[发明专利]使用深度递归神经网络的上下文感知特征嵌入和序列日志数据的异常检测

权利要求书

1.一种方法，包括：

生成与网络分组的序列对应的实际密集特征向量的序列，其中实际密集特征向量的序列的每个特征向量表示网络分组的序列中的相应网络分组；

递归神经网络(RNN)基于实际密集特征向量的序列来生成表示网络分组的序列的预测的密集特征向量的序列；

基于预测的密集特征向量的序列来处理网络分组的序列。

2.如权利要求1所述的方法，其中：

生成实际密集特征向量的序列包括：

生成与网络分组的序列对应的实际未经处理特征向量的序列，以及

将实际未经处理特征向量的序列编码为实际密集特征向量的序列；

实际未经处理特征向量的序列的每个特征向量具有比实际密集特征向量的序列的对应特征向量更多的位。

3.如权利要求2所述的方法，其中对实际未经处理特征向量的序列进行编码包括至少通过人工神经网络(ANN)的第一神经层进行处理，该第一神经层完全连接到所述ANN的第二神经层。

4.如权利要求3所述的方法，其中ANN包括自动编码器。

5.如权利要求2所述的方法，其中：

所述方法还包括通过对预测的密集特征向量的序列进行解码来生成预测的未经处理特征向量的序列；

预测的未经处理特征向量的序列的每个特征向量具有比预测的密集特征向量的序列的对应特征向量更多的位；

所述处理网络分组的序列包括：

基于实际未经处理特征向量的序列和预测的未经处理特征向量的序列，为网络分组的序列生成异常分数；

基于异常分数来处理网络分组的序列。

6.如权利要求5所述的方法，其中为网络分组的序列生成异常分数包括将实际未经处理特征向量的序列与预测的未经处理特征向量的序列进行比较。

7.如权利要求5所述的方法，其中：

RNN包括递归步骤的序列；

RNN生成预测的密集特征向量的序列包括对于实际密集特征向量的序列的每个当前特征向量：

将当前特征向量输入递归步骤的序列的对应递归步骤；

由所述对应递归步骤生成下一个预测的密集特征向量，该下一个预测的密集特征向量近似于在实际密集特征向量的序列中在当前特征向量之后出现的下一个实际密集特征向量；

通过对所述下一个预测的密集特征向量进行解码来生成预测的未经处理特征向量的所述序列的下一个预测的未经处理特征向量；以及

将下一个预测的未经处理特征向量与实际未经处理特征向量的所述序列的下一个实际未经处理特征向量进行比较，以生成针对网络分组的序列的下一个实际分组的个体异常分数；

针对网络分组的序列的异常分数基于为实际未经处理特征向量的序列生成的个体异常分数。

8.如权利要求5所述的方法，其中针对网络分组的序列的异常分数基于以下中的至少一种统计数据：最小值、最大值、或者算术或几何平均值。

9.如权利要求5所述的方法，其中所述基于异常分数来处理网络分组的序列包括警告网络攻击。

10.如权利要求9所述的方法，其中警告网络攻击包括检测到异常分数超过阈值。

11.如权利要求9所述的方法，其中网络攻击包括以下中的至少一个：HTTP拒绝服务、蛮力安全外壳(SSH)或SNMP反射放大。

12.如权利要求2所述的方法，其中实际未经处理特征向量的序列的每个特征向量基本上由固定量的位组成。

13.如权利要求12所述的方法，其中从由所述特征向量表示的网络分组的序列的相应网络分组中复制固定量的位。