余北缘1 曾广杰2 彭浩1 刘建伟1 李洪亮3 谭学士3
(1. 北京航空航天大学网络空间安全学院,北京 100191;2. 北京航空航天大学计算机学院,北京 100191;3. 奇安信科技集团股份有限公司,北京 100088)
摘 要随着Web服务应用功能的不断扩展,其面临的安全威胁日益严峻,对服务安全性与可靠性的要求也逐步提高。在服务资源规模持续增长的同时,攻击面不断扩大,攻击者的能力不断增强,使得未知威胁与群体性攻击逐渐增多。特别是在实际网络环境中存在大量无标签流量数据的情况下,实现Web服务流量的轻量化交互关系表征、有效检测多源威胁,以及在无标签环境下构建具备良好的可解释性的检测模型,成为突破当前安全瓶颈的关键。为此,提出了一种基于流量分析的轻量化流量交互图构建方法,以实现高效表征。通过引入结构熵博弈划分机制,实现了对流量交互图社区的自适应划分。在此基础上,通过分析社区子图的拓扑特性,并借助图指标排序识别关键社区。进一步提出了一种基于Z分数的威胁顶点自适应检测方法,以有效识别关键社区中的高威胁顶点。同时,提出基于结构熵的群体威胁检测方法,以精准发现群体威胁实体。该方法无须依赖先验知识与数据标签,兼具对未知威胁的适应能力、对加密流量的鲁棒性、模型的可解释性。在公开数据集与实际网络流量数据上的测试结果表明,该方法能够有效识别多种威胁Web服务可用性的实体与攻击行为,具有较高的检测准确率和实际工程应用价值。
关键词Web安全;威胁检测;流量交互图;结构信息理论
DOI:10.11959/j.issn.2096-109x.AQ25264
引用格式:
余北缘, 曾广杰, 彭浩, 等. 基于流量交互图分析的Web服务威胁检测方法[J]. 网络与信息安全学报, 2026, 12(2): 41-54.
Yu B Y, Zeng G J, Peng H, et al. Web service threat detection method based on traffic interaction graph analysis[J]. Chinese Journal of Network and Information Security, 2026, 12(2): 41-54.
0 引言
为应对Web服务功能扩展带来的安全挑战,尤其是在无标签流量数据环境下实现高效、可解释威胁检测的迫切需求,基于图分析的威胁检测技术因能够表征实体间的交互关系、揭示群体性攻击模式而受到学术界与工业界的广泛关注。然而,现有方法在应用于实际Web服务环境时仍存在若干局限:其一,依赖高复杂度的全图分析,计算开销过大,难以满足实时响应要求,存在明显的性能瓶颈;其二,过度依赖标注数据与先验知识,导致其在面对未知威胁时泛化能力不足;其三,缺乏对异常子图的安全语义解释,难以为安全研判提供有效支撑,致使检测与研判环节脱节。
针对上述挑战,本文提出一种基于流量交互图分析的威胁检测方法,基于结构熵的社区攻击与恶意流量检测(SECAMTD)。该方法立足于Web服务部署的网络交互整体视角,旨在系统识别针对Web服务的潜在攻击实体及其构成的协同威胁群体。具体而言,首先构建轻量化流量交互图,在保留Web服务通信关键特征的基础上压缩图规模,从而捕捉攻击行为的结构化模式;然后引入基于结构熵的博弈划分机制,实现社区的自适应发现,并依据社区子图属性识别高风险子图;接下来采用PageRank算法评估顶点的影响力,结合结构熵特征定位潜在威胁群体及高风险威胁顶点;最后通过聚焦高影响力顶点及其关联子图结构,实现对威胁实体的精准检测与图结构层面的行为解释。实验结果表明,该方法在多威胁场景下不仅具备较高的检测效率,还能够从理论和实际交互关系两个层面提供直观的可解释依据,从而为威胁分析与研判提供有效支撑。
本文的主要贡献如下。
1) 提出基于流量交互图分析的Web服务威胁检测方法SECAMTD。该检测方法通过构建轻量化流量交互图,实现了对Web服务加密流量的高效表征,并在开源数据集上完成了验证测试。实验结果表明,该检测方法在保持Web威胁高检测精度的同时,在安全外壳(secure shell, SSH)暴力破解数据集上的F1分数较最优基线方法提升约28%,在恶意软件活动检测任务中的表现更优(F1分数较最优基线方法提升约7%);此外,在Web攻击与暴力破解等检测场景中,该检测方法的检测耗时较基线方法平均减少约90%。
2) 提出一种基于图指标排序的关键社区识别方法。该识别方法能够从复杂的流量交互图中自动识别并定位关键社区,通过关联社区发现与威胁检测,在图结构层面为检测结果提供可解释的依据,增强了模型的安全语义可理解性。
3) 提出一种融合Z分数与图结构熵的无监督威胁检测方法。该检测方法能够从流量交互图中同步识别威胁顶点与攻击群体,有效提升对复杂威胁活动的研判与处置能力。在真实网络环境中的部署验证结果表明,所提方法的检测结果(验证通过率达98.06%)可与现有规则引擎形成互补,能够在无标签数据场景下增强实网的安全防护能力。
1 相关工作
1.1 基于签名规则的威胁检测技术
基于签名规则的威胁检测是Web安全领域的传统技术,它通过预定义特征实现对已知威胁的识别。Bronte等[1]采用遗传算法实现签名的自动变形,进而完成对常见Web攻击的检测。Díaz-Verdejo等[2]在真实Web攻击数据集上系统评估了多种基于规则签名的入侵检测系统的检测率与误报率,指出了入侵检测系统默认规则存在的局限性。Yang等[3]借助轻量级分类与字符过滤高效筛选良性流量,结合语法分析,解决了传统规则对混淆攻击检测能力不足的问题。在3 500个Web漏洞测试用例的实验中,该方法的表现优于部分商用入侵检测系统。
随着Web技术逐步部署加密基础设施,基于规则的检测方法在实际应用中暴露出诸多局限,包括对加密流量的解析能力有限、高度依赖签名库的持续维护及对未知威胁的检测能力不足等。
1.2 基于机器学习的威胁检测技术
基于机器学习的威胁检测技术通过数据驱动模型实现威胁的自动识别。Kumar等[4]使用卷积神经网络将跨站点攻击脚本字符转换为特征矩阵以完成特征的自动提取,实现了98.62%的威胁检测准确率。Alazab等[5]通过分层特征提取、信息增益特征选择及数据平衡策略,结合支持向量机模型实现对JavaScript恶意样本的检测。Zhou等[6]通过编码器提取超文本传输协议(hypertext transfer protocol, HTTP)请求载荷特征,结合深度学习方法从数据分布角度估计不确定性,从而实现对Web攻击威胁的检测。基于机器学习的威胁检测方法对部分未知攻击具备一定的检测能力,但在Web服务场景落地时仍面临明显挑战:一方面,模型依赖高质量标注数据与复杂的特征工程;另一方面,模型可解释性较差,不利于Web攻击事件的溯源分析与应急响应处置。
为提升检测结果的可解释性,捕捉实体间的复杂交互关系并提取结构化模式,基于图机器学习的威胁检测方法得到广泛研究与应用。Song 等[7]借助程序依赖图和JavaScript语义切片,结合双向长短期记忆网络,实现了恶意脚本的检测。Liu等[8]将HTTP隧道流量检测转化为异构信息图顶点分类问题,并引入层次注意力机制自动学习顶点的重要性,使其在流量整形与噪声干扰环境下仍能保持较高的检测性能。Karbab等[9]基于IP地址白名单对恶意软件与交互实体间的通信模式进行建模,构建恶意软件交互图,并采用Louvain算法实现恶意软件社区的有效检测。Li等[10]设计交互行为图对网络通信行为进行表征,通过学习局部交互特征,实现了对加密流量的有效分类。
2 本文方法
2.1 架构设计
在Web服务环境下,将系统抽象为由通信实体及其交互关系构成的流量交互图
,具体定义如下。
1) 实体:Web服务运行所依赖的基础网络设备(如Web应用服务器、负载均衡器),对应交互图中的一个顶点
。
2) 交互关系:若实体
与
之间存在流量交互,则在两者之间构建一条连边,
。
3) 权重
:以实体间的交互数据量的聚合值作为图边的权重。
与依赖IP地址白名单预过滤或预定义资产标签的方案不同,本文通过全量实体建模消除对先验知识的依赖,有效规避了标签更新滞后导致的检测盲区。区别于构建高维异构图的思路,本文采用同质化建模策略,通过降低构图的复杂性,实现了对跨协议、跨业务通用通信模式的抽象,在提升大规模图计算效率的同时,增强了模型对网络环境动态变化的鲁棒性。此外,本文主动避免采用复杂的流方向、包级时序等细粒度特征,转而通过宏观流量交互强度的聚合实现对交互行为的建模。该方法不但能够实现对海量报文的结构化压缩,而且由于不依赖应用层载荷,能够有效适配加密流量环境,解决了传统特征在加密背景下失效的问题。
所提方法的核心检测目标是识别并定位Web服务部署网络中活跃的威胁实体:在交互图
中,非空顶点子集
表示潜在的威胁实体集合,其包含的顶点
均存在威胁行为。
SECAMTD的总体框架如图1所示。首先,解析原始流量,提取并聚合通信模式以构建流量交互图。其次,基于结构熵博弈划分机制识别图中的社区结构,并过滤微社区以降低临时性交互干扰。然后,依据预定义的图结构属性指标对社区子图进行排序,筛选出最具分析价值的关键社区子图,从而避免对全量社区逐一开展深入研判。通过结构指标排序实施关键性分析,既能有效消除海量常态化业务背景的干扰,又能将有限的分析资源聚焦于拓扑结构最复杂的疑似威胁群体。最后,通过分析关键社区子图中的顶点影响力,实现对潜在威胁实体的检测;同时,构建二维社区编码树以度量关键社区子图的动态不确定性,进而实现对威胁群体活动的检测。
图1 SECAMTD的总体框架
2.2 相关定义
结构信息理论由Li等[11]提出,其核心概念为结构熵。本质上,结构熵衡量的是在图随机游走过程中,确定顶点所对应的K维编码所需的最小信息量(即最小位数)。该层级编码体系通过编码树实现具体表征。对于给定的图,其编码树是一棵具有层级结构的根树,并满足以下性质:①根节点
所关联的节点的顶点集为全体顶点集,关联的点集表示为
;②每个叶节点
仅关联单个顶点,记该顶点为
,其中
;③非根非叶节点
所关联的顶点集
是其父节点
对应集合的子集,满足
;④对于每个非叶节点,其子节点表示为
,其第i个子节点为
,所有节点子集
均不相交并覆盖。
在无分层分区结构的前提下,一维结构熵能够对图的动态不确定性进行度量,其计算过程如式(1)所示。
 | (1) |
其中,
表示顶点的加权度,
表示图的体积。一维结构熵通过顶点在随机游走过程中的稳态概率
,量化单一层级下节点编码所需的不确定性。
对于编码树
中的非根节点,其对结构熵的贡献为从父节点分区定位到当前分区所需的不确定性,其定义见式(2)。
 | (2) |
其中,
表示分区的体积,
表示连接中每个顶点与外部顶点的割边总权重。
表示通过随机游走进入该分区的概率。
-维结构熵定义为在高度不超过的编码树中,所有非根节点贡献之和的最小值,如式(3)所示。
 | (3) |
其中,
为所有高度不超过的编码树构成的集合。
2.3 流量交互图的构建
本文首先对网络流量进行采集与预处理,并在此基础上构建流量交互图。在流量交互图中,每个IP地址被抽象为一个顶点,用于表征网络中的通信实体。为降低图结构的复杂度,将每个实体关联流量会话内的数据按照IP地址与通信方向进行聚合,进而构成代表实体间具体交互关系的图边;同时,提取并聚合网络交互过程中传输的数据包长度,以此刻画实体间的交互强度。
设
表示所有捕获的网络流量集合,每个流量实例
使用三元组
表示,即
。其中,
表示协议版本,
和
分别表示流量的源IP地址和目的IP地址。此外,每个流量条目还包含传输数据长度度量
。为提高流量处理效率,本文基于三元属性构建了一个哈希函数,用于构建哈希表
。对于任意服务流量数据
,其哈希值计算如式(4)所示。
 | (4) |
基于哈希值将流量数据集划分为若干流量分组集合
。映射关系如式(5)所示。
 | (5) |
其中,满足
,
。每个键
对应一个交互标识符,通过键索引的值对应该交互的流量特征。则表示流量数据的数据包长度。算法1描述了构建算法。
算法1 构建算法
1) Require:
2) for in do
3) 
4) 
5) if in
6) 
7) else
8) 创建
9) 
10) 
11) 
12) 
13) end if
14) 返回
基于,本文采用算法2构建一个结构紧凑且语义一致的轻量化流量交互图,该流量交互图满足同构图性质,为后续的图预处理奠定基础。
算法2 流量交互图构建算法
1) Require:
2) 
3) 
4) for in do
5) 
6) 
7) 
8) 
9) 
10) end for
11) 返回
2.4 图预处理
在预处理后的流量交互图上,本文应用结构熵理论进行非重叠社区检测。该方法通过迭代最小化流量交互图的结构熵,直至达到纳什均衡[12],从而实现对图的稳定划分。基于结构熵博弈划分机制能够有效地将流量交互图划分为若干社区,显著简化后续的威胁识别过程。此外,本文引入了微社区过滤策略,用于去除规模较小或缺乏代表性的低相关性子图。
2.4.1 基于结构熵博弈的社区检测
为识别复杂网络流量交互图中的高密度连接子结构,本文采用基于结构熵博弈划分机制的CoDeSEG方法[13]执行流量交互图社区检测任务。设图的社区划分为
,则图的二维结构熵定义如式(6)所示。
 | (6) |
其中,
表示顶点
的度,
表示整个图的体积,
表示社区
的体积,
表示社区割边权重。该方法的创新在于构建了以流量交互图二维结构熵最小化为目标的潜在博弈框架。与Louvain等侧重于局部连接密度的传统方法不同,CoDeSEG利用结构熵对网络动态不确定性的表征能力,实现对社区的自适应检测。设
为执行顶点迁移策略前的社区划分,
为执行顶点迁移策略后的社区划分。该方法通过关联顶点迁移策略与二维结构熵函数的变化量
,在确保算法收敛至纳什均衡点的同时,通过缓存社区体积、割边权重等统计量实现了常数级效用计算,有效兼顾了检测精度与大规模网络的实时性需求。
该方法主要包含以下4个关键步骤。
1) 初始化:每个顶点初始被视为一个独立的社区,其社区体积和割边信息基于顶点度数进行初始化。
2) 社区重分配:每个顶点作为博弈参与者,通过启发式函数
计算留在当前社区、转移至相邻社区、独立为新社区3种策略对应的结构熵变化量。顶点选择能够最大程度地降低全局结构熵的策略,优先转移至使结构熵减少最多的相邻社区,实现社区划分的迭代优化。
3) 社区统计信息更新:待顶点迁移后,算法实时更新源社区与目标社区的体积和割边统计数据,以准确反映结构变化。
4) 迭代终止:迭代执行步骤2)与3),直至顶点归属不再变化或结构熵的变化量低于预设阈值
。
结构熵博弈划分机制的时间复杂度为
,其中
为迭代次数,
为最大顶点度,
为图所包含的顶点数。该机制具有近线性的计算效率,适合对轻量化流量交互图进行实时社区检测。
2.4.2 基于规模的社区过滤策略
由于复杂流量交互图中的连接模式具有高度的异质性,社区检测所生成的图划分结果中往往包括大量顶点数量极少的小规模子图(即微社区)。这类微社区规模小且结构离散,缺乏代表性,成为制约后续社区排序与威胁检测效率的瓶颈。
为提升分析效率与检测结果的有效性,本文引入了一种基于规模的过滤策略,仅保留满足最小规模要求的社区子图。具体过滤标准如式(7)所示。
 | (7) |
被过滤为
,满足
。该策略通过剔除由噪声或临时性连接模式产生的小规模社区[14],有效降低了图结构的复杂性。图2展示了微社区过滤的过程。
图2 微社区过滤
2.5 关键社区识别
本节通过分析流量交互图各社区子图的连接性、交互强度等指标,识别流量交互图中的关键社区。
2.5.1 基于图指标的诱导子图排序方法
本文使用图指标对经过微社区过滤后的
进行排序,筛选可能包含威胁行为的社区子图用于执行后续威胁检测任务。
为评估和排序各社区的诱导子图[15],本文引入以下3个关键指标,旨在无监督条件下刻画社区的结构特征及其潜在威胁程度。
1) 社区内的平均度数:衡量社区内部顶点的平均连接数,反映其内部的连通性水平。该指标有助于识别结构紧密的社区,即成员之间存在较强结构关联的子图。
2) 社区内的平均边权重:表示社区内部边的平均权值,刻画顶点间交互的强度。该指标有助于辨别交互频繁或信息流密集的社区。
3) 社区规模:社区中包含的顶点数量,用于估计其在整体网络中的相对体量与潜在影响范围。
2.5.2 基于排序的关键社区识别方法
图指标为社区的结构性分析提供了量化依据。在此基础上,本文引入社区排名机制,旨在识别并优先处理最具信息价值的社区诱导子图,从而提升威胁检测效率。
对于每个社区
,先计算其对应各项图属性的综合分数
以生成社区子图的整体评分,再提取评分排名前
位的社区构建Top-k社区集合
,满足
。
中的社区子图将作为后续威胁检测任务的重点分析对象。图3展示了一个
的关键社区的识别流程。
图3 关键社区识别流程
2.6 基于关键社区的威胁检测
为实现对关键社区中高影响力顶点的识别,以支持威胁实体检测,本文基于PageRank算法[16]对顶点的重要性进行建模。该方法将边视作顶点之间的信任投票,顶点的重要性由其所在社区内部的连接结构与交互强度共同决定。
2.6.1 基于Z分数差异的威胁顶点检测
首先,将所有经特定图指标进行Top-k排序后得到的关键社区
所对应的诱导子图
合并为一个总图
,满足
及
。
在合并图
上,顶点
的PageRank得分计算如式(8)所示。
 | (8) |
其中,
表示在图中与顶点相邻的全部顶点的集合,
表示顶点在中的出边数量。通过顶点PageRank计算过程,能够在合并图中量化各顶点的相对重要性,从而识别在多社区交互中发挥核心作用的实体。该识别机制为后续恶意行为的定位与深入分析提供了结构性支持和决策依据。
基于合并图计算得到的PageRank分数,本文提出了一种自适应阈值方法,用于自动检测潜在的恶意顶点集合。该方法利用PageRank值在合并图内的分布特性,实现威胁检测。
具体而言,首先计算合并图中顶点PageRank值的全局均值
与标准差
。其中,全局均值按照式(9)进行计算,标准差按照式(10)进行计算。
 | (9) |
 | (10) |
随后,基于全局均值和标准差对合并图中所有顶点的PageRank值进行Z分数标准化处理,以消除尺度差异并突出相对异常值。计算公式如式(11)所示。
 | (11) |
在完成Z分数标准化后,将所有顶点按照其Z分数进行降序排列,得到有序顶点序列
,且满足条件
与
。接着计算差分序列
,用于刻画有序序列中相邻顶点Z分数之间的成对差异。计算公式如式(12)所示。
 | (12) |
为识别Z分数分布中最显著的跃迁位置,基于差分序列确定其最大差值所对应的索引
,其计算过程如式(13)所示。
 | (13) |
索引为Z分数序列中下降最陡的拐点,反映了高排名与低排名顶点之间的自然分界,有助于自动确定潜在异常顶点的分布阈值。自适应阈值
计算差分序列最大间隙处相邻两顶点Z分数的平均值,求解过程如式(14)所示。
 | (14) |
基于所确定的自适应阈值,识别潜在威胁顶点集合
。分析关键社区子图的结构连通性与交互强度,识别与恶意流量活动相关的威胁群体。该集合包含在影响力上表现出显著异常的顶点,为后续威胁处置提供了参考。图4展示了基于Z分数差异的威胁检测过程。
图4 基于Z分数差异的威胁检测
该合并图由两个关键社区诱导子图
和
构建而成,为网络中潜在威胁的识别提供了全局统一视角下的分析与检测能力。在成功识别出影响力大的潜在威胁攻击源后,可以据此实施针对性的防御措施(包括阻断其关联流量、隔离所在社区或增强监控)。
综上所述,通过将PageRank算法引入关键社区诱导子图的影响力分析,本文实现了图结构指标与Web服务威胁检测的有机结合。在系统化检测独立威胁活动的同时,能够依据图拓扑与影响力分布对威胁判定结果进行归因分析,从而为威胁处置决策提供明确依据。
2.6.2 基于结构熵的群体威胁检测
基于顶点重要性的分析方法难以揭示群体威胁。为应对这一挑战,本文引入结构熵图结构度量方法用于刻画关键社区子图的结构不确定性。该方法能够有效捕捉威胁交互行为引发的图结构异常,有助于揭示隐蔽的威胁模式,并辅助实现复杂群体威胁的检测。对于更加复杂的威胁方式(如僵尸网络活动、恶意软件传播),其攻击行为通常呈现为结构高度复杂、节点连接密集且分布不规则的社区级模式[17]。为此,本文基于社区结构熵对威胁群体活动进行识别。具体而言,对排名前Top-k的社区诱导子图
进行结构熵分析,量化由威胁行为引发的动态不确定性。通过分析
的结构熵,识别偏离正常阈值
的图结构,从而有效定位
。图5展示了基于结构熵分析的威胁社区检测过程。
图5 基于结构熵分析的威胁社区检测过程
3 测试验证
3.1 本地测试
3.1.1 本地威胁检测测试配置
(1)硬件与软件环境
在硬件环境方面,本地威胁检测测试在操作系统为MacOS Sonoma 14.6.1的2021款MacBook Pro上开展。该设备搭载Apple M1 Pro处理器(10核心,包括6个性能核心和4个能效核心)、16核GPU,配备16 GB内存及1 TB固态硬盘,可为大规模图数据的高效并行计算提供支持。
在软件环境方面,本文所提检测方法基于Python 3.12.7实现,采用NetworkX 3.3库构建流量交互图。社区检测模块采用开源C++版本的CoDeSEG算法,通过GNU Make 3.81编译为可执行文件进行调用。
(2)数据集
本地威胁检测测试使用HyperVision[18]数据集进行评估。该数据集涵盖多种网络协议的流量数据,覆盖Web服务、在线服务器、内网等场景,为验证本文所提检测方法的鲁棒性与通用性提供了有效支撑。在数据预处理阶段,通过预定义规则对采集的原始流量数据进行预处理,移除具有明显攻击模式的流量样本,以提升数据质量。该数据集包含以下3类典型威胁流量。
1) Web服务攻击流量:该类流量包括结构化查询语言(structured query language, SQL)注入、跨站脚本、跨站请求伪造攻击[19]和WebShell攻击等行为。
2) 暴力破解攻击流量:攻击者通过凭据采集获取Web服务器的未授权访问权限,危害Web服务的可用性。暴力破解攻击流量主要包括SSH端口扫描、SSH口令破解及安全套接字层(secure socket layer, SSL)扫描等类型。
3) 恶意软件攻击流量:通过重放多个公开恶意软件流量数据[20]构建而成,涵盖对等网络(peer-to-peer, P2P)病毒感染、垃圾邮件发送等恶意行为。
本地威胁检测测试所使用的数据集信息见表1。
表1 本地威胁检测测试数据集信息
(3)基线模型和评价指标
为评估本文模型在不同场景下的检测性能与泛化能力,研究人员选取了以下3种具有代表性的基于图的威胁检测模型作为对比基线。所有基线模型均基于本文构建的流量交互图开展威胁检测。
1) K-means模型:该模型采用无监督聚类算法[21],需要预先设定簇的数量,并初始化各个簇的质心,然后通过欧几里得距离度量将数据样本划分为多个球形簇。通过这种方式,K-means将特征相似的数据点聚集在以均值向量为中心的簇中,适用于识别特征分布相对规则的攻击行为。
2) 脱氧核糖核酸(DNA)模型:该模型采用基于字符串的序列建模方式。具体而言,首先将顶点之间的交互行为编码为类似DNA序列的符号串,然后通过计算序列之间的相似度来衡量不同顶点在行为模式上的一致性[22]。DNA模型能够有效识别具有高度相似交互模式的实体簇,适合检测具有周期性规律或高度伪装特征的攻击行为。
3) ToGather模型:该模型采用基于图理论的威胁建模方法。该模型首先依据实体标签从样本中提取关键网络属性,结合噪声过滤与白名单对比机制,构建具有上下文语义的威胁网络;随后,在该网络基础上应用社区检测算法,实现对潜在威胁簇的识别[23]。
本文基于HyperVision数据集开展测试。鉴于该数据集提供了流量标签,为方便评估所提模型的威胁检测性能,本文采用宽松实体映射策略进行标签对齐。具体而言,若模型将实体
判定为恶意,则将实体在整个评估周期内发送的所有流量均判定为威胁,并将其与数据集的真实标签进行比对,从而验证检测结果的准确性。本文选取准确率、F1分数作为评估指标,旨在从不同维度定量分析各模型在Web服务威胁检测任务中的性能表现。
(4)图变体模型
为评估所提模型中流量交互图的构建策略对整体威胁检测性能的影响,本文设计了3种图模型变体,并通过消融实验对其进行系统分析。各变体在图构建方式或检测流程上进行了局部调整,旨在量化图构建策略与检测方法对模型整体性能的贡献程度。
1) 不聚合双向边(NB)变体:该变体在构建流量交互图时,不对双向会话流进行边聚合操作,从而保留了原始流量的方向信息。所得图为加权有向图,用于评估边方向性对威胁检测性能的影响。
2) 不聚合边权重(WEW)变体:该变体将流量交互图转换为无权图,通过去除边权重以探究其在网络威胁行为表征与威胁检测中的作用,从而评估权重特征对检测性能的贡献。
3) PR变体:该变体仅在流量交互图上应用PageRank算法进行顶点影响力分析,而不引入基于结构熵的群体威胁检测模块。该设计旨在考察单一顶点影响力特征在缺乏社区上下文信息时的威胁检测能力。
3.1.2 本地威胁检测测试
研究人员使用Web服务攻击流量对所提模型进行评估,Web威胁检测结果见表2。结果表明,本文模型在威胁检测效果上与K-means基线方法表现相当,验证了所构建的流量交互图在保留威胁特征方面的有效性。DNA模型在WebShell数据集上将流量交互图中的所有顶点均判为恶意。ToGather模型在所有Web攻击流量数据集构建的交互图中均未检测到威胁顶点,故未在表2中列出其检测结果。
表2 Web威胁检测结果
研究人员使用暴力破解攻击流量对所提模型进行评估,暴力破解威胁检测结果见表3。结果显示,本文模型在SSH数据集上的F1分数为100%,较DNA模型提升约28%,较K-means模型提升约39%,显著优于各基线模型。值得注意的是,ToGather模型在所有暴力破解流量数据集构建的交互图中也未检测到威胁顶点,故未在表3中列出其检测结果。经分析,其主要原因在于ToGather模型的检测范式难以实现社区内的角色剥离。具体而言,ToGather采用Louvain算法进行社区检测,该算法旨在挖掘网络中的稠密子图结构,虽能将攻击实体与受害实体聚类至同一社区,但缺乏对社区内节点角色的优先级判定能力。在后续的威胁排名阶段,由于所构建的轻量级流量交互图不包含载荷特征,攻击顶点的拓扑显著性被海量的受害顶点掩盖,最终导致威胁检测失效。
表3 暴力破解威胁检测结果
研究人员使用恶意软件攻击流量对所提模型进行评估,恶意软件威胁检测结果见表4。结果表明,本文模型在恶意软件威胁检测任务中的性能显著优于K-means和DNA等基线模型。在Spam50数据集上,ToGather的检测性能与本文模型相近,这一结果验证了本文所构建的流量交互图能够有效支持基于模块度的威胁社区检测。同时,本文模型的威胁检测性能也得到验证。
表4 恶意软件威胁检测结果
图6展示了Sality威胁群体检测结果。从社区划分结果可以看出,该威胁群体呈现出显著的拓扑独立性(即群体内部顶点之间连接紧密,而与其他社区之间几乎不存在交互边)。这一清晰独立结构的形成,可以从本文所采用的结构熵博弈划分机制的角度予以解释。每个顶点在评估其迁移至任一相邻社区的潜在收益时,由于其与群体内部邻居的连接密度远高于与外部社区的连接密度,任何离开当前社区的迁移尝试都将导致局部熵值增大,保持现有归属则能够维持更优的局部熵状态。根据决策规则,每个顶点均会选择使整体结构熵值最小化的社区。在此机制下,所有与Sality威胁相关的顶点在博弈过程中自然达到了稳定的社区划分状态。最终,通过对社区子图进行排序并计算子图结构熵,实现了对Sality威胁群体的有效检测。
图6 Sality威胁群体检测结果
3.1.3 性能评估测试
为验证所提图构建模块及基于会话流的聚合机制在不同攻击数据集上的处理效率,本文开展了性能评估测试,从流量交互图构建效率、图社区检测效率与威胁检测效率3个维度对整体处理性能进行了评估。
(1)流量交互图构建效率和图社区检测效率
流量交互图的构建及社区检测时间开销如图7所示。在构建效率方面,大多数数据集的图构建操作[24]能够在12 s内完成。其中,基于Sality数据集构建的图规模较小,构建时间最短;而在较大规模数据集上,图构建时间保持在16 s左右。测试结果表明,本文提出的图构建方法在处理大规模流量时具有较高的效率与良好的可扩展性。此外,构建完成的图可复用于后续的威胁检测与关联分析,有效避免了重复计算开销。
图7 流量交互图构建与社区检测时间开销
在社区检测效率方面,基于CoDeSEG的社区检测算法整体执行效率较高。在大多数数据集构建的流量交互图上执行无重叠社区检测,可在0.6 s左右完成;基于Sality与Spam50数据集构建的图规模相对较小,社区检测时间少于0.3 s。值得注意的是,对于数据规模较大的SSH数据集,其构建的流量交互图在结构熵博弈划分阶段存在较多的顶点跨社区迁动,导致其社区检测时间相比其他数据集明显增加。
(2)威胁检测效率
表5汇总了本文模型与各基线模型在10次独立威胁检测任务中的平均执行时间。总体来看,本文模型在检测准确性与威胁检测效率之间实现了良好的平衡。值得注意的是,对于表5中以“*”注明的数据集,若使用K-means和DNA对其构造的流量交互图进行威胁检测,需先对图进行随机游走采样;否则,检测时间将超过10 min。
表5 威胁检测平均执行时间
3.1.4 消融测试
为评估流量交互图各组成部分对威胁检测性能的影响,本文设计了3种图模型变体进行消融测试,各变体与完整模型的检测结果差异见表6。为简洁起见,表6中仅列出了与所提方法检测结果存在差异的变体及其对应的数据集,其余变体在同一数据集上的表现与完整模型一致,故未重复列出。分析测试结果,由于基于结构熵博弈划分机制的社区检测方法依赖边权重进行社区划分,WEW变体在构建图时省略了边权重信息,无法完成有效的社区划分,从而削弱了对关键社区的识别能力,并限制了利用结构熵检测群体威胁模式的能力。PR变体在Web攻击与暴力破解类流量上的检测效果与完整模型一致,但由于其仅依赖PageRank度量顶点影响力,无法从社区维度检测威胁,因此无法有效检测恶意软件活动攻击。NB变体的检测结果与完整模型保持一致,说明本文所提检测方法在有向图场景下同样能够有效应用,具备支持有向图威胁检测任务的能力。
表6 消融测试结果
注:“—”表示该模型变体在对应数据集上检测失效。
3.1.5 超参数敏感性测试
为评估超参数对模型威胁检测性能的影响,本文开展了超参数敏感性测试。每组测试在固定其余参数的前提下,仅调整单个超参数,通过重新支持威胁检测任务,观察其对检测性能的具体影响。
社区检测终止阈值作为社区检测过程的迭代终止控制参数,对社区划分粒度仅产生细微影响。测试结果表明,的变化对各数据集的威胁检测准确率无显著影响。这主要归因于本文方法中基于Z分数差异的威胁顶点检测方法能够自适应识别影响力大的离群点。在基于结构熵分析的威胁群体检测过程中,社区划分粒度的细微差异并不影响关键社区的识别及结构熵计算,从而保证了模型威胁检测能力的稳健性。
微社区规模过滤阈值
对威胁社区检测的准确性具有一定的影响。当设为50时,模型能够准确检测威胁社区;而当设为60时,Spam50数据集中的部分威胁社区因规模未达阈值而被过滤,进而影响后续基于结构熵的威胁社区检测。
社区子图排序指标用于对Top-k社区子图进行排序,其取值直接影响最终的威胁检测结果。测试结果表明,不同的排序指标适用于不同类型的攻击。对于Web攻击和暴力破解攻击,以社区规模作为排序指标能够保证检测效果,原因在于这类攻击通常表现为大规模扫描,具有影响范围广的特点;对于Sality这类恶意软件攻击,以社区内的平均度数作为排序指标更加有效,原因在于此类攻击的威胁行为集中在高连接度顶点,平均度数能够反映关键社区的活跃程度;对于Spam50数据集[25],以社区内平均边权重作为排序指标更加有效,原因在于该类攻击的威胁行为主要通过高强度通信传播,边权重能够较好地反映社区内的流量活跃度。
PageRank算法中的阻尼因子
会影响顶点重要性计算结果。测试结果表明,该参数的变化对威胁顶点检测的准确性无影响。这种稳健性主要归因于本文提出的基于Z分数差异的检测方法,该方法能够有效抵消阻尼因子变化引起的得分波动,从而保持对影响力大的威胁顶点的识别能力。
3.2 实网测试
3.2.1 实网威胁检测测试设置
(1)硬件与软件环境
硬件环境方面,本次实网威胁检测测试在操作系统为Windows 10企业版的ThinkPad C480笔记本电脑上开展,设备搭载Intel Core i7-8550U处理器与16 GB内存。测试设备通过网络接入某知名网络安全企业的探针系统,完成真实网络流量采集、流量交互图构建与威胁检测任务。软件环境方面,本文所提检测方法基于Python 3.12.7实现,流量交互图采用NetworkX 3.3 库完成构建。社区检测选用开源C++版本的CoDeSEG算法,借助CMake 4.1.0将其编译为可执行文件。
(2)数据集
测试所用真实网络流量由某知名网络安全企业探针系统采集,总计获取1亿条流量样本。数据覆盖公网Web服务、内网及网络边界资产等场景,包含传输控制协议(transmission control protocol, TCP)、HTTP、超文本传输安全协议(HTTPS)、域名系统(domain name system, DNS)协议、传输层安全协议(TLS)等,并在采集后完成脱敏处理。考虑到真实网络流量大多采用加密传输,可用特征主要为流量五元组信息和上下行数据报文长度。经数据预处理后,将其简化为本文方法兼容的三元组信息和数据报文长度。相较于开源流量数据集,实网流量具有业务流量与威胁流量相互交叠、主机交互类型复杂多样的特点,能够验证所提方法在真实环境下的鲁棒性和泛化能力。
3.2.2 实网威胁检测测试
由于探针采集的流量数据无标签信息,在评估过程中,本文结合资产标签、公开威胁情报数据及实网威胁规则防护引擎的处置结果,对模型识别出的威胁实体进行分析。
表7展示了本文方法在实网部署后的部分威胁检测结果,其中PR对应2.6.1节基于Z分数差异的威胁顶点检测,SE对应2.6.2节基于结构熵的群体威胁检测。与网络安全企业威胁情报平台提供的开源情报、网络资产标签及威胁规则引擎的处置结果进行对比发现,本文方法能够有效检测针对Web服务的多类威胁实体[26],覆盖目录遍历、垃圾邮件投递、暴力破解及分布式拒绝服务(distributed denial of service, DDoS)攻击等威胁行为。其中,基于Z分数差异的威胁顶点识别方法成功检测出1个针对公网Web服务实施目录遍历与路径穿越的攻击实体;基于结构熵的威胁群体检测方法则识别出259个呈现集中通信特征的Web、僵尸网络及垃圾邮件攻击群体。为客观评估检测效能,研究人员构建了多源交叉验证模型作为判定基准,其匹配规则定义如下:若目标IP地址被任一商用或开源威胁情报平台标记为恶意,或其行为特征命中网络安全企业规则处置引擎,则判定为验证通过。检测结果表明,基于结构熵的方法具备良好的群体检测能力[27],259个威胁实体中有254个通过交叉验证,检测结果验证通过率达到98.07%。对5个(约1.93%)未命中标签的误报进行分析发现,该类实体多为新近上线的服务节点,且在监测期间正遭受潜在攻击。实网测试结果表明,本文提出的流量交互图分析方法能够在不依赖标签的情况下,在真实网络环境中检测出安全威胁实体,且能够通过流量交互图从图结构特征[28]、图结构熵等维度对检测结果进行可解释性分析,为威胁研判提供支持。
表7 实网检测结果
4 结束语
针对Web服务环境中未知威胁与群体性攻击日益增多、传统检测方法难以在无标签场景下实现有效防御的问题,本文提出了一种基于流量交互图分析的威胁检测方法。该方法通过构建轻量化流量交互图,引入结构熵博弈划分机制实现网络社区的自适应划分,结合Z分数定位高威胁顶点,并利用结构熵变化特征识别群体威胁行为,从而在无监督条件下完成对威胁的检测与解释。测试结果表明,该方法在真实网络环境中能够有效识别目录遍历、僵尸网络、暴力破解及垃圾邮件等威胁,部分检出威胁未被现有规则引擎覆盖,体现了该方法在实际安全防护部署中的补充价值。受限于真实网络环境缺乏全量真实标签,本文通过在标注完备的公开数据集上进行性能评测,利用F1分数等综合指标间接验证了所提模型在处理复杂威胁时的可靠性与召回能力,弥补了实网环境下漏报率难以精确统计的局限。本文方法不依赖先验知识与标签数据,兼具对未知威胁的适应能力、对加密流量的鲁棒性及模型的可解释性,为Web服务安全防护提供了一种新的无监督检测思路。未来工作计划引入时序演化建模与跨域威胁情报,进一步提升检测精度与场景泛化能力,为构建Web安全防护体系提供支撑。
作者简介
余北缘,男,北京航空航天大学博士生,主要研究方向为Web安全。
曾广杰,男,北京航空航天大学博士生,主要研究方向为图数据挖掘。
彭浩,男,博士,北京航空航天大学教授、博士生导师,主要研究方向为事件检测。
刘建伟,男,博士,北京航空航天大学教授、博士生导师,主要研究方向为密码学与网络安全。
李洪亮,男,奇安信科技集团股份有限公司网络安全部总经理,主要研究方向为企业安全防护体系建设、高级威胁对抗、安全基础设施。
谭学士,男,奇安信科技集团股份有限公司网络安全部安全平台组负责人,主要研究方向为网络安全算法与人工智能应用。
声明:本文来自网络与信息安全学报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
