[发明专利]一种基于图对比学习的日志恶意行为检测方法及系统

说明书

本发明公开了一种基于图对比学习的日志恶意行为检测方法及系统，属于日志行为检测技术领域。现有技术，利用所有的日志数据进行知识图谱的构建，需要消耗大量的储存资源以及计算资源，不利于日志检测的推广使用。本发明的一种基于图对比学习的日志恶意行为检测方法，通过构建聚集图模型、溯源图模型、样本生成模型、深度图神经网络模型GCN，利用一个节点表征多个日志行，从而得到未知节点的标签，实现日志恶意行为检测，能够有效减少储存资源以及计算资源的占用，恶意检测成功率高，利于日志检测的推广使用，便于日志行为检测的落地应用；同时能有效减少对大体量日志数据的依赖，通用性好，使用范围广，方案科学、合理。

技术领域

本发明涉及一种基于图对比学习的日志恶意行为检测方法及系统，属于日志行为检测技术领域。

背景技术

随着网络安全与数据处理技术的不断进步，网络设备日志的记录范围在不断扩大。这些日志中记录了受关注的实体（例如ip地址或用户）的关系和动作，是利用异常检测技术进行恶意行为检测的重要数据支撑。

传统日志检测方法依靠管理员手动分析日志文本，这种过程需要大量的人力成本，并要求系统管理员了解网络环境，熟练掌握系统架构。为了能够高效、实时检测网络日志，日志异常检测技术的应用不断增多。

中国专利（公布号：CN112291261A）一种知识图谱驱动的网络安全日志审计分析方法，包括以下步骤：S1、配备网络安全审计设备；S2、获取网络安全审计设备的日志数据；S3、

实现网络日志的知识抽取；S4、获取网络安全等级测评数据；S5、将等级测评数据和等级保护定级备案数据进行数据整合；S6、构建网络安全日志知识图谱；S7、构建网络安全等级保护日志知识图谱；S8、构建节点，对所有实时数据进行区分编号；S9、将网络日志与网络安全等级保护日志知识图谱比对。上述发明能实现网络日志的高效关联和深度挖掘分析，同时通过实时数据与图谱内数据的比对分析，可以不需要对问题进行精确建模而在数据上直接进行分析和处理，适用于进行网络安全日志的大数据分析。

上述方案，通过知识推理和知识融合，针对日志中解析的结构化字段进行本体构建和数据增益，形成网络安全日志知识图谱，但利用所有的日志数据进行网络安全日志知识图谱的构建，需要消耗大量的储存资源以及计算资源，为日志行为检测的落地应用带来了阻碍，不利于日志检测的推广使用。

进一步，上述方案网络安全日志知识图谱以及网络安全等级保护日志知识图谱过度依赖日志数据的体量。而真实应用场景中的中小组织往往不具备收集完整网络日志的能力，其通常只有若干种甚至一种单一的网络日志数据，例如网关日志、防火墙日志等，导致上述检测方法无法在一些真实场景中应用，通用性差，使用范围窄。

发明内容

针对现有技术的缺陷，本发明的目的一在于提供一种通过构建聚集图模型、溯源图模型、样本生成模型、深度图神经网络模型GCN，利用一个节点表征多个日志行，并得到日志行中的数据特征，从而得到未知节点的标签，实现日志恶意行为检测，能够有效减少储存资源以及计算资源的占用，利于日志检测的推广使用，便于日志行为检测的落地应用；同时能有效减少对大体量日志数据的依赖，可以适用于网关日志、防火墙日志等场合，通用性好，使用范围广，方案科学、合理的基于图对比学习的日志恶意行为检测方法及系统。

本发明的目的二在于提供一种通过构建聚集图模型，能够利用一个节点表征多个日志行，进而使得计算量级降低了约一个数量级，有效降低图结构的体量，并且可以大量缩减图数据的储存空间开销，同时在深度学习训练的过程中也极大地减少了需要计算的节点数目，进而有效缩减储存资源与计算资源的基于图对比学习的日志恶意行为检测方法。