(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210898807.6 (22)申请日 2022.07.28 (65)同一申请的已公布的文献号 申请公布号 CN 115065556 A (43)申请公布日 2022.09.16 (73)专利权人 国网浙江省电力有限公司 地址 310007 浙江省杭州市西湖区黄龙路8 号 专利权人 国网浙江省电力有限公司舟山供 电公司 (72)发明人 李剑　王豪磊　陈宵　甘纯　吴昊　 张引贤　胡松苗　沈远飞　陈勇　 张超　蔡铁林　许震　 (74)专利代理 机构 浙江翔隆专利事务所(普通 合伙) 33206 专利代理师 许守金(51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) (56)对比文件 CN 10876907 7 A,2018.1 1.06 CN 110543884 A,2019.12.0 6 WO 20190 60327 A1,2019.0 3.28 CN 112765603 A,2021.0 5.07 CN 110958136 A,2020.04.0 3 US 2019215330 A1,2019.07.1 1 CN 114238958 A,202 2.03.25 CN 113890821 A,202 2.01.04 CN 114615063 A,2022.06.10 夏玉明等.基 于卷积神经网络的网络攻击 检 测方法研究. 《信息网络安全》 .2017,(第1 1期), 审查员 程晓青 (54)发明名称 一种基于图对比学习的日志恶意行为检测 方法及系统 (57)摘要 本发明公开了一种基于图对比学习的日志 恶意行为检测方法及系统， 属于日志行为检测技 术领域。 现有技术， 利用所有的日志数据进行知 识图谱的构建， 需要消耗大量的储存资源以及计 算资源， 不利于日志检测的推广使用。 本发明的 一种基于图对比学习的日志恶意行为检测方法， 通过构建聚集图模型、 溯源图模型、 样本生成模 型、 深度图神经网络模型GCN， 利用一个节点表征 多个日志行， 从而得到未知节点的标签， 实现日 志恶意行为检测， 能够有效减少储存资源以及计 算资源的占用， 恶意检测成功率高， 利于日志检 测的推广使用， 便于日志行为检测的落地应用； 同时能有效减少对大体量日志数据的依赖， 通用 性好， 使用范围广， 方案科 学、 合理。 权利要求书4页 说明书12页 附图2页 CN 115065556 B 2022.11.22 CN 115065556 B 1.一种基于图对比学习的日志恶意行为检测方法， 其特 征在于， 包括以下步骤: 第一步， 获取网络日志数据； 所述网络日志数据包括若干日志行； 第二步， 根据第一 步中的若干日志行， 构建聚集图模型； 所述聚集图模型， 利用一个节点表征多个日志行， 其构建方法如下： 步骤21， 获取同一或多个自然日中发生的具有访问行为的若干日志行； 步骤22， 根据节点定义规则， 将步骤21中的若干日志行进行计算， 得到一个或多个节 点， 所述节点 为正常访问节点或/和异常节点； 节点定义 规则包括以下内容： 将拥有共同访问起点实体， 并且发生的时间属于同一自然日的若干日志行设置为正常 访问节点； 将初始状态异常的若干日志行设置为异常节点， 所述异常节点能通过已有的数据获 取； 步骤23， 根据共性特点， 将步骤2 2中的多个节点， 取并集， 得到节点 集合； 第三步， 利用第二 步中的节点， 构建溯源图模型， 用于表征日志行中的数据特 征； 溯源图模型的构建方法如下： 步骤31， 构建节点连接单 元， 对节点 集合内的节点添加边链接， 得到边链接节点数据； 步骤32， 根据步骤31中的边链接节点数据， 构造邻接矩阵或/和异常矩阵， 得到日志行 中的数据特 征； 第四步， 根据第三 步中的数据特 征， 构建样本生成模型； 所述样本生成模型， 用于得到边扰动负 样本或/和异常子图负 样本； 第五步， 利用第 三步中的边扰动负样本或/和异常子图负样本， 构建深度图神经网络模 型GCN； 所述深度图神经网络模型GCN， 用于得到未知节点的标签， 实现日志恶意行为检测， 其 构建方法如下； 步骤51， 对边扰动负 样本或/和异常子图负 样本进行节点嵌入， 得到日志特 征序列； 步骤52， 将已知的正常访问节点或异常节点作为测试节点， 与步骤51中的日志特征序 列进行判别， 得到测试节点的行为识别结果； 步骤53， 根据步骤52中的行为识别结果， 确定测试节点属于恶意行为或正常行为， 并输 出相应的标签； 步骤54， 对步骤53中的标签准确性进行判定， 当标签准确率达到设定值时， 完成深度图 神经网络模型GCN的训练。 2.如权利要求1所述的一种基于图对比学习的日志恶意行为检测方法， 其特 征在于， 所述第一步中， 日志行为七元组结构， 其包括访 问起点实体、 起点直接特征、 访 问终点 实体、 终点 直接特征、 访问类型、 类型直接特 征、 访问发生时间； 七元组结构的表达式为 ； 其中， 分别代表该日志行 所记录的访问起 点实体及起 点直接特征；权　利　要　求　书 1/4 页 2 CN 115065556 B 2分别代表该日志行 所记录的访问终点实体及终点 直接特征； 分别代表该日志行 所记录的访问类型及类型直接特 征； 代表该日志行 所记录的访问的发生时间。 3.如权利要求1所述的一种基于图对比学习的日志恶意行为检测方法， 其特 征在于， 所述第三步中， 节点连接单元包括节点链接规则、 起点实体规则、 直接特征规则、 终点 实体规则、 访问类型规则； 节点链接规则包括以下内容： 首先， 对于节点集合内的所有的节点， 依据其所代表的日志行集合的最早发生时间排 列， 得到第一节点序列； 然后， 对第一节点序列中的节点依次按时间方向添加边链接； 起点实体规则包括以下内容： 首先， 对于节点集合内， 代表日志行集合的访问起点实体 相同的节点， 依据其所代 表的日志行集 合的最早发生时间排列， 得到第二节点序列； 然后， 对第二节点序列中的节点依次按时间方向添加边链接； 直接特征规则包括以下内容： 首先， 对于节点集合内， 代表日志行集合的起点直接特征 集合交集非空的节点， 依据其所代 表的日志行集 合的最早发生时间排列， 得到第三节点序列； 然后， 对第三节点序列中的节点依次按时间方向添加边链接； 终点实体规则包括以下内容： 首先， 对于节点集合内， 代表日志行集合的访问终点实体 集合交集非空的节 点， 依 据其所代 表的日志行集 合的最早发生时间排列， 得到第四节点序列； 然后， 对第四节点序列中的节点依次按时间方向添加边链接； 访问类型规则包括以下内容： 首先， 对于节点集合内， 代表日志行集合的访问类型 集合或类型直接特征 集合交集非空的节点， 依据其所代表的日志行集合的最早发生时间排列， 得到第 五节点序 列； 然后， 对第五节点序列中的节点依次按时间方向添加边链接； 所述邻接矩阵或/和异常矩阵为表示节点间连接关系的二维数组。 4.如权利要求1所述的一种基于图对比学习的日志恶意行为检测方法， 其特 征在于， 所述第四步中， 样本生成模型包括 边扰动负 样本构建单 元、 异常子图负 样本构建单 元； 边扰动负 样本构建单 元包括以下内容： 步骤41， 获取溯源图模型的邻接矩阵； 步骤42， 对步骤41中的邻接矩阵， 进行随机的两两行交换， 得到交换矩阵， 交换次数为 矩阵行数目的一半； 步骤43， 对步骤42中的交换矩阵， 赋值原有节点属性， 得到边扰动负 样本； 异常子图负 样本构建单 元包括以下内容： S41， 提取溯源图模型中的异常矩阵，权　利　要　求　书 2/4 页 3 CN 115065556 B 3