【技术实现步骤摘要】
本申请涉及网络安全与数据安全,特别是涉及零信任行为异常检测方法、装置、电子设备及存储介质。
技术介绍
1、在对零信任网络场景中,通常需要判断各实体设备的工作行为是否异常,也即需要对各实体设备进行异常检测。并且,需要通过对各实体设备的异常检测结果,减少异常检测结果为异常的实体设备的权限,也即减少工作行为异常的实体设备的权限,因此,如何实现对零信任网络中的实体设备的异常检测成为了一种亟待解决的问题。
技术实现思路
1、本申请实施例的目的在于提供一种零信任行为异常检测方法、装置、电子设备及存储介质,以实现对零信任网络中的实体设备的异常检测。具体技术方案如下:
2、本申请实施例提供了一种零信任行为异常检测方法,所述方法包括:
3、获取各实体设备在测试时间段内的测试特征数据,其中,所述测试特征数据包括:全局特征数据、统计特征数据、序列特征数据;所述测试特征数据中的全局特征数据用于表征请求实体和资源实体之间的关联关系;所述请求实体为发起各所述实体设备之间的行为的实体设备,所述资源实体为所述行为针对的实体设备;所述测试特征数据中的统计特征数据用于表征所述请求实体和所述资源实体之间的行为的行为类型和行为结果,所述测试特征数据中的序列特征数据用于表征所述请求实体和所述资源实体之间的行为的关联顺序;
4、将所述测试特征数据输入至自编码器模型中,计算得到所述自编码器模型输出的解码数据;
5、若所述解码数据与所述测试特征数据之间的差异大于预设阈值,则确定所述
6、其中,所述自编码器模型为预先通过以下方式训练得到的:
7、获取各所述实体设备在第一预设时间段内的原始样本数据;
8、按照所述行为的时间将所述原始样本数据划分为多组第一样本数据;其中,同组的所述第一样本数据所表征的行为的时间位于同一第一时间窗口内;
9、针对各组所述第一样本数据,按照所述行为的时间将所述第一样本数据划分为多组第二样本数据;其中,同组的所述第二样本数据所表征的行为的时间位于同一第二时间窗口内;所述第二时间窗口小于所述第一时间窗口;
10、分别对各组所述第二样本数据进行数据处理,得到各组所述第二样本数据对应的特征数据;
11、针对各组所述第一样本数据,将所述第一样本数据包括的所述第二样本数据对应的特征数据进行拼接,得到所述第一样本数据对应的特征数据;
12、将各组所述第一样本数据对应的特征数据进行拼接,得到样本特征数据;其中,所述样本特征数据包括:全局特征数据、统计特征数据、序列特征数据;所述样本特征数据中的全局特征数据用于表征所述请求实体和所述资源实体之间的关联关系,所述样本特征数据中的统计特征数据用于表征所述请求实体和所述资源实体之间的行为的行为类型和行为结果,所述样本特征数据中的序列特征数据用于表征所述请求实体和所述资源实体之间的行为的关联顺序;
13、将所述样本特征数据输入至原始自编码器模型中,计算得到所述原始自编码器模型输出的预测解码数据;
14、基于所述预测解码数据与所述样本特征数据之间的差异,对所述原始自编码器模型的参数进行调整,并以参数调整后的原始自编码器模型作为新的原始自编码器模型,返回执行所述将所述样本特征数据输入至原始自编码器模型中,计算得到所述自编码器模型输出的预测解码数据的步骤,直至达到第一预设终止条件为止。
15、在一种可能的实施例中,所述样本特征数据包括全局特征数据;
16、所述分别对各组所述第二样本数据进行数据处理,得到各组所述第二样本数据对应的特征数据,包括:
17、针对各组所述第二样本数据,以各所述实体设备为节点,连接所述第二样本数据所表征的发起所述行为的请求实体以及所述行为针对的资源实体所对应的节点,得到所述第二样本数据对应的图数据,并将所述图数据转换为请求全局数据和资源全局数据,作为所述第二样本数据对应的第一全局数据;其中,所述请求全局数据为以所述请求实体和行为为维度的数据,所述资源全局数据为以资源实体和行为为维度的数据;
18、所述针对各组所述第一样本数据,将所述第一样本数据包括的所述第二样本数据对应的特征数据进行拼接,得到所述第一样本数据对应的特征数据,包括:
19、针对各组所述第一样本数据,将所述第一样本数据包括的所述第二样本数据对应的第一全局数据进行拼接,得到所述第一样本数据对应的第二全局数据;
20、所述将各组所述第一样本数据对应的特征数据进行拼接,得到样本特征数据,包括:
21、将各组所述第一样本数据对应的第二全局数据进行拼接,得到所述样本特征数据中的全局特征数据;
22、所述自编码器模型包括图自编码器模型,所述原始自编码器模型包括原始图自编码器模型;
23、所述将所述样本特征数据输入至原始自编码器模型中,计算得到所述原始自编码器模型输出的预测解码数据,包括:
24、将所述样本特征数据中的全局特征数据输入至原始图自编码器模型中,计算得到所述原始图自编码器模型输出的第一预测解码数据;
25、所述基于所述预测解码数据与所述样本特征数据之间的差异,对所述原始自编码器模型的参数进行调整,并以参数调整后的原始自编码器模型作为新的原始自编码器模型,返回执行所述将所述样本特征数据输入至原始自编码器模型中,计算得到所述自编码器模型输出的预测解码数据的步骤,直至达到第一预设终止条件为止,包括:
26、基于所述第一预测解码数据与所述样本特征数据中的全局特征数据之间的差异,对所述原始图自编码器模型的参数进行调整,并以参数调整后的原始图自编码器模型作为新的原始图自编码器模型,返回执行所述将所述样本特征数据中的全局特征数据输入至原始图自编码器模型中,计算得到所述原始图自编码器模型输出的第一预测解码数据的步骤,直至达到第二预设终止条件为止。
27、在一种可能的实施例中,所述样本特征数据包括统计特征数据;
28、所述分别对各组所述第二样本数据进行数据处理,得到各组所述第二样本数据对应的特征数据,包括:
29、针对各组所述第二样本数据,按照所述行为的时间将所述第二样本数据划分为多组第三样本数据;其中,同组的所述第三样本数据所表征的行为的时间位于同一第三时间窗口内;所述第三时间窗口小于所述第二时间窗口;
30、针对各组所述第二样本数据,按照所述第三样本数据所表征的行为的行为结果,对所述第三样本数据进行划分,分别得到n个第一请求数据矩阵,以及m个第一资源数据矩阵,作为所述第二样本数据的第一统计数据;
31、其中,第n个所述第一请求数据矩阵的第i行第x列第t层用于表征第n个所述请求实体在所述第二样本数据包括的第t组第三样本数据中行为结果为i的行为类型x;第m个所述第一资源数据矩阵的第i行第x列第t层用于表征第m个所述资源实体在所述第二样本数据包括的第t组第三样本数据中行为结果为i本文档来自技高网...
【技术保护点】
1.一种零信任行为异常检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述样本特征数据包括全局特征数据;
3.根据权利要求1所述的方法,其特征在于,所述样本特征数据包括统计特征数据;
4.根据权利要求1所述的方法,其特征在于,所述样本特征数据包括序列特征数据;
5.根据权利要求1所述的方法,其特征在于,所述自编码器模型包括:图自编码器模型、多个栈式自编码器子模型以及多个序列自编码器子模型;所述图自编码器模型包括编码器和解码器,所述编码器为基于图卷积网络构建的,所述解码器为基于向量点积构建的;各所述栈式自编码器子模型的特征降维方式不同;各所述序列自编码器子模型的特征降维方式不同;
6.根据权利要求5所述的方法,其特征在于,对所述第一差异、各所述第二差异与各所述第三差异进行加权的过程中,各所述第二差异的权重为预先针对所述第二差异对应的栈式自编码器子模型设置的权重,各所述第三差异的权重为预先针对所述第三差异对应的序列自编码器子模型设置的权重,所述第二差异对应的栈式自编码器子模型为得到所述第二差异
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
8.一种零信任行为异常检测装置,其特征在于,所述装置包括:
9.一种电子设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-7任一所述的方法。
...【技术特征摘要】
1.一种零信任行为异常检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述样本特征数据包括全局特征数据;
3.根据权利要求1所述的方法,其特征在于,所述样本特征数据包括统计特征数据;
4.根据权利要求1所述的方法,其特征在于,所述样本特征数据包括序列特征数据;
5.根据权利要求1所述的方法,其特征在于,所述自编码器模型包括:图自编码器模型、多个栈式自编码器子模型以及多个序列自编码器子模型;所述图自编码器模型包括编码器和解码器,所述编码器为基于图卷积网络构建的,所述解码器为基于向量点积构建的;各所述栈式自编码器子模型的特征降维方式不同;各所述序列自编码器子模型的特征降维方式不同;
6.根据权利要求5所述的方法,其特征在于,对所述第一...
【专利技术属性】
技术研发人员:王滨,张峰,王家骅,田志宏,万里,夏松,李超豪,周少鹏,
申请(专利权)人:杭州海康威视数字技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。