[发明专利]一种针对多个属性网络的快速异常检测方法

说明书

本发明公开了一种针对多个属性网络的快速异常检测方法，所述方法是基于本地在多个私有属性网络建立异常检测模型，在每个私有网络中采用近似最优异常查询方法检测特定形状异常子图并与与公有网络中的异常子图对齐，具体包括：初始化上下限结果集为空集，迭代次数i＝0，选择前m个节点做为上限结构；分解查询图Q为星型结构，将上一次迭代得到的异常子图上限与下限合并得到暂时最优结构S；当上限与下限异常得分接近时，返回近似异常查询结果否则迭代至满足停止条件，本发明能够挖掘出在不同时间有着相似攻击行为的IP。因此，被攻击的网站只需拦截该网段的IP就能大概率避免被攻击的风险。

技术领域

本发明属于多个属性网络的联邦异常检测领域，尤其涉及一种针对多个属性网络的快速异常检测方法。

背景技术

联邦异常检测问题是在多层的私有属性图数据上发现关联异常子图。异常子图检测已被广泛应用于计算机网络中的网络攻击检测，社交网络中的舆情爆发检测以及交通网络的拥堵检测等各种应用中。

目前，异常检测面临两大挑战：一是大多数行业中的孤立数据由于数据隐私和安全性而被限制与其他行业共享，二是传统的异常检测需要计算全量的网络才能判断异常，而在互联网等领域每日产生的数据量乘指数级增长，因此其不能快速的得出计算结果，得到结果后，很少的方法能够做到挖掘异常节点的联系，了解异常事件发生的原因。

在多层属性网络的私有图属性数据通常采用一种基于近似最优的联邦异常检测方法。近似最优异常查询将已有时空数据抽象为连通的私有属性网络或属性图并与已知的行为模式进行匹配，得到这些网络中最相关且最异常的部分，以探究单层网络下节点之间异常的联系与异常成因。每个私有属性网络分别与公共属性网络上的异常对齐，以挖掘这些事件之间异常的共性。

发明内容

针对现有技术存在的问题，本发明是在保护隐私的前提下挖掘多个私有属性网络之间存在的特定结构模式的异常，并指导相应政策的制定，同时挖掘潜在的异常信息。在多个不同时间段的计算机攻击网络中，本发明能够挖掘出在不同时间有着相似攻击行为的IP。根据真实记录可以得到相关所属的固定网段及攻击方式。因此，被攻击的网站只需拦截该网段的IP就能大概率避免被攻击的风险。

本发明采用如下技术方案实施：

一种针对多个属性网络的快速异常检测方法，包括如下步骤：

根据需求构建多个属性网络并按照如下公式计算网络节点的异常属性值；

其中：N为网络中所有节点的个数；属性网络G^*＝{G_i},i∈{0,1,...,N}，G_i＝(V_i,E_i,P_i)表示第i个网络，V_i,E_i,P_i分别表示G_i的节点集，边集和异常属性集；

输入一个公共网络和多个私有网络的边集和异常属性集，预定待测网络的参数，包括：

异常阈值α和对齐阈值σ；初始化结果集Uⁱ为空集，迭代次数i＝0；

上述多个私有网络G_i下载公共网络至本地并分别和公共网络进行预对齐获得对齐概率矩阵集合H_ij；

获取上一次迭代结果，检测私有网络近似最优异常子图S_j^*；

与公共网络对齐得到结果集Uj*，并将结果集Uj*上传至云端；

在云端合并各私有网络上传的结果，并与公共网络对齐，获得所有对齐后的异常子图U^*,汇总为集合Uⁱ⁺¹；