一種網絡流量異常檢測方法、裝置、設備及介質，該網絡流量異常檢測方法包括：接收網絡報文，根據所述網絡報文生成第一特征信息，將所述第一特征信息輸入預先訓練得到的自編碼器網絡模型，得到第一輸出值，以及，根據所述自編碼器網絡模型的輸出和輸入的誤差信息與所述網絡報文生成第二特征信息，將所述第二特征信息輸入預先訓練得到的長短期記憶網絡模型，得到至少一個第二輸出值，將所述第一輸出值和第二輸出值輸入到預先訓練得到的異常檢測器，輸出所述網絡報文是否異常的判斷結果。本實施例提供的方案，綜合了自編碼器網絡模型的當前預測效果好和長短期記憶網絡模型基于歷史的預測效果好的優點，具有較好的預測效果。

技術領域

本文涉及網絡安全領域，涉及一種網絡流量異常檢測方法、裝置及設備、介質。

背景技術

據中國互聯網絡信息中心(CNNIC)統計，到2018年，我國網民數量達8.11億，已成為全球最大的互聯網國家。然而，病毒感染、網絡攻擊等安全事件在我國時有發生，網絡詐騙、信息泄露等威脅依然沒有得到有效解決，關鍵信息基礎設施防護、物聯網安全、勒索病毒傳播、僵尸網絡肆虐等問題日漸突出，我國網絡安全態勢依然嚴峻復雜。本文基于異常流量的發現和分析，對網絡攻擊檢測技術進行研究，旨在進一步提高網絡攻擊檢測模型在真實環境中的準確性。流量異常檢測分為誤用檢測和異常檢測。誤用檢測對已知的攻擊行為檢測效果比較好，但是不能檢測未知的攻擊或者可以描述為新的攻擊。由于網絡變換快，必須要能檢測未知的攻擊，所以有必要對異常檢測。

表1：誤用檢測和異常檢測的對比

發明內容

本申請提供了一種網絡流量異常檢測方法、裝置及設備、介質，實現異常檢測。

本申請提供了一種網絡流量異常檢測方法，包括：

接收網絡報文，根據所述網絡報文生成第一特征信息，將所述第一特征信息輸入預先訓練得到的自編碼器網絡模型，得到第一輸出值，以及，根據所述自編碼器網絡模型的輸出和輸入的誤差信息與所述網絡報文生成第二特征信息，將所述第二特征信息輸入預先訓練得到的長短期記憶網絡模型，得到至少一個第二輸出值，將所述第一輸出值和第二輸出值輸入到預先訓練得到的異常檢測器，輸出所述網絡報文是否異常的判斷結果。

在一實施例中，所述根據所述網絡報文生成第一特征信息包括：

根據當前接收到的網絡報文及之前已接收到的網絡報文的統計信息生成初始特征信息，將所述初始特征信息進行降維得到所述第一特征信息。

在一實施例中，所述對所述初始特征信息進行降維包括：使用深度信念網絡對所述初始特征信息進行降維。

在一實施例中，根據所述自編碼器網絡模型的輸出和輸入的誤差信息與所述網絡報文生成第二特征信息包括：

將所述自編碼器網絡模型的輸出和輸入的誤差信息加入所述初始特征信息，得到所述第二特征信息。

在一實施例中，所述自編碼器網絡模型的輸出和輸入的誤差信息為所述輸出和輸入的均方根誤差或者均方誤差。

在一實施例中，將所述第一輸出值和第二輸出值輸入到預先訓練得到的異常檢測器，輸出所述網絡報文是否異常的判斷結果包括：

將所述第一輸出值和所述第二輸出值輸入到預先訓練得到的判別公式，將所述判別公式的輸出與訓練得到的閾值進行比較，根據比較結果確定所述網絡報文是否異常。

在一實施例中，所述判別公式為：其中，y₀為所述自編碼器網絡模型的輸出，y_i為所述長短期記憶網絡模型輸出的不同時刻的輸出值，0p1，n為自然數。

在一實施例中，所述方法還包括：