本發(fā)明提供了一種基于行為特征編碼的半監(jiān)督網(wǎng)絡(luò)異常行為檢測方法，屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。本發(fā)明通過無標(biāo)簽網(wǎng)絡(luò)行為樣本對特征編碼網(wǎng)絡(luò)進(jìn)行預(yù)訓(xùn)練，獲得基于流型空間的三種特征表示；預(yù)訓(xùn)練學(xué)習(xí)到的特征編碼表示有效表達(dá)了正常樣本的先驗(yàn)分布特征，能夠使網(wǎng)絡(luò)異常行為在基于流行空間的特征表達(dá)上與正常行為具有顯著差異。然后利用無標(biāo)簽網(wǎng)絡(luò)行為數(shù)據(jù)樣本和有標(biāo)簽的網(wǎng)絡(luò)異常行為數(shù)據(jù)樣本對整個(gè)網(wǎng)絡(luò)(由特征編碼網(wǎng)絡(luò)和異常打分網(wǎng)絡(luò)組成的網(wǎng)絡(luò))進(jìn)行端到端的訓(xùn)練，以聯(lián)合優(yōu)化特征編碼網(wǎng)絡(luò)的重建誤差和整個(gè)網(wǎng)絡(luò)的異常打分。聯(lián)合優(yōu)化后，網(wǎng)絡(luò)正常行為與異常行為能夠得到有效區(qū)分，從而幫助系統(tǒng)獲得優(yōu)異的網(wǎng)絡(luò)異常行為檢測性能。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種基于行為特征編碼的半監(jiān)督網(wǎng)絡(luò)異常行為檢測方法。

背景技術(shù)

網(wǎng)絡(luò)異常行為檢測是網(wǎng)絡(luò)安全領(lǐng)域的重要研究內(nèi)容。企業(yè)管理系統(tǒng)、銀行支付系統(tǒng)、物聯(lián)網(wǎng)工控系統(tǒng)等應(yīng)用場景中常常存在網(wǎng)絡(luò)異常行為，可能對網(wǎng)絡(luò)系統(tǒng)的安全性和穩(wěn)定性造成威脅。網(wǎng)絡(luò)異常行為主要是網(wǎng)絡(luò)攻擊(例如拒絕服務(wù)攻擊、端口掃描等)導(dǎo)致的。在對網(wǎng)絡(luò)異常行為進(jìn)行異常檢測時(shí)，可以根據(jù)其連接屬性、內(nèi)容特征、流量統(tǒng)計(jì)特征等進(jìn)行分析得到相關(guān)特征屬性描述。由于網(wǎng)絡(luò)異常行為與正常行為的產(chǎn)生原因和行為特征不同，因此往往與正常行為表現(xiàn)出一定的偏差。由于網(wǎng)絡(luò)異常行為往往是難以預(yù)測的，且實(shí)際的網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)量通常十分龐大，因此實(shí)際應(yīng)用場景中需要建立相應(yīng)的異常檢測系統(tǒng)進(jìn)行網(wǎng)絡(luò)異常行為的檢測，從而及時(shí)發(fā)現(xiàn)并快速響應(yīng)，減少或避免損失。現(xiàn)有異常檢測系統(tǒng)通常基于機(jī)器學(xué)習(xí)模型進(jìn)行構(gòu)建(以行為特征作為輸入)，這類異常檢測系統(tǒng)需要基于豐富的有標(biāo)注的異常數(shù)據(jù)進(jìn)行訓(xùn)練來達(dá)到較好的異常檢測性能。然而在實(shí)際應(yīng)用場景中，獲取大量有標(biāo)注的異常數(shù)據(jù)通常是十分困難的。

現(xiàn)有技術(shù)中無監(jiān)督學(xué)習(xí)方法試圖建立用于描述正常數(shù)據(jù)的模型，將正常樣本和異常樣本映射到不同區(qū)域。但由于其未對有標(biāo)簽的異常樣本進(jìn)行學(xué)習(xí)，因此無法學(xué)習(xí)到有關(guān)異常的先驗(yàn)知識，導(dǎo)致難以達(dá)到很好的效果。

現(xiàn)有的有監(jiān)督/半監(jiān)督學(xué)習(xí)方法雖然利用了極少量有標(biāo)簽異常數(shù)據(jù)中的先驗(yàn)信息，但由于學(xué)習(xí)過程中很容易對這些極少量的異常數(shù)據(jù)產(chǎn)生過擬合，故很難直接訓(xùn)練好一個(gè)有效的異常檢測器。

發(fā)明內(nèi)容

針對現(xiàn)有技術(shù)中的上述不足，本發(fā)明提供的一種基于行為特征編碼的半監(jiān)督網(wǎng)絡(luò)異常行為檢測方法，克服了難以獲取大量有標(biāo)注異常數(shù)據(jù)帶來的困難、解決了由于不對有標(biāo)簽的異常樣本進(jìn)行學(xué)習(xí)導(dǎo)致的缺乏關(guān)于異常的先驗(yàn)知識的問題、解決了半監(jiān)督算法中存在的對異常樣本過擬合嚴(yán)重的問題。

為了達(dá)到以上目的，本發(fā)明采用的技術(shù)方案為：

本方案提供一種基于行為特征編碼的半監(jiān)督網(wǎng)絡(luò)異常行為檢測方法，包括以下步驟：

S1、構(gòu)建基于自動編碼器的無監(jiān)督特征編碼網(wǎng)絡(luò)，并對其進(jìn)行預(yù)訓(xùn)練，將原始網(wǎng)絡(luò)行為數(shù)據(jù)樣本向量映射至低維流型空間并進(jìn)行重建，得到隱空間向量、重建殘差向量和重建殘差向量的二范數(shù)值三種特征編碼；

S2、構(gòu)建由所述無監(jiān)督特征編碼網(wǎng)絡(luò)和基于全連接網(wǎng)絡(luò)的異常打分網(wǎng)絡(luò)構(gòu)成的網(wǎng)絡(luò)異常行為檢測系統(tǒng)，將數(shù)據(jù)樣本作為網(wǎng)絡(luò)異常行為檢測系統(tǒng)的輸入，其中，所述三種特征編碼作為異常打分網(wǎng)絡(luò)的輸入；

S3、獲取待檢測網(wǎng)絡(luò)行為數(shù)據(jù)，利用所述網(wǎng)絡(luò)異常行為檢測系統(tǒng)進(jìn)行異常檢測，并輸出異常檢測結(jié)果，完成基于行為特征編碼的半監(jiān)督網(wǎng)絡(luò)異常行為檢測方法。

進(jìn)一步地，所述步驟S1中的特征編碼網(wǎng)絡(luò)包括編碼器和解碼器；

所述編碼器，用于將輸入的原始網(wǎng)絡(luò)行為數(shù)據(jù)樣本從原始空間編碼至低維的隱空間；

所述解碼器，用于將原始網(wǎng)絡(luò)行為數(shù)據(jù)樣本的隱空間向量解碼至原始樣本空間，得到隱空間向量、重建殘差向量和重建殘差向量的二范數(shù)值三種特征編碼。

再進(jìn)一步地，所述步驟S1包括以下步驟：