[发明专利]异常网络流量的检测方法、装置、设备及存储介质

权利要求书

1.一种异常网络流量的检测方法，其特征在于，包括：

对待检测网络进行流量采集，并对采集到的网络流量进行特征提取，得到待检测流量特征；

将所述待检测流量特征与预先设置好的正常流量特征进行比较；其中，所述正常流量特征是利用深度学习算法对历史时间段内的流量特征进行分析得到的；

基于比较结果，从采集到的网络流量中确定出异常网络流量，并将所述异常网络流量放行至预先设置好的多个沙箱空间中；其中，每个所述沙箱空间均至少与一个其它沙箱空间具有通信链路；

基于所述沙箱空间的网络交互数据，构建网络结构图；其中，所述网络交互数据包括通信链路和网络入侵行为的类型，所述网络结构图包括第一节点和第二节点，所述第一节点为所有所述沙箱空间中最快产生网络入侵行为的沙箱空间，所述第二节点为与所述第一节点存在相关性的沙箱空间，所述第一节点和所述第二节点之间以及所述第二节点和所述第二节点之间的边关系为通信链路；

对所述网络结构图进行社区发现处理，得到异常沙箱空间集合；

所述基于所述沙箱空间的网络交互数据，构建网络结构图，包括：

获取第一沙箱空间的网络交互数据；其中，所述第一沙箱空间为所述第一节点；

将与所述第一沙箱空间具有通信链路的沙箱空间确定为第二沙箱空间；

将与所述第一沙箱空间具有相同的网络入侵行为的类型且与所述第二沙箱空间具有通信链路的沙箱空间确定为第三沙箱空间；其中，所述第二节点包括所述第二沙箱空间和所述第三沙箱空间；

在所述构建网络结构图之后和在所述对所述网络结构图进行社区发现处理之前，还包括：

将所述网络结构图中的所述第一沙箱空间、所述第二沙箱空间和所述第三沙箱空间的标签分别标记为第一标签、第二标签和第三标签；

所述对所述网络结构图进行社区发现处理，得到异常沙箱空间集合，包括：

基于所述第一标签、所述第二标签和所述第三标签，对所述网络结构图进行社区发现处理，得到至少一个社区网络；

利用预先训练好的识别模型对至少一个所述社区网络进行识别，得到异常沙箱空间集合；

所述基于所述第一标签、所述第二标签和所述第三标签，对所述网络结构图进行社区发现处理，得到至少一个社区网络，包括：

针对所述网络结构图中的每个节点，按照如下步骤重复执行预设次数：

将当前节点确定为接收节点；

将所述接收节点的邻居节点存储的标签中数量最多的标签发送给所述接收节点；

将所述接收节点接收到的数量占比最多的标签作为所述接收节点新的标签并对所述新的标签进行存储；

在重复执行预设次数后，针对所述网络结构图中的每个节点，将当前节点中存储的数量占比大于预设比例阈值的标签作为当前节点的标签；

将标签相同的节点确定为构成同一个社区网络的节点；

所述利用预先训练好的识别模型对至少一个所述社区网络进行识别，包括：

基于每个所述社区网络中的所有节点的标签信息，确定当前社区网络的标签分析类目；

将当前社区网络的标签分析类目输入到预先训练好的识别模型中，得到识别结果。

2.根据权利要求1所述的方法，其特征在于，所述将所述待检测流量特征与预先设置好的正常流量特征进行比较，包括：

基于采集到的网络流量的采集时间，确定该网络流量的所属时间段；

将所述待检测流量特征与预先设置好的该网络流量的所属时间段对应的正常流量特征进行比较。

3.根据权利要求1所述的方法，其特征在于，所述标签分析类目包括如下至少一种：

所述第二标签的数量与所有标签数量的比值；

所述第二标签与第二标签和第三标签之和的比值；

所述第二标签和第三标签之和与所有标签数量的比值。