CN117315331A - 一种基于gnn和lstm的动态图异常检测方法及*** - Google Patents
一种基于gnn和lstm的动态图异常检测方法及*** Download PDFInfo
- Publication number
- CN117315331A CN117315331A CN202311132125.5A CN202311132125A CN117315331A CN 117315331 A CN117315331 A CN 117315331A CN 202311132125 A CN202311132125 A CN 202311132125A CN 117315331 A CN117315331 A CN 117315331A
- Authority
- CN
- China
- Prior art keywords
- node
- lstm
- dynamic graph
- graph
- anomaly detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 57
- 238000000034 method Methods 0.000 claims abstract description 29
- 230000008569 process Effects 0.000 claims abstract description 12
- 239000013598 vector Substances 0.000 claims description 54
- 239000011159 matrix material Substances 0.000 claims description 45
- 230000002159 abnormal effect Effects 0.000 claims description 29
- 230000007246 mechanism Effects 0.000 claims description 17
- 238000012549 training Methods 0.000 claims description 17
- 230000006399 behavior Effects 0.000 claims description 15
- 238000000547 structure data Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 14
- 230000006870 function Effects 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 10
- 238000007781 pre-processing Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 7
- 230000007774 longterm Effects 0.000 claims description 7
- 230000005856 abnormality Effects 0.000 claims description 5
- 238000012512 characterization method Methods 0.000 claims description 3
- 238000013507 mapping Methods 0.000 claims description 2
- 238000012163 sequencing technique Methods 0.000 claims description 2
- 238000012216 screening Methods 0.000 claims 5
- 238000010586 diagram Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000000354 decomposition reaction Methods 0.000 description 2
- 238000013135 deep learning Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/764—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using classification, e.g. of video objects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
- G06N3/0442—Recurrent networks, e.g. Hopfield networks characterised by memory or gating, e.g. long short-term memory [LSTM] or gated recurrent units [GRU]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/762—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using clustering, e.g. of similar faces in social networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/82—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using neural networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Multimedia (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Molecular Biology (AREA)
- General Engineering & Computer Science (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于动态图异常检测领域,提供了一种基于GNN和LSTM的动态图异常检测方法及***,其通过将流量数据转化成包含网络拓扑结构、节点属性的动态图,之后通过图注意力网络编码以及结构、属性两方面的解码获得节点的嵌入向量,最终将LSTM自编码器和注意力模型相结合,以节点的重构误差为节点异常分以及一张图的节点平均异常分为图异常分的方式实现了动态网络中异常节点和异常图的检测。将网络数据转换为动态属性图模型的方式真实地反映了网络中节点属性和网络结构的演化过程,节点嵌入的方式充分融合了网络拓扑结构、节点属性等信息,大大提升了模型的准确率,最后注重了短期模式对输出的影响,合理地结合了时序信息,提升了模型的运算效率。
Description
技术领域
本发明属于动态图异常检测领域,尤其涉及一种基于GNN和LSTM的动态图异常检测方法及***。
背景技术
本部分的陈述仅仅是提供了与本发明相关的背景技术信息,不必然构成在先技术。
随着社会信息化程度的提高,人们的生活变得越来越便利,但一些网络异常现象也频频发生,给人们造成了不同程度的困扰。与此同时信息技术的进步也使得各个领域出现了大量网络结构数据(如社交网络、电商网络、交通网络等),因此基于大数据的网络异常检测成为了当今数据科学的重要研究方向之一。
随着图处理技术的进步,先将网络结构数据转化为对应类型的图,然后再利用图处理技术进行数据挖掘和分析成为解决此问题的主要思路。传统的图异常检测算法一般根据数据特性进行特征选取、分解和降维,然后利用机器学习算法进行分类和聚类来实现;而基于深度学习的算法一般利用Node2Vector或NetWalk等方案实现节点或边的嵌入,然后利用图神经网络(GNN)或传统方法分类或聚类来实现。
发明人发现,传统机器学习算法涉及的特征选取、特征矩阵分解等特征工程往往过于依赖人们的数据处理经验,而对于高度复杂非线性数据的处理往往更加繁琐。基于深度学习的嵌入方法Node2Vector无法处理动态图的时序信息,而NetWalk虽然在一定程度上保持了图的动态信息,但它只更新了边的表示,忽略了节点和图结构的长短期模式。
发明内容
为了解决上述背景技术中存在的至少一项技术问题,本发明提供一种基于GNN和LSTM的动态图异常检测方法及***,其通过独特的数据预处理将流量数据转化成包含网络拓扑结构、节点属性的动态图,之后通过图注意力网络编码以及结构、属性两方面的解码获得节点的嵌入向量,最终将LSTM自编码器和注意力模型相结合,以节点的重构误差为节点异常分以及一张图的节点平均异常分为图异常分的方式实现了动态网络中异常节点和异常图的检测。
为了实现上述目的,本发明采用如下技术方案:
本发明的第一方面提供一种基于GNN和LSTM的动态图异常检测方法,包括如下步骤:
获取网络结构数据;
将网络结构数据转化为包含网络拓扑结构和节点属性的动态图;
基于动态图对动态图异常检测模型进行训练,得到训练好的动态图异常检测模型;其中,动态图异常检测模型的训练过程包括:
基于包含网络拓扑结构和节点属性的动态图,采用训练后的GNN进行编码得到动态图的潜在表征,将动态图的潜在表征进行结构解码得到重构的邻接矩阵,进行两个维度的属性解码得到重构的属性矩阵,结合重构的邻接矩阵和属性矩阵得到节点的嵌入向量;
基于节点的嵌入向量,在LSTM自编码机制上引入了文本注意力机制,改变LSTM单元间原有的信息传递方式,调整节点的长期行为模式和短期行为模式对输出结果的影响,得到节点的重构向量,结合节点的嵌入向量和重构向量计算得到节点的异常分数;
采用训练好的动态图异常检测模型对待测数据进行判断得到异常结果。
本发明的第二方面提供一种基于GNN和LSTM的动态图异常检测***,包括:
数据获取模块,其用于获取网络结构数据;
数据预处理模块,其用于将网络结构数据转化为包含网络拓扑结构和节点属性的动态图;
异常检测模型训练模型,其用于基于动态图对动态图异常检测模型进行训练,得到训练好的动态图异常检测模型;其中,动态图异常检测模型的训练过程包括:
基于包含网络拓扑结构和节点属性的动态图,采用训练后的GNN进行编码得到动态图的潜在表征,将动态图的潜在表征进行结构解码得到重构的邻接矩阵,进行两个维度的属性解码得到重构的属性矩阵,结合重构的邻接矩阵和属性矩阵得到节点的嵌入向量;
基于节点的嵌入向量,在LSTM自编码机制上引入了文本注意力机制,改变LSTM单元间原有的信息传递方式,调整节点的长期行为模式和短期行为模式对输出结果的影响,得到节点的重构向量,结合节点的嵌入向量和重构向量计算得到节点的异常分数;
异常检测模块,其用于采用训练好的动态图异常检测模型对待测数据进行判断得到异常分数。
本发明的第三方面提供一种计算机可读存储介质。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面所述的一种基于GNN和LSTM的动态图异常检测方法中的步骤。
本发明的第四方面提供一种计算机设备。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述的一种基于GNN和LSTM的动态图异常检测方法中的步骤。
与现有技术相比,本发明的有益效果是:
1、本发明将网络流量信息通过GAT转化为动态网络中的节点属性向量,使嵌入向量融合了节点间的相互作用信息和网络拓扑结构信息。
2、本发明在节点嵌入阶段在GAT自编码过程中属性解码采用了两个维度的解码,充分考虑了两个方向的信息流,使得模型获得了更加有效的节点表征。
3、本发明在异常检测阶段在LSTM自编码机制上引入了一种文本注意力机制,使模型合理地结合了节点的长期行为模式和短期行为模式,提升了模型的检测性能。
本发明附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1是本发明实施例提供的动态图异常检测方法流程图;
图2是本发明实施例提供的网络流量数据转换成动态图;
图3是本发明实施例提供的节点嵌入以及异常检测模型。
具体实施方式
下面结合附图与实施例对本发明作进一步说明。
应该指出,以下详细说明都是例示性的,旨在对本发明提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本发明的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
为了解决本申请背景技术中提及的技术问题,本发明通过独特的数据预处理将流量数据转化成包含网络拓扑结构、节点属性的动态图,之后通过图注意力网络编码以及结构、属性两方面的解码获得节点的嵌入向量,最终将LSTM自编码器和注意力模型相结合,以节点的重构误差为节点异常分以及一张图的节点平均异常分为图异常分的方式实现了动态网络中异常节点和异常图的检测。首先这种将网络数据转换为动态属性图模型的方式更加真实地反映了网络中节点属性和网络结构的演化过程,而节点嵌入的方式充分融合了网络拓扑结构、节点属性等信息,保留了尽可能多的特征,大大提升了模型的准确率,最后注意力机制与LSTM结合注重了短期模式对输出的影响,合理地结合了时序信息,提升了模型的运算效率。
实施例一
如图1-图3所示,本实施例提供一种基于GNN和LSTM的动态图异常检测方法,包括如下步骤:
本实施例以网络流量数据为例来阐述该技术的具体过程。
步骤1:数据预处理。
每条流量数据至少包括源IP、目标IP和时间戳三个因素。统计节点数量,若节点数量大于设定阈值(例如超过1000),统计与每个节点相关的所有流量信息,得到它们对应的流量条数,按流量数量的大小对每个节点进行排序,选取前N个节点(N小于等于1000),只保留这N个节点间的全部流量数据。若节点数量低于设定阈值,所有流量数据保留。
将筛选的流量按时间戳进行排序,根据数据情况选定时间间隔T,从数据最早的时间点开始,每隔T取一组数据,用于制成一张图。筛选的N个节点作为图中的节点,在一组数据内统计每个节点作为目标IP时各个节点为源IP的流量条数,从而每个节点形成一个向量,每张图形成一个矩阵,定义为属性矩阵。这样所有的数据形成了一组矩阵序列。再根据矩阵中元素是否为零,生成对应的一组邻接矩阵序列。实际应用时,流量数据一般动态产生,每当当前时间点与最后一张图的成图时间点之差到T时,取两个时间点之间的数据形成一张图,这样网络流量数据就形成了动态图,流程如图2所示。
步骤2:节点嵌入
GNN技术主要包含图卷积网络(GCN)、图注意力网络(GAT)和GraphSage等,参阅图3,本实施例以GAT自编码器来实现网络节点的嵌入。在动态图中每张图都包含其独特的网络拓扑结构和节点属性。
本实施例中,采用图注意力网络(GAT)。
本实施例,改进了GAT自编码器常规的解码方式采用双自编码器且在属性解码时考虑了两个维度的信息进行解码。
具体包括:
步骤201:计算图注意力网络的注意力分数αi,j。
其中是第t张图的第i个节点的数据预处理后的向量,/>是第t张图的第j个节点的数据预处理后的向量,W是权重矩阵,其参数在所有图中共享。/>是节点i的邻居集,aT是注意力机制的学习参数张量。/>表示两个节点的两个向量在最后一个维度上的拼结。
步骤202:将节点i周围的节点进行融合,得到节点i的潜在表征
式中,αi,i表示节点i和其自身的自注意力分数,αi,j表示节点i和节点j的自注意力分数。
步骤203:一张图得到的所有隐藏表征组合成矩阵Z,将得到的潜在表征Z进行图结构的解码,得到重构的邻接矩阵/>
其中zT表示z的转置矩阵。
步骤204:将潜在表征Z进行两个维度的属性解码,得到重构的属性矩阵
ZA=ReLU(ZTWA(1)+b1) (5)
其中WA(1)和在一个维度下的权重和偏差,WA(2)和b2是在另一个维度下的权重和偏差,这些参数在所有图之间共享。
步骤205:构建基于重构误差的损失函数。
其中λ为平衡因子,和/>为结构损失函数和属性损失函数,分别定义为:
式中,γ为平衡因子,和/>为结构损失函数和属性损失函数,Aij的含义是原始的邻接矩阵元素,/>为重构的邻接矩阵元素,Xi为原始的属性矩阵元素,/>为重构的属性矩阵元素,N是节点的个数。
步骤206:模型训练。损失函数下降到一定水平时或变化不大时,保存模型的编码部分即步骤201和步骤202的网络结构及参数,以及节点的嵌入向量
步骤3:异常检测模型构建
参阅图3,本实施例中,应用LSTM自编码器融合节点的时序信息进行异常检测。不同常规的LSTM自编码机制,利用了文本注意力模型改变了LSTM单元间原有的信息传递方式,使模型合理地结合了节点的长期行为模式和短期行为模式,更加注重短期模式对输出结果的影响。
具体包括:
步骤301、设定窗口参数w。
步骤302、整理节点的嵌入向量集对于每一个节点整理成有序的节点序列方便以后将它们输入对应时刻的LSTM单元。
步骤303、t时刻下将一个窗口内的LSTM输出的隐藏向量整理成:
步骤304、引入注意力机制,重构隐藏向量。
其中Qh和rT是注意力模型的参数,是重构的短期的隐藏态。
步骤305、用LSTM单元处理和/>得到t时刻的隐藏态:
步骤306、利用LSTM进行解码。将最后一个隐藏向量作为解码器的初始参数,其中/>是t-1处的重构向量。从上式可以看出,在解码阶段使用t时刻的输出作为t-1时刻的输入。
步骤307、构建损失函数。
步骤308、训练模型直至下降到一定水平时或变化不大时,保存模型。
步骤4:异常节点及异常图判断
结合节点的嵌入向量和重构向量/>得到的误差作为其异常分数,可以表示为:
在训练时,直接应用节点的嵌入向量和重构向量即可计算异常分,在实际应该用时,保存了步骤2模型的编码部分进行向量嵌入,利用步骤3进行重构向量计算以得到异常分。根据st(i)的大小,能判断t时刻下节点i的异常程度,设置阈值λ1即可判断改点是否异常。
对于异常图的判断,可以统计这一张图中所有节点的异常分的平均值同时设置阈值λ2,采用与判断异常节点相同的方式判断这张图是否异常。
实施例二
本实施例提供一种基于GNN和LSTM的动态图异常检测***,包括:
数据获取模块,其用于获取网络结构数据;
数据预处理模块,其用于将网络结构数据转化为包含网络拓扑结构和节点属性的动态图;
异常检测模型训练模型,其用于基于动态图对动态图异常检测模型进行训练,得到训练好的动态图异常检测模型;其中,动态图异常检测模型的训练过程包括:
基于包含网络拓扑结构和节点属性的动态图,采用训练后的GNN进行编码得到动态图的潜在表征,将动态图的潜在表征进行结构解码得到重构的邻接矩阵,进行两个维度的属性解码得到重构的属性矩阵,结合重构的邻接矩阵和属性矩阵得到节点的嵌入向量;
基于节点的嵌入向量,在LSTM自编码机制上引入了文本注意力机制,改变LSTM单元间原有的信息传递方式,调整节点的长期行为模式和短期行为模式对输出结果的影响,得到节点的重构向量,结合节点的嵌入向量和重构向量计算得到节点的异常分数;
异常检测模块,其用于采用训练好的动态图异常检测模型对待测数据进行判断得到异常分数。
实施例三
本实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述所述的一种基于GNN和LSTM的动态图异常检测方法中的步骤。
实施例四
本实施例提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述所述的一种基于GNN和LSTM的动态图异常检测方法中的步骤。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于GNN和LSTM的动态图异常检测方法,其特征在于,包括如下步骤:
获取网络结构数据;
将网络结构数据转化为包含网络拓扑结构和节点属性的动态图;
基于动态图对动态图异常检测模型进行训练,得到训练好的动态图异常检测模型;其中,动态图异常检测模型的训练过程包括:
基于包含网络拓扑结构和节点属性的动态图,采用训练后的GNN进行编码得到动态图的潜在表征,将动态图的潜在表征进行结构解码得到重构的邻接矩阵,进行两个维度的属性解码得到重构的属性矩阵,结合重构的邻接矩阵和属性矩阵得到节点的嵌入向量;
基于节点的嵌入向量,在LSTM自编码机制上引入了文本注意力机制,改变LSTM单元间原有的信息传递方式,调整节点的长期行为模式和短期行为模式对输出结果的影响,得到节点的重构向量,结合节点的嵌入向量和重构向量计算得到节点的异常分数;
采用训练好的动态图异常检测模型对待测数据进行判断得到异常结果。
2.如权利要求1所述的一种基于GNN和LSTM的动态图异常检测方法,其特征在于,所述将网络结构数据转化为包含网络拓扑结构和节点属性的动态图,具体包括:
对节点进行筛选,对网络结构数据进行筛选;
将筛选的流量数据按时间戳进行排序,根据数据情况选定时间间隔T,从数据最早的时间点开始,每隔T取一组数据,制成一张图;
将筛选得到的节点作为图中的节点,在一组数据内统计每个节点作为目标IP时各个节点为源IP的流量条数,从而每个节点形成一个向量,每张图形成一个矩阵,定义为属性矩阵;
所有数据形成了一组矩阵序列,再根据矩阵中元素是否为零,生成对应的一组邻接矩阵序列,每当当前时间点与最后一张图的成图时间点之差到T时,取两个时间点之间的数据形成一张图,这样网络流量数据就形成了动态图。
3.如权利要求2所述的一种基于GNN和LSTM的动态图异常检测方法,其特征在于,所述对节点进行筛选,对网络结构数据进行筛选,具体包括:
统计节点数量,若节点数量超过设定数量阈值,统计与每个节点相关的所有流量信息,得到它们对应的流量条数,按流量数量的大小对每个节点进行排序,选取前N个节点,保留这N个节点间的全部流量数据,若节点数量低于数量阈值,保留所有流量数据。
4.如权利要求1所述的一种基于GNN和LSTM的动态图异常检测方法,其特征在于,所述采用训练后的GNN进行编码得到动态图的潜在表征,具体包括:
基于第t张图得到图注意力网络的注意力分数;
将第t张图节点i周围的节点进行融合,得到节点i的潜在表征;
将该图中得到的所有潜在表征组成矩阵作为动态图的潜在表征。
5.如权利要求4所述的一种基于GNN和LSTM的动态图异常检测方法,其特征在于,所述GNN训练时,损失函数为:
其中,λ和γ为平衡因子,和/>为结构损失函数和属性损失函数,Aij的含义是原始的邻接矩阵元素,/>为重构的邻接矩阵元素,Xi为原始的属性矩阵元素,/>为重构的属性矩阵元素,N是节点的个数。
6.如权利要求1所述的一种基于GNN和LSTM的动态图异常检测方法,其特征在于,所述利用了文本注意力模型改变了LSTM单元间原有的信息传递方式,注重短期行为模式对输出结果的影响,得到节点的重构向量,具体包括:
设定窗口参数,将节点的嵌入向量整理成与对应时刻的LSTM单元的节点序列;
t时刻下,将一个窗口内的LSTM单元输出的隐藏向量整理后,引入注意力机制,重构隐藏向量得到重构的短期隐藏态;
采用LSTM单元处理节点序列和重构的短期隐藏态得到t时刻的隐藏态;
利用LSTM进行解码,将最后一个隐藏向量作为解码器的初始参数,使用t时刻的输出作为t-1时刻的输入,得到t时刻的重构向量。
7.如权利要求1所述的一种基于GNN和LSTM的动态图异常检测方法,其特征在于,根据异常分数的大小,判断t时刻下节点i的是否发生异常,将其与设置的阈值进行比较,若结合嵌入向量和重构向量得到的重构误差大于设置的重构误差阈值,则节点i发生了异常。
8.一种基于GNN和LSTM的动态图异常检测***,其特征在于,包括:
数据获取模块,其用于获取网络结构数据;
数据预处理模块,其用于将网络结构数据转化为包含网络拓扑结构和节点属性的动态图;
异常检测模型训练模型,其用于基于动态图对动态图异常检测模型进行训练,得到训练好的动态图异常检测模型;其中,动态图异常检测模型的训练过程包括:
基于包含网络拓扑结构和节点属性的动态图,采用训练后的GNN进行编码得到动态图的潜在表征,将动态图的潜在表征进行结构解码得到重构的邻接矩阵,进行两个维度的属性解码得到重构的属性矩阵,结合重构的邻接矩阵和属性矩阵得到节点的嵌入向量;
基于节点的嵌入向量,在LSTM自编码机制上引入了文本注意力机制,改变LSTM单元间原有的信息传递方式,调整节点的长期行为模式和短期行为模式对输出结果的影响,得到节点的重构向量,结合节点的嵌入向量和重构向量计算得到节点的异常分数;
异常检测模块,其用于采用训练好的动态图异常检测模型对待测数据进行判断得到异常分数。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一项所述的一种基于GNN和LSTM的动态图异常检测方法中的步骤。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-7中任一项所述的一种基于GNN和LSTM的动态图异常检测方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311132125.5A CN117315331A (zh) | 2023-09-04 | 2023-09-04 | 一种基于gnn和lstm的动态图异常检测方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311132125.5A CN117315331A (zh) | 2023-09-04 | 2023-09-04 | 一种基于gnn和lstm的动态图异常检测方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117315331A true CN117315331A (zh) | 2023-12-29 |
Family
ID=89280214
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311132125.5A Pending CN117315331A (zh) | 2023-09-04 | 2023-09-04 | 一种基于gnn和lstm的动态图异常检测方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117315331A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117555489A (zh) * | 2024-01-11 | 2024-02-13 | 烟台大学 | 物联网数据存储交易异常检测方法、***、设备和介质 |
| CN117765737A (zh) * | 2024-02-21 | 2024-03-26 | 天津大学 | 交通异常检测方法、装置、设备、介质及程序产品 |
-
2023
- 2023-09-04 CN CN202311132125.5A patent/CN117315331A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117555489A (zh) * | 2024-01-11 | 2024-02-13 | 烟台大学 | 物联网数据存储交易异常检测方法、***、设备和介质 |
| CN117555489B (zh) * | 2024-01-11 | 2024-06-07 | 烟台大学 | 物联网数据存储交易异常检测方法、***、设备和介质 |
| CN117765737A (zh) * | 2024-02-21 | 2024-03-26 | 天津大学 | 交通异常检测方法、装置、设备、介质及程序产品 |
| CN117765737B (zh) * | 2024-02-21 | 2024-05-14 | 天津大学 | 交通异常检测方法、装置、设备、介质及程序产品 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN117315331A (zh) | 一种基于gnn和lstm的动态图异常检测方法及*** | |
| CN109816032B (zh) | 基于生成式对抗网络的无偏映射零样本分类方法和装置 | |
| CN113961759B (zh) | 基于属性图表示学习的异常检测方法 | |
| CN111310852B (zh) | 一种图像分类方法及*** | |
| CN111191040A (zh) | 城市运行知识图谱构建方法、装置和计算机设备 | |
| CN105224606A (zh) | 一种用户标识的处理方法及装置 | |
| Pençe et al. | Estimation of the country ranking scores on the global innovation index 2016 using the artificial neural network method | |
| CN114820871B (zh) | 字体生成方法、模型的训练方法、装置、设备和介质 | |
| CN109902808B (zh) | 一种基于浮点数位变异遗传算法优化卷积神经网络的方法 | |
| CN111782491A (zh) | 一种磁盘故障预测方法、装置、设备及存储介质 | |
| CN112463956B (zh) | 基于对抗学习和分层神经网络的文本摘要生成***和方法 | |
| Le et al. | GCRINT: network traffic imputation using graph convolutional recurrent neural network | |
| CN113314188B (zh) | 图结构增强的小样本学习方法、***、设备及存储介质 | |
| CN112598089B (zh) | 图像样本的筛选方法、装置、设备及介质 | |
| CN104732278A (zh) | 一种基于海云协同架构的深度神经网络训练方法 | |
| CN111581386A (zh) | 多输出文本分类模型的构建方法、装置、设备及介质 | |
| CN113821542B (zh) | 一种显著特征自动推荐***及方法 | |
| CN115631057A (zh) | 一种基于图神经网络的社交用户分类方法及*** | |
| CN111597847A (zh) | 一种二维码识别方法、装置、设备及可读存储介质 | |
| CN113312445B (zh) | 数据处理方法、模型构建方法、分类方法及计算设备 | |
| CN115965795A (zh) | 一种基于网络表示学习的深暗网群体发现方法 | |
| CN115374940A (zh) | 基于知识图谱的风险标签确定方法以及装置 | |
| CN114792384A (zh) | 融合高阶结构嵌入与复合池化的图分类方法及*** | |
| CN113986636A (zh) | 一种基于硬盘自适应报告数据的数据中心硬盘故障预测方法 | |
| CN111611498A (zh) | 一种基于领域内部语义的网络表示学习方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |