本发明专利技术公开了一种基于反向传播的网络风险源头追溯方法,包括:将网络中愿意被监控的用户设置为监控节点并进行监控;标记所有被感染监控节点,按照监控节点被感染时间差从被感染监控节点处向已提取的网络拓扑上洪泛式广播标记的风险,统计网络拓扑中能同时接收到所有标记风险的节点并将所述节点添加到潜在的风险源集合中;基于潜在的风险源集合和网络节点在风险传播过程中状态转化的动态性,建立网络风险的微观传播模型;基于所述微观传播模型,采用极大似然估计法从所述潜在的风险源集合中定位风险源头。本发明专利技术方法能够在保护绝大多数用户隐私的前提下,通过比较小的计算量来得到更为精确的网络风险溯源结果。
【技术实现步骤摘要】
本项专利技术属于在线网络的信息安全领域。具体来说,是一种通过监控大规模在线网络中的小部分用户,在网络中发生风险(谣言、蠕虫病毒、电网故障)传播事件后,安全人员可以根据有限的监控信息和网络拓扑快速、精准地推断出风险传播的源头用户(造谣者、蠕虫传播源)的方法。
技术介绍
互联网的广泛普及使我们更容易遭受各类网络风险,例如在线社交网络中谣言肆意传播,因特网上病毒感染大量主机,智能电网的网络隔离故障导致大规模断电等。每年,因这些网络风险而造成的金融和社会财富的损失不计其数。谣言、计算机病毒和智能电网故障都是在不同网络中进行传播的网络风险,为了应对这些网络风险,在网络中通过技术手段追溯到它们传播源头十分有必要。首先,从司法取证的角度,精确定位“网络罪犯”(造谣者、病毒传播者)非常重要,可以提供技术佐证来打击网络罪犯。此外,尽可能快地追溯到网络风险传播源头有助于及时确定网络风险的发生原因,对其尽早干预可以最大程度上降低这些网络风险造成的损失。最有效的方法是对全网用户进行监控,获知每个用户被感染的绝对时间从而判断出最先被感染的用户即为风险传播源。但是这样处理存在两个重大缺点:一方面现实生活中的网络往往规模过大,全网监控成本太高;另一方面出于对隐私保护的需求,人们绝大多数情况下不愿意被监控和接受数据采集。例如,微软操作系统的用户体验计划和各种杀毒软件常常通过弹出窗口来征求用户是否同意提交本地的安全运行日志,并声称这些数据可以更好地保护用户。然而,绝大多数用户通常选择拒绝。这就要求我们只能监控网络中少数愿意被监控的用户,在风险传播事件发生之后,通过这些被监控的节点的状态信息利用高效的算法来推测全局的传播面,从而得到网络风险的传播源头。从技术层面来讲,这类研究可称之为源头追溯问题,其目的就是基于有限的网络结构知识和部分节点的安全状态来定位消息或者网络风险的传播源头。在学术界,传统的源头追溯技术有IP追踪和stepping-stone检测,但是它们通常并不有效。这是因为它们只能确定从某个目标接收的数据包的真实来源,而在实际的传播过程中,数据包的来源通常只是网络风险
传播的参与者、转发者而非真实源头。为更准确高效地定位风险传播源头,亟需要在应用和逻辑结构的层面设计应用更先进的算法和技术来处理源头追溯问题,而不仅仅是利用IP层和数据包转发的日志信息来进行追溯源头。近几年来,很多研究学者对源头追溯问题做了相关的工作。最初的研究只针对以传统SI模型传播的树状网络,进一步出现了针对树状网络中以其他传播模型如SIS,SIR的源头追溯算法。随着技术进一步发展,源头追溯算法不再局限于树状网络,开始对一般网络结构中风险溯源问题进行研究。通常,源头追溯要么通过严密、高复杂度的计算来寻求最优解决方案,要么通过简化的启发式算法来实现最佳时间性能。但是,这些算法普遍存在重大不足。首先计算量大(需要测试网络中所有用户),其次定位并不十分准确。中国科学院分级的国际1区期刊IEEE Communications Surveys and Tutorials上2014年发表的综述文章《Identifying Propagation Sources in Networks:State-of-the-Art and Comparative Studies》指出目前学术界比较先进的源头追溯算法80%以上将定位到2~4个网络拓扑距离的错误位置(按照hops来算),因此并不能满足实际需要。学术界和工业界亟需要更高效的风险源搜索方法来解决这个问题。
技术实现思路
本专利技术的目的在于克服现有技术的不足,提出一种基于反向传播的网络风险源头追溯方法。该方法能够在保护绝大多数用户隐私的前提下,通过比较小的计算量来得到更为精确的网络风险溯源结果,可应用在大型在线网络中的对网络犯罪进行司法取证和风险修复过程中。本专利技术借助刑侦学的嫌疑人搜索策略来寻找风险传播源,以往的算法难以应用于大规模网络,在真实网络中应用前人的算法,复杂度、准确性及其时间消耗将难以承受。因此,本专利技术将此寻找风险传播源的过程划分为两个子过程:首先通过反向传播法缩小搜索范围,其次在缩小后的范围内寻找真正的风险源。具体而言,反向传播法将监控节点标记,然后从监控节点广播(洪泛传播)发送标记的风险。此方法的逻辑是:如果网络拓扑中存在节点能同时收到所有的监控节点发送来的标记风险,那么这些节点有可能是风险传播源。这种算法优先考虑准确度,而后考虑运行效率。由于经过前一步骤的筛选,潜在的风险源集合中只存在小部分网络用户。之后采用极大似然估计法结合风险的微观传播模型测试潜在的风险源集合,来进一步定位风险传播源。这一步的原理是:测试每一个潜在的风险源作为传播源,用微观传播模型传播一定时间后能得到当前网络状态的可能性。将每一个潜在的风险源分别代入传播公式并计算当前网络状态的概
率的似然函数,则能取得极大似然值的潜在的风险源最有可能是真实的感染源头。本专利技术解决其技术问题所采用的技术方案是:一种基于反向传播的网络风险源头追溯方法,包括:将网络中愿意被监控的用户设置为监控节点并进行监控;网络风险传播事件发生一定时间后,标记所有被感染监控节点,按照监控节点被感染时间差从被感染监控节点处向已提取的网络拓扑上洪泛式广播标记的风险,统计网络拓扑中能同时接收到所有标记风险的节点并将所述节点添加到潜在的风险源集合中;基于潜在的风险源集合和网络节点在风险传播过程中状态转化的动态性,建立网络风险的微观传播模型;所述状态包括健康、感染状态和被感染且具有感染性;基于所述微观传播模型,采用极大似然估计法从所述潜在的风险源集合中定位风险源头。优选的,所述将网络中愿意被监控的用户设置为监控节点并进行监控,监控信息包括:监控节点是否接收到风险感染及如果接收到风险感染其被感染的绝对时间。优选的,所述监控节点被感染时间差用如下公式表示:di=max(T)-τi其中,i表示第i个被感染的监控节点,i∈[1,n],n表示被感染的监控节点的总数;T={τ1,τ2…τn本文档来自技高网...
【技术保护点】
一种基于反向传播的网络风险源头追溯方法,其特点在于,包括:将网络中愿意被监控的用户设置为监控节点并进行监控;标记所有被感染监控节点,按照监控节点被感染时间差从被感染监控节点处向已提取的网络拓扑上洪泛式广播标记的风险,统计网络拓扑中能同时接收到所有标记风险的节点并将所述节点添加到潜在的风险源集合中;基于潜在的风险源集合和网络节点在风险传播过程中状态转化的动态性,建立网络风险的微观传播模型;所述状态包括健康、感染状态和被感染且具有感染性;基于所述微观传播模型,采用极大似然估计法从所述潜在的风险源集合中定位风险源头。
【技术特征摘要】
1.一种基于反向传播的网络风险源头追溯方法,其特点在于,包括:将网络中愿意被监控的用户设置为监控节点并进行监控;标记所有被感染监控节点,按照监控节点被感染时间差从被感染监控节点处向已提取的网络拓扑上洪泛式广播标记的风险,统计网络拓扑中能同时接收到所有标记风险的节点并将所述节点添加到潜在的风险源集合中;基于潜在的风险源集合和网络节点在风险传播过程中状态转化的动态性,建立网络风险的微观传播模型;所述状态包括健康、感染状态和被感染且具有感染性;基于所述微观传播模型,采用极大似然估计法...
【专利技术属性】
技术研发人员:王田,文晟,吴群,吴尤可,梁俊斌,赖永炫,
申请(专利权)人:华侨大学,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。