(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211414142.3 (22)申请日 2022.11.11 (71)申请人 华中科技大 学 地址 430000 湖北省武汉市洪山区珞喻路 1037号 (72)发明人 张海霞　谢雨来　吴雅锋　冯丹　 周潘　 (74)专利代理 机构 武汉蓝宝石专利代理事务所 (特殊普通 合伙) 42242 专利代理师 廉海涛 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) G06N 3/04(2006.01) (54)发明名称 一种自编码器溯源 入侵检测方法及装置 (57)摘要 本发明涉及一种自编码器溯源入侵检测方 法及装置， 根据用户行为的溯源 数据构建表示用 户行为的溯源图； 根据溯源图中各个节点的节点 重要度将所述溯源图划分为多个溯源子图， 每个 溯源子图代表用户的一个行为实例； 所述节点重 要度通过节点间的依赖关系以及节点自身的属 性个数来度量节点在溯源图中的重要程度； 将非 欧空间的溯源子图转变为欧式空间的图序列， 得 到行为实例序列； 将所述行为实例序列输入到预 先训练好的自编码器模型中提取行为实例特征 并进行异常行为检测。 本发明能有效解决现有技 术难以从海量溯源数据中挖掘分析出异常操作， 分析工作量巨大而导 致检测效果 不佳的问题。 权利要求书3页 说明书9页 附图7页 CN 115514580 A 2022.12.23 CN 115514580 A 1.一种自编码器溯源 入侵检测方法， 其特 征在于， 包括： 根据用户行为的溯源数据构建表示用户行为的溯源图； 根据溯源图中各个节点的节点重要度将所述溯源图划分为多个溯源子图， 每个溯源子 图代表用户的一个行为 实例； 所述节点重要度通过节点间的依赖关系以及节点自身的属性 个数来度量节点在溯源图中的重要程度； 将非欧空间的溯源子图转变为欧式空间的图序列， 得到行为实例序列； 将所述行为实例序列输入到预先训练好的自编码器模型中提取行为实例特征并进行 异常行为检测。 2.根据权利要求1所述的方法， 其特 征在于， 所述节点重要度的获取 方法， 包括： 向溯源图中添加与所有节点都有双向关系的公共节点G， 并将对公共节点G的节点依赖 度D设为0， 其 余的节点的节点依赖度D设为1； 节点依赖度D用来衡量节点之间的依赖关系； 利用下式进行迭代的更新各节点的D值， 直到所有节点的D值稳定不变； 式中的t表示迭代轮次， 表示节点p的子节点 集合； 表示节点j的出度； 将收敛状态下公共节点G的D值平分给每一个节点， 如下式所示： 式中 表示第i个节点的节点依赖度， 表示最终收敛时第i个节点的节点依赖 度， 表示最终收敛时公共节点G的节点依赖度， 表示最终收敛时的迭代轮次； 利用下式计算溯源图中的每 个节点重要度N I： 式中， 为节点p的节点依赖度， 为节点p的属性 值， 为节点属性占比。 3.根据权利要求1所述的方法， 其特征在于， 根据溯源图中各个节点的节点重要度将所 述溯源图划分为多个溯源子图， 包括： S301， 计算所有未 标记的节点的平均节点重要度， 作为标签传播阈值T； S302， 选择节点重要度NI大于标签传播 阈值T的未标记的节点作 为备选标记节点， 并按 照节点重要度N I的大小进行排序； S303， 依次判断每一备选标记节点是否为比其排序靠前的节点的子节点， 若不是则将 该备选标记 节点本身的ID值作为 其标签值完成标记； S304， 将标记完成的节点按照节点重要度NI的大小进行排序， 并利用标记完成的节点 的标签值标记其子节点； 重复步骤S3 04， 直至无新增被标记的节点； S305， 判断溯源图中所有节点是否还存在未被标记的节点， 若是则跳转至步骤S301， 否 则按照标签值将所述溯源图划分为多个溯源子图。 4.根据权利要求3所述的方法， 其特征在于， 根据溯源图中各个节点的节点重要度将所 述溯源图划分为多个溯源子图， 还 包括：权　利　要　求　书 1/3 页 2 CN 115514580 A 2判断所述溯源图中的任一节点是否存在父节点且该节点的标签是否与其父节点的标 签相同； 若该节点存在父节点且该节点的标签与其父节点的标签不一致， 则 计算该节点与与其 标签一致的溯源子图的关联度 以及该节点与与其具有不同标签的父节点所在的溯 源子图的关联度 ； 若 ， 则新增标签值给该节点， 新增的标签值为 对应的溯源 子图的标签值； 所述节点p与溯源子图C之间的关联度Co， 如下式所示： 式中， 为溯源子图C中与节点p相邻的所有节点的集合， 为溯源图中与节点p相邻 的所有节点的集 合。 5.根据权利要求1所述的方法， 其特征在于， 将 非欧空间的溯源子图转变为欧式空间的 图序列， 得到行为实例序列， 包括： 将溯源子图中的节点， 按照节点重要度由大到小排序， 获得 前K个节点作为中心 节点； 分别对每个中心节点构造邻域， 将中心节点放入邻域， 再将中心节点的子节点按照节 点重要度排序后放入邻域， 再依次获取新放入邻域的节点的未被访问过的子节点并按照节 点重要度排序后放入邻域， 直至没有节点被放入邻域内； 针对每一个邻域， 若其大小大于K时， 则对于 除中心节点外的节点重要度排序前K ‑1的 每一个节点， 将其与相邻节点进行聚合并更新 其节点重要度； 对于每个 中心节点， 依次获取邻域内节点的节点重要度 得到长度为K的第 一序列， 若长 度不足则以0填充； 并按照中心节点在溯源子图中的排序， 将第一序列排列得到长度为K*K 的第二序列， 若长度不足则以0填充， 所述第二序列即为溯源子图对应的行为实例序列。 6.根据权利要求1所述的方法， 其特征在于， 其特征在于， 将所述行为实例序列输入到 预先训练好的自编码器模型中提取 行为实例特 征并进行异常行为检测， 包括： 将所述行为实例序列输入到预 先训练好的自编码器模型中提取 行为实例特 征； 利用二分K ‑means聚类方法对所述行为实例特 征进行聚类， 得到行为实例特 征代表； 根据所述行为实例特征代表与正常行为特征代表的差异性判断用户行为是否为异常 行为。 7.根据权利要求6所述的方法， 其特征在于， 根据 所述行为实例特征代表与正常行为特 征代表的差异性判断用户行为是否为异常行为， 包括： 对于用户行为的每一个行为实例特征代表， 计算其与规则库中所有行为实例特征代表 的余弦距离， 若最小的余弦距离大于距离阈值， 则该行为实例特征代表所对应的用户行为 为异常行为； 所述规则库中的行为特 征实例代 表为正常用户行为对应的行为实例特 征代表。 8.一种自编码器溯源 入侵检测装置， 其特 征在于， 包括：权　利　要　求　书 2/3 页 3 CN 115514580 A 3