[发明专利]基于超球面变分自动编码器的未知用户恶意行为检测方法及系统

权利要求书

1.一种基于超球面变分自动编码器的未知用户恶意行为检测方法，其特征在于，包含如下内容：

获取目标用户行为日志信息并提取行为日志信息中的行为及对应的语义属性；

利用超球面变分自动编码器将目标用户日志信息中行为及对应语义属性映射到公共超球面上，并基于余弦相似度匹配识别用户未知恶意行为；

依据目标用户行为日志信息，通过用户历史活动数据并利用图卷积网络预测其正常行为模式；

将历史活动数据按照时间和用户进行分割和聚合，将用户行为记录表示为行为特征向量，该行为特征向量的两个维度分别表示用户在时间段内的动作记录合集和不同动作类型；将每个用户看做一个图节点生成用户行为图，基于历史活动数据来预测用户正常行为模式；

用户行为图g＝(V,A,Z)，V表示由用户集组成的节点集，A表示图的邻接矩阵，Z表示节点的属性集，用户i的属性为z_i＝h_i，h_i为由用户i当天/周的行为记录来表示的特征向量，利用图卷积网络对多元时间序列进行预测，将过去m天生成的用户行为图g_t-m,…,g_t作为图卷积网络的输入，利用图卷积网络预测输出第t+1天的用户行为图g_t^′₊₁，其中，图卷积网络包含用于输出图邻接矩阵的图学习模块、用于聚合图邻居节点信息的图卷积模块和用于处理时间关系特征的时间卷积模块；

通过构建用于未知恶意行为识别的检测模型，利用所述检测模型对未知恶意行为进行分类识别，其中，所述检测模型包含用于对用户行为数据进行编码的行为变分编码器、用于对语义属性进行编码的语义变分编码器和用于将两个编码器输出进行投影对齐的公共超球面；

利用检测模型对未知恶意行为进行分类识别中，首先，设置已知恶意类标签集合和未知恶意类标签集合，对于每个恶意类标签均有其对应语义属性信息；对于所有恶意类标签，设置类原型，将类原型作为所有公共超球面空间上已知恶意类标签数据投影均值；通过对齐每一类的类原型与未知类标签来实现未知用户恶意行为和语义属性的投影对齐；

未知用户恶意行为和语义属性的类原型表示为：其中，Y_s表示已知恶意类标签集合，Y_u表示未知恶意类标签集合，表示恶意类标签为c_k的类原型，μ_i代表经过行为VAE模型编码后行为信息在公共空间中投影的均值，代表经过语义VAE模型编码后语义信息s_k在公共空间中投影的均值，对齐过程即将语义特征和行为特征类中心在潜特征空间中对齐。

2.根据权利要求1所述的基于超球面变分自动编码器的未知用户恶意行为检测方法，其特征在于，时间卷积模块采用长短期记忆模型对时间维度特征进行压缩和预测。

3.根据权利要求1所述的基于超球面变分自动编码器的未知用户恶意行为检测方法，其特征在于，利用重构损失函数、对齐损失函数和跨域损失函数来约束投影对齐，其中，重构损失函数最大化变分编码器先验分布和后验分布相似性，对齐损失函数用于公共空间中未知用户恶意行为和语义属性对齐，跨域损失函数用于跨域重构后未知用户恶意行为和语义属性对齐。

4.根据权利要求1所述的基于超球面变分自动编码器的未知用户恶意行为检测方法，其特征在于，基于余弦相似度匹配识别用户未知恶意行为，通过设置分类边界，通过计算输入样本与类原型之间余弦距离，将余弦距离大于分类边界的情形，将未知用户恶意行为归类为正常类，否则将其归类为恶意类。

5.一种基于超球面变分自动编码器的未知用户恶意行为检测系统，其特征在于，基于权利要求1所述的方法实现，包含：信息提取模块和匹配识别模块，其中，

信息提取模块，用于获取目标用户行为日志信息并提取行为日志信息中的行为及对应的语义属性；

匹配识别模块，用于利用超球面变分自动编码器将目标用户日志信息中行为及对应语义属性映射到公共超球面上，并基于余弦相似度匹配识别用户未知恶意行为。