CN117951553A

CN117951553A - 异常检测方法及装置、电子设备和存储介质

Info

Publication number: CN117951553A
Application number: CN202410069769.2A
Authority: CN
Inventors: 窦若彬
Original assignee: China Mobile Communications Group Co Ltd; China Mobile Group Tianjin Co Ltd
Current assignee: China Mobile Communications Group Co Ltd; China Mobile Group Tianjin Co Ltd
Priority date: 2024-01-17
Filing date: 2024-01-17
Publication date: 2024-04-30

Abstract

本公开公开了一种异常检测方法及装置、电子设备和存储介质，根据边预测器对硬结构信息及行为特征进行数据重构，得到软结构信息；将所述硬结构信息及所述软结构信息输入训练好的异常检测模型；基于所述异常检测模型对所述终端架构内的内部威胁进行异常检测，确定所述目标内部威胁。与相关技术相比，本公开通过边预测器将所述硬结构信息及行为特性结合，构建终端之间的潜在关联，提取软结构信息，解决了潜在交互的结构化信息缺失问题，并且通过元学习的训练方法得到训练好的异常检测模型，提高了异常检测模型的性能，可实现扩展有效检测到未标注的样本，并且极大的提升了内部威胁异常检测的准确率。

Description

异常检测方法及装置、电子设备和存储介质

技术领域

本公开涉及计算机技术领域，尤其涉及一种异常检测方法及装置、电子设备和存储介质。

背景技术

随着数据安全事件的频发，当前各行业的网络安全态势愈发严峻。然而，最具破坏力的安全威胁可能并不是外部攻击或恶意软件，而是源自可访问敏感数据和系统的内部员工造成的内部威胁(Insider Threats)。内部威胁主要是指企业的员工通过盗窃敏感数据、滥用访问权限或者欺诈等行为使得企业造成财产及声誉方面的负面影响。

目前，内部威胁异常检测方法，以Log2vec模型为例，Log2vec是一种基于异构图嵌入的网络威胁检测方法，包含图构建、图嵌入、攻击检测算法三部分。首先，通过基于规则的启发式方法构建包含日志记录间关系映射的异构图，其中，映射可以表示典型行为和恶意操作。在图嵌入部分，根据每个节点在异构图中的关系来学习它们的表示(向量)。向量化操作可以直接比较它们的相似性，从而发现异常。将正常的日志记录和恶意操作放到不同的族中，采用一种聚类方法来进行检测。最终通过设定阈值来识别恶意类别。

但是，现有的检测方法不仅忽略了之间的潜在关联，造成了潜在交互的结构化信息缺失，而且当有限的标记数据不断出现时，会降低深度学习模型的性能下降，进而无法扩展有效检测到未标注的样本。

发明内容

本公开提供了一种异常检测方法及装置、电子设备和存储介质。其主要目的在于解决现有的内部威胁异常检测方法不仅忽略了之间的潜在关联，造成了潜在交互的结构化信息缺失，而且当有限的标记数据不断出现时，会降低深度学习模型的性能下降，进而无法扩展有效检测到未标注的样本的问题。

根据本公开的第一方面，提供了一种异常检测方法，所述方法应用于计算机中，其中，包括：

根据边预测器对硬结构信息及行为特征进行数据重构，得到软结构信息，其中，所述硬结构信息为终端架构内的终端间的交互信息，所述行为特性为对所述终端的操作行为信息，所述软结构信息为所述终端间潜在交互的结构化信息；

将所述硬结构信息及所述软结构信息输入训练好的异常检测模型；

基于所述异常检测模型对所述终端架构内的内部威胁进行异常检测，确定所述目标内部威胁。

可选地，所述根据边预测器对硬结构信息及行为特征进行数据重构包括：

基于所述硬结构信息构建原始邻接矩阵，基于所述行为特性生成特性矩阵；

将所述原始邻接矩阵及所述特性矩阵输入所述边预测器，基于所述边预测器的编码器和解码器，生成边概率矩阵；

对所述边概率矩阵和所述原始邻接矩阵进行插值，得到目标邻接矩阵，所述目标邻接矩阵用于限制所述边预测器随机偏离原始邻接矩阵；

对所述目标邻接矩阵进行采样，得到不同的图变体邻接矩阵；

基于所述不同的图变体邻接矩阵构成各自对应的图变体；

基于所述图变体提取所述软结构信息。

可选地，在对所述目标邻接矩阵进行采样，得到不同的图变体邻接矩阵之后，所述方法还包括：

对所述边预测器的损失函数进行计算，得到所述边预测器的重构损失函数。

可选地，在将所述硬结构信息及所述软结构信息输入训练好的异常检测模型之前，所述方法还包括：

基于所述硬结构信息、所述软结构信息及行为特征对所述原型图神经网络进行元训练，得到所述异常检测模型。

可选地，所述基于所述硬结构信息、所述软结构信息及行为特征对所述原型图神经网络进行元训练，包括：

根据预设抽样规则对所述软结构信息中的每一个图变体分别进行任务采样，得到每一个图变体对应的元训练任务，所述元训练任务包括第一支持集和第一查询集，所述第一支持集中包括至少两个类别，每个类别包括至少一个样本；

基于预设嵌入函数，分别获取所述第一支持集中每个样本的原型表示；

分别对所述第一支持集中每个类别的样本进行平均计算，得到每个类别分别对应的原型；

对所述每个类别分别对应的原型进行层级归一化操作，得到每个类别分别对应的目标原型；

基于预设距离函数及预设归一化指数函数，分别计算所述第一查询集中的每个样本与每个目标原型之间的距离；

根据所述第一查询集中的每个样本与每个目标原型之间的距离，对所述查询集中的样本进行分类；

根据第一查询集中的每个样本与每个目标原型之间的距离和预设标记函数，计算所述原型图神经网络模型的交叉熵损失；

基于所述交叉熵损失及所述重构损失函数，计算所述原型图神经网络模型的第一目标损失函数，所述第一损失函数应用于所述元训练任务的支持集；

基于所述第一目标损失函数，对所述原型图神经网络模型进行更新，得到所述异常检测模型。

可选地，在将所述目标损失函数更新到原型图神经网络模型之后，所述方法还包括：

基于所述第一目标损失函数，计算第二目标损失函数，所述第二目标损失函数应用于对元训练任务的查询集。

可选地，在将所述硬结构信息及所述软结构信息输入异常检测模型之前，所述方法还包括：

确定所述异常检测模型的元测试任务，所述元测试任务包括第二支持集和第二查询集；

基于所述第二目标损失函数，对所述元测试任务的第二支持集进行调整；

基于所述元测试任务的第二查询集对所述异常检测模型进行测试和评估。

根据本公开的第二方面，提供了一种异常检测装置，包括：

重构单元，用于根据边预测器对硬结构信息及行为特征进行数据重构，得到软结构信息，其中，所述硬结构信息为终端架构内的终端间的交互信息，所述行为特性为对所述终端的操作行为信息，所述软结构信息为所述终端间潜在交互的结构化信息；

输入单元，用于将所述硬结构信息及所述软结构信息输入训练好的异常检测模型；

检测单元，用于基于所述异常检测模型对所述终端架构内的内部威胁进行异常检测，确定所述目标内部威胁。

在本公开提供的一个实施例中，所述重构单元包括：

构建模块，用于基于所述硬结构信息构建原始邻接矩阵；

第一生成模块，用于基于所述行为特性生成特性矩阵；

第二生成模块，用于将所述原始邻接矩阵及所述特性矩阵输入所述边预测器，基于所述边预测器的编码器和解码器，生成边概率矩阵；

插值模块，用于对所述边概率矩阵和所述原始邻接矩阵进行插值，得到目标邻接矩阵，所述目标邻接矩阵用于限制所述边预测器随机偏离原始邻接矩阵；

第一采样模块，用于对所述目标邻接矩阵进行采样，得到不同的图变体邻接矩阵；

构成模块，用于基于所述不同的图变体邻接矩阵构成各自对应的图变体；

提取模块，用于基于所述图变体提取所述软结构信息。

在本公开提供的一个实施例中，所述重构单元还包括第一计算模块，用于：

在对所述目标邻接矩阵进行采样，得到不同的图变体邻接矩阵之后，对所述边预测器的损失函数进行计算，得到所述边预测器的重构损失函数。

在本公开提供的一个实施例中，所述装置还包括训练单元，用于：

在将所述硬结构信息及所述软结构信息输入训练好的异常检测模型之前，基于所述硬结构信息、所述软结构信息及行为特征对所述原型图神经网络进行元训练，得到所述异常检测模型。

可选地，所述训练单元包括：

第二采样模块，用于根据预设抽样规则对所述软结构信息中的每一个图变体分别进行任务采样，得到每一个图变体对应的元训练任务，所述元训练任务包括第一支持集和第一查询集，所述第一支持集中包括至少两个类别，每个类别包括至少一个样本；

获取模块，用于基于预设嵌入函数，分别获取所述第一支持集中每个样本的原型表示；

第二计算模块，用于分别对所述第一支持集中每个类别的样本进行平均计算，得到每个类别分别对应的原型；

归一化模块，用于对所述每个类别分别对应的原型进行层级归一化操作，得到每个类别分别对应的目标原型；

第三计算模块，用于基于预设距离函数及预设归一化指数函数，分别计算所述第一查询集中的每个样本与每个目标原型之间的距离；

分类模块，用于根据所述第一查询集中的每个样本与每个目标原型之间的距离，对所述查询集中的样本进行分类；

第四计算模块，用于根据第一查询集中的每个样本与每个目标原型之间的距离和预设标记函数，计算所述原型图神经网络模型的交叉熵损失；

第五计算模块，用于基于所述交叉熵损失及所述重构损失函数，计算所述原型图神经网络模型的第一目标损失函数，所述第一损失函数应用于所述元训练任务的支持集；

更新模块，用于基于所述第一目标损失函数，对所述原型图神经网络模型进行更新，得到所述异常检测模型。

在本公开提供的一个实施例中，所述第五计算模块还用于：

在将所述目标损失函数更新到原型图神经网络模型之后，基于所述第一目标损失函数，计算第二目标损失函数，所述第二目标损失函数应用于对元训练任务的查询集。

在本公开提供的一个实施例中，所述装置还包括测试单元，包括：

确定模块，用于在将所述硬结构信息及所述软结构信息输入异常检测模型之前，确定所述异常检测模型的元测试任务，所述元测试任务包括第二支持集和第二查询集；

调整模块，用于基于所述第二目标损失函数，对所述元测试任务的第二支持集进行调整；

测试模块，用于基于所述元测试任务的第二查询集对所述异常检测模型进行测试和评估。

根据本公开的第三方面，提供了一种电子设备，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行前述第一方面所述的异常检测方法。

根据本公开的第四方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，其中，所述计算机指令用于使所述计算机执行前述第一方面所述的异常检测方法。

根据本公开的第五方面，提供了一种计算机程序产品，包括计算机程序，所述计算机程序在被处理器执行时实现如前述第一方面所述的异常检测方法。

本公开提供的异常检测方法及装置、电子设备和存储介质，根据边预测器对硬结构信息及行为特征进行数据重构，得到软结构信息，其中，所述硬结构信息为终端架构内的终端间的交互信息，所述行为特性为对所述终端的操作行为信息，所述软结构信息为所述终端间潜在交互的结构化信息；将所述硬结构信息及所述软结构信息输入训练好的异常检测模型；基于所述异常检测模型对所述终端架构内的内部威胁进行异常检测，确定所述目标内部威胁。与相关技术相比，本公开通过边预测器将所述硬结构信息及行为特性结合，构建终端之间的潜在关联，提取软结构信息，解决了潜在交互的结构化信息缺失问题，并且通过元学习的训练方法得到训练好的异常检测模型，提高了异常检测模型的性能，可实现扩展有效检测到未标注的样本，并且极大的提升了内部威胁异常检测的准确率。

应当理解，本部分所描述的内容并非旨在标识本申请的实施例的关键或重要特征，也不用于限制本申请的范围。本申请的其它特征将通过以下的说明书而变得容易理解。

附图说明

附图用于更好地理解本方案，不构成对本公开的限定。其中：

图1为本公开实施例所提供的一种异常检测方法的流程示意图；

图2为本公开实施例所提供的一个图的概念示意图；

图3为本公开实施例所提供的一种边预测器的流程示意图；

图4为本公开实施例所提供的另一种边预测器的流程示意图；

图5为本公开实施例所提供的一种异常检测模型的训练方法的流程示意图；

图6为本公开实施例所提供的一种元训练任务示意图；

图7为本公开实施例所提供的一种异常检测模型的训练示意图；

图8为本公开实施例所提供的一种异常检测方法于其他方法的对比结果图；

图9为本公开实施例提供的一种异常检测装置的结构示意图；

图10为本公开实施例提供的另一种异常检测装置的结构示意图；

图11为本公开实施例提供的示例电子设备500的示意性框图。

具体实施方式

以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

下面参考附图描述本公开实施例的异常检测方法及装置、电子设备和存储介质。

图1为本公开实施例所提供的一种异常检测方法的流程示意图，该方法应用于计算机中，该检测方法可由信息提示的控制装置或设备执行，该装置或设备可配置在服务器、处理器或者主控芯片中。

如图1所示，该方法包含以下步骤：

步骤101，根据边预测器对硬结构信息及行为特征进行数据重构，得到软结构信息，其中，所述硬结构信息为终端架构内的终端间的交互信息，所述行为特性为对所述终端的操作行为信息，所述软结构信息为所述终端间潜在交互的结构化信息。

在本公开提供的一个实施例中，所述边预测器用于将所述硬结构信息和所述行为特性相结合，构建终端之间的潜在关联，挖掘终端架构内的隐含信息，作为软结构信息。所述边预测器基于图神经网络(Graph Neural Networks，GNN)模型搭建，例如，本公开实施例提供了GNN中的一种图自编码器(Graph Auto-Encoder，GAE)的变体搭建所述边预测器，具体包括一个两层的图卷积神经网络(Graph convolutional Network，GCN)编码器和一个内积解码器。

为了便于对所述硬结构信息进行更好地理解，以企业或组织的内部互联网为例，每一台终端设备与其他的终端设备之间可能存在不同形式不同类别的交互信息和数据，例如，企业员工之间通过企业内部互联网进行邮件往来、通过内部互联网进行数据的传输、通过内部办公工具进行语音沟通记录、会议记录以及聊天记录等。将这些信息或数据作为所述终端架构内的硬结构信息。

为了便于对所述行为特性进行更好的理解，以企业或组织内部为例，企业或组织的内部人员在使用内部互联网时，可能会有登录电脑、使用移动设备、在非工作时间进行电脑信息恶意访问、工作时间浏览器访问信息等操作行为，终端会对这些操作行为进行记录，例如，记录何时登录电脑等信息，将这些信息作为行为特征的参数。

在一些实际情况下，在企业内部有相似操作行为的员工可能存在潜在的关联性，这种联系可以为识别内部威胁提供关键的潜在信息，例如，若企业内部中的某个员工为内部威胁人员，则可能与该员工相关联的其他员工中也存在内部威胁人员，有极大可能性为团伙作案。因此，在进行异常检测时，除了考虑硬结构信息和行为特性外，还需要考虑终端架构内潜在交互的结构化信息，基于所述硬结构信息和行为特性挖掘终端架构内的隐含信息，作为软结构信息。

步骤102，将所述硬结构信息及所述软结构信息输入训练好的异常检测模型。

为了提高异常检测模型的异常检测的准确率，以及提高该模型的性能，实现在标注样本有限的情况下，扩展有效检测到未标注的样本，本公开提供了一种基于元学习(Meta-Learning)的训练方法，对原型网络(Prototypical Networks)进行训练，进而得到训练好的异常检测模型。

步骤103，基于所述训练好的异常检测模型对所述终端架构内的内部威胁进行异常检测，确定所述目标内部威胁。

基于所述训练好的异常检测模型，对终端架构内的已知信息进行分类，筛选出目标内部威胁。

本公开提供的异常检测方法，根据边预测器对硬结构信息及行为特征进行数据重构，得到软结构信息，其中，所述硬结构信息为终端架构内的终端间的交互信息，所述行为特性为对所述终端的操作行为信息，所述软结构信息为所述终端间潜在交互的结构化信息；将所述硬结构信息及所述软结构信息输入训练好的异常检测模型；基于所述异常检测模型对所述终端架构内的内部威胁进行异常检测，确定所述目标内部威胁。与相关技术相比，本公开通过边预测器将所述硬结构信息及行为特性结合，构建终端之间的潜在关联，提取软结构信息，解决了潜在交互的结构化信息缺失问题，并且通过元学习的训练方法得到训练好的异常检测模型，提高了异常检测模型的性能，可实现扩展有效检测到未标注的样本，并且极大的提升了内部威胁异常检测的准确率。

为了对本公开提供的异常检测方法进行更好的理解，首先需要理解图论的概念。在计算机科学中，常用到图论的相关知识。图论(Graph Theory)是数学的一个分支。它以图为研究对象。图论中的图是由若干给定的点及连接两点的线所构成的图形，这种图形通常用来描述某些事物之间的某种特定关系，用点代表事物，用连接两点的线表示相应两个事物间具有这种关系。在算法中一般都需要把问题抽象成图论问题然后用图论的算法解决问题。图论算法在计算机科学中扮演着很重要的角色，它提供了对很多问题都有效的一种简单而系统的建模方式。很多问题都可以转化为图论问题，然后用图论的基本算法加以解决。

为了对本公开实施例中的图的概念进行更好的理解，请参考图2，图2为本公开实施例提供的一个图(graph)的概念示意图。如图2所示，一个图(G)由顶点(vertex)集V和边(edge)集E组成，即G＝(V,E)，其顶点又称为节点，图2中带数字的点就是节点，可抽象成某个事物或者对象，如本公开实施例中，终端架构内的各个终端就可以作为节点，节点之间的连接线就是边，如图2中(0，1)就作为一条边，表示事物与事物之间的关系，如本公开实施例中，硬结构信息为终端架构内各个终端之间的交互信息，就可以抽象成图论中的各个边。另外，图G中节点集V的大小为G的阶数。节点具有度数(degree)属性，度数指的是与该节点相关联的总边数，并且一个图G的总度数等于总边数2倍。当图的边具有方向时，一个顶点又分为出度(out-degree)和入度(in-degree)，出度是以该顶点为起点的边数，入度是以该顶点为终点的边数。边又称为线(line)或弧(arc)，一条边是一个节点点对(u,v)，如果两个节点之间有边连接，那么这两个节点邻接(adjacent)，例如，u,v属于节点集V，边(u,v)中表示节点u和节点v邻接，并且节点u和节点v属于边E，表示为(u,v)∈E，按照图的节点对是否有序，节点对有序的图称为有向图(directed graph,digraph，此时边(u,v)和(v,u)是两条不同的边，节点对无序的图称为无向图(undirected graph)，此时边(u,v)和(v,u)是两条相同的边，无向图可看作一个特殊的有向图。根据图中边的权值可以将图分为有权图和无权图，全所述权值指的是一条边的长度或代价，

根据边的数量，可以将图分成稀疏图和稠密图，稀疏图指的是边数较少的图，稠密图指的是辩护较多的图。为了对稀疏图和稠密图进行更好地理解，可以参考以下例子：假设某个图的节点数量为N，边数为M，当边数远小于节点数的平方，即M＜＜N²时，称这个图为稀疏图；反之，当边数约等于节点数的平方，即M≈N²时，称这个图为稠密图。在采用图进行计算的过程中，可以采用但不局限于使用邻接矩阵存储图。所述邻接矩阵是一个用来描绘顶点与边关系的数据结构。它的本质是一个二维数组，适合用来处理最小数据单元之间的关联关系。

在本公开提供的一个实施例中，本公开提供的边预测器采用图神经网络中的一种图自编码器的变体，包括一个两层的图卷积神经网络编码器以及一个内积解码器。为了进一步地对所述根据边预测器对硬结构信息及行为特征进行数据重构进行更好的理解，请参考图3，图3为本公开实施例所提供的一种边预测器的流程示意图。

如图3所示，该方法包括以下步骤：

步骤201，基于所述硬结构信息构建原始邻接矩阵，基于所述行为特性生成特性矩阵。

根据上述实施例中的图论的相关知识，提取所述硬结构信息中各个终端及各个终端之间的交互关系，根据所述交互关系构建所述原始邻接矩阵，将所述原始邻接矩阵记为A,并以同样的方法，基于所述行为特性，生成特性矩阵,将所述特性矩阵记为X。

步骤202，将所述原始邻接矩阵及所述特性矩阵输入所述边预测器，基于所述边预测器的编码器和解码器，生成边概率矩阵。

为了对步骤202，步骤203及步骤204进行更好的理解，本公开实施例提供了另一种边预测器的流程示意图，如图4所示，通过所述边预测器的编码器和解码器生成便概率矩阵，所述便概率矩阵记为A^ep，具体的计算过程如下：

A^ep＝σ(ZZ^T) 公式(2)

其中，Z为编码器学到的隐藏嵌入，Z^T是Z的转置矩阵，A^ep是由内积解码器计算的预测的边概率矩阵，σ是一个非线性的激活函数，如逐元素计算的Sigmoid函数，所述Sigmoid函数是一种具有S形曲线的数学函数。Sigmoid函数是一种激活函数，并且更具体地定义为挤压函数(squashing function)。压缩函数将输出限制在0到1之间，从而使这些函数在概率预测中非常有用。

步骤203，对所述边概率矩阵和所述原始邻接矩阵进行插值，得到目标邻接矩阵，所述目标邻接矩阵用于限制所述边预测器随机偏离原始邻接矩阵。

为了防止所述边预测器的预测结果偏离原始邻接矩阵，需要对所述边概率矩阵进行插值处理，插值的方法请继续参考图4，具体的插值方法如下：

A^p＝αA^ep+(1-α)A 公式(3)

其中，所述A^p为目标邻接矩阵，超参数α用于平衡边概率矩阵与原始邻接矩阵。

步骤204，对所述目标邻接矩阵进行采样，得到不同的图变体邻接矩阵。

在对所述边概率矩阵进行插值之后，为了还需要对所述目标邻接矩阵进行稀疏化，即对所述目标邻接矩阵进行采样，得到不同的图变体邻接矩阵。可以采用但不限于使用宽松的伯努利抽样对所述目标邻接矩阵机型抽样。具体的采样方法如下：

其中，A′为采样后的图变体邻接矩阵，Gum～Gumbel(0,1)是一个Gumbel随机变量；t是Gumbel-Softmax分布系数。

步骤205，基于所述不同的图变体邻接矩阵构成各自对应的图变体。

利用采样，结合特征矩阵，边预测可生成不同的图变体邻接矩阵，以构成不同的图变体，将所述不同的图变体用表示。

步骤206，基于所述图变体提取所述软结构信息。

在本公开提供的一个实施例中，为了提高所述边预测器的增强能力，以便于所述边预测器进行端到端的训练，以及进行所述边预测器的迭代更新，在构建所述边预测器的过程中，还需要计算所述边预测器的重构损失函数，具体的计算方法如下：

其中，f_ep(A,X)是每个节点的边重构表示，是矩阵二范数，也称为Frobenius范数，是一种矩阵范数，用于测量矩阵的大小和特征值分布的稀疏性。它是一种矩阵中所有元素的平方和的开方值。

通过上述实施例提供的方法，基于所述边预测器将所述硬结构信息和所述行为特性相结合，构建终端之间的潜在关联，挖掘终端架构内的隐含信息作为软结构信息，解决了现有的内部威胁的检测方法存在的潜在交互的结构化信息缺失问题，提高了内部威胁检测的准确率。

在本公开提供的一个实施例中，为了解决现有的检测方法不能扩展有效检测到未标注的样本的问题，采用了元学习的方法来训练异常检测模型。所述元学习(MetaLearning)，希望使得模型获取一种“学会学习”的能力，使其可以在获取已有“知识”的基础上快速学习新的任务，例如：让计算机学会下象棋、让一个动物图片分类器具有分类其他物体的能力等。在机器学习中，训练单位是一条数据，通过数据来对模型进行优化；数据可以分为训练集、测试集和验证集。但是在元学习中，训练单位分层级，第一层训练单位是任务，也就是说，元学习中要准备许多任务来进行学习，第二层训练单位才是每个任务对应的数据。常用到元学习架构包括模型无关的元学习(Model-Agnostic Meta-Learning，MAML)模型。

在本公开提供的一个实施例中，所述异常检测模型基于元学习的方法采用原型图神经网络搭建的模型。在将所述硬结构信息及所述软结构信息输入训练好的异常检测模型之前，还需要基于所述硬结构信息、所述软结构信息及行为特征对所述原型图神经网络进行元训练，得到所述异常检测模型。为了对所述原型图神经网络的元训练方法进行更好地理解，本公开实施例提供了一种异常检测模型的训练方法的流程示意图。

如图5所示，该元训练方法包括以下步骤：

步骤301，根据预设抽样规则对所述软结构信息中的每一个图变体分别进行任务采样，得到每一个图变体对应的元训练任务，所述元训练任务包括第一支持集和第一查询集，所述第一支持集中包括至少两个类别，每个类别包括至少一个样本。

为了获取所述元训练任务对所述异常检测模型进行训练，可以采用但不局限于使用N-way-K-shot原则来获取所述元训练任务，所述N-way-K-shot指的是每个元训练任务有N个类别，每个类别中有K个样本。具体的方法如下：从上述步骤205中的图变体中随机抽取C_train个类，对于C_train中的每一个类，随机选择K个样本组成元训练任务的支持集S。然后，从C_train的剩余样本中随机抽取样本，组成元培训任务的查询集Q。因此，元训练任务T＝S+Q。该过程重复不同的次数，以产生不同图变体的元训练任务。为了对所述元训练任务进行更好的理解，请参考图6，图6为本公开实施例提供的一种元训练任务示意图。图6提供了一种采用N-way-K-shot原则获取元训练任务的示意图，图6中每个不同颜色的圆型代表一个类别，每个方形代表一个样本。图6共有3个不同的类别，每个类别中包括2个样本。为了更好的理解，以动物图片的识别为例，假设图6中第一类别为小猫，则第一类别对应的两个样本为包含小猫的两张图片，第二类别为大象的图片，则第二类别对应的两个样本为包含大象的两张图片。

为了对所述异常检测模型进行更好的理解，本公开实施例提供了一种异常检测模型的训练示意图，如图7所示，在获得原训练任务后，支持集的样本首先被送入模型，并根据查询集计算出相应的损失。

步骤302，基于预设嵌入函数，分别获取所述第一支持集中每个样本的原型表示。

在本公开提供的一个实施例中，请继续参考图7，可以采用但不局限于使用一个特征嵌入网络f_θ进行每个样本的特征提取，获取所述支持集中的每个样本的原型表示，所述特征嵌入是将原始图像转换为更加抽象和语义化的特征表示，从而更好地描述图像的内容。它通过将图像输入到深度神经网络中，并利用网络的中间隐藏层的特征向量来表示图像。这些特征向量不仅能够有效地捕捉图像的局部和全局信息，还能够具备很强的区分性，从而实现更准确的图像分类和定位。在图像识别任务中，特征嵌入技术有着广泛的应用。首先，特征嵌入可以用于图像分类。通过将图像输入到深度神经网络中，利用网络中间隐藏层的特征向量，可以更好地描述图像的视觉特征，从而实现对图像的分类。例如，通过在网络中使用卷积层和池化层来提取图像的空间特征，再通过全连接层将这些特征映射到指定的类别标签，就可以实现图像分类任务。

步骤303，分别对所述第一支持集中每个类别的样本进行平均计算，得到每个类别分别对应的原型。

在本公开提供的一个实施例中，在获取所述每个原本的原型表示之后，需要对每个类别中的样本的原型表示进行平均计算，具体的计算方法如下：

其中，f_θ是上述步骤302的嵌入函数，是支持集中第i个在n_c类的节点，n_c属于C_train。图原型构造器接受支持集中的原型表示作为特征向量。

步骤304，对所述每个类别分别对应的原型进行层级归一化操作，得到每个类别分别对应的目标原型。

为了从支持集中生成每个类的原型，采用单层(one-layer)规范来稳定支持集中每个类的原型。采用one-layer的输出为：

R′_P＝LayerNorm(R_P+σ(f_GCL(R_P))) 公式(7)

其中，R’_P为所述目标原型的表示。

步骤305，基于预设距离函数及预设归一化指数函数，分别计算所述第一查询集中的每个样本与每个目标原型之间的距离。

为了训练所述异常检测模型学会对样本进行分类，需要获得每个样本与各个类别原型之间的距离。在给定距离函数的情况下，查询点与嵌入空间原型的距离可以通过归一化指数函数(Softmax)计算：

其中，Dis为预设距离函数，所述预设距离函数可以采用但不局限于使用欧几里得距离或者cosine距离进行计算。

步骤306，根据所述第一查询集中的每个样本与每个目标原型之间的距离，对所述查询集中的样本进行分类。

所述支持集中的每一类的原型表示都用来对查询集中的查询样本进行分类。比较查询集中的样本与所述支持集中每一类的目标原型之间的距离大小，按照所述距离的大小顺序，将查询集中的样本分类到距离最小的类别中。

步骤307，根据第一查询集中的每个样本与每个目标原型之间的距离和预设标记函数，计算所述原型图神经网络模型的交叉熵损失。

为了对所述异常检测模型的损失函数进行更新，计算所述原型图神经网络模型的交叉熵损失，所述交叉熵Cross Entropy，是Shannon信息论中一个重要概念，主要用于度量两个概率分布间的差异性信息。在信息论中，交叉熵是表示两个概率分布p,q，其中p表示真实分布，q表示非真实分布，在相同的一组事件中，其中，用非真实分布q来表示某个事件发生所需要的平均比特数。具体的计算方法如下：

其中，y_i为真实标签，I(x)为标记函数，I(x)＝1表明x为真，0为假。

步骤308，基于所述交叉熵损失及所述重构损失函数，计算所述原型图神经网络模型的第一目标损失函数，所述第一损失函数应用于所述元训练任务的支持集。

为了对所述异常检测模型的参数进行更新，需要计算所述第一目标损失函数，所述第一目标损失函数应用于元训练任务的支持集，所述第一目标损失函数的计算方法如下：

L＝L_c+βL_ep 公式(10)

其中，超参数β用于权衡边预测器的重构损失。

步骤309，基于所述第一目标损失函数，对所述原型图神经网络模型进行更新，得到所述异常检测模型。

在元训练过程中，异常检测模型的在支持集的参数更新方式如下：

其中，θ′_i为更新后的模型参数，α₁为任务学习率。

在本公开提供的一个实施例中，可以采用但不局限于使用上述实施例中的第一目标损失函数计算异常检测模型在查询集的第二目标损失函数，具体的计算方法如下：

其中，θ^*表示第二目标损失函数，d(t)为训练任务的分布函数，argmin是一个数学函数，它指的是在某个目标函数或表达式中找到使得该函数或表达式取得最小值的变量值。

通过上述基于元学习的元训练方法得到训练好的异常检测模型，提高了异常检测模型的性能，并且能够不断自动优化，加快反应逻辑，降低内部威胁的检测成本。

在本公开提供的一个实施例中，在所述异常检测模型的元训练过程结束后，还有需要对所述异常检测模型进行测试，以便于根据测试结果对所述训练好的异常检测模型进行调整。具体的测试方法包括：确定所述异常检测模型的元测试任务，所述元测试任务包括第二支持集和第二查询集；基于所述第二目标损失函数，对所述元测试任务的第二支持集进行调整；基于所述元测试任务的第二查询集对所述异常检测模型进行测试和评估。

在本公开提供的一个实施例中，在获得所述训练好的异常检测模型之后，可以采用所述异常检测模型在如CERT和UMDWikipedia等数据集上验证模型的性能。CERT数据集采用r4.2和r6.2两个版本，CERT r4.2模拟了一个拥有1000名员工的公司，其中70名员工是三个威胁场景中的内部威胁人员。三种内部威胁情景为数据外流、知识产权破坏和信息技术破坏。在这个数据集中有32,770,227个活动，7,323个恶意活动是由内部威胁检测任务的专家手动注入，代表发现的三种内部威胁场景。CERT r4.2涉及几类用户行为数据，如文件访问(创建、修改、删除、文件名、文件类型等)、邮件收发、设备使用(移动存储设备、打印机等)、HTTP访问、系统登录等，还包括用户的职务和工作部门等信息。CERT r6.2模拟了一个拥有4000名员工的公司，其中5名员工是三个威胁场景中的恶意内部人员。在这个数据集中有135,117,169个活动，470个恶意活动是由专家手动注入的。数据集属于多源数据，通过对内部人员的多个行为域表征，模拟了包括信息窃取、系统破坏、内部欺诈三类主要内部攻击，并将异常数据分散在大量的正常数据中。在该数据集中，分为7个子数据源：email数据、logon数据、device数据、file数据、http数据、psychometric数据、LDAP数据。

为了证明所述训练好的异常检测模型的准确率得到了大幅提升，本公开实施例还提供了所述训练好的异常检测模型与对比模型如DeepWalk、Node2Vec、GraphSage、GCN,、GAT、GCN-ep、Meta-GNN、Matching Network等模型，采用的数据集和2-way-1/3/5-shot设置的测试结果的对比图，如图8所示，最后一列为采用本公开进行内部威胁的异常检测的准确率，与其他对比模型相比，本公开提供的异常检测方法对于内部威胁的检测准确率得到了极大的提升。

综上所述，本公开实施例能达到以下效果：

1.基于所述边预测器将所述硬结构信息和所述行为特性相结合，构建终端之间的潜在关联，挖掘终端架构内的隐含信息作为软结构信息，解决了现有的内部威胁的检测方法存在的潜在交互的结构化信息缺失问题，提高了内部威胁检测的准确率。

2.提高了异常检测模型的性能，并且能够不断自动优化，加快反应逻辑，降低内部威胁的检测成本。

与上述的异常检测方法相对应，本发明还提出一种异常检测装置。由于本发明的装置实施例与上述的方法实施例相对应，对于装置实施例中未披露的细节可参照上述的方法实施例，本发明中不再进行赘述。

图9为本公开实施例提供的一种异常检测装置的结构示意图，如图7所示，包括：重构单元41、输入单元42、检测单元43。

重构单元41，用于根据边预测器对硬结构信息及行为特征进行数据重构，得到软结构信息，其中，所述硬结构信息为终端架构内的终端间的交互信息，所述行为特性为对所述终端的操作行为信息，所述软结构信息为所述终端间潜在交互的结构化信息；

输入单元42，用于将所述硬结构信息及所述软结构信息输入训练好的异常检测模型；

检测单元43，用于基于所述异常检测模型对所述终端架构内的内部威胁进行异常检测，确定所述目标内部威胁。

本公开提供的异常检测装置，根据边预测器对硬结构信息及行为特征进行数据重构，得到软结构信息，其中，所述硬结构信息为终端架构内的终端间的交互信息，所述行为特性为对所述终端的操作行为信息，所述软结构信息为所述终端间潜在交互的结构化信息；将所述硬结构信息及所述软结构信息输入训练好的异常检测模型；基于所述异常检测模型对所述终端架构内的内部威胁进行异常检测，确定所述目标内部威胁。与相关技术相比，本公开通过边预测器将所述硬结构信息及行为特性结合，构建终端之间的潜在关联，提取软结构信息，解决了潜在交互的结构化信息缺失问题，并且通过元学习的训练方法得到训练好的异常检测模型，提高了异常检测模型的性能，可实现扩展有效检测到未标注的样本，并且极大的提升了内部威胁异常检测的准确率。

进一步地，在本公开实施例一种可能的实现方式中，如图10所示，所述重构单元41包括：

构建模块411，用于基于所述硬结构信息构建原始邻接矩阵；

第一生成模块412，用于基于所述行为特性生成特性矩阵；

第二生成模块413，用于将所述原始邻接矩阵及所述特性矩阵输入所述边预测器，基于所述边预测器的编码器和解码器，生成边概率矩阵；

插值模块414，用于对所述边概率矩阵和所述原始邻接矩阵进行插值，得到目标邻接矩阵，所述目标邻接矩阵用于限制所述边预测器随机偏离原始邻接矩阵；

第一采样模块415，用于对所述目标邻接矩阵进行采样，得到不同的图变体邻接矩阵；

构成模块416，用于基于所述不同的图变体邻接矩阵构成各自对应的图变体；

提取模块417，用于基于所述图变体提取所述软结构信息。

进一步地，在本公开实施例一种可能的实现方式中，如图10所示，所述重构单元还包括第一计算模块，用于：

进一步地，在本公开实施例一种可能的实现方式中，如图10所示，所述装置还包括训练单元44，用于：

进一步地，在本公开实施例一种可能的实现方式中，如图10所示，所述训练单元44包括：

第二采样模块441，用于根据预设抽样规则对所述软结构信息中的每一个图变体分别进行任务采样，得到每一个图变体对应的元训练任务，所述元训练任务包括第一支持集和第一查询集，所述第一支持集中包括至少两个类别，每个类别包括至少一个样本；

获取模块442，用于基于预设嵌入函数，分别获取所述第一支持集中每个样本的原型表示；

第二计算模块443，用于分别对所述第一支持集中每个类别的样本进行平均计算，得到每个类别分别对应的原型；

归一化模块444，用于对所述每个类别分别对应的原型进行层级归一化操作，得到每个类别分别对应的目标原型；

第三计算模块445，用于基于预设距离函数及预设归一化指数函数，分别计算所述第一查询集中的每个样本与每个目标原型之间的距离；

分类模块446，用于根据所述第一查询集中的每个样本与每个目标原型之间的距离，对所述查询集中的样本进行分类；

第四计算模块447，用于根据第一查询集中的每个样本与每个目标原型之间的距离和预设标记函数，计算所述原型图神经网络模型的交叉熵损失；

第五计算模块448，用于基于所述交叉熵损失及所述重构损失函数，计算所述原型图神经网络模型的第一目标损失函数，所述第一损失函数应用于所述元训练任务的支持集；

更新模块448，用于基于所述第一目标损失函数，对所述原型图神经网络模型进行更新，得到所述异常检测模型。

进一步地，在本公开实施例一种可能的实现方式中，如图10所示，所述第五计算模块还用于：

进一步地，在本公开实施例一种可能的实现方式中，如图10所示，所述装置还包括测试单元45，包括：

确定模块451，用于在将所述硬结构信息及所述软结构信息输入异常检测模型之前，确定所述异常检测模型的元测试任务，所述元测试任务包括第二支持集和第二查询集；

调整模块452，用于基于所述第二目标损失函数，对所述元测试任务的第二支持集进行调整；

测试模块453，用于基于所述元测试任务的第二查询集对所述异常检测模型进行测试和评估。

需要说明的是，前述对方法实施例的解释说明，也适用于本公开实施例的装置，原理相同，本公开实施例中不再限定。

根据本公开的实施例，本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。

图11示出了可以用来实施本公开的实施例的示例电子设备500的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本公开的实现。

如图11所示，设备500包括计算单元501，其可以根据存储在ROM(Read-OnlyMemory，只读存储器)502中的计算机程序或者从存储单元508加载到RAM(Random AccessMemory，随机访问/存取存储器)503中的计算机程序，来执行各种适当的动作和处理。在RAM503中，还可存储设备500操作所需的各种程序和数据。计算单元501、ROM 502以及RAM 503通过总线504彼此相连。I/O(Input/Output，输入/输出)接口505也连接至总线504。

设备500中的多个部件连接至I/O接口505，包括：输入单元506，例如键盘、鼠标等；输出单元507，例如各种类型的显示器、扬声器等；存储单元508，例如磁盘、光盘等；以及通信单元509，例如网卡、调制解调器、无线通信收发机等。通信单元509允许设备500通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

计算单元501可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元501的一些示例包括但不限于CPU(Central Processing Unit，中央处理单元)、GPU(Graphic Processing Units，图形处理单元)、各种专用的AI(Artificial Intelligence，人工智能)计算芯片、各种运行机器学习模型算法的计算单元、DSP(Digital SignalProcessor，数字信号处理器)、以及任何适当的处理器、控制器、微控制器等。计算单元501执行上文所描述的各个方法和处理，例如异常检测方法。例如，在一些实施例中，异常检测方法可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元508。在一些实施例中，计算机程序的部分或者全部可以经由ROM 502和/或通信单元509而被载入和/或安装到设备500上。当计算机程序加载到RAM 503并由计算单元501执行时，可以执行上文描述的方法的一个或多个步骤。备选地，在其他实施例中，计算单元501可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行前述异常检测方法。

本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、FPGA(Field Programmable Gate Array，现场可编程门阵列)、ASIC(Application-Specific Integrated Circuit，专用集成电路)、ASSP(Application Specific StandardProduct，专用标准产品)、SOC(System On Chip，芯片上系统的系统)、CPLD(ComplexProgrammable Logic Device，复杂可编程逻辑设备)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。

用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、RAM、ROM、EPROM(Electrically Programmable Read-Only-Memory，可擦除可编程只读存储器)或快闪存储器、光纤、CD-ROM(Compact Disc Read-Only Memory，便捷式紧凑盘只读存储器)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

为了提供与交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向显示信息的显示装置(例如，CRT(Cathode-Ray Tube，阴极射线管)或者LCD(LiquidCrystal Display，液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与交互；例如，提供给反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自输入。

可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形界面或者网络浏览器的计算机，可以通过该图形界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：LAN(Local Area Network，局域网)、WAN(Wide Area Network，广域网)、互联网和区块链网络。

计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，又称为云计算服务器或云主机，是云计算服务体系中的一项主机产品，以解决了传统物理主机与VPS服务("Virtual Private Server"，或简称"VPS")中，存在的管理难度大，业务扩展性弱的缺陷。服务器也可以为分布式系统的服务器，或者是结合了区块链的服务器。

其中，需要说明的是，人工智能是研究使计算机来模拟人的某些思维过程和智能行为(如学习、推理、思考、规划等)的学科，既有硬件层面的技术也有软件层面的技术。人工智能硬件技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理等技术；人工智能软件技术主要包括计算机视觉技术、语音识别技术、自然语言处理技术以及机器学习/深度学习、大数据处理技术、知识图谱技术等几大方向。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本公开公开的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。

Claims

1.一种异常检测的方法，其特征在于，包括：

基于所述训练好的异常检测模型对所述终端架构内的内部威胁进行异常检测，确定所述目标内部威胁。

2.根据权利要求1所述的方法，其特征在于，所述根据边预测器对硬结构信息及行为特征进行数据重构包括：

基于所述不同的图变体邻接矩阵构成各自对应的图变体；

基于所述图变体提取所述软结构信息。

3.根据权利要求2所述的方法，其特征在于，在对所述目标邻接矩阵进行采样，得到不同的图变体邻接矩阵之后，所述方法还包括：

4.根据权利要求3所述的方法，其特征在于，在将所述硬结构信息及所述软结构信息输入训练好的异常检测模型之前，所述方法还包括：

5.根据权利要求4所述的方法，其特征在于，所述基于所述硬结构信息、所述软结构信息及行为特征对所述原型图神经网络进行元训练，包括：

6.根据权利要求5所述的方法，其特征在于，在将所述目标损失函数更新到原型图神经网络模型之后，所述方法还包括：

7.根据权利要求6所述的方法，其特征在于，在将所述硬结构信息及所述软结构信息输入异常检测模型之前，所述方法还包括：

8.一种异常检测装置，其特征在于，包括：

9.一种电子设备，其特征在于，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-7中任一项所述的方法。

10.一种存储有计算机指令的非瞬时计算机可读存储介质，其特征在于，所述计算机指令用于使所述计算机执行根据权利要求1-7中任一项所述的方法。