基于網(wǎng)絡(luò)流連接圖的網(wǎng)絡(luò)流連接行為特征分析方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)流行為分析技術(shù)領(lǐng)域,尤其涉及一種基于網(wǎng)絡(luò)流連接圖的網(wǎng)絡(luò)流連接行為特征分析方法。
【背景技術(shù)】
[0002]在通信網(wǎng)絡(luò)中,網(wǎng)絡(luò)流是指通過網(wǎng)絡(luò)傳輸?shù)木哂心撤N特定屬性的分組序列。特定屬性可以根據(jù)研宄的需要來確定,如具有相同五元組(源主機(jī)IP地址、目的主機(jī)IP地址、源主機(jī)端口號、目的主機(jī)端口號和通信協(xié)議)的流信息序列聚合成承載網(wǎng)絡(luò)信息的一條網(wǎng)絡(luò)流。
[0003]網(wǎng)絡(luò)流行為特征通常指單條或多條網(wǎng)絡(luò)流表現(xiàn)的行為特征,包括應(yīng)用層流行為特征和傳輸層流行為特征,應(yīng)用層流行為特征分析不在本發(fā)明的研宄范圍,我們重點(diǎn)討論傳輸層流的連接行為特征。流的連接行為特征刻畫了網(wǎng)絡(luò)中實(shí)體之間的連接模式,描述網(wǎng)絡(luò)實(shí)體之間的交互行為模式,例如通信網(wǎng)絡(luò)中用戶之間的交互行為,社交網(wǎng)絡(luò)中對象間的關(guān)系等。通過提取主機(jī)通信交互的連接特征,分析網(wǎng)絡(luò)流的連接模式以及構(gòu)建應(yīng)用行為、用戶以及其他網(wǎng)絡(luò)實(shí)體的連接趨勢的模型等手段可以獲得全面準(zhǔn)確的通信網(wǎng)絡(luò)流行為特征及其變化特征,對提高網(wǎng)絡(luò)管理和監(jiān)控具有十分重要的意義。
[0004]網(wǎng)絡(luò)流行為可視化是使用節(jié)點(diǎn)和連線組成的圖形來表示通信網(wǎng)絡(luò)主機(jī)之間的交互行為,根據(jù)不同類型的研宄需求利用可視化技術(shù)將網(wǎng)絡(luò)主機(jī)之間的連接關(guān)系抽象成計(jì)算機(jī)屏幕上的圖形。由于圖挖掘技術(shù)在可視化以及連接模式的刻畫等方面具備的優(yōu)勢,已經(jīng)普遍被運(yùn)用于刻畫網(wǎng)絡(luò)流的連接關(guān)系特征。
[0005]網(wǎng)絡(luò)流量傳播圖(TDG):在2007 年由 Mar1sIl1fotou 和 Michalis Faloutsos等提出。TDG是刻畫網(wǎng)絡(luò)主機(jī)之間不同應(yīng)用交互的流量傳播圖,其中網(wǎng)絡(luò)主機(jī)映射為圖形的節(jié)點(diǎn),主機(jī)之間的交互行為映射為圖形的邊。
[0006]網(wǎng)絡(luò)流量活動圖(TAG):在2009年由Yu Jin, Esam Sharafuddin, Zh1-Li Zhang等人提出,TAG和TDG中的節(jié)點(diǎn)與邊的定義相似,但是TAG是一個無向邊構(gòu)成的有向圖,方向性通過內(nèi)外網(wǎng)節(jié)點(diǎn)體現(xiàn)。
[0007]網(wǎng)絡(luò)流量傳播圖和網(wǎng)絡(luò)流量活動圖能夠描述不同應(yīng)用行為的連接關(guān)系特征,但不能完全概括全部行為連接關(guān)系特征,存在構(gòu)圖方式單一、包含信息不完整、特征分析研宄手段不足等方面的缺陷,因此兩種圖都無法準(zhǔn)確、高效地刻畫大規(guī)模通信網(wǎng)絡(luò)流連接關(guān)系。
【發(fā)明內(nèi)容】
[0008]本發(fā)明的發(fā)明目的是:為了解決現(xiàn)有技術(shù)中無法準(zhǔn)確、高效的刻畫大規(guī)模通信網(wǎng)絡(luò)流連接關(guān)系等問題,本發(fā)明提出了一種基于網(wǎng)絡(luò)流連接圖的網(wǎng)絡(luò)流連接行為特征分析方法。
[0009]本發(fā)明的技術(shù)方案是:一種基于網(wǎng)絡(luò)流連接圖的網(wǎng)絡(luò)流連接行為特征分析方法,包括以下步驟:
[0010]A、設(shè)定網(wǎng)絡(luò)流連接圖節(jié)點(diǎn)確定規(guī)則,確定網(wǎng)絡(luò)流連接行為中的節(jié)點(diǎn)對象;
[0011]B、設(shè)定網(wǎng)絡(luò)流連接圖邊生成規(guī)則,確定網(wǎng)絡(luò)流連接行為中邊的交互模式;
[0012]C、設(shè)定網(wǎng)絡(luò)流連接圖節(jié)點(diǎn)過濾規(guī)則和分級規(guī)則,根據(jù)節(jié)點(diǎn)過濾規(guī)則提取主要節(jié)點(diǎn),并根據(jù)節(jié)點(diǎn)分級規(guī)則對主要節(jié)點(diǎn)進(jìn)行分級;
[0013]D、設(shè)定網(wǎng)絡(luò)流連接圖邊過濾規(guī)則和分級規(guī)則,根據(jù)邊過濾規(guī)則提取主要邊,并根據(jù)邊分級規(guī)則對主要邊進(jìn)行分級;
[0014]E、根據(jù)節(jié)點(diǎn)和邊的過濾規(guī)則生成多種網(wǎng)絡(luò)流連接圖,結(jié)合多種網(wǎng)絡(luò)流連接圖對網(wǎng)絡(luò)流連接行為特征進(jìn)行分析。
[0015]進(jìn)一步地,所述步驟A中網(wǎng)絡(luò)流連接圖節(jié)點(diǎn)確定規(guī)則具體為:以網(wǎng)絡(luò)通信中的通信單位作為節(jié)點(diǎn)。
[0016]進(jìn)一步地,所述步驟B中網(wǎng)絡(luò)流連接圖邊生成規(guī)則具體為:將有流量連接的對應(yīng)主要節(jié)點(diǎn)連成一條邊。
[0017]進(jìn)一步地,所述網(wǎng)絡(luò)流連接圖節(jié)點(diǎn)過濾規(guī)則具體為:設(shè)定節(jié)點(diǎn)閾值,提取節(jié)點(diǎn)特征屬性量大于節(jié)點(diǎn)閾值的節(jié)點(diǎn)作為主要節(jié)點(diǎn)。
[0018]進(jìn)一步地,所述步驟C中網(wǎng)絡(luò)流連接圖節(jié)點(diǎn)分級規(guī)則具體為:根據(jù)節(jié)點(diǎn)特征屬性量對主要節(jié)點(diǎn)進(jìn)行等級劃分,對于不同級別的節(jié)點(diǎn)進(jìn)行著色區(qū)分。
[0019]進(jìn)一步地,所述步驟D中網(wǎng)絡(luò)流連接圖邊過濾規(guī)則具體為:設(shè)定邊閾值,提取邊特征屬性量大于邊閾值的邊,并保留該邊另一端小于節(jié)點(diǎn)閾值的葉子節(jié)點(diǎn)。
[0020]進(jìn)一步地,所述步驟D中網(wǎng)絡(luò)流連接圖邊分級規(guī)則具體為:根據(jù)邊特征屬性量對邊進(jìn)行等級劃分,對于不同級別的節(jié)點(diǎn)進(jìn)行著色區(qū)分。
[0021]進(jìn)一步地,所述步驟E中生成多種網(wǎng)絡(luò)流連接圖包括生成基于端口種類數(shù)的網(wǎng)絡(luò)流連接圖和基于網(wǎng)絡(luò)流連接數(shù)的網(wǎng)絡(luò)流連接圖。
[0022]進(jìn)一步地,所述生成基于端口種類數(shù)的網(wǎng)絡(luò)流連接圖具體包括:首先根據(jù)節(jié)點(diǎn)閾值的設(shè)定,提取開放大于節(jié)點(diǎn)閾值的端口種類數(shù)的主機(jī),從而抓取網(wǎng)絡(luò)中扮演主要服務(wù)器或活躍客戶機(jī)角色的節(jié)點(diǎn),通過分析他們之間的端口交互,確定主要節(jié)點(diǎn)之間的網(wǎng)絡(luò)流行為特征;再根據(jù)邊閾值的設(shè)定,提取與主要節(jié)點(diǎn)活動頻繁的葉子節(jié)點(diǎn),分析它們之間的端口交互行為,以確定主要節(jié)點(diǎn)在網(wǎng)絡(luò)中的網(wǎng)絡(luò)流行為特征。
[0023]進(jìn)一步地,所述生成基于網(wǎng)絡(luò)流連接數(shù)的網(wǎng)絡(luò)流連接圖具體包括:首先根據(jù)節(jié)點(diǎn)閾值的設(shè)定,提取入流量或出流量數(shù)大于節(jié)點(diǎn)閾值的主機(jī),從而抓取網(wǎng)絡(luò)中高流量的核心節(jié)點(diǎn),通過分析它們之間的流量連接特征,確定主要節(jié)點(diǎn)之間的網(wǎng)絡(luò)流行為特征;再根據(jù)邊閾值的設(shè)定,提取與主要節(jié)點(diǎn)活動頻繁的葉子節(jié)點(diǎn),分析他們之間流量連接行為,以確定主要節(jié)點(diǎn)在網(wǎng)絡(luò)中的網(wǎng)絡(luò)流行為特征。
[0024]本發(fā)明的基于網(wǎng)絡(luò)流連接圖的網(wǎng)絡(luò)流連接行為特征分析方法具有以下有益效果:
[0025](I)本發(fā)明可以自適應(yīng)不同規(guī)模的網(wǎng)絡(luò),適用于骨干通信網(wǎng)、小型局域網(wǎng)、大小規(guī)模企業(yè)網(wǎng)、大小團(tuán)體社交網(wǎng)絡(luò)等,擁有很廣的使用范圍;
[0026](2)本發(fā)明通過設(shè)定節(jié)點(diǎn)和邊過濾規(guī)則,提取出了網(wǎng)絡(luò)中的核心結(jié)構(gòu),剔去了無關(guān)結(jié)構(gòu)帶來的影響,對于不同種類的網(wǎng)絡(luò)流能夠更精確的刻畫其特征,提高了網(wǎng)絡(luò)流分類的精確度;
[0027](3)本發(fā)明通過引入網(wǎng)絡(luò)流的特征屬性量對節(jié)點(diǎn)和邊進(jìn)行分級,將更多網(wǎng)絡(luò)流的屬性納入網(wǎng)絡(luò)流連接圖,在圖中體現(xiàn)出主要節(jié)點(diǎn)、次要節(jié)點(diǎn),從而可以描繪出更多種網(wǎng)絡(luò)流的特征,對更多的網(wǎng)絡(luò)流進(jìn)行分類;
[0028](4)提高了異常檢測的精確度,可以有效地檢測出更多種類的網(wǎng)絡(luò)流異常行為。
【附圖說明】
[0029]圖1是本發(fā)明的基于網(wǎng)絡(luò)流連接圖的網(wǎng)絡(luò)流連接行為特征分析方法流程示意圖。
[0030]圖2是根據(jù)現(xiàn)有技術(shù)中TDG的成圖方式生成的網(wǎng)絡(luò)流量傳播圖。
[0031]圖3是本發(fā)明根據(jù)異常數(shù)據(jù)生成的網(wǎng)絡(luò)流連接圖。
[0032]圖4是本發(fā)明基于端口種類數(shù)的網(wǎng)絡(luò)流連接圖。
[0033]圖5是本發(fā)明基于流連接數(shù)量的網(wǎng)絡(luò)流連接圖。
【具體實(shí)施方式】
[0034]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合附圖及實(shí)施例,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
[0035]如圖1所示,為本發(fā)明的基于網(wǎng)絡(luò)流連接圖的網(wǎng)絡(luò)流連接行為特征分析方法流程示意圖。一種基于網(wǎng)絡(luò)流連接圖的網(wǎng)絡(luò)流連接行為特征分析方法,包括以下步驟:
[0036]A、設(shè)定網(wǎng)絡(luò)流連接圖節(jié)點(diǎn)確定規(guī)則,確定網(wǎng)絡(luò)流連接行為中的節(jié)點(diǎn)對象;
[0037]B、設(shè)定網(wǎng)絡(luò)流連接圖邊生成規(guī)則,確定網(wǎng)絡(luò)流連接行為中邊的交互模式;
[0038]C、設(shè)定網(wǎng)絡(luò)流連接圖節(jié)點(diǎn)過濾規(guī)則和分級規(guī)則,根據(jù)節(jié)點(diǎn)過濾規(guī)則提取主要節(jié)點(diǎn),并根據(jù)節(jié)點(diǎn)分級規(guī)則對主要節(jié)點(diǎn)進(jìn)行分級;
[0039]D、設(shè)定網(wǎng)絡(luò)流