风险检测方法、装置、设备和存储介质制造方法及图纸

本发明专利技术实施例提出一种风险检测方法、装置、设备和存储介质，其中的方法包括获取目标节点的子图结构，子图结构包括目标节点在预设时间段内的多个时间点的节点邻居快照，节点邻居快照包括目标节点与目标节点的至少一个关联节点的关联关系；根据子图结构获取目标节点的时序向量列表；将时序向量列表输入风险检测模型，得到目标节点的风险检测结果。本发明专利技术实施例的方法可以融合多源异构威胁情报数据，由此构建由节点特征和节点关联关系在长时间表现下形成的时序关联网络，通过关联学习和时间序列预测，实现节点的场景化风险预测。

Risk detection methods, devices, equipment and storage media

【技术实现步骤摘要】
风险检测方法、装置、设备和存储介质
本专利技术涉及信息安全
，尤其涉及一种风险检测方法、装置、设备和存储介质。
技术介绍
随着信息量的日益庞大，恶意文档、恶意网页、恶意执行文件等越来越多，因此，对情报信息进行风险检测，以提高信息安全性，显得极为重要。对情报信息进行风险检测，可以通过人工构造特征来提取图结构的信息。例如：人工构造诸如度中心性、介数中心性和紧密中心性等的衡量指标，利用设备关联的账号数等等统计值，并结合关联网络某个节点邻域的特性，进行风险分析。这种方案基于人工构造的特征，因此不能全面反映出图的结构和拓扑语义，且不能很好地处理关联网络之中历史积累的情报信息。对情报信息进行风险检测，还可以采用联通子图算法或者社区算法划分社区，通过分析每个社区的风险度，定义出风险用户。其缺点是通常需要迭代计算，在海量数据集上计算开销大，结果难以收敛，可解释性较差。
技术实现思路
本专利技术实施例提供一种风险检测方法、装置、设备和存储介质，以解决现有技术中的一个或多个技术问题。第一方面，本专利技术实施例提供了一种风险检测方法，包括：获取目标节点的子图结构，所述子图结构包括所述目标节点在预设时间段本文档来自技高网...

【技术保护点】
1.一种风险检测方法，其特征在于，包括：获取目标节点的子图结构，所述子图结构包括所述目标节点在预设时间段内的多个时间点的节点邻居快照，所述节点邻居快照包括所述目标节点与所述目标节点的至少一个关联节点的关联关系；根据所述子图结构获取所述目标节点的时序向量列表；将所述时序向量列表输入风险检测模型，得到所述目标节点的风险检测结果。

【技术特征摘要】
1.一种风险检测方法，其特征在于，包括：获取目标节点的子图结构，所述子图结构包括所述目标节点在预设时间段内的多个时间点的节点邻居快照，所述节点邻居快照包括所述目标节点与所述目标节点的至少一个关联节点的关联关系；根据所述子图结构获取所述目标节点的时序向量列表；将所述时序向量列表输入风险检测模型，得到所述目标节点的风险检测结果。2.根据权利要求1所述的方法，其特征在于，根据所述子图结果获取所述目标节点的时序向量列表，包括：对所述目标节点在所述时间点的节点邻居快照进行特征提取，得到所述目标节点在所述时间点的特征向量；基于时间顺序拼接所述目标节点在每个所述时间点的特征向量，得到所述时序向量列表。3.根据权利要求1所述的方法，其特征在于，根据所述子图结构获取所述目标节点的时序向量列表，包括：根据所述目标节点在所述时间点的节点邻居快照，获取多个属性向量；按照各所述属性向量的类型，聚合各所述属性向量，得到所述目标节点在所述时间点的特征向量；基于时间顺序拼接所述目标节点在每个所述时间点的特征向量，得到所述时序向量列表。4.根据权利要求1至3任一项所述的方法，其特征在于，获取目标节点的子图结构，包括：在所述预设时间段内采样多种类型的情报数据；基于各所述情报数据生成多个关系子图，所述关系子图包括多个节点、各节点之间的关联关系、所述关联关系的建立时间，所述节点包括所述目标节点和所述目标节点的关联节点；基于至少一个所述关系子图，获取所述目标节点的子图结构。5.根据权利要求4所述的方法，其特征在于，基于至少一个所述关系子图，获取所述目标节点的子图结构，包括：根据至少一个所述关系子图，对所述目标节点在每个所述时间点的关联关系进行检索，得到所述目标节点在每个所述时间点的节点邻居快照。6.一种风险检测装置，其特征在于，包括：子图结构获取模块，用于获取目标节点的子图结构，所述子图结构包括所述目标节点在预设时间段内的多个时间点的节点邻居快照，所述节点邻居快照包括所述目标节点与所述目标节点的至少一个关联节点的关联关系；时序向...

【专利技术属性】
技术研发人员：徐超，朱林，熊蜀光，
申请(专利权)人：百度在线网络技术北京有限公司，
类型：发明
国别省市：北京,11