WO2020042024A1

WO2020042024A1 - 一种基于图算法的节点异常检测方法、装置及存储装置

Info

Publication number: WO2020042024A1
Application number: PCT/CN2018/103052
Authority: WO
Inventors: 袁振南; 朱鹏新
Original assignee: 区链通网络有限公司
Priority date: 2018-08-29
Filing date: 2018-08-29
Publication date: 2020-03-05
Also published as: CN109844749B; CN109844749A

Abstract

一种基于图算法的节点异常检测方法、装置及存储装置，所述方法包括：获取预定时间段内网络集群各节点的属性特征，以属性特征的相似度量建立边的连接，连接各节点组成无向图（S101）；利用特征关系算子对属性特征进行计算，得到属性边的特征向量（S102）；计算各节点的不同度量，得到各节点的一组特征向量（S103）；利用预定训练算法，对各节点的特征向量进行训练，得到各节点的一组特征表示（S104）；利用预定自编码模型计算重构误差，得到各节点一组特征向量的异常偏移值，根据异常偏移值判断节点是否存在异常（S105）。通过上述方式，该方法能够快速高效的检测出具有异常行为的节点。

Description

一种基于图算法的节点异常检测方法、装置及存储装置

【技术领域】

本申请涉及网络通信技术领域，特别是涉及一种基于图算法的节点异常检测方法、装置及存储装置。

【背景技术】

在开放式网络集群中，会存在部分恶意节点对集群中其他节点进行端口扫描嗅探、攻击、违规请求或伪装请求的行为，导致集群整体性能下降、大规模数据泄露、大规模失败以致系统不可用的风险。本申请的发明人在长期的研究中，发现由于在开放式集群中，节点的接入环境复杂，节点的行为动态多变不可控，基于规则匹配和监督学习的检测技术难以有效及时的检测出未知的异常行为模式。

【发明内容】

本申请主要解决的技术问题是提供一种基于图算法的节点异常检测方法、装置及存储装置，能够快速高效的检测出具有异常行为的节点。

为解决上述技术问题，本申请采用的一个技术方案是：提供一种基于图算法的节点异常检测方法，其中，所述方法包括：获取预定时间段内网络集群各节点的属性特征，以属性特征的相似度量建立边的连接，连接各节点组成无向图；利用特征关系算子对属性特征进行计算，得到属性边的特征向量；计算各节点的不同度量，得到各节点的一组特征向量；利用预定训练算法，对各节点的特征向量进行训练，得到各节点的一组特征表示；利用预定自编码模型计算重构误差，得到各节点一组特征向量的异常偏移值，根据异常偏移值判断节点是否存在异常。

为解决上述技术问题，本申请采用的一个技术方案是：提供一种基于图算法的节点异常检测装置，其中，所述装置包括处理器，处理器用于获取预定时间段内网络集群各节点的属性特征，以属性特征的相似度量建立边的连接，连接各节点组成无向图；处理器还用于利用特征关系算子对属性特征进行计算，得到属性边的特征向量；处理器还用于计算各节点的不同度量，得到各节点的一组特征向量；处理器还用于将各节点的特征向量分别作为不同特征通道，利用预定训练算法，对各节点的特征向量进行训练，得到各节点的一组特征表示；处理器还用于利用预定自编码模型计算重构误差，得到各节点一组特征向量的异常偏移值，根据异常偏移值判断节点是否存在异常。

为解决上述技术问题，本申请采用的另一个技术方案是：提供一种基于图算法的节点异常检测装置，其中，所述装置包括：获取模块，用于获取预定时间段内网络集群各节点的属性特征，以属性特征的相似度量建立边的连接，连接各节点组成无向图；第一计算模块，用于利用特征关系算子对属性特征进行计算，得到属性边的特征向量；第二计算模块，用于计算各节点的不同度量，得到各节点的一组特征向量；训练模块，用于将各节点的特征向量分别作为不同特征通道，利用预定训练算法，对各节点的特征向量进行训练，得到各节点的一组特征表示；偏移量计算模块，用于利用预定自编码模型计算重构误差，得到各节点一组特征向量的异常偏移值，根据异常偏移值判断节点是否存在异常。

为解决上述技术问题，本申请采用的另一个技术方案是：提供一种具有存储功能的装置，其中，所述装置存储有程序，所述程序被执行时实现上述的基于图算法的节点异常检测方法。

本申请的有益效果是：区别于现有技术的情况，本申请提供一种基于图算法的节点异常检测方法、装置及存储装置，本申请基于图算法根据节点的特征属性，计算节点的各种统计度量，并将节点的度量与其他节点的度量进行比较，计算偏移量，得出异常值的度量，进而检测是否存在异常节点。

【附图说明】

图1是本申请基于图算法的节点异常检测方法第一实施方式的流程示意图；

图2是本申请基于图算法的节点异常检测方法第二实施方式的流程示意图；

图3是本申请基于图算法的节点异常检测装置第一实施方式的结构示意图；

图4是本申请基于图算法的节点异常检测装置第二实施方式的结构示意图；

图5是本申请具有存储功能的装置第一实施方式的结构示意图。

【具体实施方式】

为使本申请的目的、技术方案及效果更加清楚、明确，以下参照附图并举实施例对本申请进一步详细说明。

本申请提供一种基于图算法的节点异常检测方法、装置及存储装置，通过划分不同属性和不同粒度特征组成不同层级的图结构，即多层级的图结构；分别在各个层级提取特征表示和异常值；同时将各个层级的特征表示连接训练整体的特征表示和异常值，可以达到在各个特征维度进行快速高效检测出异常行为节点的目的。

请参阅图1，图1是本申请基于图算法的节点异常检测方法第一实施方式的流程示意图；在该实施方式中，该方法包括如下步骤：

S101：获取预定时间段内网络集群各节点的属性特征，以属性特征的相似度量建立边的连接，连接各节点组成无向图。

其中，本申请是基于图算法进行节点异常检测，图在算法中是树的拓展，树是从上向下的数据结构，节点都有一个父节点(根节点除外)，从上向下排列。而图没有了父子节点的概念，图中的节点都是平等关系。图可以分为无向图(简单连接)，有向图(连接有方向)，加权图(连接带权值)，加权有向图(连接既有方向又有权值)等。本申请采用无向图进行相关计算。获取各节点的属性特征，将获取的特征数据依据相关请求依赖或连接性质组成图结构。具体地，以属性特征的某种相似度量建立边的连接形成属性边。如可以是节点属性特征相等、节点属性特征的分布相似等；例如节点的IP属性在同一个IP段上；节点之间有网络连接或动作连接(当节点之间有动作连接时，两个节点上会产生相同的事件，可以对这个事件赋予相同的值，即两个属性特征相等)等。其中，各节点的属性特征在不同时间点可能是不同的、变化的，所以组成的图结构是动态的。

S102：利用特征关系算子对属性特征进行计算，得到属性边的特征向量。

其中，不同节点间通过属性边进行连接，具体地，若两个节点之间有交互动作，可以将这个交互动作作为属性特征的相似度量建立边的连接；或者若两个节点间有相同或相类似的特征，也可以将这些作为属性特征的相似度量建立边的连接；也就是说连接两个节点的属性边可以是多属性的。

在该方法中，我们需要将边的不同属性特征转换为数值表示(如用特征向量表示)，具体地，可以利用特征关系算子对边的属性特征进行计算，得到属性边的特征向量。其中，算子是一个函数空间到函数空间上的映射，广义的讲，对任何函数进行某一项操作都可以认为是一个算子，例如求幂次，开方，求对数等都可以认为是一个算子。

S103：计算各节点的不同度量，得到所述各节点的一组特征向量。

其中，一个节点可能连接有多条属性边，根据相关属性边的特征向量，计算各节点的不同度量，进而来表示为各个节点的基础表示向量。即需要将不同节点的属性转换为数值表示。

S104：利用预定训练算法，对各节点的特征向量进行训练，得到各节点的一组特征表示。

其中，利用深度学习算法进行训练，深度学习最简单的一种方法是利用人工神经网络的特点，人工神经网络(ANN)本身就是具有层次结构的系统，如果给定一个神经网络，我们假设其输出与输入是相同的，然后训练调整其参数，得到每一层中的权重，自然地，我们就得到了输入I的几种不同表示(每一层代表一种表示)，这些表示就是特征。深度学习是通过很深层次的网络实现准确率非常高的识别能力。

S105：利用预定自编码模型计算重构误差，得到各节点一组特征向量的异常偏移值，根据异常偏移值判断节点是否存在异常。

其中，自动编码器就是一种尽可能复现输入信号的神经网络，也可以理解为一个试图去还原其原始输入的系统。其训练的基本原理就是使得重构误差(定义为模型输出值与原始输入之间的均方误差)最小化，从而可以无监督(实际上是使用了输入数据做监督信号)地训练出一个深度学习网络。

其中，重构(Reconstruction)是指从经过变换的数据中恢复出原始数据。具体地，将输入的数据乘以一个矩阵得到降维之后的结果，之后再将降维之后的数据乘以之前权重矩阵的转置，恢复得到近似的原始图像。在这个过程中，我们希望输入层与输出层的图像之间越相似越好。如果相似性不好，则会出现偏移，即得到异常偏移值，根据异常偏移值判断节点是否存在异常。

其中，在一实施方式中，无向图为多层级图结构，将不同层级的特征向量作为不同特征粒度，在得到各节点一组特征向量的异常偏移值之后还包括：将各个层级的编码进行连接训练，得到整体编码模型，利用整体编码模型计算重构误差，得到各节点的整体偏移量。具体地，在无向图中，包括节点集，边集，子图结构，整体图结构等，其中边集，子图结构，整体图结构属于不同的层级，整体图结构的层级大于子图结构的层级，子图结构的层级大于边集的层级，即图结构为多层级的。

具体地，将不同粒度的特征表示进行连接训练，得到整体编码，这里的连接可以类似于深度残差网络中的残差连接。在该实施方式中，通过将不同粒度特征组成不同层级的图结构；分别在各个层级提取特征表示和异常值；同时将各个层级的特征表示连接训练整体的特征表示和异常值，可以达到在各个特征维度进行快速高效检测出异常行为节点的目的。

其中，在一实施方式中，将整体偏移量与预设阈值进行比较，若整体偏移量大于预设阈值，则判定节点存在异常。其中预设阈值可以是0.1～1.0的任意值，具体根据对节点的异常容忍度进行设置。

其中，在一实施方式中，网络集群包括多个服务器，并以各服务器作为节点，获取预定时间段内网络集群各节点的属性特征包括：获取各服务器的物理硬件指纹数据、网络环境数据、节点日志运行状态数据或节点间的交互动作数据。其中，物理硬件指纹数据为各服务器拥有相同的服务器版本/芯片型号等；网络环境数据为服务器的IP段等；节点日志运行状态数据为节点操作状态等；节点间的交互动作数据为节点间网络请求、节点间任务分配等。然后根据这些属性特征组成多属性动态的无向图。

其中，在一实施方式中，在各个层级的无向图中分别使用特征关系算子，将边的不同属性特征转换为数值表示。特征关系算子为：将属性特征按时间区段求和、属性特征相等、或将属性特征求对数等。其中，属性边为多属性边，利用特征关系算子对属性特征进行计算，得到属性边的特征向量包括：将属性边的不同属性特征分别在各自的特征关系算子下进行计算，并将计算结果及属性特征组成属性边的特征向量。

其中，在一实施方式中，利用图相关度量算法计算各节点的不同度量，例如可使用各种节点的图相关度量如：边的加权度量，子图结构度量如egonet，整体图结构表示度量如社群从属，来表示为各个节点的基础表示向量。

其中，在一实施方式中，利用预定训练算法，对各节点的特征向量进行训练包括：利用深度图结点嵌入(Deep Graph Embedding)训练算法对各节点的特征向量进行训练，得到各节点的一组特征表示。

其中，在一实施方式中，深度学习中用到重构比较多的模型主要是自动编码机(Autoencoder)和限制玻尔兹曼机(RBM)。这两种模型训练的基础都是基于重构误差最小化。而且，前者的训练使用的是Value-based重构误差最小化；而后者训练使用的是Distribution-based重构误差最小化。在该实施方式中，利用深度自编码模型计算重构误差，得到各节点一组特征向量的异常偏移值。

请参阅图2，图2是本申请基于图算法的节点异常检测方法第二实施方式的流程示意图；在该实施方式中，该方法利用多属性、多层级的动态图算法进行节点异常检测。其中，先获取属性特征；然后将特征数据依据相关请求依赖或连接性质组成图结构；再对图结果按照节点属性或者相似连接等性质进行划分为相应的子图结构(如利用矩阵分解算法)；最后根据节点的特征属性、节点所属的子图结构以及原有整体图结构计算节点的各种统计度量(如k-core数等)，并将节点的度量与邻居节点的度量、所在子图结构其他节点的度量以及整体图结构中其他节点的度量进行比较，计算偏移量，得出异常值的度量。

其中，在一个应用场景中，以节点a、b以及连接a、b的属性边为例进行说明。

S201：获取各节点的属性特征，根据连接性质组成图结构。

其中，分别获取各节点在各层级的属性特征，例如节点a向节点b发起网络请求，则可以以a和b为节点，网络请求动作为属性，建立属性图中的节点a、b和属性边e _ab。属性边可以是多属性的，如节点a、b之间还可以有任务分配动作等多个属性特征。当有更多节点、更多属性边时，也以相关连接性质进行连接组成图结构。图2中示出了两个层级的流程图(层级1的流程为S201-S204，层级2的流程为S201’-S204’)，在其他实施方式中，并不以两个层级为限定，可以是任意多层级。

S202：提取节点的边属性图特征。

其中，在各个层级的无向图中分别使用特征关系算子，将边的不同属性特征转换为数值表示。特征关系算子可以为按时段求和、相等、求对数等。以服务器节点a向b请求的动作属性边为例，将节点a、b之间的网络请求动作、任务分配动作，及其各自在特征关系算子下的运算结果组成该属性边的特征向量表示(υ ₁,υ ₂,…,υ _n)。

S203：计算节点的特征属性及其相关统计度量。

其中，在各个层级中，根据节点的特征属性、节点所属的子图结构以及原有整体图结构计算节点的各种统计度量。具体地，对各个层级的节点使用各种节点的图相关度量如：边的加权度量，子图结构度量如egonet，整体图结构表示度量如社群从属，来表示为各个节点的基础表示向量。以属性边e _ab为例，根据属性边e _ab的特征向量表示(υ ₁,υ ₂,…,υ _n)计算节点的不同度量，可得到节点a(或节点b)的一组特征向量

即一个节点会对应一组多个特征向量。

S204：对节点表示进行训练，得到节点特征向量的异常偏移值。

其中，将各个层级的图节点的不同特征向量表示，分别作为不同特征通道，用于深度图结点嵌入(Deep Graph Embedding)训练算法，进行训练。如以特征向量

为特征通道进行训练得到节点的特征表示

分别对其他特征向量进行训练，得到一个节点的一组特征表示

然后再利用深度自编码模型(Deep AutoEncoder)计算重构误差作为特征表示的偏移量

即为该组特征向量的异常偏移值。

S205：将各层级的编码进行连接训练得到综合特征表示和偏移值。

其中，将各个层级的特征向量表示视为不同特征粒度，将各个层级的编码进行连接训练整体的编码模型，例如将第一层级的偏移量

和第二层级的偏移量

进行连接，整体训练出来的重构误差视为整体偏移量。

将计算得出的偏移量与预设阈值进行比较，若整体偏移量大于预设阈值，则判定节点存在异常。

以上方案，通过将不同粒度特征组成不同层级的图结构；分别在各个层级提取特征表示和异常值；同时将各个层级的特征表示连接训练整体的特征表示和异常值，可以达到在各个特征维度进行快速高效检测出异常行为节点的目的，保障集群的性能和安全。

基于上述方法，本申请还提供一种基于图算法的节点异常检测装置，请参阅图3，图3是本申请基于图算法的节点异常检测装置第一实施方式的结构示意图。在该实施方式中，节点异常检测装置30包括处理器301，处理器301用于获取预定时间段内网络集群各节点的属性特征，以属性特征的相似度量建立边的连接，连接各节点组成无向图；处理器301还用于利用特征关系算子对属性特征进行计算，得到属性边的特征向量；处理器301还用于计算各节点的不同度量，得到各节点的一组特征向量；处理器301还用于将各节点的特征向量分别作为不同特征通道，利用预定训练算法，对各节点的特征向量进行训练，得到各节点的一组特征表示；处理器301还用于利用预定自编码模型计算重构误差，得到各节点一组特征向量的异常偏移值，根据异常偏移值判断节点是否存在异常。

其中，在一实施方式中，无向图为多层级图结构，将不同层级的特征向量作为不同特征粒度，处理器301还用于将各个层级的编码进行连接训练，得到整体编码模型，利用整体编码模型计算重构误差，得到各节点的整体偏移量。

其中，在一实施方式中，处理器还用于将整体偏移量与预定阈值进行比较，若整体偏移量大于预设阈值，则判定节点存在异常。

以上，该节点异常检测装置30可用于执行上述基于图算法的节点异常检测方法，对节点进行检测，且具有相应的有益效果，具体过程请参阅上述实施方式的描述，在此不再赘述。其中该装置可以是独立于服务器的独立装置，也可以是服务器中的某一模块，或某一处理单元。

请参阅图4，图4是本申请基于图算法的节点异常检测装置第二实施方式的结构示意图。在该实施方式中，节点异常检测装置40为服务器中的某一模块，具体包括获取模块401、第一计算模块402、第二计算模块403、训练模块404和偏移量计算模块405。

获取模块401用于获取预定时间段内网络集群各节点的属性特征，以属性特征的相似度量建立边的连接，连接各节点组成无向图。

第一计算模块402用于利用特征关系算子对属性特征进行计算，得到属性边的特征向量。

第二计算模块403用于计算各节点的不同度量，得到各节点的一组特征向量。

训练模块404用于将各节点的特征向量分别作为不同特征通道，利用预定训练算法，对各节点的特征向量进行训练，得到各节点的一组特征表示。

偏移量计算模块405用于利用预定自编码模型计算重构误差，得到各节点一组特征向量的异常偏移值，根据异常偏移值判断节点是否存在异常。

其中，在一实施方式中，无向图为多层级图结构，将不同层级的特征向量作为不同特征粒度，节点异常检测装置还包括：整体偏移量计算模块，用于将各个层级的编码进行连接训练，得到整体编码模型，利用整体编码模型计算重构误差，得到各节点的整体偏移量。

其中，在一实施方式中，节点异常检测装置还包括：比较模块，用于将整体偏移量与预定阈值进行比较，若整体偏移量大于预设阈值，则判定节点存在异常。该节点异常检测装置40可用于执行上述基于图算法的节点异常检测方法，对节点进行检测，且具有相应的有益效果，具体过程请参阅上述实施方式的描述，在此不再赘述。

本申请还提供一种具有存储功能的装置，请参阅图5，图5是本申请具有存储功能的装置第一实施方式的结构示意图。在该实施方式中，存储装置50存储有程序501，程序501被执行时实现上述基于图算法的节点异常检测方法。具体工作过程与上述方法实施例中一致，故在此不再赘述，详细请参阅以上对应方法步骤的说明。其中具有存储功能的装置可以是便携式存储介质如U盘、光盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟等各种可以存储程序代码的介质，也可以是终端、服务器等。

以上方案，本申请提供一种基于图算法的节点异常检测方法、装置及存储装置，通过将不同粒度特征组成不同层级的图结构；分别在各个层级提取特征表示和异常值；同时将各个层级的特征表示连接训练整体的特征表示和异常值，可以达到在各个特征维度进行快速高效检测出异常行为节点的目的，保障集群的性能和安全。

在本申请所提供的几个实施方式中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施方式仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施方式方案的目的。

另外，在本申请各个实施方式中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本申请各个实施方式所述方法的全部或部分步骤。

以上所述仅为本申请的实施方式，并非因此限制本申请的专利范围，凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本申请的专利保护范围内。

Claims

一种基于图算法的节点异常检测方法，其中，所述方法包括：

获取预定时间段内网络集群各节点的属性特征，以所述属性特征的相似度量建立边的连接，连接所述各节点组成无向图；

利用特征关系算子对所述属性特征进行计算，得到属性边的特征向量；

计算所述各节点的不同度量，得到所述各节点的一组特征向量；

利用预定训练算法，对所述各节点的特征向量进行训练，得到所述各节点的一组特征表示；

利用预定自编码模型计算重构误差，得到所述各节点一组特征向量的异常偏移值，根据所述异常偏移值判断所述节点是否存在异常。
根据权利要求1所述的基于图算法的节点异常检测方法，其中，所述无向图为多层级图结构，将不同层级的特征向量作为不同特征粒度，所述得到各节点一组特征向量的异常偏移值之后还包括：

将各个层级的编码进行连接训练，得到整体编码模型，利用所述整体编码模型计算重构误差，得到所述各节点的整体偏移量。
根据权利要求2所述的基于图算法的节点异常检测方法，其中，所述得到各节点的整体偏移量之后还包括：

将所述整体偏移量与预设阈值进行比较，若所述整体偏移量大于所述预设阈值，则判定所述节点存在异常。
根据权利要求1所述的基于图算法的节点异常检测方法，其中，所述属性边为多属性边，所述利用特征关系算子对所述属性特征进行计算，得到所述属性边的特征向量包括：

将所述属性边的不同属性特征分别在各自的特征关系算子下进行计算，并将计算结果及所述属性特征组成所述属性边的特征向量。
根据权利要求1所述的基于图算法的节点异常检测方法，其中，所述特征关系算子包括：将所述属性特征按时间区段求和、所述属性特征相等、或将所述属性特征求对数。
根据权利要求1所述的基于图算法的节点异常检测方法，其中，所述网络集群包括多个服务器，并以各服务器作为节点，所述获取预定时间段内网络集群各节点的属性特征包括：

获取所述各服务器的物理硬件指纹数据、网络环境数据、节点日志运行状态数据或节点间的交互动作数据。
根据权利要求1所述的基于图算法的节点异常检测方法，其中，所述计算各节点的不同度量，得到所述各节点的一组特征向量包括：

利用图相关度量算法计算所述各节点的不同度量，得到所述各节点的一组特征向量。
根据权利要求7所述的基于图算法的节点异常检测方法，其中，所述图相关度量算法包括：属性边的加权度量、子图结构度量或整体图结构度量。
根据权利要求1所述的基于图算法的节点异常检测方法，其中，所述利用预定训练算法，对所述各节点的特征向量进行训练包括：

利用深度图结点嵌入训练算法对所述各节点的特征向量进行训练，得到所述各节点的一组特征表示。
根据权利要求1所述的基于图算法的节点异常检测方法，其中，所述利用预定自编码模型计算重构误差包括：

利用深度自编码模型计算重构误差，得到所述各节点一组特征向量的异常偏移值。
一种基于图算法的节点异常检测装置，其中，所述装置包括处理器，所述处理器用于获取预定时间段内网络集群各节点的属性特征，以所述属性特征的相似度量建立边的连接，连接所述各节点组成无向图；

所述处理器还用于利用特征关系算子对所述属性特征进行计算，得到属性边的特征向量；

所述处理器还用于计算所述各节点的不同度量，得到所述各节点的一组特征向量；

所述处理器还用于将所述各节点的特征向量分别作为不同特征通道，利用预定训练算法，对所述各节点的特征向量进行训练，得到所述各节点的一组特征表示；

所述处理器还用于利用预定自编码模型计算重构误差，得到所述各节点一组特征向量的异常偏移值，根据所述异常偏移值判断所述节点是否存在异常。
根据权利要求11所述的基于图算法的节点异常检测装置，其中，所述无向图为多层级图结构，将不同层级的特征向量作为不同特征粒度，所述处理器还用于将各个层级的编码进行连接训练，得到整体编码模型，利用所述整体编码模型计算重构误差，得到所述各节点的整体偏移量。
根据权利要求12所述的基于图算法的节点异常检测装置，所述处理器还用于将所述整体偏移量与预定阈值进行比较，若所述整体偏移量大于所述预设阈值，则判定所述节点存在异常。
一种基于图算法的节点异常检测装置，其中，所述装置包括：

获取模块，用于获取预定时间段内网络集群各节点的属性特征，以所述属性特征的相似度量建立边的连接，连接所述各节点组成无向图；

第一计算模块，用于利用特征关系算子对所述属性特征进行计算，得到属性边的特征向量；

第二计算模块，用于计算所述各节点的不同度量，得到所述各节点的一组特征向量；

训练模块，用于将所述各节点的特征向量分别作为不同特征通道，利用预定训练算法，对所述各节点的特征向量进行训练，得到所述各节点的一组特征表示；

偏移量计算模块，用于利用预定自编码模型计算重构误差，得到所述各节点一组特征向量的异常偏移值。
一种具有存储功能的装置，其中，所述装置存储有程序，所述程序被执行时实现权利要求1至10任一项所述的基于图算法的节点异常检测方法。