本發(fā)明涉及一種網(wǎng)絡(luò)群體的異常感知方法。

背景技術(shù)：
由于互聯(lián)網(wǎng)自身的復(fù)雜性、異構(gòu)性與動態(tài)性導(dǎo)致在互聯(lián)網(wǎng)上的各種網(wǎng)絡(luò)惡意行為日趨隱蔽，同時群體化網(wǎng)絡(luò)惡意行為可能在某一時間段內(nèi)不同空間中進行交叉融合，形成危害較大的網(wǎng)絡(luò)攻擊，對互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施中心服務(wù)節(jié)點產(chǎn)生巨大威脅。尤其隨著僵尸網(wǎng)絡(luò)技術(shù)的提升，更強的受控性、隱藏性與融合性使得互聯(lián)網(wǎng)安全所面臨的挑戰(zhàn)愈加嚴峻。伴隨著互聯(lián)網(wǎng)及無線傳感網(wǎng)絡(luò)的興起，基于網(wǎng)絡(luò)的開放式大規(guī)模分布式應(yīng)用的使用者大多為未知群體，大量的不確定性因素引發(fā)了研究人員對信任概念與信任模型的關(guān)注。目前的研究工作主要是針對主要集中與P2P網(wǎng)絡(luò)與無線傳感網(wǎng)絡(luò)，主要考慮如何在無關(guān)中心化網(wǎng)絡(luò)中建立節(jié)點的互信關(guān)系以及如何量化節(jié)點間信任值，沒有進一步考慮群體性行為尤其是惡意行為在網(wǎng)絡(luò)中的演化。

技術(shù)實現(xiàn)要素：
本發(fā)明為了解決現(xiàn)有異常感知沒有考慮群體性惡意行為在網(wǎng)絡(luò)中演化且忽略惡意行為節(jié)點之間的社會化關(guān)系，導(dǎo)致無法在早期發(fā)現(xiàn)惡意群體行為特征的問題，從而提供一種基于信任的網(wǎng)絡(luò)群體異常感知方法?；谛湃蔚木W(wǎng)絡(luò)群體異常感知方法，它包括如下步驟：步驟一：根據(jù)目標區(qū)域網(wǎng)絡(luò)出口數(shù)據(jù)建立網(wǎng)絡(luò)節(jié)點間的行為交互矩陣M；步驟二：對行為交互矩陣M數(shù)據(jù)進行計算，得到節(jié)點vi和節(jié)點vj間的相關(guān)信任度rij以及總信矩陣T'；步驟三：根據(jù)節(jié)點的總信矩陣T'計算節(jié)點的相似度矩陣SIM；步驟四：對相似度矩陣進行譜聚類，獲取網(wǎng)絡(luò)群體行為的異常。本發(fā)明實現(xiàn)了基于信任的網(wǎng)絡(luò)群體異常感知。本發(fā)放不僅考慮到歷史行為與時間衰減因素，還在此基礎(chǔ)上建立信任行為交互矩陣，從而構(gòu)造基于信任度的相似度矩陣，并基于該矩陣對網(wǎng)絡(luò)群體進行聚類，以此發(fā)現(xiàn)網(wǎng)絡(luò)中的潛在惡意群體。本發(fā)明能夠使分類準確度持續(xù)在80%以上。附圖說明圖1為本發(fā)明基于信任的網(wǎng)絡(luò)群體異常感知方法的流程圖；圖2為具體實施例所述DDoS攻擊分類結(jié)果圖；其中（a）為初始階段的分類結(jié)果，（b）為攻擊節(jié)點占總節(jié)點數(shù)量為40%時的分類結(jié)果，（c）為攻擊節(jié)點數(shù)量為50%時的分類結(jié)果，（d）為攻擊節(jié)點占總節(jié)點數(shù)量為60%時的分類結(jié)果；圖3為具體實施方式所述DDoS攻擊分類準確度對比圖；其中（a）為DDoS初始階段準確度對比圖，（b）為DDoS階段2準確度對比圖，（c）為DDoS階段3準確度對比圖，（d）為DDoS階段4準確度對比圖；圖中為本發(fā)明所述基于信任的網(wǎng)絡(luò)群體異常感知方法的準確度；為具體實施方式所述基于偶圖的分類模型方法的準確度；圖4為具體實施方式一所述虛擬邊Euq建立示意圖。具體實施方式具體實施方式一、結(jié)合圖1說明本具體實施方式?；谛湃蔚木W(wǎng)絡(luò)群體異常感知方法，它包括如下步驟：步驟一：根據(jù)目標區(qū)域網(wǎng)絡(luò)出口數(shù)據(jù)建立網(wǎng)絡(luò)節(jié)點間的行為交互矩陣M；步驟二：對行為交互矩陣M數(shù)據(jù)進行計算，得到節(jié)點vi和節(jié)點vj間的相關(guān)信任度rij以及總信矩陣T'；步驟三：根據(jù)節(jié)點的總信矩陣T'計算節(jié)點的相似度矩陣SIM；步驟四：對相似度矩陣進行譜聚類，獲取網(wǎng)絡(luò)群體行為的異常。首先通過目標區(qū)域網(wǎng)絡(luò)出口數(shù)據(jù)建立網(wǎng)絡(luò)節(jié)點間的行為交互矩陣M，進而通過三個階段對交互矩陣數(shù)據(jù)信息進行挖掘以發(fā)現(xiàn)網(wǎng)絡(luò)中的異常狀況：（1）計算網(wǎng)絡(luò)內(nèi)任意節(jié)點的相關(guān)信任度r；（2）計算相似度矩陣SIM，（3）普聚類分離，從而挖掘出網(wǎng)絡(luò)群體行為的異常。本發(fā)明中技術(shù)用語定義如下：定義1網(wǎng)絡(luò)信任度，網(wǎng)絡(luò)信任的量化值，與信任屬性直接相關(guān)，是描述網(wǎng)絡(luò)節(jié)點行為間交互程度的定量表示。定義2總信任度，節(jié)點vi與節(jié)點vj間的信任度可以表示為F(vi,vj,dij,rij)，其中dij表示vi與vj直接交互行為產(chǎn)生的直接信任值，rij表示vi與vj的相關(guān)信任值。定義3直接信任度dij，與節(jié)點vi與節(jié)點vj間的直接信任度與節(jié)點的交互頻率有關(guān)，交互頻率約高，直接信任度越大，0<dij≤1。定義4傳遞信任度transitij，表示當節(jié)點vi與節(jié)點vj不存在直接交互行為時，通過信任傳遞方式得到的信任度。定義5相關(guān)信任度，與節(jié)點的行為相似度相關(guān)，描述交互行為相似的節(jié)點間信任屬性。定義6原始交互拓撲圖G，從網(wǎng)絡(luò)數(shù)據(jù)中提取的基于IP地址生成的網(wǎng)絡(luò)交互拓撲圖，大多情況下可能是非連通圖。定義7虛擬邊Euq，對于原始交互拓撲圖G，若圖G由m個不連通子圖g1,g2,...,gm構(gòu)成，則Euq表示將子圖gu與gq(1≤u,q≤m)中度最大的點相連形成的虛擬邊，如度最大的點有多個，則任選其一相連，如圖4所示，圖4（1）表示圖G由2個不連通子圖g1,g2組成，顯然節(jié)點2和節(jié)點6分別是子圖中度最大的節(jié)點，因此將節(jié)點2與節(jié)點6相連，建立虛擬邊。而交互矩陣M表示根據(jù)圖的鄰接矩陣建立方法對交互拓撲圖G建立出的矩陣，矩陣中M的權(quán)值Mij為dij。具體實施方式二、本具體實施方式與具體實施方式一不同的是步驟二：對行為交互矩陣M數(shù)據(jù)進行信息計算網(wǎng)絡(luò)內(nèi)節(jié)點vi和節(jié)點vj間的相關(guān)信任度rij以及總信矩陣T'的過程為：步驟B1：獲取行為交互矩陣M；步驟B2：恢復(fù)行為交互矩陣M連通性，得到鄰接矩陣M'；節(jié)點vi在子圖Gz內(nèi)的影響力IMi為：其中，dgr(vi)為節(jié)點vi的度，影響力的取值范圍為大于0且不大于1；選擇每個子圖中度最大的節(jié)點，對其進行虛擬邊建立，其中虛擬邊權(quán)值賦值為：其中，|Gz|為第z個子圖內(nèi)的節(jié)點數(shù)，VWij為領(lǐng)袖節(jié)點vi與領(lǐng)袖節(jié)點vj之間的虛擬邊權(quán)值，λ為調(diào)節(jié)參數(shù)；從而將交互矩陣M中的節(jié)點vi與節(jié)點vj對應(yīng)的位置賦值為VWij，直至所有虛擬邊對應(yīng)的部分均被賦值完畢，生成的新矩陣為鄰接矩陣M'；步驟B3：通過鄰接矩陣M'獲得節(jié)點vi與節(jié)點vj的節(jié)點鄰居集合neighi和neighj；其中neighi為節(jié)點vi的鄰接向量，neighj為節(jié)點vj的鄰接向量；步驟B4：計算neighi和neighj的差集Sij；步驟B5：采用先廣搜索BFS算法計算節(jié)點vi到節(jié)點vj的路徑；步驟B6：根據(jù)分別計算節(jié)點vi和節(jié)點vj對差集Sij中每個節(jié)點的傳遞信任值，并更新對應(yīng)的鄰接向量，并將更新后的鄰接矩陣記為M''；步驟B7：根據(jù)公式計算鄰接矩陣M''中任意兩個節(jié)點的相關(guān)信任值rij，并通過公式計算出任意兩個節(jié)點的總信任值F；其中L為獲取交互數(shù)據(jù)的總次數(shù)；步驟B8：根據(jù)總信任值F獲取總信任矩陣T'。本具體實施方式為計算網(wǎng)絡(luò)內(nèi)任意節(jié)點的相關(guān)信任度r的過程，由于行為交互拓撲圖G通常是不連通圖，因此通過虛擬邊恢復(fù)方法對交互拓撲圖G進行連通恢復(fù)，其中，行為交互拓撲圖G的數(shù)學(xué)表達為行為交互矩陣；其次通過節(jié)點相似度公式計算任意兩個節(jié)點的相關(guān)信任度，其中對于節(jié)點向量維度不同的情況，則根據(jù)傳遞新人計算對維度進行填充。本具體實施方式采用節(jié)點交互向量填充算法，其工作原理為：在抽象化的網(wǎng)絡(luò)節(jié)點交互中，相關(guān)信任度是描述弱相關(guān)的節(jié)點潛在的信任屬性，相關(guān)信任度公式如下：其中，nvecti為節(jié)點vi的鄰接向量，neighj為節(jié)點vj的鄰接向量。余弦定理是數(shù)據(jù)相似性分析的基本定理，當向量的夾角越小，其相似度越高。根據(jù)余弦定理可知當rij為0時，代表兩個向量垂直，即相似度為0；當rij為1時，代表兩向量平行，即相似度為1。由于nvecti與neighj維度可能不同，這將引起先關(guān)信任度計算出現(xiàn)誤差，即維度的缺失降低了一些節(jié)點對相關(guān)信任度計算的影響?？紤]到信任關(guān)系中存在部分傳遞性，可通過信任傳遞方法對向量進行填充。假設(shè)節(jié)點vi與節(jié)點vj之間沒有直接交互，但節(jié)點vk與vi，vj均有交互，則vi到vj的傳遞信任值按照如下公式計算得出，從而保證兩個節(jié)點維度相同：其中，表示節(jié)點vi到節(jié)點vj通過節(jié)點vk的傳遞信任值，其值等于節(jié)點vi對節(jié)點vk的直接信任值與節(jié)點vk對節(jié)點vj的直接信任值乘積。在修復(fù)過程中，對新加入的交互邊權(quán)值的賦值是影響傳遞信任的關(guān)鍵性因素。在網(wǎng)絡(luò)交互矩陣中，不連通子圖的結(jié)構(gòu)在一定程度上表現(xiàn)了該子圖內(nèi)節(jié)點的交互特征，而節(jié)點在子圖內(nèi)的影響在一定程度上也表現(xiàn)出該節(jié)點在圖中的地位。通過IMi表示節(jié)點在子圖內(nèi)的活躍度：其中，IMi表示節(jié)點vi在子圖Gz內(nèi)的影響力，dgr(vi)為節(jié)點vi的度，0<IM≤1；IM越高表示該節(jié)點在子圖內(nèi)的活躍度越高，同時也直觀表明在子圖內(nèi)的群體行為越集中，因此對于不同子圖中領(lǐng)袖節(jié)點的IM越相近，表明集中性群體行為越相似，可分為三類情形：（1）兩個領(lǐng)袖節(jié)點IM都高，說明兩個圖領(lǐng)袖節(jié)點的影響力都很高，此時兩個子圖在未來可能產(chǎn)生交集的概率較大；（2）兩個領(lǐng)袖節(jié)點IM都低，說明兩個子圖結(jié)構(gòu)較為松散，子圖內(nèi)的交互行為尚未穩(wěn)定，其可能產(chǎn)生新的交互概率較高；（3）兩個IM差異較大，說明兩個子圖的交互行為并不相似，則可能產(chǎn)生新的交互概率交底。兩個子圖領(lǐng)袖節(jié)點虛擬邊權(quán)值越大時表示它們的差異越小，用于確定上述三類情況，虛擬邊權(quán)值的計算方法為：其中，|Gn|為第n個子圖內(nèi)的節(jié)點數(shù)，VWij為領(lǐng)袖節(jié)點vi與領(lǐng)袖節(jié)點vj之間的虛擬邊權(quán)值，。通過上述交互矩陣的連通恢復(fù)與節(jié)點交互向量填充，能夠計算節(jié)點vi與節(jié)點vj相關(guān)信任值，此時總信任值F為：其中，L為獲取交互數(shù)據(jù)的總次數(shù)，；由于獲取的交互矩陣數(shù)據(jù)只是整個網(wǎng)絡(luò)交互演變過程中的序列快照，若事先固定ωi的值，將導(dǎo)致計算出的總信任值存在較大誤差。為了降低誤差對行為相似度矩陣的影響，則采用動態(tài)的參數(shù)賦值策略對ω1和ω2進行指定。信任的不確定性是影響信任量化準確度的重要因素，而信任值的大小則表示未來交互概率的高低，考慮到不確定性特征在信任中的影響，我們使用信息熵方法對權(quán)重進行自動修正，進一步降低信任誤差。信息熵是表示時間不確定性的一個重要概念，熵值越低表示不確定性越?。簩τ谥苯有湃沃蹬c相關(guān)信任值，分別計算其對應(yīng)的熵值：例如從交互矩陣中進行計算：H(ω1)=-0.7·log(0.7)-0.3·log(0.3)=0.2652H(ω2)=-0.5·log(0.5)-0.5·log(0.5)=0.3010表示本次數(shù)據(jù)中所獲得的直接信任值的不確定性低于相關(guān)信任值，計算相應(yīng)的ωi：由于傳遞信任的計算是指數(shù)性下降，因此可能出現(xiàn)H(ω)≥1的情況，此時說明數(shù)據(jù)的不確定性極大，數(shù)據(jù)值所包括的信息量基地，對于這類數(shù)據(jù)直接判定對應(yīng)的ωi為0，降低不確定性對信任計算的影響。具體實施方式三、本具體實施方式與具體實施方式二不同的是步驟三：根據(jù)節(jié)點的總信矩陣T'計算節(jié)點的相似度矩陣SIM的過程為：步驟C1：根據(jù)總信矩陣T'計算任意兩節(jié)點vi,vj(i≤j)的信任向量tveci,tvecj；步驟C2：根據(jù)余弦定理，計算tveci,tvecj之間的夾角，得到節(jié)點vi和節(jié)點vj的相似度SIij；步驟C3：根據(jù)相似度SIij構(gòu)建相似度矩陣SIM。本具體實施方式為計算相似度矩陣SIM的過程：為了衡量網(wǎng)內(nèi)兩個節(jié)點的行為相似性，通過直接信任與相關(guān)信任得到總信任值，進而根據(jù)這兩個節(jié)點的信任向量計算他們的相似性，最終獲得相似度矩陣SIM。對于我們得到的總信矩陣T'，該矩陣是非對稱矩陣，保持了信任有向性特征。但這種非對稱性對分類造成了極大的困難，為了能夠?qū)W(wǎng)絡(luò)節(jié)點進行分類，我們需要從總信矩陣T'中提取出節(jié)點的相似性，構(gòu)建對稱的相似度矩陣SIM。具體實施方式四、本具體實施方式與具體實施方式三不同的是步驟四：對相似度矩陣進行譜聚類，獲取網(wǎng)絡(luò)群體行為的異常的過程為：步驟D1：根據(jù)相似度矩陣SIM計算對角矩陣D，其中：步驟D2：根據(jù)對角矩陣D計算拉普拉斯矩陣L，同時計算拉普拉斯矩陣L的特征值并按降序排列生成的特征值序列；計算拉普拉斯矩陣L：L=D-SIM拉普拉斯矩陣L的特征值為λi，特征值個數(shù)為m，則i≤m，按降序排的特征值序列為λ1,λ2,...,λm,(m≤n)，n為拉普拉斯矩陣L的階數(shù)；步驟D3：令gi=λi-λi+1,(i=1,...,m-1)計算gi，生成序列g(shù)1,g2,...,gm-1；步驟D4：通過對拉普拉斯矩陣L的特征值約束，確定目標數(shù)據(jù)集的族個數(shù)k：步驟D5：根據(jù)族個數(shù)k從拉普拉斯矩陣L的特征值序列中從大到小獲取k個特征值，獲得對應(yīng)的特征向量e1,e2,...,ek，則特征矩陣V為V=[e1,e2,...,ek]；步驟D6：采用k均值算法對特征矩陣V進行聚類，獲得聚類結(jié)果Clusteri,i=1,...,k；步驟D7：根據(jù)得到的聚類結(jié)果Clusteri,i=1,...,k與正常的網(wǎng)絡(luò)數(shù)據(jù)聚類結(jié)果進行對比，當出現(xiàn)誤差時，則可認為出現(xiàn)異常，例如節(jié)點類數(shù)目發(fā)生較大改變，或者原先類中節(jié)點數(shù)目發(fā)生較大改變，則可認為出現(xiàn)異常。本具體實施方式為進行聚類分析的過程：為了對網(wǎng)內(nèi)節(jié)點進行聚類，實現(xiàn)對異常群體事件的自動識別，通過改進譜聚類算法增強類數(shù)目的識別能力，提高聚類的精確度。假設(shè)拉普拉斯矩陣L為p階，特征值個數(shù)為m(m≤p)，λi(i≤m)是拉普拉斯矩陣L的特征值，且λi≥λi+1。我們定義gi=λi-λi+1,(i=1,...,m-1)，顯然gi>0?？紤]到二階導(dǎo)數(shù)的幾何意義為斜率變化的快慢，類似的，我們只需找出gi的變化趨勢即可。因此，我們約束條件進行松弛，增強類數(shù)目的自動識別能力：其中，k滿足gi+1-gi<0或gi>(gi+1+gi-1)/2中最小的。我們通過對拉普拉斯矩陣L的特征值進行約束，確定目標數(shù)據(jù)集的族個數(shù)，進而對相似度矩陣進行譜聚類。本具體實施為相似度矩陣自動譜聚類算法CSMA(SimilarityMatrixAutomatedSpectralClusteringAlgorithm)。本算法通過典型的譜聚類算法計算拉普拉斯矩陣L的特征值方法，接著為了增加自動識別族的能力，對特征值選取進行約束，決定族的數(shù)量。通過使用k均值算法對k個最大特征值所對應(yīng)的特征向量組成的實矩陣V∈Rp×k進行k分類，最后得到聚類結(jié)果。對于計算拉普拉斯矩陣L的特征值的時間復(fù)雜度一般為O(p3)，n為矩陣維度；對于降序排列特征值時間為O(mlogm)，其中m為特征值個數(shù)；而約束條件匹配的時間復(fù)雜度通常都較小，可視為常數(shù)；對于k均值算法時間復(fù)雜度一般為O(tkp)，其中t為迭代次數(shù)，k為族數(shù)目，n為節(jié)點個數(shù)，因此總的時間負責度上界為O(p3)。具體實施例：結(jié)合圖2和圖3說明本具體實施例。DDoS攻擊是典型的網(wǎng)絡(luò)惡意行為之一，通常的檢測手段是通過鏈路流量的飽和度以及服務(wù)端連接數(shù)進行判斷。為驗證本文模型對于整個DDoS攻擊前期、中期和后期三個階段的識別能力，我們進行一下實驗分析：整個模擬過程的參數(shù)設(shè)置如表1所示：表1DDoS攻擊模擬實驗參數(shù)整個攻擊模擬時長為40秒，被攻擊節(jié)點序號為第2527號節(jié)點，模擬共分為四個階段：1)初始階段(initialstage)：持續(xù)時間為0-10秒，該時期內(nèi)所有節(jié)點根據(jù)前文提到的初始階段進行網(wǎng)絡(luò)交互；2)攻擊階段1(attackstage1)：持續(xù)時間為10-20秒，40%的節(jié)點(節(jié)點序號1510-2516)參與DDoS攻擊；3)攻擊階段2(attackstage2)：持續(xù)時間為20-30秒，50%的節(jié)點(節(jié)點序號1260-2516)參與DDoS攻擊；3)攻擊階段3(attackstage3)：持續(xù)時間為30-40秒，60%的節(jié)點(節(jié)點序號1008-2516)參與DDoS攻擊。每秒進行1次網(wǎng)絡(luò)交互拓撲導(dǎo)出，共計產(chǎn)生40個交互矩陣，則4個階段的交互矩陣均為10個，根據(jù)公式(5)對每個階段的總信任值進行迭代計算，圖2展示了4個階段的分類結(jié)果。圖2(a)顯示了初始階段的分類結(jié)果，根據(jù)特征值選擇約束條件得出類數(shù)目k=4，可看出大約有60%的節(jié)點被劃分到同一類中，根據(jù)交互度分布可知大量的節(jié)點的出度為1，雖然它們的目標節(jié)點大多不同，然而在行為上具有很高的相似度。圖2(b)顯示了攻擊節(jié)點占總節(jié)點數(shù)量40%的分類結(jié)果，兩個偏小的陰影區(qū)域是攻擊節(jié)點聚類集合，同時被攻擊節(jié)點被單獨分出，最大的陰影區(qū)域是正常節(jié)點集合。由于傳遞信任的影響導(dǎo)致攻擊節(jié)點被分成2類，但所包括非攻擊節(jié)點數(shù)極少，說明分類準確度較高。圖2(c)顯示攻擊節(jié)點占50%的情況，此時分類數(shù)目k被自動識別為3，攻擊節(jié)點與被攻擊節(jié)點均被劃分至同一類，說明隨著攻擊節(jié)點比例的增加，傳遞信任的影響逐漸增多。而圖2(d)展示了攻擊節(jié)點為60%的分類結(jié)果，此時所有的攻擊節(jié)點在同一類中，被攻擊節(jié)點再次被單獨分類，普通節(jié)點間的聚合度也進一步提升。我們可看出隨著攻擊節(jié)點數(shù)目的增加，整個網(wǎng)絡(luò)的分類趨勢逐漸變小，即k值從4變至3，同時產(chǎn)生新的獨立類別節(jié)點，即被攻擊節(jié)點，同時還可看出當攻擊節(jié)點比例較小時，分類的效果并不理想，沒有將所有攻擊節(jié)點劃分至同一類別中，說明傳遞信任在網(wǎng)絡(luò)行為聚集度不太高的情況下對分類結(jié)果的產(chǎn)生一定影響，造成節(jié)點的相似度距離變大，當攻擊節(jié)點比例上升至60%，整個網(wǎng)絡(luò)分類結(jié)果非常明顯，攻擊、被攻擊及普通節(jié)點被分至不同三類。整個過程同時也表明分類識別度隨著攻擊節(jié)點覆蓋面的增加而增加。為了對聚類算法中的特征值約束條件進行分析，我們進一步將分類算法與文獻進行對比，首先定義分類準確度CA作為評價指標，由于我們更加關(guān)心攻擊節(jié)點的分類準確性，因此只計算攻擊節(jié)點居多的類別，公式如下：其中p為攻擊節(jié)點居多的類數(shù)目，numi表示該類中攻擊節(jié)點的個數(shù)，totalnumi表示該類中所有節(jié)點個數(shù)。為了更直觀的分析分類結(jié)果，在模擬過程中每秒輸出1次行為交互拓撲，在40s過程中共計產(chǎn)生40個交互行為圖。圖3顯示了4個階段的分類準確度CA，虛線是本文的聚類算法(BTC)，很明顯分類準確度高于基于偶圖的分類模型(BGC)。從圖3中可看出隨著攻擊節(jié)點數(shù)增加，兩種分類模型的分類準確性迅速提升，但在攻擊的初級階段，如圖3(b)所示，當攻擊持續(xù)7秒時，BGC的分類準確性僅有33%，而本文的分類準確度達到87%，這是由于BGC算法對特征值的約束條件過強，導(dǎo)致類數(shù)目較低，大量非攻擊節(jié)點和攻擊節(jié)點被劃分到同一類中。隨著參與攻擊的節(jié)點不斷增多，到第4階段，兩種算法的準確度都大于90%，說明當攻擊節(jié)點超過全網(wǎng)節(jié)點50%時，偶圖模型的分類方法也較為有效。適用情況：適用于不同應(yīng)用、適用于不同規(guī)模的網(wǎng)絡(luò)、適用于不同類型的網(wǎng)絡(luò)。只要能夠獲取目標網(wǎng)絡(luò)的網(wǎng)絡(luò)包數(shù)據(jù)，均可使用此發(fā)明中的方法。本發(fā)明所述方法，不僅能夠用于感知目標網(wǎng)絡(luò)的異常事件，而且適用于不同的邏輯網(wǎng)絡(luò)，比如社會網(wǎng)絡(luò)等。