[发明专利]一种基于图对比学习的日志恶意行为检测方法及系统

权利要求书

1.一种基于图对比学习的日志恶意行为检测方法，其特征在于，

包括以下步骤:

第一步，获取网络日志数据；

所述网络日志数据包括若干日志行；

第二步，根据第一步中的若干日志行，构建聚集图模型；

所述聚集图模型，利用一个节点表征多个日志行，其构建方法如下：

步骤21，获取同一或多个自然日中发生的具有访问行为的若干日志行；

步骤22，根据节点定义规则，将步骤21中的若干日志行进行计算，得到一个或多个节点，所述节点为正常访问节点或/和异常节点；

节点定义规则包括以下内容：

将拥有共同访问起点实体，并且发生的时间属于同一自然日的若干日志行设置为正常访问节点；

将初始状态异常的若干日志行设置为异常节点，所述异常节点能通过已有的数据获取；

步骤23，根据共性特点，将步骤22中的多个节点，取并集，得到节点集合；

第三步，利用第二步中的节点，构建溯源图模型，用于表征日志行中的数据特征；

溯源图模型的构建方法如下：

步骤31，构建节点连接单元，对节点集合内的节点添加边链接，得到边链接节点数据；

步骤32，根据步骤31中的边链接节点数据，构造邻接矩阵或/和异常矩阵，得到日志行中的数据特征；

第四步，根据第三步中的数据特征，构建样本生成模型；

所述样本生成模型，用于得到边扰动负样本或/和异常子图负样本；

第五步，利用第三步中的边扰动负样本或/和异常子图负样本，构建深度图神经网络模型GCN；

所述深度图神经网络模型GCN，用于得到未知节点的标签，实现日志恶意行为检测，其构建方法如下；

步骤51，对边扰动负样本或/和异常子图负样本进行节点嵌入，得到日志特征序列；

步骤52，将已知的正常访问节点或异常节点作为测试节点，与步骤51中的日志特征序列进行判别，得到测试节点的行为识别结果；

步骤53，根据步骤52中的行为识别结果，确定测试节点属于恶意行为或正常行为，并输出相应的标签；

步骤54，对步骤53中的标签准确性进行判定，当标签准确率达到设定值时，完成深度图神经网络模型GCN的训练。

2.如权利要求1所述的一种基于图对比学习的日志恶意行为检测方法，其特征在于，

所述第一步中，日志行为七元组结构，其包括访问起点实体、起点直接特征、访问终点实体、终点直接特征、访问类型、类型直接特征、访问发生时间；

七元组结构的表达式为；

其中，分别代表该日志行所记录的访问起点实体及起点直接特征；

分别代表该日志行所记录的访问终点实体及终点直接特征；

分别代表该日志行所记录的访问类型及类型直接特征；

代表该日志行所记录的访问的发生时间。