[发明专利]一种基于行为特征编码的半监督网络异常行为检测方法

说明书

本发明提供了一种基于行为特征编码的半监督网络异常行为检测方法，属于网络安全技术领域。本发明通过无标签网络行为样本对特征编码网络进行预训练，获得基于流型空间的三种特征表示；预训练学习到的特征编码表示有效表达了正常样本的先验分布特征，能够使网络异常行为在基于流行空间的特征表达上与正常行为具有显著差异。然后利用无标签网络行为数据样本和有标签的网络异常行为数据样本对整个网络(由特征编码网络和异常打分网络组成的网络)进行端到端的训练，以联合优化特征编码网络的重建误差和整个网络的异常打分。联合优化后，网络正常行为与异常行为能够得到有效区分，从而帮助系统获得优异的网络异常行为检测性能。

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于行为特征编码的半监督网络异常行为检测方法。

背景技术

网络异常行为检测是网络安全领域的重要研究内容。企业管理系统、银行支付系统、物联网工控系统等应用场景中常常存在网络异常行为，可能对网络系统的安全性和稳定性造成威胁。网络异常行为主要是网络攻击(例如拒绝服务攻击、端口扫描等)导致的。在对网络异常行为进行异常检测时，可以根据其连接属性、内容特征、流量统计特征等进行分析得到相关特征属性描述。由于网络异常行为与正常行为的产生原因和行为特征不同，因此往往与正常行为表现出一定的偏差。由于网络异常行为往往是难以预测的，且实际的网络系统中的数据量通常十分庞大，因此实际应用场景中需要建立相应的异常检测系统进行网络异常行为的检测，从而及时发现并快速响应，减少或避免损失。现有异常检测系统通常基于机器学习模型进行构建(以行为特征作为输入)，这类异常检测系统需要基于丰富的有标注的异常数据进行训练来达到较好的异常检测性能。然而在实际应用场景中，获取大量有标注的异常数据通常是十分困难的。

现有技术中无监督学习方法试图建立用于描述正常数据的模型，将正常样本和异常样本映射到不同区域。但由于其未对有标签的异常样本进行学习，因此无法学习到有关异常的先验知识，导致难以达到很好的效果。

现有的有监督/半监督学习方法虽然利用了极少量有标签异常数据中的先验信息，但由于学习过程中很容易对这些极少量的异常数据产生过拟合，故很难直接训练好一个有效的异常检测器。

发明内容

针对现有技术中的上述不足，本发明提供的一种基于行为特征编码的半监督网络异常行为检测方法，克服了难以获取大量有标注异常数据带来的困难、解决了由于不对有标签的异常样本进行学习导致的缺乏关于异常的先验知识的问题、解决了半监督算法中存在的对异常样本过拟合严重的问题。

为了达到以上目的，本发明采用的技术方案为：

本方案提供一种基于行为特征编码的半监督网络异常行为检测方法，包括以下步骤：

S1、构建基于自动编码器的无监督特征编码网络，并对其进行预训练，将原始网络行为数据样本向量映射至低维流型空间并进行重建，得到隐空间向量、重建残差向量和重建残差向量的二范数值三种特征编码；

S2、构建由所述无监督特征编码网络和基于全连接网络的异常打分网络构成的网络异常行为检测系统，将数据样本作为网络异常行为检测系统的输入，其中，所述三种特征编码作为异常打分网络的输入；

S3、获取待检测网络行为数据，利用所述网络异常行为检测系统进行异常检测，并输出异常检测结果，完成基于行为特征编码的半监督网络异常行为检测方法。

进一步地，所述步骤S1中的特征编码网络包括编码器和解码器；

所述编码器，用于将输入的原始网络行为数据样本从原始空间编码至低维的隐空间；

所述解码器，用于将原始网络行为数据样本的隐空间向量解码至原始样本空间，得到隐空间向量、重建残差向量和重建残差向量的二范数值三种特征编码。

再进一步地，所述步骤S1包括以下步骤：