[发明专利]网络流量监控设备和异常流量检测方法

权利要求书

1.一种网络流量监控设备，其特征在于，包括网络接口、存储器和处理器；

所述网络接口，被配置为获取网络流量数据；

所述存储器，被配置为存储所述网络流量监控设备所使用的程序或数据；

所述处理器，被配置为若所述网络流量数据中包含异常数据，将所述异常数据输入攻击检测网络集合；所述攻击检测网络集合中包括至少一个攻击检测网络；根据所述攻击检测网络集合输出的检测结果，确定所述异常数据的攻击类型；

所述处理器，还被配置为：将同一个基础攻击检测网络分别发送至训练集群中的每个训练节点，以使每个训练节点将攻击检测训练数据集中的训练数据作为输入，将所述训练数据的攻击类型作为输出，对所述基础攻击检测网络进行训练；所述训练数据带有预先标注的攻击类型标签；

将每个训练节点返回的模型参数的平均值，作为所述基础攻击检测网络的模型参数，得到攻击检测中间网络；

采用攻击检测测试数据集对所述攻击检测中间网络进行检验；

若检验未通过，将所述攻击检测中间网络发送至训练集群中的每个训练节点继续训练；

若检验通过，将所述攻击检测中间网络作为已训练的攻击检测网络。

2.如权利要求1所述的网络流量监控设备，其特征在于，所述攻击检测网络集合中包括多个攻击检测网络，每个攻击检测网络用于检测至少一种攻击类型，每个攻击检测网络所检测的攻击类型互不相同；

所述处理器，还被配置为：将所述异常数据并行输入每个所述攻击检测网络。

3.如权利要求1所述的网络流量监控设备，其特征在于，所述处理器，还被配置为：对所述攻击检测中间网络进行检验之后，若检验未通过，并且检验未通过的次数达到设定次数或训练时长达到设定时长，输出训练失败提示；

根据用户指令减少所述攻击检测训练数据集的训练数据，减少的训练数据均带有相同的攻击类型标签；

将减少训练数据后的攻击检测训练数据集发送至每个训练节点，以使每个训练节点采用减少训练数据后的攻击检测训练数据集继续对所述攻击检测中间网络进行训练。

4.如权利要求1所述的网络流量监控设备，其特征在于，所述处理器，还被配置为：

通过异常检测模型确定获取的网络流量数据中是否包含异常数据。

5.一种异常流量检测方法，其特征在于，包括：

若网络流量数据中包含异常数据，将所述异常数据输入攻击检测网络集合；所述攻击检测网络集合中包括至少一个攻击检测网络；

根据所述攻击检测网络集合输出的检测结果，确定所述异常数据的攻击类型；

通过下列方式对所述攻击检测网络集合中的攻击检测网络进行训练：

将同一个基础攻击检测网络分别发送至训练集群中的每个训练节点，以使每个训练节点将攻击检测训练数据集中的训练数据作为输入，将所述训练数据的攻击类型标签作为输出，对所述基础攻击检测网络进行训练；

将每个训练节点返回的模型参数的平均值，作为所述基础攻击检测网络的模型参数，得到攻击检测中间网络；

采用攻击检测测试数据集对所述攻击检测中间网络进行检验；

若检验未通过，将所述攻击检测中间网络发送至训练集群中的每个训练节点继续训练；

若检验通过，将所述攻击检测中间网络作为已训练的攻击检测网络。

6.如权利要求5所述的方法，其特征在于，所述攻击检测网络集合中包括多个攻击检测网络，每个攻击检测网络用于检测至少一种攻击类型，每个攻击检测网络所检测的攻击类型互不相同；

所述将所述异常数据输入攻击检测网络集合，包括：

将所述异常数据并行输入每个所述攻击检测网络。