CN116578970A - 一种基于图神经网络的异构图中社交机器人检测方法 - Google Patents

一种基于图神经网络的异构图中社交机器人检测方法 Download PDF

Info

Publication number
CN116578970A
CN116578970A CN202310398289.6A CN202310398289A CN116578970A CN 116578970 A CN116578970 A CN 116578970A CN 202310398289 A CN202310398289 A CN 202310398289A CN 116578970 A CN116578970 A CN 116578970A
Authority
CN
China
Prior art keywords
social network
social
network node
robot
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310398289.6A
Other languages
English (en)
Inventor
罗熙
孙皓
程泓源
殷丽华
李丹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou University
Original Assignee
Guangzhou University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou University filed Critical Guangzhou University
Priority to CN202310398289.6A priority Critical patent/CN116578970A/zh
Publication of CN116578970A publication Critical patent/CN116578970A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种基于图神经网络的异构图中社交机器人检测方法,包括:S1、社交网络异构图处理:获取社交网络异构图,将社交网络异构图进行图神经网络处理,获得训练集;S2、社交网络社区分类:使用多重随机投影树算法,用索引对最近邻进行近似搜索将获得的训练集进行分类;S3、社交网络节点预测:根据训练集分类出的社区,当所预测节点属于社交机器人社区,判定该账户属于社交机器人。本发明关注社交网络中各个节点的社交关系及社交网络节点间的交互关系,使得获得相关社交网络节点信息更多,能更加精确的对社交网络节点进行分类,能发现行为更加接近人类的社交机器人。

Description

一种基于图神经网络的异构图中社交机器人检测方法
技术领域
本发明涉及计算机网络空间安全领域,具体为一种基于图神经网络的异构图中社交机器人检测方法。
背景技术
僵尸网络是网络安全领域的重大威胁,攻击者可以利用僵尸网络对OSN进行操控滥用。如发送垃圾邮件,最令人担忧的是选择性曝光现象及其对公众舆论的可能影响,这是目前科学界正在调查的一个关键问题,近年来,僵尸网络被用作大规模分享错误信息的武器,以此来影响我们访问和理解信息,物联网僵尸网络愈发猖獗。
社交机器人是攻击者实施恶意活动的基础,目前有不少研究致力于检测社交机器人。许多研究通过分析社交网络中的社交关系发现社交机器人。一些工作通过帐户的交互序列构建表示,创建用户的指纹来发现僵尸网络账号,一些工作利用基于特征工程的随机森林分类器对用户配置文件特征、推文内容和网络上的用户交互进行分析。典型工作包括Honeypot,Botometer,Social fingerprinting,HoloScope、RTbust。一些工作专注于对单一社交网络分析。这些工作认为社交机器人的行为特点与正常人类账号有区别,通过分析账号的社交关系来发现社交机器人,如Bot2vec通过分析账号的社交关系以及所在社交社区来检测是否是僵尸账。除了分析主机行为外,还有一些工作基于用户行为检测:用户发布、转发、基于挖掘方法的检测方案:定义行为模式以检测异常行为,用于监控用户活动以检测威胁的控制***,利用遗传过程挖掘在社会网络网站中找到合适模型的思想。
然而,大多数现有技术只能检测出最基本的垃圾邮件发送者或者只考虑的社交网络关系,这使得他们很难发现现有的行为更加接近人类的社交机器人。此外,许多工作很难平衡资源耗费和检测效果,无法部署在资源受限的物联网上。
发明内容
为了解决背景技术中存在的问题,针对现有技术很难发现更好模仿人类、行为更加接近人类的社交机器人,本发明提出一种基于图神经网络的异构图中社交机器人检测方法。
本发明提供如下技术方案:一种基于图神经网络的异构图中社交机器人检测方法,包括:
S1、社交网络异构图处理:获取社交网络异构图,将社交网络异构图进行图神经网络处理,获得训练集,训练集包括节点特征向量;
S2、社交网络社区分类:使用多重随机投影树算法,用索引对最近邻进行近似搜索将获得的训练集进行分类;
S3、社交网络节点预测:根据训练集分类出的社区,当所预测节点属于社交机器人社区,判定该账户属于社交机器人。
对于社交网络异构图来说节点属性不同特征向量维度也会不同,也不属于同一特征空间,将不同社交网络类型节点的特征映射到同一个隐层的向量空间中。
优选地,社交网络异构图处理具体步骤为:
步骤S101、社交网络节点内容转换:对于类别为A的节点,A∈GC,GC为社交网络节点类型集合,社交网络节点v∈VA,进行转换:其中/>是原始的特征向量,/>是映射后的社交网络节点v的特征向量,/>是对于为A类型社交网络节点的参数化权重矩阵;
步骤S102、元路径内特征学习:基于社交网络元路径P(v,u)的邻居以及上下文中的信息和结构进行编码来学习嵌入目标社交网络节点,使用元路径实例编码器把社交网络元路径P(v,u)上所有社交网络节点特征转换为单个向量:u为元路径P(v,u)上与v节点类型一致的节点,mP(v,u)为元路径P(v,u)上的与v,u节点类型不同的中间节点集合,t为mP(v,u)中某一节点,h't是映射后的社交网络节点t的特征向量,再使用图注意力层对目标社交网络节点及相关社交网络路径实例进行加权和再归一化处理:表示元路径P(v,u)对v的重要性参数,表示元路径P的参数化关注向量,最后经过一个激活函数获得所求社交网络元路径的特征向量:/> 表示元路径P(v,u)所有节点的归一化重要性权重;
步骤S103、元路径间特征学习:在获取不同社交网络元路径的特征向量后,将目标社交网络节点所涉及的元路径特征向量进行聚合。
将目标社交网络节点所涉及元路径特征向量进行聚合具体步骤为:
每条社交网络元路径P∈PA,对所有类型为A的社交网络节点在特定元路径下的社交网络节点向量进行转换取平均:其中参数可学***均的平均向量。
使用注意力机制聚合所有元路径下社交网络节点v的特征向量: 其中βP是在元路径P∈PA下对A类型社交网络节点的重要性参数,最后对社交网络元路径向量进行加权求和。
使用激活函数将社交网络节点嵌入映射到输出所需维度的向量空间:其中/>是权重矩阵,σ()是激活函数。
优选地,社交网络社区分类具体步骤为:
为了减轻社交机器人和人类之间的不平衡,只计算机器人。因为机器人比人类账户少,标签传播功能可能会使估算过程偏向人类。
步骤S201、使用最大余弦距离1.0作为初始化阈值,逐渐减小余弦值直至截止值Cutoff,使用多数投票进行社交机器人的标签传播;
步骤S202、使用余弦值0.25当作初始阈值,逐渐更新增大直到阈值的最大值,所有社交网络账户都被标记或者阈值增大到最大值标记结束。
为了防止误报提出置信度函数: 该函数评估多数类和少数类提供的关于邻居与目标用户u的相似程度的置信度差异,相似度测量为其中dis表示余弦距离,因此相似度范围为[0,1]。如果差异倾向于多数类别,则置信度值将趋于1。如果两个类别之间的差异很小,则置信度趋于零。置信度函数用于在标签传播过程中丢弃不可靠的插补,为此,引入了minConf这一可调参数,在该参数下,插补被丢弃。
本发明具备以下有益效果:
1、本发明关注社交网络中各个节点的社交关系及社交网络节点间的交互关系,使得获得相关社交网络节点信息更多,能更加精确的对社交网络节点进行分类,能发现行为更加接近人类的社交机器人。
2、本发明对于社交网络异构图嵌入保证了社交网络节点内容特征,对于社交网络元路径上的中间社交网络节点和各条元路径的特征都进行学习。
3、本发明使用多重随机投影树(MRPT)算法,大大缩短社区分类时间和对目标社交网络节点预测的时间。
附图说明
图1为一种基于图神经网络的异构图中社交机器人检测方法流程图;
图2为一种基于图神经网络的异构图中社交机器人检测方法实施例中社交网络异构图;
图3为一种基于图神经网络的异构图中社交机器人检测方法实施例中单个社交网络节点嵌入生成图;
图4为一种基于图神经网络的异构图中社交机器人检测方法实施例中目标社交网络节点索引近似邻居图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参照图1,在一个优选实施例中,一种基于图神经网络的异构图中社交机器人检测方法,包括:
S1、社交网络异构图处理:获取社交网络异构图,社交网络异构图如图2所示,将社交网络异构图进行图神经网络处理,获得训练集,训练集包括节点特征向量;
S2、社交网络社区分类:使用多重随机投影树算法,用索引对最近邻进行近似搜索将获得的训练集进行分类;
S3、社交网络节点预测:根据训练集分类出的社区,当所预测节点属于社交机器人社区,判定该账户属于社交机器人。
在本实施例中,社交网络异构图处理具体步骤为:
步骤S101、社交网络节点内容转换:对于类别为A的节点,A∈GC,GC为社交网络节点类型集合,社交网络节点v∈VA,进行转换:其中/>是原始的特征向量,是映射后的社交网络节点v的特征向量,/>是对于A类型社交网络节点的参数化权重矩阵;
步骤S102、如图3所示,元路径内特征学习:基于社交网络元路径Pi的邻居以及上下文中的信息和结构进行编码来学习嵌入目标社交网络节点,使用元路径实例编码器把社交网络元路径Pi上所有社交网络节点特征转换为单个向量:再使用图注意力层对目标社交网络节点及相关社交网络路径实例进行加权和再归一化处理:最后经过一个激活函数获得所求社交网络元路径的特征向量:/>
步骤S103、元路径间特征学习:在获取不同社交网络元路径的特征向量后,将目标社交网络节点所涉及的元路径特征向量进行聚合。
在本实施例中,如图4所示,使用多重随机投影树算法,用索引对最近邻进行近似搜索将获得的训练集进行分类的具体步骤为:
步骤S201、使用最大余弦距离1.0作为初始化阈值,逐渐减小余弦值直至截止值Cutoff,使用多数投票进行社交机器人的标签传播;
步骤S202、使用余弦值0.25当作初始阈值,逐渐更新增大直到阈值的最大值,所有社交网络账户都被标记或者阈值增大到最大值标记结束。
在一个优选实施例中,在社交网络异构图处理阶段,首先对目标社交网络节点v进行社交网络节点内容转换,训练集数据和目标社交网络节点v拥有不同的节点内容特征,通过将特征向量投影到相同的潜在因子空间,把不同类型的社交网络节点应用特定的线性变化,目标社交网络节点特征与训练集共享相同维度。其次是目标社交网络节点v的社交网络元路径P内特征学***均,对社交网络元路径P向量进行加权求和通过激活函数σ(·)输出。
在社交网络社区分类阶段,设置初始截止值参数Cutoff=0.65和minConf=0.6,对训练集向量使用多重随机投影树(MRPT)算法,分为普通账户社区和社交机器人社区。
在社交网络节点预测阶段,由异构图处理阶段得到目标社交网络节点v的余弦距离,把余弦距离值与训练集比较判断所求目标社交网络节点v所属社区,再算出目标社交网络节点v置信度值与minConf值对比,目标社交网络节点v的置信度大于minConf时获得传播标签,确定所得社交网络节点v结果;反之舍弃所得社交网络节点v结果。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (3)

1.一种基于图神经网络的异构图中社交机器人检测方法,其特征在于,包括:
S1、社交网络异构图处理:获取社交网络异构图,将社交网络异构图进行图神经网络处理,获得训练集,训练集包括节点特征向量;
S2、社交网络社区分类:使用多重随机投影树算法,用索引对最近邻进行近似搜索将获得的训练集进行分类;
S3、社交网络节点预测:根据训练集分类出的社区,当所预测节点属于社交机器人社区,判定该账户属于社交机器人。
2.根据权利要求1所述的一种基于图神经网络的异构图中社交机器人检测方法,其特征在于,社交网络异构图处理具体步骤为:
步骤S101、社交网络节点内容转换:对于类别为A的节点,其中A∈GC,GC为社交网络节点类别的集合,社交网络节点v∈VA,进行转换:其中/>是原始的特征向量,/>是映射后的社交网络节点v的特征向量,/>是对于为A类型社交网络节点的参数化权重矩阵;
步骤S102、元路径内特征学习:基于社交网络元路径P的邻居以及上下文中的信息和结构进行编码来学习嵌入目标社交网络节点,使用元路径实例编码器把社交网络元路径P上所有社交网络节点特征转换为单个向量,再使用图注意力层对目标社交网络节点及相关社交网络路径实例进行加权和再归一化处理,最后经过一个激活函数获得所求社交网络元路径的特征向量;
步骤S103、元路径间特征学习:在获取不同社交网络元路径的特征向量后,将目标社交网络节点所涉及的元路径特征向量进行聚合。
3.根据权利要求1所述的一种基于图神经网络的异构图中社交机器人检测方法,其特征在于,社交网络社区分类具体步骤为:
步骤S201、使用最大余弦距离1.0作为初始化阈值,逐渐减小余弦值直至截止值Cutoff,使用多数投票进行社交机器人的标签传播;
步骤S202、使用余弦值0.25当作初始阈值,逐渐更新增大直到阈值的最大值,所有社交网络账户都被标记或者阈值增大到最大值标记结束。
CN202310398289.6A 2023-04-13 2023-04-13 一种基于图神经网络的异构图中社交机器人检测方法 Pending CN116578970A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310398289.6A CN116578970A (zh) 2023-04-13 2023-04-13 一种基于图神经网络的异构图中社交机器人检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310398289.6A CN116578970A (zh) 2023-04-13 2023-04-13 一种基于图神经网络的异构图中社交机器人检测方法

Publications (1)

Publication Number Publication Date
CN116578970A true CN116578970A (zh) 2023-08-11

Family

ID=87540408

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310398289.6A Pending CN116578970A (zh) 2023-04-13 2023-04-13 一种基于图神经网络的异构图中社交机器人检测方法

Country Status (1)

Country Link
CN (1) CN116578970A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117540232A (zh) * 2023-09-13 2024-02-09 广州大学 基于上下文路径的在线社交网络用户表示方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117540232A (zh) * 2023-09-13 2024-02-09 广州大学 基于上下文路径的在线社交网络用户表示方法及装置

Similar Documents

Publication Publication Date Title
Zhang et al. Network intrusion detection: Based on deep hierarchical network and original flow data
Ravi et al. Adversarial defense: DGA-based botnets and DNS homographs detection through integrated deep learning
Mohan et al. Spoof net: syntactic patterns for identification of ominous online factors
CN107911346B (zh) 一种基于极限学习机的入侵检测方法
Zixu et al. Generative adversarial network and auto encoder based anomaly detection in distributed IoT networks
Ortet Lopes et al. Towards effective detection of recent DDoS attacks: A deep learning approach
Singh et al. Efficient classification of DDoS attacks using an ensemble feature selection algorithm
CN110351291B (zh) 基于多尺度卷积神经网络的DDoS攻击检测方法及装置
Cheng et al. A DDoS detection method for socially aware networking based on forecasting fusion feature sequence
Ustebay et al. Cyber attack detection by using neural network approaches: shallow neural network, deep neural network and autoencoder
Agrawal et al. Autoencoder for Design of Mitigation Model for DDOS Attacks via M‐DBNN
Manickam et al. An enhanced mechanism for detection of Domain Name System‐based distributed reflection denial of service attacks depending on modified metaheuristic algorithms and adaptive thresholding techniques
CN114697096A (zh) 基于空时特征和注意力机制的入侵检测方法
CN116578970A (zh) 一种基于图神经网络的异构图中社交机器人检测方法
Hussan et al. DDoS attack detection in IoT environment using optimized Elman recurrent neural networks based on chaotic bacterial colony optimization
Amanullah et al. CNN based prediction analysis for web phishing prevention
Zhu et al. Effective phishing website detection based on improved BP neural network and dual feature evaluation
din et al. Detection of botnet in IoT network through machine learning based optimized feature importance via ensemble models
Goswami et al. Phishing detection using significant feature selection
US20210174199A1 (en) Classifying domain names based on character embedding and deep learning
Fadel et al. The proposed hybrid deep learning intrusion prediction IoT (HDLIP-IoT) framework
Sujana et al. Temporal based network packet anomaly detection using machine learning
Babar et al. An Improved Big Data Analytics Architecture for Intruder Classification Using Machine Learning
Jang et al. A study on the detection method for malicious urls based on a number of search results matching the internet search engines combining the machine learning
Satyanegara et al. Implementation of CNN-MLP and CNN-LSTM for MitM attack detection system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination