一種基于FP-outlier挖掘的P2P惡意節(jié)點檢測方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于對等網(wǎng)絡(luò)（P2P網(wǎng)絡(luò)）安全領(lǐng)域，具體的說是一種基于頻繁模式離群點 (FP-outlier)挖掘的P2P網(wǎng)絡(luò)中惡意節(jié)點檢測方法。
【背景技術(shù)】
[0002] 諸如文件污染、僵尸網(wǎng)絡(luò)、共謀攻擊等惡意節(jié)點對P2P網(wǎng)絡(luò)的攻擊嚴重影響了網(wǎng) 絡(luò)的性能和發(fā)展，有效檢測惡意節(jié)點并抑制其攻擊成為了現(xiàn)階段研究的熱點?，F(xiàn)有研究通 常采用信任機制來增強P2P網(wǎng)絡(luò)的可靠性和安全性，節(jié)點的信任值通常綜合反饋信息和推 薦信息得到，雖然信任機制能在一定程度上減少惡意行為的影響，但往往依賴于反饋信息 和推薦信息，當反饋節(jié)點或推薦節(jié)點不提供或提供虛假信息時難W應(yīng)對。

【發(fā)明內(nèi)容】

[0003] 本發(fā)明的目的是不依賴于節(jié)點的反饋信息，而根據(jù)節(jié)點交互產(chǎn)生的數(shù)據(jù)來構(gòu)建一 種具有較高應(yīng)用價值的、簡單易行的惡意節(jié)點檢測方法。
[0004] 本發(fā)明根據(jù)P2P網(wǎng)絡(luò)中節(jié)點之間的交互數(shù)據(jù)，為節(jié)點構(gòu)建行為模式，采用頻繁模 式挖掘的方法提取P2P子網(wǎng)內(nèi)的局部頻繁行為模式，再通過超節(jié)點之間局部頻繁模式的增 量傳播與聚合更新各個超節(jié)點保存的全局頻繁行為模式，最后綜合局部與全局頻繁行為模 式計算節(jié)點的離群因子，將離群因子高于均值的節(jié)點檢測為惡意節(jié)點。
[0005] 一種基于FP-outlier挖掘的P2P惡意節(jié)點檢測方法，技術(shù)方案如下：
[0006] (1)節(jié)點行為模式建模
[0007] 1)超節(jié)點SN(SuperNode)WT為周期，SN為其子網(wǎng)內(nèi)成員節(jié)點構(gòu)建行為 模式。P2P節(jié)點的行為模式是由節(jié)點的交互數(shù)據(jù)導出的鍵值對有序集合，是對節(jié)點 行為方式的量化，記為BP炬ehaviorPattern)。對于節(jié)點i，其行為模式記為BPi，
【主權(quán)項】
1. 一種基于FP-OUtlier挖掘的P2P惡意節(jié)點檢測方法，其特征在于，步驟如下： (1)節(jié)點行為模式建模 1) 超節(jié)點SN以T為周期，SN為其子網(wǎng)內(nèi)成員節(jié)點構(gòu)建行為模式；P2P節(jié)點的行為模式 是由節(jié)點的交互數(shù)據(jù)導出的鍵值對有序集合，是對節(jié)點行為方式的量化，記為BP ;對于節(jié) Uj \ ij\ ... ij M 點i，其行為模式記為BPi, H., 其中，I =U1J2，…，Is}為反映 P2P 節(jié)點交互行為特征的s個關(guān)鍵項，由用戶根據(jù)具體網(wǎng)絡(luò)和側(cè)重點自行設(shè)置；<，1 < Λ'為 節(jié)點i在項L上的值； 超節(jié)點保存時間窗τ內(nèi)所在子網(wǎng)成員節(jié)點的BP數(shù)據(jù)，τ = IT1J2，…，Tm}，m為 時間窗τ內(nèi)的周期數(shù)；SN上保存的BP數(shù)據(jù)稱為其所在子網(wǎng)的局部數(shù)據(jù)庫，記為Dsn， ，….?]，其中，T1-Tni為τ內(nèi)的連續(xù)周期，路^丨為SN所在子網(wǎng)中 成員節(jié)點在Tx周期的BP集； 在每一周期結(jié)束后，根據(jù)需求，剔除超節(jié)點中保存的節(jié)點之間的交互的原始數(shù)據(jù)中的 不完整數(shù)據(jù)和格式錯誤數(shù)據(jù)，保證分析數(shù)據(jù)的有效性和完整性；超節(jié)點計算各個成員節(jié)點 在相關(guān)屬性列上的取值，得到該周期的局部數(shù)據(jù)為
(1) 其中，η為P2P子網(wǎng)中包含的節(jié)點數(shù)，〇 < ) < < / < Η)為在1；周期時節(jié) 點i在L上的取值； 2) 局部數(shù)據(jù)的歸一化：設(shè)的任一屬性列上的值域范圍為Range[min，max]，其中 min和max分別為屬性列上可能出現(xiàn)的最小值和最大值，將值域等分為若干個區(qū)間，表示取 值的大小特征，令z為期望劃分的區(qū)間數(shù)，d = (max-min)/z為每一值域區(qū)間的長度，Range 進而劃分為[min, min+d)，[min+d, min+2d)，…，[min+(m_l) d, max]的 m 個區(qū)間；在劃分好 區(qū)間后對各取值區(qū)間進行整數(shù)編碼，同時將忘中的取值更新為所屬值域區(qū)間的編碼，貧^ 更新為如下形式：
C2) 其中，?'ι ??./<a，i 為在τ，期節(jié)點i在I j上取值的所屬區(qū)間編碼； (2)局部頻繁行為模式挖掘 運用數(shù)據(jù)挖掘領(lǐng)域現(xiàn)有的頻繁模式挖掘算法挖掘P2P子網(wǎng)的局部頻繁行為模式，求得 最為頻繁的前k個頻繁模式； 以時間窗為單位進行局部頻繁模式挖掘，生成時間窗τ內(nèi)各個周期的Dsn后，由超節(jié)點 計算子網(wǎng)內(nèi)各個節(jié)點在時間窗τ內(nèi)行為模式的平均值，節(jié)點i在時間窗τ內(nèi)行為模式的 平均值記為得到Dsn在時間窗τ內(nèi)的平均數(shù)據(jù)，用；表示：
......... (3) 其中為時間窗τ內(nèi)節(jié)點i在Ij上取值所屬區(qū)間編號的均值，
m為時間窗τ內(nèi)的周期數(shù)； BPi的任意非空子集均為節(jié)點i所符合的行為模式，BP的長度為其中包含的項數(shù)，記為 IBP I I，在頻繁模式挖掘中，長度為L的模式稱為L-項集； 將P2P子網(wǎng)中各節(jié)點在當前時間窗內(nèi)行為模式均值數(shù)據(jù)作為數(shù)據(jù)集，運用數(shù)據(jù)挖 掘領(lǐng)域現(xiàn)有的頻繁模式挖掘算法挖掘P2P子網(wǎng)的局部頻繁行為模式，挖掘E中前k個最 大頻繁項集； 挖掘結(jié)果記為newLocalFP，是在P2P子網(wǎng)中出現(xiàn)最為頻繁的k個行為模式的集合；對 比newLocalFP與上一個時間窗局部挖掘產(chǎn)生的LocalFP，將頻繁行為模式的改變情況記為 Update，Update 包含兩部分：Update. Inc 和 Update. Del，通過 newLocalFP 與 LocalFP 的集 合差運算求得； Update. Inc = newLocalFP - LocalFP (4) Update. Del = LocalFP - newLocalFP (5) 當Update不為空時，表示局部頻繁行為模式產(chǎn)生了變化，將LocalFP更新為 newLocalFP ； 對于Update集合中的每個FP，賦予一個影響因子來反映 FP在評估離群性中的重要性， 記為 IF(FP);
(6) 其中，s = I 111 I，表示網(wǎng)絡(luò)屬性的個數(shù)，SUbNetSize(SN)為SN所在子網(wǎng)中包含的成員 節(jié)點個數(shù)；FP所屬的子網(wǎng)成員節(jié)點越多，越能反映網(wǎng)絡(luò)中大多數(shù)正常節(jié)點行為特征，IF越 尚；包含的項越多，其反映的彳丁為方式越有意義，IF越尚； (3) 全局頻繁行為模式的增量傳遞與聚合； 當Update. Inc和Update. Del中至少有一個非空集合，則超節(jié)點將LocalFP的更新狀 態(tài)封裝成消息發(fā)送給SN的超節(jié)點鄰居，消息包含以下內(nèi)容：
超節(jié)點不斷接收并存儲來自其他超節(jié)點的消息，當接收到的消息數(shù)超過閾值S時進 行GlobalFP的增量聚合操作，過程如下： a) 消息整合，令超節(jié)點SN收到的消息集為Qsn，對于Qsn中的增加或刪除更新一致的 FP，僅保留一份，其IF為各消息中IF的和；對于Qsn中增加或刪除更新不一致的FP，對各消 息中IF(FP)加權(quán)求和，增加模式的IF為正，刪除模式的IF為負；當IF(FP)加權(quán)求和非零 時，僅保留一份，其IF為IF(FP)加權(quán)求和的絕對值，若正則進行增加更新，若負則進行刪 除更新；當IF(FP)加權(quán)求和為零時，不進行操作；經(jīng)過消息整合Q sn變成一個Update，記為 Update (Qsn)，包括 Update. Inc 和 Update. Del ; b) 更新GlobalFP ;對于GlobalFP中的FP，若存在于Qsn整合結(jié)果Update. Inc中，則增 加其IF ;若存在于Qsn整合結(jié)果Update. Del中，則減少其IF，當IF (FP)降為0刪除GlobalFP 中的相應(yīng)FP ;QSN整合結(jié)果Update. Inc中若存在不包含于GlobalFP的FP，則將該FP及IF 信息添加至GlobalFP中； (4) 離群因子計算及惡意節(jié)點檢測 定義局部離群因子，表示節(jié)點的行為模式在其所在P2P子網(wǎng)中的異常程度，記 為LocalOF;全局離群因子，表示節(jié)點的行為模式在P2P全網(wǎng)范圍內(nèi)的異常程度，記為 GlobalOF ； 超節(jié)點SN所在子網(wǎng)中節(jié)點i的LocalOF和GlobalOF計算方法如下：
(7) 其中，X為節(jié)點i所符合的局部頻繁行為模式，w(X) = |x|X||為X的權(quán)重；一個節(jié)點所 符合的LocalFP越少，權(quán)重越低，表明該節(jié)點的BP在子網(wǎng)中越離群，LocalOF越大；
(8) 其中，X為節(jié)點i所符合的全局頻繁行為模式，一個節(jié)點符合的GlobalFP越少，影響因 子越低，表明該節(jié)點的BP在全網(wǎng)范圍內(nèi)越離群GlobalOF越大； 假設(shè)P2P網(wǎng)絡(luò)中大多數(shù)節(jié)點是正常和善意的，將GlobalOF大于其所在子網(wǎng)各節(jié)點 GlobalOF均值的節(jié)點標記為惡意節(jié)點；令SN所在P2P子網(wǎng)中各成員節(jié)點的平均局部離群 因子為l〇ca/OFsv，平局全局離群因子為G/ο?α/?λΡ^ (1)當任意節(jié)點 i ^LocalOF<LocaIOFs, )[ μ. Gl〇balOFi<G7〇/^/OFvv 時，節(jié)點 i 的 BP在子網(wǎng)及P2P全網(wǎng)節(jié)點中均不離群；節(jié)點i與其所在子網(wǎng)和P2P全網(wǎng)中大多數(shù)節(jié)點的BP 相一致；節(jié)點i為正常節(jié)點，節(jié)點i所在P2P子網(wǎng)為正常子網(wǎng)； ⑵當任意節(jié)點i的LocalOFi> LocalOFs,并且GlobalOFiCG施"OFv''時，節(jié)點i的 BP在子網(wǎng)中離群，在P2P全網(wǎng)中不離群；節(jié)點i與P2P全網(wǎng)中大多數(shù)節(jié)點的BP-致，節(jié)點i 所在子網(wǎng)中大多數(shù)節(jié)點與網(wǎng)絡(luò)中大多數(shù)節(jié)點BP不一致；節(jié)點i為正常節(jié)點，節(jié)點i所在子 網(wǎng)為異常子網(wǎng)； (3) 當任意節(jié)點 i 的 LocalOFFLocw/O/7、.、并且 GlobalOFj>G/〇/WOfw 時，節(jié)點 i 的 BP在子網(wǎng)中不離群，在整個P2P網(wǎng)絡(luò)中離群；節(jié)點i與其所在子網(wǎng)中大多數(shù)節(jié)點的BP-致， 節(jié)點i所在子網(wǎng)中大多數(shù)節(jié)點與網(wǎng)絡(luò)中大多數(shù)節(jié)點的BP不一致；節(jié)點i為惡意節(jié)點，節(jié)點 i所在子網(wǎng)為異常子網(wǎng)； (4) 當任意節(jié)點 i 的 LocalOFpiWOFw 并且 GlobalOFpG/〇k//Of；:Y 時，節(jié)點 i 的 BP在子網(wǎng)及P2P全網(wǎng)節(jié)點中均離群；節(jié)點i與其所在子網(wǎng)和P2P全網(wǎng)中大多數(shù)節(jié)點的BP都 不一致，節(jié)點i為惡意節(jié)點；其所在子網(wǎng)為正常子網(wǎng)或異常子網(wǎng)； 若為異常子網(wǎng)，包含于LocalFP但不包含于GlobalFP的BP即為惡意團體所符合的行 為特征，超節(jié)點以此為依據(jù)進行惡意行為抵抗，并將惡意團體行為特征發(fā)布給網(wǎng)絡(luò)中其他 超節(jié)點；若為正常子網(wǎng)，若某一惡意節(jié)點的BP與某個惡意團體相符，則該節(jié)點也屬于該惡 意團體；若某個惡意節(jié)點的行為并不符合任何團體性惡意行為模式，則該節(jié)點為個體性惡 意行為，其惡意行為特征為包含于BP，但不包含于GlobalFP的行為模式，超節(jié)點以此為依 據(jù)進行惡意行為抵抗。
【專利摘要】本發(fā)明提供了一種基于FP-outlier挖掘的P2P惡意節(jié)點檢測方法，屬于P2P網(wǎng)絡(luò)安全領(lǐng)域。本發(fā)明對于半分布式P2P網(wǎng)絡(luò)中惡意節(jié)點的識別，增強網(wǎng)絡(luò)安全起到指導作用。根據(jù)P2P網(wǎng)絡(luò)中節(jié)點之間的交互數(shù)據(jù)，構(gòu)建節(jié)點的行為模式；采用頻繁模式挖掘的方法提取P2P子網(wǎng)內(nèi)的局部頻繁行為模式；通過P2P網(wǎng)絡(luò)中超節(jié)點之間局部頻繁模式的增量傳播與聚合更新各個超節(jié)點保存的全局頻繁行為模式，并評估各個全局頻繁行為模式的影響因子；綜合局部與全局頻繁行為模式計算節(jié)點的離群因子，將離群因子高于均值的節(jié)點檢測為惡意節(jié)點。該發(fā)明簡單易行，準確地檢測惡意節(jié)點，增強網(wǎng)絡(luò)安全，為網(wǎng)絡(luò)管理提供借鑒意義。
【IPC分類】H04L29-06
【公開號】CN104836804
【申請?zhí)枴緾N201510220656
【發(fā)明人】孟憲福, 任爽
【申請人】大連理工大學
【公開日】2015年8月12日
【申請日】2015年4月30日