[发明专利]一种流量异常检测方法、检测设备及计算机可读存储介质

权利要求书

1.一种流量异常检测方法，其特征在于，所述流量异常检测方法包括：

获取待测设备的网络流量；

对自编码器进行训练，直至所述自编码器收敛；

对所述网络流量进行预处理，生成包序列，揭示数据包之间的序列关系；

所述对所述网络流量进行预处理，生成包序列，具体包括：

针对所述网络流量中的每一个数据包，对该数据包进行向量化，生成若干个第一向量，使用数据包的原始字节作为特征，并使用深度学习自动化提取潜在特征；

所述针对所述网络流量中的每一个数据包，对该数据包进行向量化，生成若干个第一向量，具体包括：

根据数据包中的数据流入时间，对数据包中的数据进行排序，得到排序结果，根据排序结果中每一个数据的序号，将每一个数据包的字节进行排序整合，得到第一向量；

针对每一个所述第一向量，根据预设的修改规则，对该第一向量进行修改，生成第二向量；

对该第二向量进行归一化，生成第三向量；

根据所述第三向量，生成所述网络流量对应的若干个包序列；

所述根据所述第三向量，生成所述网络流量对应的若干个包序列，具体包括：

针对每一个所述数据包，根据该数据包对应的网络连接，确定与该数据包对应的样本矩阵；

依次将所述第三向量填入所述样本矩阵，生成所述网络流量对应的包序列；

所述针对每一个所述数据包，根据该数据包对应的网络连接，确定与所述第三向量对应的样本矩阵之前，还包括：

获取若干个终端设备的设备类型和各个所述终端设备的网络数据，其中，所述设备类型包括流数据类和控制类；

对同一设备类型的终端设备对应的五元组流进行采样，得到各个所述设备类型对应的流样本数量；

针对每一个所述设备类型，根据该设备类型对应的五元组流和流样本数量，计算该设备类型对应的矩阵长度；

根据所述矩阵长度，确定所述样本矩阵的大小；

针对每一个所述包序列，将该包序列输入与所述待测设备对应的检测模型中，并通过所述检测模型对该包序列进行编码和解码，得到该包序列对应的重构序列，其中，所述检测模型为与所述待测设备对应的自编码器；

根据所述重构序列，确定所述包序列对应的序列类型；

根据各个所述包序列对应的序列类型，确定所述网络流量对应的流量类型，判断所捕捉到的网络流量是否为异常流量。

2.根据权利要求1所述的流量异常检测方法，其特征在于，所述自编码器的训练过程包括：

获取若干个训练数据；

针对每一个所述训练数据，将该训练数据输入预设的自编码器中，所述自编码器对所述训练数据进行编码和解码，得到该训练数据对应的结果数据；

计算所述训练数据和所述结果数据之间的训练误差，并根据所述训练误差调整所述自编码器的参数，直至所述自编码器收敛。

3.根据权利要求2所述的流量异常检测方法，其特征在于，所述根据所述重构序列，确定所述包序列对应的序列类型，根据各个所述包序列对应的序列类型，确定所述网络流量对应的流量类型，具体包括：

计算所述包序列和所述重构序列之间的重构误差；

将所述重构误差输入异常点检测模型，并通过所述异常点检测模型根据所述重构误差，确定所述包序列对应的流量类型。

4.根据权利要求3所述的流量异常检测方法，其特征在于，所述将所述重构误差输入异常点检测模型，并通过所述异常点检测模型根据所述重构误差，确定所述包序列对应的流量类型之前，还包括：

将所述训练误差输入所述异常点检测模型，并通过所述异常点检测模型计算与所述训练误差对应的误差阈值。

5.根据权利要求4所述的流量异常检测方法，其特征在于，所述将所述重构误差输入异常点检测模型，并通过所述异常点检测模型根据所述重构误差，确定所述包序列对应的序列类型，具体包括：

将所述重构误差输入所述异常点检测模型，并通过所述异常点检测模型判断所述重构误差是否小于或等于所述误差阈值；

若是，则确定所述包序列对应的序列类型为正常序列；

若否，则确定所述包序列对应的序列类型为异常序列。