[发明专利]一种异常流量检测方法、装置、电子设备及存储介质

权利要求书

1.一种异常流量检测方法，其特征在于，包括：

获取流量数据，并根据所述流量数据的协议类型对所述流量数据进行字段提取，获得字段数据；

对所述字段数据进行分词，获得分词后的词语，并对所述分词后的词语进行向量化，获得分词向量；

使用预先训练的无监督神经网络模型对所述分词向量进行重构，获得重构向量；

判断所述重构向量与所述分词向量的相似度是否小于预设阈值；

若是，则将所述流量数据确定为异常流量。

2.根据权利要求1所述的方法，其特征在于，所述无监督神经网络模型包括：编码器、隐藏层和解码器；所述使用预先训练的无监督神经网络模型对所述分词向量进行重构，包括：

使用所述编码器对所述分词向量进行编码运算，获得编码向量；

使用所述隐藏层对所述编码向量进行随机采样，获得采样向量；

使用所述解码器对所述采样向量进行解码运算，获得所述重构向量。

3.根据权利要求1所述的方法，其特征在于，所述将所述流量数据确定为异常流量，包括：

判断所述流量数据对应的数据信息是否在白名单中，所述流量数据是网络防火墙经过检测并确认不存在异常的数据；

若否，则将所述流量数据发送给终端设备，并根据所述数据信息更新所述网络防火墙中的异常匹配规则。

4.根据权利要求3所述的方法，其特征在于，在所述将所述流量数据发送给终端设备之后，还包括：

在所述终端设备对应的安全人员确认所述流量数据不是异常流量之后，将所述流量数据对应的数据信息添加至所述白名单。

5.根据权利要求3所述的方法，其特征在于，所述根据所述数据信息更新所述网络防火墙中的异常匹配规则，包括：

在所述终端设备对应的安全人员确认所述流量数据是异常流量之后，向所述网络防火墙发送所述数据信息，以使所述网络防火墙更新所述异常匹配规则。

6.根据权利要求1-5任一所述的方法，其特征在于，在所述将所述流量数据确定为异常流量之后，还包括：

根据所述流量数据的历史参考数据和所述历史参考数据对应的异常结果计算出所述历史参考数据的准确率和误报率；

若所述准确率小于第一预设比例，或者，所述误报率大于第二预设比例，则再次对所述无监督神经网络模型进行训练。

7.根据权利要求6所述的方法，其特征在于，所述对所述无监督神经网络模型进行训练，包括：

对所述历史参考数据进行字段提取和分词，获得字段分词结果；

使用所述无监督神经网络模型中的编码器对所述字段分词结果进行编码，获得编码结果；

使用所述无监督神经网络模型中的隐藏层对所述编码结果进行随机采样，获得采样结果；

使用所述无监督神经网络模型中的解码器对所述采样结果进行解码，获得解码结果；

计算所述编码结果与所述解码结果之间的损失值，并根据所述损失值对所述编码器中的参数和所述解码器中的参数进行更新。

8.一种异常流量检测装置，其特征在于，包括：

字段数据获得模块，用于获取流量数据，并根据所述流量数据的协议类型对所述流量数据进行字段提取，获得字段数据；

分词向量获得模块，用于对所述字段数据进行分词，获得分词后的词语，并对所述分词后的词语进行向量化，获得分词向量；

重构向量获得模块，用于使用预先训练的无监督神经网络模型对所述分词向量进行重构，获得重构向量；

向量相似判断模块，用于判断所述重构向量与所述分词向量的相似度是否小于预设阈值；

异常流量确定模块，用于若所述重构向量与所述分词向量的相似度小于预设阈值，则将所述流量数据确定为异常流量。

9.一种电子设备，其特征在于，包括：处理器和存储器，所述存储器存储有所述处理器可执行的机器可读指令，所述机器可读指令被所述处理器执行时执行如权利要求1至7任一所述的方法。

10.一种存储介质，其特征在于，该存储介质上存储有计算机程序，该计算机程序被处理器运行时执行如权利要求1至7任一所述的方法。