[发明专利]一种基于行为特征编码的半监督网络异常行为检测方法

权利要求书

1.一种基于行为特征编码的半监督网络异常行为检测方法，其特征在于，包括以下步骤：

S1、构建基于自动编码器的无监督特征编码网络，并对其进行预训练，将原始网络行为数据样本向量映射至低维流型空间并进行重建，得到隐空间向量、重建残差向量和重建残差向量的二范数值三种特征编码；

S2、构建由所述无监督特征编码网络和基于全连接网络的异常打分网络构成的网络异常行为检测系统，将数据样本作为网络异常行为检测系统的输入，其中，所述三种特征编码作为异常打分网络的输入；

S3、获取待检测网络行为数据，利用所述网络异常行为检测系统进行异常检测，并输出异常检测结果，完成基于行为特征编码的半监督网络异常行为检测方法；

所述步骤S1中的无监督特征编码网络包括编码器和解码器；

所述编码器，用于将输入的原始网络行为数据样本从原始空间编码至低维的隐空间；

所述解码器，用于将原始网络行为数据样本的隐空间向量解码至原始样本空间，得到隐空间向量、重建残差向量和重建残差向量的二范数值三种特征编码；

所述步骤S1包括以下步骤：

S101、构建基于自动编码器的无监督特征编码网络，并对特征编码网络的参数进行随机初始化处理；

S102、输入原始网络行为数据样本至无监督特征编码网络，计算得到重建向量；

S103、根据所述重建向量，计算得到重建误差的二范数值作为特征编码网络的重建误差损失，优化特征编码网络的参数；

S104、判断重建误差损失是否低于预设的阈值，若是，则完成对特征编码网络的预训练，并进入步骤S105，否则，返回步骤S102；

S105、根据原始网络行为数据样本向量，利用无监督特征编码网络得到隐空间向量、重建残差向量和重建残差向量的二范数值三种特征编码；

所述计算得到重建误差的二范数值作为特征编码网络的重建误差损失的表达式如下：

L_u＝||f_d(f_e(X_i；W_e)；W_d)-X_i||₂

其中，L_u表示重建误差的二范数值作为特征编码网络的重建误差损失，X_i表示原始网络行为数据样本，W_e表示编码器的权重矩阵，f_e(·；W_e)表示编码器，W_d表示解码器的权重矩阵，f_d(·；W_d)表示解码器；

所述无监督特征编码网络的表达式如下：

ψ(X_i；Θ)＝f_d(f_e(X_i；W_e)；W_d)

W_e＝{W₁,W₂,...,W_s}

W_d＝{W′₁,W′₂,...,W′_s}

其中，ψ(X_i；Θ)表示特征编码网络，Θ表示特征编码网络参数，W_s表示编码器第s层的网络权重，W′_s表示解码器第s层的网络权重；

所述隐空间向量q₁的表达式如下：

q₁＝f_e(X_i；W_e)

所述重建残差向量q₂的表达式如下：

q₂＝f_d(f_e(X_i；W_e)；W_d)-X_i

所述重建残差向量的二范数值q₃的表达式如下：

q₃＝||f_d(f_e(X_i；W_e)；W_d)-X_i||₂。