CN113434857A - 一种应用深度学习的用户行为安全解析方法及系统 - Google Patents
一种应用深度学习的用户行为安全解析方法及系统 Download PDFInfo
- Publication number
- CN113434857A CN113434857A CN202110877970.XA CN202110877970A CN113434857A CN 113434857 A CN113434857 A CN 113434857A CN 202110877970 A CN202110877970 A CN 202110877970A CN 113434857 A CN113434857 A CN 113434857A
- Authority
- CN
- China
- Prior art keywords
- behavior
- constraint
- key content
- concept
- discriminative
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Evolutionary Computation (AREA)
- Computational Linguistics (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Biophysics (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请涉及AI和数据安全技术领域,具体而言,涉及应用深度学习的用户行为安全解析方法及系统,通过多个层级对待拆解行为安全事件的区分性概念信息、行为安全事件关键内容和行为安全事件约束进行更为精细化的处理,每个层级接收上一层级输出的行为安全事件关键内容以及区分性概念拆解所补充和增添的更为精细化的关键描述和特征内容,能够在一定程度上提升待拆解行为安全事件的拆解效果,以确保行为安全事件的拆解精度,降低拆解得到的行为安全事件数据的噪声率,从而为后续的行为安全事件的信息安防风险分析提供准确可靠的分析判断依据,进而在一定程度上确保信息安防风险分析的前处理的效果,确保后续信息安防风险分析的可信度和精度。
Description
技术领域
本申请实施例涉及AI和数据安全技术领域,具体涉及一种应用深度学习的用户行为安全解析方法及系统。
背景技术
作为一种资源,由于数据信息的普遍性、共享性、增值性、可处理性和多效用性,使其对于各类行业具有特别重要的意义。在大数据互联网时代,数据信息安全是各方所关注的重点。近年来,由于数据信息安全风险所造成的重大损失等事件比比皆是。数据信息安全的本质是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。
现目前,针对数据信息的安全防护手段很多,比如通过对用户行为进行分析以实现数据信息安防风险分析。随着用户行为数量和规模的不断增加,为了提高数据信息安防风险分析的时效性,通常会对用户行为数据或者用户行为信息进行行为事件层面的拆解处理。然而,发明人经研究和分析发现,相关的行为事件拆解分析技术在对行为事件进行拆解时可能会损失细节信息,从而难以确保拆解精度,难以确保行为事件拆解的质量。
发明内容
本申请实施例提供一种应用深度学习的用户行为安全解析方法,应用于用户行为安全解析系统,所述方法包括:获取待校验用户行为日志的第一区分性概念信息,和所述待校验用户行为日志中的待拆解行为安全事件的第一行为安全事件关键内容和与所述第一行为安全事件关键内容对应的第一行为安全事件约束;基于所述第一区分性概念信息、所述第一行为安全事件关键内容和所述第一行为安全事件约束,进行两个或多于两个层级的区分性概念整合处理,得到第二行为安全事件约束;其中,将上一层级所述区分性概念整合处理输出的第一行为安全事件关键内容进行内容扩展处理得到下一层级的行为安全事件关键内容,并基于所述下一层级的行为安全事件关键内容得到其对应的行为安全事件约束,将所述下一层级的所述行为安全事件关键内容、所述下一层级的行为安全事件约束和所述下一层级对应的区分性概念信息作为下一层级区分性概念整合处理的原料信息;且,每一层级所述区分性概念整合处理的原料信息中的区分性概念信息的特征识别度与行为安全事件关键内容的特征识别度相同。
在一些可独立实施的实施例中,所述基于所述第一区分性概念信息、所述第一行为安全事件关键内容和所述第一行为安全事件约束,进行两个或多于两个层级的区分性概念整合处理,得到第二行为安全事件约束,包括:基于所述第一区分性概念信息、所述第一行为安全事件关键内容和所述第一行为安全事件约束,进行第一层级的区分性概念整合处理,得到第二行为安全事件关键内容;基于所述第二行为安全事件关键内容、与所述第二行为安全事件关键内容对应的层级行为安全事件约束和第二区分性概念信息进行至少一层级的区分性概念整合处理,得到所述第二行为安全事件约束;其中,所述第二区分性概念信息的特征识别度与所述第二行为安全事件关键内容的特征识别度相同。如此,对第一区分性概念信息、第一行为安全事件关键内容和第一行为安全事件约束进行多层级细致化拆分处理,能并且每一层级输出的结果的特征识别度大于其上一层级输出结果的特征识别度,从而能够为每一个待拆解行为安全事件输出高特征识别度的行为安全事件约束。
在一些可独立实施的实施例中,所述基于所述第一区分性概念信息、所述第一行为安全事件关键内容和所述第一行为安全事件约束,进行第一层级的区分性概念整合处理,得到第二行为安全事件关键内容,包括:将所述第一区分性概念信息中的第一区分性概念关键内容和所述第一行为安全事件关键内容进行整合,得到第一整合关键内容;将所述第一整合关键内容、所述第一区分性概念信息中第一区分性概念约束和所述第一行为安全事件约束进行绑定,得到所述第二行为安全事件关键内容。如此,通过采用区分性概念整合内核对待拆解用户行为日志的关键内容和约束进行整合,能够得到具有更加丰富的细节内容的第二行为安全事件关键内容。
在一些可独立实施的实施例中,所述将所述第一区分性概念信息中的第一区分性概念关键内容和所述第一行为安全事件关键内容进行整合,得到第一整合关键内容,包括:采用第一滑动平均操作,对所述第一区分性概念关键内容和所述第一行为安全事件关键内容进行处理,得到第一滑动平均关键内容;分别采用多个第二滑动平均操作,对所述第一滑动平均关键内容进行处理,得到多个第二滑动平均结果;其中,所述第一滑动平均操作的滑动平均单元小于所述第二滑动平均的滑动平均单元,且所述多个第二滑动平均操作的膨胀尺寸存在差异;基于所述多个第二滑动平均结果,确定所述第一整合关键内容。如此,使得到的整合关键内容能够尽可能保留待拆解行为安全事件的更为精细化的局部关键描述和局部特征内容。
在一些可独立实施的实施例中,所述基于所述第二行为安全事件关键内容、与所述第二行为安全事件关键内容对应的层级行为安全事件约束和第二区分性概念信息进行至少一层级的区分性概念整合处理,得到所述第二行为安全事件约束,包括:对所述第二行为安全事件关键内容、所述层级行为安全事件约束和所述第二区分性概念信息进行第二层级的区分性概念整合处理,得到第三行为安全事件关键内容和所述第三行为安全事件关键内容对应的第一膨胀约束;基于所述第一膨胀约束和所述层级行为安全事件约束,确定第三行为安全事件约束;对所述第三行为安全事件关键内容、所述第一膨胀约束和第三区分性概念信息进行第三层级的区分性概念整合处理,得到第四行为安全事件关键内容和所述第四行为安全事件关键内容对应的第二膨胀约束;基于所述第二膨胀约束和所述第三行为安全事件约束,确定所述第二行为安全事件约束。如此,能够更加准确地拆解行为安全事件的指定信息集,从而在一定程度上提升拆解效果,以确保行为安全事件的拆解精度,降低拆解得到的行为安全事件数据的噪声率,从而为后续的行为安全事件的信息安防风险分析提供准确可靠的分析判断依据,进而在一定程度上确保信息安防风险分析的前处理的效果,确保后续信息安防风险分析的可信度和精度。
在一些可独立实施的实施例中,所述对所述第二行为安全事件关键内容、所述层级行为安全事件约束和所述第二区分性概念信息进行第二层级的区分性概念整合处理,得到第三行为安全事件关键内容和所述第三行为安全事件关键内容对应的第一膨胀约束,包括:对所述第二行为安全事件关键内容、所述层级行为安全事件约束和所述第二区分性概念信息进行第二层级的区分性概念整合处理,得到所述第三行为安全事件关键内容;对所述第三行为安全事件关键内容中的指定信息集进行预估,得到所述第一膨胀约束。如此,通过通过在对待拆解行为安全事件进行行为安全事件拆解的中,进一步对待拆解行为安全事件的行为安全事件关键内容以及区分性概念关键内容进行第二次整合处理,能够引入更高特征识别度的区分性概念拆解关键内容,从而使得到拆解的指定信息集更加准确。
在一些可独立实施的实施例中,所述基于所述第一膨胀约束和所述层级行为安全事件约束,确定第三行为安全事件约束,包括:确定所述层级行为安全事件约束中的指定信息集;基于所述指定信息集和所述第一膨胀约束,确定描述所述待拆解行为安全事件的指定信息集的指定约束;基于所述指定信息集和所述层级行为安全事件约束,确定描述所述待拆解行为安全事件的非指定信息集的非指定约束;基于所述非指定约束和所述指定约束,确定所述第三行为安全事件约束。如此,结合第一层级输出的完整内容的第一行为安全事件约束和第二层级输出的描述指定信息集的第一膨胀约束,得到能够更加精确描述完整内容的第三行为安全事件约束。
在一些可独立实施的实施例中,所述基于所述指定信息集和所述第一膨胀约束,确定描述所述待拆解行为安全事件的指定信息集的指定约束,包括:基于所述第一膨胀约束的特征识别度,对所述层级行为安全事件约束中的指定信息集进行内容扩展处理,得到第一指定信息集;基于所述第一指定信息集和所述第一膨胀约束,得到所述指定约束。如此,通过结合层级行为安全事件约束的第一指定信息集和对待拆解行为安全事件进行指定信息集预测的第一膨胀约束,能够更加准确的预测待拆解行为安全事件的指定信息集。
在一些可独立实施的实施例中,所述基于所述指定信息集和所述层级行为安全事件约束,确定描述所述待拆解行为安全事件的非指定信息集的非指定约束,包括:基于所述第一膨胀约束的特征识别度对所述层级行为安全事件约束进行内容扩展处理,得到上采样行为安全事件约束;对第一指定信息集进行镜像操作,得到镜像约束;基于所述镜像约束和所述上采样行为安全事件约束,得到所述非指定约束。如此,能够得到准确描述待拆解行为安全事件的完整内容的第三行为安全事件约束。
在一些可独立实施的实施例中,所述确定所述层级行为安全事件约束中的指定信息集,包括:基于所述层级行为安全事件约束,确定所述待拆解行为安全事件的分类标识;在所述待校验用户行为日志中,确定与所述分类标识之间的最小差异度小于设定差异度的日志内容集合;基于所述日志内容集合,确定所述层级行为安全事件约束中的指定信息集。如此,通过分析日志内容与待拆解行为安全事件的分类标识之间的差异度,能够更加全面地保留待拆解行为安全事件的指定信息集的更为精细化的关键描述和特征内容。
在一些可独立实施的实施例中,所述获取待校验用户行为日志的第一区分性概念信息之前,所述方法还包括:采用关键内容多尺度模型,对所述待校验用户行为日志进行关键内容抽取,得到包括特征识别度不同的多个用户行为日志关键内容的用户行为日志关键内容集合;基于所述用户行为日志关键内容集合中特征识别度满足设定阈值的目标用户行为日志关键内容,确定所述待校验用户行为日志的区分性概念信息。如此,能够得到更加丰富的区分性概念信息和更加准确的行为安全事件关键内容和行为安全事件约束。
在一些可独立实施的实施例中,所述基于所述用户行为日志关键内容集合中特征识别度满足设定阈值的目标用户行为日志关键内容,确定所述待校验用户行为日志的区分性概念信息,包括:基于所述目标用户行为日志关键内容,对所述待校验用户行为日志进行区分性概念拆解,得到区分性概念关键内容;基于所述区分性概念关键内容,确定所述待校验用户行为日志中每一日志文本对应于所述待拆解行为安全事件的可能性;基于所述可能性,确定所述待校验用户行为日志的区分性概念约束;将所述区分性概念关键内容和所述区分性概念约束,作为所述区分性概念信息。如此,能够得到更为精细化和丰富的关键描述和特征内容的区分性概念信息。
在一些可独立实施的实施例中,所述获取待校验用户行为日志的第一区分性概念信息,和所述待校验用户行为日志中的待拆解行为安全事件的第一行为安全事件关键内容和与所述第一行为安全事件关键内容对应的第一行为安全事件约束,包括:采用受关注信息集配对操作,在所述待校验用户行为日志的视觉型关键内容集合中挑选满足设定特征识别度的第一用户行为日志关键内容;基于所述第一用户行为日志关键内容,确定所述第一行为安全事件关键内容和所述第一行为安全事件约束;采用所述受关注信息集配对操作,在所述区分性概念信息中挑选特征识别度为所述设定特征识别度的所述第一区分性概念信息。如此,通过采用采用受关注信息集配对操作挑选满足一定特征识别度的区分性概念信息、行为安全事件关键内容以及行为安全事件约束,能够尽量对缺失的细节内容进行补全。
本申请实施例还提供了一种用户行为安全解析系统,包括处理器、通信总线和存储器;所述处理器和所述存储器通过所述通信总线通信,所述处理器从所述存储器中读取计算机程序并运行,以执行上述的方法。
本申请实施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序在运行时实现上述的方法。
本申请实施例提供一种应用深度学习的用户行为安全解析方法及系统,首先获取待校验用户行为日志的第一区分性概念信息和待拆解行为安全事件的第一行为安全事件关键内容和第一行为安全事件约束;然后,通过对第一区分性概念信息、第一行为安全事件关键内容和第一行为安全事件约束,进行至少两层级的区分性概念整合处理,得到表征待拆解行为安全事件所在用户行为日志信息集的第二行为安全事件约束;而且将上一层级区分性概念整合处理输出的行为安全事件关键内容进行内容扩展处理得到下一层级的行为安全事件关键内容,将该下一层级的行为安全事件关键内容、对应的行为安全事件约束和区分性概念信息,作为下一层级区分性概念整合处理的原料信息;这样一来,通过多个层级对待拆解行为安全事件的区分性概念信息、行为安全事件关键内容和行为安全事件约束进行更为精细化的处理,每个层级接收上一层级输出的行为安全事件关键内容以及区分性概念拆解所补充和增添的更为精细化的关键描述和特征内容,能够在一定程度上提升待拆解行为安全事件的拆解效果,以确保行为安全事件的拆解精度,降低拆解得到的行为安全事件数据的噪声率,从而为后续的行为安全事件的信息安防风险分析提供准确可靠的分析判断依据,进而在一定程度上确保信息安防风险分析的前处理的效果,确保后续信息安防风险分析的可信度和精度。
在后面的描述中,将部分地陈述其他的特征。在检查后面内容和附图时,本领域的技术人员将部分地发现这些特征,或者可以通过生产或运用了解到这些特征。通过实践或使用后面所述详细示例中列出的方法、工具和组合的各个方面,当前申请中的特征可以被实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例所提供的一种用户行为安全解析系统的方框示意图。
图2为本申请实施例所提供的一种应用深度学习的用户行为安全解析方法的流程图。
图3为本申请实施例所提供的一种应用深度学习的用户行为安全解析装置的框图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本申请的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
图1示出了本申请实施例所提供的一种用户行为安全解析系统10的方框示意图。本申请实施例中的用户行为安全解析系统10可以为具有数据存储、传输、处理功能的服务端,如图1所示,用户行为安全解析系统10包括:存储器11、处理器12、通信总线13和应用深度学习的用户行为安全解析装置20。
存储器11、处理器12和通信总线13之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件互相之间可以通过一条或多条通讯总线或信号线实现电性连接。存储器11中存储有应用深度学习的用户行为安全解析装置20,所述应用深度学习的用户行为安全解析装置20包括至少一个可以软件或固件(firmware)的形式储存于所述存储器11中的软件功能模块,所述处理器12通过运行存储在存储器11内的软件程序以及模块,例如本申请实施例中的应用深度学习的用户行为安全解析装置20,从而执行各种功能应用以及数据处理,即实现本申请实施例中的应用深度学习的用户行为安全解析方法。
其中,所述存储器11可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器11用于存储程序,所述处理器12在接收到执行指令后,执行所述程序。
所述处理器12可能是一种集成电路芯片,具有数据的处理能力。上述的处理器12可以是通用处理器,包括中央处理器 (Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等。可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
通信总线13用于通过网络建立用户行为安全解析系统10与其他通信终端设备之间的通信连接,实现网络信号及数据的收发操作。上述网络信号可包括无线信号或者有线信号。
可以理解,图1所示的结构仅为示意,用户行为安全解析系统10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序在运行时实现上述的方法。
图2示出了本申请实施例所提供的一种应用深度学习的用户行为安全解析的流程图。所述方法有关的流程所定义的方法步骤应用于用户行为安全解析系统10,可以由所述处理器12实现,所述方法包括以下内容。
步骤101,获取待校验用户行为日志的第一区分性概念信息,和待校验用户行为日志中的待拆解行为安全事件的第一行为安全事件关键内容和与所述第一行为安全事件关键内容对应的第一行为安全事件约束。
在一些可能的实施例中,待校验用户行为日志可以是包括多个或者一个待拆解行为安全事件的用户行为日志,可以是多端交互的用户行为日志还可以是单侧运行的用户行为日志。待检测用户行为日志可以是任意日志爬取线程在任意具有待拆解行为安全事件的业务互动场景下爬取得到的用户行为日志。待校验用户行为日志中的待拆解行为安全事件可以是与业务互动场景匹配的任意行为安全事件,比如,业务互动场景是在线办公场景,那么待拆解行为安全事件为待校验用户行为日志中的在线办公行为事件;如果业务互动场景为区块链支付场景,那么待拆解行为安全事件为待校验用户行为日志中的区块链支付行为事件。待校验用户行为日志的区分性概念信息表征该待校验用户行为日志在日志文本层面的类型描述,比如,对用户行为日志中的每个日志文本皆区分出对应的类型,得到日志文本层面的分组情况或分类结果。该第一区分性概念信息包括待校验用户行为日志的区分性概念关键内容和该待校验用户行为日志的区分性概念约束。第一区分性概念信息的特征识别度与第一行为安全事件关键内容的特征识别度相同;该第一行为安全事件约束用于描述待拆解行为安全事件所对应的用户行为日志信息集,即描述待拆解行为安全事件的完整内容。
对于一些可能的示例而言,区分性概念约束具有为对待校验用户行为日志的部分日志内容进行限定和定位的功能,可以理解为相关的视觉性约束条件,比如文本框或者其他类型的条件。
在一些可独立实施的实施方式中,通过采用关键内容多尺度模型,对待校验用户行为日志进行关键内容抽取,以得到更加丰富的区分性概念信息和更加准确的行为安全事件关键内容和行为安全事件约束,即上述步骤101可以通过以下过程实现。
步骤111,采用关键内容多尺度模型,对所述待校验用户行为日志进行关键内容抽取,得到包括特征识别度不同的多个用户行为日志关键内容的用户行为日志关键内容集合。
在一些可能的实施例中,采用关键内容多尺度模型(比如特征多尺度模型),首先,对该待校验用户行为日志以倒序顺序进行关键内容抽取(特征提取);其次,采用正序顺序策略对抽取到的高阶视觉型关键内容进行内容扩展处理(比如可以理解为上采样);再次,通过互相关联,将内容扩展处理的结果和倒序顺序生成的相同大小的视觉型关键内容进行整合;并,将低特征识别度的视觉型关键内容做设定倍数内容扩展处理(或者,采用最近邻内容扩展处理)。最后,通过按特征要素加权,将内容扩展处理结果与相应的倒序抽取结果合并。上述过程可以是迭代的,直至最后生成特征识别度视觉记录,即得到用户行为日志关键内容集合。
在其他可能的实施例中,还可以是通过获取所述待校验用户行为日志在不同特征识别度下的多个用户行为日志,对这多个用户行为日志进行关键内容抽取,得到包括特征识别度不同的多个用户行为日志关键内容的用户行为日志关键内容集合。比如,将待校验用户行为日志转换为在多个不同特征识别度下的用户行为日志,该不同特征识别度的数量的设定可以是与关键内容多尺度模型的层数相匹配,即关键内容多尺度模型如果有5层,那么可以设定6个不同的按降序排列的特征识别度。在一个可能的示例中,可以采用设定的特征调整策略对待校验用户行为日志进行特征调整,从而得到不同特征识别度下的多个用户行为日志。
步骤112,基于所述用户行为日志关键内容集合中特征识别度满足设定阈值的目标用户行为日志关键内容,确定所述待校验用户行为日志的区分性概念信息。
在一些可能的实施例中,所述设定阈值可以是依据用户行为日志关键内容集合中每一个视觉型关键内容的特征识别度大小设定的特征识别度阈值,比如,在用户行为日志关键内容集合中确定特征识别度最大的用户行为日志关键内容为目标用户行为日志关键内容。通过该目标用户行为日志关键内容,分析该待校验用户行为日志整体层面的区分性概念信息。如此,通过将高特征识别度的目标用户行为日志关键内容作为区分性概念拆解子网的输入信息,预测/估计该待校验用户行为日志整体层面的区分性概念信息,能够为后续的行为安全事件拆解提供细节程度更高的信息。
步骤113,采用受关注信息集配对操作,在所述待校验用户行为日志的视觉型关键内容集合中挑选满足设定特征识别度的第一用户行为日志关键内容。
在一些可能的实施例中,步骤113可以是采用受关注信息集配对操作(感兴趣内容对齐处理),首先,对于待待校验用户行为日志中每一个待拆解行为安全事件的定位标识,从视觉型关键内容拓扑中选取该定位标识覆盖的视觉型关键内容;然后,将每一个定位标识对应的视觉型关键内容更新为设定状态,即可得到满足设定特征识别度的第一用户行为日志关键内容。比如,采用n*m的受关注信息集配对操作,设定n*m的视觉型关键内容,得到第一用户行为日志关键内容。在一些可能的实施方式中,行为安全事件拆解子网可以是由完全滑动平均的行为安全事件拆解子网实现的,比如,全滑动平均AI模型、约束滑动平均AI模型或者残差式分解滑动平均AI模型等。
步骤114,基于所述第一用户行为日志关键内容,确定所述第一行为安全事件关键内容和所述第一行为安全事件约束。
在一些可能的实施例中,通过对已经设定成设定状态的第一用户行为日志关键内容,进行滑动平均操作(卷积操作),得到第一行为安全事件关键内容;基于该第一行为安全事件关键内容对待拆解行为安全事件的完整内容进行预估,得到第一行为安全事件约束。如此,通过包含多个特征识别度的视觉型关键内容拓扑,预测待拆解行为安全事件的第一行为安全事件关键内容和第一行为安全事件约束,能够提高预测的第一行为安全事件约束的准确度。
步骤115,采用所述受关注信息集配对操作,在所述区分性概念信息中挑选特征识别度为所述设定特征识别度的所述第一区分性概念信息。
在一些可能的实施例中,通过采用相同的受关注信息集配对操作,在区分性概念信息中挑选特征识别度与第一行为安全事件关键内容的特征识别度相同的第一区分性概念关键内容和第一区分性概念约束,得到第一区分性概念信息。这样,通过采用该网络的滑动平均单元(卷积层)预测第一行为安全事件关键内容和第一行为安全事件约束,从而得到模糊但是相对完整全面的行为安全事件约束,便于后续层级中基于该模糊但是相对完整全面的第一行为安全事件约束进行精细化拆解,能够尽量对缺失的细节内容进行补全。
步骤102,基于所述第一区分性概念信息、所述第一行为安全事件关键内容和所述第一行为安全事件约束,进行两个或多于两个层级的区分性概念整合处理,得到第二行为安全事件约束。
在一些可独立实施的实施例中,将上一次所述区分性概念整合处理输出的第一行为安全事件关键内容进行内容扩展处理后得到的行为安全事件关键内容和与所述行为安全事件关键内容对应的行为安全事件约束,作为下一次所述区分性概念整合处理的原料信息(比如可以理解为输入特征);且,每一次所述区分性概念整合处理的原料信息中的区分性概念信息的特征识别度与行为安全事件关键内容的特征识别度相同。首先,将第一区分性概念信息、所述第一行为安全事件关键内容和所述第一行为安全事件约束作为第一次区分性概念整合处理的输入;然后,将第一次区分性概念整合处理输出的行为安全事件关键内容,进行内容扩展处理后得到一行为安全事件关键内容;将该行为安全事件关键内容与对应的行为安全事件约束,以及特征识别度与该行为安全事件关键内容的特征识别度相同的区分性概念关键内容、区分性概念约束,作为第二次区分性概念整合处理的输入。最后,基于第二次区分性概念整合处理的输出,得到能够精确且完整的描述待拆解行为安全事件完整内容的第二行为安全事件约束。
在本申请实施例中,对于获取的包含待拆解行为安全事件的待校验用户行为日志,首先确定该用户行为日志的第一区分性概念信息和待拆解行为安全事件的第一行为安全事件关键内容和第一行为安全事件约束;然后,通过对第一区分性概念信息、第一行为安全事件关键内容和第一行为安全事件约束进行多次区分性概念整合处理,得到第二行为安全事件约束。这样,将上一次所述区分性概念整合处理输出的第一行为安全事件关键内容进行内容扩展处理后得到的行为安全事件关键内容和与所述行为安全事件关键内容对应的行为安全事件约束,作为下一次所述区分性概念整合处理的原料信息,而且通过引入与第一行为安全事件关键内容特征识别度匹配的区分性概念信息,能够补充对待拆解行为安全事件进行拆解时的更为精细化的关键描述和特征内容,从而在一定程度上提升待拆解行为安全事件的拆解效果,以确保行为安全事件的拆解精度,降低拆解得到的行为安全事件数据的噪声率,从而为后续的行为安全事件的信息安防风险分析提供准确可靠的分析判断依据,进而在一定程度上确保信息安防风险分析的前处理的效果,确保后续信息安防风险分析的可信度和精度。
在一些可独立实施的实施例中,通过采用区分性概念拆解子网,对输入的视觉型关键内容拓扑中高特征识别度的用户行为日志关键内容,进行区分性概念拆解,得到表征该待校验用户行为日志的区分性概念信息,即上述步骤112可以通过以下步骤实现。
第一个步骤,基于所述目标用户行为日志关键内容,对所述待校验用户行为日志进行区分性概念拆解,得到区分性概念关键内容。
在一些可能的实施例中,将目标用户行为日志关键内容输入区分性概念拆解子网中,该区分性概念拆解子网可以是包括四个滑动平均单元,以抽取整个用户行为日志的区分性概念关键内容。
第二个步骤,基于所述区分性概念关键内容,确定所述待校验用户行为日志中每一日志文本对应于所述待拆解行为安全事件的可能性。
在一些实施例中,区分性概念拆解子网通过滑动平均单元抽取用户行为日志的区分性概念关键内容之后,通过设定分类线程(比如二分类的分类器)预测每个日志文本对应于用户行为日志中行为安全事件的可能性,即待校验用户行为日志中每一日志文本对应于所述待拆解行为安全事件的可能性。比如,待拆解行为安全事件为区块链支付行为事件,那么通过设定分类线程预测每个日志文本对应于区块链支付行为事件的可能性,从而实现对待校验用户行为日志的区分性概念约束的预测。
第三个步骤,基于所述可能性,确定所述待校验用户行为日志的区分性概念约束,并将所述区分性概念关键内容和所述区分性概念约束,作为所述区分性概念信息。
在一些可能的实施例中,在区分性概念拆解子网中,通过在分类损失(二分类交叉熵损失)的监督下,预测整个用户行为日志的高特征识别度的区分性概念约束。如此,通过上述第一个步骤至第三个步骤,在区分性概念拆解子网中,通过对高特征识别度的用户行为日志关键内容进行区分性概念拆解,得到该用户行为日志的区分性概念关键内容,而且通过采用分类损失,预测该用户行为日志的区分性概念约束,从而得到更为精细化和丰富的关键描述和特征内容的区分性概念信息。
在一些可独立实施的实施例中,对第一区分性概念信息、第一行为安全事件关键内容和第一行为安全事件约束进行多层级细致化拆分处理,能并且每一层级输出的结果的特征识别度大于其上一层级输出结果的特征识别度,从而能够为每一个待拆解行为安全事件输出高特征识别度的行为安全事件约束,即上述步骤102可以通过以下的步骤实现。
步骤201,基于所述第一区分性概念信息、所述第一行为安全事件关键内容和所述第一行为安全事件约束,进行第一层级的区分性概念整合处理,得到第二行为安全事件关键内容。
在一些可能的实施例中,第一行为安全事件关键内容可以是n*m的行为安全事件关键内容,第一行为安全事件约束为行为安全事件关键内容对应的n*m的行为安全事件约束;第一区分性概念信息为n*m的第一区分性概念关键内容和n*m的第一区分性概念约束。通过将n*m的第一区分性概念关键内容、n*m的第一区分性概念约束、n*m的行为安全事件关键内容和n*m的行为安全事件约束输入区分性概念整合内核,在区分性概念整合内核(比如区分性概念整合模块)中,分别对传入的四部分进行整合,得到具有更多更为精细化的关键描述和特征内容的第二行为安全事件关键内容。
步骤202,基于所述第二行为安全事件关键内容、与所述第二行为安全事件关键内容对应的层级行为安全事件约束和第二区分性概念信息进行至少一层级的整合处理,得到所述第二行为安全事件约束。
在一些可独立实施的实施例中,第二区分性概念信息的特征识别度与所述第二行为安全事件关键内容的特征识别度相同。第二区分性概念信息可以是采用受关注信息集配对操作,在通过区分性概念拆解子网,对待校验用户行为日志进行区分性概念拆解得到的区分性概念信息中,选取的与第二行为安全事件关键内容的特征识别度相同的区分性概念关键内容和区分性概念约束。将第一次区分性概念整合处理输出的第二行为安全事件关键内容进行内容扩展处理,将内容扩展处理后行为安全事件关键内容、相同特征识别度的层级行为安全事件约束以及相同特征识别度的第二区分性概念信息,输入第二层级的区分性概念整合内核中,进行第二次的区分性概念整合处理。基于第二次区分性概念整合处理的结果,得到表征待拆解行为安全事件的指定信息集的膨胀约束(比如可以是空洞约束),并且将该膨胀约束与描述完整内容的层级行为安全事件约束相结合,得到能够描述待拆解行为安全事件完整内容的第二行为安全事件约束。
在一些可独立实施的实施例中,通过采用区分性概念整合内核对第一区分性概念关键内容和第一行为安全事件关键内容进行整合,得到第一整合关键内容,即上述步骤201可以通过以下步骤实现。
步骤211,将所述第一区分性概念信息中的第一区分性概念关键内容和所述第一行为安全事件关键内容进行整合,得到第一整合关键内容。
在一些可能的实施例中,第一区分性概念信息中包括:第一区分性概念关键内容和第一区分性概念约束;第一区分性概念关键内容与所述第一行为安全事件关键内容的特征识别度相同;第一区分性概念约束与第一行为安全事件约束的特征识别度相同。在一些可能的实施方式中,在区分性概念拆解子网输出的区分性概念信息,即输出的区分性概念关键内容和区分性概念约束。由于第一行为安全事件关键内容的特征识别度为n*m,所以首先,采用n*m的感兴趣内容配对操作,在区分性概念拆解子网输出的区分性概念关键内容中,挑选特征识别度为n*m的第一区分性概念关键内容。然后,在所述区分性概念约束中,确定与所述第一行为安全事件约束的特征识别度相匹配的第一区分性概念约束。比如,由于第一行为安全事件约束的特征识别度n*m,所以采用n*m的感兴趣内容配对操作,在区分性概念拆解子网输出的区分性概念约束中,挑选特征识别度为n*m的第一区分性概念约束。
其中,将第一区分性概念关键内容和第一行为安全事件关键内容进行整合,可以是通过将第一区分性概念关键内容和第一行为安全事件关键内容输入滑动平均单元中,采用多种不同滑动平均尺度对第一区分性概念关键内容和第一行为安全事件关键内容进行滑动平均,以及,逐次加权等操作,从而得到第一整合关键内容。
在一些可独立实施的实施方式中,可以通过以下步骤实现。
第一个步骤,采用第一滑动平均操作,对所述第一区分性概念关键内容和所述第一行为安全事件关键内容进行处理,得到第一滑动平均关键内容。
在一些可能的实施例中,第一滑动平均操作可以是滑动平均单元小于一定阈值的滑动平均网络还可以是一个滑动平均运算,比如,2*2的滑动平均单元。将第一区分性概念关键内容、第一行为安全事件关键内容、第一区分性概念约束和第一行为安全事件约束,共同输出区分性概念整合内核;采用2*2滑动平均单元,对输入的第一区分性概念关键内容和第一行为安全事件关键内容进行滑动平均,从而得到第一滑动平均关键内容。
第二个步骤,分别采用多个第二滑动平均操作,对所述第一滑动平均关键内容进行处理,得到多个第二滑动平均结果。
在一些可能的实施例中,第一滑动平均操作的滑动平均单元小于所述第二滑动平均的滑动平均单元,且所述多个第二滑动平均操作的膨胀尺寸存在差异,即采用这多个第二滑动平均操作对输入的关键内容进行滑动平均操作时,单个滑动平均的卷积影响区间不同。比如,采用具有不同膨胀尺寸(空洞尺寸)的三个并行6*6滑动平均单元,对第一滑动平均关键内容进行处理,得到多个第二滑动平均结果。
第三个步骤,基于所述多个第二滑动平均结果,得到所述第一整合关键内容。
在一些可能的实施方式中,将这多个第二滑动平均结果进行逐次加权,得到第一整合关键内容。如此,首先采用滑动平均单元较小的滑动平均单元对输入的关键内容进行滑动平均,能够降低噪声干扰程度;然后,通过采用滑动平均单元较大,且膨胀不同的多个滑动平均单元对滑动平均后的关键内容进一步进行滑动平均处理;最后,将多个滑动平均结果相整合,使得到的整合关键内容能够尽可能保留待拆解行为安全事件的更为精细化的局部关键描述和局部特征内容。
步骤212,将所述第一整合关键内容、所述第一区分性概念信息中第一区分性概念约束和所述第一行为安全事件约束进行绑定,得到所述第二行为安全事件关键内容。
在一些可独立实施的实施例中,在区分性概念整合内核中,通过对输入的第一区分性概念关键内容和第一行为安全事件关键内容进行整合之后,首先,对输入区分性概念整合内核中的第一区分性概念约束和第一行为安全事件约束的特征识别度进行上采样;然后,将整合得到的第一整合关键内容、特征识别度上采样后的区分性概念约束和行为安全事件约束,按照正序的顺序进行组合,或者是按照任意顺序进行组合,得到第二行为安全事件关键内容。
上述步骤211和步骤212中,通过采用区分性概念整合内核对待拆解用户行为日志的关键内容和约束进行整合,能够得到具有更加丰富的细节内容的第二行为安全事件关键内容。
在一些可独立实施的实施例中,通过对第二行为安全事件关键内容、层级行为安全事件约束和第二区分性概念信息进行第二层级的区分性概念整合处理,关注待拆解行为安全事件的指定信息集,从而能够更加准确地拆解行为安全事件的指定信息集,从而在一定程度上提升拆解效果,以确保行为安全事件的拆解精度,降低拆解得到的行为安全事件数据的噪声率,从而为后续的行为安全事件的信息安防风险分析提供准确可靠的分析判断依据,进而在一定程度上确保信息安防风险分析的前处理的效果,确保后续信息安防风险分析的可信度和精度,即上述步骤202可以通过以下步骤实现。
步骤221,对所述第二行为安全事件关键内容、所述层级行为安全事件约束和所述第二区分性概念信息进行第二层级的区分性概念整合处理,得到第三行为安全事件关键内容和所述第三行为安全事件关键内容对应的第一膨胀约束。
在一些可独立实施的实施例中,第二行为安全事件关键内容的特征识别度大于第一行为安全事件关键内容的特征识别度。通过将第二行为安全事件关键内容、所述层级行为安全事件约束和所述第二区分性概念信息输入第二层级的区分性概念整合内核中,得到第三行为安全事件关键内容;对该第三行为安全事件关键内容的指定信息集进行预估,得到第一膨胀约束。即,第一膨胀约束用于描述待拆解行为安全事件的指定信息集。如此,通过通过在对待拆解行为安全事件进行行为安全事件拆解的中,进一步对待拆解行为安全事件的行为安全事件关键内容以及区分性概念关键内容进行第二次整合处理,能够引入更高特征识别度的区分性概念拆解关键内容,从而使得到拆解的指定信息集更加准确。
其中,该指定信息集为以待拆解行为安全事件的分类标识为基准,与该分类标识的差异度小于一定差异度阈值的日志内容所组成的信息集。在一个可能的示例中,以待拆解行为安全事件为区块链支付行为事件为例,该指定信息集为以区块链支付行为事件在待校验用户行为日志中的分类标识为基准形成的包括部分显著性(即区块链支付行为事件的用户行为日志信息集),以及,部分非显著性的用户行为日志信息集。
步骤222,基于所述第一膨胀约束和所述层级行为安全事件约束,确定第三行为安全事件约束。
在一些可能的实施例中,通过将第一膨胀约束和层级行为安全事件约束输入限制解析单元中;在该单元中,通过对第一膨胀约束的指定信息集进行特征识别度上采样,结合预测结果和层级行为安全事件约束,能够预测待拆解行为安全事件的完整内容,得到第三行为安全事件约束。
在一些可独立实施的实施方式中,对行为安全事件拆解过程的第二层级中,通过结合第一层级输出的完整内容的第一行为安全事件约束和第二层级输出的描述指定信息集的第一膨胀约束,得到能够更加精确描述完整内容的第三行为安全事件约束;即上述步骤222可以通过以下步骤实现。
第一个步骤,确定所述层级行为安全事件约束中的指定信息集。
在一些可独立实施的实施例中,在行为安全事件拆解子网中,按照层级行为安全事件约束中的第一行为安全事件约束所表征的待拆解行为安全事件的状态,预测该状态在待校验用户行为日志中的指定信息集。在一些可能的实施方式中,首先,基于所述层级行为安全事件约束,确定所述待拆解行为安全事件的分类标识;比如,通过分析第一行为安全事件约束所表征的待拆解行为安全事件的完整内容,确定该行为安全事件的分类标识。然后,在所述待校验用户行为日志中,确定与所述分类标识之间的最小差异度小于设定差异度的日志内容集合;比如,在待校验用户行为日志中,分别确定每一日志内容到离该日志内容最近的分类标识,之间的差异度;将差异度小于设定差异度的日志内容,组成日志内容集合。最后,基于所述日志内容集合,确定所述层级行为安全事件约束中的指定信息集。比如,通过对该日志内容集合中的日志内容进行拟合,形成一个用户行为日志信息集,即指定信息集;该指定信息集中包括分类标识与非显著性信息关联的用户行为日志信息集,以及,分类标识与行为安全事件本身关联的用户行为日志信息集。如此,通过分析日志内容与待拆解行为安全事件的分类标识之间的差异度,能够更加全面地保留待拆解行为安全事件的指定信息集的更为精细化的关键描述和特征内容。
第二个步骤,基于所述指定信息集和所述第一膨胀约束,确定描述所述待拆解行为安全事件的指定信息集的指定约束。
在一些可能的实施例中,通过对该指定信息集进行内容扩展处理,并将内容扩展处理后的信息集与第一膨胀约束进行整合,得到表征拆解行为安全事件的指定信息集的指定约束。在一些可能的实施方式中,首先,基于所述第一膨胀约束的特征识别度,对所述层级行为安全事件约束中的指定信息集进行内容扩展处理,得到第一指定信息集;比如,第一膨胀约束的特征识别度为15*15,按照该特征识别度对预测的指定信息集进行内容扩展处理,得到15*15的第一指定信息集。然后,基于所述第一指定信息集和所述第一膨胀约束,得到所述指定约束。比如,将第一指定信息集和第一膨胀约束进行逐级融合,得到该指定约束。如此,通过结合层级行为安全事件约束的第一指定信息集和对待拆解行为安全事件进行指定信息集预测的第一膨胀约束,能够更加准确地预测待拆解行为安全事件的指定信息集。
第三个步骤,基于所述指定信息集和所述层级行为安全事件约束,确定描述所述待拆解行为安全事件的非指定信息集的非指定约束。
在一些可能的实施例中,将特征识别度上采样后的指定信息集与特征识别度上采样后层级行为安全事件约束,进行逐级融合,得到表征待拆解行为安全事件的非指定信息集的非指定约束。
在一些可独立实施的实施方式中,可以通过以下过程实现上述第二个步骤。
首先,基于所述第一膨胀约束的特征识别度对所述层级行为安全事件约束进行内容扩展处理,得到上采样行为安全事件约束;比如,按照第一膨胀约束的特征识别度,对所述第一行为安全事件约束的特征识别度进行内容扩展处理,得到上采样行为安全事件约束。
然后,对第一指定信息集进行镜像操作,得到镜像约束;比如,先,基于第一行为安全事件约束,分析指定信息集所在的指定约束;再,将该指定约束的特征识别度进行内容扩展处理,使得内容扩展处理后的约束特征识别度与上采样行为安全事件约束的特征识别度相同;最后,对内容扩展处理后的约束进行镜像操作(反向操作),得到镜像约束。比如,内容扩展处理后的约束中的量化数据为d1或d2;将内容扩展处理后的约束中的量化数据为d1的变为d2;量化数据为d2的变为d1。
最后,基于所述镜像约束和所述上采样行为安全事件约束,得到所述非指定约束。比如,将镜像约束和上采样行为安全事件约束进行逐级融合,得到不包含指定信息集的非指定约束。
第四步,基于所述非指定约束和所述指定约束,确定所述第三行为安全事件约束。
在一些可能的实施例中,将非指定约束和指定约束进行逐一的特征要素加权,得到能够准确描述待拆解行为安全事件的完整内容的第三行为安全事件约束。
步骤223,对所述第三行为安全事件关键内容、所述第一膨胀约束和第三区分性概念信息进行第三层级的区分性概念整合处理,得到第四行为安全事件关键内容和所述第四行为安全事件关键内容对应的第二膨胀约束。
在一些可能的实施例中,将上一层级输出的第三行为安全事件关键内容、描述指定信息集的第一膨胀约束和特征识别度相同的第三区分性概念信息输入区分性概念整合内核中,得到待拆解行为安全事件的第四行为安全事件关键内容,和对该第四行为安全事件关键内容的指定信息集进行预估得到的第二膨胀约束。
步骤224,基于所述第二膨胀约束和所述第三行为安全事件约束,确定所述第二行为安全事件约束。
在一些可能的实施例中,将描述指定信息集的第二膨胀约束和描述完整内容的第三行为安全事件约束相结合,得到能够更加精确拆解待拆解行为安全事件的第二行为安全事件约束。
在本申请实施例中,通过对区分性概念信息、行为安全事件关键内容和行为安全事件约束进行多层级整合处理的过程中,预测待拆解行为安全事件的指定信息集,能够为每一个待拆解行为安全事件预测准确的指定信息集。
可以理解的是,与行为安全事件拆解存在差异,区分性概念拆解是在不区分行为安全事件行为安全事件的情况下将每个日志文本分类为一组固定的类型。由于区分性概念划分不需要偏激的高阶关键内容来区分复杂行为安全事件,因此可以充分利用高特征识别度关键内容。
基于此,本申请实施例提供一种高效行为安全事件拆解架构,用于对行为安全事件和业务互动场景进行高效的行为安全事件拆解,在行为安全事件级拆解过程中以多层级方式合并细致化的关键内容。通过逐步整合更细致的信息,高效行为安全事件拆解架构能够完善高效的约束。如此,通过在拆解过程中补全所缺失的更为精细化的关键描述和特征内容,可以有效地提升日志文本层面的拆解精度,同时保留相关算法的优势,从而实现高效行为安全事件拆解。
以下为本申请实施例提供的对约束进行细化处理的实施例,对约束进行细化处理的架构基于人工智能关键内容多尺度模型W401,通过两个小的网络模块,即区分性概念拆解子网W402和行为安全事件拆解子网实现高效行为安全事件细致化拆分。
区分性概念拆解子网W402将来自人工智能关键内容多尺度模型W401的关键内容拓扑的最高特征识别度视觉型关键内容作为输入,并执行区分性概念拆解。区分性概念拆解子网的输出保持与输入相同的特征识别度,而无需使用特征压缩处理(例如,下采样)。区分性概念拆解子网生成的细致化关键内容用于促进行为安全事件拆解子网中的行为安全事件拆解。
行为安全事件拆解子网以多层级方式执行行为安全事件拆解。在每个层级,行为安全事件拆解子网都包含区分性概念关键内容和从细致化关键内容中抽取的区分性概念约束,并增加了关键内容的视觉尺度,从而能够进行更好的行为安全事件约束预测。除此之外,在行为安全事件拆解子网中提出了一种限制条件感知的深度挖掘算法,明确地专注于指定信息集,挖掘更清楚的限制条件。
在本申请实施例中,区分性概念拆解子网是输入为关键内容多尺度模型的最高特征识别度视觉型关键内容的完全滑动平均AI网络。区分性概念拆解子网由四个滑动平均单元组成,以抽取整个用户行为日志的区分性概念关键内容,并通过设定分类线程预测每个日志文本对应于物体的可能性。在分类损失的监督下,预测整个用户行为日志的高特征识别度区分性概念约束。将细致化关键内容定义为区分性概念关键内容和区分性概念约束的并集。这些细致化关键内容还可以用来补充行为安全事件拆解子网中损失的细节信息,从而实现高效的区分性概念约束预测。可以理解,将关键内容多尺度模型W401的最高特征识别度视觉型关键内容输入区分性概念拆解子网W402中,输出区分性概念关键内容和区分性概念约束W403。
行为安全事件拆解分支是一个完全滑动平均的行为安全事件拆解子网。在行为安全事件拆解子网中,首先,将通过n*m受关注信息集配对操作抽取的关键内容反馈到两个6*6滑动平均单元中以生成行为安全事件关键内容。然后,采用2*2的滑动平均单元来预测行为安全事件约束,但是该约束的视觉尺度为n*m。该模糊约束用作以后的精细化层级的约束。
经过上述过程,能够得到模糊的行为安全事件约束。接下来,本申请实施例提出了一个多层级的优化过程,以迭代的方式来优化模糊的行为安全事件约束。每个层级的输入均由四个部分组成,包括:在上一层级获得的行为安全事件关键内容和行为安全事件约束,以及,从区分性概念拆解子网的输出中汇总的区分性概念关键内容和区分性概念约束。比如,首先,使用区分性概念整合内核集成这些输入;然后,将整合后的关键内容按倍数进行内容扩展处理到更大的空间。行为安全事件拆解子网反复运行此优化过程,并输出特征识别度高达N*N的高效行为安全事件约束。在按倍数特征调整到更大的空间之前,区分性概念整合内核中的整合关键内容使用2*2滑动平均单元压缩以压缩通道数。因此,尽管关键内容的视觉尺度越来越大,但是引入的多余的运算开销却非常低。对关键内容多尺度模型W401的关键内容拓扑进行受关注信息集配对操作,得到固定大小的行为安全事件关键内容R404,对该行为安全事件关键内容R404进行滑动平均操作,得到滑动平均后的行为安全事件关键内容R405。基于滑动平均后的行为安全事件关键内容R405进行约束预测,得到n*m的初始约束。在第一层级中,采用受关注信息集配对操作从区分性概念拆解子网W402的输出中汇总的区分性概念关键内容和区分性概念约束W403中取出大小为n*m区分性概念关键内容和区分性概念约束。将关键内容多尺度模型W401的滑动平均后的行为安全事件关键内容R405、n*m初始约束、n*m区分性概念关键内容和区分性概念约束,输入第一层级的区分性概念整合内核PE411中;然后,区分性概念整合内核PE411对这几部分的内容进行整合,将整合后的关键内容按倍数内容扩展处理到更大的空间,输出15*15的行为安全事件关键内容R406;并基于15*15的行为安全事件关键内容,预测该行为安全事件关键内容的完整的15*15的行为安全事件约束。
在第二层级中,采用受关注信息集配对操作从区分性概念拆解子网W402的输出中汇总的区分性概念关键内容和区分性概念约束W403中取出大小为15*15区分性概念关键内容和区分性概念约束;将行为安全事件关键内容R406、完整的15*15的行为安全事件约束、15*15区分性概念关键内容和区分性概念约束,输入第二层级的区分性概念整合内核PE412中;然后,区分性概念整合内核PE412对这几部分的内容进行整合,将整合后的关键内容按倍数内容扩展处理到更大的空间,输出(N/2)*(N/2)的行为安全事件关键内容R407;并基于(N/2)*(N/2)的行为安全事件关键内容,预测该行为安全事件关键内容的指定信息集的行为安全事件约束L409。通过采用限制条件感知细化对第一层级得到表征行为安全事件完整内容的15*15的行为安全事件约束与行为安全事件约束L409相结合,得到能够表征行为安全事件完整内容的(N/2)*(N/2)的行为安全事件约束;这样,通过进一步提高行为安全事件关键内容的特征识别度,以及对更为精细化的关键描述和特征内容的补全,使得到的行为安全事件约束表征的行为安全事件完整内容的效果更好。
在第三层级中,采用受关注信息集配对操作从区分性概念拆解子网W402的输出中汇总的区分性概念关键内容和区分性概念约束W403中取出大小为(N/2)*(N/2)区分性概念关键内容和区分性概念约束;将行为安全事件关键内容R407、行为安全事件约束L409、(N/2)*(N/2)区分性概念关键内容和区分性概念约束,输入第三层级的区分性概念整合内核PE413中;然后,区分性概念整合内核PE413对这几部分的内容进行整合,将整合后的关键内容按倍数内容扩展处理到更大的空间,输出N*N的行为安全事件关键内容R408;并基于N*N的行为安全事件关键内容,预测该行为安全事件关键内容的指定信息集的行为安全事件约束L410。通过将第二层级得到表征行为安全事件完整内容的(N/2)*(N/2)的行为安全事件约束与行为安全事件约束L410相结合,得到能够表征行为安全事件完整内容N*N的行为安全事件约束;这样,通过更进一步提高行为安全事件关键内容的特征识别度,以及对更为精细化的关键描述和特征内容的补全,使得到的N*N的行为安全事件约束表征的行为安全事件完整内容更加精确。
为了更好地集成细致化关键内容,本申请实施例提出区分性概念整合内核,以使得行为安全事件拆解子网中的每个网络节点(神经元)都能捕捉关联信息。例如,区分性概念整合内核关联了四个输入部分input51至input54,首先,在上述每个层级中,在2*2滑动平均单元之后整合这些关键内容,得到整合的行为安全事件关键内容R501(对应于上述实施例中的第一滑动平均关键内容),并降低噪声干扰程度。然后,通过使用具有不同膨胀尺寸的三个并行6*6滑动平均单元(其中,一个滑动平均单元的膨胀为expand_1,一个滑动平均单元的膨胀为expand_3,一个滑动平均单元的膨胀为5),分别对整合的行为安全事件关键内容R501进行滑动平均操作,得到滑动平均结果R502、R503和R504;将滑动平均结果R502、R503和R504进行逐次加权,得到第一整合关键内容;这样,将滑动平均结果R502、R503和R504整合到单个网络节点附近,同时能够维持局部细节内容。最后,将行为安全事件约束和区分性概念约束再次与第一整合关键内容进行关联,得到能够作为后续预测的指引G505。
本申请实施例提出了一种限制条件感知的深度挖掘算法来关注指定信息集,能够准确的预测行为安全事件约束的限制条件。
在本申请实施例中,通过引入高特征识别度的区分性概念拆解关键内容,在拆解过程中逐层级补全所缺失的更为精细化的关键描述和特征内容,使得模型能够更加准确地拆解行为安全事件的指定信息集,从而在一定程度上提升了最终的拆解效果,以确保行为安全事件的拆解精度,降低拆解得到的行为安全事件数据的噪声率,从而为后续的行为安全事件的信息安防风险分析提供准确可靠的分析判断依据,进而在一定程度上确保信息安防风险分析的前处理的效果,确保后续信息安防风险分析的可信度和精度。
在本申请实施例中,行为安全事件包括但不限于数据窃取、数据篡改、非法访问、网络攻击等,相应的,行为安全事件关键内容用于从特征层面或者量化数值层面对上述不同的行为安全事件记载和映射,从而实现高效的行为安全事件分析处理。相应的,针对不同的业务领域,上述行为安全事件的相关示例可以作灵活改变和调整,本申请实施例不再进行一一举例。
在一些可独立实施的实现思路下,在得到第二行为安全事件约束之后,所述方法还包括:利用所述第二行为安全事件约束对待校验用户行为日志中的待拆解行为安全事件进行拆解处理,得到所述待拆解行为安全事件对应的行为特征信息;在所述行为特征信息表征所述待拆解行为安全事件不存在安全风险的前提下,获取与所述待拆解行为安全事件对应的默认互动状态描述;通过所述默认互动状态描述进行针对所述待拆解行为安全事件的用户数据优化处理;将针对所述待拆解行为安全事件的优化处理结果进行发布。
比如,行为特征信息包括但不限于行为习惯信息和行为意图信息,可以通过比较行为特征信息与预设行为特征信息的异同来确定待拆解行为安全事件是否存在安全风险,进一步地,优化处理结果可以针对指定对象进行发布,本申请实施例不作限制,如此设计,能够在确保数据安全的情况下进行用户数据升级,从而确保用户数据升级过程中的信息安全性。
在一些可独立实施的实现思路下,通过所述默认互动状态描述进行针对所述待拆解行为安全事件的用户数据优化处理,可以通过以下技术方案实现。
Step21:根据默认互动状态描述,确定待优化指示图谱序列,所述待优化指示图谱序列中包括多组待优化指示图谱。
以示例性角度来看待,用户行为安全解析系统可以获取待优化用户数据集的默认互动状态描述。举例而言,用户行为安全解析系统可以在待优化用户数据集中随机地或者有序地进行数据访问,并在数据访问过程中通过信息提取线程和/或爬虫程序等其他手段,采集待优化用户数据集的描述信息,得到待优化用户数据集的默认互动状态描述(默认互动状态描述可以理解为原始的互动状态视觉记录,比如互动状态拓扑或者互动状态文本)。或者,用户行为安全解析系统也可以直接基于上传下载等其他手段获得待优化用户数据集的默认互动状态描述,本申请实施例中对于默认互动状态描述的获取方式不进行限定。
以用户行为安全解析系统为智能电子设备为例,智能电子设备中可以集成信息提取线程,在基于指示图谱以对待优化数据集进行数据更新升级之前,可以使得智能电子设备访问场景型待优化数据集以通过信息提取线程采集待优化数据集的互动场景信息,进而根据互动场景信息构建默认互动状态描述。可以理解的是,智能电子设备在采集默认互动状态描述时,可以进行用户数据优化升级任务,或者也可以不进行用户数据优化升级任务,本申请实施例对此不进行限定。
用户行为安全解析系统在得到默认互动状态描述后,可以根据该默认互动状态描述进行指示图谱调整,得到多组待优化指示图谱,并根据调整的多组待优化指示图谱得到待优化指示图谱序列。举例而言,在进行指示图谱调整时,可以依次将待优化用户数据集对应的不存在处于占用状态的用户数据的两个可视策略单元进行关联(本申请实施例中的可视策略单元可以理解为通过图形化的形式对用户数据更新进行指导,比如通过不过的图谱节点指示相应的数据更新任务或者数据更新对象),作为一组待优化指示图谱,以在待优化用户数据集中得到多组待优化指示图谱,多组待优化指示图谱之间互相独立,且彼此之间不存在干扰。其中,相似的两组待优化指示图谱之间的量化差异可以根据用户行为安全解析系统的优化参量确定,例如:在用户行为安全解析系统为智能电子设备的前提下,可以根据智能电子设备的数据捕捉敏感性优化区间确定相似的两组待优化指示图谱之间的量化差异,例如:数据捕捉敏感性优化区间越大,对应的相似的两组待优化指示图谱之间的量化差异越大;或者,相似的两组待优化指示图谱之间的量化差异也可以根据用户行为安全解析系统的数据处理容量进行设置,例如:数据处理容量越大,对应的相似的两组待优化指示图谱之间的量化差异越大;或者,相似的两组待优化指示图谱之间的量化差异也可以根据实际需求进行设置,本申请实施例不对相似的两组待优化指示图谱之间的量化差异的确定方式作进一步限制。
可以理解的是,任一指示图谱调整的方式适用于本申请实施例,例如:样本参阅法或者神经网络处理方法等,本申请实施例对于指示图谱调整的方式不进行限定。
在一种可能的实现方式中,所述待优化指示图谱序列中的所述多组待优化指示图谱两两之间不存在交叉,如此设计,由于待优化指示图谱两两之间不存在交叉,故可以显著改善指示图谱优化的重复率以及提高基于指示图谱所进行用户数据优化的效率。
Step22:在根据所述待优化指示图谱序列执行用户数据优化处理的过程中,在确定出第一待优化指示图谱中存在处于占用状态的用户数据的前提下,对所述第一待优化指示图谱再度进行指示图谱调整,得到至少一组第二待优化指示图谱,所述第一待优化指示图谱包括处于所述用户行为安全解析系统的扫描区间内的待优化指示图谱。
以示例性角度来看待,在得到优化指示图谱序列后,可以从待优化指示图谱序列中确定初始指示图谱,以及确定初始指示图谱的首端可视策略单元以及末端可视策略单元(比如首尾两个图谱节点),用户行为安全解析系统从当前所在分布情况访问到该初始指示图谱的首端可视策略单元,从该首端可视策略单元向该初始指示图谱的末端可视策略单元进行遍历访问,以实现针对该初始指示图谱所对应的用户数据的优化。用户行为安全解析系统在完成针对该初始指示图谱所对应的用户数据的优化后,可以确定下一组待优化的待优化指示图谱,并访问到该待优化指示图谱中执行针对该待优化指示图谱的用户数据优化处理,也即从待优化指示图谱的首端可视策略单元向该待优化指示图谱的末端可视策略单元访问。
举例而言,可以确定处于待优化互动状态切换节点且与用户行为安全解析系统的相关度最高的待优化指示图谱为初始指示图谱。例如,可以确定该待优化互动状态序列图中的待优化指示图谱graph_1为初始指示图谱。可以理解的是,一般而言任一待优化指示图谱皆可以被确定为初始指示图谱,本申请实施例不对初始指示图谱的确定方式作进一步限制。
在从待优化指示图谱的首端可视策略单元向待优化指示图谱的末端可视策略单元进行用户数据访问的过程中,用户行为安全解析系统可以实时在扫描区间内进行处于占用状态的用户数据的扫描,并在确定出处于扫描区间内的第一待优化指示图谱中存在处于占用状态的用户数据的前提下,根据该处于占用状态的用户数据的分布情况对第一待优化指示图谱再度进行指示图谱调整,得到至少一组第二待优化指示图谱,该至少一组第二待优化指示图谱可以规避处于占用状态的用户数据,以实现用户行为安全解析系统在指示图谱优化过程中,主动规避处于占用状态的用户数据。
其中,处于占用状态的用户数据可以包括本地占用或者云端占用的处于占用状态的用户数据,本申请实施例不对处于占用状态的用户数据的种类作进一步限制,凡被除用户行为安全解析系统之外的设备访问或者使用的用户数据皆可以作为处于占用状态的用户数据。在本申请实施例中,用户数据涉及的业务场景包括但不限于支付场景、在线教育场景、远程办公场景、智慧医疗场景或者数字化监控场景等。
举例而言,用户行为安全解析系统可以采用多模态扫描方式扫描处于占用状态的用户数据,例如:用户行为安全解析系统在对待优化指示图谱进行用户数据优化处理的过程中,可以实时采集用户行为安全解析系统所对应的业务场景信息,并对采集的业务场景信息进行场景解析,以根据场景解析结果确定当前业务场景中是否存在处于占用状态的用户数据,具体场景解析的过程本申请实施例不做赘述,例如:可以通过用于进行场景解析的神经网络来实现。在一种可能的实现方式中,用户行为安全解析系统在业务场景信息中识别到处于占用状态的用户数据的前提下,可以确定是否在设定时段区间内皆确定出该处于占用状态的用户数据,如果是,则可以确定当前业务场景中存在处于占用状态的用户数据。
可以理解的是,用户行为安全解析系统的扫描区间可以根据用户行为安全解析系统的性能参量确定。例如:在用户行为安全解析系统采用多模态扫描方式扫描处于占用状态的用户数据的前提下,可以根据用户行为安全解析系统中集成的信息提取线程的维度区间来确定用户行为安全解析系统的扫描区间。
以示例性角度来看待,在用户行为安全解析系统在扫描区间内确定出处于占用状态的用户数据的前提下,可以确定该处于占用状态的用户数据所处的待优化指示图谱为第一待优化指示图谱,并对该第一待优化指示图谱再度进行指示图谱调整。举例而言,针对第一待优化指示图谱再度进行指示图谱调整的相关实施过程可以根据处于占用状态的用户数据所处分布情况进行确定,例如以下可独立实施的设计思路:在对第一待优化指示图谱再度进行指示图谱调整的过程中,若处于占用状态的用户数据处于第一待优化指示图谱的中间分布情况,则可以根据处于占用状态的用户数据所处的分布情况将第一待优化指示图谱分解成两组第二待优化指示图谱,或者若处于占用状态的用户数据处于第一待优化指示图谱的切换节点分布情况,则可以根据处于占用状态的用户数据所处的分布情况对第一待优化指示图谱的可视策略单元进行改进后,得到一组第二待优化指示图谱。
在本申请实施例中,处于占用状态的用户数据的分布情况可以理解为处于占用状态的用户数据在数据集或者对应的优化指示图谱中的位置信息或者相关空间状态信息,本申请实施例不作限制。
Step23:根据所述第二待优化指示图谱对所述待优化指示图谱序列进行改进,得到改进后的待优化指示图谱序列。
其中,对待优化指示图谱序列进行改进可以理解为对待优化指示图谱序列进行更新。以示例性角度来看待,在得到至少一组第二待优化指示图谱后,可以根据第二待优化指示图谱对待优化指示图谱序列进行改进。例如:将第一待优化指示图谱从待优化指示图谱序列中移除,并将至少一组第二待优化指示图谱补充到待优化序列中,或者,通过至少一组第二待优化指示图谱对第一待优化指示图谱进行更替,以对待优化指示图谱序列进行改进,并得到改进后的待优化指示图谱序列。
Step24:根据所述改进后的待优化指示图谱序列执行用户数据优化处理。
以示例性角度来看待,在对待优化指示图谱序列进行改进后,可以根据改进后的待优化指示图谱序列继续执行用户数据优化处理,相关实施过程可以参阅上述技术方案相关描述部分,本申请实施例在此不再赘述。
在本申请实施例中,用户行为安全解析系统可以根据获取的默认互动状态描述,确定包括多组待优化指示图谱的待优化指示图谱序列,并在根据待优化指示图谱序列对待优化用户数据集执行用户数据优化处理的过程中,在确定出第一待优化指示图谱中存在处于占用状态的用户数据的前提下,可以对第一待优化指示图谱再度进行指示图谱调整,得到至少一组第二待优化指示图谱,并根据第二待优化指示图谱对所述待优化指示图谱序列进行改进,得到改进后的待优化指示图谱序列,进而根据所述改进后的待优化指示图谱序列执行用户数据优化处理。
可以理解的是,本申请实施例提供的上述技术方案,可以在基于指示图谱进行用户数据优化升级的过程中,智能化且主动地定位扫描处于占用状态的用户数据,并通过对处于占用状态的用户数据所对应的待优化指示图谱序列再度进行指示图谱调整,可以在指示图谱优化过程中准确且实时地跳过处于占用状态的用户数据,能够提高针对待优化用户数据集的数据优化效率,避免对处于占用状态的用户数据进行数据优化升级而导致相应用户数据对应的业务功能出现异常,可以在用户数据更新过程中进行前瞻性分析处理,从而提前规避对处于占用状态的用户数据的优化升级,确保在用户数据优化升级过程中不影响相关业务的正常办理。
在一种可独立实施的实现方式中,任一待优化指示图谱可以包括第一可视策略单元和第二可视策略单元,上述Step22中所述在确定出第一待优化指示图谱中存在处于占用状态的用户数据的前提下,对所述第一待优化指示图谱再度进行指示图谱调整,得到至少一组第二待优化指示图谱,可以包括以下内容:在确定出所述第一待优化指示图谱中存在处于占用状态的用户数据的前提下,根据所述第一待优化指示图谱的第一可视策略单元和第二可视策略单元及所述处于占用状态的用户数据的分布情况,对所述第一待优化指示图谱再度进行指示图谱调整,得到至少一组第二待优化指示图谱。
以示例性角度来看待,待优化指示图谱具有两个可视策略单元:第一可视策略单元和第二可视策略单元,本申请实施例中待优化指示图谱是由前序可视策略单元和倒序可视策略单元构成的,并以前序可视策略单元为第一可视策略单元,倒序可视策略单元为第二可视策略单元为例对本申请实施例加以说明。可以理解的是,待优化指示图谱也可以将前序可视策略单元作为第二可视策略单元,将倒序可视策略单元作为第一可视策略单元。或者,待优化指示图谱可以由显著性可视策略单元与非显著性可视策略单元构成,可以以显著性可视策略单元为第一可视策略单元,非显著性可视策略单元为第二可视策略单元,或者,也可以将非显著性可视策略单元作为第一可视策略单元,将显著性可视策略单元作为第二可视策略单元。本申请实施例不对待优化指示图谱的第一可视策略单元和第二可视策略单元作进一步限制,所有待优化指示图谱统一便可。
在确定出第一待优化指示图谱中存在处于占用状态的用户数据的前提下,可以确定处于占用状态的用户数据的分布情况,并根据处于占用状态的用户数据的分布情况与第一待优化指示图谱的第一可视策略单元与第二可视策略单元之间的关系,对第一待优化指示图谱进行再度调整,以使得再度调整得到的至少一组第二待优化指示图谱可以规避处于占用状态的用户数据。举例而言,在确定出处于占用状态的用户数据的前提下,可以采用语义捕捉确定处于占用状态的用户数据的分布情况,或者也可以根据其他手段确定处于占用状态的用户数据与用户行为安全解析系统之间的量化差异,进而根据用户行为安全解析系统的分布情况及用户行为安全解析系统与处于占用状态的用户数据之间的量化差异,得到处于占用状态的用户数据的分布情况。
在一种可能的实现方式中,处于占用状态的用户数据为具有一定数据量的信息文本,故在得到处于占用状态的用户数据的分布情况后,可以根据处于占用状态的用户数据量化差异用户行为安全解析系统的量化差异、用户行为安全解析系统的分布情况及处于占用状态的用户数据的数据量参数确定处于占用状态的用户数据的优化分布情况,该处于占用状态的用户数据的优化分布情况即可以作为处于占用状态的用户数据的分布情况。
举例而言,可以通过多模态扫描方法确定处于占用状态的用户数据的数据量参数,例如:直接通过场景解析,得到处于占用状态的用户数据的数据量参数;或者可以在识别处于占用状态的用户数据种类后,获取该处于占用状态的用户数据种类的设定数据量参数(可以预先设置各种类别处于占用状态的用户数据的设定数据量参数,例如:小数据量类别的处于占用状态的用户数据可以设置较小一些的设定数据量参数,相对的,大数据量类别的处于占用状态的用户数据可以设置较大一些的设定数据量参数),本申请实施例不对获取处于占用状态的用户数据的数据量参数的方式作进一步限制。
在第一待优化指示图谱的第一可视策略单元及第二可视策略单元均未处于处于占用状态的用户数据的分布情况内时,可以确定处于占用状态的用户数据的分布情况处于第一待优化指示图谱的第一可视策略单元与第二可视策略单元之间;或者,在第一待优化指示图谱的第一可视策略单元处于处于占用状态的用户数据的分布情况内时,可以确定处于占用状态的用户数据的分布情况与第一待优化指示图谱的第一可视策略单元完全重叠,或者,在第一待优化指示图谱的第二可视策略单元处于处于占用状态的用户数据的分布情况内时,可以确定处于占用状态的用户数据的分布情况与第一待优化指示图谱的第二可视策略单元完全重叠(确定处于占用状态的用户数据的分布情况与第一待优化指示图谱的第二可视策略单元重合)。
以示例性角度来看待,当处于占用状态的用户数据的分布情况在第一待优化指示图谱的第一可视策略单元与第二可视策略单元之间的前提下,可以将第一待优化指示图谱从处于占用状态的用户数据的分布情况处进行分解,得到两组待优化指示图谱,该两组待优化指示图谱理论上不优化处于占用状态的用户数据以及处于占用状态的用户数据的分布情况所关联的其他用户数据;或者,当处于占用状态的用户数据的分布情况在第一待优化指示图谱的第一可视策略单元处或者第二可视策略单元处的前提下(处于占用状态的用户数据的分布情况匹配第一待优化指示图谱的第一可视策略单元或者第二可视策略单元),根据处于占用状态的用户数据的分布情况再度确定第一待优化指示图谱的第一可视策略单元或者第二可视策略单元,以得到一组第二待优化指示图谱,该第二待优化指示图谱即为扩增的第一待优化指示图谱。
如此设计,本申请实施例提供的上述技术方案,可以根据第一待优化指示图谱的第一可视策略单元和第二可视策略单元及处于占用状态的用户数据的分布情况,再度对进行指示图谱调整后得到第二优化指示图谱,以在指示图谱优化中可以实现主动规避处于占用状态的用户数据,并避免对处于占用状态的用户数据进行数据优化升级而导致相应用户数据对应的业务功能出现异常。
基于上述同样的发明构思,还提供了一种应用深度学习的用户行为安全解析装置20,应用于用户行为安全解析系统10,所述装置包括:
获取模块21,用于获取待校验用户行为日志的第一区分性概念信息,和所述待校验用户行为日志中的待拆解行为安全事件的第一行为安全事件关键内容和与所述第一行为安全事件关键内容对应的第一行为安全事件约束;
整合模块22,用于基于所述第一区分性概念信息、所述第一行为安全事件关键内容和所述第一行为安全事件约束,进行两个或多于两个层级的区分性概念整合处理,得到第二行为安全事件约束。
在该装置实施例中,将上一层级所述区分性概念整合处理输出的第一行为安全事件关键内容进行内容扩展处理得到下一层级的行为安全事件关键内容,并基于所述下一层级的行为安全事件关键内容得到其对应的行为安全事件约束,将所述下一层级的所述行为安全事件关键内容、所述下一层级的行为安全事件约束和所述下一层级对应的区分性概念信息作为下一层级区分性概念整合处理的原料信息;且,每一层级所述区分性概念整合处理的原料信息中的区分性概念信息的特征识别度与行为安全事件关键内容的特征识别度相同。
在本申请实施例所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,用户行为安全解析系统10,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种应用深度学习的用户行为安全解析方法,其特征在于,应用于用户行为安全解析系统,所述方法包括:
获取待校验用户行为日志的第一区分性概念信息,和所述待校验用户行为日志中的待拆解行为安全事件的第一行为安全事件关键内容和与所述第一行为安全事件关键内容对应的第一行为安全事件约束;
基于所述第一区分性概念信息、所述第一行为安全事件关键内容和所述第一行为安全事件约束,进行两个或多于两个层级的区分性概念整合处理,得到第二行为安全事件约束;
其中,将上一层级所述区分性概念整合处理输出的第一行为安全事件关键内容进行内容扩展处理得到下一层级的行为安全事件关键内容,并基于所述下一层级的行为安全事件关键内容得到其对应的行为安全事件约束,将所述下一层级的所述行为安全事件关键内容、所述下一层级的行为安全事件约束和所述下一层级对应的区分性概念信息作为下一层级区分性概念整合处理的原料信息;且,每一层级所述区分性概念整合处理的原料信息中的区分性概念信息的特征识别度与行为安全事件关键内容的特征识别度相同。
2.根据权利要求1所述的方法,其特征在于,所述基于所述第一区分性概念信息、所述第一行为安全事件关键内容和所述第一行为安全事件约束,进行两个或多于两个层级的区分性概念整合处理,得到第二行为安全事件约束,包括:
基于所述第一区分性概念信息、所述第一行为安全事件关键内容和所述第一行为安全事件约束,进行第一层级的区分性概念整合处理,得到第二行为安全事件关键内容;
基于所述第二行为安全事件关键内容、与所述第二行为安全事件关键内容对应的层级行为安全事件约束和第二区分性概念信息进行至少一层级的区分性概念整合处理,得到所述第二行为安全事件约束;
其中,所述第二区分性概念信息的特征识别度与所述第二行为安全事件关键内容的特征识别度相同。
3.根据权利要求2所述的方法,其特征在于,所述基于所述第一区分性概念信息、所述第一行为安全事件关键内容和所述第一行为安全事件约束,进行第一层级的区分性概念整合处理,得到第二行为安全事件关键内容,包括:
将所述第一区分性概念信息中的第一区分性概念关键内容和所述第一行为安全事件关键内容进行整合,得到第一整合关键内容;
将所述第一整合关键内容、所述第一区分性概念信息中第一区分性概念约束和所述第一行为安全事件约束进行绑定,得到所述第二行为安全事件关键内容。
4.根据权利要求2或3所述的方法,其特征在于,所述将所述第一区分性概念信息中的第一区分性概念关键内容和所述第一行为安全事件关键内容进行整合,得到第一整合关键内容,包括:
采用第一滑动平均操作,对所述第一区分性概念关键内容和所述第一行为安全事件关键内容进行处理,得到第一滑动平均关键内容;
分别采用多个第二滑动平均操作,对所述第一滑动平均关键内容进行处理,得到多个第二滑动平均结果;其中,所述第一滑动平均操作的滑动平均单元小于所述第二滑动平均的滑动平均单元,且所述多个第二滑动平均操作的膨胀尺寸存在差异;
基于所述多个第二滑动平均结果,确定所述第一整合关键内容。
5.根据权利要求2所述的方法,其特征在于,所述基于所述第二行为安全事件关键内容、与所述第二行为安全事件关键内容对应的层级行为安全事件约束和第二区分性概念信息进行至少一层级的区分性概念整合处理,得到所述第二行为安全事件约束,包括:
对所述第二行为安全事件关键内容、所述层级行为安全事件约束和所述第二区分性概念信息进行第二层级的区分性概念整合处理,得到第三行为安全事件关键内容和所述第三行为安全事件关键内容对应的第一膨胀约束;
基于所述第一膨胀约束和所述层级行为安全事件约束,确定第三行为安全事件约束;
对所述第三行为安全事件关键内容、所述第一膨胀约束和第三区分性概念信息进行第三层级的区分性概念整合处理,得到第四行为安全事件关键内容和所述第四行为安全事件关键内容对应的第二膨胀约束;
基于所述第二膨胀约束和所述第三行为安全事件约束,确定所述第二行为安全事件约束;
相应的,所述对所述第二行为安全事件关键内容、所述层级行为安全事件约束和所述第二区分性概念信息进行第二层级的区分性概念整合处理,得到第三行为安全事件关键内容和所述第三行为安全事件关键内容对应的第一膨胀约束,包括:
对所述第二行为安全事件关键内容、所述层级行为安全事件约束和所述第二区分性概念信息进行第二层级的区分性概念整合处理,得到所述第三行为安全事件关键内容;
对所述第三行为安全事件关键内容中的指定信息集进行预估,得到所述第一膨胀约束;
相应的,所述基于所述第一膨胀约束和所述层级行为安全事件约束,确定第三行为安全事件约束,包括:
确定所述层级行为安全事件约束中的指定信息集;
基于所述指定信息集和所述第一膨胀约束,确定描述所述待拆解行为安全事件的指定信息集的指定约束;
基于所述指定信息集和所述层级行为安全事件约束,确定描述所述待拆解行为安全事件的非指定信息集的非指定约束;
基于所述非指定约束和所述指定约束,确定所述第三行为安全事件约束;
相应的,所述基于所述指定信息集和所述第一膨胀约束,确定描述所述待拆解行为安全事件的指定信息集的指定约束,包括:
基于所述第一膨胀约束的特征识别度,对所述层级行为安全事件约束中的指定信息集进行内容扩展处理,得到第一指定信息集;
基于所述第一指定信息集和所述第一膨胀约束,得到所述指定约束。
6.根据权利要求5所述的方法,其特征在于,所述基于所述指定信息集和所述层级行为安全事件约束,确定描述所述待拆解行为安全事件的非指定信息集的非指定约束,包括:
基于所述第一膨胀约束的特征识别度对所述层级行为安全事件约束进行内容扩展处理,得到上采样行为安全事件约束;
对第一指定信息集进行镜像操作,得到镜像约束;
基于所述镜像约束和所述上采样行为安全事件约束,得到所述非指定约束。
7.根据权利要求6所述的方法,其特征在于,所述确定所述层级行为安全事件约束中的指定信息集,包括:
基于所述层级行为安全事件约束,确定所述待拆解行为安全事件的分类标识;
在所述待校验用户行为日志中,确定与所述分类标识之间的最小差异度小于设定差异度的日志内容集合;
基于所述日志内容集合,确定所述层级行为安全事件约束中的指定信息集。
8.根据权利要求1所述的方法,其特征在于,所述获取待校验用户行为日志的第一区分性概念信息之前,所述方法还包括:
采用关键内容多尺度模型,对所述待校验用户行为日志进行关键内容抽取,得到包括特征识别度不同的多个用户行为日志关键内容的用户行为日志关键内容集合;
基于所述用户行为日志关键内容集合中特征识别度满足设定阈值的目标用户行为日志关键内容,确定所述待校验用户行为日志的区分性概念信息;
相应的,所述基于所述用户行为日志关键内容集合中特征识别度满足设定阈值的目标用户行为日志关键内容,确定所述待校验用户行为日志的区分性概念信息,包括:
基于所述目标用户行为日志关键内容,对所述待校验用户行为日志进行区分性概念拆解,得到区分性概念关键内容;
基于所述区分性概念关键内容,确定所述待校验用户行为日志中每一日志文本对应于所述待拆解行为安全事件的可能性;
基于所述可能性,确定所述待校验用户行为日志的区分性概念约束;
将所述区分性概念关键内容和所述区分性概念约束,作为所述区分性概念信息;
相应的,所述获取待校验用户行为日志的第一区分性概念信息,和所述待校验用户行为日志中的待拆解行为安全事件的第一行为安全事件关键内容和与所述第一行为安全事件关键内容对应的第一行为安全事件约束,包括:
采用受关注信息集配对操作,在所述待校验用户行为日志的视觉型关键内容集合中挑选满足设定特征识别度的第一用户行为日志关键内容;
基于所述第一用户行为日志关键内容,确定所述第一行为安全事件关键内容和所述第一行为安全事件约束;
采用所述受关注信息集配对操作,在所述区分性概念信息中挑选特征识别度为所述设定特征识别度的所述第一区分性概念信息。
9.一种用户行为安全解析系统,其特征在于,包括处理器、通信总线和存储器;所述处理器和所述存储器通过所述通信总线通信,所述处理器从所述存储器中读取计算机程序并运行,以执行权利要求1-8任一项所述的方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序在运行时实现权利要求1-8任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110877970.XA CN113434857A (zh) | 2021-08-02 | 2021-08-02 | 一种应用深度学习的用户行为安全解析方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110877970.XA CN113434857A (zh) | 2021-08-02 | 2021-08-02 | 一种应用深度学习的用户行为安全解析方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113434857A true CN113434857A (zh) | 2021-09-24 |
Family
ID=77762457
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110877970.XA Withdrawn CN113434857A (zh) | 2021-08-02 | 2021-08-02 | 一种应用深度学习的用户行为安全解析方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113434857A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115080963A (zh) * | 2022-07-07 | 2022-09-20 | 济南开耀网络技术有限公司 | 一种基于云计算的智慧金融数据防护方法及服务器 |
CN117294023A (zh) * | 2023-11-24 | 2023-12-26 | 成都汉度科技有限公司 | 一种运行设备的远程监控方法及系统 |
-
2021
- 2021-08-02 CN CN202110877970.XA patent/CN113434857A/zh not_active Withdrawn
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115080963A (zh) * | 2022-07-07 | 2022-09-20 | 济南开耀网络技术有限公司 | 一种基于云计算的智慧金融数据防护方法及服务器 |
CN117294023A (zh) * | 2023-11-24 | 2023-12-26 | 成都汉度科技有限公司 | 一种运行设备的远程监控方法及系统 |
CN117294023B (zh) * | 2023-11-24 | 2024-02-02 | 成都汉度科技有限公司 | 一种运行设备的远程监控方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Jha et al. | Intrusion detection system using support vector machine | |
CN114244603B (zh) | 异常检测及对比嵌入模型训练、检测方法、装置及介质 | |
CN112163008B (zh) | 基于大数据分析的用户行为数据处理方法及云计算平台 | |
CN111538842A (zh) | 网络空间态势的智能感知和预测方法、装置和计算机设备 | |
CN112165462A (zh) | 基于画像的攻击预测方法、装置、电子设备及存储介质 | |
CN113434857A (zh) | 一种应用深度学习的用户行为安全解析方法及系统 | |
CN113641993A (zh) | 一种基于云计算的数据安防处理方法及数据安防服务器 | |
CN115814686B (zh) | 一种镭射气体混配生产系统的状态监控方法及系统 | |
CN115174231A (zh) | 一种基于AI Knowledge Base的网络欺诈分析方法及服务器 | |
CN113486983A (zh) | 一种用于反欺诈处理的大数据办公信息分析方法及系统 | |
CN117220920A (zh) | 基于人工智能的防火墙策略管理方法 | |
CN115905715A (zh) | 基于大数据和人工智能的互联网数据分析方法和平台 | |
CN113282421A (zh) | 基于人工智能和云计算的业务分析方法及人工智能服务器 | |
CN117435999A (zh) | 一种风险评估方法、装置、设备以及介质 | |
CN116707859A (zh) | 特征规则提取方法和装置、网络入侵检测方法和装置 | |
CN114329454A (zh) | 一种基于应用软件大数据的威胁分析方法及系统 | |
CN114915446A (zh) | 一种融合先验知识的智能网络安全检测方法 | |
CN113946819A (zh) | 一种基于云计算的在线支付信息入侵检测方法及服务器 | |
CN110033031B (zh) | 群组检测方法、装置、计算设备和机器可读存储介质 | |
CN113779473A (zh) | 一种基于人工智能的互联网大数据处理方法及系统 | |
CN111611981A (zh) | 信息识别方法和装置及信息识别神经网络训练方法和装置 | |
Chudasma | Network intrusion detection system using classification techniques in machine learning | |
CN117541883B (zh) | 图像生成模型训练、图像生成方法、系统以及电子设备 | |
US20240235861A1 (en) | System and method for machine learning based security incidents detection and classification in a blockchain ecosystem | |
CN118332551B (zh) | 一种基于卷积神经网络的恶意软件检测方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20210924 |
|
WW01 | Invention patent application withdrawn after publication |