基于网络流连接图的网络流连接行为特征分析方法
【技术领域】
[0001]本发明属于网络流行为分析技术领域,尤其涉及一种基于网络流连接图的网络流连接行为特征分析方法。
【背景技术】
[0002]在通信网络中,网络流是指通过网络传输的具有某种特定属性的分组序列。特定属性可以根据研宄的需要来确定,如具有相同五元组(源主机IP地址、目的主机IP地址、源主机端口号、目的主机端口号和通信协议)的流信息序列聚合成承载网络信息的一条网络流。
[0003]网络流行为特征通常指单条或多条网络流表现的行为特征,包括应用层流行为特征和传输层流行为特征,应用层流行为特征分析不在本发明的研宄范围,我们重点讨论传输层流的连接行为特征。流的连接行为特征刻画了网络中实体之间的连接模式,描述网络实体之间的交互行为模式,例如通信网络中用户之间的交互行为,社交网络中对象间的关系等。通过提取主机通信交互的连接特征,分析网络流的连接模式以及构建应用行为、用户以及其他网络实体的连接趋势的模型等手段可以获得全面准确的通信网络流行为特征及其变化特征,对提高网络管理和监控具有十分重要的意义。
[0004]网络流行为可视化是使用节点和连线组成的图形来表示通信网络主机之间的交互行为,根据不同类型的研宄需求利用可视化技术将网络主机之间的连接关系抽象成计算机屏幕上的图形。由于图挖掘技术在可视化以及连接模式的刻画等方面具备的优势,已经普遍被运用于刻画网络流的连接关系特征。
[0005]网络流量传播图(TDG):在2007 年由 Mar1sIl1fotou 和 Michalis Faloutsos等提出。TDG是刻画网络主机之间不同应用交互的流量传播图,其中网络主机映射为图形的节点,主机之间的交互行为映射为图形的边。
[0006]网络流量活动图(TAG):在2009年由Yu Jin, Esam Sharafuddin, Zh1-Li Zhang等人提出,TAG和TDG中的节点与边的定义相似,但是TAG是一个无向边构成的有向图,方向性通过内外网节点体现。
[0007]网络流量传播图和网络流量活动图能够描述不同应用行为的连接关系特征,但不能完全概括全部行为连接关系特征,存在构图方式单一、包含信息不完整、特征分析研宄手段不足等方面的缺陷,因此两种图都无法准确、高效地刻画大规模通信网络流连接关系。
【发明内容】
[0008]本发明的发明目的是:为了解决现有技术中无法准确、高效的刻画大规模通信网络流连接关系等问题,本发明提出了一种基于网络流连接图的网络流连接行为特征分析方法。
[0009]本发明的技术方案是:一种基于网络流连接图的网络流连接行为特征分析方法,包括以下步骤:
[0010]A、设定网络流连接图节点确定规则,确定网络流连接行为中的节点对象;
[0011]B、设定网络流连接图边生成规则,确定网络流连接行为中边的交互模式;
[0012]C、设定网络流连接图节点过滤规则和分级规则,根据节点过滤规则提取主要节点,并根据节点分级规则对主要节点进行分级;
[0013]D、设定网络流连接图边过滤规则和分级规则,根据边过滤规则提取主要边,并根据边分级规则对主要边进行分级;
[0014]E、根据节点和边的过滤规则生成多种网络流连接图,结合多种网络流连接图对网络流连接行为特征进行分析。
[0015]进一步地,所述步骤A中网络流连接图节点确定规则具体为:以网络通信中的通信单位作为节点。
[0016]进一步地,所述步骤B中网络流连接图边生成规则具体为:将有流量连接的对应主要节点连成一条边。
[0017]进一步地,所述网络流连接图节点过滤规则具体为:设定节点阈值,提取节点特征属性量大于节点阈值的节点作为主要节点。
[0018]进一步地,所述步骤C中网络流连接图节点分级规则具体为:根据节点特征属性量对主要节点进行等级划分,对于不同级别的节点进行着色区分。
[0019]进一步地,所述步骤D中网络流连接图边过滤规则具体为:设定边阈值,提取边特征属性量大于边阈值的边,并保留该边另一端小于节点阈值的叶子节点。
[0020]进一步地,所述步骤D中网络流连接图边分级规则具体为:根据边特征属性量对边进行等级划分,对于不同级别的节点进行着色区分。
[0021]进一步地,所述步骤E中生成多种网络流连接图包括生成基于端口种类数的网络流连接图和基于网络流连接数的网络流连接图。
[0022]进一步地,所述生成基于端口种类数的网络流连接图具体包括:首先根据节点阈值的设定,提取开放大于节点阈值的端口种类数的主机,从而抓取网络中扮演主要服务器或活跃客户机角色的节点,通过分析他们之间的端口交互,确定主要节点之间的网络流行为特征;再根据边阈值的设定,提取与主要节点活动频繁的叶子节点,分析它们之间的端口交互行为,以确定主要节点在网络中的网络流行为特征。
[0023]进一步地,所述生成基于网络流连接数的网络流连接图具体包括:首先根据节点阈值的设定,提取入流量或出流量数大于节点阈值的主机,从而抓取网络中高流量的核心节点,通过分析它们之间的流量连接特征,确定主要节点之间的网络流行为特征;再根据边阈值的设定,提取与主要节点活动频繁的叶子节点,分析他们之间流量连接行为,以确定主要节点在网络中的网络流行为特征。
[0024]本发明的基于网络流连接图的网络流连接行为特征分析方法具有以下有益效果:
[0025](I)本发明可以自适应不同规模的网络,适用于骨干通信网、小型局域网、大小规模企业网、大小团体社交网络等,拥有很广的使用范围;
[0026](2)本发明通过设定节点和边过滤规则,提取出了网络中的核心结构,剔去了无关结构带来的影响,对于不同种类的网络流能够更精确的刻画其特征,提高了网络流分类的精确度;
[0027](3)本发明通过引入网络流的特征属性量对节点和边进行分级,将更多网络流的属性纳入网络流连接图,在图中体现出主要节点、次要节点,从而可以描绘出更多种网络流的特征,对更多的网络流进行分类;
[0028](4)提高了异常检测的精确度,可以有效地检测出更多种类的网络流异常行为。
【附图说明】
[0029]图1是本发明的基于网络流连接图的网络流连接行为特征分析方法流程示意图。
[0030]图2是根据现有技术中TDG的成图方式生成的网络流量传播图。
[0031]图3是本发明根据异常数据生成的网络流连接图。
[0032]图4是本发明基于端口种类数的网络流连接图。
[0033]图5是本发明基于流连接数量的网络流连接图。
【具体实施方式】
[0034]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0035]如图1所示,为本发明的基于网络流连接图的网络流连接行为特征分析方法流程示意图。一种基于网络流连接图的网络流连接行为特征分析方法,包括以下步骤:
[0036]A、设定网络流连接图节点确定规则,确定网络流连接行为中的节点对象;
[0037]B、设定网络流连接图边生成规则,确定网络流连接行为中边的交互模式;
[0038]C、设定网络流连接图节点过滤规则和分级规则,根据节点过滤规则提取主要节点,并根据节点分级规则对主要节点进行分级;
[0039]D、设定网络流