本申請(qǐng)涉及網(wǎng)絡(luò)安全，尤其涉及一種異常流量檢測(cè)方法、裝置、設(shè)備、介質(zhì)及程序產(chǎn)品。

背景技術(shù)：

1、隨著物聯(lián)網(wǎng)、云計(jì)算和大數(shù)據(jù)技術(shù)的發(fā)展，網(wǎng)絡(luò)流量的復(fù)雜性和規(guī)模不斷增加，為了確保網(wǎng)絡(luò)安全，通過(guò)異常流量檢測(cè)技術(shù)，識(shí)別正常流量中的異常活動(dòng)，以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊等安全事件。

2、現(xiàn)有技術(shù)中，檢測(cè)異常流量的方法主要包括深度學(xué)習(xí)檢測(cè)方法和機(jī)器學(xué)習(xí)檢測(cè)方法。

3、然而，現(xiàn)有技術(shù)的檢測(cè)方法依賴(lài)于靜態(tài)規(guī)則和簽名對(duì)比，無(wú)法識(shí)別異常流量數(shù)據(jù)中復(fù)雜的流量特征，在面對(duì)未知攻擊或變種攻擊時(shí)存在誤報(bào)的情況，導(dǎo)致異常流量的檢測(cè)準(zhǔn)確率降低。

技術(shù)實(shí)現(xiàn)思路

1、本申請(qǐng)實(shí)施例提供一種異常流量檢測(cè)方法、裝置、設(shè)備、介質(zhì)及程序產(chǎn)品，用以解決現(xiàn)有技術(shù)中存在的異常流量的檢測(cè)準(zhǔn)確率降低的問(wèn)題。

2、第一方面，本申請(qǐng)實(shí)施例提供一種異常流量檢測(cè)方法，應(yīng)用于計(jì)算機(jī)設(shè)備，包括：

3、獲取異常流量數(shù)據(jù)，并根據(jù)所述異常流量數(shù)據(jù)創(chuàng)建異常流量數(shù)據(jù)集；

4、對(duì)所述異常流量數(shù)據(jù)集進(jìn)行預(yù)處理，得到預(yù)處理后的數(shù)據(jù)集；

5、將所述預(yù)處理后的數(shù)據(jù)集輸入詞向量預(yù)訓(xùn)練模型，以輸出動(dòng)態(tài)詞向量；

6、將所述動(dòng)態(tài)詞向量輸入雙向長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)模型，以輸出全局特征；

7、將所述動(dòng)態(tài)詞向量輸入雙向門(mén)控循環(huán)單元模型，以輸出局部特征；

8、根據(jù)所述全局特征和所述局部特征進(jìn)行特征融合，生成異常流量檢測(cè)結(jié)果；

9、輸出所述異常流量檢測(cè)結(jié)果。

10、在一種可能的實(shí)施方式中，所述雙向長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)模型包括前向長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)模型和后向長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)模型；所述將所述動(dòng)態(tài)詞向量輸入雙向長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)模型，以輸出全局特征，包括：將所述動(dòng)態(tài)詞向量輸入所述前向長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)模型，以輸出前向長(zhǎng)短時(shí)記憶序列；將所述動(dòng)態(tài)詞向量輸入所述后向長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)模型，以輸出后向長(zhǎng)短時(shí)記憶序列；將所述前向長(zhǎng)短時(shí)記憶序列和所述后向長(zhǎng)短時(shí)記憶序列進(jìn)行拼接，得到長(zhǎng)短時(shí)記憶輸出序列；將所述長(zhǎng)短時(shí)記憶輸出序列輸入全局注意力層，以輸出全局特征。

11、在一種可能的實(shí)施方式中，所述雙向門(mén)控循環(huán)單元模型包括前向門(mén)控循環(huán)單元模型和后向門(mén)控循環(huán)單元模型；所述將所述動(dòng)態(tài)詞向量輸入雙向門(mén)控循環(huán)單元模型，以輸出局部特征，包括：將所述動(dòng)態(tài)詞向量輸入所述前向門(mén)控循環(huán)單元模型，以輸出前向門(mén)控循環(huán)單元序列；將所述動(dòng)態(tài)詞向量輸入所述后向門(mén)控循環(huán)單元模型，以輸出后向門(mén)控循環(huán)單元序列；將所述前向門(mén)控循環(huán)單元序列和所述后向門(mén)控循環(huán)單元序列進(jìn)行拼接，得到門(mén)控循環(huán)單元序列；將所述門(mén)控循環(huán)單元序列輸入局部注意力層，以輸出局部特征。

12、在一種可能的實(shí)施方式中，所述根據(jù)所述全局特征和所述局部特征進(jìn)行特征融合，生成異常流量檢測(cè)結(jié)果，包括：根據(jù)所述全局特征生成全局特征矩陣；根據(jù)所述局部特征生成局部特征矩陣；將所述全局特征矩陣和所述局部特征矩陣進(jìn)行矩陣拼接，得到特征向量；將所述特征向量輸入分類(lèi)器，以輸出異常流量檢測(cè)結(jié)果。

13、在一種可能的實(shí)施方式中，所述將所述特征向量輸入分類(lèi)器，以輸出異常流量檢測(cè)結(jié)果的模型，為：

14、p＝softmax(w0v*+b0)

15、式中，p表示異常流量的預(yù)測(cè)概率；w0表示權(quán)重矩陣；v*表示特征向量；b0表示偏移量。

16、在一種可能的實(shí)施方式中，所述對(duì)所述異常流量數(shù)據(jù)集進(jìn)行預(yù)處理，得到預(yù)處理后的數(shù)據(jù)集，包括：根據(jù)嵌套字典對(duì)所述異常流量數(shù)據(jù)集進(jìn)行ip分組處理，得到分組后的數(shù)據(jù)集；獲取所述分組后的數(shù)據(jù)集中的衍生特征字段；根據(jù)預(yù)設(shè)的字段長(zhǎng)度對(duì)所述衍生特征字段進(jìn)行拼接，得到預(yù)處理后的數(shù)據(jù)集。

17、第二方面，本申請(qǐng)實(shí)施例提供一種異常流量檢測(cè)裝置，應(yīng)用于計(jì)算機(jī)設(shè)備，包括：

18、獲取模塊，用于獲取異常流量數(shù)據(jù)，并根據(jù)所述異常流量數(shù)據(jù)創(chuàng)建異常流量數(shù)據(jù)集；

19、預(yù)處理模塊，用于對(duì)所述異常流量數(shù)據(jù)集進(jìn)行預(yù)處理，得到預(yù)處理后的數(shù)據(jù)集；

20、第一輸出模塊，用于將所述預(yù)處理后的數(shù)據(jù)集輸入詞向量預(yù)訓(xùn)練模型，以輸出動(dòng)態(tài)詞向量；

21、第二輸出模塊，用于將所述動(dòng)態(tài)詞向量輸入雙向長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)模型，以輸出全局特征；

22、第三輸出模塊，用于將所述動(dòng)態(tài)詞向量輸入雙向門(mén)控循環(huán)單元模型，以輸出局部特征；

23、融合模塊，用于根據(jù)所述全局特征和所述局部特征進(jìn)行特征融合，生成異常流量檢測(cè)結(jié)果；

24、第四輸出模塊，用于輸出所述異常流量檢測(cè)結(jié)果。

25、第三方面，本申請(qǐng)實(shí)施例提供一種異常流量檢測(cè)設(shè)備，包括：

26、至少一個(gè)處理器和存儲(chǔ)器；

27、所述存儲(chǔ)器存儲(chǔ)計(jì)算機(jī)執(zhí)行指令；

28、所述至少一個(gè)處理器執(zhí)行所述存儲(chǔ)器存儲(chǔ)的計(jì)算機(jī)執(zhí)行指令，使得所述至少一個(gè)處理器執(zhí)行如上第一方面和/或第一方面各種可能的實(shí)施方式。

29、第四方面，本申請(qǐng)實(shí)施例提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中存儲(chǔ)有計(jì)算機(jī)執(zhí)行指令，所述計(jì)算機(jī)執(zhí)行指令被處理器執(zhí)行時(shí)用于實(shí)現(xiàn)如上第一方面和/或第一方面各種可能的實(shí)施方式。

30、第五方面，本申請(qǐng)實(shí)施例提供一種計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)程序，該計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如上第一方面和/或第一方面各種可能的實(shí)施方式。

31、本申請(qǐng)實(shí)施例提供的異常流量檢測(cè)方法、裝置、設(shè)備、介質(zhì)及程序產(chǎn)品，通過(guò)詞向量預(yù)訓(xùn)練模型將預(yù)處理的數(shù)據(jù)集進(jìn)行文本向量化，獲取數(shù)據(jù)流量中的動(dòng)態(tài)詞向量，通過(guò)雙向的長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)模型和雙向的門(mén)控循環(huán)單元模型處理詞向量，輸出全局特征和局部特征，并對(duì)全局特征和局部特征進(jìn)行特征融合，生成異常流量檢測(cè)結(jié)果，與現(xiàn)有技術(shù)相比，通過(guò)構(gòu)建詞向量預(yù)訓(xùn)練模型獲取動(dòng)態(tài)詞向量，避免了現(xiàn)有技術(shù)依賴(lài)于靜態(tài)規(guī)則和簽名對(duì)比的問(wèn)題；利用雙向的長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)模型和門(mén)控循環(huán)單元模型處理動(dòng)態(tài)詞向量，避免了傳統(tǒng)長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)模型單向讀取文本的問(wèn)題，提高了異常流量的檢測(cè)準(zhǔn)確率。

技術(shù)特征：

1.一種異常流量檢測(cè)方法，其特征在于，應(yīng)用于計(jì)算機(jī)設(shè)備，包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述雙向長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)模型包括前向長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)模型和后向長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)模型；所述將所述動(dòng)態(tài)詞向量輸入雙向長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)模型，以輸出全局特征，包括：

3.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述雙向門(mén)控循環(huán)單元模型包括前向門(mén)控循環(huán)單元模型和后向門(mén)控循環(huán)單元模型；所述將所述動(dòng)態(tài)詞向量輸入雙向門(mén)控循環(huán)單元模型，以輸出局部特征，包括：

4.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述根據(jù)所述全局特征和所述局部特征進(jìn)行特征融合，生成異常流量檢測(cè)結(jié)果，包括：

5.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述將所述特征向量輸入分類(lèi)器，以輸出異常流量檢測(cè)結(jié)果的模型，為：

6.根據(jù)權(quán)利要求1至5任一項(xiàng)所述的方法，其特征在于，所述對(duì)所述異常流量數(shù)據(jù)集進(jìn)行預(yù)處理，得到預(yù)處理后的數(shù)據(jù)集，包括：

7.一種異常流量檢測(cè)裝置，其特征在于，應(yīng)用于計(jì)算機(jī)設(shè)備，包括：

8.一種異常流量檢測(cè)設(shè)備，其特征在于，包括：至少一個(gè)處理器和存儲(chǔ)器；

9.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其特征在于，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中存儲(chǔ)有計(jì)算機(jī)執(zhí)行指令，所述計(jì)算機(jī)執(zhí)行指令被處理器執(zhí)行時(shí)用于實(shí)現(xiàn)如權(quán)利要求1至6任一項(xiàng)所述的異常流量檢測(cè)方法。

10.一種計(jì)算機(jī)程序產(chǎn)品，其特征在于，包括計(jì)算機(jī)程序，該計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)權(quán)利要求1至6任一項(xiàng)所述的異常流量檢測(cè)方法。

技術(shù)總結(jié)
本申請(qǐng)實(shí)施例提供一種異常流量檢測(cè)方法、裝置、設(shè)備、介質(zhì)及程序產(chǎn)品，應(yīng)用于計(jì)算機(jī)設(shè)備，包括：獲取異常流量數(shù)據(jù)，并根據(jù)異常流量數(shù)據(jù)創(chuàng)建異常流量數(shù)據(jù)集；對(duì)異常流量數(shù)據(jù)集進(jìn)行預(yù)處理，得到預(yù)處理后的數(shù)據(jù)集；將預(yù)處理后的數(shù)據(jù)集輸入詞向量預(yù)訓(xùn)練模型，以輸出動(dòng)態(tài)詞向量；將動(dòng)態(tài)詞向量輸入雙向長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)模型，以輸出全局特征；將動(dòng)態(tài)詞向量輸入雙向門(mén)控循環(huán)單元模型，以輸出局部特征；根據(jù)全局特征和局部特征進(jìn)行特征融合，生成異常流量檢測(cè)結(jié)果；輸出異常流量檢測(cè)結(jié)果，提高了異常流量的檢測(cè)準(zhǔn)確率。

技術(shù)研發(fā)人員：李志惠,陳宇航,肖召紅,張坤博,于城,王智明,李安坤
受保護(hù)的技術(shù)使用者：中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/5/15