本申請(qǐng)涉及一種網(wǎng)絡(luò)異常檢測(cè)方法、系統(tǒng)、終端以及存儲(chǔ)介質(zhì)。包括：采用n?gram模型對(duì)網(wǎng)絡(luò)流量進(jìn)行向量轉(zhuǎn)換，得到所述網(wǎng)絡(luò)流量的向量矩陣；采用長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)及雙向門(mén)控循環(huán)單元對(duì)所述網(wǎng)絡(luò)流量的向量矩陣進(jìn)行時(shí)空特征提取，得到所述網(wǎng)絡(luò)流量的隱狀態(tài)；通過(guò)人工特征提取器提取所述網(wǎng)絡(luò)流量的人工特征，并對(duì)所述人工特征進(jìn)行時(shí)空特征提取，得到所述人工特征的隱狀態(tài)；將所述網(wǎng)絡(luò)流量的隱狀態(tài)與所述人工特征的隱狀態(tài)進(jìn)行拼接后，輸入深度神經(jīng)網(wǎng)絡(luò)進(jìn)行所述網(wǎng)絡(luò)流量的分類(lèi)預(yù)測(cè)，根據(jù)所述預(yù)測(cè)結(jié)果判定網(wǎng)絡(luò)流量是否異常。本申請(qǐng)使用融合的特征進(jìn)行模型的建模，能夠更好地表示網(wǎng)絡(luò)流量，增加了模型預(yù)測(cè)效果的上限，可以達(dá)到更好的分類(lèi)效果。

技術(shù)領(lǐng)域

本申請(qǐng)屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種網(wǎng)絡(luò)異常檢測(cè)方法、系統(tǒng)、終端以及存儲(chǔ)介質(zhì)。

背景技術(shù)

根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的第45次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告，截止2020年3月，我國(guó)網(wǎng)民規(guī)模突破九億，互聯(lián)網(wǎng)普及率達(dá)64.5％。但隨著網(wǎng)絡(luò)技術(shù)的蓬勃發(fā)展，網(wǎng)絡(luò)安全事件也層出不窮。據(jù)深信服科技報(bào)告，惡意軟件在2019年表現(xiàn)非常活躍，病毒感染、勒索軟件、網(wǎng)絡(luò)攻擊等惡意行為層出不窮。當(dāng)前網(wǎng)絡(luò)安全威脅非常嚴(yán)峻，如果能在網(wǎng)絡(luò)入侵的早期發(fā)現(xiàn)這些異常的網(wǎng)絡(luò)流量，并對(duì)其進(jìn)行攔截，就可以有效減少網(wǎng)絡(luò)入侵事件的發(fā)生，增加信息系統(tǒng)的穩(wěn)定性。網(wǎng)絡(luò)異常檢測(cè)系統(tǒng)，正是被用于解決這個(gè)問(wèn)題的，它的目的是識(shí)別出網(wǎng)絡(luò)流量中不符合正常行為模式的網(wǎng)絡(luò)流量。

目前，網(wǎng)絡(luò)異常檢測(cè)技術(shù)可以分為兩類(lèi)：

一、基于指紋的(Signature-based)檢測(cè)方法：它的原理是分析已知異常的流量數(shù)據(jù)，從中提取出特定的字符串模式，以此為基礎(chǔ)建立異常流量指紋數(shù)據(jù)庫(kù)。當(dāng)發(fā)現(xiàn)新的網(wǎng)絡(luò)流量時(shí)將該流量與數(shù)據(jù)庫(kù)中的指紋一一對(duì)比，一旦發(fā)現(xiàn)含有惡意流量的指紋，即可判定當(dāng)前流量為異常。基于指紋的檢測(cè)方法是一種比較成熟的檢測(cè)方法，這種方法準(zhǔn)確率高，但是它需要經(jīng)驗(yàn)豐富的專(zhuān)家來(lái)提取指紋，且需要長(zhǎng)期維護(hù)指紋數(shù)據(jù)庫(kù)，隨著異常流量越來(lái)越多，日益臃腫的指紋數(shù)據(jù)庫(kù)必然會(huì)影響網(wǎng)絡(luò)異常檢測(cè)的速度；再者，該方法只能識(shí)別已知的惡意攻擊，無(wú)法應(yīng)對(duì)未知的新攻擊，例如0day漏洞檢測(cè)等。

二、基于異常的(Anomaly-based)檢測(cè)方法：基于異常的檢測(cè)方法是當(dāng)前ADS的主流研究方向。該方法的核心思想是為合法的用戶(hù)行為建立可信的活動(dòng)模型，然后將該模型用于計(jì)算新行為滿(mǎn)足合法行為的概率，如果得分越低，說(shuō)明該行為有可能是異常行為。建立模型的方法往往使用了數(shù)理統(tǒng)計(jì)、數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)等知識(shí)。該方法可以檢測(cè)未知的網(wǎng)絡(luò)流量，但是如何建立一個(gè)有效的、誤警率低、漏報(bào)率低的模型，一直是一個(gè)挑戰(zhàn)。

基于異常的檢測(cè)方法，目前也存在大量的研究工作。但為了使用機(jī)器學(xué)習(xí)等方法訓(xùn)練分類(lèi)器，必須先將網(wǎng)絡(luò)流量轉(zhuǎn)換成一組向量表示，而這部分目前往往是由人工實(shí)現(xiàn)的。大部分的研究工作基于人工設(shè)定的流量特征數(shù)據(jù)集，這顯然不能特征設(shè)計(jì)的好壞決定了分類(lèi)器的上限。也有部分工作嘗試使用原始數(shù)據(jù)建模，但所使用的流量嵌入方式多為字節(jié)級(jí)別的one-hot編碼，存在一定的缺陷，不能很好地反應(yīng)數(shù)據(jù)的內(nèi)部隱含關(guān)系。

發(fā)明內(nèi)容

本申請(qǐng)?zhí)峁┝艘环N網(wǎng)絡(luò)異常檢測(cè)方法、系統(tǒng)、終端以及存儲(chǔ)介質(zhì)，旨在至少在一定程度上解決現(xiàn)有技術(shù)中的上述技術(shù)問(wèn)題之一。

為了解決上述問(wèn)題，本申請(qǐng)?zhí)峁┝巳缦录夹g(shù)方案：

一種網(wǎng)絡(luò)異常檢測(cè)方法，包括以下步驟：

采用n-gram模型對(duì)網(wǎng)絡(luò)流量進(jìn)行向量轉(zhuǎn)換，得到所述網(wǎng)絡(luò)流量的向量矩陣；

采用長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)及雙向門(mén)控循環(huán)單元對(duì)所述網(wǎng)絡(luò)流量的向量矩陣進(jìn)行時(shí)空特征提取，得到所述網(wǎng)絡(luò)流量的隱狀態(tài)；

通過(guò)人工特征提取器提取所述網(wǎng)絡(luò)流量的人工特征，并對(duì)所述人工特征進(jìn)行時(shí)空特征提取，得到所述人工特征的隱狀態(tài)；