CN111510454A - 一种面向模式图变化的连续子图匹配方法、***及设备 - Google Patents

Abstract

本发明一个或多个实施例提供一种面向模式图变化的连续子图匹配方法、***及设备，包括：基于网络拓扑图G和模式图P构建数据结构，数据结构用于存储网络拓扑图G和模式图P的局部匹配结果；基于模式图P的动态变化，构建维护模型；维护模型基于模式图P的动态变化更新数据结构，以使数据结构存储实时局部匹配结果；基于模式图P的匹配顺序，构建成本模型；利用成本模型计算模式图P的最小匹配代价，基于最小匹配代价得到匹配算法；基于实时局部匹配结果和匹配算法获得网络拓扑图G和模式图P的最终匹配结果，以完成网络威胁检测。本发明能够监测异常的网络攻击行为，预测即将发生的网络攻击模式，并推测网络黑客的攻击目标。

Description

一种面向模式图变化的连续子图匹配方法、***及设备

技术领域

本发明一个或多个实施例涉及网络安全技术领域，尤其涉及一种面向模式图变化的连续子图匹配方法、***及设备。

背景技术

网络威胁检测作为维护网络安全的重要手段，主要包括：1)监测异常的网络攻击行为；2)预测即将发生的网络攻击模式；3)推测网络黑客的攻击目标。现有技术通过研究连续子图模式匹配技术，在动态变化的网络中查找是否存在异常的网络攻击模式，从而可以监测异常的网络攻击行为，但是研究发现，目前没有基于图的方法来解决网络威胁检测的后两个问题，无法预测网络攻击模式，或者推测被攻击的目标，将监测异常的网络攻击行为视为网络威胁被动检测模式，将网络威胁检测后两个问题视为主动检测方式，现有技术无法做到主动进行网络威胁检测。

发明内容

有鉴于此，本发明一个或多个实施例的目的在于提出，以解决预测即将发生的网络攻击模式，推测网络黑客的攻击目标的主动网络威胁检测的问题。

基于上述目的，本发明一个或多个实施例提供了一种面向模式图变化的连续子图匹配方法，包括：

基于网络拓扑图G和模式图P构建数据结构，所述数据结构用于存储所述网络拓扑图G和模式图P的局部匹配结果，所述模式图P基于网络攻击模式得到，所述模式图P关联所述网络攻击模式，所述模式图P中包括：节点，所述节点表示网络空间中实体，所述实体包括：IP地址、端口和边，所述边表示所述节点之间的连接关系和所述节点之间进行交互需要符合的运输协议；

基于所述模式图P的动态变化，构建维护模型；所述维护模型基于所述模式图P的动态变化更新所述数据结构，以使所述数据结构存储实时局部匹配结果；

基于所述模式图P的匹配顺序，构建成本模型；

利用所述成本模型计算所述模式图P的最小匹配代价，基于所述最小匹配代价得到匹配算法；

基于所述实时局部匹配结果和匹配算法获得所述网络拓扑图G和模式图P的最终匹配结果，所述匹配结果包括：当在所述网络拓扑图G中匹配到与所述模式图P同构的模式图或与所述模式图P完全一致的模式图时，则检测到网络威胁；当在所述网络拓扑图G中没有匹配到与所述模式图P同构的模式图或与所述模式图P完全一致的模式图时，则证明不存在网络威胁。

可选的，所述模式图P包括：初始模式图和更新流Δo，Δo表示一个更新序列(Δo₁,Δo₂,…,Δo_i…)，其中Δo_i是三元操作<op,u_i,u_j>，op为所述模式图P的边<u_i,u_j>的更新操作，u_i,u_j均表示所述模式图P中的节点。

可选的，所述基于网络拓扑图G和模式图P构建数据结构，包括：

基于所述网络拓扑图G和模式图P构造生成树T，基于所述生成树T构造所述数据结构，所述模式图P和生成树T包括第一节点集{u}，所述数据结构包括第二节点集{v}，所述数据结构存储的所述局部匹配结果包括：基于所述网络拓扑图G和模式图P的所述生成树T的解，以及所述生成树T中所述第一节点集{u}的子树的相应解。

可选的，所述基于所述网络拓扑图G和模式图P构造生成树T，包括：

确定候选边；所述候选边包括：不包括于所述生成树T中的第一边和包括于所述生成树的第二边；

若所述模式图P包含环结构，则通过删除所述第一边来构造所述生成树T。

可选的，所述数据结构包括：集合match(·)排列规则和集合stree(·)排列规则；第一节点u∈{u}，第二节点v∈{v}，所述第一节点u与所述第二节点v相匹配，所述第二节点v为所述第一节点u的候选者节点，所述候选者节点构成集合match(u)，所述候选者节点的子树构成集合stree(u)。

可选的，所述维护模型基于所述模式图P的动态变化更新所述数据结构，包括：

处理所述第二边的***操作，所述***操作具体包括：

所述模式图P中的第一节点u₀，u₀∈{u}，所述第二节点v不是所述第一节点u₀的候选者节点，则所述第二节点v将处于NULL状态；

检查所述集合match(u)中是否存在一条第二边<v,v'>满足v'∈NULL，且所述第二边<v,v'>与第一边<u,u'>匹配，其中u'为新引入第一节点，第二节点v'为所述u'的候选者节点；

若不存在，则从所述集合match(u)中删除所述第二节点v；

若存在，则将所述第二节点v'添加到集合match(u')中。

可选的，所述维护模型基于所述模式图P的动态变化更新所述数据结构，还包括：

处理所述第二边的删除操作，所述删除操作具体包括：

所述第一节点u包括：第一子节点u_c和第一父节点u_p；所述第二节点v包括：第二子节点v_c和第二父节点v_p；所述生成树T包括叶子节点，当所述新引入第一节点u'作为所述叶子节点的第二边<u,u'>时，将所述第二节点v添加到所述集合stree(u)中，对于每一个与所述第二节点v相邻的所述第二父节点v_p满足第二边<v_p,v>与第二边<u_p,u>匹配，若所述第二父节点v_p∈NULL，将所述第二父节点v_p添加到集合stree(u_p)中；

若所述第二父节点v_p∈match(u_p)，将所述第二节点v从所述集合stree(u)移动到所述集合match(u)中；

将所述第二节点v添加到所述集合match(u)中，检查是否存在与所述第一子节点u_c相匹配的所述第二子顶点v_c，若存在则删除在集合match(u_c)的所述第二子节点v_c。

可选的，所述利用所述成本模型计算所述模式图P的最小匹配代价，包括：

假设u_m为当前要匹配的匹配节点，则连接所述匹配节点u_m的代价为：

其中，M_m表示由(u₁,u₂,…,u_m)组成的中间匹配结果的数目，u₁,u₂,…,u_m表示所述模式图P中的待匹配节点，

表示集合match(u_m)中与中间结果M_m-1可连接的节点，r_m则表示所述匹配节点u_m与所述待匹配节点组成的所述第一边的数目；

所述匹配节点u_m可能产生的未来代价为：

其中r_k表示所述待匹配节点除去匹配节点u_m的父节点与所述待匹配节点组成的所述第一边的数目，u_k为没有被访问过的查询图节点，

为一个在d_m ^j中的顶点有一条边满足u_k的第j条所述第一边的限制的概率；

所述匹配节点u_m所产生的估计代价为T＝T'(u_m)+T”(u_m)。

基于同一发明构思，本发明一个或多个实施例还提出了一种面向模式图变化的连续子图匹配装置，包括：

第一构建模块，被配置为基于网络拓扑图G和模式图P构建数据结构，所述数据结构用于存储所述网络拓扑图G和模式图P的局部匹配结果，所述模式图P基于网络攻击模式得到，所述模式图P关联所述网络攻击模式，所述模式图P中包括：节点，所述节点表示网络空间中实体，所述实体包括：IP地址、端口和边，所述边表示所述节点之间的连接关系和所述节点之间进行交互需要符合的运输协议；

第二构建模块，被配置为基于所述模式图P的动态变化，构建维护模型；所述维护模型基于所述模式图P的动态变化更新所述数据结构，以使所述数据结构存储实时局部匹配结果；

第三构建模块，被配置为基于所述模式图P的匹配顺序，构建成本模型；

计算模块，被配置为利用所述成本模型计算所述模式图P的最小匹配代价，基于所述最小匹配代价得到匹配算法；

检测模块，被配置为基于所述实时局部匹配结果和匹配算法获得所述网络拓扑图G和模式图P的最终匹配结果，所述匹配结果包括：当在所述网络拓扑图G中匹配到与所述模式图P同构的模式图或与所述模式图P完全一致的模式图时，则检测到网络威胁；当在所述网络拓扑图G中没有匹配到与所述模式图P同构的模式图或与所述模式图P完全一致的模式图时，则证明不存在网络威胁。

基于同一发明构思，本发明一个或多个实施例还提出了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如上任意一中所述的方法。

从上面所述可以看出，本发明一个或多个实施例提供的一种面向模式图变化的连续子图匹配方法、***及设备，通过研究模式图P发生变化时的子图模式匹配问题，提出一种面向模式图变化的持续子图模式匹配算法，以此为基础，进一步构建了一种精简的辅助数据结构来存储局部匹配结果，并且该辅助数据结构可以进行快速的增量维护。为了获取最终的匹配结果，提出一种有效的价值评估策略，从而缩小子图匹配的代价。实验表明，本发明一个或多个实施例提供的方法从效率和存储开销方面皆优于其他方法，能够解决网络威胁检测的问题，可以监测异常的网络攻击行为，预测即将发生的网络攻击模式，推测网络黑客的攻击目标，直观地，可以通过选择性地删除攻击模式的一些边，来获得可能形成的异常网络攻击模式；通过选择性地在异常网络攻击模式中增加一些边来获取黑客攻击可能影响到的用户。

附图说明

为了更清楚地说明本发明一个或多个实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明一个或多个实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一个或多个实施例中匹配方法的流程示意图；

图2为本发明一个或多个实施例中模式图P的建模示意图；

图3为本发明一个或多个实施例中模式图P、生成树T和数据结构的示意图；

图4为本发明一个或多个实施例中匹配装置示意图；

图5为本发明一个或多个实施例中电子设备示意图；

图6(a)为本发明一个或多个实施例中基于平均运行时间的模式图P中边增加时的有效性评估实验图；

图6(b)为本发明一个或多个实施例中基于中间结果大小的模式图P中边增加时的有效性评估实验图；

图7(a)为本发明一个或多个实施例中基于平均运行时间的模式图P中边删除时的有效性评估实验图；

图7(b)为本发明一个或多个实施例中基于中间结果大小的模式图P中边删除时的有效性评估实验图；

图8(a)为本发明一个或多个实施例中模式图P中边增加带来的影响的实验图；

图8(b)为本发明一个或多个实施例中模式图P中边删除带来的影响的实验图。

具体实施方式

为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。

需要说明的是，除非另外定义，本发明一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本发明一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。

本发明一个或多个实施例提供了一种面向模式图变化的连续子图匹配方法、装置及设备。

参考图1，本发明一个或多个实施例提供的方法，包括以下步骤：

S101基于网络拓扑图G和模式图P构建数据结构，所述数据结构用于存储所述网络拓扑图G和模式图P的局部匹配结果，所述模式图P基于网络攻击模式得到，所述模式图P关联所述网络攻击模式，所述模式图P中包括：节点，所述节点表示网络空间中实体，所述实体包括：IP地址、端口和边，所述边表示所述节点之间的连接关系和所述节点之间进行交互需要符合的运输协议。

本实施例中，参考图2，网络中的攻击模式可以建模为模式图，而攻击模式图中包括：节点，图2中的模式图P包含攻击者节点、受害者节点和多个中间节点，以及多个节点之间的边，例如TCP协议。在网络空间拓扑图中，一个典型的数据模式是由多个节点组成的，节点即表示网络空间中实体。每个实体所代表的IP地址和端口以及实体之间的边，所述边即连接关系，是整个网络空间的重要组成部分，实体节点之间的连接标识表示它们之间的交互需符合特定的运输协议，例如TCP与UDP协议。该数据模式可以直接转换成一个有向图，即网络拓扑图G＝(V,E,L)，其中V是一组顶点模拟拓扑图中的实体节点，顶点是标识IP地址和端口ID具有4个8字节的向量，如“100.110.120.130:80”；E∈V×V是一组边模拟实体节点之间的连接，每个节点都带有用于指定传输协议的分类标签，例如“TCP”；L是标签函数，用于建立边的标签和传输协议之间的映射关系。基于图的方法主要通过在网络拓扑图G中进行模式匹配来实现网络攻击模式的检测任务，找出在网络拓扑图G中与模式图P同构的匹配结果，或与模式图P一致的完整匹配结果。基于网络拓扑图G和模式图P构造生成树T，基于生成树T构造数据结构，模式图P和生成树T包括第一节点集{u}，数据结构包括第二节点集{v}，动态变化的模式图P可以抽象为初始模式图和更新流Δo。Δo表示一个更新序列(Δo₁,Δo₂,...)，其中Δo_i是三元操作<op,u_i,u_j>，op可视为边<u_i,u_j>的***或删除操作，u_i和u_j是模式图P中的节点。将Δo应用于初始模式图，模式图P更新转换为更新模式图P'。需要注意的是，至少存在u_i和u_j中的一个节点在模式图P中，并且当只有一个节点时，例如，节点u_i在模式图P中，节点u_j是由模式图P中的边***引入的新节点。

生成树T包括：确定候选边；候选边包括：不包括于生成树T中的第一边和包括于生成树的第二边。参考图3，(a)中，虚线的边是第一边，其他的边都是第二边，若所述模式图P包含环结构，则通过删除所述第一边来构造所述生成树T，例如删除第一边后，得到了如(b)所示的一个生成树T。数据结构包括：集合match(·)排列规则和集合stree(·)排列规则；match(·)是一个点集，其中包含网络拓扑图G中映射到第一节点u的生成树T的部分解；stree(·)是一个子树集，包含属于第一节点u的子树通过同构模式匹配对应的属于第二节点v的子树，不存在将第一节点u映射到第二节点v得到生成树T的解。第一节点u∈{u}，第二节点v∈{v}，第一节点u与第二节点v相匹配，第二节点v为第一节点u的候选者节点，候选者节点构成集合match(u)，候选者节点的子树构成集合stree(u)。{u}和{v}这两个集合是互斥的。可以直观地发现，前者包含的节点已经在生成树T的解中，而后者包含将来可能在解中的节点。数据结构存储的局部匹配结果包括：基于所述网络拓扑图G和模式图P的所述生成树T的解，以及所述生成树T中所述第一节点集{u}的子树的相应解。

在数据结构中，对于相邻的第一节点u和第一节点u'，当且仅当第二边<v,v'>∈G并且第二边<v,v'>与第二边<u,u'>具有相同标签时，在第二节点v和第二节点v'(即第一节点u'的候选者节点)之间将存在一条第二边。参考图3，(c)标识了(b)中生成树T构造的数据结构，其中第二节点v₃、v₅、v₇、v₉、v₁₁、v₁₃、v₁₄和v₁₆表示stree(·)，第二节点v₁、v₂、v₄、v₆、v₈、v₁₀、v₁₂、v₁₅和v₁₇表示match(·)。(a)和(b)中的u₁为第一根节点，(c)中的v₁为第二根节点，可以看出，第一根节点u₁仅有match(u₁)，因为生成树T是属于在第一根节点u₁的子树。

S102基于所述模式图P的动态变化，构建维护模型；所述维护模型基于所述模式图P的动态变化更新所述数据结构，以使所述数据结构存储实时局部匹配结果。

本实施例中，依靠维护模型来有效地维护数据结构，对于模式图P中的第一节点u₀，u₀∈{u}，所述第二节点v不是所述第一节点u₀的候选者节点，则所述第二节点v将处于NULL状态。如果***或删除的边是第一边，则维护模型不会更新数据结构，因为第一边对数据结构没有影响。维护模型基于所述模式图P的动态变化更新所述数据结构包括：处理边的***操作和处理边的删除操作，更新数据结构后，得到了实时局部匹配结果，通过更新后的数据结构，存储实时局部匹配结果。处理第二边的***操作，考虑一条第二边<u,u'>***生成树T中，其中u'是新引入第一节点，在这种情况下，候选者节点只能从集合match(·)或者集合stree(·)中排除，返回到NULL状态，反之则不返回到NULL状态。为了识别受到影响的候选者节点，通过检查所述集合match(u)中是否存在一条第二边<v,v'>满足v'∈NULL，且所述第二边<v,v'>与第二边<u,u'>匹配，即它们具有相同的标签和相同的边方向，其中u'为新引入第一节点，第二节点v'为所述u'的候选者节点。若不存在，则从所述集合match(u)中删除所述第二节点v，若存在，则将所述第二节点v'添加到集合match(u')中。集合stree(u)或者集合stree(u')可以用相同的方式对应进行更新。更进一步地，当第二节点v被排除在第一节点u的候选者节点之外时，这种更新操作需要在数据结构中向上传播直至根节点，例如(b)中的第一节点u₁表示根节点。考虑第一节点u的第一父节点u_p，如果第二父节点v_p是集合match(u_p)中第二节点v的相邻节点，并且在数据结构中集合match(u)中没有其他与第二父节点v_p相邻的节点，将第二父节点v_p从集合match(u_p)中剔除。

处理第二边的删除操作，需要讨论基于是否删除涉及生成树T的叶子节点两种情况下边的删除，例如(b)中的叶子节点为u₇、u₈和u₉，考虑新引入第一节点u'作为叶子节点的第二边<u,u'>。注意在这种情况下，NULL状态节点只包含在集合match(·)或者集合stree(·)中。第二节点v被添加到集合stree(u)中，只有当第一节点u的每个第一子节点u_c都不是新引入第一节点u'时，才有一个第二子节点v_c成为第一子节点u_c的候选者节点，从而使得第二边<v,v_c>与第一边<u,u_c>匹配。接下来，更新操作需要向上传播到数据结构的根节点。生成树T的状态可能会发生变化，需要对生成树T进行更新。由于节点发生的变化会影响相应的邻居节点，即相邻的节点，从而引发该邻居节点的邻居节点的索引也有可能会发生变化，导致这种影响会逐级扩散下去。因此，此时的影响区域为生成树T中所有节点。假设第二节点v被添加到集合stree(u)中，对于每一个与所述第二节点v相邻的所述第二父节点v_p满足第二边<v_p,v>与第二边<u_p,u>匹配，如果第二父节点v_p∈NULL，将第二父节点v_p添加到集合stree(u_p)中；否则如果第二父节点v_p∈match(u_p)，将第二节点v从集合stree(u)移动到集合match(u)中。另一种将第二节点v添加到集合match(u)中的情况下，检查第一子节点u_c，是否存在与数据结构中的相邻的stree(u_c)中的第二子节点v_c，若存在则删除在集合match(u_c)的所述第二子节点v_c。

考虑不涉及任何叶子节点的第二边<u,u'>，这种类型的第二边的删除将破坏生成树T而不是模式图P的连通性。此时需要对生成树T进行更新，将以新引入第一节点u'为端点的第一边转化为第二边来继续保证生成树T的连通性。因此，与新引入第一节点u'连接任意节点的第一边将成为第二边。在所有第一边中选择一个将新引入第一节点u'连接到更靠近根节点的第一近根节点u”并且使第一近根节点u”具有更小的集合match(·)。然后，对于每个第二近根节点v”∈stree(u”)，检查是否存在一个新引入第一节点u'的候选者节点，即新引入第二节点v'使得第二边<v”,v'>与第二边<u”,u'>匹配；如果不存在，将从集合stree(u”)中排除第二近根节点v”，并进一步检查集合stree(u_p)，而这个更新操作将向上传播直到根节点。

S103基于所述模式图P的匹配顺序，构建成本模型。

本实施例中，现有技术采用的标准回溯是可行的，但是效率很低，这是因为它忽略了可能会极大影响性能的匹配顺序。因此，有必要结合一些价值模型来计算有效的节点匹配顺序。假设总的计算代价与用于确定节点或边是否匹配的比较次数成正比，给定模式图P的一个节点匹配顺序(u₁,u₂,…,u_m)，采用回溯算法所需要的总的计算代价为：

其中M_m表示由(u₁,u₂,…,u_m)组成的中间匹配结果的数目，

表示集合match(u_m)中与中间结果M_m-1可连接的节点，r_m则表示所述匹配节点u_m与所述待匹配节点组成的所述第一边的数目。r_m的数目与实际的匹配顺序有很大的关系。找到所有可能的r_m的数目需要指数型的时间复杂度O(|V_P|！)，因此需要在线优化代价昂贵的T_iso。

S104利用所述成本模型计算所述模式图P的最小匹配代价，基于所述最小匹配代价得到匹配算法。

本实施例中，采用贪婪算法来最小化T_iso的代价，即每一次选择与当前的中间结果连接后代价最小的节点作为当前要匹配的节点。假设u_m为匹配节点，则连接u_m的代价为

选择

的值最小的模式图节点为第一个要匹配的匹配节点，其中deg(u)表示第一节点u的度数。接下来，采用启发式的算法来评估中间结果的数目为

其中

为一个在d_m ^j中的节点，且有一条边满足匹配节点u_m的第j条第一边的限制的概率。然后估算那些未被访问的中间节点可能产生的中间结果的数目。假设u_k为没有被访问过的中间节点，即待匹配节点，则u_k可能产生的中间结果数目估算为

因此，每一个未访问的中间节点产生的中间结果的和，就是所有未访问的中间节点可能产生的中间结果的数目。因此匹配节点u_m可能产生的未来代价为

其中r_k表示所述待匹配节点除去匹配节点u_m的父节点与所述待匹配节点组成的所述第一边的数目。综上所述，匹配节点u_m所产生的估计代价为T＝T'(u_m)+T”(u_m)。

S105基于所述实时局部匹配结果和匹配算法获得所述网络拓扑图G和模式图P的最终匹配结果，所述匹配结果包括：当在所述网络拓扑图G中匹配到与所述模式图P同构的模式图或与所述模式图P完全一致的模式图时，则检测到网络威胁；当在所述网络拓扑图G中没有匹配到与所述模式图P同构的模式图或与所述模式图P完全一致的模式图时，则证明不存在网络威胁。

本实施例中，当基于实时局部匹配结果和匹配算法在网络拓扑图G中匹配到与模式图P同构的模式图或与模式图P完全一致的模式图时，则证明检测到网络威胁；当基于实时局部匹配结果和匹配算法在网络拓扑图G中没有匹配到与模式图P同构的模式图或与模式图P完全一致的模式图时，则证明不存在网络威胁。找出模式图P的最终匹配结果，也就是找出网络拓扑图G中与模式图P同构的匹配结果，或与模式图P一致的匹配结果，这个匹配的过程就是在完成网络威胁监测的任务，预测即将发生的恶意攻击行为并推断黑客攻击的目标，本质上是修改当前模式以及识别新模式的出现。可以看出，这两个任务都归结为匹配变化的模式图的问题，根据网络拓扑图的结构特点，可以通过删除攻击模式图的可选择性边之后得到的模式图P来描述潜在的攻击行为，通过这种方式，一旦发现即将发生的攻击模式，就可以采用抢救措施以避免可能的损失，可以适当地增加当前攻击模式的一些边来寻找被攻击的对象，明确网络黑客的最终目标，而无论是增加边还是删除边，都需要更新数据结构，并获得实时局部匹配结果，通过实时局部匹配结果求得最终匹配结果，因此可以通过本发明一个或多个实施例提供的方法进行***边的操作，预测网络攻击的攻击模式，进行删除边的操作，确定网络攻击的目标，从而完成网络威胁检测的任务。

本发明一个或多个实施例提供的一种面向模式图变化的连续子图匹配方法、***及设备，通过研究模式图P发生变化时的子图模式匹配问题，提出一种面向模式图变化的持续子图模式匹配算法，以此为基础，进一步构建了一种精简的辅助数据结构来存储局部匹配结果，并且该辅助数据结构可以进行快速的增量维护。为了获取最终的匹配结果，提出一种有效的价值评估策略，从而缩小子图匹配的代价。实验表明，本发明一个或多个实施例提供的方法从效率和存储开销方面皆优于其他方法，能够解决网络威胁检测的问题，可以监测异常的网络攻击行为，预测即将发生的网络攻击模式，推测网络黑客的攻击目标，直观地，可以通过选择性地删除攻击模式的一些边，来获得可能形成的异常网络攻击模式；通过选择性地在异常网络攻击模式中增加一些边来获取黑客攻击可能影响到的用户。

需要说明的是，本发明一个或多个实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本发明一个或多个实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。

上述对本发明特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

基于同一发明构思，本发明一个或多个实施例还提供了一种面向模式图变化的连续子图匹配装置，包括：第一构建模块、第二构建模块、第三构建模块、计算模块和检测模块。

参考图4，本装置中包括：

第一构建模块，被配置为基于网络拓扑图G和模式图P构建数据结构，所述数据结构用于存储所述网络拓扑图G和模式图P的局部匹配结果，所述模式图P基于网络攻击模式得到，所述模式图P关联所述网络攻击模式，所述模式图P中包括：节点，所述节点表示网络空间中实体，所述实体包括：IP地址、端口和边，所述边表示所述节点之间的连接关系和所述节点之间进行交互需要符合的运输协议；

第二构建模块，被配置为基于所述模式图P的动态变化，构建维护模型；所述维护模型基于所述模式图P的动态变化更新所述数据结构，以使所述数据结构存储实时局部匹配结果；

第三构建模块，被配置为基于所述模式图P的匹配顺序，构建成本模型；

计算模块，被配置为利用所述成本模型计算所述模式图P的最小匹配代价，基于所述最小匹配代价得到匹配算法；

检测模块，被配置为基于所述实时局部匹配结果和匹配算法获得所述网络拓扑图G和模式图P的最终匹配结果，所述匹配结果包括：当在所述网络拓扑图G中匹配到与所述模式图P同构的模式图或与所述模式图P完全一致的模式图时，则检测到网络威胁；当在所述网络拓扑图G中没有匹配到与所述模式图P同构的模式图或与所述模式图P完全一致的模式图时，则证明不存在网络威胁。

为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本发明一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。

上述实施例的装置用于实现前述实施例中相应的方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

基于同一发明构思，本发明一个或多个实施例还提供了一种电子设备，该电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上任意一实施例所述的方法。

图5示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备可以包括：处理器501、存储器502、输入/输出接口503、通信接口504和总线505。其中处理器501、存储器502、输入/输出接口503和通信接口504通过总线505实现彼此之间在设备内部的通信连接。

处理器501可以采用通用的CPU(Central Processing Unit，中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit，ASIC)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本发明实施例所提供的技术方案。

存储器502可以采用ROM(Read Only Memory，只读存储器)、RAM(Random AccessMemory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器502可以存储操作***和其他应用程序，在通过软件或者固件来实现本发明实施例所提供的技术方案时，相关的程序代码保存在存储器502中，并由处理器501来调用执行。

输入/输出接口503用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。

通信接口504用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信，也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。

总线505包括一通路，在设备的各个组件(例如处理器501、存储器502、输入/输出接口503和通信接口504)之间传输信息。

需要说明的是，尽管上述设备仅示出了处理器501、存储器502、输入/输出接口503、通信接口504以及总线505，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本发明实施例方案所必需的组件，而不必包含图中所示的全部组件。

发明人为了对本发明一个或多个实施例提出的算法进行评估，采用c++实现，并在PC机上进行了实验，配备英特尔i7、3.5ghz CPU和32GB内存。采用数据集和查询模式，即使用了真实的网络安全数据集NetFlow，包含从高速互联网骨干链路监控的匿名被动流量跟踪。为了构建拓扑图，提取了大约1200万条通信记录(即边缘)关于～150万个IP地址(即节点)。由于数据集没有模式图P，所以采用随机游走策略构建所需模式图P。首先制作4个模式类别(A1～A4)，然后提取每个类别20个模式通过随机遍历拓扑图。图案的大小在A1，A2，A3和A4中分别为15,20,25和30。然后对每种攻击模式生成更新流，即每次在保证模式图P连通性的条件下随机删除一条边；随机添加两者之间的边缘断开的节点与随机边缘标签符合均匀分布。模式图P增加边或者删除边的大小不超过模式图P总边数的50％，否则模式的基本特征将会消失。作为实验对比的算法，选用了TurboFlux算法，TurboFlux算法是一种动态图上模式匹配的算法，为了处理模式图P的演化，在更新过程中需要重新计算辅助数据结构；还选用了CFL算法，CFL算法是一种静态图形模式匹配算法，为了处理不断演变的模式图P，它对每次更新的结果进行实时重新计算。参考图6(a)，图中显示了***边带来的影响对比，其中实验将模式大小从15更改为30(A1～A4)，匹配成本并不总是随着模式大小的增加而增加。参考图6(a)，本发明一个或多个实施例提供的匹配算法的性能要优于TurboFlux算法4.36倍，优于CFL算法3.52倍，因为CFL算法需要在线重新计算结果，TurboFlux算法必须重新计算辅助数据结构，代价昂贵。参考图6(b)，显示了部分解的大小，结果表明，本发明一个或多个实施例提供的匹配算法部分结果的大小大于CFL算法，本发明一个或多个实施例提供的匹配算法比TurboFlux算法小。这是因为本发明一个或多个实施例提供的匹配算法和TurboFlux算法保持了子树的部分解每个模式顶点，但CFL不需要存储；此外，本发明一个或多个实施例提供的匹配算法的辅助数据结构表示方法比TurboFlux算法更简洁。

参考图7(a)，显示了三种算法的平均运行时间。本发明一个或多个实施例提供的匹配算法在所有情况下都明显优于TurboFlux算法和CFL算法，本发明一个或多个实施例提供的匹配算法的性能比CFL算法高3.14倍，本发明一个或多个实施例提供的匹配算法比TurboFlux算法高3.43倍。此外，删除操作的平均运行时间非常长这意味着交互式预测潜在攻击的计算开销可能更大。参考图7(b)，显示了部分解即中间结果的平均大小，本发明一个或多个实施例提供的数据结构比TurboFlux算法的数据结构小1.14倍。

参考图8(a)，使用A3作为模式图P，并将其边的数目由3增加到12，每次增加3条边，随着边***量的增加，算法性能呈非指数增长。本发明一个或多个实施例提供的匹配算法的算法性能比CFL算法的算法性能高24.97倍，本发明一个或多个实施例提供的匹配算法的算法性能比TurboFlux算法的算法性能高26.12倍。参考图8(b)，对于删除边，性能差距比增加边要大得多，本发明一个或多个实施例提供的匹配算法的算法性能比CFL算法的算法性能提高22.45倍，本发明一个或多个实施例提供的匹配算法的算法性能比TurboFlux的算法性能提高了29.82倍。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本公开的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本发明一个或多个实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本发明一个或多个实施例难以理解，在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本发明一个或多个实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明一个或多个实施例的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本公开的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明一个或多个实施例。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本公开的具体实施例对本公开进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态RAM(DRAM))可以使用所讨论的实施例。

本发明一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本发明一个或多个实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本公开的保护范围之内。

Claims (10)

1.一种面向模式图变化的连续子图匹配方法，其特征在于，包括：

基于网络拓扑图G和模式图P构建数据结构，所述数据结构用于存储所述网络拓扑图G和模式图P的局部匹配结果，所述模式图P基于网络攻击模式得到，所述模式图P关联所述网络攻击模式，所述模式图P包括：节点，所述节点表示网络空间中实体，所述实体包括：IP地址、端口和边，所述边表示所述节点之间的连接关系和所述节点之间进行交互需要符合的运输协议；

基于所述模式图P的动态变化，构建维护模型；所述维护模型基于所述模式图P的动态变化更新所述数据结构，以使所述数据结构存储实时局部匹配结果；

基于所述模式图P的匹配顺序，构建成本模型；

利用所述成本模型计算所述模式图P的最小匹配代价，基于所述最小匹配代价得到匹配算法；

基于所述实时局部匹配结果和匹配算法获得所述网络拓扑图G和模式图P的最终匹配结果，所述匹配结果包括：当在所述网络拓扑图G中匹配到与所述模式图P同构的模式图或与所述模式图P完全一致的模式图时，则检测到网络威胁；当在所述网络拓扑图G中没有匹配到与所述模式图P同构的模式图或与所述模式图P完全一致的模式图时，则证明不存在网络威胁。

2.根据权利要求1所述的方法，其特征在于，所述模式图P包括：初始模式图和更新流Δo，Δo表示一个更新序列(Δo₁,Δo₂,…,Δo_i…)，其中Δo_i是三元操作<op,u_i,u_j>，op为所述模式图P的边<u_i,u_j>的更新操作，u_i,u_j均表示所述模式图P中的节点。

3.根据权利要求1所述的方法，其特征在于，所述基于网络拓扑图G和模式图P构建数据结构，包括：

基于所述网络拓扑图G和模式图P构造生成树T，基于所述生成树T构造所述数据结构，所述模式图P和所述生成树T包括第一节点集{u}，所述数据结构包括第二节点集{v}，所述数据结构存储的所述局部匹配结果包括：基于所述网络拓扑图G和模式图P的所述生成树T的解，以及所述生成树T中所述第一节点集{u}的子树的相应解。

4.根据权利要求3所述的方法，其特征在于，所述基于所述网络拓扑图G和模式图P构造生成树T，包括：

确定候选边；所述候选边包括：不包括于所述生成树T中的第一边和包括于所述生成树的第二边；

若所述模式图P包含环结构，则通过删除所述第一边来构造所述生成树T。

5.根据权利要求4所述的方法，其特征在于，所述数据结构包括：集合match(·)排列规则和集合stree(·)排列规则；第一节点u∈{u}，第二节点v∈{v}，所述第一节点u与所述第二节点v相匹配，所述第二节点v为所述第一节点u的候选者节点，所述候选者节点构成集合match(u)，所述候选者节点的子树构成集合stree(u)。

6.根据权利要求5所述的方法，其特征在于，所述维护模型基于所述模式图P的动态变化更新所述数据结构，包括：

处理所述第二边的***操作，所述***操作具体包括：

所述模式图P中的第一节点u₀，u₀∈{u}，所述第二节点v不是所述第一节点u₀的候选者节点，则所述第二节点v将处于NULL状态；

检查所述集合match(u)中是否存在一条第二边<v,v'>满足v'∈NULL，且所述第二边<v,v'>与第二边<u,u'>匹配，其中u'为新引入第一节点，第二节点v'为所述u'的候选者节点；

若不存在，则从所述集合match(u)中删除所述第二节点v；

若存在，则将所述第二节点v'添加到集合match(u')中。

7.根据权利要求6所述的方法，其特征在于，所述维护模型基于所述模式图P的动态变化更新所述数据结构，还包括：

处理所述第二边的删除操作，所述删除操作具体包括：

所述第一节点u包括：第一子节点u_c和第一父节点u_p；所述第二节点v包括：第二子节点v_c和第二父节点v_p；所述生成树T包括叶子节点，当所述新引入第一节点u'作为所述叶子节点的第二边<u,u'>时，将所述第二节点v添加到所述集合stree(u)中，对于每一个与所述第二节点v相邻的所述第二父节点v_p满足第二边<v_p,v>与第二边<u_p,u>匹配，若所述第二父节点v_p∈NULL，将所述第二父节点v_p添加到集合stree(u_p)中；

若所述第二父节点v_p∈match(u_p)，将所述第二节点v从所述集合stree(u)移动到所述集合match(u)中；

将所述第二节点v添加到所述集合match(u)中，检查是否存在与所述第一子节点u_c相匹配的所述第二子顶点v_c，若存在则删除在集合match(u_c)的所述第二子节点v_c。

8.根据权利要求4所述的方法，其特征在于，所述利用所述成本模型计算所述模式图P的最小匹配代价，包括：

假设u_m为当前要匹配的匹配节点，则连接所述匹配节点u_m的代价为：

其中，M_m表示由(u₁,u₂,…,u_m)组成的中间匹配结果的数目，u₁,u₂,…,u_m表示所述模式图P中的待匹配节点，

表示集合match(u_m)中与中间结果M_m-1可连接的节点，r_m则表示所述匹配节点u_m与所述待匹配节点组成的所述第一边的数目；

所述匹配节点u_m可能产生的未来代价为：

其中r_k表示所述待匹配节点除去匹配节点u_m的父节点与所述待匹配节点组成的所述第一边的数目，u_k为没有被访问过的查询图节点，

为一个在d_m ^j中的顶点有一条边满足u_k的第j条所述第一边的限制的概率；

所述匹配节点u_m所产生的估计代价为T＝T'(u_m)+T”(u_m)。

9.一种面向模式图变化的连续子图匹配装置，其特征在于，包括：

第一构建模块，被配置为基于网络拓扑图G和模式图P构建数据结构，所述数据结构用于存储所述网络拓扑图G和模式图P的局部匹配结果，所述模式图P基于对网络攻击模式的抽象得到，所述模式图P关联所述网络攻击模式，所模式图P中包括：节点，所述节点表示网络空间中实体，所述实体包括IP地址、端口和边，所述边表示所述节点之间的连接关系和所述节点之间进行交互需要符合的运输协议；

第二构建模块，被配置为基于所述模式图P的动态变化，构建维护模型；所述维护模型基于所述模式图P的动态变化更新所述数据结构，以使所述数据结构存储实时局部匹配结果；

第三构建模块，被配置为基于所述模式图P的匹配顺序，构建成本模型；

计算模块，被配置为利用所述成本模型计算所述模式图P的最小匹配代价，基于所述最小匹配代价得到匹配算法；

检测模块，被配置为基于所述实时局部匹配结果和匹配算法获得所述网络拓扑图G和模式图P的最终匹配结果，所述匹配结果包括：当在所述网络拓扑图G中匹配到与所述模式图P同构的模式图或与所述模式图P完全一致的模式图时，则检测到网络威胁；当在所述网络拓扑图G中没有匹配到与所述模式图P同构的模式图或与所述模式图P完全一致的模式图时，则证明不存在网络威胁。

10.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至8任意一项所述的方法。

Images