1.2.6 图分析技术在网络行为研究中的应用现状

在网络行为分析中，利用图分析技术（Graph Analysis, GA）发现的通信行为关系的本质，可以挖掘来自网络流量的网络通信的信息，发现网络通信中最有影响力的主机节点，聚类发现具有紧密通信的主机群等。CISCO基于图分析识别安全威胁的技术架构，卡内基·梅隆大学（Carnegie Mellon University）组织了致力于网络流量分析会议（FloCon, 2011）之后，开始出现一系列利用图分析技术分析流量数据的研究，如由美国太平洋西北国家实验室于2013年提出采用了图分析技术分析流量的思路、基于图特征角色挖掘的网络安全应用技术等研究工作。林肯实验室（MIT Lincoln Lab）于2013的SIAM会议中指出将大规模图分析技术应用于网络安全领域，其优势是能够从大规模、多源和噪声数据中发现微妙的模式，从而实现网络攻击和恶意软件的检测。

1.网络分析技术在流量网络行为分析领域

针对高速网络环境数据包检测方法具有局限性，以及网络流特征数量少以至于描述网络行为具有局限性等问题，研究者基于图分析技术定义了流量图（Traffic Activity Graph, TAG）的研究方法。Jin和Sharafuddin等人提出使用流量图标识网络行为，构建了一种基于TNMF分解提取核心主机的交互模式和其他结构属性的流量统计图分解技术。Francois等人定义了利用Flow构建图分析网络通信模式，通过基于密度的聚类算法——DBSCAN（Density-Based Spatial Clustering of Applications with Noise）算法对权威分值（Authority）和中心分值（Hub）两个特征聚类，利用图的Authority和Hub特征值检测僵尸网络。Ishibashi等人指出目前大量研究都是基于时间序列分析数据量、数据包和字节数等特征的异常检测方法，没有将基于时间序列的通信模式描述为图模型的异常检测方法，首次定义了两个图的相似性和检测异常图的方法以识别低强度的网络异常事件。Ding等人利用图的方法分析网络通信以识别恶意网络源。Noble等人定义了结合图理论描述SSH通信，建立了时间特征的图数据模型，通过统计方法预测未来流量以检测时间相关的异常。Iiofotou等人着重分析图的度分布、连通分量个数等特征。Collins等人研究了图连通总数及其随时间变化的属性。

2.图分析技术在网络个体网络行为分析领域

使用图数据表示网络具有得天独厚的优势。随着流量分析技术和方法的发展，用户个体行为画像通过操作主机以流量基本属性描述逐渐不能满足实际应用的要求，为了用有限的数据源获取更多的个体画像特征，大量研究者开始探索，通过属性关系图（或称为Graphlet关系图）表示、挖掘个体画像的行为模式。这个关系图中的列数由采用的元组数决定，每个元组位于这个图中的一列，相邻两列的节点存在连接关系，不相邻列的节点之间没有连接关系。Graphlet关系图最初是由Karagiannis等人在研究流量应用分类时提出的用于解释不同类型的应用的一个描述方法，描述某个主机节点与其他节点之间的连接模式，采用的四元组为源IP地址、目的IP地址、源端口号和目的端口号，实现了以可视化方式刻画FTP、P2P、Mail、Web、DNS服务器和网络攻击等。随后Karagiannis等人对属性关系图展开了研究，此时采用五元组刻画主机画像，并检测异常用户事件，在后面的研究中，还扩展为6列，研究成果表明该方法适用于行为画像构建和检测画像特征的变化。由于采用Graphlet描述的主机画像是已知的、预定义的、典型的行为模式，因此无法识别未定义类别，Himura等人通过抽取主机Graphlet的特征并进行聚类，再从每个类重建概要Graphlet信息，实现流量分类和识别新应用，实验结果表明优于有监督的Graphlet方法（BLINC）、基于端口号和基于负载的研究方法。Promrit等人在研究中引入了时间轴和平行坐标，量化可视化主机通信行为，利用朴素贝叶斯分类器对流量进行分类，并实现了网络取证分析。Bocchi等人选择了图结构特征、HTTP、DNS和主机名文本特征，通过分析恶意流量行为的延续性，提出了基于协议交叉的MAGMA检测方法，但可检测异常仅有DDoS攻击。Mongkolluksamee等人通过抽取Graphlet属性和数据包大小分布属性，在3分钟内随机选择50个数据包就能够精确识别移动网络的应用类别。Glatz等人根据柏克利套接字中关于网络连接应用的基本描述，利用五元组属性建立Graphlet关系图，将终端主机作为开始和结束的图节点，感知用户事件驱动下主机行为的态势，但并未对Graphlet量化进行研究。

由此可见，利用图的研究成果，可以更加深刻地认识主机之间通信模式的复杂性，对于网络分析人员认识网络行为的各种表现和网络事件具有重要的意义。以可视化的图形式研究网络通信的复杂系统，可以加深人们对网络交互行为的深入理解。

3.图分析技术在角色行为分析中的应用研究

研究者基于图分析技术提出了流量行为图（Traffic Activity Graph, TAG）的研究方法。Eberle W使用流量图标识网络流量行为实现内部威胁检测，构建了一种主机交互模式和其他结构特性的流量统计图分解技术。Ding等人利用流量图的建模方法分析用户主机的交互行为，实现恶意用户源的识别。Glatz等人建立了以终端主机作为开始和结束节点的五分图，分析用户主机的网络行为，研究结果显示能够区分常见的主机角色，如客户端、服务器（如80端口开放的TCP的服务器）、P2P角色（端口号多数大于1024，或者与远程主机通信会同时使用TCP和UDP）。Pacheco等人在流量分类研究中指出，聚类思路有利于在网络流量中发现一些新型异常行为，在这一领域的研究应该得到扩展。我们采用角色分组也正是采用主机行为聚类，为每个主机标记角色，探索发现新的角色或者主机角色的异常偏离的方法。Paudel等人利用主机类别和通信关系构建图，通过基于图的方法识别刚刚开始的DoS攻击。

综上，现有研究成果显示，基于网络行为分析的异常检测方法可以更好地捕获网络流量数据，并基于流量特征和机器学习算法进行一系列的分析和处理，对网络中的主机进行分类，从而描述主机的角色行为属性及其角色行为的轮廓基线，获得更高的检测准确率。

4.图分析技术在主机群网络行为分析领域

图的动态演化本身即是群体行为分析的重要研究领域之一。Girvan和Newman等人提出了节点簇检测方法后出现了大量关于群体行为识别方法。Casas等人利用边界流量构建二分图，开发了网络异常检测和隔离算法，以处理大规模网络的异常识别。Barabâsi等人重点关注节点度分布、聚类系数等属性，用于分析、解释和建模群体动态演化事件的研究，此时研究者较少关注节点簇发现和整个动态图的演化过程。Chakrabarti等对节点簇聚类结构的动态演化规律进行了研究。Chen等人提出了一种无参数和可扩展的算法，可以检测6种基于节点簇的演化事件，包括生长、萎缩、合并、分裂、出生和消失，实验验证了算法的可用性和有效性。尤其值得关注的是Granell等人提出的一个描述节点簇演化事件的通用框架，该框架已经广泛应用于生物医学、社交网络、学术论文应用分析等领域。Zhu等人利用基于图演化理论提出了“复杂网络的度、网络涵盖的边、网络中的三角形数量”等3个关键的演化事件特征来分析节点簇结构变化，系统阐述了节点簇处于演化事件时其网络结构的变化过程，进而能够有效探测群体行为的发生。Jakalan等人利用边界流量构建二分图，采用节点簇的图聚类方法，发现具有紧密交互关系的用户主机，并能够识别异常用户IP地址。

综上所述，图分析技术已广泛应用于各个研究领域，如计算机视觉、自然语言处理、检测欺诈、网页排名和推荐系统等，它提供了一种强大的方式来表示和利用数据之间的连接，并从这些有关联的数据集中抽取出有价值的信息，使人们更加深入地理解数据。