一种基于FP-outlier挖掘的P2P恶意节点检测方法

摘要

本发明提供了一种基于FP-outlier挖掘的P2P恶意节点检测方法，属于P2P网络安全领域。本发明对于半分布式P2P网络中恶意节点的识别，增强网络安全起到指导作用。根据P2P网络中节点之间的交互数据，构建节点的行为模式；采用频繁模式挖掘的方法提取P2P子网内的局部频繁行为模式；通过P2P网络中超节点之间局部频繁模式的增量传播与聚合更新各个超节点保存的全局频繁行为模式，并评估各个全局频繁行为模式的影响因子；综合局部与全局频繁行为模式计算节点的离群因子，将离群因子高于均值的节点检测为恶意节点。该发明简单易行，准确地检测恶意节点，增强网络安全，为网络管理提供借鉴意义。

主权项

一种基于FP‑outlier挖掘的P2P恶意节点检测方法，其特征在于，步骤如下：(1)节点行为模式建模1)超节点SN以T为周期，SN为其子网内成员节点构建行为模式；P2P节点的行为模式是由节点的交互数据导出的键值对有序集合，是对节点行为方式的量化，记为BP；对于节点i，其行为模式记为BP_i，${\mathrm{BP}}_i=\left\{\begin{array}{cccc}\left(\begin{array}{c}{I}_1\\ v_1^i\end{array}\right)& \left(\begin{array}{c}{I}_2\\ v_2^i\end{array}\right)& \begin{array}{c}...\\ ...\end{array}& \left(\begin{array}{c}{I}_s\\ v_s^i\end{array}\right)\end{array}\right\},$其中，I＝{I₁,I₂,…,I_s}为反映P2P节点交互行为特征的s个关键项，由用户根据具体网络和侧重点自行设置；为节点i在项I_j上的值；超节点保存时间窗τ内所在子网成员节点的BP数据，τ＝{T₁,T₂,…,T_m}，m为时间窗τ内的周期数；SN上保存的BP数据称为其所在子网的局部数据库，记为D_SN，其中，T₁～T_m为τ内的连续周期，为SN所在子网中成员节点在T_x周期的BP集；在每一周期结束后，根据需求，剔除超节点中保存的节点之间的交互的原始数据中的不完整数据和格式错误数据，保证分析数据的有效性和完整性；超节点计算各个成员节点在相关属性列上的取值，得到该周期的局部数据为$D_{\mathrm{SN}}^{T_s}=\left(\begin{array}{c}{\mathrm{BP}}_1^{T_x}\\ {\mathrm{BP}}_2^{T_x}\\ .\\ .\\ .\\ {\mathrm{BP}}_n^{T_x}\end{array}\right)=\left(\begin{array}{cccc}{v}_1^{1,T_x}& v_2^{1,T_x}& ...& v_s^{1,T_x}\\ v_1^{2,T_x}& v_2^{2,T_x}& ...& v_s^{2,T_x}\\ .& .& & .\\ .& .& & .\\ .& .& & .\\ v_1^{n,T_x}& v_2^{n,T_x}& ...& v_s^{n,T_x}\end{array}\right)---\left(1\right)$其中，n为P2P子网中包含的节点数，为在T_x周期时节点i在I_j上的取值；2)局部数据的归一化：设的任一属性列上的值域范围为Range[min,max]，其中min和max分别为属性列上可能出现的最小值和最大值，将值域等分为若干个区间，表示取值的大小特征，令z为期望划分的区间数，d＝(max‑min)/z为每一值域区间的长度，Range进而划分为[min,min+d)，[min+d,min+2d)，…，[min+(m‑1)d,max]的m个区间；在划分好区间后对各取值区间进行整数编码，同时将中的取值更新为所属值域区间的编码，更新为如下形式：$D_{\mathrm{SN}}^{T_x}=\left(\begin{array}{c}{\mathrm{BP}}_1^{T_x}\\ {\mathrm{BP}}_2^{T_x}\\ .\\ .\\ .\\ {\mathrm{BP}}_n^{T_x}\end{array}\right)=\left(\begin{array}{cccc}{C}_1^{1,T_x}& C_2^{1,T_x}& ...& C_s^{1,T_x}\\ C_1^{2,T_x}& C_2^{2,T_x}& ...& C_s^{2,T_x}\\ .& .& & .\\ .& .& & .\\ .& .& & .\\ C_1^{n,T_x}& C_2^{n,T_x}& ...& C_s^{n,T_x}\end{array}\right)---\left(2\right)$其中，为在T_x周期节点i在I_j上取值的所属区间编码；(2)局部频繁行为模式挖掘运用数据挖掘领域现有的频繁模式挖掘算法挖掘P2P子网的局部频繁行为模式，求得最为频繁的前k个频繁模式；以时间窗为单位进行局部频繁模式挖掘，生成时间窗τ内各个周期的D_SN后，由超节点计算子网内各个节点在时间窗τ内行为模式的平均值，节点i在时间窗τ内行为模式的平均值记为得到D_SN在时间窗τ内的平均数据，用表示：$\overline{D_{\mathrm{SN}}^{\tau }}=\left(\begin{array}{c}\overline{{\mathrm{BP}}_1^{\tau }}\\ \overline{{\mathrm{BP}}_2^{\tau }}\\ .\\ .\\ .\\ \overline{{\mathrm{BP}}_n^{\tau }}\end{array}\right)=\left(\begin{array}{cccc}\overline{C_1^{1,\tau }}& \overline{C_2^{1,\tau }}& ...& \overline{C_s^{1,\tau }}\\ \overline{C_1^{2,\tau }}& \overline{C_2^{2,\tau }}& ...& \overline{C_s^{2,\tau }}\\ .& .& & .\\ .& .& & .\\ .& .& & .\\ \overline{C_1^{n,\tau }}& \overline{C_2^{n,\tau }}& ...& \overline{C_s^{n,\tau }}\end{array}\right)---\left(3\right)$其中，为时间窗τ内节点i在Ij上取值所属区间编号的均值，m为时间窗τ内的周期数；BP_i的任意非空子集均为节点i所符合的行为模式，BP的长度为其中包含的项数，记为||BP||，在频繁模式挖掘中，长度为L的模式称为L‑项集；将P2P子网中各节点在当前时间窗内行为模式均值数据作为数据集，运用数据挖掘领域现有的频繁模式挖掘算法挖掘P2P子网的局部频繁行为模式，挖掘中前k个最大频繁项集；挖掘结果记为newLocalFP，是在P2P子网中出现最为频繁的k个行为模式的集合；对比newLocalFP与上一个时间窗局部挖掘产生的LocalFP，将频繁行为模式的改变情况记为Update，Update包含两部分：Update.Inc和Update.Del，通过newLocalFP与LocalFP的集合差运算求得；Update.Inc＝newLocalFP–LocalFP                    (4)Update.Del＝LocalFP–newLocalFP                   (5)当Update不为空时，表示局部频繁行为模式产生了变化，将LocalFP更新为newLocalFP；对于Update集合中的每个FP，赋予一个影响因子来反映FP在评估离群性中的重要性，记为IF(FP)；$\mathrm{IF}\left(\mathrm{FP}\right)=\frac{1}{s}\times \left|\right|\mathrm{FP}\left|\right|\times \mathrm{subNetSize}\left(\mathrm{SN}\right)---\left(6\right)$其中，s＝||I||，表示网络属性的个数，subNetSize(SN)为SN所在子网中包含的成员节点个数；FP所属的子网成员节点越多，越能反映网络中大多数正常节点行为特征，IF越高；包含的项越多，其反映的行为方式越有意义，IF越高；(3)全局频繁行为模式的增量传递与聚合；当Update.Inc和Update.Del中至少有一个非空集合，则超节点将LocalFP的更新状态封装成消息发送给SN的超节点邻居，消息包含以下内容：超节点IP:SNUpdate.IncUpdate.Del超节点不断接收并存储来自其他超节点的消息，当接收到的消息数超过阈值δ时进行GlobalFP的增量聚合操作，过程如下：a)消息整合，令超节点SN收到的消息集为Q_SN，对于Q_SN中的增加或删除更新一致的FP，仅保留一份，其IF为各消息中IF的和；对于Q_SN中增加或删除更新不一致的FP，对各消息中IF(FP)加权求和，增加模式的IF为正，删除模式的IF为负；当IF(FP)加权求和非零时，仅保留一份，其IF为IF(FP)加权求和的绝对值，若正则进行增加更新，若负则进行删除更新；当IF(FP)加权求和为零时，不进行操作；经过消息整合Q_SN变成一个Update，记为Update(Q_SN)，包括Update.Inc和Update.Del；b)更新GlobalFP；对于GlobalFP中的FP，若存在于Q_SN整合结果Update.Inc中，则增加其IF；若存在于Q_SN整合结果Update.Del中，则减少其IF，当IF(FP)降为0删除GlobalFP中的相应FP；Q_SN整合结果Update.Inc中若存在不包含于GlobalFP的FP，则将该FP及IF信息添加至GlobalFP中；(4)离群因子计算及恶意节点检测定义局部离群因子，表示节点的行为模式在其所在P2P子网中的异常程度，记为LocalOF；全局离群因子，表示节点的行为模式在P2P全网范围内的异常程度，记为GlobalOF；超节点SN所在子网中节点i的LocalOF和GlobalOF计算方法如下：$\mathrm{Local}{\mathrm{OF}}_i=1-\frac{\underset{X\subseteq {\mathrm{BP}}_i,X\in \mathrm{Local}{\mathrm{FP}}_{\mathrm{SN}}}{\Sigma }w\left(X\right)}{\left|\right|\mathrm{Local}{\mathrm{FP}}_{\mathrm{SN}}\left|\right|}---\left(7\right)$其中，X为节点i所符合的局部频繁行为模式，为X的权重；一个节点所符合的LocalFP越少，权重越低，表明该节点的BP在子网中越离群，LocalOF越大；${\mathrm{GlobalOF}}_i=1-\frac{\underset{X\subseteq {\mathrm{BP}}_i,X\in {\mathrm{GlobalFP}}_{\mathrm{SN}}}{\Sigma }\mathrm{IF}\left(X\right)}{\underset{Y\in {\mathrm{GlobalFP}}_{\mathrm{SN}}}{\Sigma }\mathrm{IF}\left(Y\right)}---\left(8\right)$其中，X为节点i所符合的全局频繁行为模式，一个节点符合的GlobalFP越少，影响因子越低，表明该节点的BP在全网范围内越离群GlobalOF越大；假设P2P网络中大多数节点是正常和善意的，将GlobalOF大于其所在子网各节点GlobalOF均值的节点标记为恶意节点；令SN所在P2P子网中各成员节点的平均局部离群因子为平局全局离群因子为(1)当任意节点i的${\mathrm{LocalOF}}_i<\overline{{\mathrm{LocalOF}}_{\mathrm{SN}}}$并且${\mathrm{GlobalOF}}_i<\overline{{\mathrm{GlobalOF}}_{\mathrm{SN}}}$时，节点i的BP在子网及P2P全网节点中均不离群；节点i与其所在子网和P2P全网中大多数节点的BP相一致；节点i为正常节点，节点i所在P2P子网为正常子网；(2)当任意节点i的${\mathrm{LocalOF}}_i>\overline{{\mathrm{LocalOF}}_{\mathrm{SN}}}$并且${\mathrm{GlobalOF}}_i<\overline{{\mathrm{GlobalOF}}_{\mathrm{SN}}}$时，节点i的BP在子网中离群，在P2P全网中不离群；节点i与P2P全网中大多数节点的BP一致，节点i所在子网中大多数节点与网络中大多数节点BP不一致；节点i为正常节点，节点i所在子网为异常子网；(3)当任意节点i的${\mathrm{LocalOF}}_i<\overline{{\mathrm{LocalOF}}_{\mathrm{SN}}}$并且${\mathrm{GlobalOF}}_i>\overline{{\mathrm{GlobalOF}}_{\mathrm{SN}}}$时，节点i的BP在子网中不离群，在整个P2P网络中离群；节点i与其所在子网中大多数节点的BP一致，节点i所在子网中大多数节点与网络中大多数节点的BP不一致；节点i为恶意节点，节点i所在子网为异常子网；(4)当任意节点i的${\mathrm{LocalOF}}_i>\overline{{\mathrm{LocalOF}}_{\mathrm{SN}}}$并且${\mathrm{GlobalOF}}_i>\overline{{\mathrm{GlobalOF}}_{\mathrm{SN}}}$时，节点i的BP在子网及P2P全网节点中均离群；节点i与其所在子网和P2P全网中大多数节点的BP都不一致，节点i为恶意节点；其所在子网为正常子网或异常子网；若为异常子网，包含于LocalFP但不包含于GlobalFP的BP即为恶意团体所符合的行为特征，超节点以此为依据进行恶意行为抵抗，并将恶意团体行为特征发布给网络中其他超节点；若为正常子网，若某一恶意节点的BP与某个恶意团体相符，则该节点也属于该恶意团体；若某个恶意节点的行为并不符合任何团体性恶意行为模式，则该节点为个体性恶意行为，其恶意行为特征为包含于BP，但不包含于GlobalFP的行为模式，超节点以此为依据进行恶意行为抵抗。