技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域，涉及網(wǎng)絡(luò)安全態(tài)勢感知與處理技術(shù)，特別涉及一種面向社交網(wǎng)絡(luò)的虛擬惡意節(jié)點及其網(wǎng)絡(luò)識別方法。

背景技術(shù)

隨著互聯(lián)網(wǎng)的發(fā)展，社交網(wǎng)絡(luò)已經(jīng)成為人們在日常生活工作中進行交流的重要途徑和平臺。廣義上的“社交網(wǎng)絡(luò)”是指由人類社會活動構(gòu)成的關(guān)系網(wǎng)絡(luò)，而計算機科學(xué)與技術(shù)領(lǐng)域所提的“社交網(wǎng)絡(luò)”是指基于互聯(lián)網(wǎng)構(gòu)建的虛擬人類關(guān)系網(wǎng)以及相關(guān)的網(wǎng)絡(luò)服務(wù)支撐平臺，英文全稱為“Social Network Site”，本發(fā)明所涉及的“社交網(wǎng)絡(luò)”屬于后者。社交網(wǎng)絡(luò)用戶能夠通過發(fā)布信息，分享資源，實時通信等形式與好友交流；著名的社交網(wǎng)絡(luò)如Facebook(臉譜)、Twitter(推特)、新浪微博(Weibo)、騰訊微信(WeChat)等。社交網(wǎng)絡(luò)的發(fā)展與流行使人們的社交活動趨于多元化、虛擬化和信息化，社交網(wǎng)絡(luò)相關(guān)信息系統(tǒng)記錄著海量用戶的身份信息和活動數(shù)據(jù)，這些資料蘊含著難以估量的價值。很多組織機構(gòu)已經(jīng)開始分析利用這些資料，輔助決策，如中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)、知微(社交信息情報機構(gòu))、中科院網(wǎng)絡(luò)安全團隊(NSTeam)等。

人們在享受社交網(wǎng)絡(luò)服務(wù)便利的同時，也面臨著嚴(yán)重的安全威脅，而威脅制造者是社交網(wǎng)絡(luò)中的虛擬惡意節(jié)點。此類節(jié)點是指由攻擊者所控制的社交網(wǎng)絡(luò)賬號，從事多種惡意行為，主要有傳播惡意代碼，散布垃圾信息，進行網(wǎng)絡(luò)欺詐、操控話題導(dǎo)向，干擾用戶活動等。例如2011年爆發(fā)的新浪微博攻擊事件，攻擊者通過跨站腳本攻擊手段，利用虛擬人際關(guān)系網(wǎng)快速傳播蠕蟲病毒，不到1小時至少波及三萬用戶。攻擊者往往出于黑色利益或險惡目的，非法控制大量的虛擬惡意節(jié)點，在社交網(wǎng)絡(luò)中建立龐大的虛假信息源，形成巨大的噪音數(shù)據(jù)場，破壞網(wǎng)絡(luò)秩序，危害用戶安全，亟待治理和防范。虛擬惡意節(jié)點識別技術(shù)是有效解決上述問題的防御手段之一，得到了業(yè)界和學(xué)術(shù)界的廣泛關(guān)注，并取得了一定的研究成果。例如新浪微博的“智能反垃圾系統(tǒng)”能夠基于賬戶信息，自動清除垃圾廣告帳號或帳號狀態(tài)異常的微博帳號；美國德州農(nóng)工大學(xué)的楊超等人針對推特中的垃圾信息發(fā)送賬號，提出了一種基于關(guān)聯(lián)性節(jié)點評估的虛擬惡意節(jié)點檢測方法，具有較高的準(zhǔn)確率。

現(xiàn)有的虛擬惡意節(jié)點識別技術(shù)主要有如下幾類：1)基于社交網(wǎng)絡(luò)賬戶屬性特征的分類識別技術(shù)，如根據(jù)微博賬戶的信息完整程度、關(guān)注數(shù)與粉絲數(shù)比值、發(fā)帖頻率進行分析過濾；2)基于社交網(wǎng)絡(luò)消息內(nèi)容的語義分析識別技術(shù)，如根據(jù)由垃圾信息關(guān)鍵字組成的語義特征向量進行分析檢測；3)基于社交網(wǎng)絡(luò)用戶行為模型的異常檢測技術(shù)，如根據(jù)已知正常用戶和虛擬惡意節(jié)點的賬戶屬性變化和社交行為活動，構(gòu)建用戶行為模型，進而對未知節(jié)點進行分類。然而，社交網(wǎng)絡(luò)中虛擬惡意節(jié)點不斷演變進化，呈現(xiàn)偽裝度高、潛伏期長、隱蔽性好、控制力強、攻擊形式多樣、角色分工細化等趨勢，這導(dǎo)致現(xiàn)有的虛擬惡意節(jié)點識別方法適用性和準(zhǔn)確率大幅下降，某些種類的惡意節(jié)點甚至能夠完全繞過現(xiàn)有防御措施。現(xiàn)有的虛擬惡意節(jié)點識別方法有以下不足：1)難以識別高偽裝的虛擬惡意節(jié)點；2)識別精度較好的算法計算復(fù)雜度高，檢測結(jié)果時效性差，例如基于語義分析的檢測方法難以在大規(guī)模實時數(shù)據(jù)系統(tǒng)中應(yīng)用。

發(fā)明內(nèi)容

針對現(xiàn)有社交網(wǎng)絡(luò)中虛擬惡意節(jié)點識別方法檢測種類有限，難以發(fā)現(xiàn)高偽裝、協(xié)同類虛擬惡意節(jié)點的問題，本發(fā)明基于節(jié)點信任度模型和行為習(xí)慣模型，公開了一種面向社交網(wǎng)絡(luò)的虛擬惡意節(jié)點及其網(wǎng)絡(luò)識別方法及系統(tǒng)。本發(fā)明主要包括以下幾個方面：

(1)能夠識別社交網(wǎng)絡(luò)中高偽裝的虛擬惡意節(jié)點。本發(fā)明的方法提出了節(jié)點信任度模型，并且把社交網(wǎng)絡(luò)賬號難以偽造的屬性作為識別特征，解決了針對克隆偽裝、感染受控等社交網(wǎng)絡(luò)節(jié)點的檢測問題；

(2)能夠識別社交網(wǎng)絡(luò)中協(xié)同類的虛擬惡意節(jié)點網(wǎng)絡(luò)。本發(fā)明的方法提出了社交網(wǎng)絡(luò)賬戶的行為習(xí)慣模型，基于單位時間內(nèi)節(jié)點行為的異常程度和異常相似性，檢測協(xié)同類的虛擬惡意節(jié)點，并挖掘相似惡意節(jié)點間的關(guān)系網(wǎng)；

(3)能夠達到針對大數(shù)據(jù)檢測的準(zhǔn)實時性要求。本發(fā)明的方法遴選了區(qū)分度好的分類特征，并且融合了兩種高效的模式識別算法，取長補短，能夠滿足社交網(wǎng)絡(luò)虛擬惡意節(jié)點檢測系統(tǒng)的識別率和實時性需求。

本發(fā)明的技術(shù)方案為：

一種面向社交網(wǎng)絡(luò)的虛擬惡意節(jié)點識別方法，其步驟為：

1)從目標(biāo)社交網(wǎng)絡(luò)中獲取未識別賬戶行為數(shù)據(jù)和通信數(shù)據(jù)；