CN119397535A 一种基于DACGAN-Transformer的混合型内部威胁检测方法 （北京邮电大学）

一种基于DACGAN-Transformer的混合型内的一种基于DACGAN_Transformer的混合型内部利用Transformer模型对日志数据进行分层特征GAN的整体异常分数和Transformer的分层异常2步骤S101，获取日志数据，日志数据包括服务器日志、步骤S102，将预处理后的日志数据代入生成对抗网络，预步骤S103，对日志数据使用预设算法或其他日志解析步骤S105，对单个日志条目的模板表示和参数表示进行步骤S106，将GAN整体异常分数与Transformer的分层异常分数输入到多层感知器中，2.如权利要求1所述的基于DACGAN_Transformer的混合型内部威胁检测方法，其特征去除服务器日志、应用程序日志以及网络设备日志噪声数据，噪日志以及网络设备日志中缺失值使用均值插3.如权利要求1所述的基于DACGAN_Transformer的混合型内部威胁检测方法，其特征将预处理后的日志数据输入到生成对抗网络中，初始化生成器、3独立分类器对生成器生成的样本进行分类，判断生成器生成的样4.如权利要求1所述的基于DACGAN_Transformer的混合型内部威胁检测方法，其特征预处理后的日志数据作为输入，将预处理后的日志数据输入到日的日志数据中逐一选择每个日志条目进行解析，使用日志解析算法，日志解析算法采用将提取的模板与对应的参数进行配对，形成模板与参数对应信息，5.如权利要求1所述的基于DACGAN_Transformer的混合型内部威胁检测方法，其特征通过单日志模板编码器中的预设工具模型提取日志模板的全局和局部将单个日志条目参数映射为向量形式，并输入到单日志参数编码器中进行特征提取，6.如权利要求1所述的基于DACGAN_Transformer的混合型内部威胁检测方法，其特征对单个日志条目的模板表示和参数表示进行线性变换以及归一化，对日志序列的模板序列表示和参数序列表示进行线性变换和融合，通过Transformer将得到的单日志异常分数和上下文异常分数通过线性加权的方式进7.如权利要求1所述的基于DACGAN_Transformer的混合型内部威胁检测方法，其特征Transformer分层异常分数包含单日志异常分数和上下文异常分数，融合日志条目细将GAN的整体异常分数和Transformer架构的分层异常分数作4根据预设的阈值对最终的异常概率进行判定，若异常概率5[0004]当前内部威胁检测方法主要可以分为基于异常行为分析的检测方法与基于形式6博弈学习从给定的原始数据集中产生新数据，其中生成的数据点模拟了真实的数据分布。处理领域，但如今已被扩展到处理结构化和非结构化数据。在传统GAN的基础上，条件GAN器判断数据是真实的还是生成的，还在判别器最后加入一个辅助分类器输出数据的类别标同时能学习特征的能力和Transformer对长序列数据处理的优势，提出了一种用于数据增强和分类的生成对抗网络(DACGAN)和Transformer分层异常检测的混合深度学习模型，以出单日志的异常分数，对日志序列的模板序列表示和参数序列表示进行线性变换和融合，7[0011]进一步地，本发明所述的基于DACGAN_Transformer的混程序日志以及网络设备日志中缺失值使用均值插[0012]进一步地，本发明所述的基于DACGAN_Transformer的混判别器接收生成器生成的与正常数据分布相似但具有异常特征的样本和真实样[0013]进一步地，本发明所述的基于DACGAN_Transformer的混8[0014]进一步地，本发明所述的基于DACGAN_Transformer的混[0015]进一步地，本发明所述的基于DACGAN_Transformer的混TransformerBlock预设工具模型学习上下文依赖关系，再通过线性变换及归一化输出上[0016]进一步地，本发明所述的基于DACGAN_Transformer的混Transformer分层异常分数包含单日志异常分数和上下文异常分数，融合日志条将GAN的整体异常分数和Transformer架构的分层异常分数作9[0021]图1为本发明实施例提供的一种基于DACGAN_Transformer的混合型内部威胁检测出单日志的异常分数，对日志序列的模板序列表示和参数序列表示进行线性变换和融合，[0033]具体而言，本发明所述的基于DACGAN_Transformer的混程序日志以及网络设备日志中缺失值使用均值插[0034]具体而言，本发明所述的基于DACGAN_Transformer的混判别器接收生成器生成的与正常数据分布相似但具有异常特征的样本和真实样[0035]具体而言，本发明所述的基于DACGAN_Transformer的混[0036]具体而言，本发明所述的基于DACGAN_Transformer的混[0037]具体而言，本发明所述的基于DACGAN_Transformer的混合型内部威胁检测方法，TransformerBlock预设工具模型学习上下文依赖关系，再通过线性变换及归一化输出上[0038]具体而言，本发明所述的基于DACGAN_Transformer的混Transformer分层异常分数包含单日志异常分数和上下文异常分数，融合日志条将GAN的整体异常分数和Transformer架构的分层异常分数作于DACGAN_Transformer的混合型内部威胁检测系统，如图2所示，一种基于DACGAN_{"timestamp":"2024_09_18T14:33:12Z","level":"ERROR","source":"server_1","message":"Failedtoconnecttodatabase,errorcode:1049","user_id":"12345","ip_address":"192.0.}[0045]2024_09_18T14:33:12ZERRORserver_1:Failedtoconnecttodatabase,errorcode:1049,UserID:12345,IP:192.0.2.x时增加独立的分类器用于生成异常样本并进[0048]其中，D(x)表示判别器认为x是真实样本的概率，而1-D(G(z))是判别器认为合成失通过分类器对生成样本的预测来衡量生成器是否生成了异常样本。可以采用交叉熵损日志模板。例如从日志中提取并标准化模板，如“[时间戳][日志级别][日志源][日志消戳等。参数信息反映了日志的细节内容，包含更具个性化和动态的行为模式。如访问者任务：该模块通过单日志编码器和序列编码器对日志数据进行多层次的特征提[0070]将预处理后的模板向量输入到2个TransformerBlock中，每个Transformer单词向量的维数，假设日志参数长度为m，则可以得到向量列表y=[y,y…,ya]。经过2个差连接进行优化，输出y=[y,y…,ya]。最后使用与单日志模板编码器相同的池化策略将参数特征向量缩减为与模板表示长度相同的参数表示,R,eR。它对包含多个日志的日志序列进行上下文异常检测，以捕捉更加复杂的攻击模式和行为。这些表示是从Transformer分层特征提取模块中得到的，经过编码器提取的全局上下文依S[0084]可以根据系统的业务需求、威胁模式相对稳定或可通过,wszg=0.8，则srsz=0.2x0.4+0.8x0.9=0.86。本发明采用生成对抗网络（GAN）生成与正常数据分布相似但具有异常特征的样本，以此增强数据集，有效缓解异常样本稀缺的难题，进而提高模型