圖資料函式庫技術應用於網路安全攻擊偵測

12 分鐘閱讀

圖資料函式庫技術在網路安全領域的應用日益普及,藉由圖資料函式庫,能有效地建立網路關係模型並分析潛在攻擊。本文將探討如何使用圖資料函式庫查詢語言 GSQL 建構網路安全圖譜,並運用其進行異常網路行為的偵測與分析,涵蓋偵測與被禁IP的連線、洪水攻擊偵測和攻擊來源追蹤等導向。這些技術能有效識別和分析複雜的網路攻擊行為,並追蹤攻擊來源,為網路安全防禦提供有力支援。

網路安全圖譜實作:偵測與分析網路攻擊

在現代網路安全領域中,圖資料函式庫技術的應用變得越來越重要。透過圖資料函式庫,我們能夠有效地建模和分析複雜的網路關係,從而偵測潛在的網路攻擊。本文將探討如何利用圖資料函式庫查詢語言(GSQL)來實作網路安全圖譜,並偵測異常網路行為。

偵測與被禁IP的連線

首先,我們需要偵測與被禁IP的連線。這個查詢的目的是找出與特定被禁IP相連的IP地址,並計算到這些IP的最短路徑數量。

查詢邏輯解析

  1. 遍歷未存取的鄰居節點

    • 從起始節點開始,遍歷所有未被存取的鄰居節點。
    • 判斷一個節點是否未被存取的條件是其@num_shortest_paths屬性是否為0。
    start = SELECT t 
        FROM start:s -(:e)- :t
        WHERE t.@num_shortest_paths == 0

  2. 記錄最短路徑數量

    • 當到達一個未被存取的鄰居節點時,更新其最短路徑數量和路徑邊緣列表。
    ACCUM 
    t.@num_shortest_paths += s.@num_shortest_paths,
    t.@edge_list += e,
    t.@edge_list += s.@edge_list

  3. 追蹤被禁IP

    • 如果鄰居節點是被禁IP,則更新全域性累加器,記錄相關路徑和數量。
    POST-ACCUM 
    CASE WHEN t.banned == TRUE THEN
        @@nearby_banned_IPs += t,
        @@num_paths_to_banned_IPs += t.@num_shortest_paths,
        @@paths_to_banned_IPs += t.@edge_list
    END

內容解密:

  • 這段查詢首先從起始節點遍歷到未被存取的鄰居節點,並更新這些節點的最短路徑數量和相關路徑資訊。
  • 如果鄰居節點是被禁IP,則將相關資訊記錄到全域性累加器中。
  • 這個過程重複進行,直到遍歷深度達到設定的depth值或沒有更多的未存取節點。

洪水攻擊偵測

接下來,我們討論如何偵測洪水攻擊。洪水攻擊是一種常見的網路攻擊手段,攻擊者透過向目標伺服器傳送大量請求,試圖使其資源耗盡,無法正常服務。

查詢邏輯解析

  1. 統計每個IP的登入事件

    • 透過遍歷IP到事件的關係,統計每個IP的登入事件數量。
    login_events = SELECT event
               FROM IPs:i -(Has_IP)- :event
               WHERE event.Event_Type == "login"
               ACCUM event.@count_map += (i->1);

  2. 將登入事件與使用者關聯

    • 將統計的登入事件數量與對應的使用者關聯起來。
    users = SELECT user
        FROM login_events:le -(User_Event)- :user
        ACCUM user.@count_map += le.@count_map;

  3. 將使用者事件與請求事件關聯

    • 將使用者的事件與請求事件關聯,並統計請求事件的數量。
    events = SELECT event
          FROM users:u -(User_Event:e)- :event
          WHERE event.Event_Type == "request"
          ACCUM event.@count_map += u.@count_map;

  4. 計算服務請求的統計資料

    • 將請求事件與服務關聯,計算每個服務的請求數量,並計算平均值和標準差。
    FOREACH (ip,cnt) in s.@count_map DO
    s.@mean += cnt 
END,
s.@stdev = sqrt(s.@stdev/(s.@count_map.size()-1)),

  5. 偵測異常行為

    • 比較每個IP的請求數量與平均值和標準差,判斷是否為異常行為。
    CASE WHEN s.@stdev != 0 THEN
    FOREACH (ip,cnt) in s.@count_map DO
        CASE WHEN cnt-s.@mean > n_sigma*s.@stdev THEN
            @@outlier_list += Result_Tuple(ip, s, cnt, s.@mean, s.@stdev)
        END
    END
END

內容解密:

  • 這段查詢透過多步遍歷,統計每個IP的登入事件,並將這些事件與使用者和請求事件關聯起來,最終計算每個服務的請求數量。
  • 透過計算平均值和標準差,查詢能夠識別出異常的請求行為,偵測潛在的洪水攻擊。
  • 查詢結果可以根據設定的n_sigma值進行調整,以適應不同的偵測靈敏度需求。
  1. 最佳化查詢效能:進一步最佳化GSQL查詢效能,以應對更大規模的網路資料。
  2. 擴充套件偵測能力:增加更多型別的網路攻擊偵測,例如DDoS攻擊、SQL注入等。
  3. 整合機器學習技術:結合機器學習演算法,提高網路攻擊偵測的準確性和效率。

透過不斷最佳化和擴充套件這些技術,我們能夠更好地保護網路安全,抵禦日益複雜的網路攻擊。

  graph LR
    E[E]
    A[開始] --> B[遍歷未存取鄰居]
    B --> C[更新最短路徑數量]
    C --> D[追蹤被禁IP]
    D --> E{是否達到深度限制?}
    E -->|是| F[結束]
    E -->|否| B
    F --> G[統計每個IP的登入事件]
    G --> H[將登入事件與使用者關聯]
    H --> I[將使用者事件與請求事件關聯]
    I --> J[計算服務請求的統計資料]
    J --> K[偵測異常行為]
    K --> L[結束]

圖表翻譯: 此圖表展示了網路安全圖譜實作的流程,包括遍歷未存取鄰居、更新最短路徑數量、追蹤被禁IP、統計每個IP的登入事件、將登入事件與使用者關聯、將使用者事件與請求事件關聯、計算服務請求的統計資料以及偵測異常行為等步驟。透過這些步驟,能夠有效地偵測和預防網路攻擊。

網路安全圖譜實作:攻擊偵測與來源追蹤

在網路安全領域中,圖資料函式庫的應用能夠有效地幫助企業偵測和應對各種複雜的攻擊行為。本文將探討如何利用圖資料函式庫實作網路安全的圖譜實作,重點介紹攻擊偵測和來源追蹤的實作方法。

攻擊行為偵測:Footprinting 攻擊

Footprinting是一種常見的網路偵察技術,攻擊者透過在短時間內呼叫多個伺服器端點來瞭解目標系統的組態、行為和潛在漏洞。為了偵測這種攻擊行為,我們可以建立一個名為footprinting_detection的查詢。

查詢實作

CREATE QUERY footprinting_detection(STRING n_sigma, STRING start_date, STRING end_date) {
  // 選取指定時間範圍內的所有請求事件
  events = SELECT s
  FROM events:s
  WHERE s.Start_Date > start_date AND s.Start_Date < end_date
  AND s.Event_Type == "request";

  // 記錄每個使用者的端點請求
  events = SELECT event
  FROM events:event -(User_Event)- :user
  ACCUM event.@api_map += (user -> event.Endpoint);

  // 按服務分組端點請求
  services = SELECT s
  FROM events:ev -(To_Service)- :s
  ACCUM s.@api_map += ev.@api_map;

  // 計算異常值統計
  FOREACH (user,cnt) IN s.@api_map DO
    s.@mean += cnt.size()
  END;
  
  // 標準差和異常值計算
  // ... ( flooding detection 查詢類別似的實作)
}

內容解密:

  1. 查詢首先選取指定時間範圍內的所有請求事件,並篩選出Event_Type為"request"的事件。
  2. 透過User_Event邊,查詢為每個使用者記錄其呼叫的端點,並將結果儲存在@api_map中。
  3. 進一步透過To_Service邊,將端點請求按服務進行分組。
  4. 透過計算每個服務的端點請求數量平均值、標準差,並識別出異常值,偵測潛在的Footprinting攻擊。

攻擊來源追蹤

當安全系統發出警示後,我們需要追蹤攻擊的來源以採取相應的應對措施。為此,我們設計了一個名為alert_source_tracing的查詢,用於追蹤特定警示型別的來源。

查詢實作

CREATE QUERY alert_source_tracking(STRING alert_type="Data Corrupted",
INT num_days=8, INT top_ip=20) {
  // 定義累加器
  MaxAccum<STRING> @latest_alert_time;
  MaxAccum<STRING> @latest_read_time;
  SumAccum<INT> @count;
  ListAccum<EDGE> @path_list;

  // 第一階段:從警示追蹤到服務
  service = SELECT serv
  FROM alert_types:s -(Alert_Has_Type:e1)- :alert
  -(Service_Alert:e2)- :serv
  ACCUM
    serv.@latest_alert_time += alert.Alert_Date,
    serv.@path_list += e1, serv.@path_list += e2;

  // 第二階段:從服務追蹤到檔案讀取事件
  resource = SELECT res
  FROM service:s -(From_Service:e1)- :event
  -(Read_From_Resource:e2)- :res
  WHERE datetime_diff(s.@latest_alert_time,event.Start_Date)
  BETWEEN

## 圖演算法在航空飛行路線分析中的應用

在前一章中,我們探討了圖技術如何加強網路安全。本章將重點轉移到另一個重要的應用領域:航空飛行路線分析。透過使用圖演算法,我們可以深入瞭解複雜的航空網路,找出最具影響力的機場,並最佳化飛行路線。

### 目標:分析全球航空飛行路線網路

荷蘭阿姆斯特丹史基浦機場(Schiphol Airport)是全球重要的航空樞紐之一。儘管荷蘭人口僅約1700萬,但史基浦機場每年卻能處理超過2500萬名乘客和160萬噸貨物。為了實作這一壯舉,機場需要面對排程數百架飛機、執行數千次航班的挑戰。史基浦機場在2019年曾經有近5億次的空中交通運輸動作,充分展現了航空運輸網路的複雜性。

#### 挑戰與需求

1. **航班排程最佳化**:機場需要盡可能地最佳化航班排程,以最大化利潤。
2. **乘客路線選擇**:乘客需要根據自己的需求選擇最合適的飛行路線。
3. **航空公司網路分析**:航空公司和相關產業需要分析航空網路,以找出最佳的樞紐機場或潛在的新航線機會。

### 解決方案:圖演算法在飛行路線網路中的應用

航空交通形成了一個由機場和航班連線而成的複雜網路。因此,圖分析成為了視覺化和分析航線及其對機場業務影響的自然選擇。我們可以使用有向圖來表示每個航班的出發地和目的地,並利用邊屬性來包含成本(如距離、時間或碳排放量)等資訊。

#### 圖演算法的優勢

1. **基本觀察**:透過構建圖,我們可以輕鬆進行基本觀察,如統計每個機場的進出港航班數量。
2. **複雜分析**:利用圖演算法,我們可以進行更複雜的分析,如識別最具影響力的機場和最節省成本的路徑。

### 圖演算法的應用範疇

本章將重點介紹三類別主要的圖演算法:

1. **最短路徑演算法**:用於找出兩個機場之間的最短或最優航線。
2. **中心性演算法**:用於評估機場在整個航空網路中的重要性。
3. **社群檢測演算法**:用於識別航空網路中的緊密連線的子網路。

#### 程式碼實作範例

以下是一個簡化的GSQL查詢範例,用於電腦場間的最短路徑:
```gsql
CREATE QUERY shortest_path(VERTEX<Airport> source, VERTEX<Airport> target) FOR GRAPH AirlineNetwork {
    SetAccum<EDGE> @@path;
    Start = {source};
    WHILE Start.size() > 0 DO
        Step = SELECT t FROM Start:s -(Flight:e)- :t
               ACCUM @@path += e;
        IF Step.size() == 0 THEN
            BREAK;
        END;
        Start = Step;
    END;
    PRINT @@path;
}

內容解密:

此GSQL查詢定義了一個名為shortest_path的查詢,用於計算航空網路中兩個機場之間的最短路徑。

  1. CREATE QUERY陳述式用於定義一個新的查詢。
  2. FOR GRAPH AirlineNetwork指定了查詢所操作的圖。
  3. SetAccum<EDGE> @@path;定義了一個累加器@@path,用於儲存路徑上的邊。
  4. Start = {source};初始化起始點為輸入的source機場。
  5. WHILE迴圈用於進行廣度優先搜尋(BFS),逐步擴充套件路徑直到到達目標機場或無法繼續擴充套件。
  6. ACCUM @@path += e;將當前邊加入到路徑累加器中。
  7. 最終,PRINT @@path;輸出計算得到的最短路徑。

實際應用案例

  1. 航空公司航線最佳化:利用最短路徑演算法,航空公司可以最佳化其航線網路,減少營運成本。
  2. 機場樞紐評估:透過中心性演算法,航空公司和機場管理者可以評估各個機場在全球航空網路中的重要性。
  3. 旅遊套餐設計:旅行社可以利用社群檢測演算法,找出相對獨立的航空子網路,設計更具吸引力的旅遊套餐。

隨著航空業的不斷發展和全球連線的日益緊密,圖演算法在航空網路分析中的應用將會越來越重要。未來,我們可以期待看到更多根據圖技術的創新應用,如更精準的航班延誤預測、更最佳化的航線規劃等。

航空網路結構示意圖

  graph LR
    A[機場A] -->|航班|> B(機場B)
    A -->|航班|> C(機場C)
    B -->|航班|> D(機場D)
    C -->|航班|> D
    D -->|航班|> E(機場E)

圖表翻譯: 此圖表展示了一個簡單的航空網路結構,其中節點代表機場,邊代表機場之間的航班連線。透過分析這樣的網路結構,我們可以瞭解不同機場之間的連線情況和航空交通的流動模式。

深入分析

  1. 網路結構特性:航空網路通常表現出小世界網路的特性,即大多數節點之間透過少數步驟即可到達。
  2. 關鍵節點識別:透過中心性分析,我們可以識別出網路中的關鍵節點(樞紐機場),這些機場在整個網路中扮演著重要的角色。
  3. 社群結構:利用社群檢測演算法,我們可以發現航空網路中的緊密連線的子網路,這些子網路可能對應著特定的地理區域或航空聯盟。

透過對航空網路的深入分析,我們可以為航空業的各個參與者提供有價值的洞察,幫助他們做出更明智的決策。

實作機場與航班路線分析器

本章節將展示如何使用TigerGraph Cloud Starter Kit來分析機場與航班路線資料。

圖形結構與資料集介紹

該資料集代表了2014年左右的實際機場和航班路線,資料來源為OpenFlights.org。圖形結構包含一個頂點型別(Airport)和兩個邊型別(flight_route和flight_to)。

頂點屬性

  • ID:機場的內部識別碼
  • name:機場名稱
  • city:城市名稱
  • country:國家名稱
  • IATA code:國際航空運輸協會(IATA)為機場指定的三字母程式碼
  • latitude:緯度
  • longitude:經度
  • score:通用屬性,用於儲存演算法的結果,例如PageRank分數

邊型別

  • flight_route:無向邊,表示兩個機場之間有直飛航班
  • flight_to:有向邊,表示從一個機場到另一個機場的直飛航班

資料集包含7,935個機場頂點、19,268條無向的flight_route邊和37,606條有向的flight_to邊。

圖形演算法的應用

TigerGraph Cloud提供了Graph Algorithms Starter Kit,包含多種圖形演算法。我們將使用其中的一些演算法來分析航班路線網路。

安裝GDS Library中的演算法

TigerGraph的GDS Library提供了超過55種圖形演算法,這些演算法遵循標準定義,可以在符合條件的圖形上執行。我們將使用schema-free演算法,這些演算法以GSQL查詢的形式提供,可以直接安裝並執行於任何圖形。

安裝步驟

  1. 在GraphStudio的Write Queries頁面,點選Add New Query按鈕。
  2. 在彈出的面板中,選擇CHOOSE FROM LIBRARY。
  3. 選擇Centrality類別下的Betweenness Centrality和Closeness Centrality,Community類別下的Connected Components,以及Path類別下的Shortest Path。
  4. 點選INSTALL,等待安裝完成。

查詢與分析

該Starter Kit涵蓋了三類別圖形演算法,分別用於分析航班路線。此外,還提供了一些實用查詢功能來準備和分析資料。

實用查詢功能

  • 計算航班距離:利用機場的經緯度計算直飛航班的距離。
  • 搜尋頂點:根據城市名稱或機場名稱搜尋機場頂點。

路徑演算法

  • Shortest Path:尋找兩個機場之間中轉次數最少的路線。
  • Shortest Path, Weighted:根據邊的權重(例如距離或成本)尋找最短路徑。

程式碼實作

// 安裝schema-free演算法
INSTALL QUERY BetweennessCentrality(/*引數*/)
INSTALL QUERY ClosenessCentrality(/*引數*/)
INSTALL QUERY ConnectedComponents(/*引數*/)
INSTALL QUERY ShortestPath(/*引數*/)

// 計算航班距離
CREATE QUERY CalculateFlightDistances() FOR GRAPH FlightRouteGraph {
    // 使用經緯度計算距離的邏輯
}

///#### 內容解密:
///1. 使用經緯度計算距離的公式,例如Haversine公式。
///2. 將計算結果儲存為邊的屬性。

// 搜尋頂點
CREATE QUERY SearchVertex(string keyword) FOR GRAPH FlightRouteGraph {
    // 搜尋邏輯
}

///#### 內容解密:
///1. 根據關鍵字在機場名稱、城市名稱中進行搜尋。
///2. 傳回符合條件的機場頂點。

// 最短路徑查詢
CREATE QUERY ShortestPathQuery(vertex<Airport> start, vertex<Airport> end) FOR GRAPH FlightRouteGraph {
    // 使用Shortest Path演算法
}

///#### 內容解密:
///1. 呼叫Shortest Path演算法尋找最短路徑。
///2. 傳回路徑中的頂點和邊。

圖表說明

  graph LR
    A[Airport] -->|flight_to|> B[Airport]
    A -->|flight_route|> B
    subgraph "圖形結構"
        A
        B
    end

圖表翻譯: 此圖示展示了機場之間的航班路線圖形結構,包括有向邊(flight_to)和無向邊(flight_route)。

  • 結合即時航班資料進行動態分析。
  • 使用機器學習模型預測航班延誤和取消的機率。
  • 進一步最佳化查詢效能,以支援大規模的航班資料分析。

透過這些發展,我們可以建立更完善的航班分析系統,為航空業提供更準確的決策支援。

玄貓

玄貓

技術愛好者,專注於分享程式開發、雲端技術與 AI 應用的心得體會。