[发明专利]基于超球面变分自动编码器的未知用户恶意行为检测方法及系统

说明书

本发明属于网络信息安全技术领域，特别涉及一种基于超球面变分自动编码器的未知用户恶意行为检测方法及系统，通过获取目标用户行为日志信息并提取行为日志信息中的行为及对应的语义属性；利用超球面变分自动编码器将目标用户日志信息中行为及对应语义属性映射到公共超球面上，并基于余弦相似度匹配识别用户未知恶意行为。本发明利用超球面变分自编码器模型关联各类未知恶意行为及其语义知识，将其投影到公共空间中进行度量分析和匹配，更能充分利用潜变量，更适合学习表示具有丰富结构的信息，且更具鲁棒性；并将网络中的所有用户作为图建模分析，并采用图卷积网络来消除用户行为模式变化的影响，具有较好的应用前景。

技术领域

本发明属于网络信息安全技术领域，特别涉及一种基于超球面变分自动编码器的未知用户恶意行为检测方法及系统。

背景技术

用户实体行为分析是利用网络中各类审计日志、安全设备的报警输出等信息，从数据分析的视角去发现用户异常行为的一种重要方法。传统异常行为检测方法过分依赖已知威胁的规则，因此缺乏灵活性，且容易引起误判。随着机器学习的发展，人工智能已经普遍应用于用户实体行为分析领域，可以用来自动高效地分析和发现网络中的各类恶意行为，特别是各类隐蔽的内部威胁行为。针对已知恶意行为的检测，以深度学习为代表的机器学习方法实现了当前最高的性能。

随着网络威胁场景日益复杂，研究人员意识到针对未知恶意行为的检测仍是一个难题。我们把那些在设计或训练阶段从未见过的恶意行为称为未知恶意行为。这类行为通常利用新的漏洞、技术或社会工程方法与大量正常行为混杂在一起，从而使得现有方法难以分辨。由于缺乏足够的标记数据，当前针对未知恶意行为的检测主要使用无监督方法对正常用户行为建模，以此发现那些偏离基线的异常行为。但这种方法存在两个问题，一是用户本身的正常行为模式会随着业务或时间变化，二是在大规模网络中对每个用户建模对计算资源要求苛刻，往往导致较高的误报率。并且其输出的结果只是区分正常和异常，缺乏对恶意行为的具体分析，不利于自动化地进行安全响应。

发明内容

为此，本发明提供一种基于超球面变分自动编码器的未知用户恶意行为检测方法及系统，参考计算机视觉中的零样本学习框架，通过引入外部辅助信息(常用的是语义信息)来实现对各类未知样本的准确、有效识别。

按照本发明所提供的设计方案，一种基于超球面变分自动编码器的未知用户恶意行为检测方法，包含如下内容：

获取目标用户行为日志信息并提取行为日志信息中的行为及对应的语义属性；

利用超球面变分自动编码器将目标用户日志信息中行为及对应语义属性映射到公共超球面上，并基于余弦相似度匹配识别用户未知恶意行为。

作为本发明基于超球面变分自动编码器的未知用户恶意行为检测方法，进一步地，依据目标用户行为日志信息，通过用户历史活动数据并利用图卷积网络预测其正常行为模式。

作为本发明基于超球面变分自动编码器的未知用户恶意行为检测方法，进一步地，将历史活动数据按照时间和用户进行分割和聚合，将用户行为记录表示为行为特征向量，该行为特征向量的两个维度分别表示用户在时间段内的动作记录合集和不同动作类型；将每个用户看做一个图节点生成用户行为图，基于历史活动数据来预测用户正常行为模式。

作为本发明基于超球面变分自动编码器的未知用户恶意行为检测方法，进一步地，利用图卷积网络对多元时间序列进行预测，用户作为图节点，用户行为特征向量作为图节点属性，其中，图卷积网络包含用于输出图邻接矩阵的图学习模块、用于聚合图邻居节点信息的图卷积模块和用于处理时间关系特征的时间卷积模块。

作为本发明基于超球面变分自动编码器的未知用户恶意行为检测方法，进一步地，时间卷积模块采用长短期记忆模型对时间维度特征进行压缩和预测。