一种基于双域图卷积神经网络的内部威胁异常检测方法

1.本发明涉及网络安全技术领域，尤其涉及一种基于双域图卷积神经网络的内部威胁异常检测方法。


背景技术：

2.内部威胁作为网络安全领域的一个重要研究课题，已经成为近年来造成众多网络安全事件的主要因素之一，给企业带来了巨大的损失。与外部威胁相比，内部威胁通常是由已经被授权访问组织内部信息系统并熟悉企业内部防御流程的组织内部人员发起的。通常意义上讲，内部威胁是指由内部人员造成的威胁。他们可以在造成企业隐私或财产威胁后删除足迹，这对传统的异常检测方案来说是难以发现的。
3.由于缺乏有效的内部威胁检测方法，且内部攻击者熟悉公司的核心机密，内部威胁的后果往往比外部攻击的后果更严重，这一点引起学术界越来越多的重视。因此，全面部署信息系统的网络安全方法，检测企业或者机构的内部威胁是极为迫切的。
4.目前为止，研究人员在内部威胁检测方面做了大量的工作。一般来说，现有的内部威胁检测可以分为两类。
5.1)第一种典型的内部威胁检测方法致力于提取各种内部威胁模式，并根据已知信息对内部威胁进行异常检测。这些技术主要是通过博弈论、机器学习等建立用户的行为基准，将正常用户与内部威胁进行分类。例如，根据系统行为日志(文件访问、登录和注销操作、可移动设备的使用)来分析用户，并考虑角色特征属性，形成实时监控系统。然而，这种传统模型必须提取多种威胁模式并充分利用用户行为信息，这在高维度、复杂性高、异质性强和稀疏性大的现代企业数据情况下是繁琐和代价昂贵的工作。
6.2)另一种典型的内部威胁检测方法集中精力于将用户的各种行为信息转化为序列数据(即日志条目之间的顺序关系，操作顺序关系等)，这可以掌握用户的一段时间内操作信息。针对这一类方法，同时为了有效捕捉内部威胁行为，深度学习的快速发展为此带来了新的视角。深度学习作为表征学习的子领域，具有强大的特征表示能力，在解决复杂问题方面表现突出，可以学习深刻的隐层信息，同时进行抽象和准确的表示。序列处理技术，如深度学习中的卷积神经网络(cnn)、循环神经网络(rnn)、长短时记忆网络(lstm)，被应用于分析过去事件并预测用户的下一步操作。从本质上讲，这些方法将行为事件级别模拟或定义了用户的正常行为，并将偏离它的行为标记为内部威胁异常情况。然而，这类检测方法是基于这样的假设，即用户在一段时间内的日常行为是相对规律和稳定的(几天或几周的逻辑关系)，这样太过太理想化了。上述预测方法忽略了用户的结构性信息，导致高误报率、准确率低且适应性差。


技术实现要素：

7.本发明针对现有方法忽略了用户的结构性信息，导致高误报率、准确率低且适应性差的问题，提出一种基于双域图卷积神经网络的内部威胁异常检测方法。
8.为了实现上述目的，本发明的技术方案如下：
9.一种基于双域图卷积神经网络的内部威胁异常检测方法，包括以下步骤：
10.s1、基于用户之间的交互信息构建始邻接矩阵，根据原始特征矩阵和结构信息，通过加权特征相似度函数构建特征域的邻接矩阵和特征矩阵；
11.s2、分别通过拓扑域卷积和特征域卷操作，在拓扑域和特征域上传播节点特征，以学习相应的图嵌入；
12.s3、根据从拓扑域和特征域中提取的图嵌入，对用户行为和操作进行矢量化，利用注意力机制来学习这两个图嵌入中每个节点的重要性权重，并自适应地传播，生成最终的节点嵌入。
13.进一步地，步骤s1中，邻接矩阵a由0，1组成，如果节点i和节点j相连，则a
ij
＝1，否则a
ij
＝0。
14.进一步地，步骤s1中，通过加权特征相似度函数构建特征域的邻接矩阵方法为：
15.衡量节点之间关系的质量：
16.af(i，j)＝ω
×si，j
+(1-ω)
×aij
，
ꢀꢀꢀ
(1)
17.其中s
i，j
为相似性函数，ω为平衡超参数区间为(0,1)，用于平衡节点之间的连接性与特征相似性，s
i，j
为相似性函数；
18.当af(i，j)＞0.5则该对节点在特征域建立连接。
19.进一步地，相似性函数选用cos相似性测量：
[0020][0021]
其中fi和fj表示节点i和节点j的特征向量。
[0022]
进一步地，步骤s2中，特征域的第l层的图嵌入表示为：
[0023][0024]
初始阶段x是节点特征，是第l层gcn在特征域中的权重矩阵，σ为relu激活函数，卷积核采用双层图卷积，为af对角度矩阵。
[0025]
进一步地，步骤s2中，拓扑域的第l层的图嵌入表示为：
[0026][0027]
其中σ是relu激活函数，卷积核采用双层图卷积，是a
t
的对角线度矩阵，是第l层gcn在拓扑域中的权重矩阵。
[0028]
进一步地，步骤s3的具体过程为：
[0029]
首先将特征域和拓扑域的两个图嵌入合并，得到合并图嵌入n
′
是两个图嵌入中节点的数量，d是节点特征的维度，d
′
为隐藏嵌入的维度。对于在合并图嵌入z
cat
中的节点i，为节点i在合并图嵌入表征，节点i的嵌入通过非线性变换进行传播，并应用注意力的共享向量来计算注意力值ξi,计算方式如公式(5)：
[0030]
ξi＝q
t
σ(w(zi)
t
+b)
ꢀꢀꢀ
(5)
[0031]
其中w为权重矩阵，b为偏置向量，σ为激活函数，选用tanh作为计算注意力值的激活函数；
[0032]
之后，应用softmax函数归一化注意力值，得到最终的重要性权重：
[0033][0034]
α
ij
反应了节点i在拓朴域和特征域所有节点的重要性，对于两个图中的所有节点，最终的节点嵌入表示如下：
[0035][0036]
进一步地，本发明采用组合约束和差异性约束来提高检测方法的有效性，其中，组合约束通过共享参数计算的组合嵌入来提高拓朴域和特征域具有组合效应，差异性约束用来改善两个图嵌入和相应的组合嵌入之间的差异效应。
[0037]
进一步地，组合约束的生成过程为：
[0038]
利用l2正则化来计算拓扑域和特征域的共同嵌入，拓扑域和特征域的正则化表示为z
tnor
和z
fnor
，计算拓扑域和特征域归一化矩阵的相似度s
t
和sf，即：
[0039][0040][0041]
组合约束以下式计算：
[0042]
l
comb
＝||s
t-sf||2ꢀꢀꢀ
(10)。
[0043]
进一步地，差异性约束的生成过程为：
[0044]
利用共享参数计算的得出拓扑域和特征域的共同嵌入，分别用z
combt
和z
combf
表示，针对拓扑图中的差异性计算公式如下：
[0045][0046]
其中i为n阶单位向量，tr表示矩阵的“迹”；k
t
和k
combt
为gram矩阵，计算公式如下：
[0047][0048]
其中以及以及为拓
扑域中第i个节点的嵌入表示，为拓扑域中第i个节点的共同嵌入；
[0049]
针对特性图的差异性计算公式如下：
[0050][0051]
总差异性约束为：
[0052]
l
diff
＝hsic(z
t
，z
combt
)+hsic(zf，z
combf
)
ꢀꢀꢀ
(14)
[0053]
采用线性变换和一个softmax函数进行多分类计算，节点的类别预测值按以下方式计算：
[0054][0055]
选择交叉熵损失用于节点分类的整体训练过程，设训练集为l，训练集中的标签集合为y
l
，预测标签集合为则交叉熵损失计算为：
[0056][0057]
其中c为节点预测的种类；
[0058]
最终损失函数为：
[0059][0060]
其中γ和β为响应约束的超参数。
[0061]
与现有技术相比，本发明的有益效果为：
[0062]
1、本发明提出一种新的加权特征相似性机制用于内部威胁检测，通过利用特征相似性和原始联系，该机制探索了更多的用户行为信息和原始联系，并将用户的日志条目转化为异质图，从而掌握了用户的典型行为信息，最大限度地提高了标记样本的使用率。提出的机制计算了用户之间的个体特征相似性，并提取了潜在的结构信息。因此，各种结构信息可以被充分量化和发现。
[0063]
2、本发明提出了双域图卷积神经网络模型，一个用于内部威胁检测任务的双域和双卷积运算的图神经网络模型，它同时考虑到了结构和特征信息，本发明所提出的双域图卷积神经网络模型，能够通过捕捉和表示用户关系和特征来检测用户的恶意行为。此外，本发明将注意力机制应用于学习相关节点的不同重要性，以自适应地捕捉行为差异。该模型实现了对内部威胁的检测精度的提高和不同规模信息的聚合。
[0064]
综上，本发明考虑到了现有模型忽略的结构信息，同时使用目前表现出色图卷积神经网络处理内部威胁。在传统的图卷积神经网络的基础上，提出双域图卷积神经网络模型，同时考虑到了节点的结构信息和特征信息，提高内部威胁检测的准确率，降低误报率。实验表明，该模型与传统模型和当下sota模型对比准确率提升较大且自适应能力强。
附图说明
[0065]
为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例中所
需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。
[0066]
图1为本发明实施例提供的双域图卷积神经网络模型图；
[0067]
图2为本发明实施例提供的损失函数中的两种约束生成过程图。
具体实施方式
[0068]
本发明针对现有内部威胁检测忽略结构信息的缺陷，提出一种基于双域图卷积神经网络的内部威胁检测方法。如图1所示，首先，设计了一种新颖的加权特征相似性机制，从用户之间的原始联系网络中构建用户行为特征图，并整合多种关系。这个数据的构建基于用户正常的标记的交互关系，例如，电子邮件交互和设备交互等用户之间的互动。接下来，利用特征图和结构拓扑图，在特征图和拓扑图上传播用户行为特征，以便用两个特定的卷积模块在这两个空间中提取两个特定的嵌入。这样，我们同时根据从结构拓扑和特征信息中提取的图嵌入，对用户行为和操作进行矢量化。然后，利用注意力机制来学习这两个图嵌入中每个节点的重要性权重，以便自适应地传播它们。通过这种方式，内部威胁标签能够监督学习过程，适应性地调整两个图中每个节点的重要性权重，并提取最相关的信息。同时在损失函数方面，在基础的交叉熵损失基础上，我们也设计了组合和差异约束，以确保所学图嵌入的共同性和差异性。
[0069]
为了更好地理解本技术方案，下面结合附图对本发明的方法做详细的说明。
[0070]
参考图1所示，本发明提供的一种基于双域图卷积神经网络的内部威胁异常检测方法，包括以下步骤：
[0071]
首先利用用户之间的交互信息构建原始邻接矩阵，例如使用企业或组织内部用户邮件往来信息构建交互邻接矩阵a，邻接矩阵a由0和1组成，如果节点i和节点j相连，a
ij
＝1，否则a
ij
＝0。根据原始特征矩阵和结构信息，通过加权的特征相似度函数，构建特征域的邻接矩阵和特征矩阵。
[0072]
然后，通过两次卷积操作，节点特征x能够在拓扑域和特征域上传播，以学习相应的嵌入z
t
和zf。
[0073]
由于节点标签与拓扑域和特征域中的一个或两个相关联，因此应用注意机制将嵌入内容与所学的重要性权重相联系。学习到的重要性权重自适应地联系起来，以提取最相关的信息，利用最相关的信息来生成最终的分类结果z。
[0074]
(1)特征域卷积操作
[0075]
仅利用简单的拓扑结构来描述融合过程是不够的，因此，我们提出了一种全面的加权特征相似性方法，以利用节点之间的边缘联系和它们的特征的相关性，以便捕捉特征域中的底层结构节点。节点之间关系的质量是通过以下方式衡量的：
[0076]af
(i，j)＝ω
×si，j
+(1-ω)
×aij
，
ꢀꢀꢀ
(1)
[0077]
其中s
i，j
为相似性函数，ω为平衡超参数区间为(0，1)，用于平衡节点之间的连接性与特征相似性，相似性函数s
i，j
在本发明中选用的是cos相似性测量：
[0078]
[0079]
其中fi和fj表示节点i和节点j的特征向量，
[0080]
通过式(1)(2)计算的出的af(i，j)＞0.5则该对节点在特征域建立连接。
[0081]
特征域邻接矩阵构建如算法1所示：
[0082][0083]
在生成特征域af的邻接矩阵后，本发明中的特征域中的输入图为(af，x)，随后第l层的特征嵌入zf可以表示为：
[0084][0085]
初始阶段初始阶段是第l层gcn在特征域中的权重矩阵，σ为激活函数，本发明选用relu激活函数，卷积核采用双层图卷积，为af对角度矩阵。在特征域的最后一个嵌入被表示为zf，通过式(3)计算出特征域的图嵌入表示。
[0086]
(2)拓扑域卷积操作
[0087]
对于拓扑域，卷积模块的输入是原始邻接矩阵和特征矩阵图(a
t
，x)。拓扑嵌入的第l层z
t
的计算方法与特征域的计算方法相同，即：
[0088]
[0089]
其中σ是激活函数，relu被选为我们的激活函数。是a
t
的对角线度矩阵。是拓扑域中第l层的权重矩阵。拓扑域中的最后一个嵌入被表示为z
t
。
[0090]
(3)注意力机制
[0091]
首先将特征域和拓扑域的两个图嵌入合并，得到合并图嵌入n
′
是两个图嵌入中节点的数量，d是节点特征的维度，d
′
为隐藏嵌入的维度。对于在合并图嵌入z
cat
中的节点i，为节点i在合并图嵌入表征，节点i的嵌入通过非线性变换进行传播，并应用注意力的共享向量来计算注意力值ξi,计算方式如公式(5)：
[0092]
ξi＝q
t
σ(w(zi)
t
+b)
ꢀꢀꢀ
(5)
[0093]
其中w为权重矩阵，b为偏置向量，σ为激活函数，选用tanh作为计算注意力值的激活函数；
[0094]
之后，应用softmax函数归一化注意力值，得到最终的重要性权重：
[0095][0096]
α
ij
反应了节点i在拓朴域和特征域所有节点的重要性，对于两个图中的所有节点，最终的节点嵌入表示如下：
[0097][0098]
由于我们有两个特定的嵌入z
t
和zf，不同的节点特征对最终结果的贡献不同。因此，注意机制被应用来学习相应的重要性。
[0099]
最终嵌入计算方式如算法2所示：
[0100]
[0101][0102]
(4)损失函数
[0103]
本发明设计了两个约束条件来提高我们所提出的模型的有效性。由于拓朴域和特征域具有组合效应效果(即节点标签与这两个领域相关)，进而提出组合约束，通过共享参数计算的组合嵌入来提高这一效果。差异约束被设计用来改善两个图嵌入和相应的组合嵌入之间的差异效应，提高域嵌入和相应的组合嵌入之间的差异效果。这两个约束的生成过程如图2所示。
[0104]
约束组合：
[0105]
一般来说，节点分类结果可能与特征域和拓扑域的信息有关。由于组合嵌入意味着节点标签与特征域和特性域都有关系，并且它们是用共享的参数学习的，所以组合约束的设计就是为了提升这种效果。我们利用l2正则化来计算不同领域的共同嵌入，并将拓扑域和特征域的正则化表示为z
tnor
和z
fnor
。然后，这两个归一化的矩阵被用于计算相似度，表示为s
t
和sf，即：
[0106][0107][0108]
组合约束以下式计算：
[0109]
l
comb
＝||s
t-sf||2ꢀꢀꢀ
(10)
[0110]
差异性约束：
[0111]
对于利用共享参数计算的得出拓扑域和特征域的共同嵌入，分别用z
combt
和z
combf
表示。由于两个共同嵌入与原来两个图嵌入由相同的图学习而来，因此，本发明提出了一个差异约束条件来加强它们学习不同的信息，本发明中利用希尔伯特-施密特独立判据(hsic)计算差异性约束。以针对拓扑图中的差异性计算步骤如下：
[0112][0113]
其中i为n阶单位向量，tr表示矩阵的“迹”。k
t
和k
combt
为gram矩阵，计算方式如下：
[0114][0115]
其中以及以及为拓扑域中第i个节点的嵌入表示，亦然。而针对特性图的差异性计算步骤与拓扑域相同：
[0116][0117]
综上，本发明中的总差异性约束为：
[0118]
l
diff
＝hsic(z
t
，z
combt
)+hsic(zf，z
combf
)
ꢀꢀꢀ
(14)
[0119]
输出的嵌入z采用线性变换和一个softmax函数进行多分类计算，节点的类别预测值按以下方式计算：
[0120][0121]
在本发明中，我们选择交叉熵损失用于节点分类的整体训练过程。设训练集为l，训练集中的标签集合为y
l
，预测标签集合为则交叉熵损失计算为：
[0122][0123]
其中c为节点预测的种类。考虑到共同性约束和差异性约束，本发明的最终损失函数为：
[0124][0125]
γ和β为响应约束的超参数。
[0126]
在模型训练时，各参数设置如下：
[0127]
表1模型训练参数
[0128]
epoch300learningrate0.001weightdecay5e-4ω0.7dropout0.5nhid1512nhid232γ0.01β1e-9
[0129]
其中nhid1和nhid2为个双层图卷积模型的层数，权重衰减以及dropout为深度学习训练trick。
[0130]
实验数据采用cert r4.2和r6.2数据集，cert r4.2模拟了一个拥有1000名员工的公司，其中70名员工是三个威胁场景中的内部威胁人员。三种内部威胁情景为数据外流、知识产权破坏和信息技术破坏。在这个数据集中有32,770,227个活动，7,323个恶意活动是由内部威胁检测任务的专家手动注入，代表了发现的三种内部威胁场景。cert r4.2涉及几类用户行为数据，如文件访问(创建、修改、删除、文件名、文件类型等)、邮件收发、设备使用(移动存储设备、打印机等)、http访问、系统登录等，还包括用户的职务和工作部门等信息。cert r6.2模拟了一个拥有4000名员工的公司，其中5名员工是三个威胁场景中的恶意内部人员。在这个数据集中有135,117,169个活动，470个恶意活动是由专家手动注入的。数据集属于多源数据，通过对内部人员的多个行为域表征，模拟了包括信息窃取、系统破坏、内部欺诈三类主要内部攻击，并将异常数据分散在大量的正常数据中。在该数据集中，分为7个子数据源：email数据、logon数据、device数据、file数据、http数据、psychometric数据、ldap数据，数据集的详细信息如表2所示。
[0131]
表2数据集信息
[0132]
数据名称内容说明维度logon登录登出日志5device移动设备使用说明5file文件操作日志6email电子邮件日志7http员工上网日志6psychometric员工心理调查7ldap员工信息9
[0133]
由于基于深度学习的方法是数据驱动的，检测模型的性能高度依赖于训练数据。根据标签率随机采样的训练数据导致这些模型使用不同的标签数据进行训练。因此，为了进行合理的比较，在训练每个用于比较的模型时，报告了在训练集上相同标签率下运行10次的准确率和f1得分的平均值和标准偏差。
[0134]
实验结果在相同数据集上对比了当前流行的机器学习方法和深度学习方法，实验对比的机器学习方法包括支持向量机、随机森林、逻辑回归、局部离群因子(lof)、轻型异常在线检测器(loda)。lof算法是一种无监督的异常检测方法，可计算给定数据点相对于其邻居的局部密度偏差。它认为密度远低于其邻居的样本为异常值。loda是由一个基于弱直方图的异常检测器和一个稳健的检测器组成。与机器学习方法对比的具体实验结果如表3所示。
[0135]
表3机器学习方法对比实验结果
[0136][0137]
实验对比的深度学习方法主要有：自编码器(ae)、长短记忆神经网络(lstm)、卷积神经网络(cnn)、图卷积神经网络(gcn)与特征加强的图神经网络(gcn-fa)，与深度学习方法对比实验结果如表4所示。
[0138]
表4深度学习方法对比实验结果
[0139][0140]
实验结果表明，本发明的模型与传统模型和当下sota模型等对比，准确率提升较大且自适应能力强。
[0141]
此外，本发明中的模型，在数据预处理结果稍加改造也可用于其他异常检测问题，如：信用卡欺诈。
[0142]
以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

技术特征：
1.一种基于双域图卷积神经网络的内部威胁异常检测方法，其特征在于，包括如下步骤：s1、基于用户之间的交互信息构建始邻接矩阵，根据原始特征矩阵和结构信息，通过加权特征相似度函数构建特征域的邻接矩阵和特征矩阵；s2、分别通过拓扑域卷积和特征域卷操作，在拓扑域和特征域上传播节点特征，以学习相应的图嵌入；s3、根据从拓扑域和特征域中提取的图嵌入，对用户行为和操作进行矢量化，利用注意力机制来学习这两个图嵌入中每个节点的重要性权重，并自适应地传播，生成最终的节点嵌入。2.根据权利要求1所述的一种基于双域图卷积神经网络的内部威胁异常检测方法，其特征在于，所述步骤s1中，邻接矩阵a由0，1组成，如果节点i和节点j相连，则a
ij
＝1，否则a
ij
＝0。3.根据权利要求1所述的一种基于双域图卷积神经网络的内部威胁异常检测方法，其特征在于，步骤s1中，通过加权特征相似度函数构建特征域的邻接矩阵方法为：衡量节点之间关系的质量：a
f
(i，j)＝ω
×
s
i，j
+(1-ω)
×
a
ij
，
ꢀꢀꢀꢀ
(1)其中s
i，j
为相似性函数，ω为平衡超参数区间为(0,1)，用于平衡节点之间的连接性与特征相似性，s
i，j
为相似性函数；当a
f
(i，j)＞0.5则该对节点在特征域建立连接。4.根据权利要求3所述的一种基于双域图卷积神经网络的内部威胁异常检测方法，其特征在于，相似性函数选用cos相似性测量：其中f
i
和f
j
表示节点i和节点j的特征向量。5.根据权利要求1所述的一种基于双域图卷积神经网络的内部威胁异常检测方法，其特征在于，步骤s2中，特征域的第l层的图嵌入表示为：初始阶段x是节点特征，是第l层gcn在特征域中的权重矩阵，σ为relu激活函数，卷积核采用双层图卷积，为a
f
对角度矩阵。6.根据权利要求1所述的一种基于双域图卷积神经网络的内部威胁异常检测方法，其特征在于，步骤s2中，拓扑域的第l层的图嵌入表示为：其中σ是relu激活函数，卷积核采用双层图卷积，是a
t
的对角线度矩阵，是第l层
gcn在拓扑域中的权重矩阵。7.根据权利要求1所述的一种基于双域图卷积神经网络的内部威胁异常检测方法，其特征在于，步骤s3的具体过程为：首先将特征域和拓扑域的两个图嵌入合并，得到合并图嵌入n
′
是两个图嵌入中节点的数量，d是节点特征的维度，d
′
为隐藏嵌入的维度；对于在合并图嵌入z
cat
中的节点i，为节点i在合并图嵌入表征，节点i的嵌入通过非线性变换进行传播，并应用注意力的共享向量来计算注意力值ξ
i
，计算方式如公式(5)：ξ
i
＝q
t
σ(w(z
i
)
t
+b)
ꢀꢀꢀꢀ
(5)其中w为权重矩阵，b为偏置向量，σ为激活函数，选用tanh作为计算注意力值的激活函数；之后，应用softmax函数归一化注意力值，得到最终的重要性权重：-α
ij
反应了节点i在拓朴域和特征域所有节点的重要性，对于两个图中的所有节点，最终的节点嵌入表示如下：8.根据权利要求1所述的一种基于双域图卷积神经网络的内部威胁异常检测方法，其特征在于，采用组合约束和差异性约束来提高检测方法的有效性，其中，组合约束通过共享参数计算的组合嵌入来提高拓朴域和特征域具有组合效应，差异性约束用来改善两个图嵌入和相应的组合嵌入之间的差异效应。9.根据权利要求8所述的一种基于双域图卷积神经网络的内部威胁异常检测方法，其特征在于，组合约束的生成过程为：利用l2正则化来计算拓扑域和特征域的共同嵌入，拓扑域和特征域的正则化表示为z
tnor
和z
fnor
，计算拓扑域和特征域归一化矩阵的相似度s
t
和s
f
，即：即：组合约束以下式计算：l
comb
＝||s
t-s
f
||2ꢀꢀꢀꢀ
(10)10.根据权利要求8所述的一种基于双域图卷积神经网络的内部威胁异常检测方法，其特征在于，差异性约束的生成过程为：利用共享参数计算的得出拓扑域和特征域的共同嵌入，分别用z
combf
和z
combf
表示，针对拓扑图中的差异性计算公式如下：
其中i为n阶单位向量，tr表示矩阵的“迹”；k
t
和k
combt
为gram矩阵，计算公式如下：其中以及以及为拓扑域中第i个节点的嵌入表示，为拓扑域中第i个节点的共同嵌入；针对特性图的差异性计算公式如下：总差异性约束为：l
diff
＝hsic(z
t
，z
combt
)+hsic(z
f
，z
combf
)
ꢀꢀꢀꢀ
(14)采用线性变换和一个softmax函数进行多分类计算，节点的类别预测值按以下方式计算：选择交叉熵损失用于节点分类的整体训练过程，设训练集为l，训练集中的标签集合为y
l
，预测标签集合为则交叉熵损失计算为：其中c为节点预测的种类；最终损失函数为：其中γ和β为响应约束的超参数。

技术总结
本发明公开了一种基于双域图卷积神经网络的内部威胁异常检测方法，包括如下步骤：S1、基于用户之间的交互信息构建始邻接矩阵，根据原始特征矩阵和结构信息，通过加权特征相似度函数构建特征域的邻接矩阵和特征矩阵；S2、分别通过拓扑域卷积和特征域卷操作，在拓扑域和特征域上传播节点特征，以学习相应的图嵌入；S3、根据从拓扑域和特征域中提取的图嵌入，对用户行为和操作进行矢量化，利用注意力机制来学习这两个图嵌入中每个节点的重要性权重，并自适应地传播，生成最终的节点嵌入。本发明在传统的图卷积神经网络的基础上，提出双域图卷积神经网络模型，同时考虑到了节点的结构信息和特征信息，提高内部威胁检测的准确率，降低误报率。误报率。误报率。


技术研发人员：李小勇 李曦明 李灵慧 高雅丽 苑洁 蔡斌思 贾佳 邓以豪
受保护的技术使用者：北京邮电大学
技术研发日：2022.11.08
技术公布日：2023/7/26