本技術屬于計算機，具體涉及一種網絡異常檢測方法、裝置、模型訓練方法及電子設備。

背景技術：

1、隨著互聯網技術的快速發(fā)展，網絡已經成為現代社會不可或缺的一部分。然而，網絡的普及也帶來了諸多安全問題，尤其是網絡入侵行為，它不僅威脅到個人隱私和企業(yè)數據的安全，還可能對國家安全構成威脅。因此，開發(fā)有效的網絡入侵檢測方法對于維護網絡安全至關重要。

2、現今，傳統(tǒng)的網絡入侵檢測系統(tǒng)（intrusion?detection?system，ids）主要有依賴于簽名匹配技術的簽名檢測方法；通過比對網絡流量與已知攻擊模式的簽名來識別異常行為；通過建立正常網絡行為模型，將偏離該模型的行為視為潛在威脅的異常檢測方法；利用統(tǒng)計學原理分析網絡流量的特征分布，識別異常模式統(tǒng)計分析的檢測方法；以及基于機器學習的檢測方法等。然而，這些方法存在著數據處理效率低、誤報率高等問題。

技術實現思路

1、鑒于此，本技術的目的在于提供一種網絡異常檢測方法、裝置、模型訓練方法及電子設備，以改善當前網絡入侵檢測方法存在的數據處理效率低、誤報率高的問題。

2、本技術的實施例是這樣實現的：

3、第一方面，本技術實施例提供了一種網絡異常檢測方法，包括：獲取待檢測網絡流量數據集；對所述待檢測網絡流量數據集中的數據進行預處理，得到第一數據集；對所述第一數據集進行特征提取，得到第一特征集；

4、對所述第一特征集中的特征進行特征融合，得到融合特征集，其中，所述特征融合包括對同一特征的不同維度的信息進行融合；將所述融合特征集輸入預設的多尺度異常檢測神經網絡，得到第一異常檢測結果。

5、在上述實施例中，對待檢測網絡流量數據集中的數據進行預處理可以去除噪聲和無關信息，減少數據的復雜性，使得后續(xù)的特征提取和異常檢測更加高效；再對預處理后的數據集進行特征提取和特征融合，可以更準確地捕捉到網絡流量中的異常模式，尤其是進行特征融合，可以通過結合時序特征和交互特征（如拓撲特征），從多個視角分析網絡流量，有助于區(qū)分正常流量和異常流量，使得多尺度異常檢測神經網絡可以更好地適應不同的網絡環(huán)境和攻擊模式，更全面地理解和分析網絡流量，從而提高檢測的穩(wěn)定性、有效性以及準確率。利用多尺度異常檢測神經網絡對融合特征集進行異常檢測，可以捕捉到異常模式在不同尺度下的細節(jié)和特征，通過融合多尺度的信息，為異常檢測提供更全面、豐富的信息，進而提高檢測的準確率。

6、結合第一方面實施例，在一種可能的實施方式中，所述獲取待檢測網絡流量數據集，包括：根據預設的安全策略，對網絡節(jié)點的數據進行采樣，得到第一網絡流量數據集，其中，預設的安全策略用于調整采樣時的頻率和范圍；去除所述第一網絡流量數據集中的無關數據，得到所述待檢測網絡流量數據集。

7、在上述實施例中，根據預設的安全策略調整采樣時的頻率和范圍，可以針對特定的網絡節(jié)點和行為模式進行采樣，減少不必要的數據收集，避免對所有網絡流量進行全量分析，從而提高網絡異常檢測的效率；預設的安全策略可以結合多種匹配條件，如用戶、終端設備、時間段等，能夠更準確地識別出潛在的威脅和異常行為，并且預設的安全策略能夠不斷更新，以適應新的網絡環(huán)境變化，保證檢測的時效性和有效性。去除第一網絡流量數據集中的無關數據，可以減少數據的復雜性和冗余，還能夠幫助識別和過濾掉不符合異常模式的正常流量，從而提高檢測的準確率和效率。

8、結合第一方面實施例，在一種可能的實施方式中，所述對所述待檢測網絡流量數據集中的數據進行預處理，得到第一數據集，包括：對所述待檢測網絡流量數據集中的數據依次進行數據清洗、統(tǒng)一的張量格式轉換，得到統(tǒng)一數據集；對所述統(tǒng)一數據集中的異常值進行檢測并修正，得到所述第一數據集。

9、在上述實施例中，對待檢測網絡流量數據集中的數據進行數據清洗，可以去除噪聲、重復數據、異常數據、無關數據等，從而提升數據質量，確保待檢測網絡流量數據集中的數據是干凈和一致的；將數據轉換為統(tǒng)一的張量格式可以確保數據在整個異常檢測中的一致性和高效性，從而提高檢測的效率。異常值檢測和修正可以避免模型受到異常數據的影響，提高模型的泛化能力，從而提高檢測的準確率。

10、結合第一方面實施例，在一種可能的實施方式中，對所述第一數據集進行特征提取，得到第一特征集，包括：擴充所述第一數據集中的稀有攻擊樣本的數據，得到擴充后的第一數據集；對所述擴充后的第一數據集進行特征提取，并對提取的特征進行多層非線性變化，得到所述第一特征集。

11、在上述實施例中，在對第一數據集進行特征提取之前，先擴充第一數據集中的稀有攻擊樣本的數據，增加模型接觸稀有攻擊樣本的機會，從而提高模型對稀有攻擊樣本的識別能力；還能夠減少正常流量和異常流量之間類別不平衡的影響，使模型更加關注異常流量，提高檢測的效率。在對擴充后的第一數據集進行特征提取后，對提取的特征進行多層非線性變化，能夠提取出更深層次的特征，增加特征的維度和復雜性，從而提高檢測的準確率，減少誤報和漏報。

12、結合第一方面實施例，在一種可能的實施方式中，所述對所述第一數據集進行特征提取，得到第一特征集，包括：應用預設的多分辨率時間窗口分析模塊對所述第一數據集進行多尺度時序特征提取；應用預設的圖神經網絡對所述第一數據集進行結構化特征提取；將所述多尺度時序特征和所述結構化特征組成所述第一特征集。

13、在上述實施例中，多尺度時序特征能夠捕捉到不同時間尺度上的模式和趨勢，提取多尺度時序特征有利于識別在不同時間尺度上表現出異常的行為，從而提高檢測的準確性；結構化特征通常包含了網絡流量中的拓撲信息和元數據，提取結構化特征有助于模型理解網絡流量的組織結構和相互關系；通過結合多尺度時序特征和結構化特征可以為異常檢測提供更加豐富的信息，從而提高檢測的準確性。

14、結合第一方面實施例，在一種可能的實施方式中，所述對所述第一數據集進行特征提取，得到第一特征集，還包括：i、對所述第一數據集進行特征提取以獲得流量統(tǒng)計特征、協(xié)議行為特征和內容語義特征，并將所述流量統(tǒng)計特征、所述協(xié)議行為特征和所述內容語義特征進行融合，得到優(yōu)化特征；和/或ii、應用預設的帶有自注意力機制的長短期記憶網絡對所述第一數據集中的時序數據進行長期依賴特征提取，其中，所述長期依賴特征為長時間序列中，攻擊模式或異常行為隨時間變化所表現的特征；將所述多尺度時序特征和所述結構化特征以及所述優(yōu)化特征和/或所述長期依賴特征組成所述第一特征集。

15、在上述實施例中，在提取多尺度時序特征和結構化特征的基礎上，還可以提取優(yōu)化特征、長期依賴特征中的至少一種特征，進行異常檢測，可以提供更豐富、更全面的信息，顯著提高檢測的準確性和效率。流量統(tǒng)計特征通常包括數據包大小、傳輸速率、連接數等，流量統(tǒng)計特征可以提供網絡流量的宏觀視圖；協(xié)議行為特征涉及網絡協(xié)議的使用模式；內容語義特征則關注數據包內容的語義信息；將這些特征融合可以提供更全面的網絡流量視圖，捕捉到更細微的異常模式，從而提高檢測的準確性，減少誤報和漏報。提取長期依賴特征有利于識別在時間序列上表現出特定模式的異常行為，有助于更準確地區(qū)分正確流量和異常流量，從而提高檢測的準確性；并且在檢測中理解網絡流量的自然變化，減少因短期波動引起的誤報和漏報。

16、結合第一方面實施例，在一種可能的實施方式中，所述對所述第一特征集中的特征進行特征融合，得到融合特征集，包括：評估所述第一特征集中的每個特征與預設異常行為之間的相關性，選擇出所述相關性大于預設閾值的特征，得到初選特征子集；對所述初選特征子集中每一特征的不同維度的信息進行融合，得到多維度融合特征集；根據所述第一特征集和所述多維度融合特征集，得到所述融合特征集。

17、在上述實施例中，通過評估第一特征集中的每個特征與預設異常行為之間的相關性，選擇出相關性大于預設閾值的特征，可以減少檢測的數據量，提高檢測的效率；選擇出與異常行為相關性高的特征，可以捕捉到異常行為的本質特征，提高檢測的準確性。對初選特征子集中每一特征的不同維度的信息進行融合，可以揭示數據中更深層次的關聯性和復雜性，提供更全面的數據分析視角，更精細地區(qū)分正常行為和異常行為，從而提高檢測的準確性，減少誤報和漏報，還可以減少檢測的數據量，提高檢測的效率。

18、結合第一方面實施例，在一種可能的實施方式中，所述對所述第一特征集中的特征進行特征融合，得到融合特征集，所述方法還包括：利用目標特征處理方法對所述初選特征子集中的特征進行處理，得到精簡特征集，其中，所述目標特征處理方法包括：特征迭代消除、特征重要性評估、特征權重調整中的至少一種特征處理方法；對所述精簡特征集中的每一特征不同維度的信息進行融合，得到所述多維度融合特征集；根據所述第一特征集和所述多維度融合特征集，得到所述融合特征集。

19、在上述實施例中，在對特征進行特征融合之前，對目標特征進行特征迭代消除，可以減少過擬合風險，并且通過反向選擇，迭代地刪除最不重要的特征，可以提高檢測的效率。通過特征重要性評估和權重調整，在異常檢測時可以更專注于最能反映異常行為的特征，從而提高異常檢測的準確性。

20、結合第一方面實施例，在一種可能的實施方式中，所述方法還包括：應用預設的特征知識圖譜對所述第一特征集和所述多維度融合特征集中各特征間的語義關系和長期依賴關系進行提取，并加入所述融合特征集中，其中，所述長期依賴關系為長時間序列中，攻擊模式或異常行為隨時間變化所表現的關系。

21、在上述實施例中，對各特征間的語義關系和長期依賴關系進行提取，可以提供更全面的信息，從而提高檢測的準確性；將融合特征和各融合特征間的語義關系和長期依賴關系作為異常檢測的輸入，能夠在檢測時及時識別和響應潛在的攻擊，提高檢測的效率。

22、結合第一方面實施例，在一種可能的實施方式中，所述預設的多尺度異常檢測神經網絡包括多通道卷積神經網絡、動態(tài)路由膠囊網絡以及多任務學習框架，所述將所述融合特征集輸入預設的多尺度異常檢測神經網絡，得到第一異常檢測結果，包括：應用所述多通道卷積神經網絡對所述融合特征集中的特征進行加權處理，得到注意力加權特征集；應用所述動態(tài)路由膠囊網絡對所述注意力加權特征集中各特征進行層次關系建模，得到結構化特征集；應用所述多任務學習框架對所述結構化特征集進行異常檢測、攻擊分類與異常程度估計分析，得到第一異常檢測結果。

23、在上述實施例中，在對融合特征進行異常檢測時，先對融合特征集中的特征進行加權處理可以突出對異常檢測貢獻更大的特征，提高檢測的準確性；在得到注意力加權特征集后，對注意力加權特征集中各特征進行層次關系建模，能夠處理特征間復雜的非線性關系，有助于提高檢測的準確性。異常檢測用于區(qū)分正常流量和異常流量，準確識別網絡流量中的異常現象；攻擊分類用于對異常流量進行分類，識別出攻擊的具體類型；異常程度分析用于對異常流量的異常程度進行估計，通過異常檢測、攻擊分類與異常程度估計分析，可以有效地識別出網絡攻擊行為，顯著提高檢測的準確性。

24、結合第一方面實施例，在一種可能的實施方式中，所述應用所述多通道卷積神經網絡對所述融合特征集中的特征進行加權處理，得到注意力加權特征集，包括：將所述融合特征集中的特征按照預設的特征類型輸入到所述多通道卷積神經網絡對應的通道中；應用所述多通道卷積神經網絡對每個所述通道內的所述特征進行提取，得到所述每個通道的初級特征集；應用所述多通道卷積神經網絡中的注意力機制調整所述每個通道的初級特征集對應的重要性權重，并根據所述重要性權重與對應的所述通道的位置進行加權求和，得到所述注意力加權特征集。

25、在上述實施例中，多通道卷積神經網絡能夠從不同的角度提取特征，捕捉數據中的復雜模式和結構，使得在檢測時更全面地理解網絡流量中的正常和異常行為，提高檢測的準確性；注意力機制可以更加關注那些對于異常檢測更為關鍵的特征，從而提高檢測的準確性。

26、結合第一方面實施例，在一種可能的實施方式中，所述方法還包括：應用預設的圖數據庫對所述第一異常檢測結果、以及第二異常檢測結果中的異常數據進行攻擊路徑還原和攻擊目標預測，得到攻擊鏈分析報告，其中，所述第二異常檢測結果為根據預設的規(guī)則對所述待檢測網絡流量數據集進行檢測得到的檢測結果；對所述第一異常檢測結果、所述第二異常檢測結果和所述攻擊鏈分析報告進行文本轉換，得到異常檢測報告。

27、在上述實施例中，對異常數據進行攻擊路徑還原和攻擊目標預測，可以快速響應網絡入侵事件，提高處理網絡入侵事件的效率；攻擊路徑還原提供了攻擊發(fā)生的詳細過程，提升了網絡攻擊事件的透明度和可追溯性；通過預測攻擊目標，有助于提前采取措施，防止網絡入侵。將第一異常檢測結果、第二異常檢測結果和攻擊鏈分析報告進行文本轉換，將技術數據轉換成網絡安全人員易于理解的語言，提高報告的可讀性，可以使網絡安全人員快速識別網絡入侵行為并采取行動。

28、第二方面，本技術實施例提供了一種網絡異常檢測模型訓練方法，包括：獲取網絡流量數據訓練集；對所述網絡流量數據訓練集中的數據進行預處理，得到第一數據集；對所述第一數據集進行特征提取，得到第一特征集；對所述第一特征集中的特征進行特征融合，得到融合特征集，其中，所述特征融合包括對同一特征的不同維度的信息進行融合；利用融合特征集對待訓練的多尺度異常檢測神經網絡進行訓練，得到多尺度異常檢測神經網絡。

29、第三方面，本技術實施例提供了一種網絡異常檢測裝置，包括：數據獲取模塊、數據預處理模塊、特征提取模塊、特征融合模塊以及網絡異常檢測模塊；數據獲取模塊，用于獲取待檢測網絡流量數據集；數據預處理模塊，用于對所述待檢測網絡流量數據集中的數據進行預處理，得到第一數據集；特征提取模塊，用于對所述第一數據集進行特征提取，得到第一特征集；特征融合模塊，用于對所述第一特征集中的特征進行特征融合，得到融合特征集，其中，所述特征融合包括對同一特征的不同維度的信息進行融合；網絡異常檢測模塊，用于將所述融合特征集輸入預設的多尺度異常檢測神經網絡，得到第一異常檢測結果。

30、第四方面，本技術實施例提供了一種電子設備，包括：存儲器和處理器，所述存儲器與所述處理器連接；所述存儲器，用于存儲程序；所述處理器，用于調用存儲于所述存儲器中的程序，以執(zhí)行上述第一方面實施例和/或結合第一方面實施例的任意一種實施方式提供的方法或者上述第二方面實施例提供的方法。

31、本技術的其他特征和優(yōu)點將在隨后的說明書闡述。本技術的目的和其他優(yōu)點可通過在所寫的說明書以及附圖中所特別指出的結構來實現和獲得。