论文阅读笔记:GEM---Heterogeneous Graph Neural Networks for Malicious Account Detection

最新推荐文章于 2024-06-21 16:43:44 发布
原创 最新推荐文章于 2024-06-21 16:43:44 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种基于异质图神经网络的恶意账号检测方法GEM,利用账户与设备间的关系构建异构图,通过设备和活动聚合来区分正常与恶意账号。展示了通过图结构分析,识别恶意行为模式的过程。
GEM:Heterogeneous Graph Neural Networks for Malicious Account Detection

GEM,Graph Embeddings for Malicious accounts

heterogeneous account-device graph

同质图中只有⼀种类型的节点和边(例如,只有朋友关系的社交网络),网络结构较为简单。因此,同质图神经网络通常只需要聚合单⼀类型的邻居来更新节点的表示即可(例如,通过在朋友关系下的邻居来更新节点表示)。

但真实世界中的图大部分都可以被自然地建模为异质图(多种类型的节点和边,如下图所示,IMDB 数据中包含三种类型的节点 Actor、Movie 和 Director,两种类型的边 Actor-Moive 和 Movie Director)。

作者:张俊
链接:https://zhuanlan.zhihu.com/p/96932421
来源:知乎

Device aggregation

请注意,这里的“设备”可能是一个更广泛的概念。例如,设备可以是一个IP地址、一个电话号码,甚至是facebook中的一个类似页面。

在我们的数据中,我们收集了各种类型的设备,包括phone number,User Machine ID (UMID),MAC address, IMSI (International Mobile Subscriber Identity),APDID(Alipay Device ID)6 and TID)等,从而得到一个异构图。图中节点包括用户节点,设备节点,图中的边包括用户—设备边,用户—用户边

一个蓝色的点表示某账户在某设备上有行为,如登陆、注册。

左边的图是正常账户的模式,右边的图是恶意账户的模式,在某一设备上产生登录了大量不同的账户。
在这里插入图片描述

Activity aggregation

下面这幅图描述的是账户的行为随时间变化的模式,一个蓝色的点表示某账户在某一时间执行了某种行为。

左边的图是正常账户的行为模式,表明每一个新注册的正常账户在未来几天内的行为是均匀的。

右边的图是恶意账户的行为模式,则表明它们只会在短时间内执行操作。
在这里插入图片描述

给出数据集,初步构建图

图G=(V,E),V表示顶点,账户和设备都表示作顶点,E表示边。

(i,j)(i,j)(i,j)表示某时间段账户 iii 登陆了设备 jjj

某时间段账户 iiii′i'i 都登陆了设备 jjj,那么账户 iii 和账户 i′i'i 之间存在一条边,用表示 (i,i′)(i,i')(i,i)表示。

从我们的数据中选取部分构建图,共有210个顶点,包括20个正常账户(蓝色),7个恶意账户(黄色),其余顶点对应6种类型的设备。
在这里插入图片描述

删除掉一些边

用向量xi=[xi,1,…,xi,p]⊤x_i=\left[x_{i}, 1, \ldots, x_{i, p}\right]^{\top}xi=[xi,1,,xi,p]表示账户 iii 一天中的行为,其中,p=24,xi,px_{i,p}xi,p表示

可以通过xiTxi′x_i^Tx_{i'}xiTxi计算两个账户的相似度,如果两个账户之间的相似度xiTxi′<θx_i^Tx_{i'}<\thetaxiTxi<θ,我们就删除掉连接这两个账户的边。θ\thetaθ是一个超参,可以控制图的稀疏程度。

【论文分享】异构图神经网络域名检测方法GAMD:Attributed Heterogeneous Graph Neural Network for Malicious Domain Detection
vector的博客
04-09 2555
将异质图转化为同质图,注意力机制与图神经网络聚合传播上下文信息,最终得到一个用于分类的结点表示。
【论文精读】FeCoGraph: Label-Aware Federated Graph Contrastive Learning for Few-Shot Network Intrusion Dec
最新发布
qq_27789905的博客
03-20 752
该论文提出的联邦网络入侵检测系统框架概述如图2所示。该框架由以下关键组件组成:图构建。将初始流量图转换为线图结构,以生成节点级别的流量嵌入。原始流量图中的网络流量被转换为线图中的节点,如果两个流量共享一个公共主机IP地址,则在线图中的两个节点之间相应地创建一条边。模型架构。主干模型分为两个分支,分别用于监督分类和对比学习。整体架构包括三个部分:编码器、投影器和分类器。编码器由两个分支共享,每个分支从线图数据中提取节点级别的表示。然后投影器将这些表示映射到一个计算对比损失的空间。分类器用于区分良性和恶意流量。
【论文解读 CIKM 2018 | GEMHeterogeneous Graph Neural Networks for Malicious Account Detection
byn12345的博客
03-15 4207
论文链接:https://arxiv.org/abs/2002.12307 来源:CIKM 2018 官方介绍:https://zhuanlan.zhihu.com/p/48243724 文章目录1 摘要2 介绍3 预备知识3.1 GNN3.2 Node Embedding4 提出的方法4.1 数据分析4.1.1 设备聚集4.1.2 行为聚集4.2 A Motivation: Subgraph...
蚂蚁金服2018CIKM中GEM算法《Heterogeneous Graph Neural Networks for Malicious Account Detection
liuyinglxl
06-21 1046
简评:2018 CIKM,Ziqi Liu et al. 蚂蚁金服,具有较大参考意义的工业届 paper。 roadmap: 作弊数据分析 -> 作弊规律总结 -> 针对性解决问题 -> 直观的方法 -> 更深层次的方法论文场景:支付宝金融风控中黑产用户的挖掘,用户粒度的黑产挖掘。解决的问题和方法具有整个反作弊领域的通用性,不限制于金融风控领域。通过对大量正常数据和黑产数据进行分析,发现大量作弊数据具有如下表现:那通过数据分析出黑产用户具有上述『设备聚集』和『行为聚集』的异常,那如何 挖掘出具有这类表现的黑
Heterogeneous Graph Neural Networks for Malicious Account Detection_biji
wang2008start的专栏
10-15 643
实现方案,一周前六天是训练数据,第七天为测试数据。用的是GCN的思想,图里有账号和设备,(基于规则的主要是用类似于图的二度好友计算,用账号和设备两种节点,计算得到账号和账号的关系),用有标注的数据的好处是可以用AUC、F1评测模型效果。 ...
SynchroTrap:Uncovering Large Groups of Active Malicious Accounts in Online Social Networks(论文笔记
麦地与诗人
12-19 1547
SynchroTrap 互联网上泛滥着各种欺诈行为。特别是社交网络诞生以来,许多职业黑客和黑色产业链便通过欺诈行为谋生。一个常见的欺诈行为便是大量的同时虚假点赞行为,也就是会有大量的用户在短期内大量地给同一个页面点赞(Synchronized Attack)。针对这种特定的欺诈行为,学术界的研究者和工业界的工程师专门研究了一种叫做 SynchroTrap 的算法。这种算法被部署在 Facebook...
恶意域名检测论文阅读及代码复现——Heterogeneous Graph Attention Network for Malicious Domain Detection
qq_50604294的博客
06-21 2121
DNS:作为互联网的基础,DNS 提供了域和 IP 地址之间的映射关系,以识别网络中的服务、设备或其他资源。同时,DNS也被攻击者滥用,如网络钓鱼、垃圾邮件、僵尸网络等,造成严重的经济损失。因此,如何有效检测恶意域名成为网络安全研究的热点。恶意域名检测方法方法分类优点缺点基于黑名单实现简单维护困难,且极易被绕过基于域名字符特征的方法有效应对Domain-Flux, Fast-Flux, Double-Flux等躲避技术手工提取特征难深度学习方法自动提取特征。
GEM-图嵌入网络
2301_78731684的博客
12-09 1330
图嵌入网络是一种用于图结构数据嵌入的神经网络模型,通过将图结构数据中的节点映射到低维空间中,实现对图结构数据的降维和特征提取。与传统的图嵌入方法不同,GEM采用了神经网络的方法,通过对节点之间的关系和特征信息进行学习和建模,实现了更加有效的图嵌入。在GEM中,节点之间的关系和特征信息是通过邻居节点的信息进行传递和聚合的。这种信息传递和聚合的过程可以通过卷积运算来实现。具体来说,GEM通过对邻居节点的特征信息进行聚合,得到当前节点的特征信息。
【论文学习】Heterogeneous Graph Matching Networks for Unknown Malware Detection学习
qq_38391210的博客
07-05 926
摘要 恶意软件攻击已经开始渗透到很多的信息系统中。传统的基于签名的恶意检测算法只能检测到已知在库中的恶意软件,并且可以做诸如二进制混淆的规避攻击,但是基于行为的方法在很大程度上依赖于恶意的训练样本,并且会有很高的训练成本。为了解决现有技术的局限性,作者提出了MatchGNet,一种异质图匹配网络可以学习图表示和相似性度量。作者还提出了一种对于模型的系统性评估手段,可以以较小的FP值来检测恶意攻击。MatchGNet比现有的SOA算法都要好,在保证FN值为0的同时将FP值降低了50%。 Introductio
图神经网络欺诈检测工具箱-DGFraud.zip
05-06
DGFraud是基于图形神经网络(GNN)的工具箱,用于欺诈检测。它集成了基于GNN的最新欺诈检测模型的实现和比较。它还包括一些实用程序功能,例如图形预处理,图形采样和性能评估。可以在此处找到已实现模型的介绍。
Graph Matching Networks for Learning the Similarity of Graph Structured Objects
05-07
近日,DeepMind 和谷歌联合进行了一项研究,该研究提出了一种执行相似性学习的新型强大模型——图匹配网络(GMN),性能优于 GNN 和 GCN 模型。该论文已被 ICML 2019 接收。 DeepMind 和谷歌的这项新研究聚焦检索和匹配图结构对象这一极具挑战性的问题,做出了两个重要贡献。 首先,研究者展示了如何训练图神经网络(GNN),使之生成可在向量空间中执行高效相似性推理的图嵌入。其次,研究者提出了新型图匹配网络模型(GMN),该模型以一对图作为输入,通过基于跨图注意力的新型匹配机制进行联合推理,从而计算它们之间的相似性分数。 研究者证明 GMN 模型在不同领域中的有效性,包括极具挑战性的基于控制流图的函数相似性搜索问题,这个问题在检索软件系统的漏洞中起着非常重要的作用。实验分析表明 GMN 模型不止能在相似性学习的环境下利用结构,还能超越针对这些问题手动精心设计的特定领域基线系统。研究主题:图相似性学习问题 图是编码关系结构的自然表征,常常出现在多个领域中。根据图结构数据定义的计算可以用在各种领域中,从计算生物学和化学的分子分析到自然语言理解中知识图或图结构解析的分析都可以。 近几年来,图神经网络(Graph Neural Network,GNN)已经成为可以有效学习结构数据表征、解决各种基于图的监督预测问题的模型了。这样的模型在迭代聚合局部结构信息的传播过程中设计并计算图节点表征,从而对图元素的排列(permutation)具有不变性。然后直接将这些节点表征用于节点分类,或者将它们合并到用于图分类的图向量中。而 GNN 在监督分类或回归以外的问题的相关研究相对较少。 DeepMind 的这篇论文研究的是图结构对象的相似性学习问题,这个问题在现实生活中有很多重要的应用,尤其是在图数据库中基于相似性的搜索。还有一个应用是涉及计算机安全的二元函数相似性搜索,给定的二元函数可能包含有已知漏洞的代码,我们要检查这个二元函数中是否有和已知易受攻击的函数相似的控制流图(control-flow-graph)。这有助于识别闭源软件中易受攻击的静态连结函式库,这是一个很常见的问题 (CVE, 2010; 2018),现在还没有很好的解决方法。图 1 展示了一个例子,在这个例子中用汇编语言注释的控制流图来表示二元函数。这种相似性学习问题极具挑战性,因为就算是图之间细微的差别也会造成语义上极大的不同,但结构不同的图语义上可能非常相似。因此,对这个问题而言,一个成功的模型应该(1)利用图结构;(2)能从图的结构和学习到的语义中推导出图的相似性。图 1:二元函数相似性学习问题。检查两个图是否相似需要推理图的结构和语义。左边两个控制流图对应使用不同编译器编译的相同函数(因此二者比较相似),但右侧图对应的是不同函数。 解决方案 为了解决图相似性学习问题,该论文研究了 GNN 在这种情况中的使用,探讨了如何用 GNN 将图嵌入到向量空间,并学习这种嵌入模型,从而使向量空间中相似的图靠近、不相似的图分开。这个模型的一个重要特性是它可以将每一个图独立地映射到一个嵌入向量,然后在向量空间中执行相似性计算。因此,可以预先计算并索引大型数据库中的图嵌入,这样就能用快速的最近邻搜索数据结构(如 k-d 树) 或局部敏感哈希算法 (Gionis et al., 1999) 执行高效的检索。 研究者进一步扩展 GNN,提出新型图匹配网络(Graph Matching Networks,GMN)来执行相似性学习。GMN 没有单独计算每个图的图表征,它通过跨图注意力机制计算相似性分数,来关联图之间的节点并识别差异。该模型依赖成对图计算图表征,因此它比嵌入模型更强大,并在准确率和计算之间做出了很好的权衡。 研究者在三个任务上评估了 GMN 和基线模型:仅捕获结构相似性的合成图编辑距离学习任务(synthetic graph edit-distance learning tas),以及两个现实世界任务——二元函数相似性搜索和网格检索,这两项任务都需要推理结构相似性和语义相似性。在所有任务中,GMN 都比基线和结构不可知(structure agnostic)模型的性能更好。在更详细的模型简化测试中,研究者发现 GMN 始终优于图嵌入模型和 Siamese 网络。 该研究的贡献如下: 展示了如何用 GNN 产生用于相似性学习的图嵌入; 提出了新型图匹配网络(GMN),该网络基于跨图注意力匹配来计算相似性; 实验证明,该研究提出的图相似性学习模型 GMN 在多个应用中都有良好的表现,比结构不可知模型和现有的手动建立的基线模型都要好。 深度图相似性学习 给定两个图 G1 = (V1, E1) 和 G2 = (V2, E2),我们需要一个可以计算两图之间相似性分数 s(G1, G2) 的模型。每个图 G = (V, E) 被表示为节点 V 和边 E 的集合,每个节点 i∈V 都可以和特征向量 x_i 相关联,每条边 (i, j) ∈ E 都可以和特征向量 x_ij 关联起来。这些特征可以表示节点类型、边的方向等。如果一个节点或者一条边不能关联任何特征,那么我们可以将对应向量设置成值为 1 的常量。研究者提出了两个图相似性学习模型:一个是基于标准 GNN 的学习图嵌入的模型;另一个是更为崭新也更加强大的 GMN。图 2 展示了这两个模型:图嵌入模型 图嵌入模型可以将每一个图都嵌入到向量中,然后用向量空间中的相似性矩阵衡量图之间的相似性。GNN 嵌入模型包括三个部分:编码器、传播层和聚合器。 图匹配网络 图匹配网络以一对图作为输入,计算它们之间的相似性分数。和嵌入模型相比,图匹配模型联合成对图计算相似性分数,而不是先将每个图独立地映射到向量上。因此,图匹配模型可能比嵌入模型更加强大,但它需要额外的计算效率。 图匹配网络改变了每个传播层中的节点更新模块,这样不仅可以考虑到每个图的边上的聚合信息,还可以考虑到衡量一个图中的一个节点和其他图中的一或多个节点匹配近日,DeepMind 和谷歌联合进行了一项研究,该研究提出了一种执行相似性学习的新型强大模型——图匹配网络(GMN),性能优于 GNN 和 GCN 模型。该论文已被 ICML 2019 接收。 程度的跨图匹配向量:以调整图的表征,在它们不匹配时放大它们之间的差异。 实验 研究者在三个任务上评估了图相似性学习(Graph Similarity Learning,GSL)框架、图嵌入模型(GNN)以及图匹配网络(GMN)的性能,并将这些模型与其他方法进行了对比。总体上,实验结果表明在图相似性学习任务上,GMN 表现优异,而且始终优于其他方法。 学习图编辑距离(GED) 图 G1 和 G2 之间的图编辑距离即将 G1 变换为 G2 所需的最小编辑操作。通常这些编辑操作包括添加/移除/替换节点和边。图编辑距离是衡量图之间相似性的自然指标,在图相似性搜索中有很多应用。 从下表 1 中可以看出,通过学习特定分布的图,GSL 模型的性能优于一般的基线模型,而 GMN 的性能持续优于图嵌入模型(GNN)。基于控制流图的二元函数相似性搜索 二元函数相似性搜索是计算机安全领域中的重要问题。当我们无法获取源代码时,可以通过二元函数执行分析和搜索,例如在处理商业或嵌入式软件或可疑的可执行程序时。 下图 4 展示了具备不同传播步和不同数据设置的不同模型在二元函数相似性搜索任务上的性能。从图中,我们可以看到: 图嵌入模型和图匹配模型的性能随着传播步的增加而持续提升; 在传播步足够的情况下,图嵌入模型持续优于基线模型; 图匹配模型在所有设置和传播步的情况下都优于图嵌入模型。研究者检测了GMN 模型中不同组件的效果,并将 GMN 模型与图卷积网络(GCN)、图神经网络(GNN)和 GNN/GCN 嵌入模型的 Siamese 版本进行对比。 下表 2 展示了实验结果,表明: GNN 嵌入模型是具备竞争力的模型(比 GCN 模型强大); 使用 Siamese 网络架构基于图表征学习相似性要比使用预先指定的相似性指标(Euclidean、Hamming 等)好; GMN 优于Siamese 模型,这表明在计算过程早期进行跨图信息交流是非常重要的。
基于异质图神经网络的未知恶意程序检测
Paper weekly
10-08 3142
©PaperWeekly 原创 ·作者|张安琪学校|东华大学硕士生研究方向|隐私保护、Security论文标题:Heterogeneous Graph Matching Network...
CIKM 18 | 蚂蚁金服论文:基于异构图神经网络的恶意账户识别方法
weixin_33779515的博客
11-01 474
小蚂蚁说: ACM CIKM 2018 全称是The 27th ACM International Conference on Information and Knowledge Management,会议于2018年10月22日-26日在意大利都灵省举行。 CIMK 是国际计算机学会(ACM)举办的信息检索、知识管理和数据库领域的重要学术会议。本次大...
论文阅读分享
qq_36386435的博客
02-27 7634
恶意软件对抗研究 When Malware is Packin’ Heat; Limits of Machine Learning Classifiers Based on Static Analysis Features 机器学习快速发展,当前工业界和学术界对于恶意软件识别研究的结果,作者对其提出疑问,称没考虑加壳对分类的影响,忽略了这个重要因素,并且作者证明了从加壳可执行文件中提取的特征不能充分去1)泛化其他未知packer,2)对对抗样本具有鲁棒性。并且指出了当前推出的不成熟的机器学习应用会导致大量的
Heterogeneous Network
肖泽的博客
08-11 2178
Hyper-network Structural Deep Embedding for Hyper-Networksx [AAAI 2018] Hypergraph Neural Networks. [AAAI 2019] Graph HyperNetworks for Neural Architecture Search [ICLR 2019] Link prediction 4. Mode...
GNN(图神经网络)在反欺诈领域的落地
guoyuhaoaaa的博客
03-17 5534
今天的博客主要参考了《Heterogeneous Graph Neural Networks for Malicious Account Detection》和《GeniePath: Graph Neural Networks with Adaptive Receptive Paths》,都来自阿里的蚂蚁金服团队,都使用了当下最流行的Graph Neural Network的相关知识。 其实有关G...
JS-2
LLLLLLLLLLe的博客
10-26 478
DOM 标签 CSS 元素 JS 节点 DOM 其实他们都是同类 DOM 节点 // 文本节点 cnjncaknc // 元素节点 <p> ncjksancakj </p> 子节点:只算下面第一层的节点,如果第一层里面还包括了子节点的话,不往里面算 children 获取子节点(获取的节点只包括元素节点,不包括文本节点)。比childNodes好用 childNodes 获取子节点 (获取的节点包括 元素节点 和 文本节点 ) nodeTyp
Heterogeneous Graph Neural Network(异质图神经网络)
热门推荐
nakaizura
02-16 1万+
Heterogeneous Information Network 传统的同构图(Homogeneous Graph)中只存在一种类型的节点和边,当图中的节点和边存在多种类型和各种复杂的关系时,再采用Homo的处理方式就不太可行了。这个时候不同类型的节点具有不同的特征,其特征可能落在不同的特征空间中,如果仍然共享网络参数、同样维度的特征空间,又或者尝试将异构图映射到同构图中,根本无法学习到“异构...
heterogeneous graph neural network for recommendation
11-16
异构图神经网络(Heterogeneous Graph Neural Network)是一种在推荐系统中应用的技术。在传统的推荐系统中,用户和物品通常被表示为一个二部图,而异构图神经网络则可以更好地处理用户和物品之间多样的关系。 异构...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值