[发明专利]网络流量异常检测方法、电子设备及可读存储介质

权利要求书

1.一种网络流量异常检测方法，其特征在于，包括：

获取实时网络流量数据，并对所述实时网络流量数据进行第一预设处理，获取第一实时流量数据；

将所述第一实时流量数据输入目标深度单类概率模型，以通过进行端到端的数据分析，实现网络流量异常的实时检测；

其中，所述目标深度单类概率模型为一种单类深度神经网络模型，是预先通过对正常网络下的流量数据提取设定类型特征，并基于所述设定类型特征，在改进的深度单类模型损失函数下训练获取的；

在所述将所述第一实时流量数据输入目标深度单类概率模型之前，所述方法还包括训练所述目标深度单类概率模型的步骤，包括：

获取第一目标时间段内的第一网络流量数据，并对所述第一网络流量数据进行第一数据处理，获取正常网络下的第一有效网络数据；

搭建初始编码-解码深度网络模型，并基于第一损失函数，利用所述第一有效网络数据，训练所述初始编码-解码深度网络模型，直至训练收敛完成，获取目标编码-解码深度网络模型并提取所述第一有效网络数据的所述设定类型特征；

获取第二目标时间段内的第二网络流量数据，并对所述第二网络流量数据进行第二数据处理，获取正常网络下的第二有效网络数据；

基于所述目标编码-解码深度网络模型中编码层的架构和参数，搭建初始深度单类概率模型，并基于所述改进的深度单类模型损失函数，利用所述第二有效网络数据，训练所述初始深度单类概率模型，使所述第二有效网络数据在高维特征空间中向所述设定类型特征收缩，直至训练收敛完成，获取所述目标深度单类概率模型；

其中，通过引进exponential surrogate loss控制松弛变量，确定所述改进的深度单类模型损失函数如下：

其中，r为最小化球形包络半径，d_i为高维特征空间中第i个特征点至所述设定类型特征的距离，为初始深度单类概率模型，为的网络参数权重，x_i为的输入数据，c为最小化球形包络的中心，C为松弛变量，m为高维特征空间中特征点的总个数。

2.根据权利要求1所述的网络流量异常检测方法，其特征在于，所述获取所述目标深度单类概率模型，还包括：

通过计算所述高维特征空间中距离所述设定类型特征最远的特征点至所述设定类型特征的距离，获取所述高维特征空间的球形半径。

3.根据权利要求2所述的网络流量异常检测方法，其特征在于，所述通过进行端到端的数据分析，实现网络流量异常的实时检测，包括：

利用所述目标深度单类概率模型，提取所述第一实时流量数据的隐向量特征，并计算所述隐向量特征至所述设定类型特征的第一距离；

比较所述第一距离与所述球形半径，确定实时网络流量的异常情况。

4.根据权利要求1所述的网络流量异常检测方法，其特征在于，所述搭建初始编码-解码深度网络模型，并基于第一损失函数，利用所述第一有效网络数据，训练所述初始编码-解码深度网络模型，包括：

采用全连接网络架构，通过确定网络层数、神经元个数以及ReLu的激励函数，搭建所述初始编码-解码深度网络模型；

基于所述第一有效网络数据，获取第一训练样本，并基于所述第一训练样本，训练所述初始编码-解码深度网络模型，直至训练收敛完成，获取所述目标编码-解码深度网络模型。