[發明專利]一種具備可解釋性的用戶行為異常檢測方法有效
| 申請號: | 202011590113.3 | 申請日: | 2020-12-29 |
| 公開(公告)號: | CN112685272B | 公開(公告)日: | 2022-10-14 |
| 發明(設計)人: | 彭佳;計暢;李敏;高能;屠晨陽 | 申請(專利權)人: | 中國科學院信息工程研究所 |
| 主分類號: | G06F11/34 | 分類號: | G06F11/34;G06K9/62;G06N3/04;G06N3/08 |
| 代理公司: | 北京君尚知識產權代理有限公司 11200 | 代理人: | 司立彬 |
| 地址: | 100093 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 具備 解釋性 用戶 行為 異常 檢測 方法 | ||
1.一種具備可解釋性的用戶行為異常檢測方法,其步驟包括:
1)使用特征提取模塊收集目標網絡中用戶的特征信息;
2)圖矩陣模塊根據各用戶的特征信息構建鄰接矩陣;其中所述圖矩陣模塊根據用戶特征信息確定用戶之間是否存在直接聯系,然后使用權重方程A(i,j)=w*cos(Fi,Fj)+(1-w)*Cij計算用戶i與用戶j之間的相似度A(i,j),根據相似度確定用戶之間的聯系;Fi為用戶i的特征信息,Fj為用戶j的特征信息,w為權重系數,Cij代表用戶i與用戶j之間是否存在直接聯系,如果存在則Cij=1,否則Cij=0;其中,所述圖矩陣模塊根據用戶之間是否有過郵件溝通確定對應用戶之間是否有直接聯系,對于有郵件溝通記錄的用戶之間確定有直接聯系;
3)利用所述鄰接矩陣訓練圖卷積網絡,得到一個用于異常檢測的分類模型;
4)利用圖解釋模塊以設定優化目標函數對該分類模型進行訓練,得到圖掩膜M和特征選擇器F;其中圖解釋模塊的優化目標函數為XS為節點S對異常節點Y最優貢獻的特征、GS為節點S對異常節點Y最有貢獻的子圖、H()為信息熵函數、MI()為互信息函數;
5)將一待檢測用戶的特征輸入訓練后的分類模型,得到分類結果,如果該用戶為異常節點,則利用圖掩模M從分類模型中得到該異常節點的關聯節點、利用特征選擇器F得到分類模型各節點的特征中與該異常節點最相關的關聯特征,將得到的關聯節點和關聯特征作為該異常節點的解釋信息。
2.如權利要求1所述的方法,其特征在于,所述用戶特征信息包括設備使用的特征、登錄特征、文件使用特征、社交特征和瀏覽特征。
3.如權利要求1所述的方法,其特征在于,當A(i,j)>0.5的時候,將用戶i和用戶j建立聯系。
4.如權利要求1所述的方法,其特征在于,利用平均場變分近似對隨機圖變量進行分解其中As[j,k]代表邊(vj,vk)的存在期望值,vj為分類模型中的節點j、vk為分類模型中的節點k,(vj,vk)連接節點j、k的邊,GC為子圖集合。
5.如權利要求1所述的方法,其特征在于,其中是Gs中的節點特征子集,是沒有被圖掩模M蓋住的節點特征。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國科學院信息工程研究所,未經中國科學院信息工程研究所許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011590113.3/1.html,轉載請聲明來源鉆瓜專利網。
