本發明公開了一種多因素網絡異常行為檢測方法，屬于網絡空間安全技術領域。本發明結合變分自動編碼器和生成對抗網絡，融合了用戶信息、設備信息、設備狀態、用戶權限、賬號登錄、訪問客體、行為屬性的多因素網絡動態、靜態信息，能夠有效地對網絡內正常行為進行重構，對網絡內異常行為進行檢測。

技術領域

本發明涉及網絡安全技術領域，具體涉及一種多因素網絡異常行為檢測方法。

背景技術

訓練深度神經網絡通常需要大量標記數據，網絡才能學習到視覺理解任務所需要的特征表示。但是許多實際場景中，只有有限數量的標記數據可用于訓練網絡，這極大地限制了深度神經網絡的適用性。由于異常節點檢測任務標注樣本較少，使得有監督的方法不適用于屬性網絡異常節點檢測，利用無監督或半監督的深度學習方法進行異常檢測逐漸成為網絡異常行為檢測領域的研究熱點。由于其無監督的性質，異常檢測在網絡安全中起著核心作用，特別是在未知攻擊的檢測方面。

無監督的圖神經網絡異常節點檢測可利用原始無標注樣本數據，學習屬性網絡的低維表達，并利用重建數據與原始數據誤差，檢測異常節點。自編碼器是由多個編碼函數和解碼函數構成的可無監督學習的神經網絡，并在自然語言處理、計算機視覺及語音識別等領域存在廣泛應用GAN的生成器通過學習真實數據的分布，將隨機噪聲轉換為與真實數據相似的生成數據，具有對復雜高維數據分布的建模能力。利用GAN進行異常檢測的一般步驟是先使用正常樣本數據訓練GAN，使生成器完全學習到正常數據的真實分布，此時GAN已經具備重建正常數據樣本的能力。當輸入的數據是從未見過的異常樣本時，GAN重建的樣本和原始輸入樣本將表現出明顯差異，當這種差異超過一定范圍時即判定輸入數據存在異常。

以變分自編碼器(VAE,variational autoecoder)和生成對抗網絡(GAN,generative adversarial network)結構為代表的無監督或半監督深度生成異常檢測方法，利用無標簽的正常數據即可完成訓練，突破了對數據標注和正負樣本平衡性要求的限制。VAE以分布參數的重構概率作為異常度量，能夠對不同結構的輸入數據進行檢測，但由于VAE訓練時缺少限制指導，導致其穩健性較差且容易出現過擬合。GAN通過學習正常樣本數據的分布生成近似數據，當異常樣本輸入訓練好的GAN時，生成樣本與輸入樣本之間存在較大差異，這種差異可以作為異常檢測的依據，但由于GAN缺少自編碼器，導致其在訓練初期較困難。傳統的GAN使用f散度作為目標函數進行訓練，存在著因“梯度失穩”(“梯度消失”或”“梯度爆炸”)而無法完成訓練和因“模式崩潰”生成樣本單一的問題。

發明內容

為解決上述問題，本發明提出一種多因素網絡異常行為檢測方法。該方法利用VAE進行編碼-解碼的操作進行輸入數據的重構；同時增加一個編碼器使隱層向量學習到正常數據的表達，同時在輸入網絡增加變換矩陣，使VAE學習到網路的變換；并利用WGAN的判別結果進行對抗訓練，使用Wasserstein距離作為模型損失函數，期望在模型訓練時更加穩健，避免出現“梯度失穩”和“模式崩潰”等問題。通過定義損失函數進行訓練，達到最好效果，得出異常網絡行為檢測得分。

本發明的目的是這樣實現的：

一種多因素網絡異常行為檢測方法，包括以下步驟：

步驟1，獲取數據矩陣X、變換矩陣W、變換后的數據矩陣X’；

步驟2，將X、W、X’輸入編碼器GE1，得到編碼后的矩陣G_E1(X)、G_E1(W)、G_E1(X’)；所述編碼器GE1由兩層神經網絡組成，激活函數為線性整流函數ReLU，用于計算輸入數據的低維均值和方差，從隱變量空間采樣，得到中間層變量；G_E1(X)、G_E1(W)分別為X和W經過G_E1的隱變量z、θ；