一种社交网络异常行为检测方法、装置和计算机设备制造方法及图纸

本申请涉及一种社交网络异常行为检测方法、装置和计算机设备。所述方法将持久子图模式和非持久子图模式分开存储，其中计数槽仅存储非持久子图的持久累计值而不对非持久子图模式进行划分，存储桶中才进行持久子图模式的划分和持久值计数，如此合理分配内存，大大提高了检测效率和降低了内存和计算成本，同时会在每个时间戳实时更新持久子图模式，确保维持内存合理分配的状态。采用本方法能够提高异常行为检测效率，同时降低检测计算成本。同时降低检测计算成本。同时降低检测计算成本。

【技术实现步骤摘要】
一种社交网络异常行为检测方法、装置和计算机设备


[0001]本申请涉及数据挖掘
，特别是涉及一种社交网络异常行为检测方法、装置和计算机设备。

技术介绍

[0002]图流分析在各个领域越来越重要，因为许多实际图应用具有天然的动态性。以往图流的子图发现问题主要集中在频率和突发等特征上。持久性作为一种新的特征，正受到越来越多的关注。持久子图发现突出了子图在许多时间窗口中重复出现的行为，这对于许多实际应用程序(例如异常检测)是至关重要的。尽管持久子图发现在现实生活中有许多有趣的应用，但没有现成的解决方案可以有效地挖掘持久模式。
[0003]最近的一个发展是以图流形式组织的高吞吐量、动态图结构化数据的激增。例如，考虑知识图DBpedia，它根据维基百科中的变化日志流每天更新。图流分析在子图匹配、频繁模式挖掘和突发模式挖掘等各个领域越来越重要。除了上述特征之外，另一个重要特征—持久性也越来越受到关注。给定子图模式P和具有T个翻转窗口的图流，P的持久性定义为P出现的时间窗口的数量。如果P的持久性大于用户定义的阈值，就说P是持久性模式。持续模式通常表示异常或值得注意的事件的发生。接下来，使用一个检测计算机网络中异常行为的示例来说明其基本思想。
[0004]异常行为具有模式1。安全分析师可以通过监控网络流量中异常子图模式的发生(基于子图同构的语义)来识别异常行为。如图1所示，一些异常行为试图通过在多个时间窗口中传播其通信来隐藏。结果，这些模式无法通过找到频繁的子图模式来检测。为了检测这种威胁，我们应该使用持久性而不是频率作为指标。图1显示了两种通信模式及其在相应时间窗口内的匹配结果。P1是通过找到频繁子图模式检测到的模式，这只是一种通用的广播机制，不能提供有价值的信息。P2是通过使用持久性检测的模式，表示攻击模式。P2描述了信息泄露，被攻击主机从机器人程序接收命令，并与导致数据泄露的受损网站交换数据。
[0005]形式上，给定图流G、持久性阈值δ和整数k，连续持久模式发现问题是找到至少出现在δ个翻转窗口中的k边子图模式。尽管重要，但持续的持久模式发现问题缺乏专门的技术处理。一种简单的方法是枚举每个时间窗口中所有可能的k边子图，然后计算这些子图的相应模式，以验证当前窗口中每个模式的存在。该方法需要计算和存储每个时间窗口的所有k边子图，此外，需要重新执行子图同构计算以验证每个窗口中每个k边模式的存在，这消耗了大量的时间和内存。。因此，需要先进的技术来有效地发现事件行为持久模式，以便及时准确地检测社交网络异常行为。

技术实现思路

[0006]基于此，有必要针对上述技术问题，提供一种能够确保检测效率和准确率的社交网络异常行为检测方法、装置和计算机设备。
[0007]一种社交网络异常行为检测方法，所述方法包括：
[0008]获取当前时间戳的社交网络快照图，从社交网络快照图中抽取得到包含当前时间戳的新插入边的新k边子图集；新k边子图集中包括多个新k边子图；社交网络快照图为包含历史时间窗口内的所有边，以及当前时间窗口内的历史时间戳的所有边和当前时间戳的新插入边的导出图；每条边由2个顶点连接而构成，顶点表示用户，边表示用户之间互动形成的事件行为；
[0009]获取当前时间戳的辅助数据结构；辅助数据结构由l个计数槽和l个存储桶组成；每个存储桶对应一个计数槽，且由w个键值对组成；每个键值对中的键对应一个k边子图模式，值对应k边子图模式的持久累计值；计数槽用于记录非持久子图的持久累计值；在一个时间窗口内，一个键值对至多参与一次持久值计数；每一k边子图模式对应一个事件行为；
[0010]获取预先构建的哈希函数，采用哈希函数将各个新k边子图映射到对应的存储桶中，当新k边子图不同构于对应的存储桶中的所有键值对的k边子图模式时，采用哈希函数将各个新k边子图映射到对应的计数槽中，若新k边子图对应的存储桶中的最小持久累计值小于对应的计数槽中的非持久子图的持久累计值，则将计数槽的持久累计值和最小持久累计值进行交换并将最小持久累计值对应的键更新为k边子图的模式；
[0011]若经过当前时间窗口后存在持久累计值超过预设阈值，判定相应的k边子图模式对应的事件行为为异常行为。
[0012]一种社交网络异常行为检测装置，装置包括：
[0013]新k边子图集抽取模块，用于获取当前时间戳的社交网络快照图，从社交网络快照图中抽取得到包含当前时间戳的新插入边的新k边子图集；新k边子图集中包括多个新k边子图；社交网络快照图为包含历史时间窗口内的所有边，以及当前时间窗口内的历史时间戳的所有边和当前时间戳的新插入边的导出图；每条边由2个顶点连接而构成，顶点表示用户，边表示用户之间互动形成的事件行为；
[0014]辅助数据结构获取模块，用于获取当前时间戳的辅助数据结构；辅助数据结构由l个计数槽和l个存储桶组成；每个存储桶对应一个计数槽，且由w个键值对组成；每个键值对中的键对应一个k边子图模式，值对应k边子图模式的持久累计值；计数槽用于记录非持久子图的持久累计值；在一个时间窗口内，一个键值对至多参与一次持久值计数；每一k边子图模式对应一个事件行为；
[0015]持久子图模式更新模块，用于获取预先构建的哈希函数，采用哈希函数将各个新k边子图映射到对应的存储桶中，当新k边子图不同构于对应的存储桶中的所有键值对的k边子图模式时，采用哈希函数将各个新k边子图映射到对应的计数槽中，若新k边子图对应的存储桶中的最小持久累计值小于对应的计数槽中的非持久子图的持久累计值，则将计数槽的持久累计值和最小持久累计值进行交换并将最小持久累计值对应的键更新为k边子图的模式；
[0016]异常行为判定模块，用于若经过当前时间窗口后存在持久累计值超过预设阈值，判定相应的k边子图模式对应的事件行为为异常行为。
[0017]一种计算机设备，包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时实现以下步骤：
[0018]获取当前时间戳的社交网络快照图，从社交网络快照图中抽取得到包含当前时间戳的新插入边的新k边子图集；新k边子图集中包括多个新k边子图；社交网络快照图为包含
历史时间窗口内的所有边，以及当前时间窗口内的历史时间戳的所有边和当前时间戳的新插入边的导出图；每条边由2个顶点连接而构成，顶点表示用户，边表示用户之间互动形成的事件行为；
[0019]获取当前时间戳的辅助数据结构；辅助数据结构由l个计数槽和l个存储桶组成；每个存储桶对应一个计数槽，且由w个键值对组成；每个键值对中的键对应一个k边子图模式，值对应k边子图模式的持久累计值；计数槽用于记录非持久子图的持久累计值；在一个时间窗口内，一个键值对至多参与一次持久值计数；每一k边子图模式对应一个事件行为；
[0020]获取预先构建的哈希函数，采用哈希函数将各个新k边子图映射到对应的存储桶中，当新k边子图不同构于对应的存储桶中的所有键值对的k边子图模式时，采用哈希函数将各个新k边子图映射到对应的计数槽中，若新k边子图对应的存储桶中的最小本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种社交网络异常行为检测方法，其特征在于，所述方法包括：获取当前时间戳的社交网络快照图，从所述社交网络快照图中抽取得到包含当前时间戳的新插入边的新k边子图集；所述新k边子图集中包括多个新k边子图；所述社交网络快照图为包含历史时间窗口内的所有边，以及当前时间窗口内的历史时间戳的所有边和当前时间戳的新插入边的导出图；每条边由2个顶点连接而构成，顶点表示用户，边表示用户之间互动形成的事件行为；获取当前时间戳的辅助数据结构；所述辅助数据结构由l个计数槽和l个存储桶组成；每个存储桶对应一个计数槽，且由w个键值对组成；每个键值对中的键对应一个k边子图模式，值对应所述k边子图模式的持久累计值；所述计数槽用于记录非持久子图的持久累计值；在一个时间窗口内，一个键值对至多参与一次持久值计数；每一k边子图模式对应一个事件行为；获取预先构建的哈希函数，采用所述哈希函数将各个新k边子图映射到对应的存储桶中，当所述新k边子图不同构于所述对应的存储桶中的所有键值对的k边子图模式时，采用所述哈希函数将各个新k边子图映射到对应的计数槽中，若所述新k边子图对应的存储桶中的最小持久累计值小于对应的所述计数槽中的非持久子图的持久累计值，则将所述计数槽的持久累计值和所述最小持久累计值进行交换并将最小持久累计值对应的键更新为所述k边子图的模式；若经过当前时间窗口后存在持久累计值超过预设阈值，判定相应的k边子图模式对应的事件行为为异常行为。2.根据权利要求1所述的方法，其特征在于，所述键值对和计数槽中还包括计数状态字段；所述计数状态字段为True或False；当所述键值对和/或计数槽在当前时间窗口内尚未参与过持久值计数时，对应的计数状态字段为True；当所述键值对和/或计数槽在当前时间窗口内已参与过一次持久值计数时，对应的计数状态字段为False。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：当所述新k边子图同构于所述对应的存储桶中的键值对的k边子图模式且所述键值对在当前时间窗口内尚未参与过持久值计数时，所述键值对参与持久值计数并更新对应的k边子图模式的持久累计值。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：若所述新k边子图对应的存储桶中的最小持久累计值不小于对应的所述计数槽中的非持久子图的持久累计值且所述计数槽在当前时间窗口内尚未参与过持久值计数时，所述计数槽参与持久值计数并更新对应的非持久子图的持久累计值。5.根据权利要求1至4任意一项所述的方法，其特征在于，采用所述哈希函数将各个新k边子图映射到对应的存储桶或计数槽的步骤包括：利用图不变量将各个新k边子图编码为字符串表示，使得同构子图被映射到对应的存储桶或计数槽，具体包括：分别将各个新k边子图e＝(v
i
,v
j
,t(e))的每个顶点的度和标签连接在一起，作为对应顶点的新标签l(v)；其中，v
i
,v
j
为新k边子图e中的顶点，t(e)为新k边子图e中对应顶点构成
的边；根据所述顶点的新标签得到所述新k边子图中每条边的新标签l(e)＝(l(v
i
),l(v
j
))；根据所述社交网络快照图的各个边对应的单边模式出现的顺序为每条边指定权重w(e)；其中，单边模式首次出现的越早，对应的权重越小；若w(e
i
)<w(e
j
)，则e
i
<e
j
；若w(e
i

【专利技术属性】
技术研发人员：张千桢，黄楚，郭得科，任棒棒，罗来龙，
申请(专利权)人：中国人民解放军国防科技大学，
类型：发明
国别省市：