[发明专利]一种网络安全异常检测中深度学习模型的更新方法与装置

说明书

本发明公开了一种网络安全异常检测中深度学习模型的更新方法与装置，该方法包括：对不同网络安全场景的样本数据进行特征提取得到高维特征向量；输入至异常检测模型得到模型输入样本异常度值的原始输出值，对校正后的原始输出值进行漂移检测得到基于置信度的漂移检测结果；通过计算优化目标函数得到引起网络安全数据分布发生变化的漂移样本；利用漂移样本对异常检测模型进行模型重训练，通过计算模型重训练时的损失函数以优化模型参数权重，并基于优化后的模型参数权重以得到训练好的异常检测模型。本发明能准确的检测出分布的漂移，降低标注样本带来的人力开销，在拟合新环境的代表性样本的同时保证不会遗忘原有模型中的有效知识。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种网络安全异常检测中深度学习模型的更新方法与装置。

背景技术

异常检测是网络安全场景中的重要任务之一，对保障网络空间中大型基础设施的安全性和可靠性有着至关重要的作用。例如，在电力监控系统中，异常检测算法被用于检测监视和控制电力生产及供应过程的基于计算机及网络技术的业务系统及智能设备，以及作为基础支撑的通信及数据网络中出现的异常，对于电力系统的安全稳定运行具有重要意义。

近年来，机器学习、特别是深度学习技术被广泛应用到各类网络安全异常检测系统中，在不需要异常先验知识的条件下实现较好的检测效果。然而，基于机器学习/深度学习的检测模型需要满足训练阶段和实际部署阶段的样本处在同一数据分布的假设才能实现良好的检测效果。但实际环境中数据分布很可能会随着时间发生变化，比如电力监控系统中，相关系统服务的升级可能导致系统正常行为画像发生变化，导致模型出现性能退化(即“概念漂移”)现象，需要对检测及时更新以消除概念漂移现象带来的影响。

目前，机器学习/深度学习技术为众多网络安全检测系统提供了全新的解决方案，提高了检测精度并实现对未知威胁的检测能力。然而，基于机器学习/深度学习的检测模型通常需要满足训练阶段和实际部署阶段的样本处在同一数据分布的假设。但实际环境中数据分布很可能会随着时间发生变化，导致模型出现性能退化的现象，这种数据分布发生变化的现象被称作概念漂移。因此，为了保证异常检测模型能适应不断变化的环境，需要对实际部署环境的概念漂移现象进行检测、理解并适应。

为了解决概念漂移现象对模型性能带来的影响，近年来学术界和工业界提出了一系列方法从不同的角度提高异常检测模型在实际部署中应对不断变化的环境的能力。这类方法在解决思路上大体可以分为两类：其中第一种解决思路是定期更新和重训练模型，这种方法不关注何种因素或环境变化导致了模型性能的变化，存在的问题是定期更新模型带来的人力(标注数据开销)、存储(训练数据是不断累积的)和算力(模型训练)开销较大，同时缺乏模型更新和环境漂移的解释性，难以满足安全场景对于模型稳定性和解释性的需求；另一种解决思路是持续检测概念漂移现象，在漂移发生后进行理解和处理，该类方法相较于第一种方法开销较小、解释性更好，但是目前的研究主要关注于对数据分布漂移的检测，对于发现漂移后如何更新模型的方法缺少成熟的方法，同样导致了模型更新过程中存在标记量过大、难以快速准确适应新分布的问题。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本发明提出一种网络安全异常检测中深度学习模型的更新方法。根据网络安全场景下模型部署中的实际需求，设计了对异常检测模型的概念漂移现象进行检测、解释和处理的方法。该方法具有较强的通用性，能适用于多种不同的深度学习模型和不同的网络安全场景。

本发明的另一个目的在于提出一种网络安全异常检测中深度学习模型的更新装置。

本发明的第三个目的在于提出一种计算机可读存储介质。

为达上述目的，本发明一方面提出一种网络安全异常检测中深度学习模型的更新方法，包括：