基于二分图模型的主机行为分析

doi:10.3969/j.issn.1671-1122.2018.12.001

信息网络安全 ›› 2018, Vol. 18 ›› Issue (12): 1-7.doi: 10.3969/j.issn.1671-1122.2018.12.001

• 等级保护 • 下一篇

基于二分图模型的主机行为分析

王劲松^1,^2,³(), 南慧荣^1,^2,³, 张洪豪^1,^2,³

1. 天津理工大学计算机科学与工程学院,天津 300384
2. 计算机病毒防治技术国家工程实验室,天津 300457
3. 智能计算及软件新技术天津市重点实验室,天津 300384

收稿日期:2018-01-11 出版日期:2018-12-20 发布日期:2020-05-11
作者简介:
作者简介：王劲松（1970—）,男,天津,教授,博士,主要研究方向为信息安全、计算机网络;南慧荣（1992—）,男,山西,硕士研究生,主要研究方向为信息安全、大数据;张洪豪（1984—）,男,湖北,工程师,硕士,主要研究方向为网络安全、未来互联网。
基金资助:
国家自然科学基金[61272450]

Host Behavior Analysis Based on Bipartite Graph Model

Jinsong WANG^1,^2,³(), Huirong NAN^1,^2,³, Honghao ZHANG^1,^2,³

1. School of Computer Science and Engineering, Tianjin University of Technology, Tianjin 300384, China
2. National Engineering Laboratory for Computer Virus Prevention and Control Technology, Tianjin 300457, China
3. Tianjin Key Laboratory of Intelligence Computing and Novel Software Technology, Tianjin 300384, China

Received:2018-01-11 Online:2018-12-20 Published:2020-05-11

摘要/Abstract

摘要：

近年来,随着网络规模的不断增长、网络应用的多样化、加密数据传输技术的逐步成熟,终端主机行为的分析也越来越复杂。文章提出一种基于图模型的主机行为分析方法,利用社区检测来发现具有相似行为的终端主机,并通过引入Spark GraphX技术使得该方法具备可扩展性和实用性。实验结果表明,该方法可以有效分析具有相似行为的主机群体,降低了大规模网络异常检测的复杂度。

关键词: 图模型, NetFlow, 分布式计算, 网络安全, 社区检测

Abstract:

In recent years, with the continuous increase of the network scale, diversification of network applications and the gradual maturity of the encrypted data transmission technology, the analysis of the terminal host behavior have become more and more complicated. This paper presents a graph-based approach that uses community detection to discover end hosts with similar behavior. And the approach are scalable and practical by introducing Spark GraphX technology. The experimental results show that this method has strong validity and reference in the data analysis based on NetFlow, and can be referenced for large-scale network analysis.

Key words: graph model, NetFlow, distributed computing, network security, community detection

中图分类号:

TP309

王劲松, 南慧荣, 张洪豪. 基于二分图模型的主机行为分析[J]. 信息网络安全, 2018, 18(12): 1-7.

Jinsong WANG, Huirong NAN, Honghao ZHANG. Host Behavior Analysis Based on Bipartite Graph Model[J]. Netinfo Security, 2018, 18(12): 1-7.

图/表 8

图1

图2

图3

图4

图5

表1

图6

表2

参考文献 17

[1]	ILIOFOTOU M， GALLAGHER B， ELIASSI-RAD T, et al. Profiling-by-association: a Resilient Traffic Profiling Solution for the Internet Backbone[EB/OL]. , 2017-6-11.
[2]	KARAGIANNIS T, PAPAGIANNAKI K, TAFT N, et al.Profiling the End Host[C]// ACM. 8th International Conference on Passive and Active Network Measurement, April 5-6, 2007, Louvain-la-Neuve, Belgium. New York: ACM, 2007: 186-196.
[3]	LI Bingdong, GUNES M H, BEBIS G, et al.A Supervised Machine Learning Approach to Classify Host Roles on Line Using sFlow[C]// ACM. 1st Edition Workshop on High Performance and Programmable Networking, June 18, 2013, New York, USA. New York: ACM, 2013: 53-60.
[4]	HIMURA Y, FUKUDA K, CHO K, et al.Synoptic Graphlet: Bridging the Gap between Supervised and Unsupervised Profiling of Host-level Network Traffic[J]. IEEE/ACM Transactions on Networking, 2013, 21(4): 1284-1297.
[5]	DEWAELE G, HIMURA Y, BORGNAT P, et al.Unsupervised Host Behavior Classification from Connection Patterns[J]. International Journal of Network Management, 2010, 20(5): 317-337.
[6]	ZHANG Zhen, WANG Binqiang, CHEN Hongchang, et al.Internet Traffic Classification Based on Host Connection Graph[J]. Journal of Electronics & Information Technology, 2013, 35(4): 958-964.
[7]	BLONDEL V D, GUILLAUME J L, LAMBIOTTE R, et al.Fast Unfolding of Communities in Large Networks[J]. Journal of Statistical Mechanics: Theory and Experiment, 2008(10): 155-168.
[8]	REDDY P K, KITSUREGAWA M, SREEKANTH P, et al.A Graph Based Approach to Extract a Neighborhood Customer Community for Collaborative Filtering[C]// Springer. 2nd International Workshop on Databases in Networked Information Systems, December 16-18, 2002, Aizu, Japan. Heidelberg: Springer, 2002: 188-200.
[9]	CAI Jun， LIU Waixi. A New Method of Detecting Network Traffic Anomalies[EB/OL]. .
[10]	CHEN Zhengzhang, HENDRIX W, SAMATOVA N F.Community-based Anomaly Detection in Evolutionary Networks[J]. Journal of Intelligent Information Systems, 2012, 39(1): 59-85.
[11]	XU Kuai, WANG Feng, GU Lin.Behavior Analysis of Internet Traffic via Bipartite Graphs and One-mode Projections[J]. IEEE/ACM Transactions on Networking (TON), 2014, 22(3): 931-942.
[12]	XU Kuai, WANG Feng, GU Lin.Network-aware Behavior Clustering of Internet End Hosts[C]// IEEE. 2011 IEEE INFOCOM, April 10-15, 2011, Shanghai, China. New Jersey: IEEE, 2011: 2078-2086.
[13]	MU Xiangkun, WANG Jinsong, XUE Yufeng, et al.Abnormal Network Traffic Detection Approach Based on Alive Entropy[J]. Journal on Communications, 2013(S2): 51-57.
	穆祥昆,王劲松,薛羽丰,等. 基于活跃熵的网络异常流量检测方法[J]. 通信学报, 2013(S2):51-57.
[14]	LI Tianfeng, YAO Xin, WANG Jinsong.Cloud Platform Based Real-time Monitoring of the Abnormal Traffic in Massive-scale Network[J]. Netinfo Security, 2014, 14(9): 1-5.
	李天枫,姚欣,王劲松. 大规模网络异常流量实时云监测平台研究[J]. 信息网络安全,2014,14(9):1-5.
[15]	HUANG Fuhao.Design and Implementation of Microblog Interaction Platform Based on Storm[D]. Guangzhou: Sun Yak-Sen University, 2013.
	黄馥浩. 基于Storm的微博互动平台的设计与实现[D]. 广州:中山大学,2013.
[16]	GU Wei.Research & Development of Distributed Stream Real-time Computing Framework[D]. Hangzhou: Zhejiang Sci-Tech University, 2013.
	顾伟. 分布式流数据实时计算框架的研究和开发[D]. 杭州:浙江理工大学,2013.
[17]	YAO Xin, WANG Jinsong.Research of Apache Storm Based Real-time Traffic Monitoring System for Large-scale Network[J]. Journal of Tianjin University of Technology, 2016, 32(6): 25-29.
	姚欣,王劲松. 基于Apache Storm的大规模网络流量实时监控系统研究[J]. 天津理工大学学报,2016,32(6):25-29.

	社区0	社区1	社区2	社区3	社区4	社区5
成员数目	128	213	325	229	105	104
内网地址	91	75	65	63	94	38
内网端口	93	88	86	88	96	9
外网地址	77	74	73	77	76	76
外网端口	18	25	26	19	21	20
流量占比	3%	23%	60%	4%	3%	6%

社区	流量特征	不确定性	流量占比/%
1	inIP[1]	0.0	0
	inPort[*]	1.0
	outIP[88]	1.0
	outPort[445\|3389]	0.0
2	inIP[1]	0.0	35
	inPort[8096]	0.1
	outIP[60]	0.9
	outPort[*]	0.9
3	inIP[5]	0.8	11
	inPort[*]	1.0
	outIP[3]	0.4
	outPort[80\|443]	0.6

基于二分图模型的主机行为分析

Host Behavior Analysis Based on Bipartite Graph Model

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 8

参考文献 17

相关文章 15

编辑推荐

Metrics

本文评价

[1]	刘建伟, 韩祎然, 刘斌, 余北缘. 5G网络切片安全模型研究[J]. 信息网络安全, 2020, 20(4): 1-11.
[2]	赵志岩, 纪小默. 智能化网络安全威胁感知融合模型研究[J]. 信息网络安全, 2020, 20(4): 87-93.
[3]	黎水林, 祝国邦, 范春玲, 陈广勇. 一种新的等级测评综合得分算法研究[J]. 信息网络安全, 2020, 20(2): 1-6.
[4]	荆涛, 万巍. 面向属性迁移状态的P2P网络行为分析方法研究[J]. 信息网络安全, 2020, 20(1): 16-25.
[5]	裘玥. 大型体育赛事网络安全风险分析与评估[J]. 信息网络安全, 2019, 19(9): 61-65.
[6]	高孟茹, 谢方军, 董红琴, 林祥. 面向关键信息基础设施的网络安全评价体系研究[J]. 信息网络安全, 2019, 19(9): 111-114.
[7]	陈良臣, 刘宝旭, 高曙. 网络攻击检测中流量数据抽样技术研究[J]. 信息网络安全, 2019, 19(8): 22-28.
[8]	尚文利, 尹隆, 刘贤达, 赵剑明. 工业控制系统安全可信环境构建技术及应用[J]. 信息网络安全, 2019, 19(6): 1-10.
[9]	张可, 汪有杰, 程绍银, 王理冬. DDoS攻击中的IP源地址伪造协同处置方法[J]. 信息网络安全, 2019, 19(5): 22-29.
[10]	倪一涛, 陈咏佳, 林柏钢. 基于自动解混淆的恶意网页检测方法[J]. 信息网络安全, 2019, 19(4): 37-46.
[11]	陈良臣, 高曙, 刘宝旭, 卢志刚. 网络加密流量识别研究进展及发展趋势[J]. 信息网络安全, 2019, 19(3): 19-25.
[12]	傅建明, 黎琳, 郑锐, 苏日古嘎. 基于GAN的网络攻击检测研究综述[J]. 信息网络安全, 2019, 19(2): 1-9.
[13]	韦力, 段沁, 刘志伟. 互联网时代医院网络安全管理综述[J]. 信息网络安全, 2019, 19(12): 88-92.
[14]	张振峰, 张志文, 王睿超. 网络安全等级保护2.0云计算安全合规能力模型[J]. 信息网络安全, 2019, 19(11): 1-7.
[15]	张健, 陈博翰, 宫良一, 顾兆军. 基于图像分析的恶意软件检测技术研究[J]. 信息网络安全, 2019, 19(10): 24-31.