CN115456141A - 基于卷积循环的行为模式识别方法和系统 - Google Patents
基于卷积循环的行为模式识别方法和系统 Download PDFInfo
- Publication number
- CN115456141A CN115456141A CN202211008475.6A CN202211008475A CN115456141A CN 115456141 A CN115456141 A CN 115456141A CN 202211008475 A CN202211008475 A CN 202211008475A CN 115456141 A CN115456141 A CN 115456141A
- Authority
- CN
- China
- Prior art keywords
- feature vector
- layer
- behavior
- feature
- gate unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/049—Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Computational Linguistics (AREA)
- Artificial Intelligence (AREA)
- Mathematical Physics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Image Analysis (AREA)
Abstract
本发明提供一种基于卷积循环的行为模式识别方法和系统,通过结合使用卷积神经网络和循环门控网络,在卷积神经网络的隐含层中提取信号特征,映射到四元结构,得到四元变量特征图,对该四元变量特征图的错误样本集合匹配,过滤掉无用的特征,从而更好地对用户行为进行分类,补充了一个新的角度,克服现有技术仅在时间或空间单一维度上进行检测的问题。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种基于卷积循环的行为模式识别方法和系统。
背景技术
传统模式识别方法在主观性强且区分度不高的场景中,不能很好地发挥作用。现有的解决方法是引入卷积神经网络,利用卷积神经网络的特征自动学习能力,多从时间或空间角度来考虑行为模式的识别。但是这种解决方法的效果一般,需要引入新的角度来补充。
因此,急需一种针对性的基于卷积循环的行为模式识别方法和系统。
发明内容
本发明的目的在于提供一种基于卷积循环的行为模式识别方法和系统,通过结合使用卷积神经网络和循环门控网络,更好地对用户行为进行分类,在现有时间或空间单一维度上补充了一个新的角度。
第一方面,本申请提供一种基于卷积循环的行为模式识别方法,所述方法包括:
接收用户终端发送的访问请求,采集所述访问请求中的数据信号,将该数据信号输入到卷积神经网络的隐含层中;
所述隐含层的卷积层提取所述数据信号的特征,将该特征映射到四元结构,即将该特征分解为一个实部和三个虚部,完成初步矩变量化,所述一个实部对应特征向量值,所述三个虚部对应三个通道值,得到四元变量特征图;
将所述四元变量特征图传递到所述隐含层的池化层,按照极坐标对称方式,提取所述数据信号的特征向量,送入错误样本集合匹配,所述匹配是将每个特征向量与所述错误样本集合中的向量进行共轭运算,判断运算结果是否高于阈值,如果是则认定为错误,该特征向量被所述池化层过滤掉,反之则认定为正常,保留该特征向量;
将所述池化层输出的第一特征向量传递到所述隐含层的全连接层,该全连接层还接收其他邻近的全连接层传递过来的第二特征向量,计算所述第一特征向量与第二特征向量的相关度,若该相关度计算结果低于预设的阈值,则将所述第一特征向量送入循环门控网络中;
所述循环门控网络调用服务器的历史状态信息,将该历史状态信息与第一特征向量相加后分别送入所述循环门控网络的重置门单元和更新门单元的第一输入端,由该重置门单元计算候选状态,该候选状态送入所述更新门单元的第二输入端,由该更新门单元完成计算当前状态;
根据所述当前状态,用户行为模型分析所述用户终端的行为是否符合访问对象支持的动作范围,统计所述行为出现频率,判断出是否包含攻击倾向的用户行为。
第二方面,本申请提供一种基于卷积循环的行为模式识别系统,所述系统包括:
采集单元,用于接收用户终端发送的访问请求,采集所述访问请求中的数据信号,将该数据信号输入到卷积神经网络的隐含层中;
神经网络单元,用于使用所述隐含层的卷积层提取所述数据信号的特征,将该特征映射到四元结构,即将该特征分解为一个实部和三个虚部,完成初步矩变量化,所述一个实部对应特征向量值,所述三个虚部对应三个通道值,得到四元变量特征图;
将所述四元变量特征图传递到所述隐含层的池化层,按照极坐标对称方式,提取所述数据信号的特征向量,送入错误样本集合匹配,所述匹配是将每个特征向量与所述错误样本集合中的向量进行共轭运算,判断运算结果是否高于阈值,如果是则认定为错误,该特征向量被所述池化层过滤掉,反之则认定为正常,保留该特征向量;
将所述池化层输出的第一特征向量传递到所述隐含层的全连接层,该全连接层还接收其他邻近的全连接层传递过来的第二特征向量,计算所述第一特征向量与第二特征向量的相关度,若该相关度计算结果低于预设的阈值,则将所述第一特征向量送入循环门控网络中;
循环门控网络单元,用于调用服务器的历史状态信息,将该历史状态信息与第一特征向量相加后分别送入所述循环门控网络的重置门单元和更新门单元的第一输入端,由该重置门单元计算候选状态,该候选状态送入所述更新门单元的第二输入端,由该更新门单元完成计算当前状态;
用户行为模型,用于根据所述当前状态,分析所述用户终端的行为是否符合访问对象支持的动作范围,统计所述行为出现频率,判断出是否包含攻击倾向的用户行为。
第三方面,本申请提供一种基于卷积循环的行为模式识别系统,所述系统包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行第一方面四种可能中任一项所述的方法。
第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行第一方面四种可能中任一项所述的方法。
有益效果
本发明提供一种基于卷积循环的行为模式识别方法和系统,通过结合使用卷积神经网络和循环门控网络,在卷积神经网络的隐含层中提取信号特征,映射到四元结构,得到四元变量特征图,对该四元变量特征图的错误样本集合匹配,过滤掉无用的特征,从而更好地对用户行为进行分类,补充了一个新的角度,克服现有技术仅在时间或空间单一维度上进行检测的问题。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于卷积循环的行为模式识别方法的大致流程图;
图2为本发明基于卷积循环的行为模式识别系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的基于卷积循环的行为模式识别方法的大致流程图,所述方法包括:
接收用户终端发送的访问请求,采集所述访问请求中的数据信号,将该数据信号输入到卷积神经网络的隐含层中;
所述隐含层的卷积层提取所述数据信号的特征,将该特征映射到四元结构,即将该特征分解为一个实部和三个虚部,完成初步矩变量化,所述一个实部对应特征向量值,所述三个虚部对应三个通道值,得到四元变量特征图;
将所述四元变量特征图传递到所述隐含层的池化层,按照极坐标对称方式,提取所述数据信号的特征向量,送入错误样本集合匹配,所述匹配是将每个特征向量与所述错误样本集合中的向量进行共轭运算,判断运算结果是否高于阈值,如果是则认定为错误,该特征向量被所述池化层过滤掉,反之则认定为正常,保留该特征向量;
将所述池化层输出的第一特征向量传递到所述隐含层的全连接层,该全连接层还接收其他邻近的全连接层传递过来的第二特征向量,计算所述第一特征向量与第二特征向量的相关度,若该相关度计算结果低于预设的阈值,则将所述第一特征向量送入循环门控网络中;
所述循环门控网络调用服务器的历史状态信息,将该历史状态信息与第一特征向量相加后分别送入所述循环门控网络的重置门单元和更新门单元的第一输入端,由该重置门单元计算候选状态,该候选状态送入所述更新门单元的第二输入端,由该更新门单元完成计算当前状态;
根据所述当前状态,用户行为模型分析所述用户终端的行为是否符合访问对象支持的动作范围,统计所述行为出现频率,判断出是否包含攻击倾向的用户行为。
在一些优选实施例中,还包括进一步分析用户行为的强弱程度,根据该强弱程度判断用户行为的急迫程度。
所谓用户行为的强弱是指根据统计该行为出现的频率而定,当频率在指定的范围内时认定为正常,越靠近指定范围的高频段,判断该行为程度越强,用户越急迫,越靠近指定范围的低频段,判断该行为程度越低,用户越不急迫。如果一个行为出现的频次高于指定范围的最大值时,则认定该行为可疑。
在一些优选实施例中,对包含攻击倾向的用户行为执行阻断策略,该阻断策略由服务器下发到用户终端上。
所述服务器下发策略还可以是下发策略到中间设备,例如网关。
在一些优选实施例中,所述用户行为模型使用了神经网络模型。
图2为本申请提供的基于卷积循环的行为模式识别系统的架构图,所述系统包括:
采集单元,用于接收用户终端发送的访问请求,采集所述访问请求中的数据信号,将该数据信号输入到卷积神经网络的隐含层中;
神经网络单元,用于使用所述隐含层的卷积层提取所述数据信号的特征,将该特征映射到四元结构,即将该特征分解为一个实部和三个虚部,完成初步矩变量化,所述一个实部对应特征向量值,所述三个虚部对应三个通道值,得到四元变量特征图;
将所述四元变量特征图传递到所述隐含层的池化层,按照极坐标对称方式,提取所述数据信号的特征向量,送入错误样本集合匹配,所述匹配是将每个特征向量与所述错误样本集合中的向量进行共轭运算,判断运算结果是否高于阈值,如果是则认定为错误,该特征向量被所述池化层过滤掉,反之则认定为正常,保留该特征向量;
将所述池化层输出的第一特征向量传递到所述隐含层的全连接层,该全连接层还接收其他邻近的全连接层传递过来的第二特征向量,计算所述第一特征向量与第二特征向量的相关度,若该相关度计算结果低于预设的阈值,则将所述第一特征向量送入循环门控网络中;
循环门控网络单元,用于调用服务器的历史状态信息,将该历史状态信息与第一特征向量相加后分别送入所述循环门控网络的重置门单元和更新门单元的第一输入端,由该重置门单元计算候选状态,该候选状态送入所述更新门单元的第二输入端,由该更新门单元完成计算当前状态;
用户行为模型,用于根据所述当前状态,分析所述用户终端的行为是否符合访问对象支持的动作范围,统计所述行为出现频率,判断出是否包含攻击倾向的用户行为。
本申请提供一种基于卷积循环的行为模式识别系统,所述系统包括:所述系统包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行第一方面所有实施例中任一项所述的方法。
本申请提供一种计算机可读存储介质,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行第一方面所有实施例中任一项所述的方法。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (7)
1.一种基于卷积循环的行为模式识别方法,其特征在于,所述方法包括:
接收用户终端发送的访问请求,采集所述访问请求中的数据信号,将该数据信号输入到卷积神经网络的隐含层中;
所述隐含层的卷积层提取所述数据信号的特征,将该特征映射到四元结构,即将该特征分解为一个实部和三个虚部,完成初步矩变量化,所述一个实部对应特征向量值,所述三个虚部对应三个通道值,得到四元变量特征图;
将所述四元变量特征图传递到所述隐含层的池化层,按照极坐标对称方式,提取所述数据信号的特征向量,送入错误样本集合匹配,所述匹配是将每个特征向量与所述错误样本集合中的向量进行共轭运算,判断运算结果是否高于阈值,如果是则认定为错误,该特征向量被所述池化层过滤掉,反之则认定为正常,保留该特征向量;
将所述池化层输出的第一特征向量传递到所述隐含层的全连接层,该全连接层还接收其他邻近的全连接层传递过来的第二特征向量,计算所述第一特征向量与第二特征向量的相关度,若该相关度计算结果低于预设的阈值,则将所述第一特征向量送入循环门控网络中;
所述循环门控网络调用服务器的历史状态信息,将该历史状态信息与第一特征向量相加后分别送入所述循环门控网络的重置门单元和更新门单元的第一输入端,由该重置门单元计算候选状态,该候选状态送入所述更新门单元的第二输入端,由该更新门单元完成计算当前状态;
根据所述当前状态,用户行为模型分析所述用户终端的行为是否符合访问对象支持的动作范围,统计所述行为出现频率,判断出是否包含攻击倾向的用户行为。
2.根据权利要求1所述的方法,其特征在于:还包括进一步分析用户行为的强弱程度,根据该强弱程度判断用户行为的急迫程度。
3.根据权利要求1所述的方法,其特征在于:对包含攻击倾向的用户行为执行阻断策略,该阻断策略由服务器下发到用户终端上。
4.根据权利要求2或3任一项所述的方法,其特征在于:所述用户行为模型使用了神经网络模型。
5.一种基于卷积循环的行为模式识别系统,其特征在于,所述系统包括:
采集单元,用于接收用户终端发送的访问请求,采集所述访问请求中的数据信号,将该数据信号输入到卷积神经网络的隐含层中;
神经网络单元,用于使用所述隐含层的卷积层提取所述数据信号的特征,将该特征映射到四元结构,即将该特征分解为一个实部和三个虚部,完成初步矩变量化,所述一个实部对应特征向量值,所述三个虚部对应三个通道值,得到四元变量特征图;
将所述四元变量特征图传递到所述隐含层的池化层,按照极坐标对称方式,提取所述数据信号的特征向量,送入错误样本集合匹配,所述匹配是将每个特征向量与所述错误样本集合中的向量进行共轭运算,判断运算结果是否高于阈值,如果是则认定为错误,该特征向量被所述池化层过滤掉,反之则认定为正常,保留该特征向量;
将所述池化层输出的第一特征向量传递到所述隐含层的全连接层,该全连接层还接收其他邻近的全连接层传递过来的第二特征向量,计算所述第一特征向量与第二特征向量的相关度,若该相关度计算结果低于预设的阈值,则将所述第一特征向量送入循环门控网络中;
循环门控网络单元,用于调用服务器的历史状态信息,将该历史状态信息与第一特征向量相加后分别送入所述循环门控网络的重置门单元和更新门单元的第一输入端,由该重置门单元计算候选状态,该候选状态送入所述更新门单元的第二输入端,由该更新门单元完成计算当前状态;
用户行为模型,用于根据所述当前状态,分析所述用户终端的行为是否符合访问对象支持的动作范围,统计所述行为出现频率,判断出是否包含攻击倾向的用户行为。
6.一种基于卷积循环的行为模式识别系统,其特征在于,所述系统包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行实现权利要求1-4任一项所述的方法。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行实现权利要求1-4任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211008475.6A CN115456141A (zh) | 2022-08-22 | 2022-08-22 | 基于卷积循环的行为模式识别方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211008475.6A CN115456141A (zh) | 2022-08-22 | 2022-08-22 | 基于卷积循环的行为模式识别方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115456141A true CN115456141A (zh) | 2022-12-09 |
Family
ID=84298834
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211008475.6A Pending CN115456141A (zh) | 2022-08-22 | 2022-08-22 | 基于卷积循环的行为模式识别方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115456141A (zh) |
-
2022
- 2022-08-22 CN CN202211008475.6A patent/CN115456141A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113159288B (zh) | 防止隐私数据泄漏的编码模型训练方法及装置 | |
CN114070654B (zh) | 一种基于大数据的安全管控方法及其系统 | |
CN113705425A (zh) | 活体检测模型的训练方法和活体检测的方法、装置、设备 | |
CN113468071A (zh) | 模糊测试用例生成方法、系统、计算机设备及存储介质 | |
CN110768971A (zh) | 适用于人工智能系统的对抗样本快速预警方法及系统 | |
CN110493221A (zh) | 一种基于聚簇轮廓的网络异常检测方法 | |
CN112839014A (zh) | 建立识别异常访问者模型的方法、系统、设备及介质 | |
CN110119621B (zh) | 异常系统调用的攻击防御方法、系统及防御装置 | |
CN113656798B (zh) | 一种面向恶意软件标签翻转攻击的正则化识别方法及装置 | |
CN111144243B (zh) | 基于对抗学习的户型图识别方法和装置 | |
CN115456141A (zh) | 基于卷积循环的行为模式识别方法和系统 | |
CN113065379B (zh) | 融合图像质量的图像检测方法、装置、电子设备 | |
CN115935265B (zh) | 训练风险识别模型的方法、风险识别方法及对应装置 | |
CN113688810B (zh) | 一种边缘设备的目标捕获方法、系统及相关设备 | |
CN113361455B (zh) | 人脸鉴伪模型的训练方法、相关装置及计算机程序产品 | |
CN111209567B (zh) | 提高检测模型鲁棒性的可知性判断方法及装置 | |
CN111597896A (zh) | 异常人脸的识别方法、识别装置、识别设备和存储介质 | |
CN116778534B (zh) | 图像处理方法、装置、设备和介质 | |
CN116306574B (zh) | 应用于智慧风控任务分析的大数据挖掘方法及服务器 | |
CN117152567B (zh) | 特征提取网络的训练方法、分类方法、装置及电子设备 | |
CN112631653B (zh) | 一种指标库代码适配方法及系统 | |
CN116633809B (zh) | 基于人工智能的检测方法和系统 | |
CN113630385B (zh) | 一种sdn网络下dos攻击防控方法及装置 | |
CN112905987B (zh) | 账号识别方法、装置、服务器及存储介质 | |
CN116578822A (zh) | 基于模糊模式识别的自动检测方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |