[发明专利]一种网络异常检测方法、装置及存储介质

权利要求书

1.一种网络异常检测方法，其特征在于，包括以下步骤：

步骤1：定义正常节点时间序列特征与异常节点时间序列特征，利用网络模型学习正常节点时间序列特征分布；

步骤2：根据异常节点时间特征分布模型，优化正常节点时间特征分布；所述网络模型择一地为检测节点标记正常标签或异常标签；

步骤3：根据优化正常节点时间特征分布的结果以及定义的正常节点时间序列特征，评估所述正常标签的准确度；

步骤4：构建节点之间的关联子图，利用随机游走更新节点标签的准确度。

2.根据权利要求1所述的网络异常检测方法，其特征在于，所述正常节点时间序列特征与异常节点时间序列特征具有相同尺寸的时间窗口。

3.根据权利要求1所述的网络异常检测方法，其特征在于，在所述步骤1中，所述网络模型训练捕获正常节点时间序列特征分布的生成器与能够将所述正常节点时间序列特征映射为生成器的数据组合，以及真实数据的组合，加入判别器中，获得能够捕获正常节点行为的训练模型。

4.根据权利要求3所述的网络异常检测方法，其特征在于，在所述步骤2中，根据所述异常节点时间序列特征组成的真实数据组合与所述生成器的数据组合，获得能够捕获异常节点行为的训练模型；将所述的能够捕获异常节点行为的训练模型与能够捕获正常节点行为的训练模型整合为目标函数。

5.根据权利要求1所述的网络异常检测方法，其特征在于，构建关联子图的步骤包括：

根据历史数据集的发生攻击的节点连接关系，筛选异常节点；

训练所述历史数据集的注意力模型，计算所述异常节点的时间间隙权重，提取时间间隙最大的连接关系，构建所述关联子图。

6.根据权利要求2所述的网络异常检测方法，其特征在于，通过编码器获得能够将所述正常节点时间序列特征映射为生成器的数据。

7.根据权利要求1所述的网络异常检测方法，其特征在于，所述网络模型配置为采用长短记忆网络网络结构。

8.根据权利要求1所述的网络异常检测方法，其特征在于，所述游走的方式包括正向连接、反向连接与自连接。

9.一种计算机可读的存储介质，存储有指令，其特征在于，所述指令被处理器执行时用于实现权利要求1～8中任一所述的网络异常检测方法。

10.一种网络异常检测装置，包括处理器与存储器，所述存储器存储指令，其特征在于，所述处理器能够执行所述存储器的指令，实现权利要求1～8中任一所述的网络异常检测方法。