【技术实现步骤摘要】
本申请涉及人工智能领域,具体而言,涉及一种用户异常行为信息的确定方法、装置及电子设备。
技术介绍
1、随着互联网技术的不断发展和企业信息数字化能力的持续增强,随之而来将不断面对来自内部和外部的网络攻击或数据泄露等威胁企业数据安全的行为,因此加强网络安全防护和数据安全保障的责任非常重大。
2、异常检测算法常被用于发现网络安全中的网络攻击行为,一般绝大部分的网络访问都是用户的正常访问浏览,因此有风险的访问会有别与正常的访问,例如短时高频访问、敏感目录访问等等。
3、常用的异常检测算法有基于聚类的方法(k-means、dbscan(density-basedspatial clustering of applications with noise)、som(self-organizing map)等)、基于深度的方法(孤立森林等)和基于神经网络的方法(自动编码器(autoencoder,ae)算法等)。传统的异常检测算法依赖专家经验和人工的特征提取,对于时序的信息和关联信息的捕捉能力非常弱,常被用于数据维度小的场景。ae算法被广泛应用于复杂场景的异常检测,通过对比重构误差来判别异常数据,这虽然能帮助识别全局的异常行为,然而对于高频的时序交互数据中异常检测的检测效果的准确性较低。
4、针对相关技术中检测用户在网络中的异常行为时,由于传统的异常检测算法对于时序信息的捕捉能力较弱,导致检测结果准确率较低的问题,目前尚未提出有效的解决方案。
技术实现思路
1、
2、为了实现上述目的,根据本申请的一个方面,提供了一种用户异常行为信息的确定方法,该方法包括:接收目标用户在预设时间段内发出的请求,得到请求集合;按照各个请求的接收时刻将所述请求集合拆分为第一请求集合和第二请求集合,其中,所述第一请求集合中请求的接收时刻早于所述第二请求集合中请求的接收时刻;将所述第一请求集合对应的特征向量输入目标生成对抗网络模型的生成器中,生成目标特征向量,其中,所述目标生成对抗网络模型是采用用户请求和请求的接收时刻对生成对抗网络模型进行训练后得到的模型;将所述第二请求集合对应的特征向量和所述目标特征向量输入所述目标生成对抗网络模型的判别器中,计算所述目标用户存在异常行为信息的目标概率;在所述目标概率高于预设概率阈值的情况下,确定所述目标用户存在异常行为信息。
3、进一步地,所述目标生成对抗网络模型由以下步骤得到:从业务系统的日志数据中确定用户信息、用户的历史请求信息,得到历史请求信息;依据所述历史请求信息构建异构图,得到图集合;构建生成器和判别器,得到所述生成对抗网络模型;采用所述图集合中的节点信息对所述生成对抗网络模型进行训练,得到所述目标生成对抗网络模型。
4、进一步地,依据所述历史请求信息构建异构图,得到图集合包括:依据所述历史请求信息构建异构图,得到第一图;依据所述历史请求信息中每个请求的接收时刻将所述第一图拆分为第二图和第三图,其中,所述第三图中请求的接收时刻晚于所述第二图中请求的接收时刻;由所述第一图、所述第二图和所述第三图确定所述图集合。
5、进一步地,构建生成器和判别器,得到所述生成对抗网络模型包括:采用图神经网络模型表征所述第二图中的节点信息,得到第一特征向量;采用所述图神经网络模型表征所述第三图中的节点信息,得到第二特征向量;基于生成任务构建所述生成器,其中,所述生成任务是指将所述第一特征向量输入编码器和解码器中,生成与所述第二特征向量相似的特征向量的任务;基于判别任务构建所述判别器,其中,所述判别任务是指判别所述生成器生成的特征向量与所述第二特征向量的相似程度;依据所述生成器和所述判别器构建所述生成对抗网络模型。
6、进一步地,采用所述图集合中的节点信息对所述生成对抗网络模型进行训练,得到所述目标生成对抗网络模型包括:将所述第一特征向量输入所述生成器中进行计算,得到第三特征向量,并计算第一损失函数值;将所述第三特征向量和所述第二特征向量输入所述判别器中进行判别,得到相似度,并计算第二损失函数值;依据所述第一损失函数值和所述第二损失函数值调整所述生成器和所述判别器的模型参数,得到所述目标生成对抗网络模型。
7、进一步地,将所述第三特征向量和所述第二特征向量输入所述判别器中进行判别,得到相似度包括:通过判别误差分数计算所述第三特征向量和所述第二特征向量的相似程度,得到所述相似度。
8、进一步地,在确定所述目标用户存在异常行为信息之后,所述方法还包括:将所述目标用户的用户信息发送至目标对象,以提醒所述目标对象对所述目标用户的用户信息进行处理。
9、为了实现上述目的,根据本申请的另一方面,提供了一种用户异常行为信息的确定装置,该装置包括:接收单元,用于接收目标用户在预设时间段内发出的请求,得到请求集合;拆分单元,用于按照各个请求的接收时刻将所述请求集合拆分为第一请求集合和第二请求集合,其中,所述第一请求集合中请求的接收时刻早于所述第二请求集合中请求的接收时刻;生成单元,用于将所述第一请求集合对应的特征向量输入目标生成对抗网络模型的生成器中,生成目标特征向量,其中,所述目标生成对抗网络模型是采用用户请求和请求的接收时刻对生成对抗网络模型进行训练后得到的模型;计算单元,用于将所述第二请求集合对应的特征向量和所述目标特征向量输入所述目标生成对抗网络模型的判别器中,计算所述目标用户存在异常行为信息的目标概率;第一确定单元,用于在所述目标概率高于预设概率阈值的情况下,确定所述目标用户存在异常行为信息。
10、进一步地,所述装置还包括:第二确定单元,用于从业务系统的日志数据中确定用户信息、用户的历史请求信息,得到历史请求信息;第一构建单元,用于依据所述历史请求信息构建异构图,得到图集合;第二构建单元,用于构建生成器和判别器,得到所述生成对抗网络模型;训练单元,用于采用所述图集合中的节点信息对所述生成对抗网络模型进行训练,得到所述目标生成对抗网络模型。
11、进一步地,所述第一构建单元包括:第一构建子单元,用于依据所述历史请求信息构建异构图,得到第一图;拆分子单元,用于依据所述历史请求信息中每个请求的接收时刻将所述第一图拆分为第二图和第三图,其中,所述第三图中请求的接收时刻晚于所述第二图中请求的接收时刻;确定子单元,用于由所述第一图、所述第二图和所述第三图确定所述图集合。
12、进一步地,所述第二构建单元包括:第一表征子单元,用于采用图神经网络模型表征所述第二图中的节点信息,得到第一特征向量;第二表征子单元,用于采用所述图神经网络模型表征所述第三图中的节点信息,得到第二特征向量;第二构建子单元,用于基于生成任务构建所述生成器,其中,所述生成任务是指将所述第一特征向量输入编码器和解码器中,本文档来自技高网...
【技术保护点】
1.一种用户异常行为信息的确定方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述目标生成对抗网络模型由以下步骤得到:
3.根据权利要求2所述的方法,其特征在于,依据所述历史请求信息构建异构图,得到图集合包括:
4.根据权利要求3所述的方法,其特征在于,构建生成器和判别器,得到所述生成对抗网络模型包括:
5.根据权利要求4所述的方法,其特征在于,采用所述图集合中的节点信息对所述生成对抗网络模型进行训练,得到所述目标生成对抗网络模型包括:
6.根据权利要求5所述的方法,其特征在于,将所述第三特征向量和所述第二特征向量输入所述判别器中进行判别,得到相似度包括:
7.根据权利要求1所述的方法,其特征在于,在确定所述目标用户存在异常行为信息之后,所述方法还包括:
8.一种用户异常行为信息的确定装置,其特征在于,包括:
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行权利要求
10.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至7中任意一项所述的用户异常行为信息的确定方法。
...【技术特征摘要】
1.一种用户异常行为信息的确定方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述目标生成对抗网络模型由以下步骤得到:
3.根据权利要求2所述的方法,其特征在于,依据所述历史请求信息构建异构图,得到图集合包括:
4.根据权利要求3所述的方法,其特征在于,构建生成器和判别器,得到所述生成对抗网络模型包括:
5.根据权利要求4所述的方法,其特征在于,采用所述图集合中的节点信息对所述生成对抗网络模型进行训练,得到所述目标生成对抗网络模型包括:
6.根据权利要求5所述的方法,其特征在于,将所述第三特征向量和所述第二特征向量输入所述判别器中进行判别,得到相似度包括:
【专利技术属性】
技术研发人员:章建森,
申请(专利权)人:天翼电子商务有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。