利用图嵌入(graph embedding)[6]表示可以从审计日志的上下文信息中学习其语义表示，其中最关键的是如何把审计事件的三元组映射到同一个向量空间中，这也是嵌入模型的关键。在自然语义处理中word2vect已经是一个比较成熟的技术，基于其思想文献[6]通过分析二进制指令的上下文来表示该二进制指令的语义。在本文的场景中是否能用审计事件的上下文来表示其语义？假设现有两个审计事件三元组(cc1, read, a.c)和(cc1, read, b.c)，显示a.c与b.c属于不同的审计事件，但是它们具有相同的上下文(cc1, read)，这暗示着它们具有一些相似的语义信息。直观的来说就是把每个元素都转换成同一向量空间中的向量，不同元素的向量表示的距离表示其语义的相似度。例如，根据审计事件(cc1, read, a.c)和(cc1, read, b.c)，我们希望a.c与b.c的向量距离尽可能的近一些。因此这里可以使用TransE模型来学习每个元素的向量表示。

嵌入模型中的嵌入空间描述的是安全知识图谱三元组中Head, Tail和Relation之间的关系。TransE模型的嵌入空间是基于以下这种理论假设：Head + Relation≈ Tail，其表示在TransE模型的嵌入空间中Head实体的向量加上Relation的向量表示等于Tail的向量表示。以(cc1, read, a.c)和(cc1, read, b.c)为例，a.c与b.c的向量表示是通过(cc1, read)表示，因此a.c与b.c向量表示是相近的。

在嵌入表示学习过程中，安全知识图谱中的每一个元素都需要进行初始。可以利用独热编码对每一个元素进行编码，然后以该向量作为训练过程的输入。训练阶段采用TransE模型本身的目标函数。

三.2.2 行为概要

行为抽象的下一步是从一个用户登录会话的行为实例进行概要分析。行为实体是一系列操作关于相关数据或是信息流的审计事件。因此，总结单一行为实例的问题可以归约为从安全知识图谱中抽取出因果相关的子图。与传统基于路径[7]的方法相比，可以在安全知识图谱中划分子图来表示行为实例。利用子图划分而不选择基于路径划分的原因是单一路径不能保留多分支数据传输的行为的完整上下文。例如，基于路径划分的方法在数据泄露行为中并不能有效的把相关行为实例关联到一起，比如程序编译与github上传可能在不同的路径中。

图4 溯源图

为了从安全知识图谱中抽取出描述行为实例的子图，可以采用了一种自适用的前向深度优先遍历方法。图4中给出了行为概要子图的示例。在图遍历过程中考虑了行为的时序关系，也就是后一个行为要发生在前一个行为之后。这种时间约束会过滤掉一大部分依赖关系。此外，可以看出一个系统实体的祖先通常包含了关键行为上下文，然而这种祖先节点在前向深度优先遍历中是捕获不到的，因为其属性后向依赖节点。因此，在图遍历过程中需要包含其一跳入边。

由于审计日志记录的是粗粒度的依赖关系，因此不可避免的面临依赖爆炸的问题。然而解决依赖爆炸问题并不是这里讨论的的内容。

三.3 代表行为识别

基于以上处理之后，需要基于安全知识图谱抽取出行为实例的语义信息。每个行为实例的划分都包含了一些审计事件，这些审计事件的语义信息是通过嵌入矩阵的高维向量来表示。针对行为实例的语义向量的获取，一个比较简单的方法是把该实例中所有事件的向量相加。然后，这种方法的有效性是建立在如下假设基础上的：一个行为实例所包含的所有事件对其语义的贡献都是相同的。显然这种假设在实际情况是很难满足的。

对于一个高水平任务，它可能包含了底层一系列相关操作，但是每个底层操作的重要性与必要性对于该任务来说是不同的。例如图4中的程序编译过程，用户通常不会直接编译源代码，而是先利用ls或是dir命令定位源代码。像ls和dir这种命令能表示用户的行为，但是对高层任务的语义贡献较小。因此，像这类样板操作在实际的行为表示中会给予更少的关注。关键的问题是如何自动化的给出每一个操作的相对重要度（重要性权重）。通过观察可以看到与行为不相关的事件在会话中会更普遍，因此它们在不同的行为中不为断的重复，而实际与行为相关的事件发生的频率反而较低。基于该观察，可以使用事件的频率作为事件重要度的一种度量。这里可以使用IDF(Inverse Document Frequency)来定义事件对于所有行为的重要度。为了与IDF的使用相对应，审计事件可以看成文档中的词，用户会话可以看成文档。事件的IDF计算公式表示如下：

上一页

1

2

3

4

下一页