减少攻击边数量过多对Sybil检测有效性的影响。

S104，利用随机游走算法根据节点的初始信任值在加权强社交图中进行信任传播，得到Sybil节点集合和良性节点集合。

在本发明的一个实施例中，在利用随机游走算法根据节点的初始信任值在加权强社交图中进行信任传播时，可根据如下公式计算在第i次迭代中，节点v的信任值：

其中，T^i-1(u)为第i-1次迭代中邻居节点u的信任值，T⁰(v)为节点v的初始信任值，W(u,v)为边(u,v)的权重；

判断任意连续两次的迭代是否满足如下条件：

其中，α为预设阈值；

如果存在满足上述条件的两次迭代，则终止迭代，此时，d为总迭代次数，

为节点v的最终信任值，并根据各节点的最终信任值的排序进行节点分类，得到Sybil节点集合V_s和良性节点集合V_b。

具体地，随机游走算法可通过迭代的方式进行信任传播。在每轮迭代中，节点向邻居节点传递信任，也从邻居节点处获得信任，从而产生节点信任值的更新。当然，节点信任值的更新和邻居节点的信任值以及节点与邻居节点间的权重有关。在第i次迭代中，节点v的信任值可通过该公式

进行计算。

其中，边的权重W(u,v)等于对应节点对的初始信任值，节点对的初始信任值与节点对的同质性有关，节点对的同质性表示两个节点属性相同的可能性，显然攻击边的权重小于良性边和Sybil边的权重。良性节点的初始信任值大于Sybil节点的初始信任值。。因此，在迭代过程中，较多的信任通过良性边在良性节点间互相传播，而Sybil节点通过攻击边获得的信任很少，导致Sybil节点的最终信任值小于良性节点。

进一步地，当连续两次迭代满足条件

时，迭代终止，此时总迭代次数为d，节点的最终信任值为

然后根据节点的最终信任值进行节点排序，信任值越小的节点，其为Sybil节点的可能性越大。在根据节点的最终信任值进行节点排序后，可设置节点分类阈值，以对节点进行分类。

具体而言，可根据节点的最终信任值对节点进行降序排列，最终信任值越小的节点，其为Sybil节点的可能性越大。给定分类阈值，最终信任值小于该阈值的节点为Sybil节点，大于该阈值的节点为良性节点，从而得到Sybil节点集合V_s和良性节点集合V_b。当然，分类阈值需要综合考虑漏报率FNR和误报率FPR进行决定。

根据本发明实施例的基于节点关注和转发特征的Sybil攻击检测方法，通过利用用户行为特征和用户标签相互关联的特性，基于用户行为特征生成初始信任值，并在原始社交图的基础上加入初始信任值构造加权强社交图，合理地解决了基于图结构的检测方法存在局限性的问题。加权强社交图删除了大量攻击边，可以有效减弱攻击边数量过多对Sybil检测的影响，保证Sybil检测的有效性；根据节点的行为特征定义节点的初始信任值，考虑了节点间的差异性，并减少了孤立节点被误报的可能性，避免了大量误报的产生；更新节点信任值时，考虑边的权重，使得较多的信任在良性节点间传播，有助于良性节点获得较大的信任值，提高了Sybil检测的准确性。

进一步地，本发明还提出了一种电子设备，包括存储器、处理器和存储在存储器上的计算机程序，所述计算机程序被处理器执行时，实现上述的基于节点关注和转发特征的Sybil攻击检测方法。

根据本发明实施例的电子设备，通过上述的基于节点关注和转发特征的Sybil攻击检测方法，可有效提高Sybil检测的准确性。

需要说明的是，在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (6)

1.一种基于节点关注和转发特征的Sybil攻击检测方法，其特征在于，包括以下步骤：

获取社交网络用户行为数据，并基于节点关注和转发特征，从所述社交网络用户行为数据中提取得到节点特征向量和节点对特征向量；

将所述节点特征向量输入至预设节点分类器，得到节点的初始信任值，并将所述节点对特征向量输入至预设节点对分类器，得到节点对的初始信任值；

根据预设社交图和所述节点对的初始信任值，构建加权强社交图；

利用随机游走算法根据所述节点的初始信任值在所述加权强社交图中进行信任传播，得到Sybil节点集合和良性节点集合；

所述方法还包括：

训练得到所述预设节点分类器和所述预设节点对分类器；

其中，所述预设节点分类器的训练集为T₁＝{ω_v|v∈V_T}，其中，V_T为已知属性标签的用户节点集合，当节点v的属性为良性时，特征向量ω_v的标记为0；当节点v的属性为Sybil时，特征向量ω_v的标记为1；

所述预设节点对分类器的训练集为T₂＝{λ_e|e＝(u,v),u,v∈V_T}，其中，当节点u和v的属性相同时，特征向量λ_e的标记为1；当节点u和v的属性不同时，特征向量λ_e的标记为0；

将所述预设节点分类器输出的特征向量ω_v标签为0的概率估计值，作为节点v的初始信任值S(v)；

将所述预设节点对分类器输出的特征向量λ_e标签为1的概率估计值，其中e＝(u,v)，作为节点对(u,v)的初始信任值S(u,v)；

所述利用随机游走算法根据所述节点的初始信任值在所述加权强社交图中进行信任传播，得到Sybil节点集合和良性节点集合，包括：

利用随机游走算法根据所述节点的初始信任值在所述加权强社交图中进行信任传播时，根据如下公式计算在第i次迭代中，节点v的信任值：

其中，T^i-1(u)为第i-1次迭代中邻居节点u的信任值，T⁰(v)为节点v的初始信任值，W(u,v)为边(u,v)的权重；

判断任意连续两次的迭代是否满足如下条件：

其中，α为预设阈值；

如果存在满足上述条件的两次迭代，则终止迭代，d为总迭代次数，

为节点v的最终信任值，并根据各节点的最终信任值的排序进行节点分类，得到Sybil节点集合V_s和良性节点集合V_b。

2.如权利要求1所述的基于节点关注和转发特征的Sybil攻击检测方法，其特征在于，

所述节点特征向量包括如下特征中的至少两者：节点的传入请求接受率、发出请求接受率、关注数与粉丝数的比例、关注熵、总转发数和日均转发数；

所述节点对特征向量包括如下特征：节点对中两节点的共同关注数和共同转发数。

3.如权利要求1所述的基于节点关注和转发特征的Sybil攻击检测方法，其特征在于，所述根据预设社交图和所述节点对的初始信任值，构建加权强社交图，包括：

将所述预设社交图G＝(V,E)中的边的集合E中各边的权重设置为对应节点对的初始信任值，其中，V为所述预设社交图中所有节点的集合。

4.如权利要求2所述的基于节点关注和转发特征的Sybil攻击检测方法，其特征在于，

节点u的传入请求接受率为

其中，F_e(u)为节点u关注节点的集合，F_r(u)为关注u的节点集合；

节点u的发出请求接受率为

其中，F_e(u)为节点u关注节点的集合，F_r(u)为关注u的节点集合；

节点u的关注数与粉丝数的比例为

其中，F_e(u)为节点u关注节点的集合，F_r(u)为关注u的节点集合；

节点u的关注熵为

其中，N_f(u)为T天内节点u关注的节点总数，n_i(u)为第i天内节点u关注的节点数，

为归一化因子；

节点u的总转发数为F_t(u)＝|M_r(u)|，其中，M_r(u)为节点u转发的消息集合；

节点u的日均转发数为

其中，M_r(u)为节点u转发的消息集合，N_r(u)为节点u存在转发活动的总天数。

5.如权利要求2所述的基于节点关注和转发特征的Sybil攻击检测方法，其特征在于，

节点对(u,v)的共同关注数为CU(u，v)＝|F_e(u)∩F_e(v)|，其中，F_e(u)和F_e(v)分别为节点u和v的关注节点的集合；

节点对(u,v)的共同转发数为CM(u，v)＝|(M_c(u)∪M_r(u)∩(M_c(v)∪M_r(v))|，其中，M_c(u)和M_c(v)分别为节点u和v发布的消息集合，M_r(u)和M_r(v)分别为节点u和v转发的消息集合。

6.一种电子设备，包括存储器、处理器和存储在所述存储器上的计算机程序，其特征在于，所述计算机程序被所述处理器执行时，实现如权利要求1-5中任一项所述的基于节点关注和转发特征的Sybil攻击检测方法。

Images