一種面向社交網(wǎng)絡(luò)的虛擬惡意節(jié)點及其網(wǎng)絡(luò)識別方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域，涉及網(wǎng)絡(luò)安全態(tài)勢感知與處理技術(shù)，特別涉 及一種面向社交網(wǎng)絡(luò)的虛擬惡意節(jié)點及其網(wǎng)絡(luò)識別方法。
【背景技術(shù)】
[0002] 隨著互聯(lián)網(wǎng)的發(fā)展，社交網(wǎng)絡(luò)已經(jīng)成為人們在日常生活工作中進行交流的重要途 徑和平臺。廣義上的"社交網(wǎng)絡(luò)"是指由人類社會活動構(gòu)成的關(guān)系網(wǎng)絡(luò)，而計算機科學與技 術(shù)領(lǐng)域所提的"社交網(wǎng)絡(luò)"是指基于互聯(lián)網(wǎng)構(gòu)建的虛擬人類關(guān)系網(wǎng)以及相關(guān)的網(wǎng)絡(luò)服務(wù)支 撐平臺，英文全稱為"SocialNetworkSite"，本發(fā)明所涉及的"社交網(wǎng)絡(luò)"屬于后者。社 交網(wǎng)絡(luò)用戶能夠通過發(fā)布信息，分享資源，實時通信等形式與好友交流；著名的社交網(wǎng)絡(luò)如 Facebook(臉譜）、Twitter(推特）、新浪微博（Weibo)、騰訊微信（WeChat)等。社交網(wǎng)絡(luò) 的發(fā)展與流行使人們的社交活動趨于多元化、虛擬化和信息化，社交網(wǎng)絡(luò)相關(guān)信息系統(tǒng)記 錄著海量用戶的身份信息和活動數(shù)據(jù)，這些資料蘊含著難以估量的價值。很多組織機構(gòu)已 經(jīng)開始分析利用這些資料，輔助決策，如中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC)、知微（社交信息 情報機構(gòu)）、中科院網(wǎng)絡(luò)安全團隊（NSTeam)等。
[0003] 人們在享受社交網(wǎng)絡(luò)服務(wù)便利的同時，也面臨著嚴重的安全威脅，而威脅制造者 是社交網(wǎng)絡(luò)中的虛擬惡意節(jié)點。此類節(jié)點是指由攻擊者所控制的社交網(wǎng)絡(luò)賬號，從事多種 惡意行為，主要有傳播惡意代碼，散布垃圾信息，進行網(wǎng)絡(luò)欺詐、操控話題導(dǎo)向，干擾用戶活 動等。例如2011年爆發(fā)的新浪微博攻擊事件，攻擊者通過跨站腳本攻擊手段，利用虛擬人 際關(guān)系網(wǎng)快速傳播蠕蟲病毒，不到1小時至少波及三萬用戶。攻擊者往往出于黑色利益或 險惡目的，非法控制大量的虛擬惡意節(jié)點，在社交網(wǎng)絡(luò)中建立龐大的虛假信息源，形成巨大 的噪音數(shù)據(jù)場，破壞網(wǎng)絡(luò)秩序，危害用戶安全，亟待治理和防范。虛擬惡意節(jié)點識別技術(shù)是 有效解決上述問題的防御手段之一，得到了業(yè)界和學術(shù)界的廣泛關(guān)注，并取得了一定的研 宄成果。例如新浪微博的"智能反垃圾系統(tǒng)"能夠基于賬戶信息，自動清除垃圾廣告帳號 或帳號狀態(tài)異常的微博帳號；美國德州農(nóng)工大學的楊超等人針對推特中的垃圾信息發(fā)送賬 號，提出了一種基于關(guān)聯(lián)性節(jié)點評估的虛擬惡意節(jié)點檢測方法，具有較高的準確率。
[0004] 現(xiàn)有的虛擬惡意節(jié)點識別技術(shù)主要有如下幾類：1)基于社交網(wǎng)絡(luò)賬戶屬性特征 的分類識別技術(shù)，如根據(jù)微博賬戶的信息完整程度、關(guān)注數(shù)與粉絲數(shù)比值、發(fā)帖頻率進行分 析過濾；2)基于社交網(wǎng)絡(luò)消息內(nèi)容的語義分析識別技術(shù)，如根據(jù)由垃圾信息關(guān)鍵字組成的 語義特征向量進行分析檢測；3)基于社交網(wǎng)絡(luò)用戶行為模型的異常檢測技術(shù)，如根據(jù)已知 正常用戶和虛擬惡意節(jié)點的賬戶屬性變化和社交行為活動，構(gòu)建用戶行為模型，進而對未 知節(jié)點進行分類。然而，社交網(wǎng)絡(luò)中虛擬惡意節(jié)點不斷演變進化，呈現(xiàn)偽裝度高、潛伏期長、 隱蔽性好、控制力強、攻擊形式多樣、角色分工細化等趨勢，這導(dǎo)致現(xiàn)有的虛擬惡意節(jié)點識 別方法適用性和準確率大幅下降，某些種類的惡意節(jié)點甚至能夠完全繞過現(xiàn)有防御措施。 現(xiàn)有的虛擬惡意節(jié)點識別方法有以下不足：1)難以識別高偽裝的虛擬惡意節(jié)點；2)識別精 度較好的算法計算復(fù)雜度高，檢測結(jié)果時效性差，例如基于語義分析的檢測方法難以在大 規(guī)模實時數(shù)據(jù)系統(tǒng)中應(yīng)用。

【發(fā)明內(nèi)容】

[0005] 針對現(xiàn)有社交網(wǎng)絡(luò)中虛擬惡意節(jié)點識別方法檢測種類有限，難以發(fā)現(xiàn)高偽裝、協(xié) 同類虛擬惡意節(jié)點的問題，本發(fā)明基于節(jié)點信任度模型和行為習慣模型，公開了一種面向 社交網(wǎng)絡(luò)的虛擬惡意節(jié)點及其網(wǎng)絡(luò)識別方法及系統(tǒng)。本發(fā)明主要包括以下幾個方面：
[0006] (1)能夠識別社交網(wǎng)絡(luò)中高偽裝的虛擬惡意節(jié)點。本發(fā)明的方法提出了節(jié)點信任 度模型，并且把社交網(wǎng)絡(luò)賬號難以偽造的屬性作為識別特征，解決了針對克隆偽裝、感染受 控等社交網(wǎng)絡(luò)節(jié)點的檢測問題；
[0007] (2)能夠識別社交網(wǎng)絡(luò)中協(xié)同類的虛擬惡意節(jié)點網(wǎng)絡(luò)。本發(fā)明的方法提出了社交 網(wǎng)絡(luò)賬戶的行為習慣模型，基于單位時間內(nèi)節(jié)點行為的異常程度和異常相似性，檢測協(xié)同 類的虛擬惡意節(jié)點，并挖掘相似惡意節(jié)點間的關(guān)系網(wǎng)；
[0008] (3)能夠達到針對大數(shù)據(jù)檢測的準實時性要求。本發(fā)明的方法遴選了區(qū)分度好的 分類特征，并且融合了兩種高效的模式識別算法，取長補短，能夠滿足社交網(wǎng)絡(luò)虛擬惡意節(jié) 點檢測系統(tǒng)的識別率和實時性需求。
[0009] 本發(fā)明的技術(shù)方案為：
[0010] 一種面向社交網(wǎng)絡(luò)的虛擬惡意節(jié)點識別方法，其步驟為：
[0011] 1)從目標社交網(wǎng)絡(luò)中獲取未識別賬戶行為數(shù)據(jù)和通信數(shù)據(jù)；
[0012] 2)對于每一未識別賬戶，根據(jù)其行為數(shù)據(jù)建立該賬戶的好友關(guān)系網(wǎng)絡(luò)，根據(jù)其通 信數(shù)據(jù)建立該賬戶的通信關(guān)系網(wǎng)絡(luò)；然后根據(jù)好友關(guān)系網(wǎng)絡(luò)和通信關(guān)系網(wǎng)絡(luò)計算得到的該 賬戶好友出度變化值、好友入度變化值、通信出度向量、通信入度向量，建立該賬戶的信任 度模型特征向量；然后根據(jù)該信任度模型特征向量計算該賬戶的信譽度；
[0013] 3)對于信譽度低于設(shè)定閾值的每一未標識賬戶，根據(jù)該賬戶的通信時間序列和消 息內(nèi)容生成該用戶的行為習慣統(tǒng)計數(shù)據(jù)，然后將其與正常用戶的行為習慣統(tǒng)計數(shù)據(jù)進行對 比，如果差異大于設(shè)定閾值，則將該賬戶標記為虛擬惡意節(jié)點；否則將其標記為正常用戶節(jié) 點。
[0014] 一種面向社交網(wǎng)絡(luò)的虛擬惡意節(jié)點網(wǎng)絡(luò)識別方法，其步驟為：
[0015] 1)從目標社交網(wǎng)絡(luò)中獲取未識別賬戶的屬性數(shù)據(jù)、行為數(shù)據(jù)和通信數(shù)據(jù)；
[0016] 2)對于每一未識別賬戶，根據(jù)其行為數(shù)據(jù)建立該賬戶的好友關(guān)系網(wǎng)絡(luò)，根據(jù)其通 信數(shù)據(jù)建立該賬戶的通信關(guān)系網(wǎng)絡(luò)；然后根據(jù)好友關(guān)系網(wǎng)絡(luò)和通信關(guān)系網(wǎng)絡(luò)計算得到的該 賬戶好友出度變化值、好友入度變化值、通信出度向量、通信入度向量，建立該賬戶的信任 度模型特征向量；然后根據(jù)該信任度模型特征向量計算該賬戶的信譽度；
[0017] 3)對于信譽度低于設(shè)定閾值的每一未標識賬戶，根據(jù)該賬戶的通信時間序列和消 息內(nèi)容生成該用戶的行為習慣統(tǒng)計數(shù)據(jù)，然后將其與正常用戶的行為習慣統(tǒng)計數(shù)據(jù)進行對 比，如果差異大于設(shè)定閾值，則將該賬戶標記為虛擬惡意節(jié)點；否則將其標記為正常用戶節(jié) 占.
[0018] 4)將根