本技术涉及网络安全与数据安全,特别是涉及零信任行为异常检测方法、装置、电子设备及存储介质。
背景技术:
1、在对零信任网络场景中,通常需要判断各实体设备的工作行为是否异常,也即需要对各实体设备进行异常检测。并且,需要通过对各实体设备的异常检测结果,减少异常检测结果为异常的实体设备的权限,也即减少工作行为异常的实体设备的权限,因此,如何实现对零信任网络中的实体设备的异常检测成为了一种亟待解决的问题。
技术实现思路
1、本技术实施例的目的在于提供一种零信任行为异常检测方法、装置、电子设备及存储介质,以实现对零信任网络中的实体设备的异常检测。具体技术方案如下:
2、本技术实施例提供了一种零信任行为异常检测方法,所述方法包括:
3、获取各实体设备在测试时间段内的测试特征数据,其中,所述测试特征数据包括:全局特征数据、统计特征数据、序列特征数据;所述测试特征数据中的全局特征数据用于表征请求实体和资源实体之间的关联关系;所述请求实体为发起各所述实体设备之间的行为的实体设备,所述资源实体为所述行为针对的实体设备;所述测试特征数据中的统计特征数据用于表征所述请求实体和所述资源实体之间的行为的行为类型和行为结果,所述测试特征数据中的序列特征数据用于表征所述请求实体和所述资源实体之间的行为的关联顺序;
4、将所述测试特征数据输入至自编码器模型中,计算得到所述自编码器模型输出的解码数据;
5、若所述解码数据与所述测试特征数据之间的差异大于预设阈值,则确定所述实体设备行为异常;
6、其中,所述自编码器模型为预先通过以下方式训练得到的:
7、获取各所述实体设备在第一预设时间段内的原始样本数据;
8、按照所述行为的时间将所述原始样本数据划分为多组第一样本数据;其中,同组的所述第一样本数据所表征的行为的时间位于同一第一时间窗口内;
9、针对各组所述第一样本数据,按照所述行为的时间将所述第一样本数据划分为多组第二样本数据;其中,同组的所述第二样本数据所表征的行为的时间位于同一第二时间窗口内;所述第二时间窗口小于所述第一时间窗口;
10、分别对各组所述第二样本数据进行数据处理,得到各组所述第二样本数据对应的特征数据;
11、针对各组所述第一样本数据,将所述第一样本数据包括的所述第二样本数据对应的特征数据进行拼接,得到所述第一样本数据对应的特征数据;
12、将各组所述第一样本数据对应的特征数据进行拼接,得到样本特征数据;其中,所述样本特征数据包括:全局特征数据、统计特征数据、序列特征数据;所述样本特征数据中的全局特征数据用于表征所述请求实体和所述资源实体之间的关联关系,所述样本特征数据中的统计特征数据用于表征所述请求实体和所述资源实体之间的行为的行为类型和行为结果,所述样本特征数据中的序列特征数据用于表征所述请求实体和所述资源实体之间的行为的关联顺序;
13、将所述样本特征数据输入至原始自编码器模型中,计算得到所述原始自编码器模型输出的预测解码数据;
14、基于所述预测解码数据与所述样本特征数据之间的差异,对所述原始自编码器模型的参数进行调整,并以参数调整后的原始自编码器模型作为新的原始自编码器模型,返回执行所述将所述样本特征数据输入至原始自编码器模型中,计算得到所述自编码器模型输出的预测解码数据的步骤,直至达到第一预设终止条件为止。
15、在一种可能的实施例中,所述样本特征数据包括全局特征数据;
16、所述分别对各组所述第二样本数据进行数据处理,得到各组所述第二样本数据对应的特征数据,包括:
17、针对各组所述第二样本数据,以各所述实体设备为节点,连接所述第二样本数据所表征的发起所述行为的请求实体以及所述行为针对的资源实体所对应的节点,得到所述第二样本数据对应的图数据,并将所述图数据转换为请求全局数据和资源全局数据,作为所述第二样本数据对应的第一全局数据;其中,所述请求全局数据为以所述请求实体和行为为维度的数据,所述资源全局数据为以资源实体和行为为维度的数据;
18、所述针对各组所述第一样本数据,将所述第一样本数据包括的所述第二样本数据对应的特征数据进行拼接,得到所述第一样本数据对应的特征数据,包括:
19、针对各组所述第一样本数据,将所述第一样本数据包括的所述第二样本数据对应的第一全局数据进行拼接,得到所述第一样本数据对应的第二全局数据;
20、所述将各组所述第一样本数据对应的特征数据进行拼接,得到样本特征数据,包括:
21、将各组所述第一样本数据对应的第二全局数据进行拼接,得到所述样本特征数据中的全局特征数据;
22、所述自编码器模型包括图自编码器模型,所述原始自编码器模型包括原始图自编码器模型;
23、所述将所述样本特征数据输入至原始自编码器模型中,计算得到所述原始自编码器模型输出的预测解码数据,包括:
24、将所述样本特征数据中的全局特征数据输入至原始图自编码器模型中,计算得到所述原始图自编码器模型输出的第一预测解码数据;
25、所述基于所述预测解码数据与所述样本特征数据之间的差异,对所述原始自编码器模型的参数进行调整,并以参数调整后的原始自编码器模型作为新的原始自编码器模型,返回执行所述将所述样本特征数据输入至原始自编码器模型中,计算得到所述自编码器模型输出的预测解码数据的步骤,直至达到第一预设终止条件为止,包括:
26、基于所述第一预测解码数据与所述样本特征数据中的全局特征数据之间的差异,对所述原始图自编码器模型的参数进行调整,并以参数调整后的原始图自编码器模型作为新的原始图自编码器模型,返回执行所述将所述样本特征数据中的全局特征数据输入至原始图自编码器模型中,计算得到所述原始图自编码器模型输出的第一预测解码数据的步骤,直至达到第二预设终止条件为止。
27、在一种可能的实施例中,所述样本特征数据包括统计特征数据;
28、所述分别对各组所述第二样本数据进行数据处理,得到各组所述第二样本数据对应的特征数据,包括:
29、针对各组所述第二样本数据,按照所述行为的时间将所述第二样本数据划分为多组第三样本数据;其中,同组的所述第三样本数据所表征的行为的时间位于同一第三时间窗口内;所述第三时间窗口小于所述第二时间窗口;
30、针对各组所述第二样本数据,按照所述第三样本数据所表征的行为的行为结果,对所述第三样本数据进行划分,分别得到n个第一请求数据矩阵,以及m个第一资源数据矩阵,作为所述第二样本数据的第一统计数据;
31、其中,第n个所述第一请求数据矩阵的第i行第x列第t层用于表征第n个所述请求实体在所述第二样本数据包括的第t组第三样本数据中行为结果为i的行为类型x;第m个所述第一资源数据矩阵的第i行第x列第t层用于表征第m个所述资源实体在所述第二样本数据包括的第t组第三样本数据中行为结果为i的行为类型x;
32、所述针对各组所述第一样本数据,将所述第一样本数据包括的所述第二样本数据对应的特征数据进行拼接,得到所述第一样本数据对应的特征数据,包括:
33、针对各组所述第一样本数据,将所述第一样本数据包括的所述第二样本数据对应的第一统计数据进行拼接,得到所述第一样本数据对应的第二统计数据;
34、所述将各组所述第一样本数据对应的特征数据进行拼接,得到样本特征数据,包括:
35、将各组所述第一样本数据对应的第二统计数据进行拼接,得到所述样本特征数据中的统计特征数据;
36、所述自编码器模型包括栈式自编码器模型,所述原始自编码器模型包括原始栈式自编码器模型;
37、所述将所述样本特征数据输入至原始自编码器模型中,计算得到所述原始自编码器模型输出的预测解码数据,包括:
38、将所述样本特征数据中的统计特征数据输入至原始栈式自编码器模型中,计算得到所述原始栈式自编码器模型输出的第二预测解码数据;
39、所述基于所述预测解码数据与所述样本特征数据之间的差异,对所述原始自编码器模型的参数进行调整,并以参数调整后的原始自编码器模型作为新的原始自编码器模型,返回执行所述将所述样本特征数据输入至原始自编码器模型中,计算得到所述自编码器模型输出的预测解码数据的步骤,直至达到第一预设终止条件为止,包括:
40、基于所述第二预测解码数据与所述样本特征数据中的统计特征数据之间的差异,对所述原始栈式自编码器模型的参数进行调整,并以参数调整后的原始栈式自编码器模型作为新的原始栈式自编码器模型,返回执行所述将所述样本特征数据中的统计特征数据输入至原始栈式自编码器模型中,计算得到所述原始栈式自编码器模型输出的第二预测解码数据的步骤,直至达到第三预设终止条件为止。
41、在一种可能的实施例中,所述样本特征数据包括序列特征数据;
42、所述分别对各组所述第二样本数据进行数据处理,得到各组所述第二样本数据对应的特征数据,包括:
43、针对各组所述第二样本数据,将所述行为的时间之间的间隔小于等于预设时间阈值的所述第二样本数据划分至同一组,得到多组第四样本数据;
44、针对各组所述第四样本数据,按照所述行为的时间对所述第四样本数据进行排序,得到n个请求实体对应的第一请求序列数据以及m个资源实体对应的第一资源序列数据,作为所述第四样本数据对应的第一序列数据;
45、针对各组所述第二样本数据,将所述第二样本数据包括的各组所述第四样本数据中相同请求实体对应的第一请求序列数据进行拼接,并将所述第二样本数据包括的各组所述第四样本数据中相同资源实体对应的第一资源序列数据进行拼接,得到n个请求实体对应的第二请求序列数据以及m个资源实体对应的第二资源序列数据,作为所述第二样本数据对应的第二序列数据;
46、所述针对各组所述第一样本数据,将所述第一样本数据包括的所述第二样本数据对应的特征数据进行拼接,得到所述第一样本数据对应的特征数据,包括:
47、针对各组所述第一样本数据,将所述第一样本数据包括的所述第二样本数据对应的第二序列数据进行拼接,得到所述第一样本数据对应的第三序列数据;
48、所述将各组所述第一样本数据对应的特征数据进行拼接,得到样本特征数据,包括:
49、将各组所述第一样本数据对应的第三序列数据进行拼接,得到所述样本特征数据中的序列特征数据;
50、所述自编码器模型包括序列自编码器模型,所述原始自编码器模型包括原始序列自编码器模型;
51、所述将所述样本特征数据输入至原始自编码器模型中,计算得到所述原始自编码器模型输出的预测解码数据,包括:
52、将所述样本特征数据中的序列特征数据输入至原始序列自编码器模型中,计算得到所述原始序列自编码器模型输出的第三预测解码数据;
53、所述基于所述预测解码数据与所述样本特征数据之间的差异,对所述原始自编码器模型的参数进行调整,并以参数调整后的原始自编码器模型作为新的原始自编码器模型,返回执行所述将所述样本特征数据输入至原始自编码器模型中,计算得到所述自编码器模型输出的预测解码数据的步骤,直至达到第一预设终止条件为止,包括:
54、基于所述第三预测解码数据与所述样本特征数据中的序列特征数据之间的差异,对所述原始序列自编码器模型的参数进行调整,并以参数调整后的原始序列自编码器模型作为新的原始序列自编码器模型,返回执行所述将所述样本特征数据中的序列特征数据输入至原始序列自编码器模型中,计算得到所述原始序列自编码器模型输出的第三预测解码数据的步骤,直至达到第四预设终止条件为止。
55、在一种可能的实施例中,所述自编码器模型包括:图自编码器模型、多个栈式自编码器子模型以及多个序列自编码器子模型;所述图自编码器模型包括编码器和解码器,所述编码器为基于图卷积网络构建的,所述解码器为基于向量点积构建的;各所述栈式自编码器子模型的特征降维方式不同;各所述序列自编码器子模型的特征降维方式不同;
56、所述将所述测试特征数据输入至自编码器模型中,计算得到所述自编码器模型输出的解码数据,包括:
57、将所述测试特征数据中的全局特征数据输入至图自编码器模型中,计算得到所述图自编码器模型输出的第一子解码数据;
58、将所述测试特征数据中的统计特征数据分别输入至各所述栈式自编码器子模型中,得到各所述栈式自编码器子模型输出的第二子解码数据;
59、将所述测试特征数据中的序列特征数据分别输入至各所述序列自编码器子模型中,得到各所述序列自编码器子模型输出的第三子解码数据,以所述第一解码子数据、各所述第二子解码数据以及各所述第三解码子数据作为所述自编码器模型输出的解码数据;
60、所述方法还包括:
61、计算所述测试特征数据中的全局特征数据与所述第一子解码数据之间的第一差异;
62、分别计算所述测试特征数据中的统计特征数据与各所述第二子解码数据之间的第二差异;
63、分别计算所述测试特征数据中的序列特征数据与各所述第三子解码数据之间的第三差异;
64、对所述第一差异、各所述第二差异与各所述第三差异进行加权,得到所述解码数据与所述测试特征数据之间的差异。
65、在一种可能的实施例中,对所述第一差异、各所述第二差异与各所述第三差异进行加权的过程中,各所述第二差异的权重为预先针对所述第二差异对应的栈式自编码器子模型设置的权重,各所述第三差异的权重为预先针对所述第三差异对应的序列自编码器子模型设置的权重,所述第二差异对应的栈式自编码器子模型为得到所述第二差异所基于的栈式自编码器子模型,所述第三差异对应的序列自编码器子模型为得到所述第三差异所基于的序列自编码器子模型;
66、预先通过以下方式配置各所述栈式自编码器子模型和各所述序列自编码器子模型的权重,包括:
67、分别确定在训练得到所述自编码器模型的过程中各所述栈式自编码器子模型和各所述序列自编码器子模型的子模型损失,其中,所述子模型损失用于表示子模型的输入与子模型的输出之间的差异;
68、基于各所述栈式自编码器子模型和各所述序列自编码器子模型的子模型损失,分别配置各所述栈式自编码器子模型和各所述序列自编码器子模型的权重,其中,任意子模型的权重与该子模型自身的子模型损失负相关,且与其他子模型的子模型损失正相关。
69、在一种可能的实施例中,所述方法还包括:
70、根据各所述实体设备在上一预设时长内的样本特征数据对所述自编码器模型进行训练,得到新的自编码器模型;
71、在当前预设时长内,基于所述新的自编码器模型,执行所述将所述测试特征数据输入至自编码器模型中,计算得到所述自编码器模型输出的解码数据的步骤;
72、和/或,
73、响应于所述实体设备数量更改指令,修改所述自编码器模型中的实体设备数量参数,得到参数修改后的自编码器模型;
74、根据各所述实体设备第二预设时间段内的样本特征数据对所述参数修改后的自编码器模型进行训练,得到新的自编码器模型;
75、基于所述新的自编码器模型,执行所述将所述测试特征数据输入至自编码器模型中,计算得到所述自编码器模型输出的解码数据的步骤。
76、本技术实施例还提供了一种零信任行为异常检测装置,所述装置包括:
77、获取模块,用于获取各实体设备在测试时间段内的测试特征数据,其中,所述测试特征数据包括:全局特征数据、统计特征数据、序列特征数据;所述测试特征数据中的全局特征数据用于表征请求实体和资源实体之间的关联关系;所述请求实体为发起各所述实体设备之间的行为的实体设备,所述资源实体为所述行为针对的实体设备;所述测试特征数据中的统计特征数据用于表征所述请求实体和所述资源实体之间的行为的行为类型和行为结果,所述测试特征数据中的序列特征数据用于表征所述请求实体和所述资源实体之间的行为的关联顺序;
78、计算模块,用于将所述测试特征数据输入至自编码器模型中,计算得到所述自编码器模型输出的解码数据;
79、确定模块,用于若所述解码数据与所述测试特征数据之间的差异大于预设阈值,则确定所述实体设备行为异常;
80、其中,所述自编码器模型为预先通过以下方式训练得到的:
81、获取各所述实体设备在第一预设时间段内的原始样本数据;
82、按照所述行为的时间将所述原始样本数据划分为多组第一样本数据;其中,同组的所述第一样本数据所表征的行为的时间位于同一第一时间窗口内;
83、针对各组所述第一样本数据,按照所述行为的时间将所述第一样本数据划分为多组第二样本数据;其中,同组的所述第二样本数据所表征的行为的时间位于同一第二时间窗口内;所述第二时间窗口小于所述第一时间窗口;
84、分别对各组所述第二样本数据进行数据处理,得到各组所述第二样本数据对应的特征数据;
85、针对各组所述第一样本数据,将所述第一样本数据包括的所述第二样本数据对应的特征数据进行拼接,得到所述第一样本数据对应的特征数据;
86、将各组所述第一样本数据对应的特征数据进行拼接,得到样本特征数据;其中,所述样本特征数据包括:全局特征数据、统计特征数据、序列特征数据;所述样本特征数据中的全局特征数据用于表征所述请求实体和所述资源实体之间的关联关系,所述样本特征数据中的统计特征数据用于表征所述请求实体和所述资源实体之间的行为的行为类型和行为结果,所述样本特征数据中的序列特征数据用于表征所述请求实体和所述资源实体之间的行为的关联顺序;
87、将所述样本特征数据输入至原始自编码器模型中,计算得到所述原始自编码器模型输出的预测解码数据;
88、基于所述预测解码数据与所述样本特征数据之间的差异,对所述原始自编码器模型的参数进行调整,并以参数调整后的原始自编码器模型作为新的原始自编码器模型,返回执行所述将所述样本特征数据输入至原始自编码器模型中,计算得到所述自编码器模型输出的预测解码数据的步骤,直至达到第一预设终止条件为止。
89、本技术实施例还提供了一种电子设备,包括:
90、存储器,用于存放计算机程序;
91、处理器,用于执行存储器上所存放的程序时,实现上述任一所述的零信任行为异常检测方法。
92、本技术实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一所述的零信任行为异常检测方法。
93、本技术实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述任一所述的零信任行为异常检测方法。
94、本技术实施例有益效果:
95、本技术实施例提供的一种零信任行为异常检测方法、装置、电子设备及存储介质,由于自编码器模型可以将输入信息作为学习目标,对输入信息进行表征学习,且可以对各实体设备在第一预设时间段内的原始样本数据进行处理得到样本特征数据,自编码器模型是基于样本特征数据训练得到的,样本特征数据包括:用于表征请求实体和资源实体之间的关联关系的全局特征数据、用于表征请求实体和资源实体之间的行为的行为类型和行为结果的统计特征数据、用于表征请求实体和资源实体之间的行为的关联顺序的序列特征数据。因此,可以通过全局特征数据、统计特征数据以及序列特征数据多个维度的数据反映各实体设备经常进行的行为类型,根据全局特征数据、统计特征数据以及序列特征数据多个维度的数据训练得到自编码器模型,该自编码器模型可以反映出实体设备可能进行的行为类型,也即自编码器模型可以反映实体设备的行为模式,从而提高了构建的实体设备行为模式准确性。并可以基于该行为模式对测试特征数据进行检测,将测试特征数据输入至自编码器模型中,得到自编码器模型输出的解码数据。由于自编码器模型可以反映出实体设备的行为模式,因此,该解码数据可以视为实体设备按照自身行为模式应该进行的行为对应的特征数据,而测试特征数据可以视为实体设备实际进行的行为对应的特征数据。因此,若实体设备按照自身的行为模式进行正常工作,则该解码数据与测试特征数据之间的差异应当较小,若实体设备未按照自身的行为模式进行正常工作,则该解码数据与测试特征数据之间的差异应当较大。那么,也就可以在解码数据与测试特征数据之间的差异大于预设阈值时,认为实体设备未按照自身的行为模式进行正常工作,也就可以认为该实体设备行为异常。可见,本技术实施例可以实现对实体设备的异常检测,并且,由于构建的实体设备行为模式的准确性较高,因此对实体设备异常检测的准确性也较高。
96、当然,实施本技术的任一产品或方法并不一定需要同时达到以上所述的所有优点。
1.一种零信任行为异常检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述样本特征数据包括全局特征数据;
3.根据权利要求1所述的方法,其特征在于,所述样本特征数据包括统计特征数据;
4.根据权利要求1所述的方法,其特征在于,所述样本特征数据包括序列特征数据;
5.根据权利要求1所述的方法,其特征在于,所述自编码器模型包括:图自编码器模型、多个栈式自编码器子模型以及多个序列自编码器子模型;所述图自编码器模型包括编码器和解码器,所述编码器为基于图卷积网络构建的,所述解码器为基于向量点积构建的;各所述栈式自编码器子模型的特征降维方式不同;各所述序列自编码器子模型的特征降维方式不同;
6.根据权利要求5所述的方法,其特征在于,对所述第一差异、各所述第二差异与各所述第三差异进行加权的过程中,各所述第二差异的权重为预先针对所述第二差异对应的栈式自编码器子模型设置的权重,各所述第三差异的权重为预先针对所述第三差异对应的序列自编码器子模型设置的权重,所述第二差异对应的栈式自编码器子模型为得到所述第二差异所基于的栈式自编码器子模型,所述第三差异对应的序列自编码器子模型为得到所述第三差异所基于的序列自编码器子模型;
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
8.一种零信任行为异常检测装置,其特征在于,所述装置包括:
9.一种电子设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-7任一所述的方法。
