CN116841650B - 样本构建方法、装置、设备以及存储介质 - Google Patents
样本构建方法、装置、设备以及存储介质 Download PDFInfo
- Publication number
- CN116841650B CN116841650B CN202311114560.5A CN202311114560A CN116841650B CN 116841650 B CN116841650 B CN 116841650B CN 202311114560 A CN202311114560 A CN 202311114560A CN 116841650 B CN116841650 B CN 116841650B
- Authority
- CN
- China
- Prior art keywords
- feature
- combination
- risk
- initial
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000010276 construction Methods 0.000 title claims abstract description 44
- 238000003860 storage Methods 0.000 title claims abstract description 36
- 238000000034 method Methods 0.000 claims abstract description 363
- 238000012549 training Methods 0.000 claims abstract description 60
- 238000013058 risk prediction model Methods 0.000 claims abstract description 38
- 230000006399 behavior Effects 0.000 claims description 337
- 238000004590 computer program Methods 0.000 claims description 18
- 230000003542 behavioural effect Effects 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 11
- 238000012216 screening Methods 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 9
- 238000013473 artificial intelligence Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000010801 machine learning Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 3
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000012512 characterization method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000013441 quality evaluation Methods 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/04—Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- Human Resources & Organizations (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- General Engineering & Computer Science (AREA)
- Entrepreneurship & Innovation (AREA)
- Tourism & Hospitality (AREA)
- Biomedical Technology (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Development Economics (AREA)
- General Business, Economics & Management (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Game Theory and Decision Science (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Educational Administration (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请实施例公开了一种样本构建方法、装置、设备以及存储介质,可适用于计算机技术领域。该方法包括:确定多个初始特征组合,每个初始特征组合包括预设特征集合中第一数量的进程行为特征,任意两个初始特征组合不相同;从各初始特征组合中确定出符合预设风险条件的第一特征组合;根据每个第一特征组合的目标特征广度从各第一特征组合中确定出风险样本;每个目标特征广度用于表征与对应第一特征组合关联的对象主体的数量;风险样本用于训练风险预测模型,风险预测模型用于预测特征组合的风险情况。采用本申请实施例,可全面构建用于风险预测模型训练的风险样本,适用性高。
Description
技术领域
本申请涉及人工智能领域,尤其涉及一种样本构建方法、装置、设备以及存储介质。
背景技术
在***平台的自动化运营过程中,需要通过风险预测模型来预测不同进程行为特征所组成的特征组合的风险情况,以保证***平台的安全运行。
现有技术中,用于训练风险预测模型的训练样本往往来源于已知的高级风险样本,由于样本量不足,模型很难学习到所有的特征组合,导致模型预测效果较差。简单的将各种进程行为特征自由组合很难确定其是否为真实存在,不能直接用于模型训练。
基于此,如何全面有效地构建风险样本成为亟需解决的问题。
发明内容
本申请实施例提供一种样本构建方法、装置、设备以及存储介质,可全面构建用于风险预测模型训练的风险样本,适用性高。
一方面,本申请实施例提供一种样本构建方法,该方法包括:
确定多个初始特征组合,每个上述初始特征组合包括预设特征集合中第一数量的进程行为特征,且任意两个上述初始特征组合不相同;
从各上述初始特征组合中确定出符合预设风险条件的第一特征组合;
确定每个上述第一特征组合的目标特征广度,根据每个上述第一特征组合的目标特征广度从各上述第一特征组合中确定出风险样本;
其中,每个上述目标特征广度用于表征与对应第一特征组合关联的对象主体的数量,每个上述对象主体用于表征以下至少一项:
一个设备以及该设备运行的一个进程;
一个设备以及该设备运行的一个进程树;
其中,上述风险样本用于训练风险预测模型,上述风险预测模型用于预测特征组合的风险情况。
另一方面,本申请实施例提供了一种样本构建装置,该装置包括:
特征处理模块,用于确定多个初始特征组合,每个上述初始特征组合包括预设特征集合中第一数量的进程行为特征,且任意两个上述初始特征组合不相同;
组合筛选模块,用于从各上述初始特征组合中确定出符合预设风险条件的第一特征组合;
样本确定模块,用于确定每个上述第一特征组合的目标特征广度,根据每个上述第一特征组合的目标特征广度从各上述第一特征组合中确定出风险样本;
其中,每个上述目标特征广度用于表征与对应第一特征组合关联的对象主体的数量,每个上述对象主体用于表征以下至少一项:
一个设备以及该设备运行的一个进程;
一个设备以及该设备运行的一个进程树;
其中,上述风险样本用于训练风险预测模型,上述风险预测模型用于预测特征组合的风险情况。
另一方面,本申请实施例提供了一种电子设备,包括处理器和存储器,该处理器和存储器相互连接;
上述存储器用于存储计算机程序;
上述处理器用于在调用上述计算机程序时,执行本申请实施例提供的样本构建方法。
另一方面,本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行以实现本申请实施例提供的样本构建方法。
另一方面,本申请实施例提供了一种计算机程序产品,该计算机程序产品包括计算机程序,上述计算机程序被处理器执行时实现本申请实施例提供的样本构建方法。
在本申请实施例中,通过将预设特征集合内的进程行为特征以第一数量进行组合得到多个初始特征组合,可使得符合预设风险条件的第一特征组合可以覆盖多种进程行为特征的组合方式,有利于发现未知且符合预设风险条件的第一特征组合。进一步地,每个第一特征组合的目标特征广度用于表征与该第一特征组合关联的不同对象主体的数量,从而可确定出现每个第一特征组合内所有进程行为特征的主体对象的范围,并以此为基础从第一特征组合中筛选出的风险样本更符合风险特征,进而可提升风险预测模型的训练效果。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的样本构建方法的场景示意图;
图2是本申请实施例提供的样本构建方法的流程示意图;
图3是本申请实施例提供的确定初始特征组合的场景示意图;
图4是本申请实施例提供的确定初始特征组合的场景还示意图;
图5是本申请实施提供的确定第二特征组合的场景示意图;
图6是本申请实施例提供的特征组合存储形式的场景示意图;
图7是本申请实施例提供的确定目标特征广度的流程框架示意图;
图8是本申请实施例提供的行为特征日志处理的流程框架示意图;
图9是本申请实施例提供的样本构建装置的结构示意图;
图10是本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供的样本构建方法可适用于计算机技术领域,可构建用于模型训练的风险样本,以得到可以预测特征组合风险情况的风险预测模型。
本申请实施例提供的风险样本构建方法可应用于安全运营中心(SecurityOperations Center,SOC)、运维管理平台、分布式***以及其他多设备联合运行的相关场景,在此不做限制。
参见图1,图1是本申请实施例提供的样本构建方法的场景示意图。如图1所示,在构建风险样本之前,可先确定多个初始特征组合,每个初始特征组合包括预设特征集合中第一数量的进程行为特征,任意两个初始特征组合不相同。
也即,在构建风险样本之前,每次可从预设特征集合内的选择第一数量的进程行为特征作为一个初始特征组合,并且任意两次从预设特征集合内选择的进程行为特征不完全相同。
基于上述实现方式可确定出多个互不相同的初始特征组合。
进一步地,可从确定出的初始特征组合中确定出符合预设风险条件的第一特征组合,并确定每个第一特征组合的目标特征广度。
其中,每个目标特征广度用于表征与对应第一特征组合关联的不同对象主体的数量,每个对象主体用于表征以下至少一项:
一个设备以及该设备运行的一个进程;
一个设备以及该设备运行的一个进程树。
基于此,可基于各第一特征组合对应的目标特征广度,从各第一特征组合中筛选出最终的风险样本。
其中,本申请实施例中的风险样本用于训练风险预测模型,训练得到的风险预测模型可用于预测特征组合的风险情况。
其中,本申请实施例提供的样本构建方法可通过设备100实现,也可以基于分布式网络中的各个设备实现,具体可基于实际应用场景需求确定,在此不做限制。
其中,设备100可以是应用于安全运营中心(Security Operations Center,SOC)、运维管理平台、分布式***以及其他多设备联合运行的相关场景中的服务器或者终端,在此不做限制。
其中,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。
其中,终端可以智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表、车载终端、飞行器、智能家电(例如智能电视)或者可穿戴设备等。
参见图2,图2是本申请实施例提供的样本构建方法的流程示意图。如图2所示,本申请实施例提供的样本构建方法具体可包括如下步骤:
步骤S21、确定多个初始特征组合。
在本申请实施例中,每个初始特征组合包括预设特征集合中第一数量的进程行为特征,并且任意两个初始特征组合不相同。
其中,在确定初始特征组合时,每次可选择预设特征集合内的第一数量的进程行为特征进行组合得到一个初始特征组合。并且,每次选择的第一数量的进程行为特征中,存在至少一个进程行为特征与已得到的初始特征组合内的进程行为特征不同。
作为一示例,参见图3,图3是本申请实施例提供的确定初始特征组合的场景示意图。假设预设特征集合内包括进程行为特征A、进程行为特征B、进程行为特征C以及进程行为特征D共4个进程行为特征。当第一数量为3时,可基于进程行为特征A、进程行为特征B以及进程行为特征C构建初始特征组合1,基于进程行为特征A、进程行为特征B以及进程行为特征D构建初始特征组合2,基于进程行为特征B、进程行为特征C以及进程行为特征D构建初始特征组合3,基于进程行为特征A、进程行为特征C以及进程行为特征D构建初始特征组合4。
其中,初始特征组合1、初始特征组合2、初始特征组合3以及初始特征组合4中的任意两个初始特征组合所包括的进程行为特征不完全相同。
可选地,每个初始特征组合还可以基于特征序列进行表示,特征序列内的每个位置对应于预设特征集合内的一个进程行为特征。当初始特征组合包括预设特征集合内的某一进程行为特征时,特征序列内对应于该进程行为特征的标识值为1,否则值为0。
其中,每个初始特征组合对应的特征序列内对应于各个进程行为特征的位置的排列顺序相同。
作为一示例,假设预设特征集合内包括进程行为特征A、进程行为特征B、进程行为特征C以及进程行为特征D共4个进程行为特征。当第一数量为3时,可基于进程行为特征A、进程行为特征B以及进程行为特征C构建初始特征组合1,基于进程行为特征A、进程行为特征B以及进程行为特征D构建初始特征组合2,基于进程行为特征B、进程行为特征C以及进程行为特征D构建初始特征组合3,基于进程行为特征A、进程行为特征C以及进程行为特征D构建初始特征组合4。
此时,初始特征组合1可通过特征序列(1,1,1,0)进行表示,初始特征组合2可通过特征序列(1,1,0,1)进行表示,初始特征组合3可通过特征序列(0,1,1,1)进行表示,初始特征组合4可通过特征序列(1,0,1,1)进行表示。
基于上述实现方式得到的所有初始特征组合,可包括预设特征集合内任意第一数量的进程行为特征所形成的所有组合。
在一些可行的实施方式中,可接收相关人员或者设备下发的特征泛化任务,通过应用程序接口(Application Programming Interface,API)服务将特征泛化任务中的配置参数存储到数据库(如MYSQL)。
其中,特征泛化任务用于指示生成初始特征组合。
其中,特征泛化任务中的配置参数包括参与特征泛化的进程行为特征的数量,也即生成的初始特征组合中的进程行为特征的第一数量。
其中,特征泛化任务中的配置参数还包括预设特征集合对应的标识信息,用于指示根据预设特征集合内的进程行为特征生成初始特征组合。
其中,预设特征集合包括任意一个设备历史出现过的所有进程行为特征,且预设特征集合内的进程行为特征的数量具体可基于实际应用场景需求确定,如预设特征集合内的进程行为特征的数量可以为300,在此不做限制。
在一些可行的实施方式中,在根据预设特征集合确定多个初始特征组合时,可通过至少一个特征生成程序确定初始特征组合。
其中,每个特征生成程序可以为计算机服务、计算机实例等,并且每个特征生成程序可运行于不同的设备之中,具体可基于实际应用场景需求确定,在此不做限制。
其中,任意两个特征生成程序生成的初始特征组合之间不存在相同的初始特征组合。
具体地,可确定多个特征分布条件,每个特征分布条件用于表示每个预设进程行为特征在一个特征生成程序生成的所有初始特征组合内的特征存在状态,任意两个特征分布条件表示不同的特征存在状态。
其中,上述多个特征分布条件可以用于表示各个预设进程行为特征的特征存在状态的不同组合。
其中,特征分布条件的数量与预设进程行为特征的数量相关联。由于每个预设进程行为特征的特征存在状态包括存在以及不存在两种状态,因此根据预设进程行为特征的数量n可确定出特征分布条件的数量为2^n。
其中,预设进程行为特征的数量小于或者等于第一数量。
例如,预设进程行为特征行为分别为预设特征集合中的进程行为特征1和进程行为特征2,则可确定特征分布条件1、特征分布条件2、特征分布条件3以及特征分布条件4。
其中,特征分布条件1用于表示一个特征生成程序生成的所有初始特征组合中包括进程行为特征1和进程行为特征2,特征分布条件2用于表示一个特征生成程序生成的所有初始特征组合中包括进程行为特征1但不包括进程行为特征2,特征分布条件3用于表示一个特征生成程序生成的所有初始特征组合中不包括进程行为特征1但包括进程行为特征2,特征分布条件4用于表示一个特征生成程序生成的所有初始特征组合中即不包括进程行为特征1也不包括特征组合2。
其中,上述每个预设进程行为特征为预设特征集合内的任意进程行为特征。
进一步地,可确定至少一个特征生成程序,每个特征生成程序用于基于预设特征集合生成初始特征集合。
其中,每个特征生成程序对应一个或者多个特征分布条件,进而可通过每个特征生成程序生成符合相应特征分布条件的初始特征组合,从而使得任意两个特征生成程序生成的初始特征组合之间不存在相同的初始特征组合。
其中,预设进程行为特征的数量具体可基于实际应用场景需求确定,在此不做限制。
例如,预设进程行为特征的数量与需要生成的初始特征组合内所包括的进程行为特征的第一数量一致。
可选地,特征生成程序的第二数量可以由初始特征组合包括的进程行为特征的第一数量所确定的。
也即在生成初始特征组合时,预先确定每个初始特征组合内包括的预设特征集合内的进程行为特征的第一数量。并且每个特征生成程序可对应一个特征分布条件。
在此情况下,可根据每个初始特征组合内包括的进程行为特征的第一数量,确定特征生成程序的第二数量,具体确定方式可参见前述确定特征分布条件的数量的实现方式,在此不再赘述。
基于上述实现方式,可通过多个特征生成程序生成初始特征组合,从而提升初始特征组合的生成效率。并且通过特征分布条件的约束,可使得任意两个特征生成程序生成的初始特征组合之间互不相同,从而避免特征生成程序之间生成重复的初始特征组合。
作为一示例,每个初始特征组合可基于特征序列进行表示,特征序列内的每个位置对应于预设特征集合内的一个进程行为特征。当初始特征组合包括预设特征集合内的某一进程行为特征时,特征序列内对应于该进程行为特征的标识值为1,否则值为0。其中,每个初始特征组合对应的特征序列内对应于各个进程行为特征的标识值的排列顺序相同。
假设预设进程行为特征分别为预设特征集合内的进程行为特征E、进程行为特征F、进程行为特征G,预设特征集合内的进程行为特征的数量为10,每个初始特征组合内包括的进程行为特征的第一数量为3。在此条件下,当进程行为特征E、进程行为特征F、进程行为特征G分别为特征序列中的前三个标识值时,各个特征分布条件对应的特征序列可以分别表示为(1,1,1)、(1,1,0)、(1,0,0)、(1,0,1)、(0,1,0)、(0,1,1)、(0,0,1)、(0,0,0)。
其中,每个特征分布条件对应的特征序列中的第一个标识值为1时,表示相应特征生成程序生成的所有初始特征组合中包括进程行为特征E,第一个标识值为0时,表示相应特征生成程序生成的所有初始特征组合中包括不进程行为特征E。第二个标识值为1时,表示相应特征生成程序生成的所有初始特征组合中包括进程行为特征F,第二个标识值为0时,表示相应特征生成程序生成的所有初始特征组合中包括不进程行为特征F。第三个标识值为1时,表示相应特征生成程序生成的所有初始特征组合中包括进程行为特征G,第三个标识值为0时,表示相应特征生成程序生成的所有初始特征组合中包括不进程行为特征G。
进一步地,由于第一数量为3,则特征分布条件的数量以及特征生成程序的数量均为2^3=8,每个特征生成程序对应一个特征分布条件,每个特征生成程序用于生成符合一个特征分布条件的初始特征组合。
当进程行为特征E、进程行为特征F、进程行为特征G分别为特征序列中的前三个标识值时,若将每个初始特征组合采用特征序列进行表示,则各个特征生成程序生成的初始组合特征对应的特征序列的前三个标识值分别为(1,1,1)、(1,1,0)、(1,0,0)、(1,0,1)、(0,1,0)、(0,1,1)、(0,0,1)、(0,0,0)。
其中,特征序列内的每个位置对应于预设特征集合内的一个进程行为特征。当初始特征组合包括预设特征集合内的某一进程行为特征时,特征序列内对应于该进程行为特征的标识值为1,否则值为0。其中,每个初始特征组合对应的特征序列内对应于各个进程行为特征的标识值的排列顺序相同。
参见图4,图4是本申请实施例提供的确定初始特征组合的场景还示意图。如图4所示,对于以特征序列(1,1,1)表示的特征分布条件而言,将基于该特征分布条件生成的初始特征组合以特征序列进行表示之后,该特征序列的前三个标识值分别为1、1、1,其他每个标识值通过1或者0表示预设样本集中的一个进程行为特征的存在状态。如第四个标识值为1时,表示初始特征组合包括第四个标识值对应的进程行为特征,第四个标识值为0时,表示初始特征组合不包括第四个标识值对应的进程行为特征。
同理,对于以特征序列(1,1,0)表示的特征分布条件而言,将基于该特征分布条件生成的初始特征组合以特征序列进行表示之后,该特征序列的前三个标识值分别为1、1、0,其他每个标识值通过1或者0表示预设样本集中的一个进程行为特征的存在状态。如第五个标识值为1时,表示初始特征组合包括第五个标识值对应的进程行为特征,第五个标识值为0时,表示初始特征组合不包括第五个标识值对应的进程行为特征。
同理,对于以特征序列(1,0,0)表示的特征分布条件而言,将基于该特征分布条件生成的初始特征组合以特征序列进行表示之后,该特征序列的前三个标识值分别为1、0、0,其他每个标识值通过1或者0表示预设样本集中的一个进程行为特征的存在状态。如第六个标识值为1时,表示初始特征组合包括第六个标识值对应的进程行为特征,第六个标识值为0时,表示初始特征组合不包括第六个标识值对应的进程行为特征。
步骤S22、从各初始特征组合中确定出符合预设风险条件的第一特征组合。
基于本申请实施例提供的样本构建方法所得到的风险样本为具有风险性的样本,并且由于各初始特征组合为将预设特征集合内的任意第一数量的进程行为特征进行组合后得到,因此在确定出初始特征组合之后,可从各初始特征组合中筛选出符合预设风险条件的第一特征组合。
即,对于从各初始特征组合中确定出的符合预设风险条件的第一特征组合,若某一设备的某一进程或者进程树的进程行为特征与该第一特征组合包括的进程行为特征相同,则确定该进程或进程树具有风险性,也即该进程或进程树为风险进程或者风险进程树。
其中,进程是计算机中的程序关于某数据集合上的一次运行活动,是***进行资源分配的基本单位,是操作***结构的基础。一些进程运行后,会调用其他进程,这样就组成了一个进程树。比如,在“运行”对话框中输入“cmd”启动命令行控制台,然后在命令行中输入“notepad”启动记事本,那么命令行控制台进程“cmd.exe”和记事本进程“notepad.exe”就组成了一个进程树。其中“notepad.exe”进程是由“cmd.exe”进程创建的,前者称为子进程,后者称为父进程。
在一些可行的实施方式中,上述符合预设风险条件可以包括以下至少一项:
组合类型属于预设组合类型;
组合类型不属于预设组合类型且风险系数高于系数阈值。
也即,在从各个初始特征组合中确定出符合预设风险条件的第一特征组合时,可基于以下至少一种方式进行确定:
确定每个初始特征组合的组合类型,将组合类型属于预设组合类型的初始特征组合确定为符合预设风险条件的第一特征组合;
确定每个初始特征组合的风险系数,将风险系数高于系数阈值的初始特征组合确定为符合预设风险条件的第一特征组合。
具体地,对于任意一个初始特征组合,若该初始特征组合的组合类型属于预设组合类型,则说明当某一进程或者进程树的进程行为特征与该初始特征组合包括的进程行为特征相同时,该进程或进程树可能存在一定的风险,此时该进程或进程树可能会对设备的安全运行产生影响。在此情况下,可将该初始特征组合确定为符合预设风险条件的第一特征组合。
若该初始特征组合的组合类型不属于预设组合类型,则说明当某一进程或者进程树的进程行为特征与该初始特征组合包括的进程行为特征相同时,该特征组合不具有风险性,也即确定该特征组合为安全进程或者安全进程树。此时该特征组合不对设备或者进程的安全运行产生影响,并且可确定该初始特征组合为不符合预设风险条件的其他特征组合。
其中,在确定每个初始特征组合的组合类型时,可将该初始特征组合输入预训练的组合预测模型,进而根据预训练的组合预测模型得到该初始特征组合的组合类型,进而确定该初始特征组合的组合类型是否属于预设组合类型。
其中,可将所有特征生成程序生成的初始特征组合输入同一组合预测模型,或者将每个状态分布条件对应的初始特征组合输入每个状态分布条件所对应的组合预测模型,具体可基于实际应用场景需求确定,在此不做限制。
可选地,对于任意一个初始特征组合,若该初始特征组合的风险系数高于系数阈值,则说明当某一进程或者进程树的进程行为特征与该初始特征组合包括的进程行为特征相同时,该进程或进程树同样可能存在一定的风险,此时该进程或进程树可能会对设备的安全运行产生影响。在此情况下,可将该初始特征组合确定为符合预设风险条件的第一特征组合。
若该初始特征组合的风险系数小于或者等于系数阈值时,则说明当某一设备的某一进程或者进程树的进程行为特征与该初始特征组合包括的进程行为特征相同时,该进程或进程树不具有风险性,也即确定该进程或进程树为安全进程或者安全进程树。此时该进程会不对设备的安全运行产生影响,并且可确定该初始特征组合为不符合预设风险条件的其他特征组合。
其中,在确定每个初始特征组合的风险系数时,可将该初始特征组合输入预训练的风险打分模型,得到该初始特征组合的风险系数。
例如,在接收到特征泛化任务之后,特征泛化任务中的配置参数包括指定的模型标识,进而根据指定的模型标识所对应的风险打分模型,确定每个初始特征组合的风险系数。
或者,预设特征集合内的每个进程行为特征对应一个风险值,在确定每个初始特征组合的风险系数时,可将该初始特征组合内的所有进程行为特征对应的风险值相加,得到该初始特征组合的风险系数。
或者,可基于打分筛选策略函数对每个初始特征组合进行打分,得到每个初始特征组合的风险系数。
例如,在接收到特征泛化任务之后,特征泛化任务中的配置参数包括指定的函数标识,进而根据指定的函数标识所对应的打分筛选策略函数,确定每个初始特征组合的风险系数。
需要特别说明的是,上述打分筛选策略函数、类型预测模型以及风险打分模型的构建方式具体可基于实际应用场景需求确定,在此不做限制。
作为一示例,在确定出所有的初始特征组合之后,可确定各个初始特征组合的组合类型,并将属于预设组合类型的初始特征组合确定为第一特征组合。对于组合类型不属于预设组合类型的初始特征组合,可确定其风险系数,并将风险系数高于系数阈值的初始特征组合确定为第一特征组合。
或者,在确定出所有的初始特征组合之后,可先确定各个初始特征组合的风险系数,将风险系数高于系数阈值的初始特征组合确定为第一特征组合。对于风险数低于或者等于系数阈值的初始特征组合,可确定其组合类型,进而将组合类型属于预设组合类型的初始特征组合确定为第一特征组合。
或者,在确定出所有初始特征组合之后,可确定各个初始特征组合的风险系数以及组合类型,进而将组合类型属于预设组合类型和/或风险系数高于系数阈值的初始特征组合确定为第一特征组合。
可选地,对于任意一个初始特征组合,在确定该初始特征组合是否为第一特征组合时,可确定该初始特征组合的组合类型以及风险系数,并在该初始特征组合的组合类型属于预设组合类型且风险系数大于系数阈值的情况下,将该初始特征组合确定为符合预设风险条件的第一特征组合。若该初始特征组合的组合类型不属于预设组合类型,和/或,该初始特征组合的风险系数小于或者等于系数阈值,则确定该初始特征组合为不符合预设风险条件的其他特征组合。
作为一示例,对于任意一个初始特征组合,在确定该初始特征组合是否为第一特征组合时,可先确定该初始特征组合的组合类型,若该初始特征组合的组合类型不属于预设组合类型,则确定该初始特征组合为不符合预设风险条件的其他特征组合。若该初始特征组合的组合类型属于预设组合类型,则进一步确定该初始特征组合的风险系数。若该初始特征组合的风险系数大于系数阈值,则可确定该初始特征组合为符合预设风险条件的第一特征组合,否则确定该初始特征组合为不符合预设风险条件的其他特征组合。
作为一示例,对于任意一个初始特征组合,在确定该初始特征组合是否为第一特征组合时,可先确定该初始特征组合的风险系数。若该初始特征组合的风险系数小于或者等于系数阈值,则确定该初始特征组合为不符合预设风险条件的其他特征组合,若该初始特征组合的风险系数大于系数阈值,则进一步确定该初始特征组合的组合类型。若该初始特征组合的组合类型属于预设组合类型,则可确定该初始特征组合为符合预设风险条件的第一特征组合,否则确定该初始特征组合为不符合预设风险条件的其他特征组合。
其中,初始特征组合的风险系数以及组合类型的确定方式如前述所示,在此不再赘述。
步骤S23、确定每个第一特征组合的目标特征广度,根据每个第一特征组合的目标特征广度从各第一特征组合中确定出风险样本。
在一些可行的实施方式中,在确定每个第一特征组合的目标特征广度之前,可预先确定第一特征集合。
其中,第一特征集合包括每个对象主体对应的至少一个第二特征组合。
其中,每个对象主体用于表征以下至少一项:
一个设备以及该设备运行的一个进程;
一个设备以及该设备运行的一个进程数。
当任意两个对象主体均用于表征一个设备以及该设备运行的一个进程时,该两个对象主体所表征的设备以及进程中的至少一项不同。例如,对象主体1用于表征设备1以及设备1运行的进程1,对象主体2可用于表征设备1以及设备1运行的进程2,或者用于表征设备2以及设备2运行的进程1,或者用于表征设备2以及设备2运行的进程2。
当任意两个对象主体均用于表征一个设备以及该设备运行的一个进程树时,该两个对象主体所表征的设备以及进程树中的至少一项不同。例如,对象主体3用于表征设备3以及设备3运行的进程树3,对象主体4可用于表征设备3以及设备3运行的进程树4,或者用于表征设备4以及设备4运行的进程树3,或者用于表征设备4以及设备4运行的进程树4。
其中,每个对象主体可通过(设备信息,进程信息)或者(设备信息,进程树信息)进行表示,且进程树信息可以包括进程树所涉及到的所有进程的相关信息。
其中,对于任意一个对象主体,该对象主体的每个第二特征组合包括预设特征集合中的至少一个进程行为特征,且每个对象主体对应的任意两个第二特征组合不相同。
即,对于任意一个对象主体,该对象主体的一个第二特征组合可用于表示该对象主体可能具备的进程行为特征的一种组合方式。
进一步地,对于每个第一特征组合,在确定该第一特征组合的目标特征广度时,可从第一特征集合中确定出包括该第一特征组合内的所有进程行为特征的目标特征组合,并确定每个目标特征组合所对应的对象主体,以将每个目标特征组合对应的对象主体确定为与该第一特征组合关联的对象主体。
基于此,可根据与第一特征组合关联的不同对象主体的数量,确定该第一特征组合的目标特征广度。
例如,可根据对象主体的数量与目标特征广度的映射关系,确定第一特征组合的目标特征广度,或者可将与第一特征组合关联的不同对象主体的数量,确定为第一特征组合的目标特征广度,具体可基于实际应用场景需求确定,在此不做限制。
在一些可行实施方式中,预设特征集合可以在确定初始特征组合之前,也即接收到特征泛化任务之前构建,也可以在确定初始特征组合的过程中或者在确定初始特征组合之后构建,具体可基于实际应用场景需求确定,在此不做限制。
在确定每个对象主体对应的第二特征组合时,可确定每个对象主体的行为特征日志,每个行为特征日志用于指示对应对象主体在预设历史时间段内产生的所有属于预设特征集合的进程行为特征。
其中,上述预设历史时间段具体可基于实际应用场景需求确定,如可以为构建预设特征集合之前的前三天、前一个月等,在此不做限制。
可以理解的是,本申请实施例中行为特征日志的获取、对行为特征日志的处理等过程在实际应用过程中严格遵守相关国家法律法规的要求。相关数据或信息的采集与处理需要获取相关主体的知情同意或单独同意,并在法律法规及相关主体的授权范围内,开展后续数据使用及处理行为。
作为一示例,每个行为特征日志用于指示一个设备运行的一个进程在预设历史时间段内所产生的所有属于预设特征集合的进程行为特征。
作为一示例,每个行为特征日志用于指示一个设备运行的一个进程树的进程行为链在预设历史时间段内所产生的所有属于预设特征集合的进程行为特征。
进一步地,对于每个行为特征日志,可确定该行为特征日志所指示的进程行为特征的第三数量,并根据该行为特征日志对应的第三数量,生成第二特征组合。
具体地,对于任意一个进程而言,若该进程在预设历史时间段内产生的进程行为特征的数量较少,说明该进程为常见的计算机进行,如运行某一程序、打开浏览器等,进而说明该进程的风险性较低。若该进程在预设历史时间段内产生的进程行为特征的数量较多,说明该进程的多种进程行为特征很有可能带来安全风险。
基于此,对于每个行为特征日志,若该行为特征日志所指示的进程行为特征的第三数量大于或者等于第一阈值,则根据该行为特征日志生成至少一个第二特征组合。若该行为特征日志所指示的进程行为特征的第三数量小于第一阈值,则不基于该行为特征日志生成第二特征组合。
对于每个行为特征日志,若该行为特征日志对应的第三数量位于第一数量区间内,则根据该行为特征日志生成多个第二特征组合。
其中,基于该行为特征日志生成的每个第二特征组合包括该行为特征日志所指示的至少一个进程行为特征,且基于该行为特征日志生成的任意两个第二特征组合不相同。
也即,基于该行为特征日志生成的每个第二特征组合,可以包括该行为特征日志所指示的任意一个或者多个进程行为特征,且基于该行为特征日志生成的所有第二特征组合之间不存在完全相同的两个第二特征组合。
其中,基于该行为特征日志还可以生成一个为空的第二特征组合,用于表示不包括该行为特征日志所指示的任意一个进程行为特征。
其中,若将每个第二特征组合采用特征序列的方式进行表示,则每个第二特征组合包括多个标识值,每个标识值对应预设特征集合内的一个进程行为特征。并且,每个标识值为1时表示第二特征组合包括对应的进程行为特征,每个标识值为0时表示第二特征组合不包括对应的进程行为特征。
其中,每个行为特征日志所指示的任意一个进程行为特征均属于预设特征集合。
作为一示例,参见图5,图5是本申请实施提供的确定第二特征组合的场景示意图。
假设预设特征集合内的进程行为特征包括进程行为特征H、进程行为特征I、进程行为特征J以及进程行为特征K,且某一行为特征日志所指示的进程行为特征为进行称为特征H和进程行为特征I。
在此情况下,基于该行为特征日志所生成的第二特征组合可通过特征序列分别表示为:(1,1,0,0)、(1,0,0,0)以及(0,1,0,0)。
其中,特征序列(1,1,0,0)表示对应第二特征组合包括该行为特征日志所指示的进程行为特征H和进程行为特征I,特征序列(1,0,0,0)表示对应第二特征组合包括该行为特征日志所指示的进程行为特征H但不包括该行为特征日志所指示的进程行为特征I,特征序列(0,1,0,0)表示对应第二特征组合不包括该行为特征日志所指示的进程行为特征H但包括该行为特征日志所指示的进程行为特征I。
其中,在根据每个行为特征日志生成的第二特征组合中存在一个为空的第二特征组合的情况下,图5所示的第二特征组合还可通过特征序列(0,0,0,0)表示一个第二特征组合为空。
其中,上述第一阈值可以为上述第一数量区间的下限值。
另一方面,对于每个行为特征日志,若该行为特征日志对应的第三数量大于第一数量区间的上限值,则根据该行为特征日志生成一个第二特征组合。
此时生成的第二特征组合包括该行为特征日志所指示的所有进程行为特征。
进一步地,在构建第一特征集合之后,可以预设周期(如每天),根据新收集到的行为特征日志更新第一特征集合。
在一些可行的实施方式中,第一特征集合包括第一子集合和第二子集合。
其中,第一子集合包括第三数量位于第一数量区间内的所有行为特征日志对应的第二特征组合,第二子集合包括第三数量大于第一数量区间的上限值的所有行为特征日志对应的第二特征组合。
其中,第一子集合内的每个第二特征组合可以作为一个key,每个第二特征组合对应的对象主体可以作为一个value,即每个对象主体对应的一个第二特征组合可以用一个key-value(键值对)进行表示。
其中,第一子集合内的相同第二特征组合(相同key)可关联同一个hashmap,每个hashmap包括与之前的每个第二特征组合(key)对应的对象主体(value)。
参见图6,图6是本申请实施例提供的特征组合存储形式的场景示意图。如图6所示,若根据对象主体1对应的行为特征日志确定出的多个第二特征组合中包括第二特征组合1,根据对象主体2对应的行为特征日志确定出的多个第二特征组合中包括第二特征组合2,根据对象主体3对应的行为特征日志确定出的多个第二特征组合中包括第二特征组合3,第二特征组合1、第二特征组合2以及第二特征组合3包括的进程行为特征完全相同,如采用特征序列表示时均以(1,1,0,0)进行表示。
在此情况下,可将第二特征组合1、第二特征组合2以及第二特征组合3中的任意一个第二特征组合作为key,或者将对应的特征序列(1,1,0,0)作为key,将对象主体1、对象主体2以及对象主体3分别作为与key关联的value存储至hashmap中。
基于此,对于每个第一特征组合,在确定该第一特征组合的目标特征广度时,将该第一特征组合与第一子集合内各个hashmap关联的第二特征组合进行匹配,若存在包括第一特征组合内所有进程行为特征的第二特征组合,则将与该第二特征组合关联的hashmap的大小确定为该第一特征组合的第一特征广度。
其中,每个hashmap的大小用于表征该hashmap所包括的不同对象主体的数量。
进一步地,将该第一特征组合与第二子集合内的各个第二特征组合进行匹配,确定出包括该第二特征组合内所有进程行为特征的第二特征组合,并根据与该第一特征组合相匹配的第二特征组合对应的对象主体的数量,确定该第一特征组合的第二特征广度。
进一步地,可将该第一特征组合的第一特征广度和第二特征广度相加,得到该第一特征组合的目标特征广度。
在一些可行的实施方式中,每个第一特征组合的目标特征广度用于表征与该第一特征组合关联的不同对象主体的数量。每个第一特征组合的目标特征广度越高,说明出现该第一特征组合内所有进程行为特征的主体对象的范围越广,反之说明出现该第一特征组合内所有进程行为特征的主体对象的范围越小。
在此情况下,在确定出每个第一特征组合的目标特征广度之后,可根据目标特征广度从第一特征组合中确定出风险样本。
其中,本申请实施例确定出的序列样本用于训练风险预测模型,该风险预测模型用于预测特征组合的风险情况。
具体地,在确定风险样本时,可确定出目标特征广度小于预设广度值的第一特征组合,进而将目标特征广度小于预设广度值的第一特征组合,确定为一个风险样本。
其中,每个风险样本其实质为一个第一特征组合。
或者,在确定风险样本时,可将每个目标特征广度位于预设广度范围内的第一特征组合确定为风险样本。
其中,对于每个第一特征组合,若出现该第一特征组合内所有进程行为特征的主体对象的范围较大,说明该第一特征组合内的进程行为特征为各个设备常见的进程行为特征,如打开某APP,运行某办公软件等。若出现该第一特征组合内所有进程行为特征的主体对象的范围较小,说明该第一特征组合内的进程行为特征为的偶发情况较多,风险性较高。
可选地,可先通过上述实现方式,根据目标特征广度从第一特征组合中筛选出第三特征组合,并根据每个第三特征组合对应的对象主体从第二特征组合中确定出最终的风险样本。
例如,对于每个第三特征组合,若该第三特征组合对应的设备属于指定设备范围,则将该第三特征组合确定为风险样本。或者,若该第三特征组合所包括的进程行为特征的数量,未超过对应对象主体中的设备和/或相应进程(进程树)所能达到的进程行为特征上限,则确定该第三特征组合为风险样本。
其中,本申请实施例确定出的风险样本为具有风险性的包括多个进程行为特征的特征组合。
在一些可行的实施方式中,在确定出风险样本之后,可根据风险样本训练得到用于预测特征组合的风险情况的风险预测模型。
具体地,可将每个风险样本输入初始模型,得到每个风险样本对应的预测风险类型。
其中,预测风险类型包括第一类型和第二类型,第一类型的特征组合属于风险特征组合,第二类型的特征组合不属于风险特征组合。
其中,每个风险样本的实际风险类型为第一类型,也即每个风险样本属于风险特征组合。
进一步地,根据各风险样本的实际风险类型和预测风险类型,确定总训练损失。
基于此,可根据各风险样本对初始模型进行迭代训练,直至总训练损失符合训练结束条件时停止训练,并将停止训练时的模型确定为风险预测模型。
可选地,在训练风险预测模型时,可确定训练样本集。
训练样本集包括多个训练样本,训练样本中包括多个正样本和多个负样本。
其中,正样本为不属于风险特征组合的其他特征组合,具体可基于人工构建的方式进行确定,或者可将第一特征组合中未确定为风险样本的其他第一特征组合确定为正样本。
其中,负样本为前述确定出的风险样本。
其中,正样本的实际风险类型为第二类型,即正样本不属于风险特征组合,负样本的实际风险类型为第一类型,即正样本属于风险特征组合。
进一步地,将每个训练样本输入初始模型,得到每个训练样本对应的预测风险类型。
进一步地,根据各训练样本的实际风险类型和预测风险类型,确定总训练损失。
基于此,可根据各训练样本对初始模型进行迭代训练,直至总训练损失符合训练结束条件时停止训练,并将停止训练时的模型确定为风险预测模型。
其中,上述总训练损失可基于交叉熵损失函数确定,也可以基于其他损失函数确定,具体可基于实际应用场景需求确定,在此不做限制。
在本申请实施例中风险预测模型的训练方法以及风险类型的预测方法可适用于人工智能(Artificial Intelligence,AI)的机器学习(Machine Learning,ML)领域,以及云技术(Cloud technology)中的云计算(cloud computing)、人工智能云服务等领域。
其中,人工智能是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用***。换句话说,人工智能是计算机科学的一个综合技术,它企图了解智能的实质,并生产出一种新的能以人类智能相似的方式做出反应的智能机器。
机器学习是专门研究计算机怎样模拟或实现人类的学习行为,以获取新的知识或技能,重新组织已有的知识结构使之不断改善自身的性能。机器学习是人工智能的核心,是使计算机具有智能的根本途径,其应用遍及人工智能的各个领域。在本申请实施例中,可基于机器学习的手段训练得到具备图像质量评价能力的机器,进而可通过该机器对特征组合进行风险类型的预测。
在一些可行的实施方式中,在训练得到风险预测模型之后,对于任意一个待预测特征组合,可将该待预测特征组合输入风险预测模型,得到该待预测特征组合的预测风险类型。
其中,待预测特征组合包括至少一个进程行为特征,且待预测进程行为特征包括的进程行为特征属于预设特征集合。
进一步地,可根据待预测特征组合的预测风险类型,确定待预测特征组合对应的对象主体的风险情况。
其中,若该待预测特征组合属于风险特征组合,则说明该待预测特征组合对应的对象主体属于风险对象主体,也即确定该待预测特征组合对应的设备为风险设备和/或确定该待预测特征组合对应的进程(或者进程树)为风险进程。若该待预测特征组合不属于风险特征组合,则说明该待预测特征组合对应的对象主体不属于风险对象主体,也即确定该待预测特征组合对应的设备或者进程(或者进程树)不存在安全风险。
下面结合图7对本申请实施例中确定风险样本的过程进行进一步说明。图7是本申请实施例提供的确定目标特征广度的流程框架示意图。如图7所示,在接收到特征泛化任务之后,可通过API服务将特征泛化任务中的配置参数存储到数据库(如MYSQL)。
其中,特征泛化任务中的配置参数包括参与特征泛化的进程行为特征的数量n。
其中,特征泛化任务中的配置参数还包括预设特征集合对应的标识信息,用于指示根据预设特征集合内的进程行为特征生成初始特征组合。
进一步地,可通过运行于redis中的至少一个特征生成程序抢占redis锁,以根据redis锁确定各自的特征分布条件。每个特征分布条件用于表征预设特征集合内的前m个进程行为特征的存在状态,每个特征分布条件可以用m个标识值的特征序列进行表示。例如,每个特征分布条件对应的特征序列中的第一个标识值为1时,表示相应特征生成程序生成的所有初始特征组合中包括第一个标识值对应的进程行为特征,第一个标识值为0时,表示相应特征生成程序生成的所有初始特征组合中包括第一个标识值对应的进程行为特征。
其中,上述特征生成程序可以为soc_feature_combine服务。
基于此,每个特征生成程序可将预设特征集合内除前m个进程行为特征以外的其他进程行为特征中n各进程行为特征进行自由组合,生成符合对应特征分布条件的多个初始特征组合。
对于每个特征生成程序而言,该特征生成程序可根据特征泛化任务中的配置参数包括的指定的模型标识对应的组合预测模型得到初始特征组合的组合类型,进而确定每个初始特征组合的组合类型是否属于预设组合类型。
进一步地,将属于预设组合类型的初始特征组合确定为第一特征组合。对于组合类型不属于预设组合类型的初始特征组合,可根据配置参数中包括的指定的函数标识对应的打分筛选策略函数,确定每个初始特征组合的风险系数,并将风险系数高于系数阈值的初始特征组合确定为第一特征组合。
对于筛选出来的第一特征组合,可基于本申请实施例中的任意一种方式进行广度值查询,得到每个第一特征组合的目标特征广度。
即对于每个第一特征组合,将该第一特征组合与第一子集合内各个hashmap关联的第二特征组合进行匹配,若存在包括第一特征组合内所有进程行为特征的第二特征组合,则将与该第二特征组合关联的hashmap的大小确定为该第一特征组合的第一特征广度。
进一步地,将该第一特征组合与第二子集合内的各个第二特征组合进行匹配,确定出包括该第二特征组合内所有进程行为特征的第二特征组合,并根据与该第一特征组合相匹配的第二特征组合对应的对象主体的数量,确定该第一特征组合的第二特征广度。
进一步地,可将该第一特征组合的第一特征广度和第二特征广度相加,得到该第一特征组合的目标特征广度。
其中,上述用于确定第一特征广度的第一子集合和用于确定第二特征广度的第二子集合的一种构建方式可参见图8,图8是本申请实施例提供的行为特征日志处理的流程框架示意图。
如图8所示,SOC平台可将在预设历史时间段内从全网得到的多个行为特征日志接入到多台服务器,并通服务器动态更新维度获取到的行为特征日志。
每个服务器中的数据构建实例(如ruletestcron服务)可利于每个行为特征日志构建第一子集合和第二子集合。
其中,每个行为特征日志用于指示对应对象主体在预设历史时间段内产生的所有属于预设特征集合的进程行为特征。
对于每个行为特征日志,若该行为特征日志的命中数大于或者等于第一阈值(如为3),则根据该行为特征日志生成多个第二特征组合。若该行为特征日志的命中数小于第一阈值,则基于该行为特征日志生成一个第二特征组合。每个行为特征日志的命中数为该行为特征日志所指示的属于预设特征集合进程行为特征的第三数量。
对于每个行为特征日志,若该行为特征日志的命中数位于第一数量区间,则将该行为特征日志所指示的所有进程行为特征进行排列组合,构建出C(1,k)+ C(2,k)+ … + C(k,k)个第二特征组合(k为命中数)。即基于该行为特征日志生成的每个第二特征组合包括该行为特征日志所指示的至少一个进程行为特征,且基于该行为特征日志生成的任意两个第二特征组合不相同。
进一步地,根据所有命中数位于第一数量区间的行为特征日志确定出的所有第二特征组合构建第一子集合。第一子集合内的每个第二特征组合可以作为一个key,每个第二特征组合对应的对象主体可以作为一个value,即每个对象主体对应的一个第二特征组合可以用一个key-value(键值对)进行表示。
其中,第一子集合内的相同第二特征组合(相同key)可关联同一个hashmap,每个hashmap包括与之前的每个第二特征组合(key)对应的对象主体(value)。每个hashmap的大小用于表征该hashmap所包括的不同对象主体的数量。
对于每个行为特征日志,若该行为特征日志的命中数大于第一数量区间的上限值,则基于该行为特征日志生成一个第二特征组合,该第二特征组合包括该行为特征日志所指示的所有进程行为特征。
进一步地,根据所有命中数大于上限值的行为特征日志生成的所有第二特征组合构建第二子集合。由于命中数超过上限值的行为特征日志的数量较少,因此在确定第二特征广度时可直接将第一特征组合与第二子集合内的各个第二特征组合进行直接匹配即可,有利于提升匹配效率。
其中,在通过多个数据构建实例构建第一子集合和第二子集合的情况下,可将各个数据构建实例得到的第一子集合进行合并得到最终的第一子集合,将各个数据构建实例得到的第二子集合进行合并得到最终的第二子集合。
每个数据构建实例在完成第一子集合和第二子集合的构建之后,可注册当前实例的任务状态,当所有数据构建实例注册成功后,则确定最终的第一子集合和第二子集合构建完成。
本申请实施例中涉及到的特征组合的确定过程、风险类型的预测过程、特征广度的确定过程等可基于云技术中的云计算实现。其中,云技术是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。云技术基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。
云计算是一种计算模式,是网格计算(Grid computing )、分布式计算(Distributed Computing)、并行计算(Parallel Computing)、效用计算(UtilityComputing)、网络存储(Network Storage Technologies)、虚拟化(Virtualization)、负载均衡(Load Balance)等传统计算机和网络技术发展融合的产物。云计算将计算任务分布在大量计算机构成的资源池上,使各种应用***能够根据需要获取计算力、存储空间和信息服务。提供资源的网络被称为“云”,“云”中的资源是可以无限扩展的,并且可以随时获取,按需使用,随时扩展,按使用付费。
本申请实施例中确定出的风险样本、预设特征集合以及第一特征集合等需要进行存储的相关信息,可以存储于指定存储空间,该指定存储空间包括但不限于云存储、数据库(如MYSQL数据库)、区块链以及执行模型训练任务的设备自身的存储空间等,具体可基于实际应用场景需求确定,在此不做限制。
其中,数据库简而言之可视为电子化的文件柜——存储电子文件的处所,其可以为关系型数据库(SQL数据库)也可以为非关系型数据库(NoSQL数据库),在此不做限制。在本申请中可用于存储确定出的风险样本、预设特征集合以及第一特征集合等需要进行存储的相关信息。区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块。在本申请实施例中,区块链中的每一个数据块均可存储确定出的风险样本、预设特征集合以及第一特征集合等需要进行存储的相关信息。云存储是在云计算概念上延伸和发展出来的一个新的概念,是指通过集群应用、网格技术以及分布存储文件***等功能,将网络中大量各种不同类型的存储设备(存储设备也称之为存储节点)通过应用软件或应用接口集合起来协同工作,共同存储确定出的风险样本、预设特征集合以及第一特征集合等需要进行存储的相关信息。
在本申请实施例中,通过将预设特征集合内的进程行为特征以第一数量进行组合得到多个初始特征组合,可使得符合预设风险条件的第一特征组合可以覆盖多种进程行为特征的组合方式,有利于发现未知且符合预设风险条件的第一特征组合。进一步地,每个第一特征组合的目标特征广度用于表征与该第一特征组合关联的不同对象主体的数量,从而可确定出现每个第一特征组合内所有进程行为特征的主体对象的范围,并以此为基础从第一特征组合中筛选出的风险样本更符合风险特征,进而可提升风险预测模型的训练效果,使得预测结果更为准确。
参见图9,图9是本申请实施例提供的样本构建装置的结构示意图。本申请实施例提供的样本构建装置包括:
特征处理模块91,用于确定多个初始特征组合,每个上述初始特征组合包括预设特征集合中第一数量的进程行为特征,且任意两个上述初始特征组合不相同;
组合筛选模块92,用于从各上述初始特征组合中确定出符合预设风险条件的第一特征组合;
样本确定模块93,用于确定每个上述第一特征组合的目标特征广度,根据每个上述第一特征组合的目标特征广度从各上述第一特征组合中确定出风险样本;
其中,每个上述目标特征广度用于表征与对应第一特征组合关联的对象主体的数量,每个上述对象主体用于表征以下至少一项:
一个设备以及该设备运行的一个进程;
一个设备以及该设备运行的一个进程树;
其中,上述风险样本用于训练风险预测模型,上述风险预测模型用于预测特征组合的风险情况。
在一些可行的实施方式中,上述特征处理模块91,用于:
确定第二数量的特征生成程序,其中,每个上述特征生成程序用于基于上述预设特征集合生成初始特征组合;
确定每个上述特征生成程序对应的特征分布条件;其中,每个上述特征分布条件用于表示每个预设进程行为特征在相应特征生成程序生成的初始特征组合内的特征存在状态,任意两个上述特征分布条件表示不同的特征存在状态,每个上述预设进程行为特征属于上述预设特征集合;
根据每个上述特征生成程序生成符合相应特征分布条件的初始特征组合。
在一些可行的实施方式中,上述组合筛选模块92,用于:
确定每个上述初始特征组合的组合类型,将组合类型属于预设组合类型的初始特征组合确定为符合预设风险条件的第一特征组合;
确定每个上述初始特征组合的风险系数,将风险系数高于系数阈值的初始特征组合确定为符合预设风险条件的第一特征组合。
在一些可行的实施方式中,对于每个上述第一特征组合,上述样本确定模块93,用于:
确定第一特征集合,上述第一特征集合包括每个对象主体对应的至少一个第二特征组合;每个对象主体的每个上述第二特征组合包括上述预设特征集合中的至少一个进程行为特征,且每个对象主体对应的任意两个上述第二特征组合不相同;
从第一特征集合中确定出包括该第一特征组合内的所有进程行为特征的目标特征组合,将每个上述目标特征组合对应的对象主体确定为与该第一特征组合关联的对象主体;
根据与该第一特征组合关联的不同对象主体的数量,确定该第一特征组合的目标特征广度。
在一些可行的实施方式中,上述样本确定模块93,用于:
确定每个对象主体的行为特征日志,每个上述行为特征日志用于指示对应对象主体在预设历史时间段内产生的所有属于上述预设特征集合的进程行为特征;
确定每个上述行为特征日志所指示的进程行为特征的第三数量;
对于每个上述行为特征日志,根据该行为特征日志对应的第三数量,生成第二特征组合。
在一些可行的实施方式中,对于每个上述行为特征日志,上述样本确定模块93,用于:
响应于该行为特征日志对应的第三数量位于第一数量区间内,根据该行为特征日志生成多个第二特征组合;
其中,基于该行为特征日志生成的每个第二特征组合包括该行为特征日志所指示的至少一个进程行为特征,且基于该行为特征日志生成的任意两个第二特征组合不相同;
响应于该行为特征日志对应的第三数量大于上述第一数量区间的上限值,根据该行为特征日志生成一个第二特征组合,该第二特征组合包括该行为特征日志所指示的所有进程行为特征。
在一些可行的实施方式中,上述样本构建装置还包括训练模块,上述训练模块用于:
将每个上述风险样本输入初始模型,得到每个上述风险样本对应的预测风险类型;
其中,上述预测风险类型包括第一类型和第二类型,上述第一类型的特征组合属于风险特征组合,上述第二类型的特征组合不属于上述风险特征组合;
根据各上述风险样本的实际风险类型和上述预测风险类型,确定总训练损失,每个上述风险样本的实际风险类型为上述第一类型;
根据各上述风险样本对上述初始模型进行迭代训练,直至上述总训练损失符合训练结束条件时停止训练,并将停止训练时的模型确定为上述风险预测模型。
在一些可行的实施方式中,上述样本构建装置还包括风险预测模块,上述风险预测模块用于:
确定待预测特征组合,上述待预测特征组合包括至少一个进程行为特征;
将上述待预测特征组合输入上述风险预测模型,得到上述待预测特征组合的预测风险类型;
根据上述待预测特征组合的预测风险类型,确定上述待预测特征组合对应的对象主体的风险情况。
具体实现中,上述样本构建装置可通过其内置的各个功能模块执行如上述图2中各个步骤所提供的实现方式,具体可参见上述各个步骤所提供的实现方式,在此不再赘述。
参见图10,图10是本申请实施例提供的电子设备的结构示意图。如图10所示,本实施例中的电子设备1000可以包括:处理器1001,网络接口1004和存储器1005,此外,上述电子设备1000还可以包括:对象接口1003,和至少一个通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。其中,对象接口1003可以包括显示屏(Display)、键盘(Keyboard),可选对象接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是非易失性存储器(non-volatile memory,NVM),例如至少一个磁盘存储器。存储器1005可选的还可以是至少一个位于远离前述处理器1001的存储装置。如图10所示,作为一种计算机可读存储介质的存储器1005中可以包括操作***、网络通信模块、对象接口模块以及设备控制应用程序。
在图10所示的电子设备1000中,网络接口1004可提供网络通讯功能;而对象接口1003主要用于为对象提供输入的接口;而处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现:
确定多个初始特征组合,每个上述初始特征组合包括预设特征集合中第一数量的进程行为特征,且任意两个上述初始特征组合不相同;
从各上述初始特征组合中确定出符合预设风险条件的第一特征组合;
确定每个上述第一特征组合的目标特征广度,根据每个上述第一特征组合的目标特征广度从各上述第一特征组合中确定出风险样本;
其中,每个上述目标特征广度用于表征与对应第一特征组合关联的对象主体的数量,每个上述对象主体用于表征以下至少一项:
一个设备以及该设备运行的一个进程;
一个设备以及该设备运行的一个进程树;
其中,上述风险样本用于训练风险预测模型,上述风险预测模型用于预测特征组合的风险情况。
在一些可行的实施方式中,上述处理器1001用于:
确定第二数量的特征生成程序,其中,每个上述特征生成程序用于基于上述预设特征集合生成初始特征组合;
确定每个上述特征生成程序对应的特征分布条件;其中,每个上述特征分布条件用于表示每个预设进程行为特征在相应特征生成程序生成的初始特征组合内的特征存在状态,任意两个上述特征分布条件表示不同的特征存在状态,每个上述预设进程行为特征属于上述预设特征集合;
根据每个上述特征生成程序生成符合相应特征分布条件的初始特征组合。
在一些可行的实施方式中,上述处理器1001用于:
确定每个上述初始特征组合的组合类型,将组合类型属于预设组合类型的初始特征组合确定为符合预设风险条件的第一特征组合;
确定每个上述初始特征组合的风险系数,将风险系数高于系数阈值的初始特征组合确定为符合预设风险条件的第一特征组合。
在一些可行的实施方式中,对于每个上述第一特征组合,上述处理器1001用于:
确定第一特征集合,上述第一特征集合包括每个对象主体对应的至少一个第二特征组合;每个对象主体的每个上述第二特征组合包括上述预设特征集合中的至少一个进程行为特征,且每个对象主体对应的任意两个上述第二特征组合不相同;
从第一特征集合中确定出包括该第一特征组合内的所有进程行为特征的目标特征组合,将每个上述目标特征组合对应的对象主体确定为与该第一特征组合关联的对象主体;
根据与该第一特征组合关联的不同对象主体的数量,确定该第一特征组合的目标特征广度。
在一些可行的实施方式中,上述处理器1001用于:
确定每个对象主体的行为特征日志,每个上述行为特征日志用于指示对应对象主体在预设历史时间段内产生的所有属于上述预设特征集合的进程行为特征;
确定每个上述行为特征日志所指示的进程行为特征的第三数量;
对于每个上述行为特征日志,根据该行为特征日志对应的第三数量,生成第二特征组合。
在一些可行的实施方式中,对于每个上述行为特征日志,上述处理器1001用于:
响应于该行为特征日志对应的第三数量位于第一数量区间内,根据该行为特征日志生成多个第二特征组合;
其中,基于该行为特征日志生成的每个第二特征组合包括该行为特征日志所指示的至少一个进程行为特征,且基于该行为特征日志生成的任意两个第二特征组合不相同;
响应于该行为特征日志对应的第三数量大于上述第一数量区间的上限值,根据该行为特征日志生成一个第二特征组合,该第二特征组合包括该行为特征日志所指示的所有进程行为特征。
在一些可行的实施方式中,上述处理器1001还用于:
将每个上述风险样本输入初始模型,得到每个上述风险样本对应的预测风险类型;
其中,上述预测风险类型包括第一类型和第二类型,上述第一类型的特征组合属于风险特征组合,上述第二类型的特征组合不属于上述风险特征组合;
根据各上述风险样本的实际风险类型和上述预测风险类型,确定总训练损失,每个上述风险样本的实际风险类型为上述第一类型;
根据各上述风险样本对上述初始模型进行迭代训练,直至上述总训练损失符合训练结束条件时停止训练,并将停止训练时的模型确定为上述风险预测模型。
在一些可行的实施方式中,上述处理器1001还用于:
确定待预测特征组合,上述待预测特征组合包括至少一个进程行为特征;
将上述待预测特征组合输入上述风险预测模型,得到上述待预测特征组合的预测风险类型;
根据上述待预测特征组合的预测风险类型,确定上述待预测特征组合对应的对象主体的风险情况。
应当理解,在一些可行的实施方式中,上述处理器1001可以是中央处理单元(central processing unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(digital signal processor,DSP)、专用集成电路 (application specific integratedcircuit,ASIC)、现成可编程门阵列 (field-programmable gate array,FPGA) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。该存储器可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。例如,存储器还可以存储设备类型的信息。
具体实现中,上述电子设备1000可通过其内置的各个功能模块执行如上述图2中各个步骤所提供的实现方式,具体可参见上述各个步骤所提供的实现方式,在此不再赘述。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,被处理器执行以实现图2中各个步骤所提供的方法,具体可参见上述各个步骤所提供的实现方式,在此不再赘述。
上述计算机可读存储介质可以是前述任一实施例提供的样本构建装置或电子设备的内部存储单元,例如电子设备的硬盘或内存。该计算机可读存储介质也可以是该电子设备的外部存储设备,例如该电子设备上配备的插接式硬盘,智能存储卡(smart mediacard, SMC),安全数字(secure digital, SD)卡,闪存卡(flash card)等。上述计算机可读存储介质还可以包括磁碟、光盘、只读存储记忆体(read-only memory,ROM)或随机存储记忆体(random access memory,RAM)等。进一步地,该计算机可读存储介质还可以既包括该电子设备的内部存储单元也包括外部存储设备。该计算机可读存储介质用于存储该计算机程序以及该电子设备所需的其他程序和数据。该计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
本申请实施例提供了一种计算机程序产品,该计算机程序产品包括计算机程序,上述计算机程序被处理器执行图2中各个步骤所提供的方法。
本申请的权利要求书和说明书及附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或电子设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或电子设备固有的其它步骤或单元。在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置展示该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
以上所揭露的仅为本申请较佳实施例而已,不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,仍属本申请所涵盖的范围。
Claims (12)
1.一种样本构建方法,其特征在于,所述方法包括:
确定多个初始特征组合,每个所述初始特征组合包括预设特征集合中第一数量的进程行为特征,且任意两个所述初始特征组合不相同;
从各所述初始特征组合中确定出符合预设风险条件的第一特征组合;
确定每个所述第一特征组合的目标特征广度,根据每个所述第一特征组合的目标特征广度从各所述第一特征组合中确定出风险样本;
其中,每个所述目标特征广度用于表征与对应第一特征组合关联的对象主体的数量,每个所述对象主体用于表征以下至少一项:
一个设备以及该设备运行的一个进程;
一个设备以及该设备运行的一个进程树;
其中,所述风险样本用于训练风险预测模型,所述风险预测模型用于预测特征组合的风险情况。
2.根据权利要求1所述的方法,其特征在于,所述确定多个初始特征组合,包括:
确定第二数量的特征生成程序,其中,每个所述特征生成程序用于基于所述预设特征集合生成初始特征组合;
确定每个所述特征生成程序对应的特征分布条件;其中,每个所述特征分布条件用于表示每个预设进程行为特征在相应特征生成程序生成的初始特征组合内的特征存在状态,任意两个所述特征分布条件表示不同的特征存在状态,每个所述预设进程行为特征属于所述预设特征集合;
根据每个所述特征生成程序生成符合相应特征分布条件的初始特征组合。
3.根据权利要求1所述的方法,其特征在于,所述从各所述初始特征组合中确定出符合预设风险条件的第一特征组合,包括以下至少一项:
确定每个所述初始特征组合的组合类型,将组合类型属于预设组合类型的初始特征组合确定为符合预设风险条件的第一特征组合;
确定每个所述初始特征组合的风险系数,将风险系数高于系数阈值的初始特征组合确定为符合预设风险条件的第一特征组合。
4.根据权利要求1所述的方法,其特征在于,对于每个所述第一特征组合,确定该第一特征组合对应的目标特征广度,包括:
确定第一特征集合,所述第一特征集合包括每个对象主体对应的至少一个第二特征组合;每个对象主体的每个所述第二特征组合包括所述预设特征集合中的至少一个进程行为特征,且每个对象主体对应的任意两个所述第二特征组合不相同;
从第一特征集合中确定出包括该第一特征组合内的所有进程行为特征的目标特征组合,将每个所述目标特征组合对应的对象主体确定为与该第一特征组合关联的对象主体;
根据与该第一特征组合关联的不同对象主体的数量,确定该第一特征组合的目标特征广度。
5.根据权利要求4所述的方法,其特征在于,确定每个对象主体对应的第二特征组合,包括:
确定每个对象主体的行为特征日志,每个所述行为特征日志用于指示对应对象主体在预设历史时间段内产生的所有属于所述预设特征集合的进程行为特征;
确定每个所述行为特征日志所指示的进程行为特征的第三数量;
对于每个所述行为特征日志,根据该行为特征日志对应的第三数量,生成第二特征组合。
6.根据权利要求5所述的方法,其特征在于,对于每个所述行为特征日志,所述根据该行为特征日志对应的第三数量,生成第二特征组合,包括:
响应于该行为特征日志对应的第三数量位于第一数量区间内,根据该行为特征日志生成多个第二特征组合;
其中,基于该行为特征日志生成的每个第二特征组合包括该行为特征日志所指示的至少一个进程行为特征,且基于该行为特征日志生成的任意两个第二特征组合不相同;
响应于该行为特征日志对应的第三数量大于所述第一数量区间的上限值,根据该行为特征日志生成一个第二特征组合,该第二特征组合包括该行为特征日志所指示的所有进程行为特征。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将每个所述风险样本输入初始模型,得到每个所述风险样本对应的预测风险类型;
其中,所述预测风险类型包括第一类型和第二类型,所述第一类型的特征组合属于风险特征组合,所述第二类型的特征组合不属于所述风险特征组合;
根据各所述风险样本的实际风险类型和所述预测风险类型,确定总训练损失,每个所述风险样本的实际风险类型为所述第一类型;
根据各所述风险样本对所述初始模型进行迭代训练,直至所述总训练损失符合训练结束条件时停止训练,并将停止训练时的模型确定为所述风险预测模型。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
确定待预测特征组合,所述待预测特征组合包括至少一个进程行为特征;
将所述待预测特征组合输入所述风险预测模型,得到所述待预测特征组合的预测风险类型;
根据所述待预测特征组合的预测风险类型,确定所述待预测特征组合对应的对象主体的风险情况。
9.一种样本构建装置,其特征在于,所述装置包括:
特征处理模块,用于确定多个初始特征组合,每个所述初始特征组合包括预设特征集合中第一数量的进程行为特征,且任意两个所述初始特征组合不相同;
组合筛选模块,用于从各所述初始特征组合中确定出符合预设风险条件的第一特征组合;
样本确定模块,用于确定每个所述第一特征组合的目标特征广度,根据每个所述第一特征组合的目标特征广度从各所述第一特征组合中确定出风险样本;
其中,每个所述目标特征广度用于表征与对应第一特征组合关联的对象主体的数量,每个所述对象主体用于表征以下至少一项:
一个设备以及该设备运行的一个进程;
一个设备以及该设备运行的一个进程树;
其中,所述风险样本用于训练风险预测模型,所述风险预测模型用于预测特征组合的风险情况。
10.一种电子设备,其特征在于,包括处理器和存储器,所述处理器和存储器相互连接;
所述存储器用于存储计算机程序;
所述处理器用于在调用所述计算机程序时,执行如权利要求1至8任一项所述的方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行以实现权利要求1至8任一项所述的方法。
12.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现权利要求1至8任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311114560.5A CN116841650B (zh) | 2023-08-31 | 2023-08-31 | 样本构建方法、装置、设备以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311114560.5A CN116841650B (zh) | 2023-08-31 | 2023-08-31 | 样本构建方法、装置、设备以及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116841650A CN116841650A (zh) | 2023-10-03 |
CN116841650B true CN116841650B (zh) | 2023-11-21 |
Family
ID=88160239
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311114560.5A Active CN116841650B (zh) | 2023-08-31 | 2023-08-31 | 样本构建方法、装置、设备以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116841650B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109523118A (zh) * | 2018-10-11 | 2019-03-26 | 平安科技(深圳)有限公司 | 风险数据筛选方法、装置、计算机设备和存储介质 |
CN113011895A (zh) * | 2021-03-31 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 关联账户样本筛选方法、装置和设备及计算机存储介质 |
CN114528942A (zh) * | 2022-02-23 | 2022-05-24 | 上海华兴数字科技有限公司 | 工程机械的数据样本库的构建、故障预测方法及工程机械 |
CN114969761A (zh) * | 2022-06-17 | 2022-08-30 | 南京邮电大学 | 一种基于lda主题特征的日志异常检测方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11625625B2 (en) * | 2018-12-13 | 2023-04-11 | Diveplane Corporation | Synthetic data generation in computer-based reasoning systems |
EP3528435B1 (en) * | 2018-02-16 | 2021-03-31 | Juniper Networks, Inc. | Automated configuration and data collection during modeling of network devices |
JP7162550B2 (ja) * | 2019-02-15 | 2022-10-28 | オムロン株式会社 | モデル生成装置、予測装置、モデル生成方法、及びモデル生成プログラム |
-
2023
- 2023-08-31 CN CN202311114560.5A patent/CN116841650B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109523118A (zh) * | 2018-10-11 | 2019-03-26 | 平安科技(深圳)有限公司 | 风险数据筛选方法、装置、计算机设备和存储介质 |
CN113011895A (zh) * | 2021-03-31 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 关联账户样本筛选方法、装置和设备及计算机存储介质 |
CN114528942A (zh) * | 2022-02-23 | 2022-05-24 | 上海华兴数字科技有限公司 | 工程机械的数据样本库的构建、故障预测方法及工程机械 |
CN114969761A (zh) * | 2022-06-17 | 2022-08-30 | 南京邮电大学 | 一种基于lda主题特征的日志异常检测方法 |
Non-Patent Citations (1)
Title |
---|
基于鼠标和键盘行为特征组合的用户身份认证;王振辉 等;计算机应用与软件;第33卷(第07期);第307-312页 * |
Also Published As
Publication number | Publication date |
---|---|
CN116841650A (zh) | 2023-10-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Fan et al. | Performance evaluation of blockchain systems: A systematic survey | |
US11526333B2 (en) | Graph outcome determination in domain-specific execution environment | |
US11132403B2 (en) | Graph-manipulation based domain-specific execution environment | |
CN110084377B (zh) | 用于构建决策树的方法和装置 | |
US10095488B2 (en) | Expressive generic model technology | |
US10310846B2 (en) | Automated approach for integrating automated function library functions and algorithms in predictive analytics | |
US20150324325A1 (en) | Techniques to perform data reduction for statistical tests | |
US11720825B2 (en) | Framework for multi-tenant data science experiments at-scale | |
CN112231416B (zh) | 知识图谱本体更新方法、装置、计算机设备及存储介质 | |
CN114063992B (zh) | 一种低代码开发平台的建模方法及*** | |
CN113822315A (zh) | 属性图的处理方法、装置、电子设备及可读存储介质 | |
CN110705821A (zh) | 基于多评价维度的热点学科预测方法、装置、终端、及介质 | |
CN114356712B (zh) | 数据处理方法、装置、设备、可读存储介质及程序产品 | |
CN111008873A (zh) | 一种用户确定方法、装置、电子设备及存储介质 | |
CN116841650B (zh) | 样本构建方法、装置、设备以及存储介质 | |
CN111898766A (zh) | 基于自动机器学习的以太坊燃料限制预测方法及装置 | |
CN115543428A (zh) | 一种基于策略模板的模拟数据生成方法和装置 | |
CN110825929A (zh) | 一种业务权限推荐方法及装置 | |
CN111638926A (zh) | 人工智能在Django框架中的一种实现方法 | |
CN113591162B (zh) | 区块链存证方法、装置和计算机设备 | |
CN112188487B (zh) | 一种提高用户鉴权准确性的方法与*** | |
JP2010072876A (ja) | ルール作成プログラム、ルール作成方法及びルール作成装置 | |
CN111737319B (zh) | 用户集群的预测方法、装置、计算机设备和存储介质 | |
CN114610648A (zh) | 一种测试方法、装置及设备 | |
CN111882415A (zh) | 一种质量检测模型的训练方法和相关装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |