[发明专利]一种网络异常检测方法、装置及存储介质

说明书

本发明公开了一种网络异常检测方法、装置及存储介质，属于网络安全领域。一种网络异常检测方法，包括以下步骤：定义正常节点时间序列特征与异常节点时间序列特征，利用网络模型学习正常节点时间序列特征分布；根据异常节点时间特征分布模型，优化正常节点时间特征分布；所述网络模型择一地为检测节点标记正常标签或异常标签；根据优化正常节点时间特征分布的结果以及定义的正常节点时间序列特征，评估所述正常标签的准确度；构建节点之间的关联子图，利用随机游走更新节点标签的准确度。

技术领域

本发明涉及网络安全领域，具体涉及一种网络异常检测方法、装置及存储介质。

背景技术

异常检测通过分析网络流量，检测出发起异常攻击的源节点(异常节点)，为从源头上抑制网络攻击行为提供重要依据，是维护网络安全的重要方法。传统的网络运维方法是基于固定的脚本和阈值的，因而难以适应如今海量、复杂、多变的大规模网络环境，无法根据网络态势动态调整阈值、发现异常节点。异常检测能够通过机器学习的方法，快速地从海量数据中发现与大多数正常数据不同的异常数据，已被广泛应用于多个领域。面对持续的、海量的网络流量，极少量的、变化多端的异常节点在大多数情况下表现正常、难以检测。

发明内容

针对现有技术的不足，本发明提出了一种网络异常检测方法、装置及存储介质。

本发明的目的可以通过以下技术方案实现：

一种网络异常检测方法，包括以下步骤：

步骤1：定义正常节点时间序列特征与异常节点时间序列特征，利用网络模型学习正常节点时间序列特征分布；

步骤2：根据异常节点时间特征分布模型，优化正常节点时间特征分布；所述网络模型择一地为检测节点标记正常标签或异常标签；

步骤3：根据优化正常节点时间特征分布的结果以及定义的正常节点时间序列特征，评估所述正常标签的准确度；

步骤4：构建节点之间的关联子图，利用随机游走更新节点标签的准确度。

可选地，所述正常节点时间序列特征与异常节点时间序列特征具有相同尺寸的时间窗口。

可选地，在所述步骤1中，所述网络模型训练捕获正常节点时间序列特征分布的生成器与能够将所述正常节点时间序列特征映射为生成器的数据组合，以及真实数据的组合，加入判别器中，获得能够捕获正常节点行为的训练模型。

可选地，在所述步骤2中，根据所述异常节点时间序列特征组成的真实数据组合与所述生成器的数据组合，获得能够捕获异常节点行为的训练模型；将所述的能够捕获异常节点行为的训练模型与能够捕获正常节点行为的训练模型整合为目标函数。

可选地，构建关联子图的步骤包括：

根据历史数据集的发生攻击的节点连接关系，筛选异常节点；

训练所述历史数据集的注意力模型，计算所述异常节点的时间间隙权重，提取时间间隙最大的连接关系，构建所述关联子图。

可选地，通过编码器获得所述的能够将所述正常节点时间序列特征映射为生成器的数据。

可选地，所述网络模型配置为采用长短记忆网络网络结构。

可选地，所述游走的方式包括正向连接、反向连接与自连接。

一种计算机可读的存储介质，存储有指令，所述指令被处理器执行所述指令时用于实现上述任一网络异常检测方法。

一种网络异常检测装置，包括处理器与存储器，所述存储器存储指令，所述处理器能够执行所述存储器的指令，实现上述任一网络异常检测方法。

本发明的技术效果：