本發(fā)明公開了一種網(wǎng)絡異常檢測方法、裝置及存儲介質，屬于網(wǎng)絡安全領域。一種網(wǎng)絡異常檢測方法，包括以下步驟：定義正常節(jié)點時間序列特征與異常節(jié)點時間序列特征，利用網(wǎng)絡模型學習正常節(jié)點時間序列特征分布；根據(jù)異常節(jié)點時間特征分布模型，優(yōu)化正常節(jié)點時間特征分布；所述網(wǎng)絡模型擇一地為檢測節(jié)點標記正常標簽或異常標簽；根據(jù)優(yōu)化正常節(jié)點時間特征分布的結果以及定義的正常節(jié)點時間序列特征，評估所述正常標簽的準確度；構建節(jié)點之間的關聯(lián)子圖，利用隨機游走更新節(jié)點標簽的準確度。

技術領域

本發(fā)明涉及網(wǎng)絡安全領域，具體涉及一種網(wǎng)絡異常檢測方法、裝置及存儲介質。

背景技術

異常檢測通過分析網(wǎng)絡流量，檢測出發(fā)起異常攻擊的源節(jié)點(異常節(jié)點)，為從源頭上抑制網(wǎng)絡攻擊行為提供重要依據(jù)，是維護網(wǎng)絡安全的重要方法。傳統(tǒng)的網(wǎng)絡運維方法是基于固定的腳本和閾值的，因而難以適應如今海量、復雜、多變的大規(guī)模網(wǎng)絡環(huán)境，無法根據(jù)網(wǎng)絡態(tài)勢動態(tài)調整閾值、發(fā)現(xiàn)異常節(jié)點。異常檢測能夠通過機器學習的方法，快速地從海量數(shù)據(jù)中發(fā)現(xiàn)與大多數(shù)正常數(shù)據(jù)不同的異常數(shù)據(jù)，已被廣泛應用于多個領域。面對持續(xù)的、海量的網(wǎng)絡流量，極少量的、變化多端的異常節(jié)點在大多數(shù)情況下表現(xiàn)正常、難以檢測。

發(fā)明內容

針對現(xiàn)有技術的不足，本發(fā)明提出了一種網(wǎng)絡異常檢測方法、裝置及存儲介質。

本發(fā)明的目的可以通過以下技術方案實現(xiàn)：

一種網(wǎng)絡異常檢測方法，包括以下步驟：

步驟1：定義正常節(jié)點時間序列特征與異常節(jié)點時間序列特征，利用網(wǎng)絡模型學習正常節(jié)點時間序列特征分布；

步驟2：根據(jù)異常節(jié)點時間特征分布模型，優(yōu)化正常節(jié)點時間特征分布；所述網(wǎng)絡模型擇一地為檢測節(jié)點標記正常標簽或異常標簽；

步驟3：根據(jù)優(yōu)化正常節(jié)點時間特征分布的結果以及定義的正常節(jié)點時間序列特征，評估所述正常標簽的準確度；

步驟4：構建節(jié)點之間的關聯(lián)子圖，利用隨機游走更新節(jié)點標簽的準確度。

可選地，所述正常節(jié)點時間序列特征與異常節(jié)點時間序列特征具有相同尺寸的時間窗口。

可選地，在所述步驟1中，所述網(wǎng)絡模型訓練捕獲正常節(jié)點時間序列特征分布的生成器與能夠將所述正常節(jié)點時間序列特征映射為生成器的數(shù)據(jù)組合，以及真實數(shù)據(jù)的組合，加入判別器中，獲得能夠捕獲正常節(jié)點行為的訓練模型。

可選地，在所述步驟2中，根據(jù)所述異常節(jié)點時間序列特征組成的真實數(shù)據(jù)組合與所述生成器的數(shù)據(jù)組合，獲得能夠捕獲異常節(jié)點行為的訓練模型；將所述的能夠捕獲異常節(jié)點行為的訓練模型與能夠捕獲正常節(jié)點行為的訓練模型整合為目標函數(shù)。

可選地，構建關聯(lián)子圖的步驟包括：

根據(jù)歷史數(shù)據(jù)集的發(fā)生攻擊的節(jié)點連接關系，篩選異常節(jié)點；

訓練所述歷史數(shù)據(jù)集的注意力模型，計算所述異常節(jié)點的時間間隙權重，提取時間間隙最大的連接關系，構建所述關聯(lián)子圖。

可選地，通過編碼器獲得所述的能夠將所述正常節(jié)點時間序列特征映射為生成器的數(shù)據(jù)。

可選地，所述網(wǎng)絡模型配置為采用長短記憶網(wǎng)絡網(wǎng)絡結構。

可選地，所述游走的方式包括正向連接、反向連接與自連接。

一種計算機可讀的存儲介質，存儲有指令，所述指令被處理器執(zhí)行所述指令時用于實現(xiàn)上述任一網(wǎng)絡異常檢測方法。

一種網(wǎng)絡異常檢測裝置，包括處理器與存儲器，所述存儲器存儲指令，所述處理器能夠執(zhí)行所述存儲器的指令，實現(xiàn)上述任一網(wǎng)絡異常檢測方法。

本發(fā)明的技術效果：