一种基于潜在扩散模型的用户异常行为检测方法与流程

1.本发明涉及网络安全态势感知技术领域，尤其涉及一种基于潜在扩散模型的用户异常行为检测方法。


背景技术：

2.内部威胁行为往往具有隐蔽性、突发性、稀疏性等特点。针对采用gan、vae等经典方法训练得到的生成模型容易陷入局部过拟合且难以收敛，导致检测器的泛化能力不理想，最终影响检测性能。


技术实现要素：

3.本发明的目的在于提供一种基于潜在扩散模型的用户异常行为检测方法，旨在解决现有的生成模型对内部危险行为的检测性能较低的问题。
4.为实现上述目的，本发明提供了一种基于潜在扩散模型的用户异常行为检测方法，包括以下步骤：
5.使用采集工具采集用户行为数据集，并对所述用户行为数据集进行预处理，得到预处理数据集；
6.基于潜在扩散模型对所述预处理数据集进行数据增强，得到增强后样本；
7.将所述增强后样本输入基于注意力机制的行为检测模块，得到检测结果。
8.其中，所述采集工具包括日志管理工具、网络流量分析工具和漏洞扫描工具。
9.其中，所述预处理为归一化处理。
10.其中，所述基于潜在扩散模型对所述预处理数据集进行数据增强，得到增强后样本，包括：
11.建立一个条件输入字典；
12.采用扩散模型对所述预处理数据集进行数据增强，得到增强后用户行为数据；
13.将所述增强后用户行为数据输入到编码器a中进行编码后，将编码结果映射到潜在空间进行扩散处理，得到扩散数据；
14.随机从所述条件输入字典中选择任意一项条件输入到编码器c，由所述编码器c映射到所述潜在空间；
15.由所述潜在空间中的转换器对所述扩散数据和映射到所述潜在空间中的条件进行矩阵转换，得到转换数据；
16.将所述转换数据输入到降噪器中进行降噪，得到输出结果；
17.通过解码器b将所述输出结果从所述潜在空间映射会显式空间，得到增强后样本。
18.其中，所述基于注意力机制的行为检测模块包括重叠块嵌入、骨干网络模块、合并层、多层感知机和softmax层；
19.所述骨干网络模块为mixformer-1d。
20.其中，所述将所述增强后样本输入基于注意力机制的行为检测模块，得到检测结
果，包括：
21.将所述增强后样本输入所述重叠块嵌入进行处理，得到处理样本；
22.将所述处理样本输入所述mixformer-1d，得到多个输出特征；
23.将多个所述输出特征输入所述合并层进行融合，得到融合特征；
24.将所述融合特征输入所述多层感知机在经过所述softmax层进行特征输入，得到检测结果。
25.本发明的一种基于潜在扩散模型的用户异常行为检测方法，通过使用采集工具采集用户行为数据集，并对所述用户行为数据集进行预处理，得到预处理数据集；基于潜在扩散模型对所述预处理数据集进行数据增强，得到增强后样本；将所述增强后样本输入基于注意力机制的行为检测模块，得到检测结果，本发明设计潜在扩散模型进行样本数据增强，解决了以往gan以及vae在训练时由于需要同时优化多个模型，而使得训练难以收敛的问题，同时gan与vae样本生成较为单一的问题，为检测提供更加丰富逼真的样本；同时设计基于高效注意力机制的行为检测方法，解决了以往transformer在进行异常检测的时候检测速度较慢的问题，使得模型在保证检测精度的情况下，提高了检测性能，解决了现有的生成模型对内部危险行为的检测性能较低的问题。
附图说明
26.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
27.图1是本发明提供的一种基于潜在扩散模型的用户异常行为检测方法的总体构建图。
28.图2是基于潜在扩散模型对所述预处理数据集进行数据增强的基本架构图。
29.图3是基于注意力机制的行为检测模块的示意图。
30.图4是本发明提供的一种基于潜在扩散模型的用户异常行为检测方法的流程图。
具体实施方式
31.下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。
32.请参阅图1至图4，本发明提供一种基于潜在扩散模型的用户异常行为检测方法，包括以下步骤：
33.s1使用采集工具采集用户行为数据集，并对所述用户行为数据集进行预处理，得到预处理数据集；
34.具体的，所述采集工具包括日志管理工具、网络流量分析工具和漏洞扫描工具。所述预处理为归一化处理。
35.s2基于潜在扩散模型对所述预处理数据集进行数据增强，得到增强后样本；
36.具体方式为：
37.s21建立一个条件输入字典；
38.s22采用扩散模型对所述预处理数据集进行数据增强，得到增强后用户行为数据；
39.s23将所述增强后用户行为数据输入到编码器a中进行编码后，将编码结果映射到潜在空间进行扩散处理，得到扩散数据；
40.s24随机从所述条件输入字典中选择任意一项条件输入到编码器c，由所述编码器c映射到所述潜在空间；
41.s25由所述潜在空间中的转换器对所述扩散数据和映射到所述潜在空间中的条件进行矩阵转换，得到转换数据；
42.s26将所述转换数据输入到降噪器中进行降噪，得到输出结果；
43.s27通过解码器b将所述输出结果从所述潜在空间映射会显式空间，得到增强后样本。
44.s3将所述增强后样本输入基于注意力机制的行为检测模块，得到检测结果。
45.具体的，所述基于注意力机制的行为检测模块包括重叠块嵌入、骨干网络模块、合并层、多层感知机和softmax层；所述骨干网络模块为mixformer-1d。
46.具体方式为：
47.s31将所述增强后样本输入所述重叠块嵌入进行处理，得到处理样本；
48.具体的，将所述增强后样本输入到基于高效注意力机制的行为检测模块，为该模块的训练工作提供数据增强后的用户行为数据。
49.其中公式如下：
50.设x∈rf为一个输入向量，f为特征长度，t为时间，与编码器c编码后的最大向量长度相等，经过编码器a编码映射到潜在空间进行扩散计算，之后将样本的特征信息，如用户日志，行为信息，知识图谱等，输入到编码器c中进行编码，经过转换器进行输入适配张量大小后逐层加入到降噪模型中进行逐层降噪，最后喂入解码器b中输出结果y，编码器c的输出为n。
51.设z为编码器a编码x之后进入潜在空间的向量，则z＝a(x)，y＝b(z)＝a(b(x))，此处z∈rf，且f与f为下采样关系，下采样比例系数为g，则，且f与f为下采样关系，下采样比例系数为g，则逆向扩散马尔科夫链长度为t。令第θ个降噪自编码器为∈
θ
(x
t
,t),t＝1
…
t，即此处t为第t个马尔科夫链，用以训练出对输入x
t
进行降噪，而x
t
为x的噪声变换。
52.对于编码器c的输入α，c会将其转化为其中d
τ
为为编码器输出的向量长度。而基于unet的降噪器中的注意力机制公式如下：
[0053][0054]
其中此处记为unet降噪器∈
θ
的输出，且为可训练的预测矩阵，
[0055][0056]
而在解码器训练完成后，该扩散模型将被置于后台进行睡眠，仅采用解码器进行日志的检测，从而提高检测的效率，并减少系统的开销。
[0057]
s32将所述处理样本输入所述mixformer-1d，得到多个输出特征；
[0058]
具体的，将mixformer修改为mixformer-1d的步骤如下：
[0059]
1、数值定义。设输入向量为l
×
1，首先将该向量分为块大小为4的块，相比于经典的transformer，更小的块更加有利于全连接预测任务。将块分层mixformer-1d编码器的输入，以获得用户行为特征长度处的多级特征，并将多级特征传递给all-mlp解码器，以分辨率预测分割掩码，其中n
cls
为类别数。
[0060]
2、多级特征表示。设通道数向量为c。对于给定的任意一个特征图fi,i∈[1,2,3,4]，则对于每一个mixformer-1d网络有输入向量大小为l
×ci
×
si。
[0061]
3、一维高效自注意力机制设计。编码器的主要计算瓶颈网络(bottle neck network)为自注意力层。在原来的多头自注意力机制中，每个头q、k、v都具有相同的维数l
×
c，则自注意力估计公式为：
[0062][0063]
该过程的计算复杂度为o(l2)，于是采用序列估计方式进行计算复杂度的简化，此过程使用一个衰减比系数r来减少序列的长度，公式为:
[0064][0065][0066]
其中k为待估计序列，指将k重塑为形状为的序列，linear(c
in
,c
out
)(
·
)指线性层以一个c
out
维张量作为输入，生成一个c
out
维张量作为输出。因此，新k的维数为从而将自注意力机制的复杂度从o(l2)降低到而将r从模块1到模块4设为[64,16,4,1]。
[0067]
4、一维mix-ffn(feedforwardnetwork)设计。一般的transformer可通过位置编码(positional encoding)进行精度方面的提升，但由于编码过程计算
[0068]
量较大，运行较慢，因此此处采用mix-ffn代替，具体公式为：
[0069]
x
out
＝mlp(gelu(conv3(mlp(x
in
))))+x
in
[0070]
其中x
in
为自注意力机制网络的特征。mix-ffn将一个大小为3的卷积核和一个多层感知机混合到每个ffn中。且实验表明大小为3的卷积足以为transformer提供位置信息。另外，本项目使用深度卷积来减少参数的数量并提高效率。
[0071]
s33将多个所述输出特征输入所述合并层进行融合，得到融合特征；
[0072]
s34将所述融合特征输入所述多层感知机在经过所述softmax层进行特征输入，得到检测结果。
[0073]
有益效果
[0074]
1.设计潜在扩散模型进行样本数据增强，解决了以往gan以及vae在训练时由于需要同时优化多个模型，而使得训练难以收敛的问题，同时gan与vae样本生成较为单一的问题，为检测提供更加丰富逼真的样本；
[0075]
2.设计基于高效注意力机制的行为检测方法，解决了以往transformer在进行异常检测的时候检测速度较慢的问题，使得模型在保证检测精度的情况下，提高了检测速度。
[0076]
以上所揭露的仅为本发明一种基于潜在扩散模型的用户异常行为检测方法较佳实施例而已，当然不能以此来限定本发明之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本发明权利要求所作的等同变化，仍属于发明所涵盖的范围。

技术特征：
1.一种基于潜在扩散模型的用户异常行为检测方法，其特征在于，包括以下步骤：使用采集工具采集用户行为数据集，并对所述用户行为数据集进行预处理，得到预处理数据集；基于潜在扩散模型对所述预处理数据集进行数据增强，得到增强后样本；将所述增强后样本输入基于注意力机制的行为检测模块，得到检测结果。2.如权利要求1所述的基于潜在扩散模型的用户异常行为检测方法，其特征在于，所述采集工具包括日志管理工具、网络流量分析工具和漏洞扫描工具。3.如权利要求2所述的基于潜在扩散模型的用户异常行为检测方法，其特征在于，所述预处理为归一化处理。4.如权利要求3所述的基于潜在扩散模型的用户异常行为检测方法，其特征在于，所述基于潜在扩散模型对所述预处理数据集进行数据增强，得到增强后样本，包括：建立一个条件输入字典；采用扩散模型对所述预处理数据集进行数据增强，得到增强后用户行为数据；将所述增强后用户行为数据输入到编码器a中进行编码后，将编码结果映射到潜在空间进行扩散处理，得到扩散数据；随机从所述条件输入字典中选择任意一项条件输入到编码器c，由所述编码器c映射到所述潜在空间；由所述潜在空间中的转换器对所述扩散数据和映射到所述潜在空间中的条件进行矩阵转换，得到转换数据；将所述转换数据输入到降噪器中进行降噪，得到输出结果；通过解码器b将所述输出结果从所述潜在空间映射会显式空间，得到增强后样本。5.如权利要求4所述的基于潜在扩散模型的用户异常行为检测方法，其特征在于，所述基于注意力机制的行为检测模块包括重叠块嵌入、骨干网络模块、合并层、多层感知机和softmax层；所述骨干网络模块为mixformer-1d。6.如权利要求5所述的基于潜在扩散模型的用户异常行为检测方法，其特征在于，所述将所述增强后样本输入基于注意力机制的行为检测模块，得到检测结果，包括：将所述增强后样本输入所述重叠块嵌入进行处理，得到处理样本；将所述处理样本输入所述mixformer-1d，得到多个输出特征；将多个所述输出特征输入所述合并层进行融合，得到融合特征；将所述融合特征输入所述多层感知机在经过所述softmax层进行特征输入，得到检测结果。

技术总结
本发明涉及网络安全态势感知技术领域，具体涉及一种基于潜在扩散模型的用户异常行为检测方法，包括使用采集工具采集用户行为数据集，并对所述用户行为数据集进行预处理，得到预处理数据集；基于潜在扩散模型对所述预处理数据集进行数据增强，得到增强后样本；将所述增强后样本输入基于注意力机制的行为检测模块，得到检测结果，本发明设计基于高效注意力机制的行为检测方法，解决了以往Transformer在进行异常检测的时候检测速度较慢的问题，使得模型在保证检测精度的情况下，提高了检测性能，解决了现有的生成模型对内部危险行为的检测性能较低的问题。测性能较低的问题。测性能较低的问题。


技术研发人员：陶晓玲 谢胜勇 何威 贾如春 刘昊伟
受保护的技术使用者：广西朗杰智慧科技发展有限公司
技术研发日：2023.05.31
技术公布日：2023/9/9