基于图演化事件的主机群异常检测模型

叶晓鸣¹,陈兴蜀^2*,杨力³,王文贤²,朱毅¹,邵国林¹,梁刚²

1.四川大学计算机学院, 四川 成都 610065;2.四川大学网络空间安全学院, 四川 成都 610065;3.西南交通大学经济管理学院, 四川 成都 610031

收稿日期:2017-08-28出版日期:2018-09-20发布日期:2018-09-10

作者简介:叶晓鸣(1981— ),女,博士研究生,讲师,研究方向为信息安全、大数据分析. E-mail:yexm.edu@gmail.com*通信作者简介:陈兴蜀(1968— ),女,博士,教授,博士生导师,研究方向为云计算、信息安全、计算机网络. E-mail:chenxsh@scu.edu.cn
基金资助:国家自然科学基金资助项目(61272447);四川省科技厅科技支撑计划项目(2016GZ0042,16ZHSF0483,2017GZ0168);四川省教育厅重点资助科研项目(17ZA0238,17ZA0200)

Anomaly detection model of host group based on graph-evolution events

YE Xiao-ming¹, CHEN Xing-shu^2*, YANG Li³, WANG Wen-xian², ZHU Yi¹, SHAO Guo-lin¹, LIANG Gang²

1. College of Computer Science, Sichuan University, Chengdu 610065, Sichuan, China;
2. College of Cybersecurity, Sichuan University, Chengdu 610065, Sichuan, China;
3. School of Economics and Management, Southwest Jiao Tong University, Chengdu 610031, Sichuan, China

Received:2017-08-28Online:2018-09-20Published:2018-09-10

摘要/Abstract

摘要： 针对网络环境中出现的以服务为聚合的通信行为和以分布式攻击为典型的新型协同攻击模式,提出了基于图演化事件的主机群异常检测模型。分析了行为主体潜在的社会化关系、聚集成簇的主机群及其群体行为的动态特性,该模型具有无参数、数据量级可扩展的特点。定义并提出了图动态演化事件及检测算法,实现异常主机群检测。本模型在Spark上实现和部署,还从实际计算机和网络环境提取数据进行分析和验证。实验结果表明,该模型能够有效刻画群体行为,揭露重要的图演化事件,准确定位异常发生的主机群,其群成员主机的检测率达到95.09%。


PDF全文下载地址:

http://lxbwk.njournal.sdu.edu.cn/CN/article/downloadArticleFile.do?attachType=PDF&id=2831