行为特征提取方法以及行为特征提取装置制造方法及图纸

本公开关于一种行为特征提取方法以及行为特征提取装置，包括：对内网机的行为日志数据进行异构图数据结构处理，获得目标异构图；基于第一节点特征集和第一元路径集获取第一元路径特定节点特征集；将第一元路径特定节点特征集输入第一注意力模块，获得目标异构图的第一节点表示；将目标异构图的第一节点表示输入全局表示编码器，获得全局摘要向量；将第二元路径特定节点特征集输入第二注意力模块，获得目标异构图的第二节点表示；将第一互信息输入正样本鉴别器，并将第二互信息输入负样本鉴别器，获得内网机的行为日志数据对应的人员行为特征。为特征。为特征。

【技术实现步骤摘要】
行为特征提取方法以及行为特征提取装置


[0001]本公开涉及神经网络
，更具体地说，涉及一种行为特征提取方法以及行为特征提取装置。

技术介绍

[0002]随着信息技术的发展和网络化应用的普遍推广，在局域网络的内网机的管理中容易发生因为人员操作不当造成内部信息泄露的情况。针对局域网络中的相关人员操作内网机的行为日志数据，可以使用图神经网络对这种非欧几里得数据进行特征挖掘，用来分析内网机操作人员的异常操作，能够在一定程度上降低内部信息泄漏的风险。
[0003]内网机的日志数据可能包含多种类型，对其使用图结构进行存储时会产生多种类型的节点和边。现有技术中，通过内网机的日志数据进行人员行为特征提取时，所采用的图神经网络多为同构图神经网络，无法有效的利用不同节点间的属性信息以及不同节点通过连接所传递出的语义信息，导致提取出的人员行为特征与实际人员行为特征偏差较大。

技术实现思路

[0004]本公开提供一种行为特征提取方法以及行为特征提取装置，以至少解决上述相关技术中，通过内网机的日志数据进行人员行为特征提取时，所采用的图神经网络多为同构图神经网络，无法有效的利用不同节点间的属性信息以及不同节点通过连接所传递出的语义信息，导致提取出的人员行为特征与实际人员行为特征偏差较大的技术问题。
[0005]根据本公开实施例的第一方面，提供一种行为特征提取方法，包括：获取内网机的行为日志数据；对所述内网机的行为日志数据进行异构图数据结构处理，获得目标异构图，所述目标异构图包含多个节点，所述多个节点中每个节点对应有原始特征，所述多个节点中不同类型的节点之间形成第一元路径；基于第一节点特征集和第一元路径集获取第一元路径特定节点特征集，其中，所述第一节点特征集包含所述多个节点中每个节点对应的原始特征，所述第一元路径集包含多个所述第一元路径，所述第一元路径特定节点特征集包含所述多个节点中每个节点对应的第一特定特征；将所述第一元路径特定节点特征集输入第一注意力模块，获得所述目标异构图的第一节点表示；将所述目标异构图的第一节点表示输入全局表示编码器，获得全局摘要向量；将所述第一节点特征集以及所述第一元路径集输入负样本生成器，获得第二节点特征集以及第二元路径集；基于所述第二节点特征集以及所述第二元路径集获取第二元路径特定节点特征集，其中，所述第二元路径特定节点特征集包含所述多个节点中每个节点对应的第二特定特征；将所述第二元路径特定节点特征集输入第二注意力模块，获得所述目标异构图的第二节点表示；利用第一训练鉴别器最大化所述目标异构图的第一节点表示以及所述全局摘要向量之间的互信息，获得最大化处理后的第一互信息；利用第二训练鉴别器最大化所述目标异构图的第二节点表示以及所述全局摘要向量之间的互信息，获得最大化处理后的第二互信息；将所述第一互信息输入正样本鉴别器，并将所述第二互信息输入负样本鉴别器，获得所述内网机的行为日志数据对
应的人员行为特征。
[0006]可选地，所述基于第一节点特征集和第一元路径集获取第一元路径特定节点特征集，包括：通过以下公式获取所述第一元路径特定节点特征集：其中，为所述第一元路径特定节点特征集中的第i个节点对应的第一特定特征，为第一节点级的编码器，为所述第一节点特征集中第i个节点的原始特征，为所述第一元路径集中第i个第一元路径对应的邻接矩阵，，n为所述多个节点的数量。
[0007]可选地，所述将所述第一元路径特定节点特征集输入第一注意力模块，获得所述目标异构图的第一节点表示，包括：通过以下公式确定所述多个节点中每个节点对应的权重：其中，为所述多个节点中第i个节点对应的权重，为所述第一注意力模块；基于所述每个节点对应的权重以及所述第一元路径特定节点特征集，获取所述目标异构图的第一节点表示。
[0008]可选地，所述基于所述每个节点对应的权重以及所述第一元路径特定节点特征集，获取所述目标异构图的第一节点表示，包括：通过以下公式获取所述目标异构图的第一节点表示：其中，为所述目标异构图的第一节点表示。
[0009]可选地，所述基于所述第二节点特征集以及所述第二元路径集获取第二元路径特定节点特征集，包括：通过以下公式获取所述第二元路径特定节点特征集：其中，为所述第二元路径特定节点特征集中的第i个节点对应的第二特定特征，为第二节点级的编码器，为所述第二节点特征集中第i个节点的原始特征，为所述第二元路径集中第i个第二元路径对应的邻接矩阵，，n为所述多个节点的数量。
[0010]可选地，所述将所述第二元路径特定节点特征集输入第二注意力模块，获得所述
目标异构图的第二节点表示，包括：通过以下公式确定所述多个节点中每个节点对应的权重：其中，为所述多个节点中第i个节点对应的权重，为所述第二注意力模块；基于所述每个节点对应的权重以及所述第二元路径特定节点特征集，获取所述目标异构图的第二节点表示。
[0011]可选地，所述基于所述每个节点对应的权重以及所述第二元路径特定节点特征集，获取所述目标异构图的第二节点表示，包括：通过以下公式获取所述目标异构图的第二节点表示：其中，为所述目标异构图的第二节点表示。
[0012]根据本公开实施例的第二方面，提供一种行为特征提取装置，包括：第一获取模块，被配置为获取内网机的行为日志数据；处理模块，被配置为对所述内网机的行为日志数据进行异构图数据结构处理，获得目标异构图，所述目标异构图包含多个节点，所述多个节点中每个节点对应有原始特征，所述多个节点中不同类型的节点之间形成第一元路径；第二获取模块，被配置为基于第一节点特征集和第一元路径集获取第一元路径特定节点特征集，其中，所述第一节点特征集包含所述多个节点中每个节点对应的原始特征，所述第一元路径集包含多个所述第一元路径，所述第一元路径特定节点特征集包含所述多个节点中每个节点对应的第一特定特征；第一输入模块，被配置为将所述第一元路径特定节点特征集输入第一注意力模块，获得所述目标异构图的第一节点表示；第二输入模块，被配置为将所述目标异构图的第一节点表示输入全局表示编码器，获得全局摘要向量；第三输入模块，被配置为将所述第一节点特征集以及所述第一元路径集输入负样本生成器，获得第二节点特征集以及第二元路径集；第三获取模块，被配置为基于所述第二节点特征集以及所述第二元路径集获取第二元路径特定节点特征集，其中，所述第二元路径特定节点特征集包含所述多个节点中每个节点对应的第二特定特征；第四输入模块，被配置为将所述第二元路径特定节点特征集输入第二注意力模块，获得所述目标异构图的第二节点表示；第一最大化模块，被配置为利用第一训练鉴别器最大化所述目标异构图的第一节点表示以及所述全局摘要向量之间的互信息，获得最大化处理后的第一互信息；第二最大化模块，被配置为利用第二训练鉴别器最大化所述目标异构图的第二节点表示以及所述全局摘要向量之间的互信息，获得最大化处理后的第二互信息；第五输入模块，被配置为将所述第一互信息输入正样本鉴别器，并将所述第二互信息输入负样本鉴别器，获得所述内网机的行为日志数据对应的人员行为特征。
[001本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种行为特征提取方法，其特征在于，包括：获取内网机的行为日志数据；对所述内网机的行为日志数据进行异构图数据结构处理，获得目标异构图，所述目标异构图包含多个节点，所述多个节点中每个节点对应有原始特征，所述多个节点中不同类型的节点之间形成第一元路径；基于第一节点特征集和第一元路径集获取第一元路径特定节点特征集，其中，所述第一节点特征集包含所述多个节点中每个节点对应的原始特征，所述第一元路径集包含多个所述第一元路径，所述第一元路径特定节点特征集包含所述多个节点中每个节点对应的第一特定特征；将所述第一元路径特定节点特征集输入第一注意力模块，获得所述目标异构图的第一节点表示；将所述目标异构图的第一节点表示输入全局表示编码器，获得全局摘要向量；将所述第一节点特征集以及所述第一元路径集输入负样本生成器，获得第二节点特征集以及第二元路径集；基于所述第二节点特征集以及所述第二元路径集获取第二元路径特定节点特征集，其中，所述第二元路径特定节点特征集包含所述多个节点中每个节点对应的第二特定特征；将所述第二元路径特定节点特征集输入第二注意力模块，获得所述目标异构图的第二节点表示；利用第一训练鉴别器最大化所述目标异构图的第一节点表示以及所述全局摘要向量之间的互信息，获得最大化处理后的第一互信息；利用第二训练鉴别器最大化所述目标异构图的第二节点表示以及所述全局摘要向量之间的互信息，获得最大化处理后的第二互信息；将所述第一互信息输入正样本鉴别器，并将所述第二互信息输入负样本鉴别器，获得所述内网机的行为日志数据对应的人员行为特征。2.如权利要求1所述的方法，其特征在于，所述基于第一节点特征集和第一元路径集获取第一元路径特定节点特征集，包括：通过以下公式获取所述第一元路径特定节点特征集：其中，为所述第一元路径特定节点特征集中的第i个节点对应的第一特定特征，为第一节点级的编码器，为所述第一节点特征集中第i个节点的原始特征，为所述第一元路径集中第i个第一元路径对应的邻接矩阵，，n为所述多个节点的数量。3.如权利要求2所述的方法，其特征在于，所述将所述第一元路径特定节点特征集输入第一注意力模块，获得所述目标异构图的第一节点表示，包括：通过以下公式确定所述多个节点中每个节点对应的权重：
其中，为所述多个节点中第i个节点对应的权重，为所述第一注意力模块；基于所述每个节点对应的权重以及所述第一元路径特定节点特征集，获取所述目标异构图的第一节点表示。4.如权利要求3所述的方法，其特征在于，所述基于所述每个节点对应的权重以及所述第一元路径特定节点特征集，获取所述目标异构图的第一节点表示，包括：通过以下公式获取所述目标异构图的第一节点表示：其中，为所述目标异构图的第一节点表示。5.如权利要求1所述的方法，其特征在于，所述基于所述第二节点特征集以及所述第二元路径集获取第二元路径特定节点特征集，包括：通过以下公式获取所述第二元路径特定节点特征集：其中，为所述第二元路径特定节点特征集中的第i个节点对应的第二特定特征，为第二节点级的编码器，为所述第二节点特征集中第i个节点的原始特征，为所述第二元路径集中第i个第二元路径对应的邻接矩阵，，n为所述多个节点的数量。6.如权利要求5所述的方法，其特征在于，所述将所述第二元路径特定节点特征集输入第二注意力模块，获得所述目标异构图的第二节点表示，包括：通过以下公式确定所述多个节点中每个节点对应的权重：其中，为所述多个节点中第i个节点对应的权重，为所述第二注意力模块；基于所述每个节点对应的权重以及所述第二元路径特定节点特征集，获取所述目标异构图的第二节点表示。7.如权利要求6所述的方法，其特征在于，所述基于所述每个节点对应的权重以及所述第二元路径特定节点特征集，获取所述目标异构图的第二节点表示，包括：通过以下公式获取所述目标异构图的第二节点表示：其中，为所述目标异构图的第二节点表示。8.一种行为特征提取装置，其特征在于，包括：
第一获取模块，被配置为获取内网机的行为日志数据；处理模块，被配置为对所述内网机的行为日志数据进行异构图...

【专利技术属性】
技术研发人员：经小川，杜婉茹，刘萱，王潇茵，李瑞群，
申请(专利权)人：航天宏康智能科技北京有限公司，
类型：发明
国别省市：