[发明专利]基于属性关系图的主机网络行为模式度量方法

权利要求书

1.一种基于属性关系图的主机网络行为模式度量方法，其特征在于，包括以下步骤：

(1)采集主机网络流量数据；

(2)为主机构建属性关系图，所述属性关系图包括独立的七列特征信息，排列的顺序依次为服务器IP地址、协议号、服务器端口号、远程端口号、远程IP地址、字节数、时间类型，每列特征中不同的值作为一个节点；

(3)根据主机之间的网络连接为相邻两列特征的节点建立连接，不相邻的节点不能连接，从而使主机所有的网络流量数据均对应到属性关系图中；

(4)在每个时间窗口结束时，从属性关系图和特征的节点中抽取特征值，将固定时间窗口的主机网络行为模式表示成具有多维特征值的基线特征向量矩阵；

(5)基于固定时间窗口计算主机网络行为偏离度值，并剔除异常值，形成主机网络行为的偏离度；该步骤中，根据格拉布斯准则剔除异常值，并采用如下公式计算主机网络行为偏离度值：

式中，表示历史可疑度，即检测时间的主机个体行为轮廓与历史行为基线的特征向量的空间距离，其上的Mean_his表示主机个体历史行为基线的均值，IP^j表示第j个主机，Td表示检测时间；log(count_blk)表示受害可疑度，即检测时间与服务器进行远程通信的主机处于IP黑名单的数量，其上的count_blk表示位列黑名单的IP地址个数；α、β均为权值，且α+β＝1；

(6)获取每台主机网络行为模式的偏离度集中趋势，设定时间窗口的偏离度阈值；

(7)根据网络流量数据，统计检测时间的固定时间窗口的主机网络行为模式的多维特征值，并汇聚到主机层，形成检测特征向量矩阵；

(8)基于检测时间的固定时间窗口，利用步骤(5)的公式计算每台被监控主机的当前网络行为偏离度值；

(9)根据步骤(6)设定的时间窗口的偏离度阈值，确定步骤(8)计算的偏离度值是否处于偏离度阈值内，从而判定主机状态是否发生异常。

2.根据权利要求1所述的基于属性关系图的主机网络行为模式度量方法，其特征在于，所述步骤(1)中，采集主机网络流量数据所用的方式为：将主机网络流量数据通过端口镜像路由器转发到部署了主机异常行为检测的服务器。

3.根据权利要求1或2所述的基于属性关系图的主机网络行为模式度量方法，其特征在于，所述步骤(3)中，主机网络连接根据实际场景服务器的通信模式，区分为主动连接和被动响应两种方式。

4.根据权利要求3所述的基于属性关系图的主机网络行为模式度量方法，其特征在于，所述步骤(2)中，协议号、服务器端口号分别为6和80；字节数分为0、3、5三个节点；时间类型分为0、1两个节点。

5.根据权利要求4所述的基于属性关系图的主机网络行为模式度量方法，其特征在于，所述步骤(4)中，抽取字节数作为特征值时，需将连续值的字节数通过离散化方法减少数据值个数。

6.根据权利要求5所述的基于属性关系图的主机网络行为模式度量方法，其特征在于，所述的离散化方法采用分箱法，具体为：将字节数划分为12个分箱，为bin1到bin12，bin1中每个数据包的字节数为(2^k-1,2^k]，k为分箱的索引值；bin12中每个数据包的字节数为(2¹⁰,∞)。