CN117195120A - 一种检测方法、装置、设备以及存储介质 - Google Patents
一种检测方法、装置、设备以及存储介质 Download PDFInfo
- Publication number
- CN117195120A CN117195120A CN202311103147.9A CN202311103147A CN117195120A CN 117195120 A CN117195120 A CN 117195120A CN 202311103147 A CN202311103147 A CN 202311103147A CN 117195120 A CN117195120 A CN 117195120A
- Authority
- CN
- China
- Prior art keywords
- behavior
- detection
- detection model
- target object
- sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 561
- 230000006399 behavior Effects 0.000 claims abstract description 568
- 238000000034 method Methods 0.000 claims abstract description 49
- 230000002159 abnormal effect Effects 0.000 claims description 77
- 238000012549 training Methods 0.000 claims description 38
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 12
- 230000003542 behavioural effect Effects 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 abstract description 11
- 238000010586 diagram Methods 0.000 description 18
- 230000006870 function Effects 0.000 description 17
- 238000004364 calculation method Methods 0.000 description 10
- 230000005856 abnormality Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 230000009467 reduction Effects 0.000 description 6
- 230000003993 interaction Effects 0.000 description 5
- 238000010606 normalization Methods 0.000 description 4
- 239000002699 waste material Substances 0.000 description 4
- QVFWZNCVPCJQOP-UHFFFAOYSA-N chloralodol Chemical compound CC(O)(C)CC(C)OC(O)C(Cl)(Cl)Cl QVFWZNCVPCJQOP-UHFFFAOYSA-N 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000007477 logistic regression Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Landscapes
- Testing And Monitoring For Control Systems (AREA)
Abstract
本公开提供了一种检测方法、装置、设备以及存储介质,涉及计算机技术领域,尤其涉及数据处理、互联网安全、信息安全等技术领域。具体实现方案为:获取目标对象的行为序列,该行为序列包括该目标对象的N个操作行为;N为正整数;分别将各个操作行为输入对应的行为检测模型,以得到该目标对象的行为检测结果;并将行为序列输入序列检测模型,由序列检测模型输出该行为序列的序列检测结果;利用行为检测结果和序列检测结果,确定该目标对象的检测结果。本公开能够提高目标对象检测的准确性。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及数据处理、互联网安全、信息安全等技术领域。
背景技术
近年来,随着互联网的飞速发展,侵犯互联网安全的异常对象也越来越多,这些侵犯互联网安全的异常对象不仅会对互联网的发展造成阻碍,也会对互联网平台的正当利益造成影响,因此,如何检测异常行为或异常对象逐渐成为目前亟待解决的问题。
发明内容
本公开提供了一种检测方法、装置、设备以及存储介质。
根据本公开的一方面,提供了一种检测方法,包括:
获取目标对象的行为序列,该行为序列包括该目标对象的N个操作行为;N为正整数;
分别将各个操作行为输入对应的行为检测模型,以得到该目标对象的行为检测结果;并将行为序列输入序列检测模型,由序列检测模型输出该行为序列的序列检测结果;
利用行为检测结果和序列检测结果,确定该目标对象的检测结果。
根据本公开的另一方面,提供了一种有监督检测模型的训练方法,包括:
获取样本对象的样本操作行为、以及样本操作行为的标签信息;样本操作行为的标签信息包括样本操作行为正常和/或样本操作行为异常;
将样本操作行为输入待训练的有监督检测模型,由待训练的有监督检测模型输出样本操作行为的第一行为检测结果;
根据样本操作行为的第一行为检测结果和标签信息,对待训练的有监督检测模型进行参数调整,以得到训练后的有监督检测模型。
根据本公开的另一方面,提供了一种检测装置,包括:
第一获取模块,用于获取目标对象的行为序列,该行为序列包括该目标对象的N个操作行为;N为正整数;
第二获取模块,用于分别将各个操作行为输入对应的行为检测模型,以得到该目标对象的行为检测结果;并将行为序列输入序列检测模型,由序列检测模型输出该行为序列的序列检测结果;
第一确定模块,用于利用行为检测结果和序列检测结果,确定该目标对象的检测结果。
根据本公开的另一方面,提供了一种有监督检测模型的训练装置,包括:
第三获取模块,用于获取样本对象的样本操作行为、以及样本操作行为的标签信息;样本操作行为的标签信息包括样本操作行为正常和/或样本操作行为异常;
第四获取模块,用于将样本操作行为输入待训练的有监督检测模型,由待训练的有监督检测模型输出样本操作行为的第一行为检测结果;
调整模块,用于根据样本操作行为的第一行为检测结果和标签信息,对待训练的有监督检测模型进行参数调整,以得到训练后的有监督检测模型。
根据本公开的另一方面,提供了一种电子设备,包括:
至少一个处理器;以及
与该至少一个处理器通信连接的存储器;其中,
该存储器存储有可被该至少一个处理器执行的指令,该指令被该至少一个处理器执行,以使该至少一个处理器能够执行本公开实施例中任一的方法。
根据本公开的另一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,该计算机指令用于使该计算机执行根据本公开实施例中任一的方法。
根据本公开的另一方面,提供了一种计算机程序产品,包括计算机程序,该计算机程序在被处理器执行时实现根据本公开实施例中任一的方法。
本公开通过结合目标对象的行为检测结果和序列检测结果,确定目标对象的检测结果的方式,能够综合考虑该目标对象在多个维度的信息,确定目标对象的检测结果,从而提高目标对象的检测结果的准确性。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1是根据本公开实施例的应用场景示意图;
图2是根据本公开一实施例的一种检测方法的实现流程图;
图3A是根据本公开一实施例的检测方法的示意图;
图3B是根据本公开一实施例的确定目标对象检测结果的示意图;
图4A是根据本公开一实施例的确定行为检测结果的示意图一;
图4B是根据本公开一实施例的确定行为检测结果的示意图二;
图5是根据本公开一实施例的获取目标对象的检测结果的示意图;
图6是根据本公开一实施例的有监督检测模型的训练方法的实现流程图;
图7是根据本公开一实施例的检测装置700的结构示意图;
图8是根据本公开一实施例的检测装置800的结构示意图;
图9是根据本公开一实施例的有监督检测模型的训练装置900的结构示意图;
图10示出了可以用来实施本公开的实施例的示例电子设备1000的示意性框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
本公开实施例的“和/或”表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。本文中术语“第一”、“第二”表示指代多个类似的技术用语并对其进行区分,并不是限定顺序的意思,或者限定只有两个的意思,例如,第一特征和第二特征,是指代有两类/两个特征,第一特征可以为一个或多个,第二特征也可以为一个或多个。
近年来,随着计算机技术的快速发展,侵犯互联网安全的异常对象也在逐渐增多,如何准确地检测出各种异常对象逐渐成为了人们重点关注的问题。
目前现有的检测异常对象的方法可以包括:
基于目标对象对应的单个指标数据(如目标对象在互联网平台中针对任一按键的点击次数)的异常程度,确定该异常对象的异常程度;或者,基于该目标对象的历史操作行为统计数据(如在历史时间段内,该目标对象在互联网平台中的全部操作行为)的异常程度,确定该目标对象的异常程度。
但是,如果仅基于目标对象对应的单个指标数据的异常程度,确定该异常对象的异常程度,那么可能会存在因为检测数据的维度过少,而导致的检测结果准确性过低的问题;以及,检测数据的收集难度过大,而导致的检测异常对象所需的计算时间过长和消耗资源过多的问题;或者,如果基于该目标对象的历史操作行为统计数据的异常程度,确定该目标对象的异常程度,还可能会存在由于检测数据的细粒度不够,而导致的检测结果准确性过低的问题。
因此,目前现有的检测出异常对象的方法无法高效、快捷且准确地检测出异常对象。
为了解决上述问题,本公开实施例提出了一种检测方法。图1是根据本公开实施例的应用场景示意图,如图1所示,本公开实施例的应用场景示意图可以包括但不限于行为序列采集装置110和目标对象检测装置120,该行为序列采集装置110和目标对象检测装置120之间可以通过任意类型的有线或无线网络进行通信。具体地,该行为序列采集装置110可以用于采集并发送目标对象的行为序列,该行为序列可以包括目标对象的一个或多个操作行为;目标对象检测装置120可以用于接收目标对象的行为序列,并基于该目标对象的行为序列,确定目标对象的检测结果(即确定目标对象属于异常对象的概率)。其中,本公开实施例提出的行为序列采集装置110包括但不限于手机、电脑、智能语音交互设备、智能家电、车载终端、游戏主机、电子书阅读器、多媒体播放设备、可穿戴设备等电子设备;目标对象检测装置120可以包括用于为行为序列采集装置110提供后台管理的电子设备或服务器。此外,本公开实施例并不对行为序列采集装置110的数量进行具体的限制,例如,本公开实施例的应用场景示意图可以包括一个或多个行为序列采集装置110。
图2是根据本公开一实施例的一种检测方法的实现流程图,包括:
S210、获取目标对象的行为序列,该行为序列包括该目标对象的N个操作行为;N为正整数;
S220、分别将各个操作行为输入对应的行为检测模型,以得到该目标对象的行为检测结果;并将行为序列输入序列检测模型,由序列检测模型输出该行为序列的序列检测结果;
S230、利用行为检测结果和序列检测结果,确定该目标对象的检测结果。
采用目标对象的多个操作行为的检测结果(即行为检测结果)和行为序列检测结果(即序列检测结果)确定目标对象的检测结果的方式,能够结合多个维度的数据确定该目标对应的检测结果,提高检测的正确率。
在一些实施例中,本公开实施例提出的目标对象可以包括但不限于正常使用互联网应用和平台的个体、群体或聊天机器人等。
另外,本公开实施例提出的行为检测结果用于表征目标对象的任一操作行为属于异常操作行为的概率;
序列检测结果用于表征目标对象的行为序列属于异常行为序列的概率;
检测结果用于表征目标对象属于异常对象的概率。
其中,该异常对象可以包括侵犯互联网安全的个体、群体或聊天机器人等。
在一些示例中,针对目标对象的行为检测结果,以目标对象的行为检测结果为[0,1]范围内的实数为例,如果目标对象的行为检测结果为0,则认为对该目标对象的检测结果是:目标对象的任一操作行为属于异常操作行为的概率为0。
针对目标对象的序列检测结果,以目标对象的序列检测结果为[0,1]范围内的实数为例,如果目标对象的序列检测结果为1,则认为该目标对象的检测结果是:目标对象的行为序列属于异常行为序列的概率为1。
针对目标对象的检测结果,以目标对象的检测结果为[0,1]范围内的实数为例,如果目标对象的检测结果为0.3,则认为该目标对象的检测结果是:目标对象属于异常对象的概率为0.3。那么此时,如果将检测结果大于或等于0.5的目标对象设置为异常对象,那么此时可以将上述目标对象(即检测结果为0.3的目标对象)确定为正常对象。
分别采用目标对象的行为检测结果、目标对象的序列检测结果和目标对象的检测结果,反映该目标对象的任一操作行为属于异常操作行为的概率、行为序列属于异常行为序列的概率、以及属于异常对象的概率,能够提高本公开实施例提出的检测方法的效率和准确率,此外,还能够在一定程度上避免由于检测方法的细粒度不够,而导致的将异常对象检测为正常对象的可能性。
需要说明是,在一些实施方式中,本公开实施例提出的检测方法中,如何确定目标对象的检测结果是本公开实施例重点考虑和解决的问题。因此,本公开以下内容将对如何获取目标对象的检测结果进行详细说明。
具体地,本公开实施例可以依次执行以下步骤,以实现本公开实施例提出的检测方法,进而达到检测异常对象的目的。
步骤一、获取目标对象的行为序列。
具体地,本公开实施例可以先采集该目标对象在互联网平台上的N个操作行为,再将该N个操作行为进行聚合,进而形成该目标对象的行为序列。
其中,该目标对象的操作行为可以包括目标对象对应的单值指标数据,例如,目标对象与互联网平台之间任一类型的交互行为(如访问互联网平台的页面、使用互联网平台的任意一个功能(如支付功能、聊天功能或理财功能等))、或者目标对象与互联网平台之间交互行为所产生的任一类型的数据信息(如目标对象登录互联网平台所需的登录信息(如登录验证码、登录密码、登录名)、目标对象针对互联网平台任一按键的点击次数、以及目标对象针对任一互联网平台所消耗的时间等);该目标对象的行为序列可以包括目标对象在历史时间段内对应的特征数据(如一维特征数据,即目标对象在历史时间段内的任一单值指标数据、或者多维特征数据,即目标对象在历史时间内的多个单值指标数据),例如,目标对象在历史时间段内,一个互联网平台的多个操作行为。
当然,本公开实施例并不限制该操作行为所涉及的互联网平台或应用的个数,因此,本公开实施例提出目标对象的行为序列还可以包括目标对象在历史时间段内,对象的多个互联网平台的操作行为。
步骤二、确定行为检测结果和序列检测结果。
在一些实施方式中,本公开实施例在获取目标对象的行为序列(即目标对象的N个操作行为)之后,可以基于该目标对象的行为序列对该目标序列进行检测,进而得到该目标对象的检测结果,即该目标对象属于异常对象的概率。
需要说明的是,在现有技术中,当需要确定目标对象是否属于异常对象时,通常是使用预训练的序列检测模型来检测该目标对象的行为序列是否属于异常行为序列,进而确定该目标对象是否属于异常对象;或者,使用预训练的行为检测模型来检测该目标对象的任一操作行为是否属于异常操作行为,进而确定该目标对象是否属于异常对象。
然而,上述用于检测异常对象的方式往往会由于检测数据的单一性(即用于检测目标对象的数据仅包含目标对象的行为序列或目标对象的任一操作行为),而导致的检测准确率过低的问题。
因此,如图3A所示,为了解决上述问题,本公开实施例提出了先分别确定行为检测结果和序列检测结果,再将该行为检测结果和序列检测结果进行结合,进而确定目标对象检测结果的方法。
图3B是根据本公开一实施例的确定目标对象检测结果的示意图。如图3B所示,本公开实施例提出的确定目标对象检测结果的需要先获取目标对象的行为检测结果和目标对象的序列检测结果。本公开实施例以下内容,将对如何确定行为检测结果和序列检测结果进行详细说明。
(一)获取目标对象的行为检测结果。
通常情况下,在需要对目标对象的各个操作行为进行检测(即获取目标对象的行为检测结果)时,一般会使用预先训练的行为检测模型,来检测该目标对象的各个操作行为是否属于异常操作行为,然而,这种方法也存在一些问题,例如,在行为检测模型的训练阶段,通常需要采用大量正常操作行为和异常操作行为作为用于训练行为检测模型的训练样本。但是,实际情况下,获取异常操作行为的过程相对困难,且也难以获得大量真实的异常操作行为。
因此,目前现有的行为检测模型的训练样本集往往是由大量真实的正常操作行为和少量真实的异常操作行为、或者大量真实的正常操作行为和大量不真实的异常操作行为构成的。也正因如此,现有的获取行为检测模型的训练样本集往往会存在费时费力,或者准确性低的问题。那么,基于该行为检测模型的训练样本集,训练得到的行为检测模型,也会存在费时费力且检测准确性低的问题。
为了解决上述问题,本公开实施例提出了一种获取行为检测结果的方法,图4A是根据本公开一实施例的确定行为检测结果的示意图一。
如图4A所示,本公开实施例提出的确定行为检测结果的方法可以包括:
分别将各个操作行为输入对应的行为检测模型,以得到目标对象的行为检测结果。
但是,需要说明的是,为了避免将操作行为输入不对应的行为检测模型,而导致检测结果准确性较低的问题,本公开实施例提出的检测方法在将各个操作行为输入对应的行为检测模型之前,还包括:
确定各个操作行为对应的行为检测模型。
在将各个操作行为输入对应的行为检测模型之前,确定各个操作行为对应的行为检测模型,能够使得后续确定各个操作行为对应的检测结果时,更方便、快捷、以及准确率更高,进而提高目标对象检测的效率和准确率。
具体地,该确定操作行为对应的行为检测模型,包括:
确定操作行为所属的类型;该类型包括登录名、登录密码、登录验证码和浏览页面中的至少之一;
根据操作行为所属的类型,确定操作行为对应的行为检测模型;其中,每个行为检测模型与一个操作行为的类型相对应。
例如,如果该操作行为所属的类型包括登录名,那么此时可以确定与登录名所对应的行为检测模型。其中,该与登录名相对应的行为检测模型可以利用多个样本对象的登录名训练得到。
当然,需要说明的是本公开实施提出的操作行为的类型仅为示例,例如,该操作行为的类型还可以包括使用互联网平台的任一类型的功能(如支付功能、聊天功能或理财功能等)、点击互联网平台的任一按键、以及访问任一互联网平台等。
基于各个操作行为的类型,确定各个操作行为对应的行为检测模型,能够使得利用行为检测模型得到的各个操作行为的检测结果更准确,进而提高后续基于各个操作行为的检测结果,而得到的目标对象的检测结果的准确性。
此外,为了减少确定目标对象检测结果所需的计算资源和时间,本公开实施例还提出了利用大量无标签的真实操作行为(如大量无标签的真实正常操作行为和少量无标签的真实异常操作行为),获取行为检测模型,即利用大量无标签的真实操作行为,得到用于检测操作行为的无监督检测模型;和/或,利用少量有标签的真实操作行为(如有标签的真实正常操作行为和有标签的真实异常操作行为,该标签用于表征该操作行为属于正常操作行为和/或异常操作行为),确定行为检测模型,即利用少量有标签的真实操作行为,得到用于检测操作行为的有监督检测模型。也就是说,如图4B所示,本公开实施例还提出了行为检测模型包括无监督检测模型和/或有监督检测模型。
采用无监督检测模型和/或有监督检测模型作为行为检测模型,能够在一定程度上解决现有技术中用于训练行为检测模型的训练样本不够多或者获取训练样本时所需的计算资源较多和时间较长的问题,进而能够提高检测方法的细粒度、资源利用率和准确性。
那么,基于上述内容,本公开实施提出的分别将各个操作行为输入对应的行为检测模型,以得到目标对象的行为检测结果可以包括以下两种情况:第一种情况,行为检测模型包括无监督检测模型;以及,第二种情况行为检测模型包括有监督检测模型。
本公开实施例以下内容将分别说明在上述两种情况下,如何确定目标对象的行为检测结果。
第一种情况:行为检测模型包括无监督检测模型。
具体地,在行为检测模型包括无监督检测模型的情况下,分别将各个操作行为输入对应的行为检测模型,以得到目标对象的行为检测结果,包括:
将各个操作行为输入对应的无监督检测模型,由无监督检测模型输出针对各个操作行为的至少一个第一输出结果;
利用至少一个第一输出结果,确定目标对象的第一行为检测结果;其中,
第一输出结果用于表征操作行为属于异常操作行为的概率;第一行为检测结果根据各个第一输出结果对应的中位数、众数和平均数中的至少之一确定。
举例说明,如果该目标对象的操作行为包括[操作行为1、操作行为2、操作行为3、…、操作行为N],那么此时可以分别将[操作行为1、操作行为2、操作行为3、…、操作行为N]输入对应的无监督检测模型,即分别将该操作行为1输入对应的无监督检测模型1、操作行为2输入对应的无监督检测模型2、操作行为3输入对应的无监督检测模型3、…、操作行为N输入对应的无监督检测模型N,以得到无监督检测模型1针对操作行为1的第一输出结果l1、无监督检测模型2针对操作行为2的第一输出结果l2、无监督检测模型3针对操作行为3的第一输出结果l3、…、无监督检测模型N针对操作行为N的第一输出结果lN,并基于该第一输出结果l1、第一输出结果l2、第一输出结果l3、…、第一输出结果lN的中位数、众数和平均数中的至少之一,确定该目标对象的第一行为检测结果。例如,如果第一输出结果l1、第一输出结果l2、第一输出结果l3、…、第一输出结果lN对应的中位数为第一输出结果l1,那么可以将该第一输出结果l1作为该目标对象的第一行为检测结果;或者,如果第一输出结果l1、第一输出结果l2、第一输出结果l3、…、第一输出结果lN对应的平均数为l′,那么可以将l′作为该目标对象的第一行为检测结果。
另外,如果将多个目标对象的与该无监督检测模型对应的操作行为输入该无监督检测模型,那么此时,该无监督检测模型可以输出针对各个与该无监督检测模型对应的操作行为的第一输出结果。例如,如果多个目标对象与该无监督检测模型对应的操作行为包括[操作行为1、操作行为2、…、操作行为M],那么此时该无监督检测模型输出的针对各个与该无监督检测模型对应的操作行为的第一输出结果包括此外,该无监督检测模型针对各个操作行为的第一输出结果的排列顺序可以根据各个操作行为属于异常操作行为的概率确定。例如,按照操作行为属于异常操作行为的概率,对多个第一输出结果进行排序。
本公开实施例提出的无监督检测模型可以采用真实的操作行为训练得到,无需确定该真实的操作行为是属于异常操作行为还是属于正常操作行为。因此,无监督检测模型的训练过程不仅所需计算资源较少,而且具有较高的准确性。也正因此,采用无监督检测模型得到的第一行为检测结果的过程不仅不需要消耗太多计算资源,而且检测得到的第一行为检测结果还具有准确率较高的特点。
一示例中,上述无监督检测模型可以包括基于Transformer的自编码(AE,Anto-encoder)模型;
无监督检测模型基于对应类型的多个操作行为训练得到。
自编码模型具有泛化性较强的优点,因此采用基于Transformer的自编码模型作为无监督模型时,可以利用原始的真实操作行为训练用于检测操作行为的无监督检测模型,即采用基于Transformer的自编码模型作为无监督模型时,无需对大量的真实操作行为进行标注(即确定真实操作行为属于异常操作行为或者异常操作行为的标签),因此,本公开实施例提出的多个操作行为可以包括无标签的真实操作行为。也正因如此,采用基于Transformer的自编码模型作为无监督模型时,能够减少确定无监督检测模型所需的计算资源和时间,提高检测方法的效率。此外,由于Transformer具有长距离依赖建模的能力,还能够使无监督检测模型能够同时考虑全局信息。
进一步地,如果在该无监督检测模型包括基于Transformer的自编码模型的情况下,该将操作行为输入对应的无监督检测模型,由对应的无监督检测模型输出针对该操作行为的第一输出结果,包括:
将该操作行为输入对应的无监督检测模型,并由无监督检测模型的编码层将该操作行为进行降维操作,降维操作后操作行为对应的维度小于或等于该操作行为的原始维度;由无监督检测模型的解码层将该操作行为进行重构操作,重构操作后的操作行为对应的维度等于该操作行为的原始维度;由计算重构操作后的操作行为和原始操作行为(即输出无监督检测模型的操作行为)之间的误差,并基于该误差,确定该操作行为的第一行为检测结果。具体地,如果该操作行为对应的误差越大,那么基于该第一行为检测结果确定的该操作行为属于异常操作行为的概率越大;或者,如果该操作行为对应的误差越小,那么基于该第一行为检测结果确定的操作行为属于异常操作行为的概率越小。
针对上述内容,如果该操作行为输入对应的无监督检测模型时,该操作行为的维度是256维度,由无监督检测模型的编码层将该操作行为进行降维操作,该降维操作后的操作行为维度是10维度,由无监督检测模型的解码层将该操作行为进行重构操作,即将该10维度的操作行为重构为256维度的操作行为,以得到重构操作后的操作行为,并计算该重构操作后的操作行为和输入无监督检测模型的操作行为之间的误差,并基于该误差确定操作行为的第一行为检测结果。
第二种情况:行为检测模型包括有监督检测模型。
具体地,在行为检测模型包括无监督检测模型的情况下,分别将各个操作行为输入对应的行为检测模型,以得到目标对象的行为检测结果,包括:
将各个操作行为输入对应的有监督检测模型,由有监督检测模型输出针对各个操作行为的第二输出结果;
利用各个第二输出结果,确定目标对象的第二行为检测结果;其中,
第二输出结果用于表征操作行为属于异常操作行为的概率,第二行为检测结果根据各个第二输出结果对应的中位数、众数和平均数中的至少之一确定。
举例说明,如果该目标对象的操作行为包括[操作行为1、操作行为2、操作行为3、…、操作行为N],那么此时可以分别将[操作行为1、操作行为2、操作行为3、…、操作行为N]输入对应的有监督检测模型,即分别将该操作行为1输入对应的有监督检测模型1、操作行为2输入对应的有监督检测模型2、操作行为3输入对应的有监督检测模型3、…、操作行为N输入对应的有监督检测模型N,以得到有监督检测模型1针对操作行为1的第二输出结果p1、有监督检测模型2针对操作行为2的第二输出结果p2、有监督检测模型3针对操作行为3的第二输出结果p3、…、有监督检测模型N针对操作行为N的第二输出结果pN,并基于该第二输出结果p1、第二输出结果p2、第二输出结果p3、…、第二输出结果pN的中位数、众数和平均数中的至少之一,确定该目标对象的第二行为检测结果。例如,如果第二输出结果p1、第二输出结果p2、第二输出结果p3、…、第二输出结果pN对应的中位数为第二输出结果p1,那么可以将该第二输出结果p1作为该目标对象的第二行为检测结果;或者,如果第二输出结果p1、第二输出结果p2、第二输出结果p3、…、第二输出结果pN对应的平均数为p′,那么可以将p′作为该目标对象的第二行为检测结果。
另外,如果将多个目标对象与该有监督检测模型对应的操作行为输入该有监督检测模型,那么此时,该有监督检测模型可以输出针对各个与该有监督检测模型对应的操作行为的第二输出结果。例如,如果多个目标对象与该有监督检测模型对应的操作行为为[操作行为1、操作行为2、…、操作行为M],那么此时该有监督检测模型输出的针对各个与该有监督检测模型对应的操作行为的第二输出结果包括此外,该有监督检测模型针对各个操作行为的第二输出结果的排列顺序可以根据各个操作行为属于异常操作行为的概率确定。例如,按照操作行为属于异常操作行为的概率,对多个第一输出结果进行排序。
进一步地,本公开实施例提出的有监督检测模型可以基于预训练大语言模型训练得到。
那么基于此,本公开实施例可以仅采用少量有标签的真实操作行为对预训练大语言模型进行训练,进而得到有监督检测模型。因此,本公开实施例提出的有监督检测模型无需获取大量有标签的真实操作行为、以及大量有标签的人造操作行为训练得到,进而能够减少检测方法所需的计算资源和时间,提高检测方法的检测准确率和效率。
以上内容,简单介绍了如何获取目标对象的行为检测结果。以下内容将对如获取目标对象的序列检测结果进行详细说明。
(二)获取目标对象的序列检测结果
通常情况下,在需要对目标对象的各个行为序列进行检测(即获取目标对象的序列检测结果)时,一般会使用预先训练获取的序列检测模型,来检测该目标对象的行为序列是否属于异常行为序列,然而,这种方法也存在一些问题,例如,在序列检测模型的训练阶段,通常需要采用大量正常行为序列和异常行为序列作为用于训练检测模型的样本。但是,实际情况下,获取异常行为序列的过程相对困难,且也难以获得大量真实的异常行为序列。
因此,目前现有的序列检测模型的训练样本集往往是由大量真实的正常行为序列和少量真实的异常行为序列构成的、或者大量真实的正常行为序列和大量不真实的异常行为序列构成的。也正因如此,现有的获取序列检测模型的训练样本集往往会存在费时费力,或者准确性低的问题。那么,基于该序列检测模型的训练样本集,训练得到的序列检测模型,也会存在仅费时费力且检测准确性低的问题。
为了解决上述问题,本公开实施例提出了一种序列检测模型,
序列检测模型包括基于转换(Transformer)的自编码模型;
序列检测模型基于多个样本对象的行为序列训练得到。
自编码模型具有泛化性较强的优点,因此采用基于Transformer的自编码模型作序列检测模型时,可以利用原始的真实操作序列训练用于检测行为序列的序列检测模型,即采用基于Transformer的自编码模型作为序列检测模型时,因此,本公开实施例提出的多个样本对象的行为序列包括大量无标签的真实行为序列(如大量无标签的真实正常行为序列和少量无标签的真实异常行为序列)。也正因如此,采用基于Transformer的自编码模型作为序列检测模型时,能够降低确定序列检测模型所需的计算资源和时间,提高检测方法的效率。此外,由于Transformer具有长距离依赖建模的能力,还能够使序列检测模型能够同时考虑全局信息。
举例说明,如果该行为序列输入对应的序列检测模型时,该行为序列的维度是128维度,由序列检测模型的编码层将该行为序列进行降维操作,该降维操作后的行为序列的维度是5维度,之后由序列检测模型的解码层将该行为序列进行重构操作,即将该5维度的行为序列重构为128维度的行为序列,以得到重构操作后的行为序列,并计算该重构操作后的行为序列和输入序列检测模型的行为序列之间的误差,并基于该误差确定行为序列的第二行为检测结果。具体地,如果该行为序列对应的误差越大,那么基于该第二行为检测结果确定的该行为序列属于异常行为序列的概率越大;或者,如果该行为序列对应的误差越小,那么基于该第二行为检测结果确定的该行为序列属于异常行为序列的概率越小。
另外,如果将多个目标对象与该行为序列检测模型对应的行为序列输入该行为序列检测模型,那么此时,该行为序列检测模型可以输出针对各个与该行为序列检测模型对应的行为序列的第二行为检测结果。例如,如果多个目标对象与该行为序列检测模型对应的行为序列为[行为序列1、行为序列2、…、行为序列M],那么此时该行为序列检测模型输出的针对各个与该行为序列检测模型对应的行为序列的第一输出结果包括 此外,该序列检测模型针对各个行为序列的序列检测结果的排列顺序可以根据各个行为序列属于异常行为序列的概率确定。例如,按照行为序列属于异常操作行为的概率,对多个第一输出结果进行排序。
本公开实施例提出的序列检测模型可以采用真实的行为序列训练得到,无需确定该真实的行为序列是属于异常行为序列还是属于正常行为序列。因此,该序列检测模型的训练过程不仅所需计算资源较少,而且具有较高的准确性。
需要说明的是,本公开实施例并不限制确定行为检测结果和序列检测结果的先后顺序,以上仅为示例。以上内容,简单介绍了如何获取目标对象的行为检测结果和序列检测结果。以下内容将对如何获取目标对象的检测结果进行详细说明。
步骤三、基于行为序列检测结果和目标序列检测结果,获取目标对象的检测结果。
图5是根据本公开一实施例的获取目标对象的检测结果的示意图,如图5所示,该利用行为检测结果和序列检测结果,确定目标对象的检测结果,包括:
根据行为检测结果和序列检测结果,确定目标对象的特征信息;
对特征信息进行归一化处理,以得到归一化处理后的特征信息;并确定归一化处理后的特征信息对应的权重;
利用归一化处理后的特征信息以及处理后的特征信息对应的权重,确定目标对象的检测结果。
一示例中,目标对象的特征信息,包括以下至少之一:
目标对象的序列检测结果;
目标对象的第一行为检测结果;
目标对象的第二行为检测结果;
目标对象的第一输出结果中,满足第一预设条件的第一输出结果的数量;满足第一预设条件的第一输出结果的包括大于或等于第一预设阈值的第一输出结果;
目标对象的第二输出结果中,满足第二预设条件的第二输出结果的数量;满足第二预设条件的第二输出结果的包括大于或等于第一预设阈值的第二输出结果。
其中,如果行为检测结果、目标对象的第一行为检测结果和目标对象的第二行为检测结果可以包括[0,1]范围内的实数。
另外,该第一阈值和第二阈值可以根据预先确定的检测异常操作行为的规则设置。具体地,如果第一输出结果为[0,1]范围内的实数,且设置大于或等于0.5的第一输出结果对应的操作行为属于异常操作行为,那么此时可以将第一阈值设置为0.5;或者,如果第二输出结果为[0,1]范围内的实数,且设置大于或等于0.5的第二输出结果对应的操作行为属于异常操作行为,那么此时可以将第二阈值也设置为0.5。
例如,如果第一输出结果为[0,1]范围内的实数,第一阈值为0.5,该目标对象各个操作行为的第一输出结果中大于或等于0.5的第一输出结果有20个,小于0.5的第一输出结果有15个,那么此时可以将该满足第一预设条件的第一输出结果的数量确定为20;或者,如果第二输出结果为[0,1]范围内的实数,第二阈值为0.5,该目标对象各个操作行为的第二输出结果中大于或等于0.5的第二输出结果有13个,小于0.5的第二输出结果有7个,那么此时可以将该满足第二预设条件的第二输出结果的数量确定为13。
该特征信息能够包含该目标对应在多个维度内的特性,因此,基于该特征信息确定的目标对象的检测结果,能够综合表示该目标对象在各个维度属于异常对象的概率,能够有利于后续互联网平台快速、准确地基于该目标对象的检测结果做出响应。
进一步地,基于上述内容,以该特征信息包括[f、l、p、i、j](f为目标对象的序列检测结果、l为目标对象的第一行为检测结果、p为目标对象的第一行为检测结果、i为满足第一预设条件的第一输出结果的数量、以及j为满足第二预设条件的第二输出结果的数量)为例,该利用行为检测结果和序列检测结果,确定目标对象的检测结果,包括:先将各个特征信息进行归一化处理,以得到归一化处理后的特征信息[f′、l′、p′、i′、j′]。一示例中,可以采用逻辑回归模型对该特征信息进行归一化处理。
之后,再确定各个归一化处理后的特征信息对应的权重,并基于利用归一化处理后的特征信息以及处理后的特征信息对应的权重,确定目标对象的检测结果。例如,如果该f′对应的权重为y1、l′对应的权重为y2、p′对应的权重为y3、i′对应的权重为y4、以及j′对应的权重为y5,那么此时可以将采用以下公式确定目标对象的检测结果:
目标对象的检测结果=f′×y1+l′×y2+p′×y3+i′×y4+j′×y5
当然,需要说明的是上述确定目标对象检测结果的方式仅为示例,本公开实施例并不限制确定该目标对象检测结果的具体方式,例如,还可以采用各个归一化处理后的特征信息中的中位数、众数或平均数,作为该目标对象的检测结果。
上述权重能够表征各个特征信息在目标对象检测结果中所占的比重,采用该权重和归一化处理后的特征信息,确定出的目标对象的检测结果能够综合该目标对象的全局信息,进而提高基于该检测结果确定出异常对象的准确率。
以上内容,简单介绍了如何获取目标对象的检测结果。
进一步地,本公开实施例还可以基于检测方法确定的目标对象的检测结果,对该行为检测模型和/或序列检测进行调整。
具体地,在基于该检测方法确定任一目标对象属于异常对象之后,如果基于现有的信息可以确定该目标对象并非异常对象,那么此时可以将删除该目标对象,并再次对该行为检测模型和/或序列检测模型进行重新训练,进而提高检测方法的准确率。
例如,如果该行为检测模型包括自监督检测模型,那么确定任一目标对象属于异常对象之后,如果利用预先表示的信息可以确定该目标对象并非异常对象,那么此时可以将该目标对象删除,重新确定少量有标签的操作行为(该标签用于表征该操作行为属于正常操作行为和/或异常操作行为)和大量无标签的操作行为,并基于该重新确定的少量有标签的操作行为对该自监督检测模型进行调整,以得到调整后的自监督检测模型;以及,利用大量无标签的操作行为对序列检测模型进行调整,以得调整后的序列检测模型。
此外,本公开实施例提出的检测方法在确定目标对象的检测结果时,该行为检测结果可以利用有监督检测模型和/或无监督模型确定。因此,本公开实施例还提出了一种有监督检测模型的训练方法。
图6是根据本公开一实施例的有监督检测模型的训练方法的实现流程图,包括:
S610、获取样本对象的样本操作行为、以及样本操作行为的标签信息;样本操作行为的标签信息包括样本操作行为正常和/或样本操作行为异常;
S620、将样本操作行为输入待训练的有监督检测模型,由待训练的有监督检测模型输出样本操作行为的第一行为检测结果;
S630、根据样本操作行为的第一行为检测结果和标签信息,对待训练的有监督检测模型进行参数调整,以得到训练后的有监督检测模型。
本公开实施例可以利用样本操作行为的第一行为检测结果和标签信息计算损失函数,并基于损失函数对待训练的有监督检测模型进行参数调整,以得到训练后的有监督检测模型。利用样本操作行为的第一行为检测结果和标签信息计算损失函数样本操作行为的第一行为检测结果和标签信息之间的误差相关,二者的差越大,对应的损失函数越大;采用这种方式确定的损失函数,能加快待训练的有监督检测模型的收敛速度,提高待训练的有监督检测模型的训练速度。
此外,为了降低训练有监督检测模型所需的计算资源和计算时间,本公开实施例提出的待训练的有监督检测模型可以包括基于少量操作行为,训练得到的,能够检测操作行为是否属于异常操作行为的预训练大语言模型,即该待训练的有监督检测模型包括预训练大语言模型。
在一些实施方式中,可以采用少量的操作行为,获取效果较为合适的预训练大语言模型。虽然,该预训练大语言模型可以检测该操作行为是否属于异常操作行为的准确率大约为90%,但是由于确定该预训练大语言模型时,不仅所需的训练样本较少,而且训练时间和训练所需资源也较少,所以该预训练大语言模型可以检测该操作行为是否属于异常操作行为的准确率大约为90%属于可接受范围。
因此,基于预训练大语言模型(即可以检测该操作行为是否属于异常操作行为的准确率大约为90%的模型)作为待训练的有监督检测模型,可以使得本公开实施例能够利用更少的计算资源和计算时间,获取准确率更高的训练后的有监督检测模型,有利于提高基于该训练后的有监督检测模的检测方法的准确性。
也正因如此,本公开实施例还需要基于该预训练大语言模型(即待训练的有监督检测模型)继续进行训练,进而基于该有监督检测模型的检测方法的准确性。
具体地,在待训练的有监督检测模型包括预训练大语言模型的情况下,对待训练的有监督检测模型进行参数调整,包括:
对待训练的有监督检测模型进行针对预定参数的轻量级微调操作;和/或,
对待训练的有监督检测模型进行针对全参数的调整操作。
通常情况下,可以基于第一行为检测结果和标签信息,对待训练的有监督检测模型(即预训练大语言模型)进行全量参数调整,提高待训练的有监督检测模型的准确性,进而得到训练后的有监督检测模型。但是,基于第一行为检测结果和标签信息对待训练的有监督检测模型(即预训练大语言模型)进行全量参数调整时,不仅会存在所需时间较长、以及所需计算资源较多的问题,而且也无法使得训练后的有监督检测模型具有更好的准确性。
因此,本公开实施例提出了对待训练的有监督检测模型进行针对预定参数的轻量级微调操作。其中,该轻量级微调操作可以包括LoRA、AdaLoRA、QLoRA和p-turing等。
例如,如果该轻量级微调操作包括LORA,那么此时可以先基于该LORA将待训练的有监督检测模型中的全量参数分为可训练参数和固定参数。其中,该可训练参数的维度远远小于全量参数的维度。之后,再基于该有监督检测模型,对待训练的有监督检测模型(即预训练大语言模型)的可训练参数进行调整,进而得到训练后的有监督检测模型。
采用对待训练的有监督检测模型进行针对预定参数的轻量级微调操作,以得到训练后的有监督检测模型的方法,能够通过调整待训练的有监督检测模型的较少参数,获取性能较好的训练后的有监督检测模型(即训练后的有监督检测模型得到的目标对象的第一行为检测结果的准确率较高),进而降低获取训练后的有监督检测模型所需的计算资源和计算时间。
本公开实施例还提出一种检测装置,图7是根据本公开一实施例的检测装置700的结构示意图,包括:
第一获取模块710,用于获取目标对象的行为序列,行为序列包括目标对象的N个操作行为;N为正整数;
第二获取模块720,用于分别将各个操作行为输入对应的行为检测模型,以得到目标对象的行为检测结果;并将行为序列输入序列检测模型,由序列检测模型输出行为序列的序列检测结果;
第一确定模块730,用于利用行为检测结果和序列检测结果,确定目标对象的检测结果。
在一些实施方式中,行为检测结果用于表征目标对象的任一操作行为属于异常操作行为的概率;
序列检测结果用于表征目标对象的行为序列属于异常行为序列的概率;
检测结果用于表征目标对象属于异常对象的概率。
在一些实施方式中,第一确定模块730,用于:
根据行为检测模型的数量、行为检测结果和序列检测结果,确定目标对象的特征信息;
对特征信息进行归一化处理,以得到归一化处理后的特征信息;并确定归一化处理后的特征信息对应的权重;
利用归一化处理后的特征信息以及处理后的特征信息对应的权重,确定目标对象的检测结果。
在一些实施方式中,行为检测模型包括无监督检测模型和/或有监督检测模型。
在一些实施方式中,在行为检测模型包括无监督检测模型的情况下,第二获取模块720,用于:
将各个操作行为输入对应的无监督检测模型,由无监督检测模型输出针对各个操作行为的至少一个第一输出结果;
利用至少一个第一输出结果,确定目标对象的第一行为检测结果;其中,
第一输出结果用于表征操作行为属于异常操作行为的概率;第一行为检测结果根据各个第一输出结果对应的中位数、众数和平均数中的至少之一确定。
在一些实施方式中,在行为检测模型包括有监督检测模型的情况下,第二获取模块720,用于:
将各个操作行为输入对应的有监督检测模型,由有监督检测模型输出针对各个操作行为的第二输出结果;
利用各个第二输出结果,确定目标对象的第二行为检测结果;其中,
第二输出结果用于表征操作行为属于异常操作行为的概率,第二行为检测结果根据各个第二输出结果对应的中位数、众数和平均数中的至少之一确定。
在一些实施方式中,目标对象的特征信息,包括以下至少之一:
目标对象的序列检测结果;
目标对象的第一行为检测结果;
目标对象的第二行为检测结果;
目标对象的第一输出结果中,满足第一预设条件的第一输出结果的数量;满足第一预设条件的第一输出结果的包括大于或等于第一预设阈值的第一输出结果;
目标对象的第二输出结果中,满足第二预设条件的第二输出结果的数量;满足第二预设条件的第二输出结果的包括大于或等于第一预设阈值的第二输出结果。
图8是根据本公开一实施例的检测装置800的结构示意图,如图8所示,在一些实施方式中,在第二获取模块720之前,还包括:
第二确定模块840,用于确定各个操作行为对应的行为检测模型。
在一些实施方式中,第二确定模块840,用于:
确定操作行为所属的类型;类型包括登录名、登录密码、登录验证码和浏览页面中的至少之一;
根据操作行为所属的类型,确定操作行为对应的行为检测模型;其中,每个行为检测模型与一个操作行为的类型相对应。
在一些实施方式中,序列检测模型包括基于转换(Transformer)的自编码模型;
序列检测模型基于多个样本对象的行为序列训练得到。
本公开实施例还提出一种有监督检测模型的训练装置,图9是根据本公开一实施例的有监督检测模型的训练装置900的结构示意图,包括:
第三获取模块910,用于获取样本对象的样本操作行为、以及样本操作行为的标签信息;样本操作行为的标签信息包括样本操作行为正常和/或样本操作行为异常;
第四获取模块920,用于将样本操作行为输入待训练的有监督检测模型,由待训练的有监督检测模型输出样本操作行为的第一行为检测结果;
调整模块930,用于根据样本操作行为的第一行为检测结果和标签信息,对待训练的有监督检测模型进行参数调整,以得到训练后的有监督检测模型。
在一些实施方式中,待训练的有监督检测模型包括预训练大语言模型。
在一些实施方式中,在待训练的有监督检测模型包括预训练大语言模型的情况下,调整模块930,用于:
对待训练的有监督检测模型进行针对预定参数的轻量级微调操作;和/或,
对待训练的有监督检测模型进行针对全参数的调整操作。
本公开实施例的装置的各模块、子模块的具体功能和示例的描述,可以参见上述方法实施例中对应步骤的相关描述,在此不再赘述。
本公开的技术方案中,所涉及的用户个人的获取,存储和应用等,均符合相关法律法规的规定,且不违背公序良俗。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图10示出了可以用来实施本公开的实施例的示例电子设备1000的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字助理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图10所示,设备1000包括计算单元1001,其可以根据存储在只读存储器(ROM)1002中的计算机程序或者从存储单元1008加载到随机访问存储器(RAM)1003中的计算机程序,来执行各种适当的动作和处理。在RAM 1003中,还可存储设备1000操作所需的各种程序和数据。计算单元1001、ROM 1002以及RAM 1003通过总线1004彼此相连。输入/输出(I/O)接口1005也连接至总线1004。
设备1000中的多个部件连接至I/O接口1005,包括:输入单元1006,例如键盘、鼠标等;输出单元1007,例如各种类型的显示器、扬声器等;存储单元1008例如磁盘、光盘等;以及通信单元1009,例如网卡、调制解调器、无线通信收发机等。通信单元1009允许设备1000通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换/数据。
计算单元1001可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元1001的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元1001执行上文所描述的各个方法和处理,例如检测方法。例如,在一些实施例中,检测方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元1008。在一些实施例中,计算机程序的部分或者全部可以经由ROM 1002和/或通信单元1009而被载入和/或安装到设备1000上。当计算机程序加载到RAM 1003并由计算单元1001执行时,可以执行上文描述的检测方法的一个或多个步骤。备选地,在其他实施例中,计算单元1001可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行检测方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入、或者触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (19)
1.一种检测方法,包括:
获取目标对象的行为序列,所述行为序列包括所述目标对象的N个操作行为;所述N为正整数;
分别将各个所述操作行为输入对应的行为检测模型,以得到所述目标对象的行为检测结果;并将所述行为序列输入序列检测模型,由所述序列检测模型输出所述行为序列的序列检测结果;
利用所述行为检测结果和所述序列检测结果,确定所述目标对象的检测结果。
2.根据权利要求1所述的方法,其中,
所述行为检测结果用于表征所述目标对象的任一操作行为属于异常操作行为的概率;
所述序列检测结果用于表征所述目标对象的行为序列属于异常行为序列的概率;
所述检测结果用于表征所述目标对象属于异常对象的概率。
3.根据权利要求2所述的方法,其中,所述利用所述行为检测结果和所述序列检测结果,确定所述目标对象的检测结果,包括:
根据所述行为检测结果和所述序列检测结果,确定所述目标对象的特征信息;
对所述特征信息进行归一化处理,以得到归一化处理后的特征信息;并确定所述归一化处理后的特征信息对应的权重;
利用所述归一化处理后的特征信息以及所述处理后的特征信息对应的权重,确定所述目标对象的检测结果。
4.根据权利要求1-3中任一所述的方法,其中,所述行为检测模型包括无监督检测模型和/或有监督检测模型。
5.根据权利要求4所述的方法,其中,在所述行为检测模型包括所述无监督检测模型的情况下,所述分别将各个所述操作行为输入对应的行为检测模型,以得到所述目标对象的行为检测结果,包括:
将各个所述操作行为输入对应的无监督检测模型,由所述无监督检测模型输出针对各个所述操作行为的至少一个第一输出结果;
利用所述至少一个第一输出结果,确定所述目标对象的第一行为检测结果;其中,
所述第一输出结果用于表征所述操作行为属于异常操作行为的概率;所述第一行为检测结果根据各个所述第一输出结果对应的中位数、众数和平均数中的至少之一确定。
6.根据权利要求5所述的方法,其中,在所述行为检测模型包括所述有监督检测模型的情况下,所述分别将各个所述操作行为输入对应的行为检测模型,以得到所述目标对象的行为检测结果,包括:
将各个所述操作行为输入对应的有监督检测模型,由所述有监督检测模型输出针对各个所述操作行为的第二输出结果;
利用各个所述第二输出结果,确定所述目标对象的第二行为检测结果;其中,
所述第二输出结果用于表征所述操作行为属于异常操作行为的概率,所述第二行为检测结果根据各个所述第二输出结果对应的中位数、众数和平均数中的至少之一确定。
7.根据权利要求6所述的方法,其中,所述目标对象的特征信息,包括以下至少之一:
所述目标对象的序列检测结果;
所述目标对象的第一行为检测结果;
所述目标对象的第二行为检测结果;
所述目标对象的第一输出结果中,满足第一预设条件的第一输出结果的数量;所述满足第一预设条件的第一输出结果的包括大于或等于第一预设阈值的第一输出结果;
所述目标对象的第二输出结果中,满足第二预设条件的第二输出结果的数量;所述满足第二预设条件的第二输出结果的包括大于或等于第一预设阈值的第二输出结果。
8.根据权利要求1-7中任一所述的方法,其中,在所述分别将各个所述操作行为输入对应的行为检测模型之前,还包括:确定各个所述操作行为对应的行为检测模型。
9.根据权利要求8所述的方法,其中,确定所述操作行为对应的行为检测模型,包括:
确定所述操作行为所属的类型;所述类型包括登录名、登录密码、登录验证码和浏览页面中的至少之一;
根据所述操作行为所属的类型,确定所述操作行为对应的行为检测模型;其中,每个所述行为检测模型与一个操作行为的类型相对应。
10.根据权利要求1-9中任一所述的方法,其中,所述序列检测模型包括基于转换Transformer的自编码模型;
所述序列检测模型基于多个样本对象的行为序列训练得到。
11.根据权利要求4-7中任一所述的方法,其中,所述无监督检测模型包括基于Transformer的自编码模型;
所述无监督检测模型基于对应类型的多个操作行为训练得到。
12.一种有监督检测模型的训练方法,包括:
获取样本对象的样本操作行为、以及所述样本操作行为的标签信息;所述样本操作行为的标签信息包括所述样本操作行为正常和/或所述样本操作行为异常;
将所述样本操作行为输入待训练的有监督检测模型,由所述待训练的有监督检测模型输出所述样本操作行为的第一行为检测结果;
根据所述样本操作行为的第一行为检测结果和所述标签信息,对所述待训练的有监督检测模型进行参数调整,以得到训练后的有监督检测模型。
13.根据权利要求12所述的方法,其中,所述待训练的有监督检测模型包括预训练大语言模型。
14.根据权利要求13所述的方法,其中,在所述待训练的有监督检测模型包括预训练大语言模型的情况下,所述对所述待训练的有监督检测模型进行参数调整,包括:
对所述待训练的有监督检测模型进行针对预定参数的轻量级微调操作;和/或,
对所述待训练的有监督检测模型进行针对全参数的调整操作。
15.一种检测装置,包括:
第一获取模块,用于获取目标对象的行为序列,所述行为序列包括所述目标对象的N个操作行为;所述N为正整数;
第二获取模块,用于分别将各个所述操作行为输入对应的行为检测模型,以得到所述目标对象的行为检测结果;并将所述行为序列输入序列检测模型,由所述序列检测模型输出所述行为序列的序列检测结果;
第一确定模块,用于利用所述行为检测结果和所述序列检测结果,确定所述目标对象的检测结果。
16.一种有监督检测模型的训练装置,包括:
第三获取模块,用于获取样本对象的样本操作行为、以及所述样本操作行为的标签信息;所述样本操作行为的标签信息包括所述样本操作行为正常和/或所述样本操作行为异常;
第四获取模块,用于将所述样本操作行为输入待训练的有监督检测模型,由所述待训练的有监督检测模型输出所述样本操作行为的第一行为检测结果;
调整模块,用于根据所述样本操作行为的第一行为检测结果和所述标签信息,对所述待训练的有监督检测模型进行参数调整,以得到训练后的有监督检测模型。
17.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-14中任一项所述的方法。
18.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求1-14中任一项所述的方法。
19.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1-14中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311103147.9A CN117195120A (zh) | 2023-08-29 | 2023-08-29 | 一种检测方法、装置、设备以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311103147.9A CN117195120A (zh) | 2023-08-29 | 2023-08-29 | 一种检测方法、装置、设备以及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117195120A true CN117195120A (zh) | 2023-12-08 |
Family
ID=89002727
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311103147.9A Pending CN117195120A (zh) | 2023-08-29 | 2023-08-29 | 一种检测方法、装置、设备以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117195120A (zh) |
-
2023
- 2023-08-29 CN CN202311103147.9A patent/CN117195120A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114282670A (zh) | 神经网络模型的压缩方法、设备和存储介质 | |
CN112560996A (zh) | 用户画像识别模型训练方法、设备、可读存储介质及产品 | |
CN115145812B (zh) | 测试用例生成方法、装置、电子设备和存储介质 | |
CN113360711A (zh) | 视频理解任务的模型训练和执行方法、装置、设备及介质 | |
CN114881129A (zh) | 一种模型训练方法、装置、电子设备及存储介质 | |
CN116090544A (zh) | 神经网络模型的压缩方法、训练方法和处理方法、装置 | |
CN115496970A (zh) | 图像任务模型的训练方法、图像识别方法以及相关装置 | |
CN113657249B (zh) | 训练方法、预测方法、装置、电子设备以及存储介质 | |
CN113627361B (zh) | 人脸识别模型的训练方法、装置及计算机程序产品 | |
CN114742237A (zh) | 联邦学习模型聚合方法、装置、电子设备及可读存储介质 | |
CN111783883A (zh) | 一种异常数据的检测方法及装置 | |
CN115603955B (zh) | 异常访问对象识别方法、装置、设备和介质 | |
CN114724144B (zh) | 文本识别方法、模型的训练方法、装置、设备及介质 | |
CN116308634A (zh) | 基于行为序列和权重共享的双塔模型推荐方法及装置 | |
CN115982664A (zh) | 一种异常账户识别方法、装置、设备及存储介质 | |
CN113361621B (zh) | 用于训练模型的方法和装置 | |
CN115601042A (zh) | 信息识别方法、装置、电子设备及存储介质 | |
CN117195120A (zh) | 一种检测方法、装置、设备以及存储介质 | |
CN114548307A (zh) | 分类模型训练方法和装置、分类方法和装置 | |
CN113010782A (zh) | 需求量获取方法、装置、电子设备以及计算机可读介质 | |
CN115456167B (zh) | 轻量级模型训练方法、图像处理方法、装置及电子设备 | |
CN113360798B (zh) | 泛滥数据识别方法、装置、设备和介质 | |
CN116933896B (zh) | 一种超参数确定及语义转换方法、装置、设备及介质 | |
CN117649115A (zh) | 一种风险评估方法、装置、电子设备和存储介质 | |
CN117592618A (zh) | 一种活跃用户预测方法、装置、服务器和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |