基于深度时间图信息最大化的内部威胁检测方法及系统与流程

本发明涉及信息处理的，尤其涉及基于深度时间图信息最大化的内部威胁检测方法及系统。

背景技术：

1、内部威胁行为是一种时间间隔大，并且操作隐蔽的攻击行为；其中每一步单点攻击行为，通常和正常行为非常相似，极易被检测模型当成是噪声过滤。在生产环境中，由于事先区分真实系统与潜在攻击有关的数据困难大，此外，内部威胁的恶意样本也难以获取。手动标记虽然可行，但非常耗时耗力。样本不平衡问题也会导致图神经网络模型出现过拟合、泛化能力差和鲁棒性不足等问题，从而降低了其识别异常行为的能力。

2、自监督学习能够设计良好的代理任务从大规模的未标记数据中挖掘自己的监督信息，根据下游任务训练分类模型。基于自监督学习的方法在大量无标签数据上进行训练，减少了对标签的过度依赖。自监督学习模型的性能关键取决于强负样本。如何构建强负样本(攻击样本)是基于动态图神经网络gnn(graph neural networks)的异常检测方法中的最大挑战。现有方法使用数据增强技术生成图数据的多个视图，利用数据对之间的相似性和差异性作为比较学习的监督信号。现有方法通过随机添加和删除边/节点、随机变换属性，或者使用均匀采样和随机游走从原始图中采样子图来改变原始图。然而，在用于检测内部威胁时，这种数据增强方法存在一些局限性。核心问题在于构建攻击样本的随机采样策略破坏了计算机网络中实体行为的语义上下文，导致异常检测性能较差。

技术实现思路

1、本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本技术的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。

2、鉴于上述现有存在的问题，提出了本发明。

3、因此，本发明提供了基于深度时间图信息最大化的内部威胁检测方法及系统解决背景技术中的问题。

4、为解决上述技术问题，本发明提供如下技术方案：

5、第一方面，本发明实施例提供了基于深度时间图信息最大化的内部威胁检测方法，包括：获取内部网络环境中实体及与所述实体存在交互行为的动态网络中的上下文信息，构建连续时间动态图；所述连续时间动态图作为正样本图；

6、基于动态网络异构的元路径约束通过侵蚀函数对所述连续时间动态图进行负采样，生成负样本图；

7、基于所述负样本图和正样本图对图神经网络模型进行训练得到内部威胁特征识别模型；

8、根据所述内部威胁特征识别模型对内部网络环境进行检测。

9、作为本发明所述的基于深度时间图信息最大化的内部威胁检测方法的一种优选方案，其中：所述通过侵蚀函数对所述连续时间动态图进行负采样生成负样本图，包括：元路径约束构建和基于元路径约束的负样本嵌入；

10、元路径约束包括：用户在计算机上的信息验证约束；用户在计算机上的文件操作约束；用户在计算机上的插拔便携式设备约束；用户在计算机上的在线行为约束；用户在计算机上的电子邮件操作约束；

11、基于元路径约束的负样本嵌入包括：在正常行为约束序列中引入插入、删除、修改和交换操作进行负采样。

12、作为本发明所述的基于深度时间图信息最大化的内部威胁检测方法的一种优选方案，其中：还包括：

13、在正常行为序列中插入攻击行为，获取攻击者隐藏攻击意图的负样本图；

14、删除正常行为序列中的任一行为，获取攻击者通过非常规方式在多台计算机上进行文件传输的负样本图；

15、修改正常行为序列中的行为类型，获取攻击者在内部计算机上执行未经授权的操作的负样本图；

16、交换行为序列中任一行为的顺序，获取与所述行为序列的相似语义，但与实际操作逻辑完全相反的负样本图。

17、作为本发明所述的基于深度时间图信息最大化的内部威胁检测方法的一种优选方案，其中：根据所述负样本图和正样本图对图神经网络模型进行训练得到内部威胁特征识别模型，包括：

18、嵌入正样本图和负样本图的生成节点；

19、计算正样本图和负样本图的局部特征，为每个节点生成特征向量；利用读出函数提取图的全局特征，生成整个图的特征向量；

20、根据最大化正样本对的互信息和最小化负样本对的互信息进行图神经网络模型的训练得到内部威胁特征识别模型；

21、正样本对包括连续时间动态图的局部信息和全局信息；负样本对包括负样本图的局部信息和全局信息。

22、作为本发明所述的基于深度时间图信息最大化的内部威胁检测方法的一种优选方案，其中：利用读出函数提取图的全局特征，生成整个图的特征向量包括：

23、读出函数表示为：

24、

25、其中，δ为逻辑s型生长曲线的非线性函数，hi为矩阵h的第i行向量，n为节点数量。

26、作为本发明所述的基于深度时间图信息最大化的内部威胁检测方法的一种优选方案，其中：根据最大化正样本对的互信息和最小化负样本对的互信息进行图神经网络模型的训练得到内部威胁特征识别模型，包括：

27、利用损失函数将正例节点表示与整体图表示之间的互信息最大化，将负例节点表示与正例整体表示之间的互信息最小化，获得图的最优嵌入；

28、损失函数表示为：

29、

30、其中，d为评分器，x为连续时间动态图的节点属性，a为连续时间动态图的邻接矩阵，n为正样本对数量，m为负样本对数量，s为全局特征,为连续时间动态图的节点属性负采样，为连续时间动态图的邻接矩阵负采样，为负样本局部特征。

31、作为本发明所述的基于深度时间图信息最大化的内部威胁检测方法的一种优选方案，其中：根据所述内部威胁特征识别模型对内部网络环境进行检测，包括：所述内部威胁特征识别模型在空间和时间维度上捕获实体及其交互行为的上下文信息；当内部网络环境中的实体及其交互行为的特征符合内部威胁特征时，则产生威胁告警。

32、第二方面，本发明提供了基于深度时间图信息最大化的内部威胁检测系统，包括：

33、正采样模块，用于获取内部网络环境中实体及与所述实体存在交互行为的动态网络中的上下文信息，构建连续时间动态图；所述连续时间动态图作为正样本图；

34、负采样模块，用于基于动态网络异构的元路径约束通过侵蚀函数对所述连续时间动态图进行负采样，生成负样本图；

35、模型构建训练模块，用于基于所述负样本图和正样本图对图神经网络模型进行训练得到内部威胁特征识别模型；

36、检测模块，用于根据所述内部威胁特征识别模型对内部网络环境进行检测。

37、第三方面，本发明提供了一种计算设备，包括：

38、存储器和处理器；

39、所述存储器用于存储计算机可执行指令，所述处理器用于执行所述计算机可执行指令，该计算机可执行指令被处理器执行时实现所述基于深度时间图信息最大化的内部威胁检测方法的步骤。

40、第四方面，本发明提供了一种计算机可读存储介质，其存储有计算机可执行指令，该计算机可执行指令被处理器执行时实现所述基于深度时间图信息最大化的内部威胁检测方法的步骤。

41、与现有技术相比，本发明的有益效果：本发明能够在空间和时间维度上捕捉实体和其相互作用的动态网络中的上下文信息，可以准确地捕获长间隔和轻量级的攻击行为，并解决正常样本和异常样本之间的不平衡问题；基于动态异构图元路径约束开发了一种侵蚀函数，用于生成更贴近实际内部威胁行为、更真实的攻击样本，从而提高检测准确度。