利用用户反馈减少SASE风险误报的方法及装置

技术领域

本发明涉及安全访问服务领域，更具体地说，它涉及利用用户反馈减少SASE风险误报的方法及装置。

背景技术

SASE使用风险评估功能来评估企业组织的网络实体（用户、设备、应用等）的风险。在 SASE 对企业网络实体的实时风险评估中，风险评分主要由各种预测模型组成，用于发现包括异常行为在内的可疑活动或评估安全威胁。这其中，由于在真实的企业环境中异常产生的情况千变万化，很难有明确定义，且很难找到足够的标记为“异常”的样本来建立精确的有监督学习模型，大量的无监督学习模型被用来预测网络实体的异常，如用户的异常行为等，作为SASE风险评估的重要依据。但是，无监督学习模型预测异常的时候出现高的误报率（FA或False Alarm）是很普遍的现象。高误报率会导致需要对很多预测为“异常”的样本进行验证，但结果是只有极少的样本（比如0.1%）是真正的异常。同时，验证一个样本是否为异常的成本很高，也提高了异常检测的难度。异常检测的高误报率导致SASE产生过多的风险误报，降低了SASE风险评估的价值。SASE的用户通常希望提供反馈意见（SASE是否对“异常”做出了正确的预测）来改进异常检测模型，减少误报。

SASE产品的用户有时可以向SASE提供反馈，告知其对用户/设备/应用的风险评估或异常检测结果是否正确。这是SASE提升风险评估准确度的好机会。然而，目前信息安全领域还没有一个系统性的解决方案来利用这些反馈。

现有技术存在的问题主要有：

a) SASE的用户反馈可以告诉SASE哪些风险评估评分或异常检测结果是错误的。它们是提高 SASE 保护能力的非常重要的信息。遗憾的是，SASE 或业界的其他同类产品缺乏通过用户反馈来持续改进 SASE 无监督学习模型的准确度，进而改善其风险评估水准的能力。这是因为，无监督学习方法只能依据样本在统计或概率方面的特性来识别异常点，加入真正异常或正常的样本并不能使生成的模型直接与安全威胁上的异常相关联。另外，现实中去验证哪些是真正异常的样本的成本非常高。所以，通常能够得到的有标记的异常样本（包括用户反馈）非常稀少，远不足以影响无监督机器学习模型的训练结果。

b) 用无监督学习技术做异常检测非常依赖于采用的异常检测算法，算法如LOF、Isolated Forest、COPOD等。无监督学习在计算、存储和吞吐量等方面的成本总是比有监督学习高得多，尤其是在处理 SASE 面临的超大规模数据时，这些方法训练起来都非常耗资源，而且模型复杂，做预测的时候效率较低，这也影响了系统的吞吐率，增大了系统的延迟。

故此，如何提高SASE风险评估准确性和效率是目前亟需解决的问题。

发明内容

本申请的目的是提供利用用户反馈减少SASE风险误报的方法及装置，解决了现有技术中的SASE风险评估准确性和效率较低的问题。

本申请的上述技术目的是通过以下技术方案得以实现的：

本发明的第一方面，提供了一种利用用户反馈减少SASE风险误报的方法，方法包括：

利用SASE的基于不同算法的无监督学习组件训练出多个无监督学习异常行为检测模型；

获取SASE用户的历史行为数据，将由历史行为数据转换而成的特征向量输入多个基于不同算法的无监督学习异常行为检测模型中，获得多个第一检测结果；其中第一检测结果是指用户行为的异常程度；

融合多个所述第一检测结果，获得第二检测结果，其中所述第二检测结果表征用户行为处于异常状态或正常状态；

将所述第二检测结果作为异常标签，添加到特征向量中，获得带异常标签的用户行为数据；

在接收到具有用户真实标签的用户反馈数据时，根据所述用户反馈数据校正所述带异常标签的用户行为数据，获得带有增强标签的用户行为数据；

利用SASE的有监督学习组件训练所述带有增强标签的用户行为数据，获得有监督学习异常行为检测模型；

运用所述有监督学习异常行为检测模型对用户行为进行检测。

在一种实现方式中，所述具有用户真实标签的用户反馈数据的获得过程，具体为：

获取SASE的用户反馈数据，其中用户反馈数据是指用户真实存在的异常行为或正常行为；

将所述用户反馈数据转化为具有用户真实标签的用户反馈数据，其中用户真实标签用于表征用户行为是异常状态行为或正常状态行为。

在一种实现方式中，采用投票的方式或加权投票的方式融合多个所述第一检测结果，获得第二检测结果。

在一种实现方式中，根据所述用户反馈数据校正所述带异常标签的用户行为数据，获得带有增强标签的用户行为数据，包括：根据用户反馈数据具有的用户真实标签更正所述用户行为数据的异常标签。

本发明的第二方面，提供了一种利用用户反馈减少SASE风险误报的装置，装置包括：

无监督学习模型训练模块，用于：利用SASE的基于不同算法的无监督学习组件训练出多个无监督学习异常行为检测模型；

数据获取模块，用于：获取SASE用户的历史行为数据；

行为预测模块，用于：将由历史行为数据转换而成的特征向量输入多个基于不同算法的无监督学习异常行为检测模型中，获得多个第一检测结果；其中第一检测结果是指用户行为的异常程度；

结果融合模块，用于：融合多个所述第一检测结果，获得第二检测结果，其中所述第二检测结果表征用户行为处于异常状态或正常状态；

第一数据模块，用于：将第二检测结果作为异常标签，添加到特征向量中，获得带异常标签的用户行为数据；

第二数据模块，用于：在接收到具有用户真实标签的用户反馈数据时，根据所述用户反馈数据校正所述带异常标签的用户行为数据，获得带有增强标签的用户行为数据；

有监督学习模型训练模块，用于：利用SASE的有监督学习组件训练所述带有增强标签的用户行为数据，获得有监督学习异常行为检测模型；

检测模块，用于：运用所述有监督学习异常行为检测模型对用户行为进行检测。

在一种实现方式中，第二数据模块，具体用于：

获取SASE的用户反馈数据，其中用户反馈数据是指用户真实存在的异常行为或正常行为；

将所述用户反馈数据转化为具有用户真实标签的用户反馈数据，其中用户真实标签用于表征用户行为是异常状态行为或正常状态行为。

在一种实现方式中，结果融合模块，具体用于：采用投票的方式或加权投票的方式融合多个所述第一检测结果，获得第二检测结果。

在一种实现方式中，第二数据模块，还用于：根据用户反馈数据具有的用户真实标签更正所述用户行为数据的异常标签。

与现有技术相比，本申请具有以下有益效果：

本发明提供的一种利用用户反馈减少SASE风险误报的方法，首先，通过SASE的基于不同算法的无监督学习组件训练出多个无监督学习异常行为检测模型。而后，基于训练出的多个无监督学习异常行为检测模型来对SASE用户的历史行为数据进行异常行为检测，从而确定表征用户行为状态异常程度的第一检测结果。然后融合这些模型输出的第一检测结果，从而获得最终的第二检测结果。这个第二检测结果可以表征用户行为处于异常状态或正常状态，这始终比单个异常行为检测模型输出的检测结果更准确。由于用户反馈中提供的具有真实标签的反馈数据不能用于进一步改进 SASE 无监督学习的准确性，本发明采用有监督学习模型预测用户的异常行为。用于训练有监督学习模型的未标记的用户历史行为向量的异常标签（正常或异常的标记）来自融合的第二检测结果。在此基础上，结合用户反馈数据与带异常标签的用户行为数据，构建出带有增强标签的用户行为数据，进而依据有监督学习组件训练带有增强标签的用户行为数据，得到有监督学习异常行为检测模型。使用有监督学习替代传统的无监督学习来检测无监督学习目标（如异常的用户行为），本发明创新性地使用有监督学习异常行为检测模型代替传统的无监督学习异常行为检测模型做异常行为检测，使SASE异常行为检测和风险评估的准确度大幅度提高，减少了SASE产品的延迟，提升了SASE产品的竞争力。

附图说明

此处所说明的附图用来提供对本发明实施例的进一步理解，构成本申请的一部分，并不构成对本发明实施例的限定。在附图中：

图1示出了本发明实施例提供的一种利用用户反馈减少SASE风险误报的方法的流程示意图；

图2示出了本发明实施例提供的使用用户反馈改善SASE风险评估中无监督学习异常行为检测模型的架构示意图；

图3示出了本发明实施例提供的利用用户增强无监督学习异常行为检测的训练示意图；

图4示出了本发明实施例提供的一种利用用户反馈减少SASE风险误报的装置的原理框图。

具体实施方式

在下文中，可在本申请的各种实施例中使用的术语“包括”或“可包括”指示所申请的功能、操作或元件的存在，并且不限制一个或更多个功能、操作或元件的增加。此外，如在本申请的各种实施例中所使用，术语“包括”、“具有”及其同源词仅意在表示特定特征、数字、步骤、操作、元件、组件或前述项的组合，并且不应被理解为首先排除一个或更多个其它特征、数字、步骤、操作、元件、组件或前述项的组合的存在或增加一个或更多个特征、数字、步骤、操作、元件、组件或前述项的组合的可能性。

在本申请的各种实施例中，表述“或”或“B或/和C中的至少一个”包括同时列出的文字的任何组合或所有组合。例如，表述“B或C”或“B或/和C中的至少一个”可包括B、可包括C或可包括B和C二者。

在本申请的各种实施例中使用的表述（诸如“第一”、“第二”等）可修饰在各种实施例中的各种组成元件，不过可不限制相应组成元件。例如，以上表述并不限制所述元件的顺序和/或重要性。以上表述仅用于将一个元件与其它元件区别开的目的。例如，第一用户装置和第二用户装置指示不同用户装置，尽管二者都是用户装置。例如，在不脱离本申请的各种实施例的范围的情况下，第一元件可被称为第二元件，同样地，第二元件也可被称为第一元件。

SASE（Secure Access Service Edge，安全访问服务边缘）是一种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。它是当今全球信息安全领域的热点和重点方向之一。安全访问服务边缘（SASE）是一个总体解决方案，是一种软件和硬件工具的框架，可确保通常以云服务形式提供的应用程序、服务、用户和机器对云和网络资源的安全访问。

目前，用机器学习做风险预测是SASE 风险评估技术的发展方向。其中一些方向是有监督机器学习，而另一些方向则是无监督机器学习。通常，具有较高误报率（FA或FalseAlarm）的预测模型更有可能是无监督机器学习，但这不如有监督机器学习准确。SASE必须利用大量无监督机器学习来预测各种风险，如查找SASE用户的异常行为等。异常行为检测是 SASE 风险的一个重要组成部分。在这类问题中，由于在真实的企业环境中异常产生的情况千变万化，很难有明确定义，且很难找到足够的标记为“异常”的样本来建立精确的有监督学习模型，所以通常使用无监督的机器学习方法来完成异常行为检测。有许多有效的无监督机器学习方法可以做异常行为检测，如LOF、隔离森林和一些深度学习方法。SASE产品中使用无监督机器学习技术的异常行为检测功能旨在为企业网络实体（用户、设备、云应用等）寻找信息安全方面的异常操作，将之作为风险评估的主要依据之一，以降低企业的安全威胁。但是，预测异常的时候出现高的误报率（FA或False Alarm）是很普遍的现象。高误报率会导致需要对很多预测为“异常”的样本进行验证，但结果是只有极少的样本（比如0.1%）是真正的异常。验证一个样本是否为异常的成本很高，这就降低了异常行为检测的意义，也使得用户对产品满意度降低。

SASE的用户通常希望提供反馈意见（是否对“异常”做出了正确的预测）来改进异常行为检测模型及SASE风险评估的质量，减少误报。这些反馈意见非常有价值，但不幸的是，在现实情况下，SASE的异常行为检测模型很难利用这部分信息。一个方面，无监督学习对网络安全威胁的异常行为检测通常会有非常高的误报，而这个情况很难改进，因为无监督学习方法只能依据样本在统计或概率方面的特性来识别异常点，加入真正异常的样本并不能使生成的模型直接与安全威胁上的异常相关联。这导致使用SASE的客户满意度降低。另一方面，现实中去验证哪些是真正异常的样本的成本非常高。所以，通常能够得到的有标记的异常样本（包括用户反馈）非常稀少，远不足以影响无监督机器学习模型的训练结果。

可见，做异常行为检测的无监督机器学习技术无法直接使用SASE的用户反馈来改善学习结果。这与有监督学习技术不同，后者可以加入新的正确标记（标签）样本使有监督学习模型预测更准确。另外，无监督学习在计算、存储和吞吐量等方面的成本总是比有监督学习高得多，尤其是在处理 SASE 面临的超大规模数据时。所以现有技术下SASE异常行为检测的效率不高，通常会有延迟，影响了SASE防护的有效性。

具体而言，在企业组织中，存在着用户、设备、云应用等实体。SASE监控它们的行为并收集相关日志以评估风险。机器学习、人工智能在风险评估中起着重要的作用。有监督学习、无监督学习和传统启发式规则一起被应用于构建整个风险评估系统。有监督学习在风险评估中适用于从具有大量准确的类别标签（如“好”或“坏”）的数据中进行学习。例如，垃圾邮件检测、数据泄露检测、某些类型的终端威胁检测等。对于这些类型的网络安全问题，像XGBM这样的有监督学习算法可以从给定的标签中精确地学习到如何区分不同的类别。无监督学习在风险评估中适用于发现不确定的异常行为。例如，设备具有异常的下载/上传频率或数量，用户具有异常的登录频率和/或失败次数等。这种现象可能是攻击的迹象。在这些问题中，因为从许多异常迹象中验证是否是网络攻击是一项昂贵的任务，所以很难获取类别标签，或者标签数量很少。业界提出了许多复杂的算法来从无标签数据中学习异常，例如孤立森林（Isolation Forest）、COPOD、深度学习等。这些算法旨在通过分析数据的特征和模式来检测异常行为，而无需事先标记的数据。除了机器学习和人工智能方法外，SASE还维护一组启发式规则作为知识库来评估风险。通过将规则和机器学习/人工智能的结果结合起来，SASE风险评估可以为企业组织中的所有实体算出综合的风险评分。在使用SASE时，客户（SASE的用户，即企业组织）可以验证SASE的某些风险评估是否存在问题。许多客户都希望向SASE提供验证后的反馈，以便在未来改进SASE产品。

SASE的用户反馈可以告诉SASE哪些风险评估评分或异常检测结果是错误的。它们是提高 SASE 保护能力的非常重要的信息。遗憾的是，SASE 或业界的其他同类产品缺乏通过用户反馈来持续改进 SASE 无监督学习模型的准确度，进而改善其风险评估水准的能力。另外，用无监督学习技术做异常行为检测非常依赖于采用的异常行为检测算法，如LOF、Isolated Forest、COPOD等。无监督学习在计算、存储和吞吐量等方面的成本总是比有监督学习高得多，尤其是在处理 SASE 面临的超大规模数据时，这些方法训练起来都非常耗资源，而且模型复杂，做预测的时候效率较低，这也影响了系统的吞吐率，增大了系统的延迟。以上问题最终将影响客户对SASE的接受度。

针对上文叙述的现有技术的一些缺陷及不足之处，本发明实施例提供的一种利用用户反馈减少SASE风险误报的方法及装置，解决了现有技术中的SASE风险评估准确性和效率较低的问题，方法使SASE可以利用用户的反馈来增强其风险预测能力和效率。

为使本申请的目的、技术方案和优点更加清楚明白，下面结合实施例和附图，对本申请作进一步的详细说明，本申请的示意性实施方式及其说明仅用于解释本申请，并不作为对本申请的限定。

请参考图1，图1示出了本发明实施例提供的一种利用用户反馈减少SASE风险误报的方法的流程示意图，方法包括：

S110利用SASE的基于不同算法的无监督学习组件训练出多个无监督学习异常行为检测模型。

本实施例中，由于无监督学习检测模型没有标签进行训练，因此很难获得准确的结果。一种方法是选择高度复杂的算法，如孤立森林、单类支持向量机（One-Class SVM）、局部离群因子（LOF）、核密度估计（KDE）、COPOD和深度学习等。然而，这仍然不足够。单一模型的无监督机器学习总是不够准确，而多个有监督机器学习模型的融合已被证明是准确而有效的。本实施例提出了SASE无监督检测的模型融合方法，利用SASE的无监督学习组件训练多个无监督学习检测模型（异构或同质的均可），例如图3所示的K个无监督检测模型。训练的方式是SASE自身学习引擎或组件可以实现的，故此，本实施例不做的详细叙述。因此，本实施例训练出的多个无监督学习异常行为检测模型所使用的不同算法包括One-ClassSVM、LOF算法、核密度估计（KDE）、COPOD和深度学习等。

S120，获取SASE用户的历史行为数据，将由历史行为数据转换而成的特征向量输入多个基于不同算法的无监督学习异常行为检测模型中，获得多个第一检测结果；其中第一检测结果是指用户行为的异常程度。

在上述步骤S110叙述的基础上，利用SASE 的无监督学习组件或引擎训练了 K 个无监督学习异常行为检测模型。当 SASE 收集了足够多的网络实体（如用户、设备、应用等）的历史行为数据时，将历史行为数据转换为特征向量输入到K个模型中，这K个模型可以对同一批网络实体分别生成第一检测结果。可以理解的是，第一检测结果可以是0到1区间内的分数，例如0.5、0.6和0.75等，就第一检测结果而言，若异常行为判断设置的阈值为0.6，则超过0.6的第一检测结果对应的用户行为即为异常，否则就是正常的用户行为，例如下载文件、打开链接、上传文件、收发邮件等。进一步的，历史行为数据转换为特征向量的转换过程是本领域技术人员的公知技术，故此本实施例不做详细的叙述。

S130，融合多个所述第一检测结果，获得第二检测结果，其中所述第二检测结果表征用户行为处于异常状态或正常状态。

本实施例中，采用投票的方式或加权投票的方式融合多个所述第一检测结果，获得第二检测结果。可以理解的是，除开投票的方式融合多个第一检测结果，还可以采用加权投票的方式融合多个第一检测结果，其中加权投票可通过每个无监督学习模型的预测结果投出的票的重要性不同来实现检测结果的融合。由此SASE 可以得到多个第一检测结果的融合结果，即第二检测结果。由于第一检测结果是用于表征用户行为的异常程度，因此融合后得到的第二检测结果，可直接用来指示用户的异常行为或正常行为，这显然比单个模型输出的检测结果更加准确。

S140，将第二检测结果作为异常标签，添加到特征向量中，获得带异常标签的用户行为数据。

本实施例中，由于在训练过程中没有标签，用户反馈中提供的真实标签不能用于进一步改进 SASE 无监督学习。如图3所示，本实施例为用于训练无监督学习模型的未标记数据（特征向量）加上标签（即所述异常标签）。该标签来自上述多个无监督模型的融合检测结果。融合检测确认为“异常”的样本，其标签标记为“异常”，否则为“正常”。将标签添加到用户特征向量中。现在，SASE 已经标记了要训练的用户行为数据（特征向量），即构建了带异常标签的用户行为数据。

S150，在接收到具有用户真实标签的用户反馈数据时，根据所述用户反馈数据校正所述带异常标签的用户行为数据，获得带有增强标签的用户行为数据。

本实施例中，当具有用户真实标签的反馈数据到来时，可以通过反馈的用户真实标签来纠正SASE的用户行为数据（特征向量）的异常标签。现在，SASE根据用户反馈具有了改进的、更准确的带标签训练数据，即获得了具有增强标签的用户行为数据（特征向量）。

S160，利用SASE的有监督学习组件训练所述带有增强标签的用户行为数据，获得有监督学习异常行为检测模型。

本实施例中，利用上述步骤获得的具有增强标签的用户行为数据（特征向量），本实施例创新地提出了一种用有监督学习替代无监督学习的方法。选择一个足够准确的有监督学习算法，如XGBM，从上述获得的具有增强标签的用户行为数据中进行学习。最终，SASE获得了一个有监督机器学习模型来检测无监督目标（如异常的用户行为）。

S170，运用所述有监督学习异常行为检测模型对用户行为进行检测。

本实施例中，用上述得到的有监督学习模型替代无监督学习模型来检测无监督学习目标（如异常的用户行为），使SASE异常行为检测和风险评估的准确度大幅度提高。特别需要说明的是，由于高成本（训练/预测的计算资源和内存等消耗）的无监督学习被低成本的有监督学习模型所取代，本实施例的有监督学习异常行为检测模型能够使SASE风险评估的效率更高，减少延迟，更易部署在企业组织网络中。基于有监督学习的分类结果可以高效地判断各企业组织的网络实体是否出现异常，给出风险评估（评估的结果可以是分数、异常标签等）。

综合上文叙述的减少SASE风险误报的方法的具体实施内容，可见，本发明实施例提供的一种利用用户反馈减少SASE风险误报的方法，通过SASE的基于不同算法的无监督学习组件训练出多个无监督学习异常行为检测模型，而后基于训练出的多个无监督学习异常行为检测模型来对SASE用户的历史行为数据进行异常行为检测，从而确定表征用户行为状态异常程度的第一检测结果，而后融合这些模型输出的第一检测结果，从而获得最终的第二检测结果，这个第二检测结果可以表征用户行为处于异常状态或正常状态，这始终比单个异常行为检测模型输出的检测结果更准确。由于用户反馈中提供的具有真实标签的反馈数据不能用于进一步改进 SASE 无监督学习的准确性，本发明采用有监督学习模型预测用户的异常行为。用于训练有监督学习模型的未标记的用户历史行为向量的异常标签来自融合的第二检测结果。在此基础上，结合用户反馈数据与带异常标签的用户行为数据，构建出带有增强标签的用户行为数据，进而依据有监督学习组件训练带有增强标签的用户行为数据，得到有监督学习异常行为检测模型。使用有监督学习替代传统的无监督学习来检测无监督学习目标（如异常的用户行为），本发明创新性地使用有监督学习异常行为检测模型代替传统的无监督学习异常行为检测模型做异常行为检测，使SASE异常行为检测和风险评估的准确度大幅度提高，减少了SASE产品的延迟，提升了SASE产品的竞争力。

在一些实施例中，所述具有用户真实标签的用户反馈数据的获得过程，具体为：

获取SASE的用户反馈数据，其中用户反馈数据是指用户真实存在的异常行为或正常行为；

将所述用户反馈数据转化为具有用户真实标签的用户反馈数据，其中用户真实标签用于表征用户行为是异常状态行为或正常状态行为。

本实施例中，如图2所示，SASE的用户反馈数据可以包括对网络实体的风险评估结果不正确的投诉、建议等。SASE的反馈智能引擎可以将这些信息转化为真实的风险标签。有了真实的用户风险标签，SASE反馈智能可以通过这些标签来改进SASE风险评估中的机器学习/人工智能模块。它调用一个专门的模块来增强机器学习/人工智能的模型训练，并更新SASE风险评估的相关检测引擎（由虚线示意）。通过这种模型增强机制，SASE反馈智能可以列出并解释根据用户反馈所做的更改。用户（客户）可以轻松地查看它们。SASE反馈智能可以决定何时根据用户反馈来采取模型增强行动。如果反馈数量太少或不太紧急，可以在稍晚适当的时间做模型增强。对于使用用户反馈来增强机器学习/人工智能的模型训练，对于有监督学习和无监督学习模型，采用不同的做法：为了改进有监督机器学习模型，可以使用用户反馈中的真实标签来纠正现有的标签或将新记录添加到训练/测试集中。通过完全重新学习或增量学习，可以更新和改进得到的有监督学习模型，从而提升SASE风险评估的性能。而无监督学习则需要采用图3的架构才可以利用用户反馈得到提升。

在一些实施例中，根据所述用户反馈数据校正所述带异常标签的用户行为数据，获得带有增强标签的用户行为数据，包括：根据用户反馈数据具有的用户真实标签更正所述用户行为数据的异常标签。

如图3所示，为了保证上文叙述的构建带有增强标签的用户行为数据的准确性和多样性，故而通过用户反馈和模型融合技术来改进无监督学习异常行为检测模型的训练和预测过程，具体的，本实施例通过用户反馈的真实标签来纠正现有的标签或将新记录添加到训练/测试集中。还可以通过完全重新学习或增量学习来更新和改进得到的有监督学习模型，从而进一步提升SASE风险评估的性能，提高SASE风险评估的准确性和效率。

请参考图4，它展示了本申请实施例提供的利用用户反馈减少SASE风险误报的装置的结构框图，如图4所示，装置包括：

无监督学习模型训练模块410，用于：利用SASE的基于不同算法的无监督学习组件训练出多个无监督学习异常行为检测模型；

数据获取模块420，用于：获取SASE用户的历史行为数据；

行为预测模块430，用于：将由历史行为数据转换而成的特征向量输入多个基于不同算法的无监督学习异常行为检测模型中，获得多个第一检测结果；其中第一检测结果是指用户行为的异常程度；

结果融合模块440，用于：融合多个所述第一检测结果，获得第二检测结果，其中所述第二检测结果表征用户行为处于异常状态或正常状态；

第一数据模块450，用于：将第二检测结果作为异常标签，添加到特征向量中，获得带异常标签的用户行为数据；

第二数据模块460，用于：在接收到具有用户真实标签的用户反馈数据时，根据所述用户反馈数据校正所述带异常标签的用户行为数据，获得带有增强标签的用户行为数据；

有监督学习模型训练模块470，用于：利用SASE的有监督学习组件训练所述带有增强标签的用户行为数据，获得有监督学习异常行为检测模型；

检测模块480，用于：运用所述有监督学习异常行为检测模型对用户行为进行检测。

本实施例中，本发明实施例提供的利用用户反馈减少SASE风险误报的装置，通过SASE的基于不同算法的无监督学习组件训练出多个无监督学习异常行为检测模型，而后基于训练出的多个无监督学习异常行为检测模型来对SASE用户的历史行为数据进行异常行为检测，从而确定表征用户行为状态异常程度的第一检测结果，而后融合这些模型输出的第一检测结果，从而获得最终的第二检测结果，这个第二检测结果可以表征用户行为处于异常状态或正常状态，这始终比单个异常行为检测模型输出的检测结果更准确。由于用户反馈中提供的具有真实标签的反馈数据不能用于进一步改进 SASE 无监督学习的准确性，本发明采用有监督学习模型预测用户的异常行为。用于训练有监督学习模型的未标记的用户历史行为向量的异常标签来自融合的第二检测结果。在此基础上，结合用户反馈数据与带异常标签的用户行为数据，构建出带有增强标签的用户行为数据，进而依据有监督学习组件训练带有增强标签的用户行为数据，得到有监督学习异常行为检测模型。使用有监督学习替代传统的无监督学习来检测无监督学习目标（如异常的用户行为），本发明创新性地使用有监督学习异常行为检测模型代替传统的无监督学习异常行为检测模型做异常行为检测，使SASE异常行为检测和风险评估的准确度大幅度提高，减少了SASE产品的延迟，提升了SASE产品的竞争力。

在一些实施例中，第二数据模块，具体用于：获取SASE的用户反馈数据，其中用户反馈数据是指用户真实存在的异常行为或正常行为；将所述用户反馈数据转化为具有用户真实标签的用户反馈数据，其中用户真实标签用于表征用户行为是异常状态行为或正常状态行为。

在一些实施例中，结果融合模块，具体用于：采用投票的方式或加权投票的方式融合多个所述第一检测结果，获得第二检测结果。

在一些实施例中，第二数据模块，还用于：根据用户反馈数据具有的用户真实标签更正所述用户行为数据的异常标签。

本申请实施例中的利用用户反馈减少SASE风险误报的装置，与上述图1所示的利用用户反馈减少SASE风险误报的方法是基于同一构思下的发明，通过上述对利用用户反馈减少SASE风险误报的方法的详细描述，本领域技术人员可以清楚的了解本实施例中的利用用户反馈减少SASE风险误报的装置所包括的各个模块的实施过程，所以为了说明书的简洁，在此不再赘述。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。