本文提供了用于基于序列預測將網絡流量或操作日志的特征進行上下文嵌入以進行異常檢測的技術。在實施例中，計算機具有檢測異常網絡流的預測性遞歸神經網絡(RNN)。在實施例中，RNN將表示日志消息的稀疏特征向量按上下文轉碼為密集特征向量，該密集特征向量可以是預測性的或被用于生成預測性向量。在實施例中，圖嵌入改善日志蹤跡的特征嵌入。在實施例中，計算機從相關日志消息中檢測獨立的蹤跡并對其進行特征編碼。這些技術可以通過對網絡分組流、日志消息和/或日志蹤跡的上下文感知特征嵌入進行異常分析來檢測惡意活動。

相關申請的交叉引用

以下相關參考文獻的全部內容通過引用并入：

·Juan Fernandez Peinador等人于2018年9月5日提交的標題為“MALICIOUSACTIVITY DETECTION BY CROSS-TRACE ANALYSIS AND DEEP LEARNING”的美國專利申請No.16/122,398。

·Zhou Guang-Tong Zhou等人于2018年9月5日提交的標題為“MALICIOUSNETWORK TRAFFIC FLOW DETECTION USING DEEP LEARNING”的美國專利申請No.16/122,664。

·Marc Lanctot等人于2017年5月19日提交的標題為“MEMORY-EFFICIENTBACKPROGATING THROUGHH TIME”的W.I.P.O.專利申請No.PCT/US2017/033698；

·Daniel Neil等人于2016年11月9日提交的標題為“MEMORY CELL UNIT ANDRECURRENT NEURAL NETWORK INCLUDING MULTIPLE MEMORY CELL UNITS”的美國專利申請No.15/347,501；

·Jun Zhang等人于2014年12月2日提交的標題為“AUTO-ENCODER ENHANCEDSELF-DIAGNOSTIC COMPONENTS FOR MODEL MONITORING”的美國專利申請No.14/558,700；以及

·Christopher M.Bishop的“EXACT CALCULATION OF THE HESSIAN MATRIXFORTHE MULTI-LAYER PERCEPTRON”，發表在Neural Computation 4第4期(1992年)第494-501頁上。

技術領域

本公開涉及序列(sequence)異常檢測。本文給出的是用于基于序列預測將網絡流量或操作日志的特征進行上下文(contextual)嵌入以進行異常檢測的技術。

背景技術

對于諸如企業和云數據中心之類的基于網絡的系統，網絡安全是一項重大挑戰。這些系統是復雜且動態的，并且在不斷演化的網絡環境中運行。雖然從網絡安全的角度來看越來越重要，但是分析主機之間流動的大量數據以及流量所伴隨的分布式處理已超出人類安全專家的工作量。在一些方面，用一些技術或多或少都無法管理流量和活動分析。

網絡數據的基本表示是作為網絡分組承載的未經處理(raw)網絡流量。大多數惡意活動發生在TCP/IP網絡模型的應用層中，其中應用在主機之間傳遞網絡分組的流。惡意活動的證據可以或多或少隱藏在分組的網絡流內。

大多數現有的工業解決方案充分利用基于規則或簽名的技術來檢測網絡流中的惡意活動。一些技術要求安全專家全面檢查已知的惡意流，以從中提取規則或簽名。如果新流與任何現有規則或簽名匹配，那么它被檢測為惡意流。基于規則或簽名的技術具有三個明顯的缺點：(i)它們只能檢測已知的惡意活動；(ii)模式和規則常常很難泛化并且因此經常錯過略有改變的惡意活動；以及(iii)對人類安全專家的參與有很大的要求。