CN117150403A - 一种决策节点行为异常检测方法和系统 - Google Patents

Abstract

本公开提供了一种决策节点行为异常检测方法，应用于部署在客户端的决策节点行为异常检测系统，决策节点部署于云环境内，该方法包括：确定决策节点对关联节点的综合依赖分值；确定决策节点与关联节点的综合关联分值；获取当前处理阶段的训练样本总集，并利用当前处理阶段的训练样本总集对上一处理阶段的决策检测模型进行半监督学习，得到当前处理阶段的决策检测模型；将决策节点所输出的当前决策信息输入至当前处理阶段的决策检测模型中得到当前决策信息为正常决策信息的概率，并根据当前决策信息为正常决策信息的概率得到当前决策信息所对应的预测正常分值；根据综合依赖分值、综合关联分值和预测正常分值检测决策节点的决策行为是否存在异常。

Description

一种决策节点行为异常检测方法和系统

技术领域

本公开涉及计算机技术领域，特别涉及一种决策节点行为异常检测方法和系统。

背景技术

从上个世纪开始，数据的复杂性问题就已经引起了国内的广泛关注，来自各国不同领域的科学家都开始就他们自己领域的复杂性问题展开了讨论和研究，决策节点的行为异常检测是提供决策点历史决策信息可信性为的依据，主要用于实现决策节点自身行为的可信性验证，节点的异常行为检测在网络安全、国家安全、金融领域等都有着广泛的应用，并且能够揭示网络结构、演化行为规律，实现决策节点行为的预测。目前许多研究内容去分析节点异常都是通过从节点拓扑结构角度分析的，现如今的研究缺少对节点行为演化的建模与异常分析。而且，大多数都是采用单一异行常检测方法去进节点异常检测的，而单一异常检测方法在不同异常类型的检测中效果可能不一样，稳定性和适应性较差。

发明内容

本公开旨在至少解决现有技术中针对决策节点的行为异常检测效率低下的问题，提供了一种时空关联的决策节点行为异常检测方法和系统。

第一方面，本公开实施例提供了一种决策节点行为异常检测方法，所述方法应用于决策节点行为异常检测系统，所述决策节点行为异常检测系统部署于客户端，所述决策节点部署于云环境内，所述方法包括：

获取所述决策节点在当前处理阶段的节点交互行为数据以及在所述当前处理阶段所述决策节点与部署于同一云环境内各关联节点之间的通信信息，并根据所述节点交互行为数据和所述通信信息确定出在所述当前处理阶段所述决策节点对关联节点的综合依赖分值；

建立所述决策节点和各所述关联节点在所述当前处理阶段的行为属性画像，并根据所述决策节点和各所述关联节点在所述当前处理阶段的行为属性画像，确定出在所述当前处理阶段所述决策节点与所述关联节点的综合关联分值，其中节点的行为属性画像用于描述节点在不同行为方面的特征；

获取所述当前处理阶段的训练样本总集，并利用当前处理阶段的训练样本总集对上一处理阶段的决策检测模型进行半监督学习，得到当前处理阶段的决策检测模型；

将所述决策节点在所述当前处理阶段所输出的当前决策信息输入至当前处理阶段的决策检测模型中得到所述当前决策信息为正常决策信息的概率，并根据所述当前决策信息为正常决策信息的概率得到所述当前决策信息所对应的预测正常分值；

根据所述综合依赖分值、所述综合关联分值和所述预测正常分值检测所述决策节点在所述当前处理阶段的决策行为是否存在异常。

在一些实施例中，获取所述决策节点在当前处理阶段的节点交互行为数据以及在所述当前处理阶段所述决策节点与部署于同一云环境内各关联节点之间的通信信息，并根据所述节点交互行为数据和所述通信信息确定出在所述当前处理阶段所述决策节点对关联节点的综合依赖分值的步骤包括：

获取所述决策节点在当前处理阶段的节点交互行为数据，并根据所述决策节点在当前处理阶段的节点交互行为数据确定出所述决策节点在当前处理阶段所对应的各关联节点；

获取在当前处理阶段所述决策节点与各关联节点之间的通信信息，并根据所述决策节点与各关联节点之间的通信信息确定出在当前处理阶段所述决策节点与各关联节点之间的单个节点依赖分值，所述通信信息包括：通信协议、通信频率、通信数据量中至少之一；

根据所述决策节点与各关联节点之间的单个节点依赖分值确定出在当前处理阶段所述决策节点对关联节点的综合依赖分值。

在一些实施例中，根据所述决策节点与各关联节点之间的单个节点依赖分值确定出在当前处理阶段所述决策节点对关联节点的综合依赖分值的步骤包括：

对全部单个节点依赖分值进行累加求和得到所述综合依赖分值；

或者，对全部单个节点依赖分值进行加权平均得到所述综合依赖分值；

或者，对全部单个节点依赖分值进行求平均值得到所述综合依赖分值。

在一些实施例中，建立所述决策节点和各所述关联节点在所述当前处理阶段的行为属性画像，并根据所述决策节点和各所述关联节点在所述当前处理阶段的行为属性画像，确定出在所述当前处理阶段所述决策节点与所述关联节点的综合关联分值的步骤包括：

分别建立所述决策节点和各所述关联节点在当前处理阶段的行为属性画像；

根据所述决策节点的行为属性画像与各所述关联节点在当前处理阶段的行为属性画像的相似度，确定出在当前处理阶段所述决策节点与各关联节点之间的单个节点关联分值；

根据在当前处理阶段所述决策节点与各关联节点之间的单个节点关联分值，确定出在当前处理阶段所述决策节点与关联节点的综合关联分值。

在一些实施例中，所述行为属性画像包括：节点的数据处理行为、节点的交互行为、节点的决策路径、节点的决策依据、节点的状态变化中至少之一。

在一些实施例中，根据在当前处理阶段所述决策节点与各关联节点之间的单个节点关联分值，确定出在当前处理阶段所述决策节点与关联节点的综合关联分值的步骤包括：

对全部单个节点关联分值进行累加求和得到所述综合关联分值；

或者，对全部单个节点关联分值进行加权平均得到所述综合关联分值；

或者，对全部单个节点关联分值进行求平均值得到所述综合关联分值。

在一些实施例中，当前处理阶段的训练样本总集包括：当前处理阶段的累积训练集和当前处理阶段的增量训练集；

所述获取当前处理阶段的训练样本总集的步骤包括：

对上一处理阶段的训练样本总集进行采样，得到当前处理阶段的累积训练集；

获取上一处理阶段所对应时段内所述决策节点所输出的决策信息，以作为当前处理阶段的增量训练集。

在一些实施例中，所述根据所述综合依赖分值、所述综合关联分值和所述预测正常分值检测所述决策节点在所述当前处理阶段的决策行为是否存在异常的步骤包括：

根据所述综合依赖分值、所述综合关联分值和所述预测正常分值，计算得到所述决策节点的当前最终检测评分，所述当前最终检测评分与所述综合依赖分值、所述综合关联分值和所述预测正常分值均呈正相关；

判断所述当前最终检测评分是否遇大于预设评分阈值；

若判断出所述当前最终检测评分大于所述预设评分阈值，则检测出所述决策节点在所述当前处理阶段的决策行为正常；

若判断出所述当前最终检测评分小于或等于所述预设评分阈值，则检测出所述决策节点在所述当前处理阶段的决策行为存在异常。

在一些实施例中，所述根据所述综合依赖分值、所述综合关联分值和所述预测正常分值，计算得到所述决策节点的当前最终检测评分的步骤包括：

对所述综合依赖分值、所述综合关联分值和所述预测正常分值进行归一化处理；

根据归一化处理后的所述综合依赖分值、所述综合关联分值和所述预测正常分值，计算得到所述决策节点的当前最终检测评分；

其中，所述决策节点的当前最终检测评分等于所述综合依赖分值、所述综合关联分值和所述预测正常分值三者的平均值；

或者，所述决策节点的当前最终检测评分等于所述综合依赖分值、所述综合关联分值和所述预测正常分值三者的加权平均值。

第二方面，本公开实施例提供了一种决策节点行为异常检测系统，所述决策节点行为异常检测系统能够实现如第一方面中所述方法，所述决策节点行为异常检测系统包括：

第一确定模块，用于获取所述决策节点在当前处理阶段的节点交互行为数据以及在所述当前处理阶段所述决策节点与部署于同一云环境内各关联节点之间的通信信息，并根据所述节点交互行为数据和所述通信信息确定出在所述当前处理阶段所述决策节点对关联节点的综合依赖分值；

第二确定模块，用于建立所述决策节点和各所述关联节点在所述当前处理阶段的的行为属性画像，并根据所述决策节点和各所述关联节点在所述当前处理阶段的行为属性画像，确定出所述决策节点与所述关联节点在所述当前处理阶段的综合关联分值，其中节点的行为属性画像用于描述节点在不同行为方面的特征；

学习模块，用于获取所述当前处理阶段的训练样本总集，并利用当前处理阶段的训练样本总集对上一处理阶段的决策检测模型进行半监督学习，得到当前处理阶段的决策检测模型；

第三确定模块，用于将所述决策节点在所述当前处理阶段所输出的当前决策信息输入至当前处理阶段的决策检测模型中得到所述当前决策信息为正常决策信息的概率，并根据所述当前决策信息为正常决策信息的概率得到所述当前决策信息所对应的预测正常分值；

检测模块，用于根据所述综合依赖分值、所述综合关联分值和所述预测正常分值检测所述决策节点在所述当前处理阶段的决策行为是否存在异常。

附图说明

图1为本公开所涉及技术方案的一种场景框架示意图；

图2为本公开实施例提供的一种决策节点行为异常检测方法的流程图；

图3为本公开实施例提供的另一种决策节点行为异常检测方法的流程图；

图4为本公开实施例提供的一种决策节点行为异常检测系统的结构框图；

图5为本公开实施例的一种电子设备的结构示意图。

具体实施方式

为使本领域技术人员更好地理解本公开的技术方案，下面结合附图和具体实施方式对本公开作进一步详细描述。

除非另外定义，本公开使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。同样，“一个”、“一”或者“该”等类似词语也不表示数量限制，而是表示存在至少一个。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述目标的绝对位置改变后，则该相对位置关系也可能相应地改变。

在各个附图中，相同的元件采用类似的附图标记来表示。为了清楚起见，附图中的各个部分并没有都按比例绘制。此外，在图中可能未示出某些公知的部分。

在下文中描述了本公开的许多特定的细节，例如部件的结构、材料、尺寸、处理工艺和技术，以便更清楚地理解本公开。但正如本领域的技术人员能够理解的那样，可以不按照这些特定的细节来实现本公开。

图1为本公开所涉及技术方案的一种场景框架示意图。图2为本公开实施例提供的一种决策节点行为异常检测方法的流程图。如图1和图2所示，本公开提供的决策节点行为异常检测方法应用于决策节点行为异常检测系统，决策节点行为异常检测系统位于客户端，决策节点部署于云环境内；用户可通过客户端中的决策节点行为异常检测系统，来对部署云环境中的决策节点进行监控。

本公开中所涉及的“节点”均为部署于云环境中的服务器，具体为由物理服务器通过虚拟技术所形成的虚拟服务器。

本公开所提供的决策节点行为异常检测方法包括：

步骤S1、获取决策节点在当前处理阶段的节点交互行为数据以及在当前处理阶段决策节点与部署于同一云环境内各关联节点之间的通信信息，并根据节点交互行为数据和通信信息确定出在当前处理阶段决策节点对关联节点的综合依赖分值。

本公开中的“决策节点”(Decision Node)是指决策网络(Decision Networ)中能够输出最终决策信息的节点，“关联节点”是指决策网络中在决策节点进行决策过程中与决策节点存在交互行为的节点。在网络中，每个决策节点存在对应的一个或多个关联节点，决策节点所对应的关联节点数量由网络拓扑结构和决策节点所配置的“节点交互行为规则”所决定；节点交互行为规则记录了决策节点在进行决策过程中会与决策节点产生互动的其他节点的节点信息以及互动规则。

在本公开实施例中，综合依赖分值用于表征决策节点对全部关联节点的整体依赖程度，即决策节点在进行决策时受到其他节点的影响程度；其中，整体依赖程度越高则综合依赖分值越高。

步骤S2、建立决策节点和各关联节点在当前处理阶段的行为属性画像，并根据决策节点和各关联节点的行为属性画像，确定出在当前处理阶段决策节点与关联节点的综合关联分值。

在本公开实施例中，综合依赖分值用于表征决策节点与全部关联节点的整体关联程度，且整体关联程度越高则综合关联分值越高。

上述综合依赖分值和综合关联分值可以反应出决策节点在空间属性上的特征。

步骤S3、获取当前处理阶段的训练样本总集，并利用当前处理阶段的训练样本总集对上一处理阶段的决策检测模型进行半监督学习，得到当前处理阶段的决策检测模型。

其中，决策检测模型的输入为决策节点所输出的决策信息，决策检测模型的输出为预测所输入的决策信息为正常决策信息的概率。

在本公开中，可以根据时长来划分处理阶段，例如每1个小时或1天作为一个处理阶段。

步骤S4、将决策节点所输出的当前决策信息输入至当前处理阶段的决策检测模型中得到当前决策信息为正常决策信息的概率，并根据当前决策信息为正常决策信息的概率得到当前决策信息所对应的预测正常分值。

在步骤S4中，会将决策检测模型所输出的当前决策信息为正常决策信息的概率，通过预设概率-分值映射算法(例如线性映射或非线性映射，本公开对于映射算法的具体算法不作限定)转换为对应的预测正常分值；其中，概率越大，则对应的预测正常分值越高。

上述预测正常分值可以反应出决策节点在时间属性上的特征。

步骤S5、根据综合依赖分值、综合关联分值和预测正常分值检测决策节点在当前处理阶段的决策行为是否存在异常。

在本公开实施例中，基于综合依赖分值、综合关联分值和预测正常分值三个参量的结合，可以从实现对决策节点在当前处理阶段的决策行为是否存在异常进行高效、准确、智能且可信性的评估。

图3为本公开实施例提供的另一种决策节点行为异常检测方法的流程图，如图3所示，图3所示方案为基于图2所示方案的一种具体化可选实施方案，该行为异常检测方法包括：

步骤S101、获取决策节点在当前处理阶段的节点交互行为数据，并根据决策节点在当前处理阶段的节点交互行为数据确定出决策节点在当前处理阶段所对应的各关联节点。

其中，节点交互行为数据存放于决策节点内，节点交互行为数据中记载有决策节点在作出决策过程中与决策节点产生互动的节点(即，关联节点)的节点信息以及对应的互动行为信息。

步骤S102、获取在当前处理阶段，并根据决策节点与各关联节点之间的通信信息确定出决策节点与各关联节点之间的单个节点依赖分值。

通信信息是指用于表征节点之间数据通信过程的特征的信息。在一些实施例中，通信信息包括：通信协议、通信频率、通信数据量中至少之一。

单个节点依赖分值用于表征决策节点与单个的目标关联节点的依赖程度，即决策节点在进行决策是受到单个的目标关联节点的影响程度。例如，可以分析决策节点与目标关联节点之间的通信频率、通信协议、数据传输量等信息，进而计算出节点之间的依赖分值。例如，通信频率越高、通信协议等级越高、单位时间内数据传输量越大，则对应的单个节点依赖分值越高；较高的依赖分值表示该决策节点在进行决策时对其他节点的状态变化和数据传输具有较高的依赖性，而较低的依赖分值则表示依赖程度较低。

需要说明的是，上述根据通信协议、通信频率、通信数据量中至少之一来确定单个节点依赖分值的算法，仅为本公开中的一种可选实施方案，其不会对本公开的技术方案产生限制。在本公开中，但凡根据两个节点之间的通信信息来确定两个节点之间的依赖程度(分值)的算法，都适用于本发明。

步骤S103、根据决策节点与各关联节点之间的单个节点依赖分值，确定出在当前处理阶段决策节点对关联节点的综合依赖分值。

作为步骤S103的可选实施方案之一，对全部单个节点依赖分值进行累加求和得到综合依赖分值。

作为步骤S103的可选实施方案之二，对全部单个节点依赖分值进行加权平均得到综合依赖分值；

作为步骤S103的可选实施方案之三，对全部单个节点依赖分值进行求平均值得到综合依赖分值。

上述通过对全部单个节点依赖分值进行累加求和、求加权平均或者求平均的方式，来得到综合依赖分值，其仅为本公开中的可选实施方案，其不会对本公开的技术方案产生限制。本领域技术人员应该知晓的是，但凡根据各关联阶段与决策节点之间的单个节点依赖分值，来得到决策节点的对全部关联节点的综合依赖分值的算法，都适用于本发明。

在本公开中，综合依赖分值它衡量了决策节点与关联阶段之间在交互行为和通信规则方面的依赖关系，较高的依赖分值表示节点之间的交互和通信更频繁、更密切，表明它们在决策过程中相互影响较大。

步骤S201、分别建立决策节点和各关联节点在当前处理阶段的行为属性画像。

节点的行为属性画像用于描述节点在不同行为方面的特征。在一些实施例中，行为属性画像包括：节点的数据处理行为、节点的交互行为、节点的决策路径、节点的决策依据、节点的状态变化中至少之一。

步骤S202、根据决策节点的行为属性画像与各关联节点的行为属性画像的相似度，确定出决策节点与各关联节点之间的单个节点关联分值。

单个节点关联分值用于表征决策节点与单个的目标关联节点的关联程度，即决策节点在进行决策过程中与单个的目标关联节点在行为属性上的关联程度。其中，关联程度越高，则对应的相似度越高，相应地单个节点关联分值越高。

在实际应用中，可以对各行为属性画像进行形式化抽象分析，得到各节点的行为属性画像所对应的特征向量，然后基于预设向量相似度算法(例如余弦相似度算法)来求得决策节点与目标关联节点的行为属性画像的相似度，然后基于通过预设相似度-分值映射算法(例如线性映射或非线性映射，本公开对于映射算法的具体算法不作限定)转换为对应的单个节点关联分值。

步骤S203、根据决策节点与各关联节点之间的单个节点关联分值，确定出在当前处理阶段决策节点对关联节点的综合关联分值。

作为步骤S203的可选实施方案之一，对全部单个节点关联分值进行累加求和得到综合关联分值。

作为步骤S203的可选实施方案之二，对全部单个节点关联分值进行加权平均得到综合关联分值。

作为步骤S203的可选实施方案之三，对全部单个节点关联分值进行求平均值得到综合关联分值。

上述通过对全部单个节点关联分值进行累加求和、求加权平均或者求平均的方式，来得到综合关联分值，其仅为本公开中的可选实施方案，其不会对本公开的技术方案产生限制。本领域技术人员应该知晓的是，但凡根据各关联阶段与决策节点之间的单个节点关联分值，来得到决策节点的对全部关联节点的综合关联分值的算法，都适用于本发明。

在本公开中，综合关联分值它衡量了决策节点与关联阶段之间在行为属性上的关联程度，包括输入数据、处理过程、输出结果等方面的关联，较高的关联分值表示节点之间的行为特征更相似，表明它们在决策过程中具有较强的关联性。

需要强调的是，本公开中“依赖分值”主要关注节点之间的交互行为和通信规则的依赖程度；“关联分值”主要关注节点之间在行为属性上的相似性。

步骤S301、对上一处理阶段的训练样本总集进行采样，得到当前处理阶段的累积训练集。

步骤S302、获取上一处理阶段所对应时段内决策节点所输出的决策信息，以作为当前处理阶段的增量训练集。

需要说明的是，步骤S301中获得的累积训练集中的至少部分决策信息存在对应的标签，该标签用于表明对应的决策信息为正常决策信息或异常决策信息。而步骤S302中获得的增量训练集中的决策信息均不存在对应标签。

步骤S301中获取到的累积训练集和步骤S302中获取到的增量训练集，共同构成了当前处理阶段的训练样本总集。也就是说，当前处理阶段的训练样本总集中，部分决策信息存在标签，另一部分决策信息不存在标签。

步骤S303、用当前处理阶段的训练样本总集对上一处理阶段的决策检测模型进行半监督学习(Semi-supervised learning)，得到当前处理阶段的决策检测模型。

需要说明的是，在第一个处理阶段时(即决策检测模型的初建阶段)，可基于深度学习构建初始分类模型，并利用Softmax分类器对初始分类模型进行初始训练，然后利用预先获取到的初始增强数据集(包含一些预先处理好的带有标签的决策信息)对初始分类模型作进一步个性化训练，得到第一个处理阶段所对应的决策检测模型，决策检测模型具备对输入的决策信息预测该决策信息为正常决策信息的概率的能力；第一个处理阶段所对应的训练样本总集为上述初始增强数据集。从第二个处理阶段开始，后面每个处理阶段可按照上述步骤S301和步骤S302进行训练样本总集的更新和决策检测模型的更新。

在一些实施例中，决策检测模型的正样本为正常决策信息，负样本为异常决策信息，则决策检测模型直接输出决策信息为正常决策信息的概率。在另一些实施例中，决策检测模型的正样本为异常决策信息，负样本为正常决策信息，则决策检测模型会先得到决策信息为异常决策信息的概率，然后用1减去决策信息为异常决策信息的概率，即可得到决策信息为正常决策信息的概率。

步骤S4、将决策节点所输出的当前决策信息输入至当前处理阶段的决策检测模型中得到当前决策信息为正常决策信息的概率，并根据当前决策信息为正常决策信息的概率得到当前决策信息所对应的预测正常分值。

步骤S501、根据综合依赖分值、综合关联分值和预测正常分值，计算得到决策节点的当前最终检测评分。

其中，当前最终检测评分与综合依赖分值、综合关联分值和预测正常分值均呈正相关。

在一些实施例中，步骤S501包括：首先，对综合依赖分值、综合关联分值和预测正常分值进行归一化处理，以使得综合依赖分值、综合关联分值和预测正常分值的大小映射到同一区间范围；然后，根据归一化处理后的综合依赖分值、综合关联分值和预测正常分值，计算得到决策节点的当前最终检测评分。

在一些实施例中，决策节点的当前最终检测评分等于综合依赖分值、综合关联分值和预测正常分值三者的平均值。

在另一些实施例中，决策节点的当前最终检测评分等于综合依赖分值、综合关联分值和预测正常分值三者的加权平均值。

需要说明的是，在本公开中并不限于通过求平均值或加权平均值的方式来求得当前最终检测评分。但凡满足当前最终检测评分与综合依赖分值、综合关联分值和预测正常分值均呈正相关的算法，均适用于本发明。

步骤S502、判断当前最终检测评分是否遇大于预设评分阈值。

其中，若判断出当前最终检测评分大于预设评分阈值，则检测出决策节点当前正常；若判断出当前最终检测评分小于或等于预设评分阈值，则检测出决策节点当前存在异常。

在一些实施例中，当决策节点在当前处理阶段的决策行为存在异常时，还可以继续连续对决策节点所输出决策信息进行监测，并计算和记录每个时间点的决策信息所对应的预测正常分值，以观察预测正常分值随时间的变化趋势，从而确定出决策节点的异常变化情况。例如，预测正常分值呈周期性波动，则可以评估出决策节点的异常为周期性异常；预测正常分值随时间变化逐渐增大，则可以推断出对应的“当前最终检测评分”逐渐增大，表明决策节点的异常逐渐改善；预测正常分值随时间变化逐渐增大，则可以推断出对应的“当前最终检测评分”逐渐减小，表明决策节点的异常逐渐严重。

本公开从安全属性的角度出发，涉及时空关联的决策节点行为异常检测的方法，结合时间和空间两个角度去对决策节点是否存在异常进行评估；具体地，通过在空间角度对节点交互与通信行为进行依赖关系提取，研究设备交互行为和通信行为的智能分析方法，构建节点行为属性图，研究多节点行为关联性抽象分析机制，从而实现节点交互行为关联性分析；通过在时间角度研究历史证实信息(带有标签的决策信息)动态组建及智能监测技术，对节点决策数据流进行动态重组和智能分析监测，以发现异常决策操作，提供决策点历史决策信息可信行为依据，从而对决策节点的决策行为异常的检测。

本公开的技术方案特别适用于网络安全技术领域，作为本公开的一种具体应用场景。在云环境中部署有安全决策网络，安全决策网络能够在目标网络(例如局域网、企业内部网等)出现网络异常时，根据目标网络的网络异常信息(可以由人工将网络异常信息输入至安全决策网络，或者由目标网络中的管理节点或存在异常的节点自动将网络异常信息输入至安全决策网络)输出安全决策信息，以改善或解决目标网络的网络异常问题。

具体地，在决策节点对网络异常信息进行分析和决策的过程中，决策节点会与预先搭建的安全决策网络中的其他至少部分节点进行交互。作为一个具体示例，决策节点根据接收到的网络异常信息创建对应的网络安全决策任务，然后将网络安全决策任务划分为多个网络安全子任务，再按照一定分发决策(例如，基于负载均衡原理进行任务分发、基于子任务的关联性进行任务分发等)将各网络安全子任务(包含有待处理的网络安全数据)分发至安全决策网络中的至少部分其他节点，即本公开中的关联节点；关联节点根据接收到的网络安全子任务进行相应的处理，具体地关联节点中预先存储有决策模型，关联节点基于内部的决策模型对网络安全子任务进行相应处理，并输出网络安全决策子信息，关联节点将决策子信息反馈至决策节点；决策节点内部也预先存储有决策模型，决策节点内部的决策模型根据各关联节点所反馈的网络安全决策子信息进行最终决策，得到网络安全决策信息，以目标网络(管理节点或异常节点)根据该网络安全决策信息改善或解决自身的网络异常问题。

对应于前述实施例，则在上述步骤S1中，节点交互行为数据具体包括记载有处理决策节点所分发网络安全子任务的节点的节点信息；决策节点与目标关联节点之间的通信信息具体包括：决策节点向目标关联节点发送网络安全子任务或目标关联节点向决策节点反馈网络安全决策子信息时所对应的通信频率、所采用的通信协议、通信数据量中至少之一。

对应于前述实施例，则在上述步骤S2中，各节点的行为属性画像具体包括决策/关联节点在根据自身内部决策模型来对网络安全任务/子任务进行处理时，决策/关联节点的数据处理行为、节点的交互行为、节点的决策路径、节点的决策依据、节点的状态变化中至少之一。

对应于前述实施例，则在上述步骤S4中，决策节点所输出的当前决策信息即为决策解决安全决策信息

需要说明的是，对于安全决策网络而言，其为安全决策信息的提供者，故对于安全决策网络内决策节点与关联节点之间的依赖程度和关联程度有着较高要求，具体地，决策节点对关联节点的依赖程度/关联程度越高，则表明决策节点输出安全决策信息的过程有充分与关联节点进行交互，可以在一定程度上表明决策节点输出安全决策信息的过程具有较高可信度，可以保证决策节点输出安全决策信息的有效性。

图4为本公开实施例提供的一种决策节点行为异常检测系统的结构框图。如图4所示，该决策节点行为异常检测系统能够实现前面任一实施例中所提供的决策节点行为异常检测方法，决策节点行为异常检测系统包括：第一确定模块、第二确定模块、学习模块、第三确定模块和检测模块。

其中，第一确定模块用于获取决策节点在当前处理阶段的节点交互行为数据以及在当前处理阶段决策节点与部署于同一云环境内各关联节点之间的通信信息，并根据节点交互行为数据和通信信息确定出在当前处理阶段决策节点对关联节点的综合依赖分值；

第二确定模块用于建立决策节点和各关联节点在当前处理阶段的的行为属性画像，并根据决策节点和各关联节点在当前处理阶段的行为属性画像，确定出决策节点与关联节点在当前处理阶段的综合关联分值，其中节点的行为属性画像用于描述节点在不同行为方面的特征；

学习模块用于获取当前处理阶段的训练样本总集，并利用当前处理阶段的训练样本总集对上一处理阶段的决策检测模型进行半监督学习，得到当前处理阶段的决策检测模型；

第三确定模块用于将决策节点在当前处理阶段所输出的当前决策信息输入至当前处理阶段的决策检测模型中得到当前决策信息为正常决策信息的概率，并根据当前决策信息为正常决策信息的概率得到当前决策信息所对应的预测正常分值；

检测模块，用于根据综合依赖分值、综合关联分值和预测正常分值检测决策节点在所述当前处理阶段的决策行为是否存在异常。

对于上述各功能模块的具体描述，可参见前面实施例中的内容，此处不再赘述。

基于同一发明构思，本公开实施例还提供了一种电子设备。图5为本公开实施例的一种电子设备的结构示意图，如图5所示，本公开实施例提供一种电子设备包括：一个或多个处理器101、存储器102、一个或多个I/O接口103。存储器102上存储有一个或多个程序，当该一个或多个程序被该一个或多个处理器执行，使得该一个或多个处理器实现如上述实施例中任一的决策节点行为异常检测方法；一个或多个I/O接口103连接在处理器与存储器之间，配置为实现处理器与存储器的信息交互。

其中，处理器101为具有数据处理能力的器件，包括但不限于中央处理器(CPU)等；存储器102为具有数据存储能力的器件，包括但不限于随机存取存储器(RAM，更具体如SDRAM、DDR等)、只读存储器(ROM)、带电可擦可编程只读存储器(EEPROM)、闪存(FLASH)；I/O接口(读写接口)103连接在处理器101与存储器102间，能实现处理器101与存储器102的信息交互，包括但不限于数据总线(Bus)等。

在一些实施例中，处理器101、存储器102和I/O接口103通过总线104相互连接，进而与计算设备的其它组件连接。

在一些实施例中，该一个或多个处理器101包括现场可编程门阵列。

根据本公开的实施例，还提供一种计算机可读介质。该计算机可读介质上存储有计算机程序，其中，该程序被处理器执行时实现如上述实施例中任一的决策节点行为异常检测方法中的步骤。

特别地，根据本公开实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，包括承载在机器可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分从网络上被下载和安装，和/或从可拆卸介质被安装。在该计算机程序被中央处理单元(CPU)执行时，执行本公开的系统中限定的上述功能。

需要说明的是，本公开所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、RF等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，前述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施例中所涉及到的电路或子电路可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的电路或子电路也可以设置在处理器中，例如，可以描述为：一种处理器，包括：接收电路和处理电路，该处理模块包括写入子电路和读取子电路。其中，这些电路或子电路的名称在某种情况下并不构成对该电路或子电路本身的限定，例如，接收电路还可以被描述为“接收视频信号”。

可以理解的是，以上实施方式仅仅是为了说明本公开的原理而采用的示例性实施方式，然而本公开并不局限于此。对于本领域内的普通技术人员而言，在不脱离本公开的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本公开的保护范围。

Claims (10)

1.一种决策节点行为异常检测方法，其特征在于，所述方法应用于决策节点行为异常检测系统，所述决策节点行为异常检测系统部署于客户端，所述决策节点部署于云环境内，所述方法包括：

获取所述决策节点在当前处理阶段的节点交互行为数据以及在所述当前处理阶段所述决策节点与部署于同一云环境内各关联节点之间的通信信息，并根据所述节点交互行为数据和所述通信信息确定出在所述当前处理阶段所述决策节点对关联节点的综合依赖分值；

建立所述决策节点和各所述关联节点在所述当前处理阶段的行为属性画像，并根据所述决策节点和各所述关联节点在所述当前处理阶段的行为属性画像，确定出在所述当前处理阶段所述决策节点与所述关联节点的综合关联分值，其中节点的行为属性画像用于描述节点在不同行为方面的特征；

获取所述当前处理阶段的训练样本总集，并利用当前处理阶段的训练样本总集对上一处理阶段的决策检测模型进行半监督学习，得到当前处理阶段的决策检测模型；

将所述决策节点在所述当前处理阶段所输出的当前决策信息输入至当前处理阶段的决策检测模型中得到所述当前决策信息为正常决策信息的概率，并根据所述当前决策信息为正常决策信息的概率得到所述当前决策信息所对应的预测正常分值；

根据所述综合依赖分值、所述综合关联分值和所述预测正常分值检测所述决策节点在所述当前处理阶段的决策行为是否存在异常。

2.根据权利要求1所述的方法，其特征在于，获取所述决策节点在当前处理阶段的节点交互行为数据以及在所述当前处理阶段所述决策节点与部署于同一云环境内各关联节点之间的通信信息，并根据所述节点交互行为数据和所述通信信息确定出在所述当前处理阶段所述决策节点对关联节点的综合依赖分值的步骤包括：

获取所述决策节点在当前处理阶段的节点交互行为数据，并根据所述决策节点在当前处理阶段的节点交互行为数据确定出所述决策节点在当前处理阶段所对应的各关联节点；

获取在当前处理阶段所述决策节点与各关联节点之间的通信信息，并根据所述决策节点与各关联节点之间的通信信息确定出在当前处理阶段所述决策节点与各关联节点之间的单个节点依赖分值，所述通信信息包括：通信协议、通信频率、通信数据量中至少之一；

根据所述决策节点与各关联节点之间的单个节点依赖分值确定出在所述当前处理阶段所述决策节点对关联节点的综合依赖分值。

3.根据权利要求2所述的方法，其特征在于，根据所述决策节点与各关联节点之间的单个节点依赖分值确定出在当前处理阶段所述决策节点对关联节点的综合依赖分值的步骤包括：

对全部单个节点依赖分值进行累加求和得到所述综合依赖分值；

或者，对全部单个节点依赖分值进行加权平均得到所述综合依赖分值；

或者，对全部单个节点依赖分值进行求平均值得到所述综合依赖分值。

4.根据权利要求1所述的方法，其特征在于，建立所述决策节点和各所述关联节点在所述当前处理阶段的行为属性画像，并根据所述决策节点和各所述关联节点在所述当前处理阶段的行为属性画像，确定出在所述当前处理阶段所述决策节点与所述关联节点的综合关联分值的步骤包括：

分别建立所述决策节点和各所述关联节点在当前处理阶段的行为属性画像；

根据所述决策节点的行为属性画像与各所述关联节点在当前处理阶段的行为属性画像的相似度，确定出在当前处理阶段所述决策节点与各关联节点之间的单个节点关联分值；

根据在当前处理阶段所述决策节点与各关联节点之间的单个节点关联分值，确定出在当前处理阶段所述决策节点与关联节点的综合关联分值。

5.根据权利要求4所述的方法，其特征在于，所述行为属性画像包括：节点的数据处理行为、节点的交互行为、节点的决策路径、节点的决策依据、节点的状态变化中至少之一。

6.根据权利要求4所述的方法，其特征在于，根据在当前处理阶段所述决策节点与各关联节点之间的单个节点关联分值，确定出在当前处理阶段所述决策节点与关联节点的综合关联分值的步骤包括：

对全部单个节点关联分值进行累加求和得到所述综合关联分值；

或者，对全部单个节点关联分值进行加权平均得到所述综合关联分值；

或者，对全部单个节点关联分值进行求平均值得到所述综合关联分值。

7.根据权利要求1所述的方法，其特征在于，当前处理阶段的训练样本总集包括：当前处理阶段的累积训练集和当前处理阶段的增量训练集；

所述获取当前处理阶段的训练样本总集的步骤包括：

对上一处理阶段的训练样本总集进行采样，得到当前处理阶段的累积训练集；

获取上一处理阶段所对应时段内所述决策节点所输出的决策信息，以作为当前处理阶段的增量训练集。

8.根据权利要求1所述的方法，其特征在于，根据所述综合依赖分值、所述综合关联分值和所述预测正常分值检测所述决策节点在所述当前处理阶段的决策行为是否存在异常的步骤包括：

根据所述综合依赖分值、所述综合关联分值和所述预测正常分值，计算得到所述决策节点的当前最终检测评分，所述当前最终检测评分与所述综合依赖分值、所述综合关联分值和所述预测正常分值均呈正相关；

判断所述当前最终检测评分是否大于预设评分阈值；

若判断出所述当前最终检测评分大于所述预设评分阈值，则检测出所述决策节点在所述当前处理阶段的决策行为正常；

若判断出所述当前最终检测评分小于或等于所述预设评分阈值，则检测出所述决策节点在所述当前处理阶段的决策行为存在异常。

9.根据权利要求8所述的方法，其特征在于，根据所述综合依赖分值、所述综合关联分值和所述预测正常分值，计算得到所述决策节点的当前最终检测评分的步骤包括：

对所述综合依赖分值、所述综合关联分值和所述预测正常分值进行归一化处理；

根据归一化处理后的所述综合依赖分值、所述综合关联分值和所述预测正常分值，计算得到所述决策节点的当前最终检测评分；

其中，所述决策节点的当前最终检测评分等于所述综合依赖分值、所述综合关联分值和所述预测正常分值三者的平均值；

或者，所述决策节点的当前最终检测评分等于所述综合依赖分值、所述综合关联分值和所述预测正常分值三者的加权平均值。

10.一种决策节点行为异常检测系统，其特征在于，所述决策节点行为异常检测系统能够实现权利要求1至9中任一所述方法，所述决策节点行为异常检测系统包括：

第一确定模块，用于获取所述决策节点在当前处理阶段的节点交互行为数据以及在所述当前处理阶段所述决策节点与部署于同一云环境内各关联节点之间的通信信息，并根据所述节点交互行为数据和所述通信信息确定出在所述当前处理阶段所述决策节点对关联节点的综合依赖分值；

第二确定模块，用于建立所述决策节点和各所述关联节点在所述当前处理阶段的的行为属性画像，并根据所述决策节点和各所述关联节点在所述当前处理阶段的行为属性画像，确定出所述决策节点与所述关联节点在所述当前处理阶段的综合关联分值，其中节点的行为属性画像用于描述节点在不同行为方面的特征；

学习模块，用于获取所述当前处理阶段的训练样本总集，并利用当前处理阶段的训练样本总集对上一处理阶段的决策检测模型进行半监督学习，得到当前处理阶段的决策检测模型；

第三确定模块，用于将所述决策节点在所述当前处理阶段所输出的当前决策信息输入至当前处理阶段的决策检测模型中得到所述当前决策信息为正常决策信息的概率，并根据所述当前决策信息为正常决策信息的概率得到所述当前决策信息所对应的预测正常分值；

检测模块，用于根据所述综合依赖分值、所述综合关联分值和所述预测正常分值检测所述决策节点在所述当前处理阶段的决策行为是否存在异常。