CN118018304A

CN118018304A - 基于知识图谱和残差图卷积网络的内部威胁检测方法

Info

Publication number: CN118018304A
Application number: CN202410248725.6A
Authority: CN
Inventors: 陶晓玲; 乔运铎; 王传; 位磊; 刘建翔; 吴宵汉; 张云浩
Original assignee: Guangxi Haohua Technology Co ltd; Guangxi Jun'an Network Information Technology Co ltd; Guilin University of Electronic Technology
Current assignee: Guangxi Haohua Technology Co ltd; Guangxi Jun'an Network Information Technology Co ltd; Guilin University of Electronic Technology
Priority date: 2024-03-05
Filing date: 2024-03-05
Publication date: 2024-05-10

Abstract

本发明涉及网络与信息安全技术领域，具体涉及一种基于知识图谱和残差图卷积网络的内部威胁检测方法，包括收集用户特征信息并进行预处理，得到内部用户数据；基于所述内部用户数据构建内部威胁知识图谱本体；基于所述内部威胁知识图谱本体利用图数据库构建内部威胁知识图谱；基于所述内部威胁知识图谱构建特征矩阵；基于用户通信关系和用户行为相似性加权的邻接矩阵构造加权函数，构建邻接矩阵；基于残差图卷积网络的内部威胁检测方法对所述邻接矩阵和所述特征矩阵进行训练，得到检测结果，解决了现有的方法在内部威胁检测任务中忽略了用户之间的通信关系，导致用户中存在孤立节点的问题。

Description

基于知识图谱和残差图卷积网络的内部威胁检测方法

技术领域

本发明涉及网络与信息安全技术领域，尤其涉及一种基于知识图谱和残差图卷积网络的内部威胁检测方法。

背景技术

内部威胁具有破坏性和隐蔽性，使其成为网络安全中的一项具有挑战性的任务。虽然先前的内部威胁检测工作通过用户行为特征进行检测取得优异效果，但这些方法仍然存在许多缺点。现有的方法不足以处理高维、复杂、异构和稀疏的数据，模型泛化性差，可适用场景少。此外，现有方法基于用户时间序列的日常行为相对规律和稳定的假设，通过将后续行为与日常行为进行比较来识别异常，不能代表现实情况。通信关系可以提供有价值的和必要的信息，类似于我们日常生活中的社交网络，然而现有的方法在内部威胁检测任务中忽略了用户之间的通信关系，从而降低了威胁检测的效果。因此，最大限度地利用有限的数据是至关重要的。

发明内容

本发明的目的在于提供一种基于知识图谱和残差图卷积网络的内部威胁检测方法，旨在解决现有的方法在内部威胁检测任务中忽略了用户之间的通信关系，导致用户中存在孤立节点的问题。

为实现上述目的，第一方面，本发明提供了一种基于知识图谱和残差图卷积网络的内部威胁检测方法，包括以下步骤：

收集用户特征信息并进行预处理，得到内部用户数据；

基于所述内部用户数据构建内部威胁知识图谱本体；

基于所述内部威胁知识图谱本体利用图数据库构建内部威胁知识图谱；

基于所述内部威胁知识图谱构建特征矩阵；

基于用户通信关系和用户行为相似性加权的邻接矩阵构造加权函数，构建邻接矩阵；

基于残差图卷积网络的内部威胁检测方法对所述邻接矩阵和所述特征矩阵进行训练，得到检测结果。

其中，所述用户特征信息包括简历信息、性格信息、通信记录和行为记录。

其中，所述预处理包括数据清洗和缺失值的填充。

其中，所述基于所述内部用户数据构建内部威胁知识图谱本体，包括：

将所述内部用户数据中的离散型数据转换为独热编码向量；

基于所述独热编码向量构建内部威胁知识图谱本体。

其中，所述图数据库包括Neo4j图数据库。

其中，所述残差图卷积网络由三层的图卷积网络层和残差模块组成，并在初始残差跳跃连接到第三层所述图卷积网络层前加入了3层多层感知机层。

第二方面，本发明提供了一种基于知识图谱和残差图卷积网络的内部威胁系统，包括本体建模模块、数据采集和预处理模块、知识图谱构建和存储模块、知识图谱应用模块；

所述本体建模模块，用于通过分析该知识库的构建目的和数据源的特点，从内部用户的维度设计本体结构，作为知识图谱的知识组织模式，得到内部威胁知识图谱本体；

所述数据采集和预处理模块，用于获取和采集用户特征信息，然后对所述用户特征信息进行数据清洗和缺失值的填充，得到内部用户数据；

所述知识图谱构建和存储模块，基于规则的方法从所述内部用户数据中提取实体、关系和属性，创建所述内部威胁知识图谱本体的数据实例，然后使用Py2neo工具包将知识图谱的数据存储到Neo4j图数据库中，得到构建好的内部威胁知识图谱；

所述知识图谱应用模块，使用Neo4j数据库的可视化界面进行查询、导出操作，APOC库中的Export命令将所需要的图谱中的数据过滤，并导出为csv文件作为后续内部威胁检测模型的输入。

本发明的一种基于知识图谱和残差图卷积网络的内部威胁检测方法，通过收集用户特征信息并进行预处理，得到内部用户数据；基于所述内部用户数据构建内部威胁知识图谱本体；基于所述内部威胁知识图谱本体利用图数据库构建内部威胁知识图谱；基于所述内部威胁知识图谱构建特征矩阵；基于用户通信关系和用户行为相似性加权的邻接矩阵构造加权函数，构建邻接矩阵；基于残差图卷积网络的内部威胁检测方法对所述邻接矩阵和所述特征矩阵进行训练，得到检测结果，本发明通过上述方式针对传统检测模型仅关注用户自身行为，忽视了用户之间的关联关系，导致检测结果精度差的问题，实现了从用户行为和关系两个角度进行综合分析，提高内部威胁检测模型的准确度和全面性，解决了现有的方法在内部威胁检测任务中忽略了用户之间的通信关系，导致用户中存在孤立节点的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明提供的一种基于知识图谱和残差图卷积网络的内部威胁检测方法的流程图。

图2是本发明提供的一种基于知识图谱和残差图卷积网络的内部威胁检测系统的内部威胁知识图谱构建方法架构图。

图3是内部威胁本体结构图。

图4是基于残差图卷积网络的内部威胁检测模型整体框架图。

1-本体建模模块、2-数据采集和预处理模块、3-知识图谱构建和存储模块、4-知识图谱应用模块。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

请参阅图1至图4，图1是本发明提供的一种基于知识图谱和残差图卷积网络的内部威胁检测方法的流程图。图2是本发明提供的一种基于知识图谱和残差图卷积网络的内部威胁检测系统的内部威胁知识图谱构建方法架构图。图3是内部威胁本体结构图。图4是基于残差图卷积网络的内部威胁检测模型整体框架图。

第一方面，本发明提供一种基于知识图谱和残差图卷积网络的内部威胁检测方法，包括以下步骤：

S1收集用户特征信息并进行预处理，得到内部用户数据；

具体的，所述用户特征信息包括简历信息、性格信息、通信记录和行为记录等。所述预处理包括数据清洗和缺失值的填充。

S2基于所述内部用户数据构建内部威胁知识图谱本体；

具体的，将所述内部用户数据中的离散型数据转换为独热编码向量；基于所述独热编码向量构建内部威胁知识图谱本体。

S3基于所述内部威胁知识图谱本体利用图数据库构建内部威胁知识图谱；

具体的，所述图数据库包括Neo4j图数据库。

S4基于所述内部威胁知识图谱构建特征矩阵；

S5基于用户通信关系和用户行为相似性加权的邻接矩阵构造加权函数，构建邻接矩阵；

S6基于残差图卷积网络的内部威胁检测方法对所述邻接矩阵和所述特征矩阵进行训练，得到检测结果。

具体的，将所述特征矩阵和所述邻接矩阵作为残差图卷积网络的输入；将特征矩阵和邻接矩阵传递给残差图卷积网络的图卷积网络层，在第一层图卷积层前引入残差单元，将第一层图卷积层的输入作为初始残差，将初始残差跳跃连接到残差图卷积网络的第三层图卷积层的输入后，并在中间加入了三层MLP，对特征进行灵活的变换，有助于适应不同的数据模式；使用交叉熵作为损失函数在训练期间进行评估，得到最终的内部威胁检测结果。

基于残差图卷积网络的内部威胁检测模型的整体研究思路框架图如图4所示。

本发明提出模型(残差图卷积网络)的输入可以分为两个部分。一是特征矩阵，它可以表示为N×T的矩阵X。N是图上的节点数，即用户数，T是每个用户节点的特征数。二是N×N的邻接矩阵A，表示图的结构信息，如前所述，知识图谱中导出的的矩阵数据可以作为检测模型的输入，但是由于网络中存在许多孤立节点，并且只依赖通信关系建立连接可能会导致模型的鲁棒性以及异常检测能力的降低，因此本发明在使用图谱数据前采用综合加权的方式建立用户之间的连接。Neo4j提供了GraphData Science库，其中包含了NodeSimilarity算法，可以根据节点的属性计算它们之间的相似度。

由于余弦相似度函数在高维数据中表现更好，与内部威胁信息的高维性质相匹配，因此本发明选择使用Node Similarity中的余弦相似度方法来计算S_i,j，余弦相似度利用两个向量之间的角度余弦来计算相似性，公式如下：

其中，S_i,j是计算两个节点的特征相似度的相似度函数；x_i和x_j分别代表用户节点i和用户节点j。

GCN模型的输出表示为N×F的矩阵，其中F是分类类别的数量，每个节点属于F个类中的一个，结合内部威胁检测任务属于二分类的实际情况，这里的F值为2。

该模块设计的网络模型由三层的图卷积网络层和残差模块组成，其中输入矩阵在GCN中需要经过多个隐藏卷积层的变换，其前向传播公式如下：

H^(l+1)＝f(H^(l)，A)＝σ(AH^(l)W^(l)) (2)

其中，H^(l)是GCN的每一层的节点表示，l表示隐藏层的层数，σ是非线性函数，比如ReLU，W^(l)是第l层的学习参数。l＝0时，H⁽⁰⁾＝X∈R^N×T，即为输入用户的特征矩阵。

在每个隐藏层中，输入矩阵计算公式如下表示：

其中，表示第l+1层中用户节点i的特征集合，/>表示第l层中用户节点j的特征集合，N_i表示用户节点i的邻居(包括其自身)的集合，/>表示用于更新来自用户节点j的信息的权重参数，c_ij表示归一化系数。

在本发明设计的网络模型中，GCN层的传播过程具体如下表示：

其中，ReLU是本模型选取的激活函数，W⁽ⁿ⁾分别表示第n层的学习参数，是对邻接矩阵A做标准化、归一化处理得到的矩阵，该矩阵具体计算过程可用以下公式表示：

其中，I表示单位矩阵，表示有自连的邻接矩阵，简称自连邻接矩阵，因为原始的邻接矩阵A中节点与自身并无连接，所以A中的对角线为0，如果输入进模型中进行下游计算则模型无法在邻接矩阵中区分自身节点和无连接节点，因此将邻接矩阵加上单位矩阵得到矩阵后再进行归一化操作。/>是/>均度矩阵，度矩阵的作用是对/>进行归一化处理。

GCN的残差模块主要体现在一个残差单元中引入跳转链接。对于l+1层而言，除了l层输出作为输入之外，通过增加l层之前的跳转链接来防止计算偏差，提高聚合效能。带残差模块的GCN的基本公式可表示为：

其中，α是一个可学习的参数，通常被称为残差权重，这个参数控制了初始残差在残差连接中的权重，即输入特征对最终输出的贡献程度。

引入残差的初始动机是为了防止梯度消失问题。本发明选择将特征矩阵H⁽⁰⁾＝X∈R^N×T作为初始残差，将初始残差跳跃连接到第三层H⁽³⁾的输出后，第三层的输出用公式表示为：

控制初始残差的参数α不宜过大，一般设置在0.1或者0.2比较适中，如果α过大将减弱上层计算对本层计算的作用，严重影响学习效率。假如在GCN网络中不适用残差连接，节点的特征同质化情况将会很快发生，导致平滑现象。

此外，本发明在初始残差跳跃连接到第三层前加入了3层MLP，这样的设计可以允许网络学习对输入特征进行更灵活的变换，有助于适应不同的数据模式。用公式表达即为：

H^(MLP)＝W³(W²(W¹X+b₁)+b₂)+b₃ (9)

其中，W^(1-3)分别对应三个MLP层的权重，b_(1-3)分别对应三个MLP层的偏置量。为了防止过拟合，在进行分类前引入了Dropout正则化方法，防止模型过拟合，提高模型的泛化能力。

最后为了计算每个节点的分类输出，本发明在输出层使用softmax作为激活函数用于输出分类概率分布，如公式10所示：

Z＝softmax(WH⁽³⁾+b) (10)

softmax激活函数公式如下：

为了更好地度量模型输出与真实标签之间的差异，以激励模型学习到更优表示，本发明在使用如公式12所示的交叉熵函数作为损失函数在训练期间进行评估，其中表示整体的损失，y_L表示有标签样本的集合，l表示集合中的节点元素，F表示类别个数，f表示类别，Y_lf表示样本l中实际标签，Z_lf表示样本的预测标签。

第二方面，本发明提供了一种基于知识图谱和残差图卷积网络的内部威胁系统，包括本体建模模块1、数据采集和预处理模块2、知识图谱构建和存储模块3、知识图谱应用模块4；

所述本体建模模块1，用于通过分析该知识库的构建目的和数据源的特点，从内部用户的维度设计本体结构，作为知识图谱的知识组织模式，得到内部威胁知识图谱本体；

所述数据采集和预处理模块2，用于获取和采集用户特征信息，然后对所述用户特征信息进行数据清洗和缺失值的填充，得到内部用户数据；

所述知识图谱构建和存储模块3，基于规则的方法从所述内部用户数据中提取实体、关系和属性，创建所述内部威胁知识图谱本体的数据实例，然后使用Py2neo工具包将知识图谱的数据存储到Neo4j图数据库中，得到构建好的内部威胁知识图谱；

所述知识图谱应用模块4，使用Neo4j数据库的可视化界面进行查询、导出操作，APOC库中的Export命令将所需要的图谱中的数据过滤，并导出为csv文件作为后续内部威胁检测模型的输入。

具体的，内部威胁知识图谱的构建方法的思路是先构建内部威胁知识图谱本体，然后从原始日志数据文件中提取重要的用户特征，根据给定聚合条件的用户ID聚合来自不同来源的数据。随后，对聚合数据进行特征提取以生成数值向量并提取用户实体以及用户实体之间的关系，再整合到知识图谱中，最终构建出内部威胁知识图谱。通过从知识图谱中提取用户的特征矩阵及所有用户实体之间的关系建立邻接矩阵，为后续的内部威胁检测模型提供输入。

内部威胁知识图谱可以表示用户实体、操作行为、用户社交关系等信息，对其数据进行构建可以为后续内部威胁检测提供更多的信息支撑并实现监管可视化。如图2所示，该方法的架构可以分为本体建模、数据采集和预处理、知识图谱构建和存储、知识图谱应用四个模块。

(1)本体建模模块1。该模块的主要任务是对内部威胁领域本体进行建模。通过分析该知识库的构建目的和数据源的特点，从内部用户的维度设计本体结构，作为知识图谱的知识组织模式。通过构建内部威胁行为知识图谱，分析内部用户的特征并进行威胁检测。内部威胁本体结构图如图3所示。

(2)数据采集和预处理模块2。该模块首先需要获取和采集数据，然后对这些数据进行数据清洗和缺失值的填充，以确保数据质量和一致性。

(3)知识图谱构建和存储模块3。该模块首先采用基于规则的方法从数据源中提取实体、关系和属性，创建本体的数据实例，然后使用Py2neo工具包将知识图谱的数据存储到Neo4j图数据库中，得到构建好的内部威胁知识图谱。

(4)知识图谱应用模块4。当完成知识图谱构建后，可以使用Neo4j数据库的可视化界面进行查询、导出等操作，APOC库中的Export命令将所需要的图谱中的数据过滤，并导出为csv文件作为后续内部威胁检测模型的输入。

与现有技术相比，本发明的有益效果是：

1.本发明使用内部威胁知识图谱的构建方法。先构建内部威胁知识图谱本体，然后从原始日志数据文件中提取重要的用户特征，根据给定聚合条件的用户ID聚合来自不同来源的数据。随后，对聚合数据进行特征提取以生成数值向量并提取用户实体以及用户实体之间的关系，再整合到知识图谱中，最终构建出内部威胁知识图谱。通过从知识图谱中提取用户的特征矩阵及所有用户实体之间的加权关系建立邻接矩阵，为后续的内部威胁检测模型提供输入；

2.将从知识图谱中提取出的的特征矩阵和邻接矩阵输入进模型后，首先通过三层图卷积网络层对特征矩阵和邻接矩阵进行训练；然后，在第一层图卷积层前引入残差单元，将第一层图卷积层的输入作为初始残差，将初始残差跳转连接到第三层图卷积层后，有效防止了梯度消失问题，提高聚合效能；同时，本发明还在初始残差跳跃连接前加入了三层MLP，这样的设计可以允许网络对输入特征进行更灵活的变换，有助于适应不同的数据模式。本发明从用户通信关系和行为特征出发，构建出内部威胁知识图谱，实现了组织对内部用户的可视化监管，并基于此准确地识别威胁用户。

以上所揭露的仅为本发明一种基于知识图谱和残差图卷积网络的内部威胁检测方法较佳实施例而已，当然不能以此来限定本发明之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本发明权利要求所作的等同变化，仍属于发明所涵盖的范围。

Claims

1.一种基于知识图谱和残差图卷积网络的内部威胁检测方法，其特征在于，包括以下步骤：

收集用户特征信息并进行预处理，得到内部用户数据；

基于所述内部用户数据构建内部威胁知识图谱本体；

基于所述内部威胁知识图谱构建特征矩阵；

2.如权利要求1所述的基于知识图谱和残差图卷积网络的内部威胁检测方法，其特征在于，

所述用户特征信息包括简历信息、性格信息、通信记录和行为记录。

3.如权利要求2所述的基于知识图谱和残差图卷积网络的内部威胁检测方法，其特征在于，

所述预处理包括数据清洗和缺失值的填充。

4.如权利要求3所述的基于知识图谱和残差图卷积网络的内部威胁检测方法，其特征在于，

所述基于所述内部用户数据构建内部威胁知识图谱本体，包括：

将所述内部用户数据中的离散型数据转换为独热编码向量；

基于所述独热编码向量构建内部威胁知识图谱本体。

5.如权利要求4所述的基于知识图谱和残差图卷积网络的内部威胁检测方法，其特征在于，

所述图数据库包括Neo4j图数据库。

6.如权利要求5所述的基于知识图谱和残差图卷积网络的内部威胁检测方法，其特征在于，

所述残差图卷积网络由三层的图卷积网络层和残差模块组成，并在初始残差跳跃连接到第三层所述图卷积网络层前加入了3层多层感知机层。

7.一种基于知识图谱和残差图卷积网络的内部威胁检测系统，应用于权利要求6所述的基于知识图谱和残差图卷积网络的内部威胁检测方法，其特征在于，

包括本体建模模块、数据采集和预处理模块、知识图谱构建和存储模块、知识图谱应用模块；