【技术实现步骤摘要】
本专利技术属于网络通信安全领域,确切的说涉及一种基于行为特征时间序列自相似性的主机身份识别方法。
技术介绍
1、主机识别对于计算机网络犯罪取证、抵御匿名攻击、检测网络故障等具有重要意义。然而互联网的设计并未包含对主机身份的唯一标识机制,而网络节点的移动性、主机地址的随机性往往导致网络主机的身份难以识别,这给网络运维、网络安全管理过程中的主机身份标识带来困难。因此,从网络行为、网络流量中识别主机的唯一身份,是一直以来的重要研究方向。但是,当前常见的主机识别方法大多需要采集主机的指纹特征,不利于保护用户隐私,且在加密流量环境中适用性差,准确率难以保证。
2、目前常见的网络主机识别方式有以下几种:基于tcp协议指纹的识别,例如利用不同操作系统tcp协议中存在的差异来探测远程主机;基于主机硬件特征的识别,例如利用网络主机硬件中的时钟偏移来实现对不同设备的识别;基于协议banner特征的识别,例如对http请求首部字段进行采集,从中获取操作系统类型、浏览器类型和版本等标识信息,通过建立操作系统指纹数据库对主机的操作系统类型进行识别;基于网站指纹匹配的识别,例如利用网页资源加载的报文长度分布、网页在加载时流量大小不同的现象、数据包长度和到达时间的分布等特征进行识别;基于用户行为特性的识别,例如根据个人用户击键特性来识别用户;上述识别方式也可进行综合考虑,即同时考虑主机硬件特征信息、主机软件环境特征信息和主机网络行为特征等信息。
3、常用的主机身份识别方法大多要求对网络报文进行深度解析,从中提取与主机隐私有关的信息字段
4、授权公告号为cn115396183b,授权公告日为2023年8月11日的中国专利文献公开了一种用户身份识别方法、装置、设备、存储介质以及计算机程序产品,涉及人工智能
,具体为深度学习
,可应用于用户身份识别等场景。具体实现方案为:获取目标站点的访问流量;从预先配置的识别信息中,获取目标站点的识别阶段;对访问流量进行解析,得到识别阶段对应的目标报文;对目标报文进行识别,得到访问用户的身份标识。上述技术方案的优点是,能够提高用户识别的准确率,但是其仍然需要采集主机的指纹特征,对报文进行深度解析,导致用户隐私泄露。
技术实现思路
1、为解决上述现有技术中的问题,本专利技术提出一种基于行为特征时间序列自相似性的主机身份识别方法,采用本方法能够通过网络主机的行为统计特征采集和时间序列相似性度量对主机身份进行识别,能够提高主机身份识别的准确率,并保护用户的隐私。
2、本专利技术是通过采用以下技术方案实现的:
3、一种基于行为特征时间序列自相似性的主机身份识别方法,
4、包括以下步骤:
5、s1、行为特征采集;
6、s2、构建行为特征时间序列;
7、s3、行为特征时间序列距离度量;
8、所述的行为特征时间序列距离度量,是指使用改良的马氏距离方法对行为特征时间序列进行距离度量:
9、首先以信息熵为过滤条件,从行为特征时间序列中删除信息熵过低的主机行为特征;
10、再通过基于经验模态分解的平滑机制对特征值时间序列进行平滑处理,获得新行为特征时间序列;
11、最后对任意两台主机的不同时间窗口的新行为特征时间序列进行距离度量,获得一个距离矩阵;
12、s4、基于距离度量结果进行主机身份匹配。
13、所述的行为特征采集是指从流量中采集m台ip主机的行为特征,所述行为特征包括流量规模、流量形态、网络结构、节点关系等,共d个行为特征。
14、所述s2中,构建行为特征时间序列是指先拟定观测时长z,观测周期为n,再利用s1所获得的每台主机的行为特征,分别构建z/n个d×n的矩阵x来表示每台ip主机的行为特征时间序列:
15、 (1)
16、式(1)中,d为特征的维度,单位为个;n为时间序列的长度,针对每台ip主机,每间隔单位时间计算一次行为特征采样,每间隔观测周期n,开始构建下一个观测周期的行为特征时间序列。
17、所述s3中,以信息熵为过滤条件,从行为特征时间序列中删除信息熵过低的主机行为特征是指对需要度量距离的两台ip主机的行为特征时间序列x和y,对其中任意一行k计算各自的信息熵:
18、(2)
19、式(2)中, 为行为特征时间序列x中第k行行为特征,为行为特征时间序列y中第k行行为特征,和分别是其中 和 的信息熵,如果和均低于特定阈值,则对行为特征时间序列进行降维,从和中分别删除 和 。
20、所述s3中,通过基于经验模态分解的平滑机制对特征值时间序列进行平滑处理,获得新行为特征时间序列,具体包括:
21、信号分解,使用经验模态分解将网络的行为特征时间序列进行分解,得到 q个不同频域的imf分量和残余项;
22、使用百分位法删除高频imf中的离群点;以imf1为例,将imf1的t个样本点从小到大进行排序,找到排位百分为p的样本值和排位百分位为(1-p)的样本值,最后将每个小组中小于 b i和大于 a i的值删除,百分位为p的值,代表至少有p%的数据项小于或等于这个值,且至少有(1-p)%的数据项大于或等于这个值,本专利技术取p=97.5。
23、使用最近邻法填充imf中的空置部分,现有噪声点,若和均为有效数据点,且到的距离为x,到的距离为y,则有
24、 (3)
25、若或中有一个为噪声点,则需要依次向左或向右寻找离空置位置最近的有效数据点;有效数据点只能为imf中的非离群点。
26、重构时间序列,将降噪后的imf进行重构获得新行为特征时间序列。
27、所述s3中;对任意两台主机的不同时间窗口的新行为特征时间序列进行距离度量,是指针对所有m台ip主机,取其第一个观测周期的新行为特征时间序列,分别与所有m台ip主机第二个观测周期的新行为特征时间序列进行马氏距离度量,距离度量结果构成了m×m的距离矩阵 :
28、 (4)。
29、所述s4中,基于距离度量结果进行主机身份匹配是指针对s3所获得的距离矩阵,对任意一行的m条记录进行排序,可获得m条排序记录,每条记录的格式为(addr_day1, addr_day2, ranking),其中addr_day1为第一个观测周期的某主机ip,addr_day2为第二个观测周期的某主机ip,rank本文档来自技高网...
【技术保护点】
1.一种基于行为特征时间序列自相似性的主机身份识别方法,其特征在于,步骤为:
2.根据权利要求1所述的一种基于行为特征时间序列自相似性的主机身份识别方法,其特征在于:所述的行为特征采集是指从流量中采集M台IP主机的行为特征,所述行为特征共包括d个行为特征。
3.根据权利要求1所述的一种基于行为特征时间序列自相似性的主机身份识别方法,其特征在于:所述S2中,构建行为特征时间序列是指先拟定观测时长z,观测周期为n,再利用S1所获得的每台主机的行为特征,分别构建z/n个d×n的矩阵来表示每台IP主机的行为特征时间序列:
4.根据权利要求1所述的一种基于行为特征时间序列自相似性的主机身份识别方法,其特征在于:所述S3中,以信息熵为过滤条件,从行为特征时间序列中删除信息熵过低的主机行为特征是指对需要度量距离的两台IP主机的行为特征时间序列X和Y,对其中任意一行k计算各自的信息熵:
5.根据权利要求1所述的一种基于行为特征时间序列自相似性的主机身份识别方法,其特征在于:所述S3中,通过基于经验模态分解的平滑机制对特征值时间序列进行平滑处理,获得
6.根据权利要求1或5所述的一种基于行为特征时间序列自相似性的主机身份识别方法,其特征在于:所述S3中,对任意两台主机的不同时间窗口的新行为特征时间序列进行距离度量,获得一个距离矩阵,是指针对所有M台IP主机,取其第一个观测周期的新行为特征时间序列,分别与所有M台IP主机第二个观测周期的新行为特征时间序列进行马氏距离度量,距离度量结果构成了M×M的距离矩阵:
7.根据权利要求1所述的一种基于行为特征时间序列自相似性的主机身份识别方法,其特征在于:所述S4中,基于距离度量结果进行主机身份匹配是指针对S3所获得的距离矩阵,对每一行的矩阵数据从小到大进行排序,并以时间序列距离最短的矩阵数据所对应的两个IP地址作为最佳匹配记录,将这两个IP地址识别为同一主机。
8.根据权利要求7所述的一种基于行为特征时间序列自相似性的主机身份识别方法,其特征在于:所述最佳匹配记录,是指针对所有M台IP主机,获得一个含有M个成员的最佳匹配记录集合B:
9.根据权利要求4所述的一种基于行为特征时间序列自相似性的主机身份识别方法,其特征在于:所述特定阈值为行为特征时间序列中所有行信息熵的期望。
10.根据权利要求5所述的一种基于行为特征时间序列自相似性的主机身份识别方法,其特征在于:所述有效数据点为IMF中的非离群点。
...【技术特征摘要】
1.一种基于行为特征时间序列自相似性的主机身份识别方法,其特征在于,步骤为:
2.根据权利要求1所述的一种基于行为特征时间序列自相似性的主机身份识别方法,其特征在于:所述的行为特征采集是指从流量中采集m台ip主机的行为特征,所述行为特征共包括d个行为特征。
3.根据权利要求1所述的一种基于行为特征时间序列自相似性的主机身份识别方法,其特征在于:所述s2中,构建行为特征时间序列是指先拟定观测时长z,观测周期为n,再利用s1所获得的每台主机的行为特征,分别构建z/n个d×n的矩阵来表示每台ip主机的行为特征时间序列:
4.根据权利要求1所述的一种基于行为特征时间序列自相似性的主机身份识别方法,其特征在于:所述s3中,以信息熵为过滤条件,从行为特征时间序列中删除信息熵过低的主机行为特征是指对需要度量距离的两台ip主机的行为特征时间序列x和y,对其中任意一行k计算各自的信息熵:
5.根据权利要求1所述的一种基于行为特征时间序列自相似性的主机身份识别方法,其特征在于:所述s3中,通过基于经验模态分解的平滑机制对特征值时间序列进行平滑处理,获得新行为特征时间序列,具体包括:
6.根据权利要求1或5所述的一种基于行为特征时间序列自相似...
【专利技术属性】
技术研发人员:赵官凌,黄鹂声,张锋军,牛作元,刘炜,李庆华,石凯,汪文勇,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。