本发明专利技术涉及网络安全态势感知技术领域,具体涉及一种基于潜在扩散模型的用户异常行为检测方法,包括使用采集工具采集用户行为数据集,并对所述用户行为数据集进行预处理,得到预处理数据集;基于潜在扩散模型对所述预处理数据集进行数据增强,得到增强后样本;将所述增强后样本输入基于注意力机制的行为检测模块,得到检测结果,本发明专利技术设计基于高效注意力机制的行为检测方法,解决了以往Transformer在进行异常检测的时候检测速度较慢的问题,使得模型在保证检测精度的情况下,提高了检测性能,解决了现有的生成模型对内部危险行为的检测性能较低的问题。测性能较低的问题。测性能较低的问题。
【技术实现步骤摘要】
一种基于潜在扩散模型的用户异常行为检测方法
[0001]本专利技术涉及网络安全态势感知
,尤其涉及一种基于潜在扩散模型的用户异常行为检测方法。
技术介绍
[0002]内部威胁行为往往具有隐蔽性、突发性、稀疏性等特点。针对采用GAN、VAE等经典方法训练得到的生成模型容易陷入局部过拟合且难以收敛,导致检测器的泛化能力不理想,最终影响检测性能。
技术实现思路
[0003]本专利技术的目的在于提供一种基于潜在扩散模型的用户异常行为检测方法,旨在解决现有的生成模型对内部危险行为的检测性能较低的问题。
[0004]为实现上述目的,本专利技术提供了一种基于潜在扩散模型的用户异常行为检测方法,包括以下步骤:
[0005]使用采集工具采集用户行为数据集,并对所述用户行为数据集进行预处理,得到预处理数据集;
[0006]基于潜在扩散模型对所述预处理数据集进行数据增强,得到增强后样本;
[0007]将所述增强后样本输入基于注意力机制的行为检测模块,得到检测结果。
[0008]其中,所述采集工具包括日志管理工具、网络流量分析工具和漏洞扫描工具。
[0009]其中,所述预处理为归一化处理。
[0010]其中,所述基于潜在扩散模型对所述预处理数据集进行数据增强,得到增强后样本,包括:
[0011]建立一个条件输入字典;
[0012]采用扩散模型对所述预处理数据集进行数据增强,得到增强后用户行为数据;
[0013]将所述增强后用户行为数据输入到编码器A中进行编码后,将编码结果映射到潜在空间进行扩散处理,得到扩散数据;
[0014]随机从所述条件输入字典中选择任意一项条件输入到编码器C,由所述编码器C映射到所述潜在空间;
[0015]由所述潜在空间中的转换器对所述扩散数据和映射到所述潜在空间中的条件进行矩阵转换,得到转换数据;
[0016]将所述转换数据输入到降噪器中进行降噪,得到输出结果;
[0017]通过解码器B将所述输出结果从所述潜在空间映射会显式空间,得到增强后样本。
[0018]其中,所述基于注意力机制的行为检测模块包括重叠块嵌入、骨干网络模块、合并层、多层感知机和Softmax层;
[0019]所述骨干网络模块为MixFormer
‑
1D。
[0020]其中,所述将所述增强后样本输入基于注意力机制的行为检测模块,得到检测结
果,包括:
[0021]将所述增强后样本输入所述重叠块嵌入进行处理,得到处理样本;
[0022]将所述处理样本输入所述MixFormer
‑
1D,得到多个输出特征;
[0023]将多个所述输出特征输入所述合并层进行融合,得到融合特征;
[0024]将所述融合特征输入所述多层感知机在经过所述Softmax层进行特征输入,得到检测结果。
[0025]本专利技术的一种基于潜在扩散模型的用户异常行为检测方法,通过使用采集工具采集用户行为数据集,并对所述用户行为数据集进行预处理,得到预处理数据集;基于潜在扩散模型对所述预处理数据集进行数据增强,得到增强后样本;将所述增强后样本输入基于注意力机制的行为检测模块,得到检测结果,本专利技术设计潜在扩散模型进行样本数据增强,解决了以往GAN以及VAE在训练时由于需要同时优化多个模型,而使得训练难以收敛的问题,同时GAN与VAE样本生成较为单一的问题,为检测提供更加丰富逼真的样本;同时设计基于高效注意力机制的行为检测方法,解决了以往Transformer在进行异常检测的时候检测速度较慢的问题,使得模型在保证检测精度的情况下,提高了检测性能,解决了现有的生成模型对内部危险行为的检测性能较低的问题。
附图说明
[0026]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0027]图1是本专利技术提供的一种基于潜在扩散模型的用户异常行为检测方法的总体构建图。
[0028]图2是基于潜在扩散模型对所述预处理数据集进行数据增强的基本架构图。
[0029]图3是基于注意力机制的行为检测模块的示意图。
[0030]图4是本专利技术提供的一种基于潜在扩散模型的用户异常行为检测方法的流程图。
具体实施方式
[0031]下面详细描述本专利技术的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本专利技术,而不能理解为对本专利技术的限制。
[0032]请参阅图1至图4,本专利技术提供一种基于潜在扩散模型的用户异常行为检测方法,包括以下步骤:
[0033]S1使用采集工具采集用户行为数据集,并对所述用户行为数据集进行预处理,得到预处理数据集;
[0034]具体的,所述采集工具包括日志管理工具、网络流量分析工具和漏洞扫描工具。所述预处理为归一化处理。
[0035]S2基于潜在扩散模型对所述预处理数据集进行数据增强,得到增强后样本;
[0036]具体方式为:
[0037]S21建立一个条件输入字典;
[0038]S22采用扩散模型对所述预处理数据集进行数据增强,得到增强后用户行为数据;
[0039]S23将所述增强后用户行为数据输入到编码器A中进行编码后,将编码结果映射到潜在空间进行扩散处理,得到扩散数据;
[0040]S24随机从所述条件输入字典中选择任意一项条件输入到编码器C,由所述编码器C映射到所述潜在空间;
[0041]S25由所述潜在空间中的转换器对所述扩散数据和映射到所述潜在空间中的条件进行矩阵转换,得到转换数据;
[0042]S26将所述转换数据输入到降噪器中进行降噪,得到输出结果;
[0043]S27通过解码器B将所述输出结果从所述潜在空间映射会显式空间,得到增强后样本。
[0044]S3将所述增强后样本输入基于注意力机制的行为检测模块,得到检测结果。
[0045]具体的,所述基于注意力机制的行为检测模块包括重叠块嵌入、骨干网络模块、合并层、多层感知机和Softmax层;所述骨干网络模块为MixFormer
‑
1D。
[0046]具体方式为:
[0047]S31将所述增强后样本输入所述重叠块嵌入进行处理,得到处理样本;
[0048]具体的,将所述增强后样本输入到基于高效注意力机制的行为检测模块,为该模块的训练工作提供数据增强后的用户行为数据。
[0049]其中公式如下:
[0050]设x∈R
F
为一个输入向量,F为特征长度,t为时间,与编码器C编码后的最大向量长度相本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于潜在扩散模型的用户异常行为检测方法,其特征在于,包括以下步骤:使用采集工具采集用户行为数据集,并对所述用户行为数据集进行预处理,得到预处理数据集;基于潜在扩散模型对所述预处理数据集进行数据增强,得到增强后样本;将所述增强后样本输入基于注意力机制的行为检测模块,得到检测结果。2.如权利要求1所述的基于潜在扩散模型的用户异常行为检测方法,其特征在于,所述采集工具包括日志管理工具、网络流量分析工具和漏洞扫描工具。3.如权利要求2所述的基于潜在扩散模型的用户异常行为检测方法,其特征在于,所述预处理为归一化处理。4.如权利要求3所述的基于潜在扩散模型的用户异常行为检测方法,其特征在于,所述基于潜在扩散模型对所述预处理数据集进行数据增强,得到增强后样本,包括:建立一个条件输入字典;采用扩散模型对所述预处理数据集进行数据增强,得到增强后用户行为数据;将所述增强后用户行为数据输入到编码器A中进行编码后,将编码结果映射到潜在空间进行扩散处理,得到扩散数据;随机从所述条件输入字典中选择任意一项条件输入到编码器C,由所述编码器C映射...
【专利技术属性】
技术研发人员:陶晓玲,谢胜勇,何威,贾如春,刘昊伟,
申请(专利权)人:广西朗杰智慧科技发展有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。