【技术实现步骤摘要】
本公开涉及计算机,尤其涉及一种异常检测方法及装置、电子设备和存储介质。
技术介绍
1、随着数据安全事件的频发,当前各行业的网络安全态势愈发严峻。然而,最具破坏力的安全威胁可能并不是外部攻击或恶意软件,而是源自可访问敏感数据和系统的内部员工造成的内部威胁(insider threats)。内部威胁主要是指企业的员工通过盗窃敏感数据、滥用访问权限或者欺诈等行为使得企业造成财产及声誉方面的负面影响。
2、目前,内部威胁异常检测方法,以log2vec模型为例,log2vec是一种基于异构图嵌入的网络威胁检测方法,包含图构建、图嵌入、攻击检测算法三部分。首先,通过基于规则的启发式方法构建包含日志记录间关系映射的异构图,其中,映射可以表示典型行为和恶意操作。在图嵌入部分,根据每个节点在异构图中的关系来学习它们的表示(向量)。向量化操作可以直接比较它们的相似性,从而发现异常。将正常的日志记录和恶意操作放到不同的族中,采用一种聚类方法来进行检测。最终通过设定阈值来识别恶意类别。
3、但是,现有的检测方法不仅忽略了之间的潜在关联,造成了潜在交互的结构化信息缺失,而且当有限的标记数据不断出现时,会降低深度学习模型的性能下降,进而无法扩展有效检测到未标注的样本。
技术实现思路
1、本公开提供了一种异常检测方法及装置、电子设备和存储介质。其主要目的在于解决现有的内部威胁异常检测方法不仅忽略了之间的潜在关联,造成了潜在交互的结构化信息缺失,而且当有限的标记数据不断出现时,会降低深度学
2、根据本公开的第一方面,提供了一种异常检测方法,所述方法应用于计算机中,其中,包括:
3、根据边预测器对硬结构信息及行为特征进行数据重构,得到软结构信息,其中,所述硬结构信息为终端架构内的终端间的交互信息,所述行为特性为对所述终端的操作行为信息,所述软结构信息为所述终端间潜在交互的结构化信息;
4、将所述硬结构信息及所述软结构信息输入训练好的异常检测模型;
5、基于所述异常检测模型对所述终端架构内的内部威胁进行异常检测,确定所述目标内部威胁。
6、可选地,所述根据边预测器对硬结构信息及行为特征进行数据重构包括:
7、基于所述硬结构信息构建原始邻接矩阵,基于所述行为特性生成特性矩阵;
8、将所述原始邻接矩阵及所述特性矩阵输入所述边预测器,基于所述边预测器的编码器和解码器,生成边概率矩阵;
9、对所述边概率矩阵和所述原始邻接矩阵进行插值,得到目标邻接矩阵,所述目标邻接矩阵用于限制所述边预测器随机偏离原始邻接矩阵;
10、对所述目标邻接矩阵进行采样,得到不同的图变体邻接矩阵;
11、基于所述不同的图变体邻接矩阵构成各自对应的图变体;
12、基于所述图变体提取所述软结构信息。
13、可选地,在对所述目标邻接矩阵进行采样,得到不同的图变体邻接矩阵之后,所述方法还包括:
14、对所述边预测器的损失函数进行计算,得到所述边预测器的重构损失函数。
15、可选地,在将所述硬结构信息及所述软结构信息输入训练好的异常检测模型之前,所述方法还包括:
16、基于所述硬结构信息、所述软结构信息及行为特征对所述原型图神经网络进行元训练,得到所述异常检测模型。
17、可选地,所述基于所述硬结构信息、所述软结构信息及行为特征对所述原型图神经网络进行元训练,包括:
18、根据预设抽样规则对所述软结构信息中的每一个图变体分别进行任务采样,得到每一个图变体对应的元训练任务,所述元训练任务包括第一支持集和第一查询集,所述第一支持集中包括至少两个类别,每个类别包括至少一个样本;
19、基于预设嵌入函数,分别获取所述第一支持集中每个样本的原型表示;
20、分别对所述第一支持集中每个类别的样本进行平均计算,得到每个类别分别对应的原型;
21、对所述每个类别分别对应的原型进行层级归一化操作,得到每个类别分别对应的目标原型;
22、基于预设距离函数及预设归一化指数函数,分别计算所述第一查询集中的每个样本与每个目标原型之间的距离;
23、根据所述第一查询集中的每个样本与每个目标原型之间的距离,对所述查询集中的样本进行分类;
24、根据第一查询集中的每个样本与每个目标原型之间的距离和预设标记函数,计算所述原型图神经网络模型的交叉熵损失;
25、基于所述交叉熵损失及所述重构损失函数,计算所述原型图神经网络模型的第一目标损失函数,所述第一损失函数应用于所述元训练任务的支持集;
26、基于所述第一目标损失函数,对所述原型图神经网络模型进行更新,得到所述异常检测模型。
27、可选地,在将所述目标损失函数更新到原型图神经网络模型之后,所述方法还包括:
28、基于所述第一目标损失函数,计算第二目标损失函数,所述第二目标损失函数应用于对元训练任务的查询集。
29、可选地,在将所述硬结构信息及所述软结构信息输入异常检测模型之前,所述方法还包括:
30、确定所述异常检测模型的元测试任务,所述元测试任务包括第二支持集和第二查询集;
31、基于所述第二目标损失函数,对所述元测试任务的第二支持集进行调整;
32、基于所述元测试任务的第二查询集对所述异常检测模型进行测试和评估。
33、根据本公开的第二方面,提供了一种异常检测装置,包括:
34、重构单元,用于根据边预测器对硬结构信息及行为特征进行数据重构,得到软结构信息,其中,所述硬结构信息为终端架构内的终端间的交互信息,所述行为特性为对所述终端的操作行为信息,所述软结构信息为所述终端间潜在交互的结构化信息;
35、输入单元,用于将所述硬结构信息及所述软结构信息输入训练好的异常检测模型;
36、检测单元,用于基于所述异常检测模型对所述终端架构内的内部威胁进行异常检测,确定所述目标内部威胁。
37、在本公开提供的一个实施例中,所述重构单元包括:
38、构建模块,用于基于所述硬结构信息构建原始邻接矩阵;
39、第一生成模块,用于基于所述行为特性生成特性矩阵;
40、第二生成模块,用于将所述原始邻接矩阵及所述特性矩阵输入所述边预测器,基于所述边预测器的编码器和解码器,生成边概率矩阵;
41、插值模块,用于对所述边概率矩阵和所述原始邻接矩阵进行插值,得到目标邻接矩阵,所述目标邻接矩阵用于限制所述边预测器随机偏离原始邻接矩阵;
42、第一采样模块,用于对所述目标邻接矩阵进行采样,得到不同的图变体邻接矩阵;
43、构成模块,用于基于所述不同的图变体邻接矩阵构成各自对应的图变体;
44、提取模块,用于基于所述本文档来自技高网...
【技术保护点】
1.一种异常检测的方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述根据边预测器对硬结构信息及行为特征进行数据重构包括:
3.根据权利要求2所述的方法,其特征在于,在对所述目标邻接矩阵进行采样,得到不同的图变体邻接矩阵之后,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,在将所述硬结构信息及所述软结构信息输入训练好的异常检测模型之前,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,所述基于所述硬结构信息、所述软结构信息及行为特征对所述原型图神经网络进行元训练,包括:
6.根据权利要求5所述的方法,其特征在于,在将所述目标损失函数更新到原型图神经网络模型之后,所述方法还包括:
7.根据权利要求6所述的方法,其特征在于,在将所述硬结构信息及所述软结构信息输入异常检测模型之前,所述方法还包括:
8.一种异常检测装置,其特征在于,包括:
9.一种电子设备,其特征在于,包括:
10.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在
...【技术特征摘要】
1.一种异常检测的方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述根据边预测器对硬结构信息及行为特征进行数据重构包括:
3.根据权利要求2所述的方法,其特征在于,在对所述目标邻接矩阵进行采样,得到不同的图变体邻接矩阵之后,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,在将所述硬结构信息及所述软结构信息输入训练好的异常检测模型之前,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,所述基于所述硬结构信息、所述软结构信息及行为特征对所述原型...
【专利技术属性】
技术研发人员:窦若彬,
申请(专利权)人:中国移动通信集团天津有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。