本发明专利技术公开了一种追踪网络联通图中community演化的方法及装置,包括:对网络联通图进行首次community划分,得到一个以上community;其中,不同的community对应不同的ID,且community中包含的所有节点均携带所述community的ID;对网络联通图进行第N次community划分,得到一个以上community;当所述community中包含的节点中有超过门限数量的节点携带了同一种ID时,将所述community的ID设置为所述同一种ID,并在所述community中包含的所有节点中携带所述同一种ID,N≥2。
【技术实现步骤摘要】
本专利技术涉及网络安全领域中的网络联通图技术,尤其涉及一种追踪网络联通图中团体(community)演化的方法及装置。
技术介绍
当黑客入侵企业、学校和政府等组织的内部网络后,其后续的攻击行为会引起内部主机之间通讯的变化。例如受黑客控制的主机会扫描其它主机,包括主机上开放的业务端口,而在内部网络的正常通讯中是不存在这种行为的。因此分析组织内部网络的通讯是发现异常主机,继而确认主机感染恶意软件的重要途径。分析内部网络通讯的常用方法是基于内网通讯将组织的内部网络拓扑抽象成联通图,将内网主机抽象为联通图中的节点,将主机间的通讯抽象为联通图中的边。根据节点间通讯的连接数、应用和数据量等信息可以为联通图中的边赋予权值。一方面通过计算图中节点间边的变化和边上权值的变化,能够发现蠕虫、扫描等异常事件。另一方面联通图也为安全分析人员提供了良好的可视化工具。尽管联通图的价值很高,但当组织内网中的主机数目较多,例如达到数千甚至上万时,直接使用全网的联通图进行分析会遇到困难。安全分析人员很难对数万个内网节点构成的联通图进行分析,同时当联通图规模过大时,一个节点引起的变化可能会被掩盖。解决这一问题的一种方法是根据节点之间的通讯特征将节点划分为不同的community,再基于community进行进一步的分析。community是联通图的一个子图,处于同一个community内部的节点,与community外部的节点相比,其
相互间联通的边数较多,并且边上的权重较高,相互间表现出了更强的关系。在真实网络中,处于同一个community内的节点所代表的主机通常属于同一个业务部门,这些主机相互间交互频繁,并且业务相近。划分community依赖的是网络联通图中各个节点间的边和边的权重,当边以及边的权重发生变化时,划分出的community就会不同。组织的内网中,主机的通讯沿着时间轴往往会发生变化。例如内网中增加了新的业务服务器或者组织中有新的团队开始使用已有业务服务器。因此根据不同时间段的通讯情况划分出来的community可能不同。使用community进行异常主机分析,最重要的需求就是跟踪和对比community沿着时间轴的变化。例如当community的介数中心性((betweenness centrality)或接近中心性(closeness centrality)发生重大变化时,网络中很可能出现了扫描行为、垃圾邮件行为或者攻击行为。同时,当安全分析师通过可视化工具发现在community中,某个主机开始访问很多之前不访问的其它主机,甚至主机从一个community迁移到另一个community时,这个主机很可能已经被黑客攻陷。当网络联通图随着时间的推移发生变化时,在不同的时间点community的划分出现变化,在这些划分中建立关联的主要方法是不同划分中community的相似性。例如,最简单的情况,在第一次划分的community A1和第二次划分中的community B1,构成它们的节点完全一致,可以认为B1是由A1演化而来。当然在实际的方法中,需要考虑比这更复杂的情况,因为B1和A1的构成很可能并不完全一样。另一方面同时需要考虑特殊节点的地位。例如一个部门拥有核心的内部业务服务器,则服务器所在的community在实际中对应着这个部门的局域网络。在判定community相似性时需要给予这些特殊节点更高的权重。可见,如何准确判定community的相似性以追踪community的演化是亟需解决的问题。
技术实现思路
为解决上述技术问题,本专利技术实施例提供了一种追踪网络联通图中community演化的方法及装置,当网络联通图沿着时间的推移变化时,能够在不同时间点划分出的community中找到其中最为相似的一组community。本专利技术实施例提供的追踪网络联通图中community演化的方法,包括:对网络联通图进行首次community划分,得到一个以上community;其中,不同的community对应不同的标识ID,且community中包含的所有节点均携带所述community的ID;对网络联通图进行第N次community划分,得到一个以上community;当所述community中包含的节点中有超过门限数量的节点携带了同一种ID时,将所述community的ID设置为所述同一种ID,并在所述community中包含的所有节点中携带所述同一种ID,N≥2。本专利技术实施例中,所述方法还包括:当所述community中包含的节点中没有超过门限数量的节点携带了同一种ID时,为所述community分配唯一的ID,并在所述community中包含的所有节点中携带分配的所述唯一的ID。本专利技术实施例中,所述方法还包括:当两个以上community有超过门限数量的节点携带了同一种ID时,比较各个community所包含的节点个数;将包含节点个数最多的community的ID设置为所述同一种ID,并为除所述包含节点个数最多的community以外的各个community分配唯一的ID;其中,每个community所包含的全部节点携有所述community的ID。本专利技术实施例中,所述方法还包括,当各个community所包含的节点个数相同时,为所述各个community分配唯一的ID,其中,每个community所包含的全部节点携有所述community的ID。本专利技术实施例中,比较各个community所包含的节点个数时,所述节点个
数为节点的加权个数;相应地,所述方法还包括:依据community中各个节点的权重,计算所述community所包含的节点的加权个数。本专利技术实施例提供的追踪网络联通图中community演化的装置,包括:第一划分单元,用于对网络联通图进行community划分,得到一个以上community;其中,不同的community对应不同的ID,且community中包含的所有节点均携带所述community的ID;第二划分单元,用于对网络联通图进行第N次community划分,得到一个以上community;追踪单元,用于当所述community中包含的节点中有超过门限数量的节点携带了同一种ID时,将所述community的ID设置为所述同一种ID,并在所述community中包含的所有节点中携带所述同一种ID,N≥2。本专利技术实施例中,所述装置还包括:分配单元,用于当所述community中包含的节点中没有超过门限数量的节点携带了同一种ID时,为所述community分配唯一的ID,并在所述community中包含的所有节点中携带分配的所述唯一的ID。本专利技术实施例中,所述装置还包括:比较单元,用于当两个以上community有超过门限数量的节点携带了同一种ID时,比较各个community所包含的节点个数;设置单元,用于将包含节点个数最多的community的ID设置为所述同一种ID;分配单元,用于为除所述包含节点个数最多的community以外的各个community分配唯一的ID;其中,每个community所包含的全部节点携有所述community的ID。本专利技术实施例中,本文档来自技高网...
【技术保护点】
一种追踪网络联通图中团体community演化的方法,其特征在于,所述方法包括:对网络联通图进行首次community划分,得到一个以上community;其中,不同的community对应不同的标识ID,且community中包含的所有节点均携带所述community的ID;对网络联通图进行第N次community划分,得到一个以上community;当所述community中包含的节点中有超过门限数量的节点携带了同一种ID时,将所述community的ID设置为所述同一种ID,并在所述community中包含的所有节点中携带所述同一种ID,N≥2。
【技术特征摘要】
1.一种追踪网络联通图中团体community演化的方法,其特征在于,所述方法包括:对网络联通图进行首次community划分,得到一个以上community;其中,不同的community对应不同的标识ID,且community中包含的所有节点均携带所述community的ID;对网络联通图进行第N次community划分,得到一个以上community;当所述community中包含的节点中有超过门限数量的节点携带了同一种ID时,将所述community的ID设置为所述同一种ID,并在所述community中包含的所有节点中携带所述同一种ID,N≥2。2.根据权利要求1所述的追踪网络联通图中团体community演化的方法,其特征在于,所述方法还包括:当所述community中包含的节点中没有超过门限数量的节点携带了同一种ID时,为所述community分配唯一的ID,并在所述community中包含的所有节点中携带分配的所述唯一的ID。3.根据权利要求1所述的追踪网络联通图中团体community演化的方法,其特征在于,所述方法还包括:当两个以上community有超过门限数量的节点携带了同一种ID时,比较各个community所包含的节点个数;将包含节点个数最多的community的ID设置为所述同一种ID,并为除所述包含节点个数最多的community以外的各个community分配唯一的ID;其中,每个community所包含的全部节点携有所述community的ID。4.根据权利要求3所述的追踪网络联通图中团体community演化的方法,其特征在于,所述方法还包括,当各个community所包含的节点个数相同时,为所述各个community分配唯一的ID,其中,每个community所包含的全部节点携有所述community的ID。5.根据权利要求3所述的追踪网络联通图中团体community演化的方法,其特征在于,比较各个community所包含的节点个数时,所述节点个数为节点的加权个数;相应地,所述方法还包括:依据community中各个节点的权重,计算所述community所包含的节点的加权个数。6.一种追踪网络联通图中团体community演化的装置,其特征...
【专利技术属性】
技术研发人员:才华,刘昌浩,
申请(专利权)人:北京网康科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。