Wrongdoing Monitor: A Graph-Based Behavioral Anomaly Detection in Cyber Security

type

status

date

slug

summary

摘要

所谓的行为异常检测（behavioral anomaly detection，BAD）通过检测受保护代理的正常行为模式偏离来有效解决各种安全问题。我们提出了一种新的基于图形的行为建模范式，用于 BAD 问题，称为行为识别图（behavioral indentification graph，BIG）。与现有方法相比，BIG 通过深入挖掘行为数据中的属性级别（作为事件级别的增强）关联具有明显优势。在 BIG 下，行为数据中的行为属性及其共现关系被建模为图的实体和关系；此外，行为属性和事件都通过设计的事件——属性组合模型进行向量化，代理的行为模式最终以行为属性的多维空间分布表示。因此，对于一种行为，其行为异常的强度可以转化为其行为代理和属性的空间离心率，其中既包含行为属性之间的细粒度信息，又包含行为事件之间的粗粒度信息。据我们所知，这是第一次通过将行为的内部（属性级别）和外部（事件级别）关联集成到统一的图和空间中来改进行为建模以进行异常检测的工作。我们的方法通过四个代表性的安全问题进行验证，即在线支付服务中的欺诈检测（通过交易行为），网络通信服务中的入侵检测（通过流量行为），组织信息系统中的内部威胁检测（通过系统行为）和社交网络服务中的妥协检测（通过轨迹行为）。

关键词：异常检测、行为建模、数据增强、网络表征学习

名词解释

normal behavioral patterns of agents（代理人的正常行为模式）特定实体的正常行为模式。这些实体可以被视为"代理"，因为它们是为了服务人们而运行的。

co-occurrence associations（共现关联）指两个以上变量在同一时间点同时出现的频率和规律性。比如共同出现概率高于单独出现概率。

介绍

所谓 BAD 是指检测与代理正常行为不符多的行为。其中行为数据比其他网络服务有更严的要求：

行为独特性，可以反应代理的个性

行为的稳定性，以便检测异常行为

当时现实中各种隐私和业务特性使数据质量不高，很难满足以上特性，所以还需要需要使用低质量行为数据建立高分辨率行为模型的BAD。数据增强有两种方法：

内部方法：探索隐藏关联。

外部方法：利用业务特征和专家规则的外部知识

（介绍现有办法都是突破内部方法的限制。从高维数据中提取关键舍掉无用信息。多层感知机等提取了标签之间的关联，但是没有考虑其他可以改进的信息）其他研究包括：基于事件的顺序信息[9]，例如[12]、马尔可夫链[13]、卷积神经网络[14]和递归神经网络[15]。基于图形的模型，如图神经网络[16]，被提出来捕捉全局和局部信息，以确保节点聚合足够的信息[5]，[17]，[18]。总的来说，这些方法都归结为提取行为事件之间丰富的交互信息。然而，它们在事件级别上获得了全面的信息，而没有考虑每个行为事件的内部信息。

与粗粒度视角（事件之间关联）不同，细粒度（属性之间关联）分析行为属性是一种可行的方法[19]-[21]。我们提出 BIG 解决 BAD 问题。BIG 中引用了一个属性图表示属性之间的细粒度共现关联。其中【节点、边、结构】分别包含行为事件中的【属性信息、序列信息、拓扑信息】。

我们设计了一个事件-属性组合模型，利用共现信息（属性图表示）和标签信息（附加在行为时间上）学习节点/事件的潜在表示。这个模型包括三个重要方面：

在属性级别上提取细粒度的关联关系。

利用粗粒度改善事件级别的表示

在属性和事件级别之间的关联关系可以自动平衡。

总的来说 BIG 的核心技术是：将行为的事件级别和属性级别的互相关联整合到一个统一的图和空间中。主要贡献：

利用多角度信息。如深度提取特征、序列上下文、全局聚合信息。

建模属性之间的共现关联表示为行为事件的细粒度属性图。

提供了一个接口用于吸收外部知识，协助分配不同的权重给行为属性。

在多个安全问题中验证。在线支付交易数据集（欺诈检测）、流量数据集（入侵检测）、系统操作数据集（内部威胁）、社交轨迹数据集（妥协检测）。胜出。开源数据集和源码。

文章结构。第二部分介绍解决方案，第三部分详细介绍，第四部分实验和评估性能，第五部分讨论，第六部分相关工作，第七部分总结。

II. 概述

A. 激励性的例子（研究现状）

1）场景。考虑两种典型场景，在线支付中交易行为和网络通信中的流量行为。图1是两种例子的图示

图1（a）欺诈者访问受害者账户或者诱导他们转出资金，他们不会提供个人账户来接受被盗的钱，希望通过模仿受害者正常行为，如从洗钱商家购买受害者类似的商品，但是这些假商家也有潜在关联，他们都是购买的商业信息伪装注册的。图2（b）网络恶意流量。计算机被非法控制发送的恶意流量，普通用户也无法感知。

2）行为事件。实际中可以记录行为事件以供洞察安全问题。从事件中抽象出一系列字段来描述事件。如银行交易记录和计算机日志结构化信息；使用 NLP 提取非结构化字段。

3）现有的解决方案。只考虑粗粒度信息，我们旨在利用属性级别的共现关系，并与事件级别的信息合作进行行为建模，为异常检测问题提供一种新的基于图形的行为建模范式。

B. 架构设计

图2表示了我们方法的工作流程。主要包括了以下方法

BIG（Behavioral Identification Graph）：行为识别图。基于一组属性的事件的细粒度关联能更好生成行为模型，如图2所示的事件-属性复合模型有两个输入：属性空间（属性之间的关联）和事件空间（事件之间的内部关联）。

BAD（Behavioral Anomaly Detection）：行为异常检测。采用事件-属性复合模型后，行为事件可以转换为事件表示或属性表示矩阵。可以使用监督/无监督模型来检测异常行为[1]，[24]。本文使用监督模型。

III. 方法

A. 问题陈述

异常检测。给定一组事件，其中表示事件集的大小。每个 b 有 n 个属性，任务是给定的一组属性预测即将发生的 b 是否异常。

属性图。 ，表示事件中的一个属性值，表示属性之间的关系，表示一种关系类型。每条边表示为还和一个权重有关，表示紧密程度。

霍克斯过程。历史时间对于未来事件的发生有激励作用，并假设历史事件对未来的影响是单调指数递减的。

网络表示学习用于异常检测的节点表示，常用模型包括图神经网络和网络嵌入。降维。

B. 属性图构建：从数据到图

将行为事件转换为属性图，通常事件属性的值可以分为离散值和连续值，将连续值离散化。对于每个行为事件的唯一标识符构建 native graph（指以图形结构作为数据模型的数据库系统）。唯一标识符 u 和属性值 v 构成图中的边 (u,v) ，当两个行为拥有相同的属性时，通过共同属性节点，两个事件成为间接邻居。

VII. 总结和未来展望

我们提出了一种新的基于图的行为建模范式 BIG，与现有工作不同的是我们进一步利用了属性之间的细粒度信息改进模型。BIG 的核心技术是将行为的内部（属性级别）和外部（事件级别）关联整合到一个统一的图和空间中。为了有效分析图，我们是设计了一个事件-属性复合模型，利用粗细力度的事件信息学习深层潜在表示。在四个代表性的网络安全问题实验，验证了有效性。

还一些有趣的问题研究：

在 BIG 和其下游检测模型之间的合作是有益的。例如弱监督分类、无监督聚类。

可以实现一种基于 BIG 的视觉系统来辅助决策者，例如基于拓扑数据分析（TDA）的系统。例如一个有趣的方向是在事件级别引入注意力机制探索可解释性的质量。