【技術(shù)實(shí)現(xiàn)步驟摘要】
本公開涉及衛(wèi)星通信領(lǐng)域,并且具體涉及一種網(wǎng)絡(luò)異常行為特征檢測(cè)方法、網(wǎng)絡(luò)異常行為特征檢測(cè)設(shè)備、計(jì)算設(shè)備、非瞬時(shí)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)、計(jì)算機(jī)程序產(chǎn)品和芯片系統(tǒng)。
技術(shù)介紹
1、群體異常檢測(cè)(group?anomaly?detection,gad)是衛(wèi)星通信、社交網(wǎng)絡(luò)等領(lǐng)域的重要任務(wù)。異常檢測(cè)的目的是將某種行為與典型模式相比,判斷該行為是否存在異常。
2、在物聯(lián)網(wǎng)環(huán)境中,可能存在多個(gè)相互連接的聯(lián)網(wǎng)設(shè)備。在這樣的互聯(lián)環(huán)境中,故障或受損的聯(lián)網(wǎng)設(shè)備可能會(huì)影響其他聯(lián)網(wǎng)設(shè)備的運(yùn)行,也即聯(lián)網(wǎng)設(shè)備表現(xiàn)出的異常行為可能會(huì)傳播到物聯(lián)網(wǎng)環(huán)境中的其他設(shè)備。因此需要準(zhǔn)確識(shí)別出聯(lián)網(wǎng)設(shè)備的異常情況。
3、目前可以采用機(jī)器學(xué)習(xí)方法、深度學(xué)習(xí)方法來進(jìn)行聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)異常行為檢測(cè),但現(xiàn)有的異常行為檢測(cè)方式并不成熟,存在檢測(cè)準(zhǔn)確性不高的問題。
技術(shù)實(shí)現(xiàn)思路
1、提供一種緩解、減輕或消除上述至少一個(gè)問題的機(jī)制將是有利的。
2、在第一方面,提供了一種網(wǎng)絡(luò)異常行為特征檢測(cè)方法。該方法包括:構(gòu)建基于注意力的軌跡群體異常檢測(cè)模型,構(gòu)建異常行為檢測(cè)模型,以及構(gòu)建基于無監(jiān)督學(xué)習(xí)的正態(tài)性和異常性建模模型;將聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)行為數(shù)據(jù)輸入所述軌跡群體異常檢測(cè)模型,獲得群體軌跡初步異常檢測(cè)數(shù)據(jù);將所述群體軌跡初步異常檢測(cè)數(shù)據(jù)輸入所述異常行為檢測(cè)模型,獲得所述聯(lián)網(wǎng)設(shè)備之間數(shù)據(jù)傳輸過程中的非異常行為數(shù)據(jù);將所述非異常行為數(shù)據(jù)輸入所述正態(tài)性和異常性建模模型,獲得網(wǎng)絡(luò)異常行為特征數(shù)據(jù)。
3、在第二方面,提供了
4、在第三方面,提供了一種計(jì)算設(shè)備。該計(jì)算設(shè)備包括:至少一個(gè)處理器;以及至少一個(gè)存儲(chǔ)器,其上存儲(chǔ)指令,所述指令當(dāng)被所述至少一個(gè)處理器單獨(dú)或共同執(zhí)行時(shí),使所述計(jì)算設(shè)備執(zhí)行上述的網(wǎng)絡(luò)異常行為特征檢測(cè)方法。
5、在第四方面,提供了一種存儲(chǔ)有機(jī)器可執(zhí)行指令的非瞬時(shí)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。所述機(jī)器可執(zhí)行指令當(dāng)被機(jī)器的一個(gè)或多個(gè)處理器單獨(dú)或共同執(zhí)行時(shí),使所述機(jī)器執(zhí)行上述的網(wǎng)絡(luò)異常行為特征檢測(cè)方法。
6、在第五方面,提供了一種包括機(jī)器可執(zhí)行指令的計(jì)算機(jī)程序產(chǎn)品。所述機(jī)器可執(zhí)行指令當(dāng)被機(jī)器的一個(gè)或多個(gè)處理器單獨(dú)或共同執(zhí)行時(shí),使所述機(jī)器執(zhí)行上述的網(wǎng)絡(luò)異常行為特征檢測(cè)方法。
7、在第六方面,提供了一種芯片系統(tǒng)。該芯片系統(tǒng)包括電路系統(tǒng),所述電路系統(tǒng)被配置為執(zhí)行上述的網(wǎng)絡(luò)異常行為特征檢測(cè)方法。
8、應(yīng)當(dāng)理解,
技術(shù)實(shí)現(xiàn)思路
部分不是用來標(biāo)識(shí)本公開的實(shí)施例的關(guān)鍵或基本特征,也不是用來限制本公開的范圍。通過下面的描述,本公開的其它特征將變得容易理解。
【技術(shù)保護(hù)點(diǎn)】
1.一種網(wǎng)絡(luò)異常行為特征檢測(cè)方法,其特征在于,包括:
2.如權(quán)利要求1所述的方法,其特征在于,所述軌跡群體異常檢測(cè)模型具有基于BERT的Transformer編碼器模型架構(gòu),所述軌跡群體異常檢測(cè)模型包括:輸入嵌入層、位置編碼層、多頭注意力模塊、注意力異常得分模塊和Transformer編碼器層;
3.如權(quán)利要求1或2所述的方法,其特征在于,所述軌跡群體異常檢測(cè)模型是采用無監(jiān)督學(xué)習(xí)方式或者半監(jiān)督學(xué)習(xí)方式訓(xùn)練的;在訓(xùn)練所述軌跡群體異常檢測(cè)模型時(shí),在每個(gè)訓(xùn)練epoch中,批次傳遞所述網(wǎng)絡(luò)行為數(shù)據(jù)的分組軌跡并返回所述分組軌跡的異常概率;根據(jù)所述異常概率計(jì)算二元交叉熵?fù)p失L。
4.如權(quán)利要求1或2所述的方法,其特征在于,所述將所述群體軌跡初步異常檢測(cè)數(shù)據(jù)輸入所述異常行為檢測(cè)模型,獲得所述聯(lián)網(wǎng)設(shè)備之間數(shù)據(jù)傳輸過程中的非異常行為數(shù)據(jù),包括:
5.如權(quán)利要求4所述的方法,其特征在于,從所述群體軌跡初步異常檢測(cè)數(shù)據(jù)中檢測(cè)出異常行為數(shù)據(jù),包括:
6.如權(quán)利要求5所述的方法,其特征在于,所述事件簽名的特征包括:源端口和目標(biāo)端口號(hào)、交換數(shù)據(jù)包長(zhǎng)
7.如權(quán)利要求4所述的方法,其特征在于,從所述群體軌跡初步異常檢測(cè)數(shù)據(jù)中檢測(cè)出異常行為數(shù)據(jù)之后,還包括:
8.如權(quán)利要求1或2所述的方法,其特征在于,所述異常行為檢測(cè)模型具有聯(lián)網(wǎng)設(shè)備拓?fù)鋱D,所述聯(lián)網(wǎng)設(shè)備拓?fù)鋱D是有向圖或者無向圖,所述聯(lián)網(wǎng)設(shè)備拓?fù)鋱D中的每個(gè)節(jié)點(diǎn)表示一個(gè)聯(lián)網(wǎng)設(shè)備,每條邊表示所述聯(lián)網(wǎng)設(shè)備之間的連接關(guān)系。
9.如權(quán)利要求1或2所述的方法,其特征在于,所述將所述非異常行為數(shù)據(jù)輸入所述正態(tài)性和異常性建模模型,獲得網(wǎng)絡(luò)異常行為特征數(shù)據(jù),包括:
10.如權(quán)利要求9所述的方法,其特征在于,采用下面的公式根據(jù)所述密度計(jì)算出所述葉子節(jié)點(diǎn)對(duì)應(yīng)實(shí)例的異常分?jǐn)?shù):
11.一種網(wǎng)絡(luò)異常行為特征檢測(cè)設(shè)備,其特征在于,所述設(shè)備包括用于執(zhí)行權(quán)利要求1-10中任一項(xiàng)的方法的裝置。
12.一種計(jì)算設(shè)備,其特征在于,包括:
13.一種存儲(chǔ)有機(jī)器可執(zhí)行指令的非瞬時(shí)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),其特征在于,所述機(jī)器可執(zhí)行指令當(dāng)被機(jī)器的一個(gè)或多個(gè)處理器單獨(dú)或共同執(zhí)行時(shí),使所述機(jī)器執(zhí)行權(quán)利要求1-10中任一項(xiàng)的方法。
14.一種包括機(jī)器可執(zhí)行指令的計(jì)算機(jī)程序產(chǎn)品,其特征在于,所述機(jī)器可執(zhí)行指令當(dāng)被機(jī)器的一個(gè)或多個(gè)處理器單獨(dú)或共同執(zhí)行時(shí),使所述機(jī)器執(zhí)行權(quán)利要求1-10中任一項(xiàng)的方法。
15.一種芯片系統(tǒng),其特征在于,包括電路系統(tǒng),所述電路系統(tǒng)被配置為執(zhí)行權(quán)利要求1-10中任一項(xiàng)的方法。
...【技術(shù)特征摘要】
1.一種網(wǎng)絡(luò)異常行為特征檢測(cè)方法,其特征在于,包括:
2.如權(quán)利要求1所述的方法,其特征在于,所述軌跡群體異常檢測(cè)模型具有基于bert的transformer編碼器模型架構(gòu),所述軌跡群體異常檢測(cè)模型包括:輸入嵌入層、位置編碼層、多頭注意力模塊、注意力異常得分模塊和transformer編碼器層;
3.如權(quán)利要求1或2所述的方法,其特征在于,所述軌跡群體異常檢測(cè)模型是采用無監(jiān)督學(xué)習(xí)方式或者半監(jiān)督學(xué)習(xí)方式訓(xùn)練的;在訓(xùn)練所述軌跡群體異常檢測(cè)模型時(shí),在每個(gè)訓(xùn)練epoch中,批次傳遞所述網(wǎng)絡(luò)行為數(shù)據(jù)的分組軌跡并返回所述分組軌跡的異常概率;根據(jù)所述異常概率計(jì)算二元交叉熵?fù)p失l。
4.如權(quán)利要求1或2所述的方法,其特征在于,所述將所述群體軌跡初步異常檢測(cè)數(shù)據(jù)輸入所述異常行為檢測(cè)模型,獲得所述聯(lián)網(wǎng)設(shè)備之間數(shù)據(jù)傳輸過程中的非異常行為數(shù)據(jù),包括:
5.如權(quán)利要求4所述的方法,其特征在于,從所述群體軌跡初步異常檢測(cè)數(shù)據(jù)中檢測(cè)出異常行為數(shù)據(jù),包括:
6.如權(quán)利要求5所述的方法,其特征在于,所述事件簽名的特征包括:源端口和目標(biāo)端口號(hào)、交換數(shù)據(jù)包長(zhǎng)度、tcp標(biāo)志類型、每個(gè)事件的時(shí)間跨度和所述時(shí)間跨度內(nèi)數(shù)據(jù)包的傳輸方向中的一種或任意種的組合。
7.如權(quán)利要求4所述的方法,其特征在于,從所述群體軌跡初步異常檢測(cè)數(shù)據(jù)中檢測(cè)...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:江波濤,張皓,呂森,張弘波,徐啟龍,田同旺,武建軍,任爍鑫,
申請(qǐng)(專利權(quán))人:中國(guó)星網(wǎng)網(wǎng)絡(luò)應(yīng)用研究院有限公司,
類型:發(fā)明
國(guó)別省市:
還沒有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。