数据安全事件检测模型的构建方法及检测方法与流程

本发明涉及数据安全，尤其涉及一种数据安全事件检测模型的构建方法及检测方法。

背景技术：

1、数据安全事件检测作为一项重要的数据安全技术，其指的是通过监控和分析数据流量、系统日志、网络行为等，及时发现和识别可能对数据安全造成威胁的异常事件。

2、基于用户行为分析的检测方法：主要采用机器学习算法或深度学习模型来建模用户日常行为并提取用户正常的行为模式，然后通过监测和分析用户的实际行为，进而检测出可能的安全事件和威胁。常用的机器学习算法包括隐马尔可夫模型(hidden markovmodel, hmm)、支持向量机(support vector machine, svm)、孤立森林(isolationforest, if)等，然而由于近年来数据安全事件检测场景中用户的行为数据逐渐呈现出高维性、复杂性和异质性的特点，浅层次的机器学习算法和序列化深度学习模型难以有效地利用这些数据来学习用户的行为特征，因而其效果变得差强人意。

技术实现思路

1、为解决现有技术中的问题，本发明提供了一种数据安全事件检测模型的构建方法及检测方法。

2、本发明提供一种数据安全事件检测模型的构建方法，包括：

3、构建流程，基于用户行为序列构建用户行为异质图；

4、提取流程，基于所述用户行为异质图中的每一行为属性得到用户行为同质图，提取所述用户行为同质图中所有行为节点在单一行为属性下的嵌入表示；

5、遍历流程，遍历所述用户行为异质图中的每一行为属性，并执行所述提取流程，得到行为序列嵌入；

6、检测流程，将所述行为序列嵌入输入到自编码器中，得到重建行为序列嵌入，并计算所述行为序列嵌入和所述重建行为序列嵌入之间的重构误差；

7、循环流程，依次执行所述提取流程、所述遍历流程以及所述检测流程，直到所述重构误差不再变小，则停止执行所述循环流程，并构建得到数据安全事件检测模型。

8、根据本发明提供的一种数据安全事件检测模型的构建方法，所述基于用户行为序列构建用户行为异质图，具体包括：

9、以每一用户行为和所述每一行为属性作为节点，以所述每一用户行为和所述每一行为属性之间的关系作为边，构建用户行为异质图；其中，所述行为属性至少包括行为主体、行为发生主机以及行为作用对象。

10、根据本发明提供的一种数据安全事件检测模型的构建方法，采用无监督学习方法对所述数据安全事件检测模型进行训练。

11、根据本发明提供的一种数据安全事件检测模型的构建方法，所述自编码器包括lstm ae、cnn ae以及transformer ae中的一种。

12、根据本发明提供的一种数据安全事件检测模型的构建方法，所述遍历所述用户行为异质图中的每一行为属性，并执行所述提取流程，得到行为序列嵌入，具体包括：

13、针对所述用户行为异质图中的每一行为属性执行所述提取流程，得到对应于每一所述用户行为的单一行为属性嵌入表示，基于发生所述用户行为的时间信息对所述单一行为属性嵌入表示进行排序，得到行为序列嵌入。

14、本发明提供一种基于数据安全事件检测模型的检测方法，包括：

15、将待测用户行为序列输入到所述数据安全事件检测模型中，得到对应于所述待测用户行为序列的重构误差，当所述重构误差小于或等于预设阈值时，则判定所述待测用户行为序列正常；当所述重构误差大于预设阈值时，则判定所述待测用户行为序列异常。

16、本发明还提供一种数据安全事件检测模型的构建装置，包括：

17、构建模块，用于基于用户行为序列构建用户行为异质图；

18、提取模块，用于基于所述用户行为异质图中的每一行为属性得到用户行为同质图，提取所述用户行为同质图中所有行为节点在单一行为属性下的嵌入表示；

19、遍历模块，用于遍历所述用户行为异质图中的每一行为属性，并执行所述提取流程，得到行为序列嵌入；

20、检测模块，用于将所述行为序列嵌入输入到自编码器中，得到重建行为序列嵌入，并计算所述行为序列嵌入和所述重建行为序列嵌入之间的重构误差；

21、循环模块，用于依次执行提取流程、遍历流程以及检测流程，直到所述重构误差不再变小，则停止执行所述循环流程，并构建得到数据安全事件检测模型；其中，所述提取流程为所述提取模块执行步骤，所述遍历流程为所述遍历模块执行步骤，所述检测流程为所述检测模块执行步骤。

22、本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述数据安全事件检测模型的构建方法的步骤或所述检测方法的步骤。

23、本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述数据安全事件检测模型的构建方法的步骤或所述检测方法的步骤。

24、本发明还提供一种计算机程序产品，包括计算机程序/指令，所述计算机程序/指令被处理器执行时实现如上述任一种所述数据安全事件检测模型的构建方法的步骤或所述检测方法的步骤。

25、本发明提供的数据安全事件检测模型的构建方法，通过使用异质图有效建模数据安全事件检测场景中各种类型的用户行为数据及其关系，与此同时，在借助异质图神经网络丰富用户行为特征表示的同时，通过属性聚合和语义聚合两个过程大幅降低了异质图的空间复杂度和时间复杂度；本发明通过构建得到的数据安全事件检测模型对数据安全事件进行检测，有效提升了对数据安全事件的检测效率和检测准确度。

技术特征：

1.一种数据安全事件检测模型的构建方法，其特征在于，包括：

2.根据权利要求1所述的数据安全事件检测模型的构建方法，其特征在于，所述基于用户行为序列构建用户行为异质图，具体包括：

3.根据权利要求1所述的数据安全事件检测模型的构建方法，其特征在于，采用无监督学习方法对所述数据安全事件检测模型进行训练。

4.根据权利要求3所述的数据安全事件检测模型的构建方法，其特征在于，所述自编码器包括lstm ae、cnn ae以及transformer ae中的一种。

5.根据权利要求1所述的数据安全事件检测模型的构建方法，其特征在于，所述遍历所述用户行为异质图中的每一行为属性，并执行所述提取流程，得到行为序列嵌入，具体包括：

6.一种基于数据安全事件检测模型的检测方法，基于权利要求1-5任一项所述的构建方法，其特征在于，包括：

7.一种数据安全事件检测模型的构建装置，其特征在于，包括：

8.一种电子设备，其特征在于，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如权利要求1-5任一项所述数据安全事件检测模型的构建方法的步骤或如权利要求6所述检测方法的步骤。

9.一种非暂态计算机可读存储介质，其特征在于，其上存储有计算机程序，该计算机程序被处理器执行时实现如权利要求1-5任一项所述数据安全事件检测模型的构建方法的步骤或如权利要求6所述检测方法的步骤。

10.一种计算机程序产品，其特征在于，其上存储有计算机程序，该计算机程序被处理器执行时实现如权利要求1-5任一项所述数据安全事件检测模型的构建方法的步骤或如权利要求6所述检测方法的步骤。

技术总结
本发明提供一种数据安全事件检测模型的构建方法及检测方法，所述方法包括：构建流程，基于用户行为序列构建用户行为异质图；提取流程，基于用户行为异质图中的每一行为属性得到用户行为同质图，提取用户行为同质图中所有行为节点在单一行为属性下的嵌入表示；遍历流程，遍历用户行为异质图中的每一行为属性，并执行提取流程，得到行为序列嵌入；检测流程；循环流程，依次执行提取流程、遍历流程以及检测流程，直到重构误差不再变小，则停止执行循环流程，并构建得到数据安全事件检测模型。本发明提供的数据安全事件检测模型的构建方法，实现了对数据安全事件检测模型的构建，可实现对数据安全事件的快速准确检测。

技术研发人员：姜宇泽,张媛媛,庞妺,朱广红,倪俊峰,周立新
受保护的技术使用者：中国信息通信研究院
技术研发日：
技术公布日：2024/1/15